Disk bölümlerini şifrelemek için program. VeraCrypt kullanarak bir sabit diskin tamamı nasıl şifrelenir? VeraCrypt'i Windows'a Kurmak

Princeton Üniversitesi'nden araştırmacılar şifrelemeyi atlamanın bir yolunu keşfettiler sabit diskler, modül özelliğini kullanarak rasgele erişim belleği elektrik kesintisinden sonra bile bilgileri kısa bir süre için saklayın.

Önsöz

Şifreli bir sabit sürücüye erişmek için bir anahtara sahip olmanız gerektiğinden ve bu da elbette RAM'de saklandığından, gereken tek şey birkaç dakikalığına PC'ye fiziksel erişim elde etmektir. Harici olarak yeniden başlattıktan sonra sabit disk veya ile Flash bellek tam bir bellek dökümü yapılır ve birkaç dakika içinde erişim anahtarı ondan çıkarılır.

Bu şekilde, şifreleme anahtarları (ve tam erişim Windows Vista, Mac OS X ve Linux işletim sistemlerinde BitLocker, FileVault ve dm-crypt tarafından ve ayrıca popüler ücretsiz sabit sürücü şifreleme sistemi TrueCrypt tarafından kullanılır.

Bu çalışmanın önemi, verileri tamamen silmek için yeterli bir süre için gücü kapatmak dışında, bu bilgisayar korsanlığı yöntemine karşı basit bir koruma yöntemi olmaması gerçeğinde yatmaktadır.

Sürecin görsel bir gösterimi, video.

dipnot

Sanılanın aksine çoğu bilgisayarda kullanılan DRAM bellek modern bilgisayarlar, elektrik kesintisinden sonra bile birkaç saniye veya dakika boyunca verileri depolar, üstelik bu oda sıcaklığında ve mikro devre anakarttan çıkarılsa bile olur. Bu sefer tam bir RAM dökümü almak için oldukça yeterli. Bu fenomenin, sisteme fiziksel erişimi olan bir saldırganın, kriptografik anahtarlarla ilgili verileri korumak için işletim sistemi işlevlerini atlamasına izin verdiğini göstereceğiz. Herhangi bir özel cihaz veya malzeme kullanılmadan bilinen sabit disk şifreleme sistemlerine başarılı saldırılar yapmak için yeniden başlatmanın nasıl kullanılabileceğini göstereceğiz. Deneysel olarak kalıcılığın derecesini ve olasılığını belirleyeceğiz ve verilerin alınabileceği sürenin kullanılarak önemli ölçüde artırılabileceğini göstereceğiz. basit numaralar. Bellek dökümlerinde kriptografik anahtarların bulunması ve eksik bitlerle ilgili hataların düzeltilmesi için yeni yöntemler de önerilecektir. Ayrıca bu riskleri azaltmanın çeşitli yollarından da bahsedecek, ancak basit çözüm Biz bilmiyoruz.

giriiş

Çoğu uzman, bilgisayarın RAM'indeki verilerin elektrik kesintisinden hemen sonra silindiğini varsayar veya özel ekipman kullanılmadan kalan verilerin alınmasının son derece zor olduğunu düşünür. Bu varsayımların yanlış olduğunu göstereceğiz. Geleneksel DRAM belleği, normal sıcaklıklarda bile verileri birkaç saniye içinde kademeli olarak kaybeder ve bellek yongası ana karttan çıkarılsa bile, yonganın düşük sıcaklıklarda saklanması koşuluyla veriler içinde dakikalarca hatta saatlerce kalır. Artık veriler kullanılarak kurtarılabilir basit yöntemler bilgisayara kısa süreli fiziksel erişim gerektiren

DRAM'in kalıntı etkilerini kullanarak bellekte saklanan şifreleme anahtarlarını kurtarmamıza izin verecek bir dizi saldırı göstereceğiz. Bu, sabit sürücü şifreleme sistemlerine güvenen dizüstü bilgisayar kullanıcıları için gerçek bir tehdit oluşturur. Aslında, bir saldırgan bir dizüstü bilgisayarı çalarsa, şifrelenmiş diskin bağlandığı anda, dizüstü bilgisayarın kendisi kilitli veya uyku modunda olsa bile içeriğe erişmek için saldırılarımızdan birini gerçekleştirebilecektir. Bunu, BitLocker, TrueCrypt ve FileVault gibi birkaç popüler şifreleme sistemine başarıyla saldırarak göstereceğiz. Bu saldırılar diğer şifreleme sistemlerine karşı da başarılı olmalıdır.

Çabalarımızı sabit sürücü şifreleme sistemlerine odaklamış olmamıza rağmen, bir saldırganın bilgisayarına fiziksel erişim durumunda, RAM'de saklanan herhangi bir önemli bilgi bir saldırı nesnesi haline gelebilir. Diğer birçok güvenlik sisteminin savunmasız olması muhtemeldir. Örneğin, Mac OS X'in hesap parolalarını geri alabilmemiz için bellekte bıraktığını bulduk ve ayrıca Apache'nin özel RSA anahtarlarına da saldırdık.

Topluluğun bazı üyeleri bilgi Güvenliği ve yarı iletken fizikçiler DRAM kalıntı etkisini zaten biliyorlardı, bu konuda çok az bilgi vardı. Sonuç olarak, güvenlik sistemlerini tasarlayan, geliştiren veya kullanan pek çok kişi bu fenomene ve bir saldırgan tarafından ne kadar kolay istismar edilebileceğine aşina değil. Bildiğimiz kadarıyla bu ilk detaylı çalışma bilgi güvenliği için bu fenomenlerin sonuçlarını incelemek.

Şifrelenmiş sürücülere yapılan saldırılar

Sabit sürücülerin şifrelenmesi, veri hırsızlığına karşı iyi bilinen bir koruma yöntemidir. Birçoğu, bir saldırgan bilgisayara fiziksel erişim sağlasa bile (aslında bunun için gereklidirler, ed.), sabit disk şifreleme sistemlerinin verilerini koruyacağına inanıyor. 2002'de kabul edilen Kaliforniya yasası, kişisel verilerin olası ifşalarının yalnızca veriler şifrelenmemişse bildirilmesini gerektirir, çünkü. veri şifrelemenin yeterli bir koruyucu önlem olduğu düşünülmektedir. Kanun herhangi bir spesifik teknik çözüm tanımlamasa da, birçok uzman, koruma için yeterli önlemler olarak kabul edilecek olan sabit sürücü veya bölüm şifreleme sistemlerinin kullanılmasını önermektedir. Çalışmamızın sonuçları, disk şifrelemeye olan inancın temelsiz olduğunu gösterdi. Bir saldırgan, en yeteneklisi olmak şöyle dursun, açık veya uyku modundayken içinde veri bulunan bir dizüstü bilgisayar çalınırsa, yaygın olarak kullanılan birçok şifreleme sistemini atlayabilir. Ve bir dizüstü bilgisayardaki veriler, şifrelenmiş bir sürücüdeyken bile okunabilir, bu nedenle sabit sürücü şifreleme sistemlerini kullanmak yeterli bir önlem değildir.

Bilinen sabit disk şifreleme sistemlerine birkaç tür saldırı kullandık. Şifreli disklerin yüklenmesi ve tespit edilen şifreleme anahtarlarının doğruluğunun doğrulanması en fazla zaman aldı. Bir RAM görüntüsünün alınması ve anahtarların aranması yalnızca birkaç dakika sürdü ve tamamen otomatikti. Çoğu sabit sürücü şifreleme sisteminin bu tür saldırılara açık olduğuna inanmak için sebepler var.

bit kilitleyici

BitLocker, Windows Vista'nın bazı sürümlerinde bulunan bir sistemdir. Dosya sistemi ile sabit disk sürücüsü arasında bir sürücü olarak işlev görür, isteğe bağlı olarak seçilen sektörleri şifreler ve şifrelerini çözer. Şifreleme için kullanılan anahtarlar, şifrelenmiş diskin bağlantısı kesildiği sürece RAM'dedir.

BitLocker, bir sabit sürücünün her sektörünü şifrelemek için AES algoritması tarafından oluşturulan aynı anahtar çiftini kullanır: bir sektör şifreleme anahtarı ve şifre blok zincirleme (CBC) modunda çalışan bir şifreleme anahtarı. Bu iki anahtar da ana anahtarla şifrelenir. Bir sektörü şifrelemek için, sektör ofset baytını sektör şifreleme anahtarıyla şifreleyerek oluşturulan bir oturum anahtarıyla ikili düz metin ekleme prosedürü gerçekleştirilir. Ardından, alınan veriler Microsoft tarafından geliştirilen Elephant algoritmasını kullanan iki karıştırma işlevi tarafından işlenir. Bu anahtarsız işlevler, şifrenin tüm bitlerindeki değişiklik sayısını artırmak ve buna bağlı olarak şifrelenmiş sektör verilerinin belirsizliğini artırmak için kullanılır. Son aşamada ise veriler AES algoritması ile CBC modunda uygun şifreleme anahtarı kullanılarak şifrelenir. Başlatma vektörü, sektör ofset baytının CBC modunda kullanılan şifreleme anahtarıyla şifrelenmesiyle belirlenir.

BitUnlocker adlı tam otomatik bir demo saldırısı gerçekleştirdik. Bir harici kullanır USB diski Linux işletim sistemi ve SYSLINUX tabanlı değiştirilmiş bir önyükleyici ve BitLocker şifreli sürücüleri Linux işletim sistemine bağlamanıza izin veren bir FUSE sürücüsü. Windows Vista çalıştıran bir test bilgisayarında, güç kapatıldı, bir USB sabit sürücü bağlandı ve önyüklendi. Bundan sonra, BitUnlocker RAM'i otomatik olarak boşalttı. Harici Sürücü, Keyfind programını kullanarak olası anahtarları aradım, tüm uygun seçenekleri denedim (sektör şifreleme anahtarı ve CBC modu anahtarı çiftleri) ve başarılı olursa şifreli diski bağladım. Disk bağlanır bağlanmaz, diğer disklerle olduğu gibi onunla çalışmak mümkün hale geldi. 2 gigabayt RAM'e sahip modern bir dizüstü bilgisayarda işlem yaklaşık 25 dakika sürdü.

Bu saldırının herhangi bir yazılımda tersine mühendislik yapılmadan gerçekleştirilebilmesi dikkat çekicidir. Belgeler Microsoft sistemi BitLocker, sektör şifreleme anahtarının ve CBC modu anahtarının rolünü anlamak ve tüm süreci uygulayan kendi programınızı oluşturmak için yeterince açıklanmıştır.

BitLocker ile bu sınıftaki diğer programlar arasındaki temel fark, şifrelenmiş sürücünün bağlantısı kesildiğinde anahtarların saklanma şeklidir. Varsayılan olarak, temel modda, BitLocker ana anahtarı yalnızca birçok modern bilgisayarda bulunan TPM modülünün yardımıyla korur. Bu method Yaygın olarak kullanıldığı anlaşılan , saldırımıza karşı özellikle savunmasızdır çünkü bilgisayar uzun süre kapalı kalsa bile şifreleme anahtarlarını almanıza izin verir, çünkü bilgisayar açıldığında anahtarlar otomatik olarak RAM'e yüklenir ( oturum açma penceresi sisteme görünmeden önce) herhangi bir kimlik doğrulama verisi girmeden.

Görünüşe göre, Microsoft uzmanları bu soruna aşinadır ve bu nedenle, BitLocker'ı anahtarların yalnızca TPM kullanılarak değil, aynı zamanda harici bir USB sürücüsündeki bir parola veya anahtarla da korunduğu gelişmiş bir modda yapılandırmanızı önerir. Ancak, bu modda bile, bir saldırgan çalışırken PC'ye fiziksel erişim elde ederse sistem savunmasızdır (hatta kilitlenebilir veya uyku modunda olabilir, (durumlar - bu durumda sadece kapalı veya hazırda bekletme modu etkilenmemiş olarak kabul edilir) bu saldırı ile).

Dosya kasası

Apple'ın FileVault sistemi kısmen araştırılmış ve tersine mühendislik uygulanmıştır. Mac OS X 10.4'te FileVault, CBC modunda 128 bit AES anahtarı kullanır. Kullanıcı parolası girildiğinde, başlatma vektörlerini hesaplamak için kullanılan AES anahtarını ve ikinci bir K2 anahtarını içeren bir başlığın şifresi çözülür. I. disk bloğu için başlatma vektörü, HMAC-SHA1 K2(I) olarak hesaplanır.

Bir Macintosh bilgisayardan veri almak için RAM görüntüleri almak için EFI programımızı kullandık (tabanlı Intel işlemci) FileVault tarafından şifrelenmiş bağlı bir diskle. Keynd programı daha sonra FileVault AES anahtarlarını hatasız olarak otomatik olarak buldu.

Başlatma vektörü olmadan, ancak alınan AES anahtarıyla, her disk bloğunun (ilk AES bloğu hariç her şey) 4096 baytından 4080'inin şifresini çözmek mümkün hale gelir. Başlatma vektörünün de dökümde olduğundan emin olduk. Verilerin bozulmadığını varsayarsak, bir saldırgan dökümdeki tüm 160 bitlik dizeleri tek tek deneyerek ve bloğun şifresi çözülmüş ilk bölümüyle ikili eklendiğinde olası bir düz metin oluşturup oluşturamayacaklarını kontrol ederek vektörü belirleyebilir. vilefault, AES anahtarları ve bir başlatma vektörü gibi programları birlikte kullanmak, şifrelenmiş bir diskin şifresini tamamen çözmenize olanak tanır.

FileVault'u araştırırken, Mac OS X 10.4 ve 10.5'in bir kullanıcının parolasının birden çok kopyasını bu saldırıya karşı savunmasız oldukları bellekte bıraktığını bulduk. Hesap parolaları genellikle anahtarları korumak için kullanılır ve bu parolalar da FileVault şifreli sürücülerdeki parolaları korumak için kullanılabilir.

TrueCrypt

TrueCrypt, Windows, MacOS ve Linux üzerinde çalışan popüler bir açık kaynaklı şifreleme sistemidir. AES, Serpent ve Twofish gibi birçok algoritmayı destekler. 4. versiyonda, tüm algoritmalar LRW modunda çalıştı; mevcut 5. versiyonda XTS modunu kullanıyorlar. TrueCrypt, şifreleme anahtarını ve ince ayar anahtarını, kullanıcının girdiği paroladan türetilen farklı bir anahtarla şifrelenen her sürücüdeki bölüm başlığında saklar.

Linux işletim sistemi altında çalışan TrueCrypt 4.3a ve 5.0a'yı test ettik. 256 bit AES anahtarıyla şifrelenmiş bir diski bağladık, ardından gücü kapattık ve önyükleme için kendi bellek dökümü yazılımımızı kullandık. Her iki durumda da keyfind, 256 bit bozulmamış bir şifreleme anahtarı buldu. Ayrıca, TrueCrypt 5.0.a söz konusu olduğunda, keyfind, XTS modu ince ayar anahtarını kurtarabildi.

TrueCrypt 4 tarafından oluşturulan disklerin şifresini çözmek için LRW modu anahtarında ince ayar yapmanız gerekir. Sistemin bunu anahtar AES anahtar programından önce dört kelimede sakladığını bulduk. Dökümümüzde, LRW anahtarı bozuk değildi. (Hata durumunda, anahtarı yine de kurtarabiliriz).

Dm-kript

Sürüm 2.6 ile başlayan Linux çekirdeği, bir disk şifreleme alt sistemi olan dm-crypt için yerleşik destek içerir. Dm-crypt birçok algoritma ve mod kullanır, ancak varsayılan olarak, anahtar tabanlı olmayan başlatma vektörleriyle CBC modunda 128 bitlik bir AES şifresi kullanır.

Oluşturulan dm-crypt bölümünü, cryptsetup yardımcı programının LUKS (Linux Unified Key Setup) dalını ve 2.6.20 çekirdeğini kullanarak test ettik. Disk, CBC modunda AES kullanılarak şifrelendi. Bir süreliğine gücü kapattık ve değiştirilmiş bir PXE önyükleyici kullanarak bir bellek dökümü yaptık. Keyfind programı, hatasız olarak kurtarılan geçerli bir 128 bit AES anahtarı buldu. Bir saldırgan, kurtardıktan sonra, cryptsetup yardımcı programını anahtarları gerekli biçimde kabul edecek şekilde değiştirerek dm-crypt şifreli bölümün şifresini çözebilir ve bağlayabilir.

Koruma yöntemleri ve sınırlamaları

Kullanılan kriptografik anahtarların bir yerde saklanması gerektiğinden, RAM'e yönelik saldırılara karşı korumanın uygulanması önemsiz değildir. Bir saldırgan PC'ye fiziksel erişim elde etmeden önce anahtarları yok etmeye veya gizlemeye odaklanmayı, ana bellek dökümü yazılımının çalışmasını engellemeyi, RAM yongalarını fiziksel olarak korumayı ve mümkünse RAM'de veri tutma süresini kısaltmayı öneriyoruz.

Bellek üzerine yazma

Her şeyden önce, mümkünse anahtarları RAM'de depolamaktan kaçınmak gerekir. Artık kullanılmadığında anahtar bilgilerinin üzerine yazmak ve verilerin takas dosyalarına kopyalanmasını önlemek gerekir. Bellek, işletim sistemi veya ek kitaplıklar aracılığıyla önceden temizlenmelidir. Doğal olarak, bu önlemler kullanılanları korumaz. şu ançünkü şifrelenmiş diskler veya güvenli web sunucuları için kullanılanlar gibi bellekte saklanmaları gerekir.

Ayrıca, önyükleme işlemi sırasında RAM'in temizlenmesi gerekir. Bazı PC'ler, işletim sistemini başlatmadan önce net bir POST isteği (Açılışta Kendi Kendini Sınama) kullanarak önyükleme sırasında RAM'i temizleyecek şekilde yapılandırılabilir. Saldırgan yürütmeyi engelleyemezse verilen istek, o zaman bu bilgisayarda önemli bilgiler içeren bir bellek dökümü yapamayacaktır. Ancak yine de RAM yongalarını çıkarıp ihtiyacı olan BIOS ayarlarına sahip başka bir PC'ye takma fırsatına sahip.

Ağdan veya çıkarılabilir medyadan indirmeleri kısıtlama

Saldırılarımızın çoğu, ağ önyüklemesi veya çıkarılabilir medya kullanılarak uygulandı. PC, bu kaynaklardan önyükleme yapmak için bir yönetici parolası gerektirecek şekilde yapılandırılmalıdır. Ancak, sistem yalnızca ana sabit sürücüden önyükleme yapacak şekilde yapılandırılmış olsa bile, bir saldırganın sabit sürücüyü değiştirebileceği veya çoğu durumda bilgisayarın NVRAM'ını sıfırlayarak eski haline geri dönebileceği unutulmamalıdır. başlangıç ​​ayarları BIOS.

Güvenli Uyku

Çalışmanın sonuçları, PC masaüstünü basitçe kilitlemenin (yani, işletim sistemi çalışmaya devam eder, ancak onunla etkileşime başlamak için bir şifre girilmesi gerekir) RAM içeriğini korumadığını gösterdi. Bilgisayar uyku modundan çıkarken bloke edilse bile uyku modu etkili değildir çünkü bir saldırgan uyku modundan dönüşü etkinleştirebilir, ardından dizüstü bilgisayarı yeniden başlatıp bellek dökümü yapabilir. Hazırda bekletme modu (RAM'in içeriği sabit diske kopyalanır), normal çalışmayı geri yüklemek için yabancılaştırılmış ortamdaki önemli bilgilerin kullanılması dışında da yardımcı olmaz.

Çoğu sabit disk şifreleme sisteminde, kullanıcılar PC'yi kapatarak kendilerini koruyabilirler. (PC açıldığında disk otomatik olarak bağlanacağından, TPM modülünün temel modundaki Bitlocker sistemi savunmasız kalır). Belleğin içeriği kapatıldıktan sonra kısa bir süre saklanabilir, bu nedenle iş istasyonunuzu birkaç dakika daha izlemeniz önerilir. Etkinliğine rağmen, iş istasyonlarının uzun süre yüklenmesi nedeniyle bu önlem son derece elverişsizdir.

Hazırda bekletme aşağıdaki şekillerde güvence altına alınabilir: iş istasyonunu "uyandırmak" için bir parola veya başka bir sır gerektirir ve bu paroladan türetilen bir anahtarla bellek içeriğini şifreler. Saldırgan belleği boşaltabileceği ve ardından kaba kuvvetle parolayı tahmin etmeye çalışabileceği için parola güçlü olmalıdır. Tüm belleği şifrelemek mümkün değilse, yalnızca anahtar bilgileri içeren alanların şifrelenmesi gerekir. Bazı sistemler, genellikle varsayılan ayar olmasa da, bu tür korumalı uykuya girecek şekilde yapılandırılabilir.

Ön hesaplamaların reddi

Araştırmamız, kriptografik işlemleri hızlandırmak için ön hesaplama kullanmanın önemli bilgileri daha savunmasız hale getirdiğini göstermiştir. Ön hesaplama, bellekte anahtar veriler hakkında fazladan bilgi bulunmasına yol açar, bu da bir saldırganın hatalar olsa bile anahtarları kurtarmasına olanak tanır. Örneğin, Bölüm 5'te açıklandığı gibi, AES ve DES algoritmalarının yineleme anahtarları hakkındaki bilgiler son derece gereksizdir ve bir saldırgan için yararlıdır.

Potansiyel olarak karmaşık hesaplamaların tekrarlanması gerekeceğinden, ön hesaplamaların reddedilmesi performansı düşürecektir. Ancak örneğin önceden hesaplanmış değerleri belirli bir süre önbelleğe alabilir ve alınan verileri bu aralıkta kullanılmazlarsa silebilirsiniz. Bu yaklaşım, güvenlik ve sistem performansı arasında bir uzlaşmayı temsil eder.

Anahtar genişletme

Anahtar kurtarmayı önlemenin bir başka yolu da, bellekte saklanan anahtar bilgilerinin, çeşitli hatalar nedeniyle anahtar kurtarmayı zorlaştıracak şekilde değiştirilmesidir. Bu yöntem, tek yönlü işlevlerin çalışmasına çok benzeyen, çıktıların neredeyse tamamı keşfedilse bile girdileri gizli kalan bir işlevin ifşaya karşı dirençli olduğunun gösterildiği teoride kabul edildi.

Uygulamada, şu anda kullanımda olmayan ancak daha sonra ihtiyaç duyulacak 256 bitlik bir AES anahtarımız olduğunu hayal edin. Üzerine yazamayız, ancak onu kurtarma girişimlerine karşı dayanıklı hale getirmek istiyoruz. Bunu başarmanın bir yolu, büyük bir B-bit veri alanı tahsis etmek, onu rasgele veri R ile doldurmak ve ardından aşağıdaki K + H (R) dönüşümünün sonucunu bellekte depolamaktır (ikili toplam, ed.), burada H SHA-256 gibi bir sağlama işlevidir.

Şimdi elektriğin kesildiğini hayal edin, bu, bu alandaki d bitlerinin değişmesine neden olacaktır. Hash işlevi güçlüyse, K anahtarını kurtarmaya çalışırken, bir saldırgan yalnızca B alanının değişebilecek yaklaşık yarısından hangi bitlerinin değiştirildiğini tahmin edebilmesine güvenebilir. d bitleri değiştirilmişse, saldırganın doğru R değerlerini bulmak için (B/2+d)/d boyutunda bir bölge araması ve ancak o zaman K anahtarını kurtarması gerekecektir. B bölgesi büyükse d nispeten küçük olsa bile, böyle bir arama çok uzun olabilir.

Teorik olarak, tüm anahtarları bu şekilde saklayabiliriz, her anahtarı yalnızca ihtiyacımız olduğunda hesaplayabilir ve ihtiyacımız olmadığında onu silebiliriz. Böylece yukarıdaki yöntemi uygulayarak anahtarları bellekte saklayabiliriz.

Fiziksel koruma

Saldırılarımızdan bazıları, bellek yongalarına fiziksel erişim sağlamaya dayanıyordu. Bu tür saldırılar önlenebilir fiziksel koruma hafıza. Örneğin, bellek modülleri, çıkarılma veya bunlara erişme girişimlerini önlemek için kapalı bir bilgisayar kasası içinde tutulur veya epoksi ile kapatılır. Ayrıca, düşük sıcaklıklara veya kasayı açma girişimlerine yanıt olarak belleğin üzerine yazılması da mümkündür. Bu yöntem, bağımsız bir güç kaynağı sistemine sahip sensörlerin kurulumunu gerektirecektir. Bu yöntemlerin çoğu kurcalamaya dayanıklı donanımlar (IBM 4758 yardımcı işlemcisi gibi) içerir ve bir iş istasyonunun maliyetini büyük ölçüde artırabilir. Öte yandan, lehimlenmiş bellek kullanımı anakart, çok daha ucuz olacak.

mimari değişikliği

PC mimarisini değiştirebilirsiniz. Halihazırda kullanılmış PC'ler için bu imkansızdır, ancak yenilerini korumanıza izin verecektir.

İlk yaklaşım, DRAM modüllerini tüm verileri daha hızlı silecek şekilde tasarlamaktır. Verileri mümkün olan en kısa sürede silme hedefi, diğer bellek yenileme dönemleri arasında veri kaybetmeme hedefiyle çeliştiğinden, bu aldatıcı olabilir.

Başka bir yaklaşım, başlatma, yeniden başlatma ve kapatma sırasında deposundaki tüm bilgileri silmesi garanti edilen anahtar depolama donanımı eklemektir. Böylece, birkaç anahtarı depolamak için güvenli bir yer elde edeceğiz, ancak ön hesaplamalarıyla ilgili güvenlik açığı devam edecek.

Diğer uzmanlar, belleğin içeriğinin kalıcı olarak şifreleneceği bir mimari önerdiler. Buna ek olarak, yeniden başlatma ve elektrik kesintisinde anahtarların silinmesini uygularsak, bu yöntem tarif ettiğimiz saldırılara karşı yeterli koruma sağlayacaktır.

Güvenilir Bilgi İşlem

Örneğin TPM modülleri biçimindeki "güvenilir bilgi işlem" kavramına karşılık gelen donanım, bazı bilgisayarlarda halihazırda kullanılmaktadır. Bu tür donanımlar, bazı saldırılara karşı korunmada yararlı olmalarına rağmen, mevcut haliyle, anlattığımız saldırıları engellemeye yardımcı olmuyor.

Kullanılan TPM modülleri tam şifreleme uygulamaz. Bunun yerine, anahtarı RAM'e önyüklemenin güvenli olup olmadığına karar vermek için önyükleme sürecini izlerler. Yazılımın bir anahtar kullanması gerekiyorsa, aşağıdaki teknoloji uygulanabilir: kullanılabilir bir biçimdeki anahtar, önyükleme işlemi beklenen senaryoya göre gidene kadar RAM'de depolanmayacaktır. Ancak, anahtar RAM'e girer girmez, anında saldırılarımız için bir hedef haline gelir. TPM modülleri, anahtarın belleğe yüklenmesini engelleyebilir, ancak bellekten okunmasını engellemez.

sonuçlar

Sanılanın aksine, DRAM modülleri devre dışı bırakıldığında nispeten uzun süre veri depolar. Deneylerimiz, bu fenomenin, işletim sisteminin içeriğini koruma girişimlerine rağmen RAM'den şifreleme anahtarları gibi önemli verileri almanıza izin veren tüm bir saldırı sınıfının uygulanmasını mümkün kıldığını göstermiştir. Anlattığımız saldırılar pratikte gerçekleştirilebilir ve popüler şifreleme sistemlerine yönelik saldırı örneklerimiz bunu kanıtlıyor.

Ancak diğer yazılım türleri de savunmasızdır. Dijital hak yönetimi (DRM) sistemleri genellikle bellekte saklanan simetrik anahtarlar kullanır ve bunlar da açıklanan yöntemlerle elde edilebilir. Gösterdiğimiz gibi, SSL özellikli web sunucuları da savunmasızdır çünkü SSL oturumları oluşturmak için gereken özel anahtarları bellekte depolarlar. Anahtar bilgileri arama yöntemlerimiz muhtemelen parolaları, hesap numaralarını ve diğer bilgileri bulmakta etkili olacaktır. önemli bilgi RAM'de saklanır.

hayır gibi görünüyor kolay yol bulunan güvenlik açıklarını düzeltin. Yazılımın değiştirilmesi büyük olasılıkla etkili olmayacaktır; donanım değişiklikleri yardımcı olacaktır, ancak zaman ve kaynak maliyetleri yüksek olacaktır; Mevcut haliyle "güvenilir bilgi işlem" teknolojisi de bellekteki anahtarları koruyamadığı için çok etkili değil.

Bize göre, genellikle halka açık yerlerde bulunan ve bu saldırılara karşı savunmasız modlarda çalışan dizüstü bilgisayarlar bu riske en çok maruz kalanlardır. Bu tür risklerin varlığı, disk şifrelemenin önemli verileri genel olarak inanıldığından daha az koruduğunu göstermektedir.

Sonuç olarak, DRAM belleğini modern bir bilgisayarın güvenilmeyen bir bileşeni olarak düşünmeniz ve içindeki önemli gizli bilgileri işlemekten kaçınmanız gerekebilir. Ancak şu anda, modern bilgisayarların mimarisi, yazılımların anahtarları güvenli bir yerde saklamasına izin verecek şekilde değişene kadar bu pratik değildir.

açık kaynak kodu büyük satıcılardan bağımsız olması nedeniyle 10 yıldır popüler olmuştur. Programın yaratıcıları herkes tarafından bilinmiyor. Programın en ünlü kullanıcıları arasında Edward Snowden ve güvenlik uzmanı Bruce Schneier yer alıyor. Yardımcı program, bir flash sürücüyü veya HDD gizli bilgilerin meraklı gözlerden saklandığı güvenli bir şifreli kasaya.

Yardımcı programın gizemli geliştiricileri, 28 Mayıs Çarşamba günü TrueCrypt kullanmanın güvensiz olduğunu açıklayarak projenin kapatıldığını duyurdu. “UYARI: TrueCrypt kullanmak güvenli değildir çünkü program yamalanmamış güvenlik açıkları içerebilir" - böyle bir mesaj SourceForge portalındaki ürün sayfasında görülebilir. Bunu başka bir itiraz izler: "TrueCrypt'te şifrelenmiş tüm verileri, platformunuzda desteklenen şifrelenmiş disklere veya sanal disk görüntülerine aktarmalısınız."

Bağımsız güvenlik uzmanı Graham Cluley mevcut durum hakkında oldukça mantıklı bir yorum yaptı: "Dosyaları ve sabit sürücüleri şifrelemek için alternatif bir çözüm bulmanın zamanı geldi."

Şaka yapmıyorum!

Başlangıçta, programın web sitesinin siber suçlular tarafından hacklendiğine dair öneriler vardı, ancak şimdi bunun bir aldatmaca olmadığı anlaşılıyor. SourceForge web sitesi artık TrueCrypt'in güncellenmiş bir sürümünü sunmaktadır (ki bu elektronik imza geliştiriciler), yükleme sırasında BitLocker'a veya başka bir alternatif araca yükseltme yapmanızı ister.

Johns Hopkins Üniversitesi kriptografi profesörü Matthew Green, "Bilinmeyen bir bilgisayar korsanının TrueCrypt geliştiricilerini tanımlaması, dijital imzalarını çalması ve sitelerine girmesi pek olası değil" dedi.

Şimdi ne kullanmalı?

Programın kendisindeki web sitesi ve açılır bildirim, TrueCrypt ile şifrelenmiş dosyaları Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise ve Windows 8 Pro/Enterprise ile birlikte gelen Microsoft'un BitLocker hizmetine aktarmak için talimatlar içerir. TrueCrypt 7.2, dosyaların şifresini çözmenize izin verir, ancak yeni şifrelenmiş bölümler oluşturmanıza izin vermez.

Programın en belirgin alternatifi BitLocker'dır, ancak başka seçenekler de vardır. Schneier, Symantec'in PGPDisk'ini kullanmaya geri döndüğünü paylaştı. (kullanıcı lisansı başına 110 ABD doları), iyi bilinen ve kanıtlanmış PGP şifreleme yöntemini kullanır.

başkaları da var ücretsiz alternatifler DiskCryptor gibi Windows için. araştırmacı bilgisayar Güvenliği, geçen yıl The Grugq olarak bilinen, bugün hala geçerli olan bir bütün derledi.

SANS Teknoloji Enstitüsü Araştırma Direktörü Johannes Ulrich, Mac OS X kullanıcılarının OS X 10.7 (Lion) ve sonrasında yerleşik olan FileVault 2'ye göz atmalarını tavsiye ediyor. FileVault, ABD Ulusal Güvenlik Dairesi (NSA) tarafından kullanılan 128 bit XTS-AES şifrelemesini kullanır. Ulrich'e göre, Linux kullanıcıları sistemin yerleşik Linux Birleşik Anahtar Kurulumu (LUKS) aracına bağlı kalmalıdır. Ubuntu kullanıyorsanız, bu işletim sisteminin yükleyicisi zaten en baştan tam disk şifrelemeyi etkinleştirmenize izin veriyor.

Ancak, kullanıcıların farklı işletim sistemlerine sahip bilgisayarlarda kullanılan diğer taşınabilir ortam şifreleme uygulamalarına ihtiyacı olacaktır. Ulrich bu durumda akla geldiğini söyledi.

Alman şirketi Steganos kullanmayı teklif ediyor eski versiyon Steganos Safe şifreleme yardımcı programı ( şimdiki versiyonuşu anda - 15 ve ücretsiz olarak dağıtılan sürüm 14'ün kullanılması önerilir).

Bilinmeyen güvenlik açıkları

TrueCrypt'in güvenlik açıklarına sahip olabileceği gerçeği, özellikle programın denetiminin bu tür sorunları ortaya çıkarmadığı düşünüldüğünde ciddi endişeler uyandırıyor. Programın kullanıcıları, ABD Ulusal Güvenlik Teşkilatı'nın önemli miktarda şifrelenmiş veriyi çözebileceğine dair söylentilerin ardından bir denetim yapmak için 70.000 dolar biriktirdi. TrueCrypt yükleyicisini analiz eden çalışmanın ilk aşaması geçen ay gerçekleştirildi. Denetim, herhangi bir arka kapı veya kasıtlı güvenlik açığı ortaya çıkarmadı. Kullanılan kriptografi yöntemlerini test etmek olan çalışmanın bir sonraki aşaması bu yaz için planlandı.

Green, denetime katılan uzmanlardan biriydi. Geliştiricilerin projeyi kapatmayı planladıklarına dair önceden bilgisi olmadığını söyledi. Green şunları söyledi: "TrueCrypt geliştiricilerinden duyduğum son şey şuydu: "2. Aşama denemesinin sonuçlarını dört gözle bekliyoruz. Çabalarınız için teşekkürler! TrueCrypt projesinin sonlandırılmasına rağmen denetimin planlandığı gibi devam edeceği belirtilmelidir.

Belki de programın yaratıcıları, yardımcı program eski olduğu için geliştirmeyi askıya almaya karar verdiler. Geliştirme 5 Mayıs 2014'te durduruldu, yani. desteğin resmi olarak sona ermesinden sonra Windows sistemleri xp. SoundForge şunu belirtiyor: "Windows 8/7/Vista ve sonraki sürümleri, diskler ve sanal disk görüntüleri için yerleşik şifrelemeye sahiptir." Bu nedenle, veri şifreleme birçok işletim sisteminde yerleşiktir ve geliştiriciler programın artık gerekli olmadığını düşünebilir.

Yangına yakıt eklemek için, 19 Mayıs'ta TrueCrypt'in güvenli Tails sisteminden (Snowden'ın favori sistemi) kaldırıldığını not ediyoruz. Cluley, nedeninin tam olarak açık olmadığını, ancak programın kesinlikle kullanılmaması gerektiğini belirtti.

Cluley ayrıca, "İster bir dolandırıcılık, ister bir bilgisayar korsanlığı veya TrueCrypt'in yaşam döngüsünün mantıksal sonu olsun, bilinçli kullanıcıların fiyaskodan sonra verilerini bir programa emanet etmekte rahat hissetmeyecekleri açıktır."

Bu, blogumuzdaki VeraCrypt'e ayrılmış beş makaleden dördüncüsüdür, ayrıntılı olarak analiz edilmiş ve verilmiştir. adım adım talimat VeraCrypt kullanarak yüklü Windows işletim sistemiyle bir sistem bölümünün veya tüm diskin nasıl şifreleneceği.

Sistem dışı bir sabit sürücüyü nasıl şifreleyeceğinizi, tek tek dosyaları veya tüm USB flash sürücüyü nasıl şifreleyeceğinizi arıyorsanız ve VeraCrypt hakkında daha fazla bilgi edinmek istiyorsanız şu bağlantılara göz atın:

Bu şifreleme en güvenli olanıdır, çünkü geçici dosyalar, hazırda bekletme dosyası (uyku modu), takas dosyası ve diğerleri dahil olmak üzere kesinlikle tüm dosyalar her zaman şifrelenir (beklenmedik bir elektrik kesintisi durumunda bile). dergi işletim sistemi ve birçok önemli verinin saklandığı kayıt defteri de şifrelenecektir.

Sistem şifreleme, önyükleme öncesi kimlik doğrulaması yoluyla çalışır. Windows'unuz önyüklemeye başlamadan önce, işletim sisteminin tüm dosyalarını içeren diskin sistem bölümünün şifresini çözen bir parola girmeniz gerekecektir.

Bu işlevsellik, standart sistem önyükleyicisinin yerini alan VeraCrypt önyükleyici kullanılarak uygulanır. VeraCrypt Rescue Disk kullanarak, sabit diskin önyükleme sektörünün ve dolayısıyla önyükleyicinin kendisinin hasar görmesi durumunda sistemi önyükleyebilirsiniz.

İşletim sistemi çalışırken sistem bölümünün anında şifrelendiğini lütfen unutmayın. İşlem devam ederken, bilgisayarınızı her zamanki gibi kullanabilirsiniz. Yukarıdakiler şifre çözme için de geçerlidir.

Sistem disk şifrelemesinin desteklendiği işletim sistemlerinin listesi:

• Windows 10
• Windows 8 ve 8.1
• Windows 7
• Windows Vista (SP1 veya üstü)
• Windows XP
• Windows Server 2012
• Windows Server 2008 ve Windows Server 2008 R2 (64 bit)
• Windows Sunucusu 2003

Bizim durumumuzda, bir Windows 10 bilgisayarı tek bir sürücüyle şifreliyoruz C:\

Adım 1 — Sistem Bölümünü Şifreleme

VeraCrypt'i başlatın, ana program penceresinde Sistem sekmesine gidin ve ilk menü öğesini seçin Sistem bölümünü/sürücüyü şifrele (Sistem bölümünü/diski şifrele).

Adım 2 - Şifreleme Türünü Seçme

Varsayılan türü bırakın Normal (Sıradan) gizli bir bölüm veya gizli bir işletim sistemi oluşturmak istiyorsanız, ek özelliklere ayrılmış VeraCrypt'e dikkat edin. Tıklamak Sonraki

Adım 3 - Şifreleme Alanı

Bizim durumumuzda, diskte tüm boş alanı kaplayan yalnızca bir bölümümüz olduğundan, tüm diski veya yalnızca sistem bölümünü şifrelemek çok önemli değildir. Fiziksel diskinizin birkaç bölüme ayrılmış olması mümkündür, örneğin C:\ Ve D:\. Durum buysa ve her iki bölümü de şifrelemek istiyorsanız, Tüm sürücüyü şifrele (Tüm sürücüyü şifrele).

Yüklü birden çok fiziksel sürücünüz varsa, her birini ayrı ayrı şifrelemeniz gerekeceğini lütfen unutmayın. Bu talimatı kullanan bir sistem bölümü olan bir disk. Bir veri diskinin nasıl şifreleneceği yazılır.

Tüm diski mi yoksa sadece sistem bölümünü mü şifrelemek istediğinizi seçin ve düğmesine tıklayın Sonraki.

Adım 4 - Gizli Bölümleri Şifreleme

Seçme Evet evet) cihazınızda bilgisayar üreticisinin yardımcı programları ile gizli bölümler varsa ve bunları şifrelemek istiyorsanız, bu genellikle gerekli değildir.

Adım 5 - İşletim sistemi sayısı

Bilgisayara aynı anda birkaç işletim sistemi yüklendiğinde durumu analiz etmeyeceğiz. Seç ve tıkla Sonraki.

Adım 6 - Şifreleme Ayarları

Şifreleme ve karma algoritma seçimi, ne seçeceğinizden emin değilseniz değerleri bırakın AES Ve SHA-512 varsayılan olarak en güçlü seçenek olarak.

Adım 7 - Şifre

Bu önemli bir adımdır, burada şifreli sisteme erişmek için kullanılacak güçlü bir şifre oluşturmanız gerekir. İyi bir parolanın nasıl seçileceğine ilişkin Create Volume Wizard penceresindeki geliştiricilerin önerilerini dikkatlice okumanızı öneririz.

Adım 8 - Rastgele veri toplayın

Bu adım, daha önce girilen parolaya dayalı bir şifreleme anahtarı oluşturmak için gereklidir, fareyi ne kadar uzun süre hareket ettirirseniz, ortaya çıkan anahtarlar o kadar güvenli olur. En azından gösterge yeşile dönene kadar fareyi rastgele hareket ettirin, ardından tıklayın Sonraki.

Adım 9 - Oluşturulan Anahtarlar

Bu adım size şifreleme anahtarlarının, bağlamanın (salt) ve diğer parametrelerin başarıyla oluşturulduğunu bildirir. Bu bilgilendirme amaçlı bir adımdır, tıklayın Sonraki.

Adım 10 - Kurtarma Diski

Kaydedileceği yolu belirtin ISO görüntüsü kurtarma diski (kurtarma diski) VeraCrypt önyükleyici bozuksa bu görüntüye ihtiyacınız olabilir, ancak yine de doğru parolayı girmeniz gerekiyor.

Kurtarma diski görüntüsünü çıkarılabilir bir ortama (örneğin bir USB flash sürücü) kaydedin veya bir optik diske yazın (önerilen) ve tıklayın Sonraki.

Adım 11 - Kurtarma sürücüsü oluşturuldu

Not! Her şifrelenmiş sistem bölümü, kendi kurtarma diskini gerektirir. Oluşturduğunuzdan ve çıkarılabilir medyada sakladığınızdan emin olun. Kurtarma sürücüsünü aynı şifrelenmiş sistem sürücüsünde saklamayın.

Teknik arızalar ve donanım sorunları olması durumunda verilerin şifresini çözmenize yalnızca bir kurtarma diski yardımcı olabilir.

Adım 12 - Temizleme boş alan

Boş alanı temizlemek, önceden silinmiş verileri diskten kalıcı olarak silmenizi sağlar ve bu, özel teknikler kullanılarak geri yüklenebilir (özellikle geleneksel manyetik sabit sürücüler için geçerlidir).

Bir SSD sürücüsünü şifreliyorsanız 1 veya 3 geçiş seçin, manyetik diskler için 7 veya 35 geçiş öneririz.

Lütfen bu işlemin toplam disk şifreleme süresini etkileyeceğini unutmayın, bu nedenle diskinizde daha önce silinmiş önemli veriler yoksa işlemi reddedin.

için 7 veya 35 geçişi seçmeyin. SSD sürücüler, manyetik kuvvet mikroskobu SSD durumunda çalışmaz, 1 geçiş yeterlidir.

Adım 13 - Sistem Şifreleme Testi

Bir sistem şifreleme ön testi yapın ve VeraCrypt önyükleyici arayüzünün tamamen İngilizce olduğunu belirten mesajı okuyun.

Adım 14 - Windows önyükleme yapmazsa ne yapılmalı?

Kontrol edin veya daha iyisi, Windows yeniden başlatmanın ardından önyükleme yapmazsa ne yapılması gerektiği konusunda önerileri yazdırın (bu olur).

Tıklamak TAMAM mesajı okuduysanız ve anladıysanız.

Bir bilgisayarın gizlilik ve güvenlik gereksinimleri tamamen üzerinde depolanan verilerin doğası tarafından belirlenir. Bilgisayarınız bir eğlence istasyonu işlevi görüyorsa ve üzerinde birkaç oyuncak ve sevgili kedinizin fotoğraflarının olduğu bir baba dışında hiçbir şey yoksa bu bir şeydir ve sabit diskte potansiyel olarak ticari bir sır olan veriler varsa başka bir şeydir. rakiplerin ilgisini çekiyor.

İlk "savunma hattı", bilgisayar her açıldığında istenen sisteme giriş parolasıdır.

Bir sonraki koruma seviyesi, seviyedeki erişim haklarıdır. dosya sistemi. İzin ayrıcalıklarına sahip olmayan bir kullanıcı, dosyalara erişmeye çalışırken bir hata alır.

Bununla birlikte, açıklanan yöntemlerin son derece önemli bir dezavantajı vardır. Her ikisi de işletim sistemi düzeyinde çalışır ve biraz zamanınız varsa ve bilgisayara fiziksel erişiminiz varsa nispeten kolay bir şekilde atlanabilirler (örneğin, bir USB flash sürücüden önyükleme yaparak yönetici parolasını sıfırlayabilir veya dosya izinlerini değiştirebilirsiniz). Verilerin güvenliğine ve gizliliğine tam güven ancak kriptografinin başarıları güvenilir bir şekilde kullanıldığında elde edilebilir. Aşağıda bu tür korumanın iki yolunu ele alıyoruz.

Bugün ele alınan ilk yöntem, Microsoft'un yerleşik kripto koruması olacaktır. BitLocker adı verilen şifreleme, ilk olarak Windows 8'de ortaya çıktı. Onunla ayrı bir klasör veya dosyanın güvenliğini sağlamak için çalışmaz, yalnızca tüm sürücünün şifrelenmesi mümkündür. Bu, özellikle, sistem diskini şifrelemenin imkansız olduğu (sistem önyükleme yapamayacak), ayrıca "Belgelerim" gibi sistem kitaplıklarında önemli verilerin depolanmasının imkansız olduğu anlamına gelir (varsayılan olarak bunlar sistem bölümünde bulunur).
Yerleşik şifrelemeyi etkinleştirmek için aşağıdakileri yapın:

1. Dosya Gezgini'ni açın, şifrelenecek sürücüye sağ tıklayın ve "BitLocker'ı Etkinleştir"i seçin.
   
2. "Diskin kilidini açmak için bir parola kullanın" kutusunu işaretleyin, düşünün ve güvenlik gereksinimlerini karşılayan bir parolayı iki kez girin (en az 8 karakter uzunluğunda, küçük ve büyük harflerin varlığı, en az bir özel girilmesi arzu edilir) karakter) ve "İleri" düğmesine tıklayın. Akıllı kart okuyucuları oldukça nadir olduğundan ve kendi bilgi güvenliği hizmetine sahip kuruluşlarda kullanıldığından, bu notta ikinci kilit açma seçeneğini dikkate almayacağız.
   
3. Parolanızı kaybetmeniz durumunda, sistem size özel bir kurtarma anahtarı oluşturmayı teklif eder. eklenebilir hesap Microsoft, bir dosyaya kaydedin veya bir yazıcıya yazdırın. Yöntemlerden birini seçin ve anahtarı kaydettikten sonra "İleri" düğmesini tıklayın. Bu anahtar, unutkanlığınıza karşı bir sigorta olduğundan, verilerinizin sızacağı bir "arka kapı" olabileceğinden, dışarıdan gelenlere karşı korunmalıdır.
   
4. Bir sonraki ekranda, tüm sürücüyü mü yoksa yalnızca kullanılan alanı mı şifreleyeceğinizi seçin. İkinci nokta daha yavaştır, ancak daha güvenilirdir.
   
5. Bir şifreleme algoritması seçin. Diski bilgisayarlar arasında taşımayı planlamıyorsanız, daha kararlı en son modu seçin, aksi takdirde - uyumluluk modu.
   
6. Parametreleri ayarladıktan sonra, "Şifrelemeyi Başlat" düğmesine tıklayın.Bir süre bekledikten sonra, sürücünüzdeki veriler güvenli bir şekilde şifrelenecektir.
   
7. Oturumu kapattıktan veya yeniden başlattıktan sonra, korunan birime erişilemez hale gelir ve dosyaları açmak için bir parola gerekir.
   

Disk Şifreleyici

Bugün incelenen ikinci kriptografik yardımcı program, ücretsiz ve açık kaynaklı bir çözüm olan DiskCryptor'dur. Kullanmak için aşağıdaki talimatları izleyin:

1. Program yükleyiciyi bağlantıdaki resmi web sitesinden indirin. İndirilen dosyayı çalıştırın.
2. Yükleme işlemi son derece basittir, "İleri" düğmesine birkaç kez basmaktan ve son olarak bilgisayarı yeniden başlatmaktan oluşur.
   
   

   

   

   

   

3. Yeniden başlattıktan sonra, program klasöründen veya masaüstündeki kısayola tıklayarak DiskCryptor programını çalıştırın.
4. Açılan pencerede şifrelenecek diske tıklayın ve "Şifrele" butonuna tıklayın.
   
5. Bir sonraki adım, bir şifreleme algoritması seçmek ve şifrelemeden önce diskteki tüm verileri silmeniz gerekip gerekmediğine karar vermektir (bilgileri yok etmeyi planlamıyorsanız, "Silme Modu" listesinde "Yok" seçeneğini seçtiğinizden emin olun).
   
6. Şifre çözme parolasını iki kez girin ("Parola Derecelendirmesi" alanının en az "Yüksek" değerine sahip olması için karmaşık bir parola bulmanız önerilir). Ardından Tamam'ı tıklayın.
   
7. Biraz bekledikten sonra disk şifrelenecektir. Sistemi yeniden başlattıktan veya oturumu kapattıktan sonra, sisteme erişmek için yardımcı programı çalıştırmanız, "Bağla" veya "Tümünü Bağla" düğmesine tıklamanız, şifreyi girmeniz ve "Tamam" ı tıklamanız gerekir.
   

Bu yardımcı programın BitLocker mekanizmasına kıyasla şüphesiz avantajı, Windows 8'den önce çıkan sistemlerde kullanılabilmesidir (üretilmeyen Windows XP bile desteklenmektedir). Ancak DiskCryptor'ın birkaç önemli dezavantajı da vardır:

• şifrelenmiş bilgilere erişimi geri getirmenin bir yolu yoktur (şifrenizi unuttuysanız, verilerinizi kaybetmeniz garanti edilir);
• sadece şifre ile kilit açma desteklenir, akıllı kartların veya biyometrik sensörlerin kullanımı mümkün değildir;
• DiskCryptor kullanmanın belki de en büyük dezavantajı, sisteme yönetici erişimi olan bir saldırganın standart araçlar diski biçimlendir. Evet, verilere erişemeyecek, ancak siz de onları kaybedeceksiniz.

Özetle, bilgisayarda Windows 8'den başlayarak bir işletim sistemi kuruluysa, yerleşik işlevselliği kullanmanın daha iyi olduğunu söyleyebilirim.

Bir sabit sürücüyü veya bölümlerinden birini program ve fazla çaba harcamadan şifreleyin

Bugün, bir sabit sürücüyü veya tek tek bölümlerini karmaşık programlar ve özel çabalar kullanmadan nasıl şifreleyebileceğiniz sorusunu ele alacağız.

Peki, bir sabit sürücüyü (sabit sürücüyü) neden şifrelediği sorusu retoriktir.

Şifreleme hedefleri kullanıcılar için biraz farklılık gösterebilir, ancak genel olarak herkes, yetkisiz kişilerin bir bölüme veya tüm sabit sürücüye erişmesini engellemeye çalışır.

Yaygın siber suç zamanımızda anlaşılabilir bir durumdur ve aslında küçük bilgisayar kirli hileleri, önemli kişisel dosyalarınızı kaybedebilirsiniz.

Öyleyse, bir sabit sürücüyü veya bölümlerinden birini şifrelemenin en kolay yoluna bakalım.

Kullanacağımız yol:

Bitlocker şifrelemesi (Windows 7 Ultimate ve Enterprise'da yerleşiktir)

Öyleyse başlayalım. Bu sabit sürücüyü "kodlama" yöntemi, Windows'ta yerleşiktir ve Bitlocker olarak adlandırılır. Bu yöntemin avantajları:

• hiç gerek yok üçüncü taraf programları, ihtiyacımız olan her şey zaten işletim sisteminde (OS)
• Sabit sürücü çalındıysa, onu başka bir bilgisayara bağlamak yine de bir parola gerektirecektir.

Ayrıca son aşamada, erişim anahtarını kaydederken, yollardan biri onu bir USB flash sürücüye yazmaktır, böylece buna önceden karar vermeye değer.

Bu yöntemin kendisi Windows Vista'ya dahil edilmiştir. "Seven" da geliştirilmiş bir versiyonu var.

Birçoğu, Windows'u kurarken, daha önce 100 megabayt boyutunda küçük bir bölüm oluşturulduğunu gözlemleyebilir. yerel disk"C", artık ne için olduğunu biliyorsun.

Evet, yalnızca Bitlocker şifrelemesi için (Vista'da 1,5 gigabayt boyutundaydı).

Açmak için "Denetim Masası" - "Sistem ve Güvenlik" - "Bitlocker Sürücü Şifrelemesi"ne gidin.

Şifreleme için diske karar veriyoruz ve - "Bitlocker'ı Etkinleştir" i seçiyoruz.

Aşağıdaki görüntüdeki gibi bir mesaj çıkarsa, sistem ayarlarında küçük değişiklikler yapmanız gerekir:

Bunu yapmak için arama çubuğundaki "Başlat" a "politika" yazıyoruz, arama seçenekleri beliriyor.

"Grup İlkesini Düzenle"yi seçin:

Aşağıdakileri izlememiz gereken düzenleyiciye giriyoruz: Bilgisayar Yapılandırması - Yönetim Şablonları - Windows Bileşenleri - Bitlocker Sürücü Şifrelemesi - İşletim Sistemi Sürücüleri. Sağda, - "Gerekli ek kimlik doğrulama" üzerine çift tıklayın:

Görünen menüde "Etkinleştir" i seçin, ayrıca "Bitlocker'ın uyumlu bir TPM olmadan kullanılmasına izin ver" kutusunu işaretlemeniz gerekir - ayarlarımızı onaylayın - Tamam.

Ayrıca şifreleme yöntemine de karar vermeniz gerekir. En karmaşık yöntemi koymamız gerekiyor.

Bunu yapmak için önceki paragraftakiyle aynı yolu izliyoruz, yalnızca sağdaki "Bitlocker Drive Encryption" klasöründe duruyoruz, dosyayı görüyoruz - "Disk şifreleme yöntemini ve şifre gücünü seçin".

Buradaki en güvenilir olanı 256 bit şifrelemeli AES'dir, onu seçin, "Uygula" ve "Tamam" tuşlarına basın.

Artık her şey şifreleme kullanmakta serbesttir.

Makalenin başında olduğu gibi, "Denetim Masası" - "Sistem ve Güvenlik" - "Bitlocker Sürücü Şifrelemesi" ne gidin. "Etkinleştir"i tıklayın.

erişimimiz olacak tek yol, bir anahtar gerektirir. Bir flash sürücüde olacak.

Ortaya çıkan anahtar her zamanki gibi yazılır Metin dosyası. Ardından, doğrulamayı etkinleştirmeniz, kutuyu işaretlemeniz ve "devam" etmeniz istenecektir.

Yeniden başlatma yapıyoruz. Her şey yolunda giderse, bir sonraki açışınızda, sabit disk bölümünü şifreleme işlemi başlayacaktır.

Zaman açısından, işlem, sistemin kapasitesine bağlı olarak sürecektir - genellikle birkaç dakikadan birkaç saate kadar (birkaç yüz gigabaytlık bir bölüm ise).

Tamamlandığında bir mesaj alırız - Şifreleme tamamlandı. Erişim anahtarlarını unutmayın, kontrol edin.

Herhangi bir üçüncü taraf programı ve kriptografi alanında derin bilgi birikimi olmadan bir sabit diski şifrelemenin çok basit bir yolunu inceledik.

Bu yöntem çok etkili ve kullanışlıdır, bir flash sürücüyü şifrelemek için de kullanılabilir, bu konuyu bir sonraki makalede ele alın.