Зашифрованный диск. Шифрование флешки - BitLocker To Go

Требования к конфиденциальности и безопасности компьютера полностью определяются характером хранящихся на нем данных. Одно дело если ваш компьютер служит развлекательной станцией и на нем кроме нескольких игрушек и папочки с фотографиями любимого котика ничего нет и совсем другое — если на жестком диске есть данные, являющиеся коммерческой тайной, потенциально представляющие интерес для конкурентов.

Первым «рубежом обороны» является пароль на вход в систему, который запрашивается при каждом включении компьютера.

Следующая ступень защиты — права доступа на уровне файловой системы. Пользователь, не имеющий разрешительных привилегий, при попытке получить доступ к файлам получит ошибку.

Однако у описанных способов есть один крайне существенный недостаток. Они оба работают на уровне операционной системы и их можно относительно легко обойти если иметь немного времени и физический доступ к компьютеру (например, загрузившись с USB-флешки можно сбросить административный пароль или изменить файловые разрешения). Полную уверенность в безопасности и конфиденциальности данных можно получить только если задействовать достижения криптографии и надежно их. Ниже мы рассмотрим два способа подобной защиты.

Первым рассматриваемым сегодня способом будет встроенная криптозащита от Microsoft. Шифрование, названное BitLocker, впервые появилось в Windows 8. Обезопасить с его помощью отдельную папку или файл не получится, доступно только шифрование всего диска целиком. Из этого в частности вытекает тот факт, что шифровать системный диск нельзя (система не сможет загрузиться), хранить важные данные в системных библиотеках типа «Мои документы» также нельзя (по умолчанию они располагаются на системном разделе).
Чтобы включить встроенное шифрование, проделайте следующее:

  1. Откройте Проводник, сделайте правый клик на шифруемом диске и выберите пункт «Включить BitLocker».
  2. Отметьте пункт «Использовать пароль для снятия блокировки диска», придумайте и дважды введите пароль, удовлетворяющий требованиям безопасности (длина не менее 8 символов, наличие строчных и прописных букв, желательно ввести хотя бы один спец$имвол) и нажмите кнопку «Далее». Второй вариант разблокировки в рамках этой заметки мы рассматривать не будем поскольку ридеры смарткарт довольно редки и используются в организациях, имеющих собственную службу информационной безопасности.
  3. На случай утери пароля система предлагает создать особый ключ восстановления. Его можно прикрепить к учетной записи Microsoft, сохранить в файл или просто напечатать на принтере. Выберите один из способов и после сохранения ключа нажмите «Далее». Этот ключ следует беречь от посторонних поскольку он, являясь страховкой от вашей забывчивости, может стать «задней дверью», через которую и утекут ваши данные.
  4. На следующем экране выберите, необходимо ли шифровать весь диск или только занятое место. Второй пункт медленнее, но более надежен.
  5. Выберите шифрующий алгоритм. Если не планируете миграцию диска между компьютерами, выбирайте более стойкий новейший режим, иначе — режим совместимости.
  6. После настройки параметров нажмите кнопку «Начать шифрование» После некоторого ожидания данные на вашем диске будут надежно зашифрованы.
  7. После выхода из системы или перезагрузки защищенный том станет недоступным, для того чтобы открыть файлы потребуется ввод пароля.

DiskCryptor

Второй рассматриваемой сегодня криптографической утилитой является DiskCryptor — бесплатное решение с открытым исходным кодом. Чтобы использовать его, воспользуйтесь следующей инструкцией:

  1. Скачайте установщик программы с официального сайта по ссылке . Запустите скачанный файл.
  2. Процесс установки предельно прост, заключается в нажатии несколько раз кнопки «Next» и итоговой перезагрузки компьютера.

  3. После перезагрузки запустите программу DiskCryptor из папки с программой или щелкнув по ярлыку на рабочем столе.
  4. В открывшемся окне кликните на шифруемый диск и нажмите кнопку «Encrypt».
  5. Следующим шагом выберите алгоритм шифрования и определитесь, нужно ли стереть с диска перед шифрованием все данные (если не планируете уничтожать информацию, обязательно выберите «None» в списке «Wipe Mode»).
  6. Введите дважды пароль дешифровки (рекомендуется придумать сложный пароль, чтобы в поле «Password Rating» было значение как минимум «High»). Потом нажмите «ОК».
  7. После некоторого ожидания диск будет зашифрован. После перезагрузки или выхода из системы для доступа к нему нужно будет запустить утилиту, нажать на кнопку «Mount» или «Mount All», ввести пароль и нажать «ОК».

Безусловным плюсом этой утилиты по сравнению с механизмом BitLocker является то, что использовать ее можно на системах, вышедших до Windows 8 (поддерживается даже снятая с поддержки Windows XP). Но DiskCryptor имеет и несколько существенных минусов:

  • не существует способов восстановления доступа к зашифрованной информации (если забыли пароль, то гарантированно потеряли свои данные);
  • поддерживается только разблокировка с помощью пароля, использование смарткарт или биометрических датчиков невозможно;
  • пожалуй самый большой недостаток использования DiskCryptor в том, что злоумышленник с административным доступом к системе сможет стандартными средствами отформатировать диск. Да, он доступа к данным не получит, но и вы их потеряете.

Резюмируя могу сказать, что если на компьютере установлена ОС начиная с Windows 8, то лучше использовать встроенный функционал.

На наших носителях в огромных количествах хранится персональная и важная информация, документы и медиафайлы. Их необходимо защитить. Такие криптографические методы, как AES и Twofish , стандартно предлагающиеся в шифровальных программах, относятся примерно к одному поколению и обеспечивают сравнительно высокий уровень безопасности.

На практике обычный пользователь не сможет сильно ошибиться в выборе. Вместо этого стоит определиться со специализированной программой в зависимости от намерений: зачастую шифрование жесткого диска использует иной операционный режим, чем шифрование файлов.

Долгое время лучшим выбором была утилита TrueCrypt , если речь шла о полном шифровании жесткого диска или сохранении данных в зашифрованном контейнере. Сейчас этот проект закрыт. Его достойным приемником стала программа с открытым исходным кодом VeraCrypt . В ее основу был положен код TrueCrypt, однако его доработали, благодаря чему качество шифрования повысилось.

К примеру, в VeraCrypt улучшено генерирование ключа из пароля . Для шифрования жестких дисков используется не такой распространенный режим, как CBC , а XTS . В данном режиме блоки шифруются по типу ECB , однако при этом добавляется номер сектора и внутрисегментное смещение .

Случайные числа и сильные пароли

Для защиты отдельных файлов достаточно бесплатной программы с простым интерфейсом, например, MAXA Crypt Portable или AxCrypt . Мы рекомендуем AxCrypt, поскольку она представляет собой проект с открытым исходным кодом. Однако при ее установке следует обратить внимание на то, что в пакете с приложением идут ненужные дополнения, поэтому с них необходимо снять флажки.

Утилита запускается щелчком правой кнопкой мыши по файлу или папке и вводу пароля (например, при открытии зашифрованного файла ). В данной программе используется алгоритм AES на 128 бит с режимом CBC . Для создания надежного вектора инициализации (IV) Ax-Crypt встраивает генератор псевдослучайных чисел.

Если IV не является настоящим случайным числом, то режим CBC его ослабляет. Программа MAXA Crypt Portable работает похожим образом, однако шифрование происходит с помощью ключа длиной в 256 бит . Если вы загружаете личную информацию в облачные хранилища, необходимо исходить из того, что их владельцы, например, Google и Dropbox, сканируют контент.

Boxcryptor встраивается в процесс в качестве виртуального жесткого диска и по щелчку правой кнопкой мыши шифрует все расположенные там файлы еще до загрузки в облако. При этом важно обзавестись менеджером паролей, таким как Password Depot . Он создает сложные пароли, которые не сможет запомнить ни один человек. Нужно только не потерять мастер-пароль к этой программе.

Используем зашифрованные диски

Подобно TrueCrypt, мастер утилиты VeraCrypt проведет пользователя сквозь все этапы создания зашифрованного диска. Вы также можете защитить существующий раздел.

Шифрование одним кликом

Бесплатная программа Maxa Crypt Portable предлагает все необходимые опции для быстрого шифрования отдельных файлов по алгоритму AES. Нажатием на кнопку вы запускаете генерацию безопасного пароля.

Связываем облако с частной жизнью

Boxcryptor по одному клику шифрует важные файлы перед загрузкой в хранилища Dropbox или Google. По умолчанию применяется шифрование AES с ключом длиной 256 бит .

Краеугольный камень - менеджер паролей

Длинные пароли усиливают безопасность. Программа Password Depot генерирует и применяет их, в том числе для шифрования файлов и работы с веб-службами, которым передает данные для доступа к учетной записи.

Фото: компании-производители

В настоящие дни мы постоянно имеем дело с информацией. Благодаря развитию информационных технологий, теперь работа, творчество, развлечение в значительной степени превратились в процессы по обработке или потреблению информации. И среди этого огромного массива информации часть данных не должна быть общедоступной. Примером такой информации могут быть файлы и данные, связанные с коммерческой деятельностью; приватные архивы.

Часть этих данных не предназначена для широкого круга просто по той причине, что «им незачем об этом знать»; а какая-то информация является жизненно важной.

Эта статья посвящено надёжной защите именно жизненно важной информации, а также любых файлов, которые вы хотите оградить от доступа других лиц, даже если ваш компьютер или носитель (флешка, жёсткий диск) попали в руки посторонних лиц, в том числе технически продвинутых и имеющих доступ к мощным вычислительным ресурсам.

Почему не стоит доверять программам для шифрования с закрытым исходным кодом

В программы с закрытым исходным кодом могут быть внедрены «закладки» (и не надо надеяться, что их там нет!) и возможность открывать зашифрованные файлы с помощью мастер-ключа. Т.е. вы можете использовать любой, самый сложный пароль, но ваш зашифрованный файл всё равно с лёгкостью, без перебора паролей, может быть открыт с помощью «закладки» или владельцем мастер-ключа. Размер компании-производителя программного обеспечения для шифрования и название страны в данном вопросе роли не играют, поскольку это является частью государственной политики многих стран. Ведь нас всё время окружают террористы и наркоторговцы (а что делать?).

Т.е. на действительно надёжное шифрование можно надеяться правильно используя популярное программное обеспечение с открытым исходным кодом и стойким для взлома алгоритмом шифрования.

Стоит ли переходить с TrueCrypt на VeraCrypt

Эталонной программой, которая много лет позволяет очень надёжно шифровать файлы является TrueCrypt. Эта программа до сих пор прекрасно работает. К сожалению, в настоящее время разработка программы прекращена.

Её лучшей наследницей стала программа VeraCrypt.

VeraCrypt - это бесплатное программное обеспечение для шифрование дисков, она базируется на TrueCrypt 7.1a.

VeraCrypt продолжает лучшие традиции TrueCrypt, но при этом добавляет повышенную безопасность алгоритмам, используемым для шифрования систем и разделов, что делает ваши зашифрованные файлы невосприимчивым к новым достижениям в атаках полного перебора паролей.

VeraCrypt также исправила многие уязвимости и проблемы безопасности, обнаруженные в TrueCrypt. Она может работать с томами TrueCrypt и предлагает возможность конвертировать контейнеры TrueCrypt и несистемные разделы в формат VeraCrypt.

Эта улучшенная безопасность добавляет некоторую задержку только к открытию зашифрованных разделов без какого-либо влияния на производительность в фазе использования зашифрованного диска. Для легитимного пользователя это практически незаметное неудобство, но для злоумышленника становится практически невозможным получить доступ к зашифрованным данным, несмотря на наличие любых вычислительных мощностей.

Это можно продемонстрировать наглядно следующими бенчмарками по взлому (перебору) паролей в Hashcat :

Для TrueCrypt:

Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit Speed.Dev.#1.: 21957 H/s (96.78ms) Speed.Dev.#2.: 1175 H/s (99.79ms) Speed.Dev.#*.: 23131 H/s Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit Speed.Dev.#1.: 9222 H/s (74.13ms) Speed.Dev.#2.: 4556 H/s (95.92ms) Speed.Dev.#*.: 13778 H/s Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit Speed.Dev.#1.: 2429 H/s (95.69ms) Speed.Dev.#2.: 891 H/s (98.61ms) Speed.Dev.#*.: 3321 H/s Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode Speed.Dev.#1.: 43273 H/s (95.60ms) Speed.Dev.#2.: 2330 H/s (95.97ms) Speed.Dev.#*.: 45603 H/s

Для VeraCrypt:

Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit Speed.Dev.#1.: 68 H/s (97.63ms) Speed.Dev.#2.: 3 H/s (100.62ms) Speed.Dev.#*.: 71 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit Speed.Dev.#1.: 26 H/s (87.81ms) Speed.Dev.#2.: 9 H/s (98.83ms) Speed.Dev.#*.: 35 H/s Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit Speed.Dev.#1.: 3 H/s (57.73ms) Speed.Dev.#2.: 2 H/s (94.90ms) Speed.Dev.#*.: 5 H/s Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode Speed.Dev.#1.: 154 H/s (93.62ms) Speed.Dev.#2.: 7 H/s (96.56ms) Speed.Dev.#*.: 161 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit Speed.Dev.#1.: 118 H/s (94.25ms) Speed.Dev.#2.: 5 H/s (95.50ms) Speed.Dev.#*.: 123 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit + boot-mode Speed.Dev.#1.: 306 H/s (94.26ms) Speed.Dev.#2.: 13 H/s (96.99ms) Speed.Dev.#*.: 319 H/s

Как можно увидеть, взломать зашифрованные контейнеры VeraCrypt на несколько порядков сложнее, чем контейнеры TrueCrypt (которые тоже совсем не просты).

Полный бенчмарк и описание железа я публиковал в статье « ».

Второй важный вопрос - надёжность. Никто не хочет, чтобы особо ценные и важные файлы и сведения были потеряны из-за ошибки в программе. Я знаю о VeraCrypt сразу после её появления. Я следил за её развитием и постоянно к ней присматривался. На протяжении последнего года я полностью перешёл с TrueCrypt на VeraCrypt. За год ежедневной работы VeraCrypt меня ни разу не подводила.

Таким образом, на мой взгляд, сейчас стоит переходить с TrueCrypt на VeraCrypt.

Как работает VeraCrypt

VeraCrypt создаёт специальный файл, который называется контейнер. Этот контейнер является зашифрованным и может быть подключён только при вводе верного пароля. После ввода пароля, контейнер отображается как дополнительный диск (как вставленная флешка). Любые файлы, помещённые на этот диск (т.е. в контейнер), шифруются. Пока контейнер подключён, вы беспрепятственно можете копировать, удалять, записывать новые файлы, открывать их. Как только контейнер отключён, все файлы на нём становятся абсолютно недоступными, пока вновь не будет выполнено его подключение, т.е. пока не будет введён пароль.

Работа с файлами в зашифрованном контейнере ничем не отличается от работы с файлами на любом другом диске.

При открытии файла или записи его в контейнер, не нужно ждать расшифрования - всё происходит очень быстро, будто бы вы действительно работаете с обычным диском.

Как установить VeraCrypt в Windows

С TrueCrypt имела место полушпионская история - были созданы сайты для «скачать TrueCrypt», на них бинарный файл (ну естественно!) был заражён вирусом/трояном. Те, кто скачивал TrueCrypt с этих неофициальных сайтов заражали свои компьютеры, что позволяло злоумышленникам воровать персональные информацию и способствовать распространению вредоносного ПО.

Вообще-то, все программы нужно скачивать только с официальных сайтов. И уж тем более это касается программ, которые затрагивают вопросы безопасности.

Официальными местами размещения установочных файлов VeraCrypt являются:

Установка VeraCrypt в Windows

Имеется мастер установки, поэтому процесс установки VeraCrypt схож с аналогичным процессом других программ. Разве что можно пояснить несколько моментов.

Установщик VeraCrypt предложит две опции:

  • Install (Установить VeraCrypt в вашу систему)
  • Extract (Извлечь. Если вы выберите эту опцию, все файлы из этого пакета будут извлечены, но в вашу систему ничего не будет установлено. Не выбирайте её если вы намереваетесь шифровать системный раздел или системный диск. Выбор этой опции может быть полезен, например, если вы хотите запускать VeraCrypt в так называемом портативном режиме. VeraCrypt не требует установки в операционную систему, в которой она будет запускаться. После извлечения всех файлов, вы можете запускать непосредственно извлечённый файл "VeraCrypt.exe" (откроется VeraCrypt в портативном режиме))

Если вы выберите отмеченную опцию, т.е. ассоциацию с файлами .hc , то это добавит удобство. Поскольку если вы создадите контейнер с расширением.hc, то по двойному клику по данному файлу будет запускаться VeraCrypt. Но минус в том, что посторонние лица могут знать, что.hc являются зашифрованными контейнерами VeraCrypt.

Программа напоминает о донате:

Если вы не стеснены в средствах, конечно же, обязательно помогите автору этой программы (он один) не хотелось бы его потерять, как мы потеряли автора TrueCrypt…

Инструкция VeraCrypt для начинающих

У VeraCrypt много разных возможностей и продвинутых функций. Но самой востребованной функцией является шифрование файлов. Далее пошагово показано как зашифровать один или несколько файлов.

Начнём с переключения на русский язык. Русский язык уже встроен в VeraCrypt. Его нужно только включить. Для этого в меню Settings выберите Language… :

Там выберите русский язык, после этого язык программы сразу поменяется.

Как уже было сказано, файлы хранятся в зашифрованных контейнерах (их ещё называют «тома»). Т.е. начать нужно с создания такого контейнера, для этого в главном интерфейсе программы нажмите на кнопку «Создать том ».

Появится мастер создания томов VeraCrypt:

Нас интересует именно первый вариант («Создать зашифрованный файловый контейнер »), поэтому мы, ничего не меняя, нажимаем Далее ,

VeraCrypt имеет очень интересную функцию - возможность создать скрытый том. Суть в том, что в файле создаётся ни один, а два контейнера. О том, что имеется зашифрованный раздел знают все, в том числе возможные неблагожелатели. И если вас силой заставляют выдать пароль, то трудно сослаться, что «зашифрованного диска нет». При создании скрытого раздела, создаются два зашифрованных контейнера, которые размещены в одном файле, но открываются разными паролями. Т.е. вы можете в одном из контейнеров разместить файлы, которые выглядят «чувствительными». А во втором контейнере - действительно важные файлы. Для своих нужд вы вводите пароль для открытия важного раздела. В случае невозможности отказать, вы раскрываете пароль от не очень важного диска. Никаких возможностей доказать, что имеется второй диск, нет.

Для многих случаев (сокрытие не очень критических файлов от посторонних глаз) будет достаточно создать обычный том, поэтому я просто нажимаю Далее .

Выберите место расположения файла:

Том VeraCrypt может находиться в файле (в контейнере VeraCrypt) на жёстком диске, флэш-накопителе USB и т.п. Контейнер VeraCrypt ничем не отличается от любого другого обычного файла (например, его можно перемещать или удалять как и прочие файлы). Нажмите кнопку "Файл", чтобы указать имя и путь к создаваемому файлу-контейнеру для хранения нового тома.

ВНИМАНИЕ: Если вы выберете уже имеющийся файл, VeraCrypt НЕ зашифрует его; этот файл будет удалён и заменён вновь созданным контейнером VeraCrypt. Вы сможете зашифровать имеющиеся файлы (впоследствии), переместив их в создаваемый сейчас контейнер VeraCrypt.

Можно выбрать любой расширение файла, это никак не влияет на работу зашифрованного тома. Если вы выберите расширение .hc , а также если вы при установке задали ассоциацию VeraCrypt с данным расширением, то при двойном клике по данному файлу будет запускаться VeraCrypt.

История недавно открытых файлов позволяет быстро получать доступ к этим файлам. Тем не менее, записи в истории вроде «H:\Мои офшорные счета наворованного на охулиадр долларов.doc» могут у посторонних лиц зародить сомнения в вашей порядочности. Чтобы открытые с зашифрованного диска файлы не попадали в историю, поставьте галочку напротив «Не сохранять историю ».

Выбор алгоритмов шифрования и хеширования. Если вы не уверены, что выбрать, то оставьте значения по умолчанию:

Введите размер тома и выберите единицы измерения (килобайты, мегабайты, гигабайты, терабайты):

Очень важный этап, установление пароля для вашего зашифрованного диска:

Хороший пароль - это очень важно. Избегайте паролей из одного или нескольких слов, которые можно найти в словаре (или комбинаций из 2, 3 или 4 таких слов). Пароль не должен содержать имён или дат рождения. Он должен быть труден для угадывания. Хороший пароль - случайная комбинация прописных и строчных букв, цифр и особых символов (@ ^ = $ * + и т.д.).

Теперь снова в качестве паролей можно использовать русские буквы.

Помогаем программе собрать случайные данные:

Обратите внимание, что здесь вы можете поставить галочку для создания динамического диска. Т.е. он будет расширятся по мере заполнения его информацией.

В результате у меня создан на рабочем столе файл test.hc:

Если вы создали файл с расширением.hc, то вы можете дважды кликнуть по нему, откроется главное окно программы, причём уже будет вставлен путь до контейнера:

В любом случае, вы можете открыть VeraCrypt и выбрать путь до файла вручную (Для этого нажмите кнопку «Файл»).

Если пароль введён верно, то у вас в системе появится новый диск:

Вы можете скопировать/переместить на него любые файлы. Также вы можете создавать там папки, копировать оттуда файлы, удалять и т.д.

Чтобы закрыть контейнер от посторонних, нажмите кнопку Размонтировать :

Чтобы вновь получить доступ к своим секретным файлам, заново смонтируйте зашифрованный диск.

Настройка VeraCrypt

У VeraCrypt довольно много настроек, которые вы можете изменить для вашего удобства. Я настоятельно рекомендую поставить галочку на «Автоматически размонтировать тома при неактивности в течение »:

А также установить горячую клавишу для «Сразу размонтировать все, очистить кэш и выйти »:

Это может очень… ОЧЕНЬ пригодиться…

Портативная версия VeraCrypt в Windows

Начиная с версии 1.22 (которая на момент написания является бетой) для Windows был добавлен портативный вариант. Если вы прочитали раздел про установку, вы должны помнить, что программа и так является портативной и позволяет просто извлечь свои файлы. Тем не менее, отдельный портативный пакет имеет свои особенности: для запуска установщика вам нужны права администратора (даже если вы хотите просто распаковать архив), а портативная версия может быть распакована без прав администратора - отличие только в этом.

Официальные бета версии доступны только только . В папке VeraCrypt Nightly Builds файлом с портативной версией является VeraCrypt Portable 1.22-BETA4.exe.

Файл с контейнером можно разместить на флешке. На эту же флешку можно скопировать портативную версию VeraCrypt - это позволит вам открывать зашифрованный раздел на любом компьютере, в том числе без установленной VeraCrypt. Но помните об опасности перехвата нажатия клавиш - вероятно, в этой ситуации может помочь экранная клавиатура.

Как правильно использовать программное обеспечение для шифрования

Несколько советов, которые помогут вам лучше сохранять свои секреты:

  1. Старайтесь не допускать посторонних лиц до вашего компьютера, в том числе не сдавайте ноутбуки в багаж в аэропортах; если есть возможность, отдавайте компьютеры в ремонт без системного жёсткого диска и т.д.
  2. Используйте сложный пароль. Не используйте тот же самый пароль, который вы используете для почты и т.д.
  3. При этом не забудьте пароль! Иначе данные будет невозможно восстановить.
  4. Скачивайте все программы только с официальных сайтов.
  5. Используйте бесплатные программы или купленные (не используйте взломанный софт). А также не скачивайте и не запускайте сомнительные файлы, поскольку все подобные программы, среди прочих зловредных элементов, могут иметь килоггеры (перехватчики нажатий клавиш), что позволит злоумышленнику узнать пароль от вашего зашифрованного контейнера.
  6. Иногда в качестве средства от перехвата нажатий клавиш рекомендуют использовать экранную клавиатуру - думается, в этом есть смысл.

Безопасность и конфиденциальность очень важны, для тех, кто хранит важные данные на компьютере. Ваш домашний компьютер находится в безопасности, но с ноутбуком или другими переносными устройствами ситуация очень сильно меняется. Если вы носите свой ноутбук с собой почти везде и к нему могут иметь доступ посторонние лица, возникает вопрос - как защитить свои данные от чужого вмешательства. Именно от физических атак, где каждый желающий может попытаться получить данные из USB накопителя или жесткого диска ноутбука просто забрав устройство или в случае ноутбука, вытянув жесткий диск и подключив его к другой операционной системе.

Многие предприятия и даже простые пользователи используют шифрование дисков в linux чтобы защитить конфиденциальную информацию, такую как: сведения о клиенте, файлы, контактную информацию и многое другое. В операционной системе Linux поддерживается несколько криптографических методов для защиты разделов, отдельных каталогов или полностью всего жесткого диска. Все данные, в любом из этих способов автоматически зашифровываются и расшифровываются на лету.

Шифрование на уровне файловой системы:

  • 1. eCryptfs - это криптографическая файловая система Linux. Она хранит криптографические метаданные для каждого файла в отдельном файле, таким образом, что файлы можно копировать между компьютерами. Файл будет успешно расшифрован, если у вас есть ключ. Это решение широко используется для реализации зашифрованной домашней директории, например, в Ubuntu. Также ChromeOS прозрачно встраивает эти алгоритмы при использовании сетевых устройств для хранения данных (NAS).
  • 2. EncFS - обеспечивает шифрованную файловую систему в пространстве пользователя. Она работает без каких-либо дополнительных привилегий и использует библиотеку fuse и модуль ядра для обеспечения интерфейса файловой системы. EncFS - это свободное программное обеспечение и она распространяется под лицензией GPL.

Блочное шифрование на уровне устройства:

  • Loop-AES - быстрая и прозрачная файловая система, а также пакет для шифрования раздела подкачки в Linux. Исходный код программы давно не изменялся. Она работает с ядрами 4.x, 3.x, 2.2, 2.0.
  • TrueCrypt - это бесплатное решение с открытым исходным кодом для шифрования диска в операционных системах Windows 7 / Vista /XP / Mac OS X, а также в Linux.
  • dm-crypt+LUKS - dm-crypt - это прозрачная подсистема для шифрования диска в ядре 2.6 и более поздних версиях. Поддерживается шифрование целых дисков, съемных носителей, разделов, томов RAID, программного обеспечения, логических томов и файлов.

В этой инструкции мы рассмотрим шифрование жесткого диска на Linux с помощью алгоритма Linux Unified Key Setup-on-disk-format (LUKS).

Как работает LUKS?

LUKS (Linux Unified Key Setup - протокол шифрования блочного устройства. Но мы забежали далеко наперед, чтобы понять как это работает, нужно скачала разобраться с другими технологиями, используемыми в этом способе.

Чтобы выполнить шифрование диска linux используется модуль ядра dm-crypt. Этот модуль позволяет создавать в каталоге /dev/mapper виртуальное блочное устройство с прозрачным для файловой системы и пользователя шифрованием. Фактически все данные лежат на зашифрованном физическом разделе. Если пользователь пытается записать данные на виртуальное устройство, они на лету шифруются и записываются на диск, при чтении с виртуального устройства, выполняется обратная операция - данные расшифровываются с физического диска и передаются в открытом виде через виртуальный диск пользователю. Обычно для шифрования используется метод AES, потому что под него оптимизированы большинство современных процессоров. Важно заметить, что вы можете шифровать не только разделы и диски, но и обычные файлы, создав в них файловую систему и подключив как loop устройство.

Алгоритм LUKS определяют какие действия и в каком порядке будут выполняться во время работы с шифрованными носителями. Для работы с LUKS и модулем dm-crypt используется утилита Cryptsetup. Ее мы и рассмотрим далее.

Утилита Cryptsetup

Утилита Cryptsetup позволят облегчить шифрование раздела Linux с помощью модуля dm-crypt. Давайте сначала ее установим.

В Debian или Ubuntu, для этого используйте такую команду:

apt-get install cryptsetup

В дистрибутивах, основанных на Red Hat это будет выглядеть так:

yum install cryptsetup-luks

Синтаксис запуска команды такой:

$ cryptsetup опции операция параметры_операции

Рассмотрим основные операции, которые можно сделать с помощью этой утилиты:

  • luksFormat - создать зашифрованный раздел luks linux
  • luksOpen - подключить виртуальное устройство (нужен ключ)
  • luksClose - закрыть виртуальное устройство luks linux
  • luksAddKey - добавить ключ шифрования
  • luksRemoveKey - удалить ключ шифрования
  • luksUUID - показать UUID раздела
  • luksDump - создать резервную копию заголовков LUKS

Параметры операции зависят от самой операции, обычно это либо физическое устройство, с которым нужно произвести действие, либо виртуальное или и то и другое. Еще не все понятно, но на практике, я думаю, вы со всем разберетесь.

Шифрование диска Linux

Теория пройдена, все инструменты готовы. Теперь рассмотрим шифрование раздела linux. Перейдем к настройке жесткого диска. Обратите внимание, что это удалит все данные из диска или раздела, который вы собираетесь зашифровать. Так что если там есть важные данные, лучше скопируйте их в более надежное место.

Создание раздела

В этом примере мы будем шифровать раздел /dev/sda6, но вместо него вы можете использовать целый жесткий диск или просто один файл, заполненный нулями. Создаем шифрованный раздел:

cryptsetup -y -v luksFormat /dev/sda6

WARNING!
========
This will overwrite data on /dev/sda6 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.

Эта команда выполнит инициализацию раздела, установит ключ инициализации и пароль. Указывайте такой пароль, чтобы его потом не забыть.

Выполните такую команду чтобы открыть только что созданный раздел с помощью модуля dm-crypt в /dev/mapper, для этого понадобится ввести пароль, с которым выполнялось шифрование luks linux:

Enter passphrase for /dev/sda6

Теперь вы можете увидеть новое виртуальное устройство /dev/mapper/backup2 созданное с помощью команды luksFormat:

ls -l /dev/mapper/backup2

Чтобы посмотреть состояние устройства выполните:

cryptsetup -v status backup2

/dev/mapper/backup2 is active.
type: LUKS1
cipher: aes-cbc-essiv:sha256
keysize: 256 bits
device: /dev/sda6
offset: 4096 sectors
size: 419426304 sectors
mode: read/write
Command successful.

А с помощью следующей команды вы можете сделать резервную копию заголовков LUKS на всякий случай:

cryptsetup luksDump /dev/sda6

Ну, можно сказать, раздел готов. И что самое интересное, теперь вы можете им пользоваться так же, как и любым другим обычным разделом в каталоге /dev. Его можно форматировать с помощью стандартных утилит, записывать на него данные, изменять или проверять файловую систему и т д. Нельзя только изменить размер. То есть все полностью прозрачно, как и сказано в начале статьи.

Форматирование раздела

Давайте для начала отформатируем диск. Для надежности, чтобы стереть все данные, которые были в этом месте раньше, перезапишем наш шифрованный раздел linux нулями. Это уменьшит вероятность взлома шифрования, через увеличение количества случайной информации. Для этого выполните:

dd if=/dev/zero of=/dev/mapper/backup2

Работа утилиты может занять несколько часов, чтобы иметь возможность наблюдать за процессом, используйте pv:

pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M

Когда процесс завершится мы можем отформатировать устройство в любую файловую систему. Например, отформатируем в ext4:

mkfs.ext4 /dev/mapper/backup2

Как видите, все команды cryptsetup применяются к физическому разделу, в то время как остальные команды для работы с дисками - к нашему виртуальному.

Монтирование раздела

Теперь можно примонтировать только, что созданную файловую систему:

$ mount /dev/mapper/backup2 /backup2

Отключение раздела

Все работает, но как отключить устройство и защитить данные. Для этого выполните:

cryptsetup luksClose backup2

Повторное монтирование

Чтобы снова получить возможность работать с зашифрованным разделом с помощью LUKS linux необходимо опять его открыть:

cryptsetup luksOpen /dev/sda6 backup2

Теперь можем монтировать:

mount /dev/mapper/backup2 /backup2

Проверить файловую систему luks

Поскольку после открытия раздела с помощью luks linux, этот раздел воспринимается системой, как и все другие, вы можете просто использовать утилиту fsck:

sudo umount /backup2

$ fsck -vy /dev/mapper/backup2

$ mount /dev/mapper/backup2 /backu2

Изменить парольную фразу luks

Шифрование дисков Linux выполняется с определенной парольной фразой, но вы можете ее изменить. Даже больше, вы можете создать до восьми разных парольных фраз. Для изменения выполнив следующие команды. Сначала сделаем резервную копию заголовков LUKS:

cryptsetup luksDump /dev/sda6

Затем создадим новый ключ:

cryptsetup luksAddKey /dev/sda6

Enter any passphrase:

Enter new passphrase for key slot:
Verify passphrase:

И удалим старый:

cryptsetup luksRemoveKey /dev/sda6

Сейчас вам придется ввести еще старый пароль.

Выводы

Вот и все теперь вы знаете как зашифровать раздел в Linux, а также понимаете как все это работает. Кроме того, шифрование дисков в Linux по алгоритму LUKS открывает широкие возможности для полного шифрования устанавливаемой системы.

Плюсы:

  • LUKS шифрует все блочное устройство, и поэтому очень хорошо подходит для защиты содержимого переносных устройств, таких как мобильные телефоны, съемные носители или жесткие диски ноутбуков.
  • Вы можете использовать на серверах NAS для защиты резервных копий
  • Процессоры Intel и AMD с AES-NI (Advanced Encryption Standard) имеют набор команд, которые могут ускорить процесс шифрования на основе dm-crypt в ядре Linux начиная с 2.6.32.
  • Работает в том числе и с разделом подкачки, так что ваш ноутбук может использовать функцию спящего режима, или гибернации полностью безопасно.

В последнее время большую популярность получили ноутбуки благодаря доступной цене и высокой производительности. И пользователи часто пользуются ими за пределами охраняемых помещений либо оставляют без присмотра. А это значит, что становится крайне насущным вопрос обеспечения недоступности для посторонних личной информации на системах под управлением ОС Windows. Простая установка пароля на вход в систему тут не поможет. А шифрование отдельных файлов и папок(почитайте про то, ) — слишком рутинное занятие. Поэтому наиболее удобным и надежным средством является шифрование жесткого диска . При этом можно сделать шифрованным только один из разделов, и держать приватные файлы и программы на нем. Более того, такой раздел можно сделать скрытым, не присваивая ему дисковой буквы. Такой раздел внешне будет выглядеть как неформатированный, и тем самым не привлекать к себе внимания злоумышленников, что особенно эффективно, так как лучший способ уберечь секретную информацию — это скрыть сам факт ее наличия.

Как работает шифрование жесткого диска

Общий принцип такой: программа шифрования делает образ файловой системы и помещает всю эту информацию в контейнер, содержимое которого шифруется. Таким контейнером может быть как простой файл, так и раздел на дисковом устройстве. Использование шифрованного файла-контейнера удобно тем, что такой файл можно скопировать в любое удобное место и продолжить работу с ним. Такой подход удобен при хранении небольшого объема информации. Но если размер контейнера будет несколько десятков гигабайт, то его мобильность становится весьма сомнительной, и к тому же такой огромный размер файла выдает факт содержания в нем какой-то полезной информации. Поэтому более универсальным подходом является шифрование целого раздела на жестоком диске.

Существует много разных программ для этих целей. Но наиболее известной и надежной считается TrueCrypt . Поскольку эта программа имеет открытые исходные коды, то это означает, что в ней нет закладок от производителей, позволяющих получить доступ к шифрованным данным через недокументированный «черный ход». К сожалению ходят предположения, что создателей программы TrueCrypt вынудили отказаться от дальнейшей разработки и передать эстафету проприоретарным аналогам. Тем не менее последняя надежная версия 7.1a остается вполне работоспособной на всех версиях ОС Windows, и большинство пользователей пользуются именно этой версией.

Внимание!!! Последняя актуальная версия — 7.1a (ссылка для скачивания ). Не используйте «урезанную» версию 7.2 (проект закрыли, а на официальном сайте программы предлагают выполнить переход с TrueCrypt на Bitlocker и доступна как раз только версия 7.2).

Создание шифрованного диска

Рассмотрим стандартный подход при шифровании разделов. Для этого нам понадобится неиспользуемый раздел на жестком диске либо флешке. Для этой цели можно освободить один из логических дисков. Собственно говоря, если свободного раздела не имеется, то можно будет в процессе создания шифрованного диска выбрать шифрование диска без форматирования, и сохранить имеющиеся данные. Но это дольше по времени и есть небольшой риск потерять данные в процессе шифрования, если допустим компьютер зависнет.

Если требуемый раздел на дисковом устройстве подготовлен, то теперь можно запустить программу TrueCrypt и выбрать пункт меню «Создать новый том».

Поскольку нас интересует хранение данных не в файле-контейнере, а в разделе диска, то выбираем пункт «Зашифровать несистемный раздел/диск» и обычный вид шифрования тома.

На этом этапе появляется упомянутая возможность выбора — шифровать имеющиеся в разделе данные или форматировать его без сохранения информации.

После этого программа спрашивает, какими алгоритмами производить шифрование. Для бытовых нужд большой разницы тут нет — можно выбрать любой из алгоритмов или связку из них.

Только при этом стоит учитывать, что при применении связки из нескольких алгоритмов требуется больше вычислительных ресурсов при работе с шифрованным диском — и соответственно скорость чтения и записи падает. Если компьютер недостаточно мощный, то имеет смысл нажать на кнопку тест, чтобы выбрать оптимальный алгоритм для своего компьютера.

Следующим этапом является непосредственно процесс форматирования шифрованного тома.

Теперь остается подождать, пока программа закончит шифрование жесткого диска.

Стоит отметить, что на этапе задания пароля можно в качестве дополнительной защиты задать ключевой файл. В этом случае доступ к шифрованной информации будет возможен только при наличии этого ключевого файла. Соответственно, если этот файл хранится на другом компьютере в локальной сети, то при потере ноутбука с шифрованным диском или флешки никто не сможет получить доступ к секретным данным, даже если бы подобрал пароль — ведь ключевого файла ни на самом ноутбуке ни на флешке нет.

Скрытие шифрованного раздела

Как уже упоминалось, выгодным преимуществом шифрованного раздела является то, что в операционной системе он позиционируется как неиспользуемый и неформатированный. И нет никаких указаний на то, что в нем есть шифрованная информация. Единственный способ это выяснить — использовать специальные программы по криптоанализу, умеющие по высокой степени хаотичности битовых последовательностей сделать заключение, что в разделе имеются шифрованные данные. Но если Вы не потенциальная мишень для спецслужб, то такая угроза компрометации Вам вряд ли грозит.

А вот для дополнительной защиты от простых обывателей имеет смысл спрятать шифрованный раздел из перечня доступных букв дисков. Тем более что все равно обращение к диску напрямую по его букве ничего не даст и требуется только в случае удаления шифрования путем форматирования. Для открепления тома от используемой буквы следует в «Панели управления» зайти в раздел «Управление компьютером / Управление дисками» и вызвав контекстное меню для нужного раздела выбрать пункт «Изменить букву диска или путь к диску...», где и получится убрать привязку.

После этих манипуляций шифрованный раздел не будет виден в проводнике Windows и других файловых менеджерах. А наличие среди нескольких разнообразных системных разделов одного безымянного и «неформатированного» вряд ли вызовет интерес у посторонних.

Использование шифрованного диска

Чтобы использовать шифрованное устройство как обычный диск, необходимо его подключить. Для этого в главном окне программы следует нажать правой кнопкой мыши на одной из доступных букв дисков и выбрать пункт меню «Выбрать устройство и смонтировать...»

После этого нужно отметить зашифрованное ранее устройство и указать пароль.

В результате в обозревателе Windows должен появиться новый диск с выбранной буквой (в нашем случае это диск X).

И теперь с этим диском получится работать как и с любым обычным логическим диском. Главное после окончания работы не забыть либо выключить компьютер, либо закрыть программу TrueCrypt, либо отключить шифрованный раздел — ведь пока диск подключен, любой пользователь может получить доступ к расположенным на нем данным. Отключить раздел можно нажав кнопку «Размонтировать».

Итоги

Использование программы TrueCrypt позволит Вам произвести шифрование жесткого диска и тем самым скрыть Ваши приватные файлы от посторонних, если вдруг кто-то получит доступ к Вашей флешке или жесткому диску. А расположение шифрованной информации на неиспользуемом и скрытом разделе создает дополнительный уровень защиты, так как непосвященный круг лиц может и не догадываться, что на одном из разделов хранится секретная информация. Такой метод защиты приватных данных подойдет в подавляющем большинстве случаев. И только если за Вами производится целенаправленная слежка с угрозой применения насилия для получения пароля, то Вам могут понадобиться более изощренные методы защиты, такие как стеганография и скрытые тома TrueCrypt (с двумя паролями).