Disk bölümlerini şifrelemek için bir program. VeraCrypt kullanarak tüm sabit diskinizi nasıl şifreleyebilirsiniz? VeraCrypt'i Windows'a yüklemek

Disk bölümlerini şifrelemek için bir program. VeraCrypt kullanarak tüm sabit diskinizi nasıl şifreleyebilirsiniz? VeraCrypt'i Windows'a yüklemek

Princeton Üniversitesi'ndeki araştırmacılar şifrelemeyi atlamanın bir yolunu keşfettiler. sabit sürücüler modüller özelliğini kullanarak rasgele erişim belleği Elektrik kesintisinden sonra bile bilgileri kısa bir süreliğine saklar.

Önsöz

Şifrelenmiş bir sabit sürücüye erişmek için bir anahtara ihtiyacınız olduğundan ve bu da elbette RAM'de saklandığından, gereken tek şey birkaç dakikalığına bilgisayara fiziksel erişim sağlamaktır. Harici olarak yeniden başlattıktan sonra sabit disk veya ile Flash bellek Tam bir bellek dökümü yapılır ve erişim anahtarı birkaç dakika içinde buradan çıkarılır.

Bu şekilde şifreleme anahtarlarını (ve tam erişim Windows Vista, Mac OS X ve Linux işletim sistemlerindeki BitLocker, FileVault ve dm-crypt programlarının yanı sıra popüler ücretsiz sabit sürücü şifreleme sistemi TrueCrypt tarafından kullanılan sabit sürücüye.

Bu çalışmanın önemi, bu hackleme yöntemine karşı, verilerin tamamen silinmesi için elektriğin yeterli bir süre kapatılması dışında tek bir basit koruma yönteminin bulunmamasından kaynaklanmaktadır.

Sürecin görsel bir gösterimi şurada sunulmuştur: video.

dipnot

Popüler inanışın aksine, DRAM belleği çoğu bilgisayarda kullanılır. modern bilgisayarlar, gücü birkaç saniye veya dakika kapattıktan sonra bile verileri saklar ve bu, oda sıcaklığında ve çip anakarttan çıkarılsa bile gerçekleşir. Bu sefer tam bir RAM dökümü almak için oldukça yeterli. Bu olgunun, sisteme fiziksel erişimi olan bir saldırganın, kriptografik anahtar verilerini korumak için işletim sistemi işlevlerini atlamasına olanak tanıdığını göstereceğiz. Herhangi bir özel donanım veya malzeme kullanmadan, bilinen sabit sürücü şifreleme sistemlerine başarılı bir şekilde saldırmak için yeniden başlatmanın nasıl kullanılabileceğini göstereceğiz. Artık mıknatıslanmanın korunma derecesi ve olasılığını deneysel olarak belirleyeceğiz ve verilerin alınabileceği sürenin önemli ölçüde artırılabileceğini göstereceğiz. basit teknikler. Bellek dökümlerinde kriptografik anahtarların aranması ve bit kaybıyla ilişkili hataların düzeltilmesi için de yeni yöntemler önerilecek. Bununla birlikte, bu riskleri azaltmanın çeşitli yolları da tartışılacaktır. basit çözüm bilmiyoruz.

giriiş

Uzmanların çoğu, bilgisayarın RAM'indeki verilerin, güç kapatıldıktan hemen sonra silindiğini veya kalan verilerin özel ekipman kullanılmadan geri getirilmesinin son derece zor olduğuna inanıyor. Bu varsayımların yanlış olduğunu göstereceğiz. Geleneksel DRAM belleği, normal sıcaklıklarda bile birkaç saniye içinde yavaş yavaş verileri kaybeder ve bellek yongası anakarttan çıkarılsa bile, yonganın düşük sıcaklıklarda saklanması koşuluyla veriler dakikalarca, hatta saatlerce içinde kalır. Artık veriler kullanılarak kurtarılabilir basit yöntemler bilgisayara kısa süreli fiziksel erişim gerektiren.

DRAM'in kalıcılık etkilerini kullanarak bellekte saklanan şifreleme anahtarlarını kurtarmamıza olanak tanıyan bir dizi saldırı göstereceğiz. Bu, sabit disk şifreleme sistemlerine güvenen dizüstü bilgisayar kullanıcıları için gerçek bir tehdit oluşturmaktadır. Sonuçta, bir saldırgan şifrelenmiş disk bağlıyken bir dizüstü bilgisayarı çalarsa, dizüstü bilgisayarın kendisi kilitli veya uyku modunda olsa bile içeriğe erişmek için saldırılarımızdan birini gerçekleştirebilecektir. Bunu, BitLocker, TrueCrypt ve FileVault gibi çeşitli popüler şifreleme sistemlerine başarılı bir şekilde saldırarak göstereceğiz. Bu saldırıların diğer şifreleme sistemlerine karşı da başarılı olması gerekmektedir.

Her ne kadar çabalarımızı sabit disk şifreleme sistemleri üzerinde yoğunlaştırmış olsak da, eğer bir saldırganın bilgisayara fiziksel erişimi varsa, RAM'de saklanan herhangi bir önemli bilgi saldırının hedefi haline gelebilir. Diğer birçok güvenlik sisteminin de savunmasız olması muhtemeldir. Örneğin, Mac OS X'in hesap şifrelerini bellekte bıraktığını, buradan çıkarabildiğimizi keşfettik ve ayrıca Apache web sunucusunun özel RSA anahtarlarını ele geçirmek için saldırılar gerçekleştirdik.

Bazı topluluk temsilcileri bilgi Güvenliği ve yarı iletken fizikçiler DRAM'in kalıcılık etkisini zaten biliyorlardı, bu konuda çok az bilgi vardı. Sonuç olarak, güvenlik sistemlerini tasarlayan, geliştiren veya kullanan pek çok kişi bu olguya ve bir saldırganın bu durumdan ne kadar kolay yararlanabileceğine aşina değildir. Bildiğimiz kadarıyla bu bir ilk detaylı çalışma bu olayların bilgi güvenliği açısından sonuçlarının incelenmesi.

Şifrelenmiş sürücülere saldırılar

Sabit sürücüleri şifrelemek, veri hırsızlığına karşı koruma sağlamanın iyi bilinen bir yöntemidir. Pek çok kişi, bir saldırgan bilgisayara fiziksel erişim sağlasa bile sabit disk şifreleme sistemlerinin verilerini koruyacağına inanıyor (aslında, editörün notu, bunların amacı da bu). 2002'de kabul edilen bir Kaliforniya eyalet yasası, kişisel verilerin olası ifşalarının yalnızca verilerin şifrelenmemiş olması durumunda raporlanmasını gerektirir, çünkü. Veri şifrelemenin yeterli bir koruyucu önlem olduğuna inanılmaktadır. Her ne kadar yasa herhangi bir spesifik teknik çözüm tanımlamasa da, birçok uzman sabit diskler veya bölmeler için yeterli koruma önlemi olarak kabul edilecek şifreleme sistemlerinin kullanılmasını önermektedir. Araştırmamızın sonuçları disk şifrelemeye olan inancın temelsiz olduğunu gösterdi. Veri içeren bir dizüstü bilgisayar açıkken veya uyku modundayken çalınırsa, vasıfsız bir saldırgan yaygın olarak kullanılan birçok şifreleme sistemini atlayabilir. Dizüstü bilgisayardaki veriler şifrelenmiş bir sürücüde olsa bile okunabilir, bu nedenle sabit disk şifreleme sistemlerini kullanmak yeterli bir önlem değildir.

Tanınmış sabit disk şifreleme sistemlerine çeşitli saldırı türleri kullandık. En çok zaman alan şey, şifrelenmiş diskleri kurmak ve tespit edilen şifreleme anahtarlarının doğruluğunu kontrol etmekti. RAM görüntüsünün alınması ve anahtarların aranması yalnızca birkaç dakika sürdü ve tamamen otomatikti. Çoğu sabit disk şifreleme sisteminin benzer saldırılara açık olduğuna inanmak için nedenler var.

BitLocker

BitLocker, Windows Vista'nın bazı sürümlerinde bulunan bir sistemdir. Dosya sistemi ile sabit sürücü sürücüsü arasında çalışan, isteğe bağlı olarak seçilen sektörleri şifreleyen ve şifresini çözen bir sürücü olarak işlev görür. Şifreleme için kullanılan anahtarlar, şifrelenmiş disk şifrelendiği sürece RAM'de kalır.

Bir sabit sürücünün her sektörünü şifrelemek için BitLocker, AES algoritması tarafından oluşturulan aynı anahtar çiftini kullanır: bir sektör şifreleme anahtarı ve şifre blok zincirleme (CBC) modunda çalışan bir şifreleme anahtarı. Bu iki anahtar da ana anahtarla şifrelenir. Bir sektörü şifrelemek için, sektör ofset baytının sektör şifreleme anahtarı ile şifrelenmesiyle oluşturulan oturum anahtarı ile düz metin üzerinde ikili ekleme işlemi gerçekleştirilir. Ortaya çıkan veriler daha sonra Microsoft tarafından geliştirilen Elephant algoritmasını kullanan iki karıştırma işlevi tarafından işlenir. Bu anahtarsız işlevler, tüm şifre bitlerindeki değişiklik sayısını artırmak ve buna bağlı olarak şifrelenmiş sektör verilerinin belirsizliğini artırmak için kullanılır. Son aşamada veriler CBC modunda AES algoritması ile uygun şifreleme anahtarı kullanılarak şifrelenir. Başlatma vektörü, sektör ofset baytının CBC modunda kullanılan şifreleme anahtarıyla şifrelenmesiyle belirlenir.

BitUnlocker adında tam otomatik bir demo saldırısı uyguladık. Bu durumda harici bir USB diski Linux işletim sistemi ve SYSLINUX tabanlı değiştirilmiş bir önyükleyici ve BitLocker şifreli sürücüleri Linux işletim sistemine bağlamanıza olanak tanıyan FUSE sürücüsü ile. Windows Vista çalıştıran bir test bilgisayarında güç kapatıldı, bir USB sabit sürücü bağlandı ve buradan başlatıldı. Bundan sonra BitUnlocker RAM'i otomatik olarak Harici Sürücü Keyfind programını kullanarak olası anahtarları aradım, tüm uygun seçenekleri denedim (sektör şifreleme anahtarı ve CBC modu anahtarı çiftleri) ve başarılı olursa şifrelenmiş diski bağladım. Disk bağlanır bağlanmaz, diğer diskler gibi onunla çalışmak mümkün hale geldi. 2 gigabayt RAM'e sahip modern bir dizüstü bilgisayarda işlem yaklaşık 25 dakika sürdü.

dikkat çekicidir ki bu saldırı herhangi bir yazılımı tersine mühendislik yapmadan gerçekleştirmek mümkün hale geldi. Belgelerde Microsoft sistemi BitLocker, sektör şifreleme anahtarının ve CBC mod anahtarının rolünü anlamak ve tüm süreci uygulayan kendi programınızı oluşturmak için yeterince açıklanmıştır.

BitLocker ile bu sınıftaki diğer programlar arasındaki temel fark, şifrelenmiş sürücünün bağlantısı kesildiğinde anahtarların saklanma şeklidir. Varsayılan olarak, temel modda BitLocker ana anahtarı yalnızca birçok modern bilgisayarda bulunan TPM modülünü kullanarak korur. Bu method Yaygın olarak kullanıldığı görülen . herhangi bir kimlik doğrulama verisi girmeden oturum açma penceresi sistemde görünür.

Görünüşe göre, Microsoft uzmanları bu soruna aşinadır ve bu nedenle BitLocker'ı, anahtarların yalnızca TPM kullanılarak değil, aynı zamanda harici bir USB sürücüsündeki bir parola veya anahtarla da korunduğu gelişmiş bir modda yapılandırmanızı önermektedir. Ancak, bu modda bile, bir saldırganın çalıştığı anda bilgisayara fiziksel erişim sağlaması durumunda sistem savunmasızdır (kilitlenebilir veya uyku modunda bile olabilir (durumlar - bu durumda basitçe kapalı veya hazırda bekletme durumu dikkate alınır) bu saldırıya duyarlı değildir).

Dosya kasası

Apple'ın FileVault sistemi kısmen araştırıldı ve tersine mühendislik uygulandı. Mac OS X 10.4'te FileVault, CBC modunda 128 bit AES anahtarı kullanır. Kullanıcı şifresi girildiğinde, başlatma vektörlerini hesaplamak için kullanılan AES anahtarını ve ikinci K2 anahtarını içeren başlığın şifresi çözülür. I'inci disk bloğu için başlatma vektörü HMAC-SHA1 K2(I) olarak hesaplanır.

Macintosh bilgisayardan veri almak amacıyla RAM görüntüleri oluşturmak için EFI programımızı kullandık (tabanlı) Intel işlemci) FileVault tarafından şifrelenmiş takılı bir sürücüyle. Bundan sonra keyfind programı FileVault AES anahtarlarını hatasız olarak otomatik olarak buldu.

Bir başlatma vektörü olmadan, ancak ortaya çıkan AES anahtarıyla, her disk bloğunun 4096 baytının 4080'inin (ilk AES bloğu hariç tümü) şifresini çözmek mümkün hale gelir. Başlatma vektörünün de dökümde olduğundan emin olduk. Verilerin henüz bozulmadığını varsayarsak, bir saldırgan, dökümdeki tüm 160 bitlik dizeleri tek tek deneyerek ve bloğun şifresi çözülmüş ilk kısmına ikili eklendiğinde olası bir düz metin oluşturup oluşturamayacaklarını kontrol ederek vektörü belirleyebilir. . Vilefault, AES anahtarları ve başlatma vektörü gibi programları birlikte kullanmak, şifrelenmiş bir diskin şifresini tamamen çözmenize olanak tanır.

FileVault'u araştırırken, Mac OS X 10.4 ve 10.5'in, kullanıcının parolasının birden fazla kopyasını bellekte bıraktığını ve burada bu saldırıya karşı savunmasız olduklarını keşfettik. Hesap parolaları genellikle anahtarları korumak için kullanılır; bu parolalar da FileVault ile şifrelenmiş sürücülerin parolalarını korumak için kullanılabilir.

TrueCrypt

TrueCrypt popüler bir şifreleme sistemidir. açık kaynak, Windows, MacOS ve Linux'ta çalışıyor. AES, Serpent ve Twofish dahil birçok algoritmayı destekler. Versiyon 4'te tüm algoritmalar LRW modunda çalışıyordu; mevcut 5. versiyonda XTS modunu kullanıyorlar. TrueCrypt, şifreleme anahtarını saklar ve her sürücüdeki bölüm başlığındaki anahtarı değiştirir; bu anahtar, kullanıcı tarafından girilen paroladan türetilen farklı bir anahtarla şifrelenir.

Linux'ta çalışan TrueCrypt 4.3a ve 5.0a'yı test ettik. 256 bit AES anahtarıyla şifrelenmiş sürücüyü bağladık, ardından gücü kestik ve önyükleme için kendi bellek dökümü yazılımımızı kullandık. Her iki durumda da keyfind 256 bitlik sağlam bir şifreleme anahtarı buldu. Ayrıca TrueCrypt 5.0.a durumunda keyfind, XTS modunun ince ayar anahtarını kurtarmayı başardı.

TrueCrypt 4 tarafından oluşturulan disklerin şifresini çözmek için LRW mod anahtarını değiştirmeniz gerekir. Sistemin bunu AES anahtar programından önce dört kelimeyle sakladığını bulduk. Dökümümüzde LRW anahtarı bozulmamıştı. (Hatalar meydana gelseydi anahtarı yine de kurtarabilirdik).

Dm-kript

Sürüm 2.6 ile başlayan Linux çekirdeği, bir disk şifreleme alt sistemi olan dm-crypt için yerleşik destek içerir. Dm-crypt çeşitli algoritmalar ve modlar kullanır, ancak varsayılan olarak CBC modunda anahtar bilgilere dayanmadan oluşturulan IV'lerle 128 bit AES şifresi kullanır.

dm-crypt tarafından oluşturulan bölümü, cryptsetup yardımcı programının LUKS (Linux Unified Key Setup) dalını ve 2.6.20 çekirdeğini kullanarak test ettik. Disk, CBC modunda AES kullanılarak şifrelendi. Gücü kısa süreliğine kapattık ve değiştirilmiş bir PXE önyükleyici kullanarak bellek dökümü aldık. Keyfind programı, hatasız olarak kurtarılan doğru bir 128 bit AES anahtarı tespit etti. Geri yüklendikten sonra saldırgan, cryptsetup yardımcı programını anahtarları gerekli formatta kabul edecek şekilde değiştirerek dm-crypt şifreli bölümün şifresini çözebilir ve bağlayabilir.

Koruma yöntemleri ve sınırlamaları

Kullanılan şifreleme anahtarlarının bir yerde saklanması gerektiğinden, RAM'e yönelik saldırılara karşı koruma uygulamak önemsiz değildir. Bir saldırganın bilgisayara fiziksel erişim sağlamasından önce anahtarları yok etmeye veya gizlemeye, RAM dökümü yazılımının çalışmasını engellemeye, RAM yongalarını fiziksel olarak korumaya ve mümkün olduğunda RAM verilerinin ömrünü kısaltmaya odaklanmanızı öneririz.

Belleğin üzerine yazma

Her şeyden önce, anahtarları RAM'de saklamaktan mümkün olduğunca kaçınmalısınız. Artık kullanılmadığında anahtar bilgilerin üzerine yazmanız ve verilerin sayfa dosyalarına kopyalanmasını önlemeniz gerekir. Bellek, işletim sistemi araçları veya ek kitaplıklar kullanılarak önceden temizlenmelidir. Doğal olarak bu önlemler kullanılanları korumayacaktır. şu an anahtarların, şifrelenmiş diskler veya güvenli web sunucularında kullanılanlar gibi bellekte saklanması gerektiğinden.

Ayrıca, önyükleme işlemi sırasında RAM'in temizlenmesi gerekir. Bazı bilgisayarlar, işletim sistemini yüklemeden önce bir POST temizleme isteği (Açılışta Otomatik Test) kullanılarak önyükleme sırasında RAM'i temizleyecek şekilde yapılandırılabilir. Saldırgan infazı engelleyemiyorsa bu isteğin, o zaman bu bilgisayarda önemli bilgileri içeren bir bellek dökümü yapma fırsatına sahip olmayacak. Ancak yine de RAM çiplerini çıkarıp ihtiyaç duyduğu BIOS ayarlarıyla başka bir bilgisayara yerleştirme şansına sahip.

Ağdan veya çıkarılabilir medyadan indirmeyi kısıtlama

Saldırılarımızın çoğu, ağ üzerinden veya çıkarılabilir medyadan indirilenler kullanılarak gerçekleştirildi. PC'nin bu kaynaklardan önyükleme yapmak için yönetici parolası gerektirecek şekilde yapılandırılması gerekir. Ancak sistem yalnızca ana sabit sürücüden önyükleme yapacak şekilde yapılandırılmış olsa bile, bir saldırganın sabit sürücüyü kendisi değiştirebileceği veya çoğu durumda bilgisayarın NVRAM'ini eski sabit sürücüye geri dönecek şekilde sıfırlayabileceği unutulmamalıdır. başlangıç ​​ayarları BIOS.

Güvenli Uyku Modu

Araştırmanın sonuçları, PC masaüstünü kilitlemenin (yani işletim sistemi çalışmaya devam ediyor, ancak onunla etkileşime geçmek için bir şifre girmeniz gerekir) RAM içeriğini korumadığını gösterdi. Hazırda bekletme modu, bilgisayar uyku modundan dönerken kilitlendiğinde de etkili değildir; çünkü bir saldırgan, uyku modundan dönüşü etkinleştirebilir, ardından dizüstü bilgisayarı yeniden başlatabilir ve bellek dökümü alabilir. Hazırda bekletme modu (RAM içeriği sabit sürücüye kopyalanır), normal işleyişi geri yüklemek için yabancılaştırılmış ortamdaki önemli bilgilerin kullanılması durumları dışında da yardımcı olmayacaktır.

Çoğu sabit disk şifreleme sisteminde kullanıcılar bilgisayarı kapatarak kendilerini koruyabilirler. (TPM modülünün temel çalışma modundaki Bitlocker sistemi, bilgisayar açıldığında disk otomatik olarak bağlanacağından savunmasız kalır). Bellek içeriği, bağlantı kesildikten sonra kısa bir süre daha kalabilir; bu nedenle iş istasyonunuzu birkaç dakika daha izlemeniz önerilir. Etkinliğine rağmen, bu önlem son derece sakıncalıdır. uzun yükleme süresi iş istasyonları.

Uyku moduna geçiş aşağıdaki yöntemlerle güvence altına alınabilir: iş istasyonunu "uyandırmak" için bir parola veya başka bir sır gerektirebilir ve bellek içeriğini bu paroladan türetilen bir anahtarla şifreleyebilirsiniz. Bir saldırgan hafıza dökümü yapıp ardından kaba kuvvetle şifreyi tahmin etmeye çalışabileceğinden şifrenin güçlü olması gerekir. Belleğin tamamını şifrelemek mümkün değilse, yalnızca anahtar bilgileri içeren alanları şifrelemeniz gerekir. Bazı sistemler bu tür korumalı uyku moduna girecek şekilde yapılandırılmış olabilir, ancak bu genellikle varsayılan ayar değildir.

Ön Hesaplamalardan Kaçınmak

Araştırmamız, kriptografik işlemleri hızlandırmak için ön hesaplama kullanmanın önemli bilgileri daha savunmasız hale getirdiğini gösterdi. Ön hesaplamalar, anahtar verileri hakkında gereksiz bilgilerin bellekte görünmesine neden olur ve bu da saldırganın, hatalar olsa bile anahtarları kurtarmasına olanak tanır. Örneğin, Bölüm 5'te açıklandığı gibi, AES ve DES algoritmalarının yinelemeli anahtarları hakkındaki bilgiler, bir saldırgan için son derece gereksizdir ve faydalıdır.

Ön hesaplamaların yapılmaması performansı düşürecektir çünkü potansiyel olarak karmaşık hesaplamaların tekrarlanması gerekecektir. Ancak örneğin önceden hesaplanan değerleri belirli bir süre önbelleğe alabilir ve alınan verileri bu aralıkta kullanılmadığı takdirde silebilirsiniz. Bu yaklaşım, güvenlik ve sistem performansı arasında bir dengeyi temsil eder.

Anahtar genişletme

Anahtar kurtarmayı önlemenin bir diğer yolu da hafızada saklanan anahtar bilgisini, çeşitli hatalardan dolayı anahtarın kurtarılmasını zorlaştıracak şekilde değiştirmektir. Bu yöntem, tek yönlü işlevlerin işleyişine benzer şekilde, hemen hemen tüm çıktılar keşfedilmiş olsa bile girdileri gizli kalan, keşfetmeye dirençli bir işlevin gösterildiği teoride tartışılmıştır.

Pratikte, şu anda kullanımda olmayan ancak daha sonra ihtiyaç duyulacak 256 bitlik bir AES anahtarımız olduğunu hayal edin. Üzerine yazamayız ancak kurtarma girişimlerine karşı dayanıklı olmasını istiyoruz. Bunu başarmanın bir yolu, büyük bir B bit veri alanı tahsis etmek, bunu rastgele veri R ile doldurmak ve ardından aşağıdaki K+H(R) dönüşümünün sonucunu (ikili toplam, editörün notu) bellekte saklamaktır; burada H SHA-256 gibi bir karma işlevidir.

Şimdi elektriğin kapatıldığını düşünün, bu durum bu alandaki d bitlerin değişmesine neden olacaktır. Hash fonksiyonu güçlüyse, K anahtarını kurtarmaya çalışırken saldırgan, değişebilecek yaklaşık yarıdan yalnızca B alanının hangi bitlerinin değiştirildiğini tahmin edebileceğine güvenebilir. Eğer d bitleri değiştirilmişse, saldırganın R'nin doğru değerlerini bulmak için (B/2+d)/d boyutunda bir alanı araması ve ardından K anahtarını kurtarması gerekecektir. B alanı büyükse, böyle d nispeten küçük olsa bile bir arama çok uzun olabilir

Teorik olarak, tüm anahtarları bu şekilde saklayabilir, her bir anahtarı yalnızca ihtiyacımız olduğunda hesaplayabilir ve ihtiyacımız olmadığında silebiliriz. Böylece yukarıdaki yöntemi kullanarak anahtarları hafızada saklayabiliriz.

Fiziksel koruma

Saldırılarımızdan bazıları bellek yongalarına fiziksel erişime dayanıyordu. Bu tür saldırılar önlenebilir fiziksel koruma hafıza. Örneğin, bellek modülleri kapalı bir PC kasasına yerleştirilmiştir veya bunları çıkarma veya bunlara erişme girişimlerini önlemek için epoksi yapıştırıcıyla kapatılmıştır. Düşük sıcaklıklara veya kasayı açma girişimlerine yanıt olarak hafıza silme işlemini de uygulayabilirsiniz. Bu yöntem, bağımsız bir güç kaynağı sistemine sahip sensörlerin kurulumunu gerektirecektir. Bu yöntemlerin çoğu, kurcalamaya dayanıklı donanımlar (IBM 4758 yardımcı işlemcisi gibi) içerir ve iş istasyonunun maliyetini büyük ölçüde artırabilir. Öte yandan, lehimlenmiş hafıza kullanımı anakart, çok daha az maliyetli olacak.

Mimari değişiklik

PC mimarisini değiştirebilirsiniz. Bu, halihazırda kullanılmış bilgisayarlar için imkansızdır, ancak yenilerini güvence altına almanıza olanak tanır.

İlk yaklaşım, DRAM modüllerini tüm verileri daha hızlı silecek şekilde tasarlamaktır. Verileri mümkün olduğu kadar çabuk silme hedefi, bellek yenileme dönemleri arasında verilerin kaybolmasını engelleme hedefiyle çeliştiği için bu zor olabilir.

Diğer bir yaklaşım ise başlatma, yeniden başlatma ve kapatma sırasında deposundaki tüm bilgileri silmesi garanti edilen önemli bilgi depolama donanımı eklemektir. Bu şekilde, birden fazla anahtarı saklamak için güvenli bir yere sahip olacağız, ancak bunların ön hesaplamasıyla ilgili güvenlik açığı devam edecek.

Diğer uzmanlar hafıza içeriğinin kalıcı olarak şifreleneceği bir mimari önerdiler. Buna ek olarak, yeniden başlatma ve elektrik kesintisi sırasında anahtarların silinmesini de uygularsak, bu yöntem anlattığımız saldırılara karşı yeterli koruma sağlayacaktır.

Güvenilir Bilgi İşlem

Bazı bilgisayarlarda, örneğin TPM modülleri biçiminde, "güvenilir bilgi işlem" kavramına karşılık gelen donanım halihazırda kullanılmaktadır. Her ne kadar bazı saldırılara karşı korunmada faydalı olsa da, mevcut haliyle bu tür ekipmanlar anlattığımız saldırıları engellemeye yardımcı olmuyor.

Kullanılan TPM modülleri tam şifreleme uygulamaz. Bunun yerine, anahtarı RAM'e yüklemenin güvenli olup olmadığına karar vermek için önyükleme sürecini gözlemlerler. Yazılımın bir anahtar kullanması gerekiyorsa, aşağıdaki teknoloji uygulanabilir: Kullanılabilir bir biçimdeki anahtar, önyükleme işlemi beklendiği gibi gerçekleşene kadar RAM'de saklanmayacaktır. Ancak anahtar RAM'e girer girmez saldırılarımızın hedefi haline gelir. TPM'ler bir anahtarın belleğe yüklenmesini engelleyebilir ancak bellekten okunmasını engellemez.

sonuçlar

Popüler inanışın aksine, DRAM modülleri devre dışı bırakıldığında verileri nispeten uzun süre saklar. Deneylerimiz, bu olgunun, işletim sisteminin içeriğini koruma girişimlerine rağmen, şifreleme anahtarları gibi hassas verileri RAM'den elde edebilen bir dizi saldırıya izin verdiğini gösterdi. Anlattığımız saldırılar pratikte uygulanabiliyor ve popüler şifreleme sistemlerine yönelik saldırı örneklerimiz de bunu kanıtlıyor.

Ancak diğer yazılım türleri de savunmasızdır. Dijital haklar yönetimi (DRM) sistemleri sıklıkla bellekte saklanan simetrik anahtarları kullanır ve bunlar açıklanan yöntemler kullanılarak da elde edilebilir. Gösterdiğimiz gibi, SSL-etkin web sunucuları da savunmasızdır çünkü SSL oturumları oluşturmak için gereken özel anahtarları hafızalarında saklarlar. Önemli bilgileri bulma yöntemlerimiz muhtemelen şifreleri, hesap numaralarını ve diğer bilgileri bulmada etkili olacaktır. önemli bilgi, RAM'de saklanır.

Hayır gibi görünüyor basit yol Bulunan güvenlik açıklarını ortadan kaldırın. Yazılım değişikliği büyük olasılıkla etkili olmayacaktır; donanım değişiklikleri yardımcı olacaktır ancak zaman ve kaynak maliyetleri yüksek olacaktır; Güvenilir bilgi işlem teknolojisi de mevcut haliyle etkisizdir çünkü bellekte bulunan anahtarları koruyamaz.

Bizce, genellikle halka açık yerlerde bulunan ve bu saldırılara açık modlarda çalışan dizüstü bilgisayarlar bu riske en duyarlı olanlardır. Bu tür risklerin varlığı, disk şifrelemenin önemli verileri genel olarak inanıldığından daha az koruduğunu göstermektedir.

Sonuç olarak, DRAM belleğini modern bir bilgisayarın güvenilmeyen bir bileşeni olarak değerlendirmeniz ve içindeki hassas bilgilerin işlenmesinden kaçınmanız gerekebilir. Ancak şimdilik, modern bilgisayarların mimarisi, yazılımın anahtarları güvenli bir konumda saklamasına izin verecek şekilde değişene kadar bu pek pratik değil.

Açık olan kaynak kodu büyük satıcılardan bağımsız olması nedeniyle 10 yıldır popülerdir. Programın yaratıcıları kamuoyu tarafından bilinmiyor. Programın en ünlü kullanıcıları arasında Edward Snowden ve güvenlik uzmanı Bruce Schneier yer alıyor. Yardımcı program bir flash sürücüyü dönüştürmenize veya Sabit disk gizli bilgilerin meraklı gözlerden saklandığı güvenli, şifrelenmiş bir depoya.

Yardımcı programın gizemli geliştiricileri, TrueCrypt kullanmanın güvensiz olduğunu açıklayarak 28 Mayıs Çarşamba günü projenin kapatıldığını duyurdu. "UYARI: TrueCrypt'i kullanmak güvenli değildir çünkü... program çözülmemiş güvenlik açıkları içerebilir” - bu mesaj SourceForge portalındaki ürün sayfasında görülebilir. Bunu başka bir mesaj takip ediyor: "TrueCrypt ile şifrelenmiş tüm verileri, platformunuzda desteklenen şifrelenmiş disklere veya sanal disk görüntülerine taşımalısınız."

Bağımsız güvenlik uzmanı Graham Cluley oldukça mantıklı bir şekilde mevcut durum hakkında şu yorumu yaptı: "Dosyaları ve sabit sürücüleri şifrelemek için alternatif bir çözüm bulmanın zamanı geldi."

Şaka yapmıyorum!

Başlangıçta programın web sitesinin siber suçlular tarafından saldırıya uğradığına dair öneriler vardı, ancak artık bunun bir aldatmaca olmadığı açıkça ortaya çıkıyor. SourceForge artık TrueCrypt'in güncellenmiş bir sürümünü sunuyor (ki bu sürüm elektronik imza geliştiriciler), kurulumu sırasında BitLocker'a veya başka bir alternatif araca geçiş yapılması önerilir.

John Hopkins Üniversitesi kriptografi profesörü Matthew Green şunları söyledi: "Bilinmeyen bir bilgisayar korsanının TrueCrypt geliştiricilerini tanımlaması, dijital imzalarını çalması ve web sitelerini hacklemesi pek olası değil."

Şimdi ne kullanmalı?

Site ve programın kendisindeki bir açılır uyarı, TrueCrypt ile şifrelenmiş dosyaları Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise ve Windows 8 Pro/Enterprise ile birlikte gelen Microsoft'un BitLocker hizmetine aktarma talimatlarını içerir. TrueCrypt 7.2, dosyaların şifresini çözmenize olanak tanır ancak yeni şifrelenmiş bölümler oluşturmanıza izin vermez.

Programın en belirgin alternatifi BitLocker'dır ancak başka seçenekler de vardır. Schneier, Symantec'in PGPDisk'ini kullanmaya geri döndüğünü paylaştı. (Kullanıcı lisansı başına 110 ABD doları) iyi bilinen ve kanıtlanmış PGP şifreleme yöntemini kullanır.

Başkaları da var ücretsiz alternatifler Windows için DiskCryptor gibi. Araştırmacı bilgisayar Güvenliği The Grugq olarak bilinen, geçen yıl bugün hala geçerli olan bir bütünü derledi.

SANS Teknoloji Enstitüsü'nün bilimsel direktörü Johannes Ulrich, Mac OS X kullanıcılarının OS X 10.7 (Lion) ve bu ailenin sonraki işletim sistemlerinde yerleşik olan FileVault 2'ye dikkat etmelerini öneriyor. FileVault, ABD Ulusal Güvenlik Ajansı (NSA) tarafından kullanılan 128 bit XTS-AES şifrelemesini kullanır. Ulrich'e göre Linux kullanıcıları yerleşik Linux Birleşik Anahtar Kurulumu (LUKS) sistem aracına bağlı kalmalıdır. Ubuntu kullanıyorsanız, bu işletim sisteminin yükleyicisi zaten en başından itibaren tam disk şifrelemesini etkinleştirmenize izin veriyor.

Ancak kullanıcıların, farklı işletim sistemlerini çalıştıran bilgisayarlarda kullanılan taşınabilir medyayı şifrelemek için başka uygulamalara ihtiyacı olacaktır. Ulrich bu durumda akla gelenin şu olduğunu söyledi.

Alman Steganos şirketi kullanmayı teklif ediyor eski versiyonşifreleme yardımcı programı Steganos Safe ( şimdiki versiyonuşu anda - 15, ancak ücretsiz olarak dağıtılan 14 sürümünün kullanılması önerilmektedir.

Bilinmeyen güvenlik açıkları

TrueCrypt'in güvenlik açıklarına sahip olabileceği gerçeği, özellikle programın denetiminde bu tür sorunların ortaya çıkmaması nedeniyle ciddi bir endişe kaynağıdır. Programın kullanıcıları, ABD Ulusal Güvenlik Ajansı'nın önemli miktarda şifrelenmiş veriyi çözebileceği yönündeki söylentilerin ardından denetim için 70.000 dolar topladı. TrueCrypt yükleyicisinin analiz edildiği çalışmanın ilk aşaması geçen ay gerçekleştirildi. Denetimde herhangi bir arka kapı veya kasıtlı güvenlik açığı ortaya çıkmadı. Çalışmanın, kullanılan kriptografi yöntemlerini test edecek bir sonraki aşaması bu yaz için planlandı.

Green, denetime katılan uzmanlardan biriydi. Geliştiricilerin projeyi kapatmayı planladıklarına dair herhangi bir ön bilgiye sahip olmadığını söyledi. Green şunları söyledi: “TrueCrypt geliştiricilerinden son duyduğum şuydu: “2. aşama denemesinin sonuçlarını sabırsızlıkla bekliyoruz. Çabalarınız için teşekkürler!" TrueCrypt projesinin kapatılmasına rağmen denetimin planlandığı gibi devam edeceğini belirtelim.

Belki de programın yaratıcıları, yardımcı programın güncel olmaması nedeniyle geliştirmeyi askıya almaya karar vermiştir. Geliştirme 5 Mayıs 2014'te durduruldu; desteğin resmi olarak sona ermesinden sonra Windows sistemleri XP. SoundForge şunu belirtiyor: "Windows 8/7/Vista ve sonraki sistemler, diskleri ve sanal disk görüntülerini şifrelemek için yerleşik araçlara sahiptir." Bu nedenle, veri şifreleme birçok işletim sisteminde yerleşiktir ve geliştiriciler programın artık gerekli olmadığını düşünmüş olabilir.

Yangını körüklemek için 19 Mayıs'ta TrueCrypt, Tails güvenli sisteminden (Snowden'ın favori sistemi) kaldırıldı. Cluley, bunun nedeninin tam olarak belli olmadığını ancak programın açıkça kullanılmaması gerektiğini belirtti.

Cluley ayrıca şunları yazdı: "İster bir dolandırıcılık, ister bir hack ya da TrueCrypt'in yaşam döngüsünün mantıksal sonu olsun, bilinçli kullanıcıların bu fiyaskodan sonra verileri konusunda programa güvenme konusunda kendilerini rahat hissetmeyecekleri açıktır."

Bu, VeraCrypt'e adanmış blogumuzdaki beş makalenin dördüncüsü, ayrıntılı olarak inceliyor ve veriyor adım adım talimat, Windows işletim sistemi kuruluyken bir sistem bölümünü veya tüm diski şifrelemek için VeraCrypt'in nasıl kullanılacağı.

Sistem dışı bir sabit sürücüyü nasıl şifreleyeceğinizi, tek tek dosyaları veya bir USB flash sürücünün tamamını nasıl şifreleyeceğinizi arıyorsanız ve ayrıca VeraCrypt hakkında daha fazla bilgi edinmek istiyorsanız şu bağlantılara göz atın:

Bu şifreleme en güvenli olanıdır çünkü geçici dosyalar, hazırda bekletme dosyası (uyku modu), takas dosyası ve diğerleri dahil olmak üzere kesinlikle tüm dosyalar her zaman şifrelenir (beklenmedik bir elektrik kesintisi durumunda bile). Dergi işletim sistemi ve birçok önemli verinin depolandığı kayıt defteri de şifrelenecektir.

Sistem şifrelemesi, sistem önyüklemesinden önce kimlik doğrulama yoluyla çalışır. Windows'unuz önyüklemeye başlamadan önce, tüm işletim sistemi dosyalarını içeren diskin sistem bölümünün şifresini çözecek bir parola girmeniz gerekecektir.

Bu işlevsellik, standart sistem önyükleyicisinin yerini alan VeraCrypt önyükleyici kullanılarak uygulanır. VeraCrypt Rescue Disk kullanılarak sabit sürücünün önyükleme sektörü ve dolayısıyla önyükleyicinin kendisi hasar görmüşse sistemi önyükleyebilirsiniz.

İşletim sistemi çalışırken sistem bölümünün anında şifrelendiğini lütfen unutmayın. İşlem devam ederken bilgisayarı her zamanki gibi kullanabilirsiniz. Yukarıdakiler şifre çözme için de geçerlidir.

Sistem diski şifrelemesinin desteklendiği işletim sistemlerinin listesi:

  • Windows 10
  • Windows 8 ve 8.1
  • Windows 7
  • Windows Vista (SP1 veya üstü)
  • Windows XP
  • Windows Server 2012
  • Windows Server 2008 ve Windows Server 2008 R2 (64 bit)
  • Windows Sunucusu 2003
Bizim durumumuzda Windows 10 ve tek bir disk ile bir bilgisayarı şifreliyoruz C:\

Adım 1 - Sistem bölümünü şifreleyin


VeraCrypt'i başlatın, ana program penceresinde Sistem sekmesine gidin ve ilk menü öğesini seçin Sistem bölümünü/sürücüsünü şifrele (Sistem bölümünü/diski şifreleyin).

Adım 2 – Şifreleme Türünü Seçme


Varsayılan türü bırak Normal (Sıradan) Gizli bir bölüm veya gizli bir işletim sistemi oluşturmak istiyorsanız VeraCrypt'in ek özelliklerine dikkat edin. Tıklamak Sonraki

Adım 3 – Şifreleme Alanı



Bizim durumumuzda, diskte tüm boş alanı kaplayan tek bir bölümümüz olduğundan, diskin tamamını veya yalnızca sistem bölümünü şifrelemek temelde önemli değildir. Fiziksel diskinizin birkaç bölüme ayrılmış olması mümkündür; örneğin C:\ Ve D:\. Durum buysa ve her iki bölümü de şifrelemek istiyorsanız, Tüm sürücüyü şifrele.

Kurulu birden fazla fiziksel diskiniz varsa, her birini ayrı ayrı şifrelemeniz gerekeceğini lütfen unutmayın. Bu talimatları kullanarak sistem bölümüne sahip disk. Veri içeren bir diskin nasıl şifreleneceği yazılmıştır.

Diskin tamamını mı yoksa yalnızca sistem bölümünü mü şifrelemek istediğinizi seçin ve düğmeye tıklayın Sonraki.

Adım 4 – Gizli Bölümleri Şifreleyin


Seçme Evet cihazınızda varsa gizli bölümler bilgisayar üreticinizin yardımcı programlarını kullanarak bunları şifrelemek istiyorsanız, bu genellikle gerekli değildir.

Adım 5 – İşletim Sistemi Sayısı


Bilgisayara aynı anda birden fazla işletim sisteminin kurulduğu durumu analiz etmeyeceğiz. Seçin ve düğmeye basın Sonraki.

Adım 6 – Şifreleme Ayarları


Şifreleme ve karma algoritmaların seçimi, neyi seçeceğinizden emin değilseniz değerleri bırakın AES Ve SHA-512 en güçlü seçenek olarak varsayılanı seçin.

Adım 7 - Şifre


Bu önemli bir adım; burada şifreli sisteme erişimde kullanılacak güçlü bir şifre oluşturmanız gerekiyor. İyi bir parolanın nasıl seçileceğine ilişkin Birim Oluşturma Sihirbazı penceresindeki geliştiricilerin önerilerini dikkatle okumanızı öneririz.

Adım 8 – Rastgele Verilerin Toplanması


Bu adım, daha önce girilen şifreye dayalı bir şifreleme anahtarı oluşturmak için gereklidir; fareyi ne kadar uzun süre hareket ettirirseniz ortaya çıkan anahtarlar o kadar güvenli olur. En azından gösterge yeşile dönene kadar fareyi rastgele hareket ettirin, ardından tıklayın. Sonraki.

Adım 9 - Oluşturulan Anahtarlar


Bu adım size şifreleme anahtarlarının, bağlamanın (tuz) ve diğer parametrelerin başarıyla oluşturulduğunu bildirir. Bu bir bilgilendirme adımıdır, tıklayın Sonraki.

Adım 10 – Kurtarma Diski


Kaydedileceği yolu belirtin ISO görüntüsü kurtarma diski (kurtarma diski) VeraCrypt önyükleme yükleyicisi hasar görmüşse bu görüntüye ihtiyacınız olabilir ve yine de doğru şifreyi girmeniz gerekecektir.


Kurtarma diski görüntüsünü çıkarılabilir bir ortama kaydedin (örneğin bir flash sürücüye) veya bir optik diske yazın (öneririz) ve Sonraki.

Adım 11 - Kurtarma diski oluşturulur


Not! Her şifrelenmiş sistem bölümünün kendi kurtarma diski olması gerekir. Oluşturduğunuzdan ve çıkarılabilir medyada sakladığınızdan emin olun. Kurtarma diskini aynı şifrelenmiş sistem sürücüsünde saklamayın.

Teknik arızalar ve donanım sorunları durumunda verilerin şifresini çözmenize yalnızca bir kurtarma diski yardımcı olabilir.

Adım 12 – Temizleme boş alan



Boş alanın temizlenmesi, önceden silinmiş verileri diskten kalıcı olarak kaldırmanıza olanak tanır; bu veriler, özel teknikler kullanılarak kurtarılabilir (özellikle geleneksel manyetik sabit sürücüler için önemlidir).

Bir SSD sürücüsünü şifreliyorsanız 1 veya 3 geçişi seçin; manyetik diskler için 7 veya 35 geçişi öneririz.

Lütfen bu işlemin genel disk şifreleme süresini etkileyeceğini unutmayın; bu nedenle, diskiniz daha önce silinmiş önemli veriler içermiyorsa işlemi reddedin.

7 veya 35 geçişi seçmeyin SSD sürücüler, manyetik kuvvet mikroskobu SSD'lerde çalışmaz, 1 geçiş yeterlidir.

Adım 13 – Sistem Şifreleme Testi


Bir sistem şifreleme ön testi gerçekleştirin ve VeraCrypt önyükleme yükleyicisi arayüzünün tamamen İngilizce olduğunu belirten mesajı görün.

Shan 14 – Windows önyükleme yapmazsa ne yapmalı


Windows'un yeniden başlatmanın ardından önyükleme yapmaması durumunda ne yapılması gerektiği konusunda önerileri okuyun veya daha iyisi yazdırın (bu gerçekleşir).

Tıklamak TAMAM Mesajı okuyup anladıysanız.

Bir bilgisayarın gizlilik ve güvenlik gereksinimleri tamamen üzerinde depolanan verilerin niteliğine göre belirlenir. Bilgisayarınız bir eğlence istasyonu olarak hizmet veriyorsa ve üzerinde birkaç oyuncak ve en sevdiğiniz kedinin fotoğraflarının bulunduğu bir baba dışında hiçbir şey yoksa bu bir şeydir; ancak sabit diskinizde ticari sır olan, potansiyel olarak ilgi çekici veriler içeriyorsa bu tamamen başka bir şeydir. rakiplere.

İlk “savunma hattı”, bilgisayarı her açtığınızda istenen oturum açma parolasıdır.

Bir sonraki koruma düzeyi, düzeydeki erişim haklarıdır dosya sistemi. İzin ayrıcalıklarına sahip olmayan bir kullanıcı, dosyalara erişmeye çalışırken bir hata alacaktır.

Ancak açıklanan yöntemlerin son derece önemli bir dezavantajı vardır. Her ikisi de işletim sistemi düzeyinde çalışır ve eğer az zamanınız ve bilgisayara fiziksel erişiminiz varsa nispeten kolaylıkla atlanabilirler (örneğin, bir USB flash sürücüden önyükleme yaparak yönetici şifresini sıfırlayabilir veya dosya izinlerini değiştirebilirsiniz). Verilerin güvenliğine ve gizliliğine tam bir güven ancak kriptografinin başarılarını kullanırsanız ve bunları güvenli bir şekilde kullanırsanız elde edilebilir. Aşağıda bu tür korumanın iki yöntemine bakacağız.

Bugün dikkate alınan ilk yöntem Microsoft'un yerleşik kripto koruması olacaktır. BitLocker adı verilen şifreleme ilk olarak Windows 8'de ortaya çıktı. Tek bir klasörün veya dosyanın güvenliğini sağlamak için kullanılamaz; yalnızca tüm diskin şifrelenmesi mümkündür. Bu özellikle sistem diskini şifrelemenin imkansız olduğu (sistem önyükleme yapamayacak) ve aynı zamanda önemli verileri "Belgelerim" gibi sistem kitaplıklarında saklamanın da imkansız olduğu anlamına gelir (varsayılan olarak bulunurlar) sistem bölümünde).
Yerleşik şifrelemeyi etkinleştirmek için aşağıdakileri yapın:

  1. Explorer'ı açın, şifrelemek istediğiniz sürücüye sağ tıklayın ve "BitLocker'ı Etkinleştir" seçeneğini seçin.
  2. “Diskin kilidini açmak için bir şifre kullan” kutusunu işaretleyin, güvenlik gereksinimlerini karşılayan bir şifre oluşturun ve iki kez girin (en az 8 karakter uzunluğunda, küçük ve büyük harflerden oluşmalı, en az bir özel karakter girilmesi tavsiye edilir) ve “İleri” düğmesine tıklayın. Akıllı kart okuyucularının oldukça nadir olması ve kendi bilgi güvenliği hizmeti olan kuruluşlarda kullanılması nedeniyle bu not çerçevesinde ikinci kilit açma seçeneğini dikkate almayacağız.
  3. Şifrenizi kaybetmeniz durumunda sistem özel bir kurtarma anahtarı oluşturmayı teklif etmektedir. Eklenebilir hesap Microsoft, bir dosyaya kaydedin veya bir yazıcıda yazdırın. Yöntemlerden birini seçin ve anahtarı kaydettikten sonra “İleri” ye tıklayın. Bu anahtar yabancılardan korunmalıdır çünkü unutkanlığınıza karşı bir sigorta görevi görerek verilerinizin sızdırılacağı bir “arka kapı” haline gelebilir.
  4. Bir sonraki ekranda, sürücünün tamamını mı yoksa yalnızca kullanılan alanı mı şifreleyeceğinizi seçin. İkinci nokta daha yavaş ama daha güvenilirdir.
  5. Bir şifreleme algoritması seçin. Diski bilgisayarlar arasında taşımayı planlamıyorsanız, daha sağlam olan en son modu, aksi takdirde uyumluluk modunu seçin.
  6. Ayarları yaptıktan sonra “Şifrelemeyi Başlat” butonuna tıklayın.Bir süre bekledikten sonra sürücünüzdeki veriler güvenli bir şekilde şifrelenecektir.
  7. Oturumu kapattıktan veya yeniden başlattıktan sonra, korunan birim erişilemez hale gelecek ve dosyaları açmak için bir parola gerekli olacaktır.

Disk Şifreleyici

Bugün incelediğimiz ikinci şifreleme aracı, ücretsiz ve açık kaynaklı bir çözüm olan DiskCryptor'dur. Kullanmak için aşağıdaki talimatları kullanın:

  1. Bağlantıyı kullanarak program yükleyicisini resmi web sitesinden indirin. İndirilen dosyayı çalıştırın.
  2. Kurulum işlemi son derece basittir; “İleri” düğmesine birkaç kez basmak ve sonunda bilgisayarı yeniden başlatmaktan oluşur.

  3. Yeniden başlattıktan sonra DiskCryptor programını program klasöründen veya masaüstündeki kısayola tıklayarak başlatın.
  4. Açılan pencerede şifrelenecek diskin üzerine tıklayın ve “Şifrele” butonuna tıklayın.
  5. Bir sonraki adım, bir şifreleme algoritması seçmek ve şifrelemeden önce diskteki tüm verileri silmeniz gerekip gerekmediğine karar vermektir (bilgileri yok etmeyi planlamıyorsanız, "Silme Modu" listesinde "Yok" seçeneğini seçtiğinizden emin olun).
  6. Şifre çözme şifresini iki kez girin (“Şifre Derecelendirmesi” alanının en az “Yüksek” olması için karmaşık bir şifre bulmanız önerilir). Daha sonra "Tamam"a tıklayın.
  7. Biraz bekledikten sonra disk şifrelenecektir. Yeniden başlattıktan veya oturumu kapattıktan sonra, ona erişmek için yardımcı programı başlatmanız, "Bağla" veya "Tümünü Monte Et" düğmesine tıklamanız, şifreyi girmeniz ve "Tamam"a tıklamanız gerekecektir.

Bu yardımcı programın BitLocker mekanizmasına kıyasla şüphesiz avantajı, Windows 8'den önce piyasaya sürülen sistemlerde kullanılabilmesidir (üretilmeyen Windows XP bile desteklenmektedir). Ancak DiskCryptor'un birkaç önemli dezavantajı da vardır:

  • şifrelenmiş bilgilere erişimi geri yüklemenin hiçbir yolu yoktur (şifrenizi unutursanız verilerinizi kaybetmeniz garanti edilir);
  • Yalnızca parolayla kilit açma desteklenir; akıllı kartların veya biyometrik sensörlerin kullanılması mümkün değildir;
  • DiskCryptor kullanmanın belki de en büyük dezavantajı, sisteme yönetici erişimi olan bir saldırganın şunları yapabilmesidir: standart araçlar diski biçimlendirin. Evet, verilere erişemeyecek ama siz de verileri kaybedeceksiniz.

Özetlemek gerekirse, bilgisayarınızda Windows 8'den itibaren kurulu bir işletim sistemi varsa yerleşik işlevselliği kullanmanın daha iyi olduğunu söyleyebilirim.

Bir sabit sürücüyü veya bölümlerinden birini program veya fazla çaba harcamadan şifreleyin

Bugün, karmaşık programlar veya özel çabalar kullanmadan bir sabit sürücüyü veya onun bireysel bölümlerini nasıl şifreleyebileceğiniz sorusuna bakacağız.

Bir sabit sürücüyü (sabit sürücüyü) neden şifreleyeceğiniz sorusu retoriktir.

Şifrelemenin hedefleri kullanıcılar arasında biraz farklılık gösterebilir, ancak genel olarak herkes, yetkisiz kişilerin bir bölüme veya sabit sürücünün tamamına erişimini engellemeye çalışır.

Bu, siber suçların yaygınlaştığı çağımızda anlaşılabilir bir durumdur ve genel olarak küçük bilgisayar haylazları, önemli kişisel dosyalarınızı kaybedebilirsiniz.

Öyleyse, bir sabit sürücüyü veya bölümlerinden birini şifrelemenin en basit yoluna bakalım.

Kullanacağımız yöntem:

Bitlocker şifrelemesi (Windows 7 Ultimate ve Enterprise'da yerleşiktir)

Öyleyse başlayalım. Bir sabit sürücüyü "kodlama"nın bu yöntemi Windows'ta yerleşiktir ve Bitlocker olarak adlandırılır. Bu yöntemin avantajları:

  • Hiçbirine ihtiyacım yok üçüncü taraf programları, ihtiyacımız olan her şey zaten işletim sisteminde (OS)
  • Sabit sürücü çalındıysa, onu başka bir bilgisayara bağlamak yine de parola gerektirecektir

Ayrıca son aşamada erişim anahtarını kaydederken yollardan biri onu bir flash sürücüye yazmaktır, bu nedenle buna önceden karar vermelisiniz.

Bu yöntemin kendisi Windows Vista'ya dahil edildi. "Yedi" de geliştirilmiş bir versiyonu var.

Birçoğu, Windows işletim sistemini kurarken, daha önce 100 megabayt boyutunda küçük bir bölümün oluşturulduğunu gözlemlemiş olabilir. yerel disk“C”, artık ne için olduğunu biliyorsun.

Evet, yalnızca Bitlocker şifrelemesi için (Vista'da boyutu 1,5 gigabayttı).

Etkinleştirmek için “Denetim Masası” - “Sistem ve Güvenlik” - “Bitlocker Disk Şifrelemesi” ne gidin.

Şifrelenecek diske karar veriyoruz ve “Bitlocker'ı Etkinleştir” seçeneğini seçiyoruz.

Aşağıdaki resimde olduğu gibi bir mesaj belirirse, sistem ayarlarında küçük değişiklikler yapmanız gerekir:

Bunu yapmak için "Başlat"ta arama çubuğuna "politika" giriyoruz ve arama seçenekleri beliriyor.

“Grup İlkesini Değiştir”i seçin:

Takip etmemiz gereken editörde kendimizi buluyoruz: Bilgisayar Konfigürasyonu - Yönetim Şablonları - Windows Bileşenleri - Bitlocker Disk Şifreleme - İşletim Sistemi Diskleri. Sağ tarafta "Gerekli ek kimlik doğrulama" seçeneğine çift tıklayın:

Görünen menüde "Etkinleştir" seçeneğini seçin, ayrıca "Bitlocker'ın uyumlu bir TPM olmadan kullanılmasına izin ver" seçeneğini işaretlemeniz gerekir - ayarlarımızı onaylayın - Tamam.

Ayrıca şifreleme yöntemine de karar vermeniz gerekir. Mümkün olan en karmaşık yöntemi koymamız gerekiyor.

Bunu yapmak için önceki paragraftakiyle aynı yolu izliyoruz, sadece "Bitlocker Disk Şifreleme" klasöründe duruyoruz, sağda dosyayı görüyoruz - "Disk şifreleme yöntemini ve şifreleme gücünü seçin."

Burada en güvenilir olanı 256 bit şifrelemeli AES'tir, onu seçin, "Uygula" ve "Tamam"a tıklayın.

Artık her şey şifrelemeyle özgürce kullanılabiliyor.

Makalenin başında olduğu gibi “Denetim Masası” - “Sistem ve Güvenlik” - “Bitlocker Disk Şifrelemesi” ne gidin. “Etkinleştir”e tıklayın.

Şuna erişebileceğiz: tek yol, bu bir anahtar gerektirir. Flash bellekte olacak.

Ortaya çıkan anahtar normal olarak yazılır Metin dosyası. Daha sonra sizden kontrolü etkinleştirmeniz, kutuyu işaretlemeniz ve “devam etmeniz” istenecektir.

Yeniden başlatalım. Her şey yolunda giderse, bir sonraki açışınızda sabit sürücü bölümünü şifreleme işlemi başlayacaktır.

Zaman açısından, işlem sistemin gücüne bağlı olarak sürecektir - genellikle birkaç dakikadan birkaç saate kadar (birkaç yüz gigabaytlık bir bölümse).

Tamamlandığında bir mesaj alıyoruz - Şifreleme tamamlandı. Erişim anahtarlarını unutmayın, kontrol edin.

Herhangi bir üçüncü taraf programa ve kriptografi alanında derin bilgiye ihtiyaç duymadan bir sabit sürücüyü şifrelemenin çok basit bir yoluna baktık.

Bu yöntem çok etkili ve kullanışlıdır, bunu bir flash sürücüyü şifrelemek için de kullanabilirsiniz, bu konu bir sonraki makalede tartışılacaktır.



Kategoride popüler:
Bilgisayarda karaoke klibi nasıl oluşturulur?
Bilgisayarda karaoke klibi nasıl oluşturulur?
Okumak
Oyun için Origin uygulaması gereklidir ancak yüklü değildir. FIFA 16, Origin gerektirir.
Oynamak için Origin uygulaması gerekiyor ancak FIFA yüklü değil...
Okumak
Facebook sosyal ağında kişisel bir sayfanın kaydedilmesi
Facebook sosyal ağında kişisel bir sayfanın kaydedilmesi
Okumak
Basit Nmap Nmap Taraması Nasıl Çalıştırılır
Basit Nmap Nmap Taraması Nasıl Çalıştırılır
Okumak

En son makaleler
Bir görüntüyü birkaç derece döndürmek nasıl...
Okumak
Yandex tarayıcısında reklamların devre dışı bırakılması Nerede...
Okumak
Wi-Fi bağlantı sorunlarını giderme...
Okumak
Windows 10 profilinde şifreyi değiştirin
Okumak
Kablosuz yönlendiricileri kurma talimatları...
Okumak
Bir sabit disk nasıl seçilir ve hangisini satın almak daha iyidir?
Okumak
Aptallar için Meizu. Aramalar ve adres defteri....
Okumak
PDFMaster programını indirin
Okumak
Tepe