Cifrado de archivos Guardar espacio en disco duro. Disco duro de cifrado utilizando TrueCrypt. Encriptación de dos maneras

Los investigadores de la Universidad de Princeton encontraron una manera de collar. discos durosUsando la propiedad de los módulos. memoria de acceso aleatorio Tienda la información durante un corto período de tiempo, incluso después de detener la fuente de alimentación.

Prefacio

Como para acceder a un disco duro encriptado, debe tener la clave, y, por supuesto, se almacena en RAM, todo lo que necesita es obtener acceso físico a la PC durante unos minutos. Después de reiniciar desde externos. disco duro o con Flash USB. Se realiza un volcado de memoria completo y se recupera la clave de acceso dentro de unos minutos.

De esta manera, es posible obtener claves de cifrado (y acceso completo Al disco duro) utilizado por los programas BitLocker, FileVault y DM-crypt en los sistemas operativos Windows Vista, Mac OS X y Linux, así como un popular sistema de cifrado de disco duro TrueCrypt.

La importancia de este trabajo es que no hay una técnica de protección simple para este método Hacking, a excepción de desactivar el poder para obtener suficiente tiempo de borrado de datos.

La demostración visual del proceso se presenta en video.

anotación

Contrariamente a la opinión bien ideal, la memoria DRAM, que se usa en la mayoría de las computadoras modernas, almacena datos en sí mismo incluso después de apagar la alimentación durante unos segundos o minutos, y esto sucede a temperatura ambiente e incluso, en el caso de Una extracción de viruta de la placa base. Esta vez es suficiente para eliminar el volcado completo de la RAM. Mostraremos que este fenómeno le permite a un atacante tener acceso físico al sistema al pasar por alto las funciones del sistema operativo de la protección de los datos sobre las claves criptográficas. Mostraremos cómo reiniciar se puede usar para hacer ataques exitosos en sistemas de cifrado de disco duro bien conocidos sin utilizar ningún dispositivo o material especializado. Determinamos experimentalmente el grado y la probabilidad de preservar la magnetización residual y mostrar que el tiempo para el cual se pueden eliminar los datos se pueden aumentar significativamente con técnicas simples. También se ofrecerán nuevos métodos para encontrar claves criptográficas en los volcados de memoria y corrigiendo los errores relacionados con la pérdida de bits. También se contará sobre varias formas de reducir los datos de riesgo, sin embargo, solución simple No nos conocemos.

Introducción

La mayoría de los expertos provienen del hecho de que los datos de la RAM de la computadora se borran casi instantáneamente después de apagar la alimentación, o creen que los datos residuales son extremadamente difíciles de extraer sin el uso de equipos especiales. Mostraremos que estas suposiciones son incorrectas. La memoria de DRAM normal pierde los datos gradualmente en unos pocos segundos, incluso a temperaturas normales, e incluso si el chip de la memoria se extraerá de la placa base, los datos se guardarán en él durante minutos o incluso horas, sujeto al almacenamiento de este chip a bajo Temperaturas. Los datos residuales se pueden restaurar con métodos simplesque requieren acceso físico a corto plazo a la computadora.

Mostraremos una serie de ataques que, utilizando los efectos de la magnetización residual de DRAM, nos permiten restaurar las claves de cifrado almacenadas en la memoria. Esta es una amenaza real para los usuarios de computadoras portátiles que se basan en los sistemas de cifrado de disco duro. Después de todo, si el atacante secuestrará la computadora portátil, en este momento cuando el disco cifrado está conectado, podrá pasar uno de nuestros ataques para acceder al contenido, incluso si la computadora portátil está bloqueada o está en modo de suspensión. Demostraremos esto, atacando con éxito varios sistemas de cifrado populares, como BitLocker, TrueCrypt y FileVault. Estos ataques deben tener éxito en relación con otros sistemas de cifrado.

Aunque enfocamos nuestros esfuerzos en los sistemas de cifrado de discos duros, en caso de acceso físico a la computadora del atacante, cualquier información importante almacenada en RAM puede ser un objeto para el ataque. Probablemente, muchos otros sistemas de seguridad son vulnerables. Por ejemplo, encontramos que Mac OS X deja las contraseñas de los registros en la memoria, desde donde podemos extraerlos, también hicimos ataques al recibir claves RSA cerradas del servidor web Apache.

Algunos representantes de la comunidad en seguridad de información Y la física de los semiconductores ya sabía sobre el efecto de la magnetización residual de DRAM, hubo muy poca información sobre esto. Como resultado, muchos de los cuales diseñan están desarrollando o usan sistemas de seguridad, simplemente desconocidos con este fenómeno y lo fácil que puede ser utilizado por un atacante. Por lo que sabemos, este es el primero. trabajo detallado Estudiamos las consecuencias de los datos de la seguridad de la información.

Ataques en discos encriptados.

El cifrado de los discos duros es manera famosa Protección contra el robo de datos. Muchos creen que los sistemas de cifrado de los discos duros protegerán sus datos, incluso si el atacante recibió acceso físico a la computadora (en realidad, para esto, se necesitan, aprox. Ed.). La Ley de California, adoptada en 2002, obliga a informar. casos posibles Divulgaciones de datos personales, solo si los datos no estaban encriptados, porque Se cree que el cifrado de datos es una medida protectora suficiente. Aunque la ley no describe ninguna solución técnica específica, muchos expertos recomiendan utilizar los sistemas de cifrado de discos duros o secciones, que se considerarán medidas suficientes para proteger. Los resultados de nuestro estudio mostraron que la fe en los discos de cifrado es irrazonable. Atacar, lejos de la calificación más alta, puede omitir muchos sistemas de cifrado ampliamente utilizados, si la computadora portátil con datos se secuestre, mientras se ha encendido o en modo de suspensión. Y los datos en la computadora portátil se pueden leer incluso cuando están en un disco encriptado, por lo que el uso de sistemas de cifrado de discos duros no es una medida suficiente.

Utilizamos varios tipos de ataques en sistemas de cifrado conocidos de discos duros. La mayor cantidad de tiempo se tomó instalando discos cifrados y verificar la corrección de las claves de cifrado descubiertas. Obtención de una imagen de RAM y la búsqueda de llaves ocupadas solo unos minutos y estaban completamente automatizados. Hay razones para creer que la mayoría de los sistemas de cifrado de discos duros están sujetos a tales ataques.

Bitonger

BitLocker es un sistema que forma parte de algunas versiones de Windows Vista. Funciona como un conductor que se ejecuta entre sistema de archivos y un controlador de disco duro, cifrando y descifrando a pedido sectores seleccionados. Las teclas utilizadas para cifrar las llaves están en la RAM hasta que se aprecie el disco cifrado.

Para cifrar cada uno del sector del disco duro de BitLocker, utiliza el mismo par de teclas creadas por el algoritmo AES: la clave de cifrado del sector y la clave de cifrado, trabajando en el modo de embrague de bloques cifrados (CBC). Estas dos claves a su vez están encriptadas por una clave maestra. Para cifrar el sector, el procedimiento de plegado binario se realiza con una clave de sesión creada al encriptar el cifrado del sector de la clave de desplazamiento del sector. Luego, los datos obtenidos se procesan mediante dos características de mezcla que son utilizadas por el algoritmo de elefante desarrollado por Microsoft. Estas bóvedas se utilizan para aumentar la cantidad de cambios en todos los bits de cifrado y, en consecuencia, aumentar la incertidumbre de los datos del sector cifrado. En el último paso, los datos están cifrados por el algoritmo AES en modo CBC utilizando la clave de cifrado correspondiente. El vector de inicialización se determina cifrando el byte desplazamiento del sector de la clave de cifrado utilizada en el modo CBC.

Hemos implementado un ataque de demostración totalmente automatizado llamado Bitunlocker. Al mismo tiempo, un disco USB externo con OS Linux y un cargador de SYSLINUX modificado y un controlador de fusibles le permite conectar los discos cifrados de BitLocker en Linux OS. En la computadora de prueba con Windows Vista, la alimentación se desconectó, se conectó el disco duro USB, y la carga se cargó a partir de ella. Después de eso, BitunLocker hizo automáticamente un vertedero de RAM en disco externoCon la ayuda del programa KeyFind, ha estado buscando posibles teclas, probó todas las opciones adecuadas (pares de clave de cifrado del sector y modo CBC), y en caso de suerte, el disco cifrado conectado. Tan pronto como se conectó el disco, apareció con él para funcionar con cualquier otro disco. Sobre el laptop moderno Con 2 gigabytes de RAM, el proceso ocupó aproximadamente 25 minutos.

Cabe destacar que este ataque fue posible sin ingeniería inversa de ningún software. En la documentación de Microsoft, el sistema BitLocker está suficientemente descrito para comprender la función de la clave de cifrado del sector y la clave del modo CBC y crear su programa implementando todo el proceso.

La principal diferencia entre BitLocker de otros programas de esta clase es una forma de almacenar claves con un disco encriptado desconectado. De forma predeterminada, en el modo básico, BitLocker protege el asistente solo con un módulo TPM que existe en muchas PC modernas. Este método, que, aparentemente, es ampliamente utilizado, especialmente vulnerable a nuestro ataque, porque le permite obtener claves de cifrado, incluso si la computadora se apagó durante mucho tiempo, ya que cuando se carga la PC, las teclas se cargan automáticamente. en la memoria RAM (antes de la apariencia de inicio de sesión) sin ingresar los datos de autenticación.

Aparentemente, los especialistas de Microsoft están familiarizados con este problema y, por lo tanto, recomiendan configurar BitLocker para mejorar el modo donde se realiza la protección de la tecla, no solo con TPM, sino también la contraseña o la clave encendida uSB externo Medios de comunicación. Pero, incluso en este modo, el sistema es vulnerable si el atacante obtiene acceso físico a la PC en el momento en que funciona (incluso puede ser bloqueado o en modo de suspensión, (los estados, simplemente se apaga o se considera no sujeto. a este ataque).

Filevault.

El sistema FileVault de Apple se investigó parcialmente y la ingeniería inversa. Mac OS X 10.4 FileVault utiliza una tecla AES de 128 bits en modo CBC. Cuando se ingresa la contraseña del usuario, el título que contiene la tecla AES y la segunda clave del K2 utilizada para calcular los vectores de inicialización se descifran. El vector de inicialización para el bloque de disco I-THOM se calcula como HMAC-SHA1 K2 (I).

Utilizamos nuestro programa EFI para obtener imágenes de RAM para recibir datos de una computadora Makintosh (basada en procesador de Intel) Con un disco conectado cifrado. Después de eso, el programa KeyFind inconfundiblemente encontró automáticamente las teclas AES FileVault.

Sin un vector de inicialización, pero con la clave AES resultante aparece la capacidad de descifrar 4080 de 4096 bytes de cada bloque de disco (todo excepto el primer bloque AES). Nos aseguramos de que el vector de inicialización también esté en el basurero. Suponiendo que los datos no tenían tiempo para distorsionar, el atacante puede determinar el vector, intentando alternativamente todas las líneas de 160 bits en el volcado y verificar si pueden formar un posible texto abierto, con su adición binaria con una primera parte de Decryne con una primera parte de Decryne la unidad. Juntos, utilizando programas como Vilefault, AES Teclas y el vector de inicialización le permiten descifrar plenamente el disco encriptado.

En el proceso de estudiar Filevault, encontramos que Mac OS X 10.4 y 10.5 dejan múltiples copias de una contraseña de usuario en la memoria, donde son vulnerables a este ataque. Las contraseñas de las cuentas se utilizan a menudo para proteger las llaves, que a su vez se pueden usar para proteger las frases clave, los discos de FileVault encriptados.

TrueCrypt.

TrueCrypt - Sistema de cifrado popular con fuente abiertaOperando en Windows, MacOS y Linux. Admite muchos algoritmos, incluyendo AES, Serpent y Twofish. En la 4ª versión, todos los algoritmos trabajaron en modo LRW; En la 5ª versión actual, usan el modo XTS. TrueCrypt almacena la clave de cifrado y la clave de ajuste de ajuste en el título de la sección en cada disco, que está cifrado por otra clave recibida de la contraseña ingresada por el usuario.

Probamos TrueCrypt 4.3A y 5.0A trabajando bajo el sistema operativo Linux. Conectudamos el disco encriptado con una tecla AES de 256 bits, luego apagamos la alimentación y se usa para descargar su propio volcado de software. En ambos casos, KeyFind ha descubierto una clave de cifrado intacta de 256 bits. Además, en el caso de TrueCrypt 5.0.A, Keyfind pudo recuperar el modo XTS Key XTS.

Para descifrar los discos creados por Truechrypt 4, necesita una tecla Key Key LRW. Encontramos que el sistema lo almacena en cuatro palabras antes del horario clave de la tecla AES. En nuestro basurero, la llave LRW no estaba distorsionada. (Si aparecen errores, todavía podríamos restaurar la llave).

DM-Crypt.

El kernel de Linux, que comienza con la versión 2.6, incluye el soporte incorporado para DM-Crypt, el subsistema de cifrado de disco. DM-crypt usa muchos algoritmos y modos, pero de forma predeterminada, utiliza un cifrado AES de 128 bits en modo CBC con vectores de inicialización que no se basa en la información clave.

Probamos la partición creada de DM-Crypt utilizando Luks (Configuración de la clave unificada de Linux), la sucursal de la utilidad CryptSetup y 2.6.20 Kernel. El disco se cifró utilizando AES en modo CBC. Desconectamos brevemente la potencia y, utilizando el cargador PXE modificado, hizo un volcado de memoria. El programa KeyFind ha descubierto la clave AES de 128 bits correcta, que se ha restaurado sin errores. Después de su recuperación, el atacante puede descifrar y conectar la sección CRYPT DM-Crypt, modificando la utilidad CryptSetup para que percite las claves en el formato requerido.

Formas de protegerlos y restringirlos.

La implementación de la protección contra los ataques a la RAM es no trivial, ya que las claves criptográficas utilizadas deben almacenarse en algún lugar. Sugerimos enfocar los esfuerzos para destruir u ocultar las llaves antes de que el atacante pueda recibir acceso físico a la PC, evitando que el lanzamiento de la RAM se descargue, protegiendo físicamente los microcircuitos de la RAM y, si es posible, lo que reduce el período de almacenamiento de datos en RAM.

Sobrescribir la memoria

En primer lugar, es necesario evitar el almacenamiento de llaves en RAM. Debe sobrescribir la información clave si ya no se usa, y evitar que los datos copian datos en archivos de paginación. La memoria debe limpiarse antes del sistema operativo o de bibliotecas adicionales. Naturalmente, estas medidas no protegerán las teclas actualmente, ya que deben almacenarse en la memoria, como tales claves utilizadas para discos cifrados o en servidores web protegidos.

Además, la RAM debe limpiarse durante el proceso de descarga. Algunas PC pueden configurarse de tal manera que limpie la RAM cuando se cargue usando una autoprueba de encendido) antes de descargar el sistema operativo. Si el atacante no puede impedir la ejecución. esta petición, en esta PC, no tendrá la capacidad de hacer un volcado de memoria con información importante. Pero, todavía tiene la oportunidad de sacar los chips de RAM e insertarlos en otra PC con la configuración de BIOS necesaria.

Límite de descarga de una red o medios extraíbles

Muchos de nuestros ataques se implementaron utilizando arranque sobre una red o de medios extraíbles. La PC debe configurarse para requerir una contraseña de administrador para descargar de estas fuentes. Pero se debe tener en cuenta que incluso si el sistema está configurado para descargar solo desde el disco duro principal, el atacante puede cambiar el disco rígido, o en muchos casos, restablecer la computadora NVRAM para retroceder a ajustes iniciales BIOS.

Modo de sueño seguro

Los resultados del estudio mostraron que el simple bloqueo de la PC de escritorio (es decir, el SO continúa trabajando, pero para iniciar la interacción con él, se necesita la contraseña) no protege el contenido de la RAM. El modo de dormir no es efectivo y si la PC está bloqueada cuando regresa del modo de suspensión, ya que el atacante puede activar la devolución del modo de suspensión, después de lo cual es posible reiniciar la computadora portátil y hacer un volcado de memoria. Modo de hibernación (los contenidos de RAM se copian en el disco duro) tampoco ayudarán, excepto los casos de uso de información clave en medios alienados para restaurar el funcionamiento normal.

La mayoría de los sistemas de cifrado de discos duros, los usuarios pueden desactivar la PC. (El sistema BitLocker en el modo básico de operación del módulo TPM permanece vulnerable, ya que el disco se conectará automáticamente cuando se enciende la PC). Los contenidos de la memoria se pueden guardar durante un período corto después de la desconexión, por lo que se recomienda ver su estación de trabajo por otros minutos. A pesar de su efectividad, esta medida es extremadamente inconveniente debido a descarga larga Estaciones de trabajo.

La transición al modo de suspensión se puede asegurar de las siguientes maneras: requiere una contraseña u otro secreto para "despertar" la estación de trabajo y cifrar el contenido de la clave de memoria derivada de esta contraseña. La contraseña debe ser resistente, ya que el atacante puede hacer un volcado de memoria y luego intente elegir una contraseña para reventar. Si el cifrado de memoria no es posible, es necesario cifrar solo aquellas áreas que contienen información clave. Algunos sistemas pueden configurarse de tal manera que cambien a un tipo de modo de suspensión protegido, aunque generalmente no es la configuración predeterminada.

Negativa de cálculos preliminares.

Nuestros estudios han demostrado que el uso de cálculos preliminares para acelerar las operaciones criptográficas hace que la información clave sea más vulnerable. Los cálculos previos conducen al hecho de que la información de datos clave redundante aparece en la memoria, lo que permite a un atacante restaurar las teclas incluso si tienen errores. Por ejemplo, como se describe en la Sección 5, la información sobre las claves iterativas de los algoritmos AES y DES es extremadamente redundante y útil para el atacante.

El rechazo de los cálculos preliminares reducirá el rendimiento porque los cálculos potencialmente complejos deberán repetirse. Pero, por ejemplo, puede almacenar en caché los valores precalculados en un determinado intervalo de tiempo y borrar los datos obtenidos si no se utilizan durante este intervalo. Este enfoque es un compromiso entre la seguridad y el rendimiento del sistema.

Expansión de llaves

Otra forma de prevenir la recuperación clave es cambiar la información clave almacenada en la memoria, a fin de complicar la recuperación de la clave debido a varios errores. Este método se consideró en la teoría donde se mostró la función, resistente a la divulgación, cuyos datos de entrada permanecen ocultos, incluso si se detectaron casi todas las salidas, lo que es muy similar al funcionamiento de las funciones unidireccionales.

En la práctica, imagine que tenemos una tecla AE de 256 bits, que no se usa actualmente, pero será necesaria más tarde. No podemos sobrescribirlo, pero queremos que sea resistente a los intentos de recuperación. Una forma de lograr esto es resaltar un área de datos de bits B grande, llénela con los datos aleatorios R, después de lo cual se almacena en la memoria el resultado de la siguiente conversión K + H (R) (suma binaria, aprox. . Ed.), Donde H es una función de hash, por ejemplo, SHA-256.

Ahora imagine que la electricidad ha sido deshabilitada, esto conducirá al hecho de que se cambiarán los bits en esta área. Si la función Hash es resistente, cuando intenta restaurar la tecla K, el atacante solo puede calcular que puede adivinar qué bits de la región B se cambiaron de aproximadamente la mitad que podría cambiar. Si se cambiaron los bits, el atacante tendrá que buscar el tamaño del área (B / 2 + D) / D para encontrar los valores correctos de R y después de eso, para restaurar la tecla K. Si el área B es grande, Tal búsqueda puede ser muy larga, incluso si D Mala relativa.

Teóricamente, de tal manera que puedas almacenar todas las llaves, contando cada tecla, solo cuando lo necesitamos, y eliminándolo cuando no lo necesitamos. Por lo tanto, aplicando el método anterior, podemos almacenar las llaves en la memoria.

Protección física

Algunos de nuestros ataques se basaron en la presencia de acceso físico a los microcircuitos de memoria. Tales ataques se pueden prevenir mediante protección de la memoria física. Por ejemplo, los módulos de memoria se encuentran en un cuerpo de PC cerrado, o se llenan con pegamento epoxi para evitar intentos para extraerlos o acceder a ellos. Además, puede realizar la memoria de la memoria como respuesta a bajas temperaturas o intentos de abrir el caso. Este método requerirá la instalación de sensores con un sistema de energía independiente. Muchos de estos métodos están asociados con el equipo protegido de la intervención no autorizada (por ejemplo, el coprocesador IBM 4758) y puede aumentar enormemente el costo puesto de trabajo. Por otro lado, el uso de la memoria soldado a tarjeta madreSerá mucho más barato.

Cambiar arquitectura

Puedes cambiar la arquitectura de la PC. Lo que es imposible para las PC ya usadas, pero le permitirá asegurar otras nuevas.

El primer enfoque es diseñar módulos DRAM de tal manera que estén borrados de manera más rápida por todos los datos. Esto puede no ser fácil, ya que el objetivo que borra rápidamente los datos es contrario a otro propósito para que los datos no desaparezcan entre los períodos de actualización de la memoria.

Otro enfoque es agregar equipos de almacenamiento de información clave que garanticen toda la información de sus repositorios al comenzar, reiniciar y apagar. Por lo tanto, obtendremos un lugar confiable para almacenar múltiples claves, aunque la vulnerabilidad asociada con sus cálculos preliminares se mantendrá.

Otros expertos ofrecieron arquitectura, en los que los contenidos de la memoria se cifrarán constantemente. Si, además de esto, para implementar la borrada de las teclas al reiniciar y desconectar la electricidad, este método proporcionará suficientemente protegido de los ataques que hemos descrito.

Cálculos de confianza

El equipo correspondiente al concepto de "cálculos de confianza", por ejemplo, en forma de módulos TPM ya se usa en algunas PC. A pesar de su utilidad en defensa contra algunos ataques, en su forma actual, dicho equipo no ayuda a prevenir los ataques descritos por nosotros.

Los módulos TPM usados \u200b\u200bno implementan cifrado completo. En su lugar, están observando el proceso de descarga para tomar una decisión sobre si cargar la clave en RAM es segura o no. Si desea utilizar la clave, puede implementar la siguiente tecnología: la clave, el formulario adecuado para su uso no se almacenará en RAM, hasta que el proceso de descarga se realice al escenario esperado. Pero, tan pronto como la clave resulta estar en RAM, inmediatamente se convierte en un objetivo para nuestros ataques. Los módulos TPM pueden evitar la clave de la carga de la memoria, pero no le impiden leer de la memoria.

conclusiones

Contrariamente a la opinión popular, los módulos DRAM están en los datos almacenados en estado deshabilitado durante un tiempo relativamente largo. Nuestros experimentos han demostrado que este fenómeno le permite implementar una clase completa de ataques que le permiten obtener datos importantes, como las claves de cifrado de la RAM, a pesar de los intentos del sistema operativo de proteger sus contenidos. Los ataques descritos por nosotros son realizables en la práctica, y nuestros ejemplos de ataques en los sistemas de cifrado populares lo demuestran.

Pero otros tipos también son vulnerables. Los sistemas de control de derecha digitales (DRM) a menudo usan teclas simétricas almacenadas en la memoria, y también se pueden obtener utilizando los métodos descritos. Como lo hemos mostrado, los servidores web con soporte SSL también son vulnerables porque se almacenan en la memoria. llaves cerradas Requerido para crear sesiones SSL. Es probable que nuestras formas de buscar información clave sean efectivas para buscar contraseñas, números de cuenta y cualquier otro información importantealmacenado en la memoria RAM.

Parece que no hay forma sencilla de eliminar las vulnerabilidades encontradas. El cambio en lo más probable es que no sea efectivo; Los cambios de hardware ayudarán, pero los costos temporales y de recursos serán excelentes; La tecnología de "cálculos de confianza" en la forma de hoy es tan poco efectiva, ya que no puede proteger las llaves en la memoria.

En nuestra opinión, las computadoras portátiles son más susceptibles a este riesgo, que a menudo están en lugares públicos y operan en los modos vulnerables a los datos de ataque. La presencia de tales riesgos muestra que el cifrado de los discos protege los datos importantes en menor medida de lo que se considera.

Como resultado, es posible que tenga que considerar la memoria DRAM como un componente no confiable de la PC moderna y evitar procesar información confidencial importante en ella. Pero en este momento es inapropiado, siempre que la arquitectura de las PC modernas no cambie para permitir que las claves mantengan las llaves en un lugar seguro.

Disco duro - popular dispositivo modernoque le permite extender la memoria de la computadora sin la autopsia bloque de sistema. Los discos duros externos modernos se pueden colocar en cualquier bolso, y, por lo tanto, las grandes cantidades de información siempre se pueden mantener a mano. Si almacena información confidencial en su disco duro, entonces la mejor manera Está protegido: es instalar una contraseña.
Contraseña: un medio universal para proteger la información que es una clave que puede consistir en cualquier número de letras, números y símbolos. Si el usuario especificará incorrectamente la contraseña, entonces, respectivamente, no se puede obtener acceso a los datos almacenados en un disco duro externo.

¿Cómo configurar una contraseña en un disco duro externo?

Antes de que nuestro sitio ya haya sido cubierto. Además, se consideró la cuestión de lo correcto. A continuación se discutirá cómo se superpone la contraseña para este dispositivo.

Instalación de la contraseña con herramientas de Windows integradas

La instalación de la contraseña en este caso se usa con éxito tanto para las unidades USB convencionales como para los discos duros externos que difieren en grandes volúmenes. espacio del disco. La principal ventaja de este método es que no necesitará descargar e instalar programas de terceros.

Conectar externo hdd a la computadora y luego abrir explorador de Windows. Específicamente, estamos interesados \u200b\u200ben la sección "Esta computadora", que muestra todos los discos conectados a la computadora. Haga clic en el disco duro externo con el botón derecho del mouse y en el menú contextual mostrado, vaya al artículo "Habilitar BitLocker" .

El inicio de la utilidad comenzará en la pantalla. Después de un momento, se mostrará una ventana en la pantalla en la que deberá mencionar la casilla de verificación "Use una contraseña para eliminar el bloqueo desde el disco" y las líneas por debajo de dos veces especifiquen nueva contraseña. Haga clic en el botón "Más" .

Se le pedirá que elija la opción de guardar una clave de regeneración especial. Tres opciones están disponibles para usted: Guardar en su cuenta grabación de Microsoft, Guarde en un archivo a una computadora o imprima inmediatamente la tecla en la impresora. En nuestra opinión, lo más preferible es la segunda opción porque este archivo Puede descargar, por ejemplo, en una nube, y en cualquier momento, si la contraseña de duro al aire libre El disco será olvidado, lo abrirá.

Se invita al siguiente elemento de configuración a configurar el cifrado de datos. Puede notar cómo marcar el cifrado de solo espacio ocupado en el disco y el cifrado de todo el disco.

Llamamos su atención sobre el hecho de que si ha elegido el cifrado de todo el disco, debe prepararse para el hecho de que el proceso de cifrado puede retrasar largas horas. Por lo tanto, si no tienes ninguna gran número El tiempo, así como abrir un disco duro asume en las computadoras modernas, le recomendamos elegir la primera opción de cifrado.

El paso de configuración final Usted debe seleccionar el modo de cifrado de dos disponibles: Nuevo modo de cifrado y modo de compatibilidad. Dado que trabajamos con un disco duro externo, compruebe el parámetro "Modo de compatibilidad" Y luego vaya más lejos.

En realidad, se completa el proceso de configuración de BitLocker. Para iniciar el proceso de superposición de la contraseña, simplemente se mantiene derecho "Iniciar cifrado" Y esperar el final del proceso.

Si, después de que se complete el cifrado, abra el Explorador de Windows en la sección "Computadora", entonces nuestra duro al aire libre El disco estará con un icono de bloqueo. Un icono abierto con un bloqueo indica que se obtiene el acceso a los datos, y se cierra, como se muestra en la captura de pantalla a continuación, dice que se requiere la contraseña.

Apertura de un disco dos veces, aparece una ventana en miniatura en la pantalla, en la que se le pedirá al usuario que especifique la contraseña desde el disco duro externo conectado.

Instalación de una contraseña usando archivo

Muchos usuarios no confían en el proceso de cifrado de datos, ya que de esta manera no puede acceder al disco en su conjunto. Por lo tanto, este método vamos a seguir de manera diferente: lugar de información almacenada en un disco duro externo en el archivo sin compresión, es decir,. Un disco duro externo, si es necesario, se puede usar sin una contraseña, pero para acceder a la información guardada en ella, la clave de seguridad necesitará.

Para configurar una contraseña usando el archivo de información, necesitará casi cualquier programa Archiver. En nuestro caso, se utilizará una herramienta popular. Winrar , Puede descargar cuáles puede vincular al final del artículo.

Tan pronto como el programa Archiver esté instalado en su computadora, abra el contenido de un disco duro externo, resútelo con un simple acceso directo del teclado Ctrl + A o Resaltar ciertas carpetas y los archivos en caso de que necesite ocultar en la contraseña, no toda la información en un disco duro externo. Después de eso, haga clic en el botón derecho del mouse y seleccione el elemento en el menú contextual mostrado. "Añadir al archivo" .

Aparecerá una ventana en la pantalla en la que necesitará en el bloque. "Método de compresión" Seleccione un parámetro "Sin compresión" y luego haga clic en el botón "Configurar la clave" .

En la ventana mostrada, deberá especificar una contraseña de cualquier duración dos veces. A continuación, si es necesario, puede activar el cifrado de los datos contenidos en el archivo (sin activar este artículo, las carpetas y los archivos mencionados serán visibles, pero el acceso a ellos será limitado).

Cuando se completa la creación de archivos, en la carpeta raíz del disco duro, además de los archivos, el archivo creado que estará contenido. Ahora los archivos en el disco, excepto el archivo, se pueden eliminar.

Cuando intenta abrir el archivo en la pantalla, se mostrará una ventana con la solicitud para ingresar una contraseña. Si bien no se recibirá la contraseña del archivo, el acceso a la información será limitado.

Que al final

La mayoría método efectivo Almacenamiento de información confidencial - Uso herramienta estándar Bitlocker. Esta es una empresa maravillosa, que, tal vez, no puede encontrar análogos superiores en calidad. El segundo método que implica el uso del archivador puede considerarse más preferible porque no limita el acceso a un disco duro externo, y solo a la información que desea pasar.

Por supuesto, si es una masa de encriptores de información de información, pero no nos centramos en ellos, ya que los dos métodos descritos en el artículo son los más óptimos para la mayoría de los usuarios.

Ejecute la herramienta de cifrado en Windows ingresando la barra de búsqueda "BitLocker" y seleccionando el elemento "Gestión de BitLocker". En la siguiente ventana, puede activar el cifrado haciendo clic en "Habilitar BitLocker" junto a la designación del disco duro (si aparece un mensaje de error, lee la sección "Uso de BitLocker sin TPM").

Ahora puede elegir si desea usar una unidad flash USB o una contraseña cuando se despliegue un disco encriptado. Independientemente de la opción de la opción seleccionada, durante el proceso de configuración deberá guardar o imprimir la tecla de recuperación. Lo necesitará si olvida la contraseña o pierde su unidad flash.

Usando BitLocker sin TPM

Configure BitLocker.
BitLocker también funciona sin TPM Chip: VERDADERO, para esto, debe hacer algunas configuraciones en el Editor de políticas de grupo local.

Si el chip TPM (módulo de plataforma de confianza) no se usa en su computadora, es posible que deba realizar algunas configuraciones para activar BitLocker. En línea búsqueda de Windows Escriba "Cambio de política de grupo" y abra la sección "Editor de políticas de grupo local". Ahora abre en la columna izquierda de la "Configuración de la computadora | Plantillas administrativas | Componentes de Windows | Cifrado de disco BitLocker | Los discos del sistema operativo ", y en la columna derecha, marque la grabación" Autenticación adicional obligatoria durante la ejecución ".

Luego, en la columna central, haga clic en el enlace "Cambiar configuración de la política". Ponga el círculo opuesto "Habilitar" y un elemento de marca opuesta "Permitir el uso de BitLocker sin TPM compatible" a continuación. Después de hacer clic en "Aplicar" y "OK", puede usar BitLocker como se describe anteriormente.

VERAPRYPT ALTERNATIVA

Para cifrar sección del sistema o todo duro Disco utilizando el sucesor del programa TrueCrypt llamado Veracrypt, seleccione el elemento "Crear volumen" en el menú principal y luego "Cifrar la partición del sistema o la unidad completa del sistema". Para encriptar todo el disco duro junto con ventanas de la secciónSeleccione "Cifrar toda la unidad", seguido de instrucciones paso a paso para configurar. ATENCIÓN: Veracrypt crea un disco de recuperación de emergencia en caso de que olvide la contraseña. Así que necesitas un CD-Doodle vacío.

Después de encriptar su disco, deberá especificar PIM después de la contraseña, deberá especificar PIM (multiplicador de itesiones personales). Si no ha instalado PIM cuando se configura, simplemente presione ENTER.

BitLocker es una tecnología incorporada en sistemas operativos Windowsvista (profesionales / Enterprise), Windows 7 (Ultimate), Windows 8 / 8.1, así como en algunas versiones de servidores, como Servidor de windows 2012 y Server 2008 R2.

BitLocker le permite encriptivamente toda la información de los medios, puede ser un disco duro HDD incorporado o un disco duro externo, unidad USB o la tarjeta SD también es un volumen separado, por ejemplo, disco local "D: \\".

Después de instalar BitLocker, el acceso a los medios de información estará disponible solo con contraseña en todas las computadoras a las que está conectado el dispositivo. Por lo tanto, si pierde la información cifrada en BitLocker, la probabilidad de que otra persona dispondrá de sus archivos, se reduzca casi a cero.

Si pierde u olvida la contraseña a los medios encriptados, en este caso, la contraseña se puede restaurar usando la tecla de recuperación. La clave de recuperación es obligatoria antes de encriptar BitLocker. Sin este procedimiento, el encriptación de inicio no funcionará.

La clave en sí se puede obtener en varias opciones. Guarde en el archivo "txt" habitual, después de lo cual llevará un archivo de ojos adicionales. Si usted tiene computadora modernaTambién puede almacenar la llave en el módulo de plataforma (TPM). Puede guardar la llave y en la cuenta de Microsoft.

¿Cómo cifrar la unidad USB usando BitLocker?

Inserte una unidad USB y abra el conductor, luego presione el PCM en el medio adyacente y seleccione "Habilitar BitLocker" en el menú contextual

Después de una inicialización corta del disco, se le pedirá que elija una forma de desbloquear el disco. Como parte de este artículo, el método propuesto por defecto es usar una contraseña.

Seleccione más la forma de archivar la tecla. Las tres opciones se proponen, desde las cuales se seleccionó para "guardar al archivo". Guarde el archivo con la tecla de recuperación en el escritorio, cambie el nombre y la transferencia a un lugar más confiable.

Cifrar solo lugar ocupado. En este caso, toda la unidad no estará encriptada, solo la información que ya está escrita en el disco se cifrará. Este artículo vale la pena elegir si la información no es suficiente, entonces el proceso de cifrado será mucho más rápido.

Cifrar todo el disco. En este caso, todo el espacio en disco se cifrará. El proceso de cifrado puede tardar varias horas. Esta opción se recomienda para elegir si la unidad se llena por completo.

Espere hasta que se complete el proceso de cifrado sin desconectar la computadora de la computadora, ya que los archivos pueden estar dañados. Si durante el proceso de cifrado falla o no apaga la luz, la próxima vez que encienda la computadora, el cifrado continuará con el mismo lugar.

La próxima vez que se conecte la unidad, su icono tendrá una vista de una cerradura cerrada, sugiere que este disco Encriptado con éxito.

Cuando intenta abrir el disco, aparecerá la acción habitual en la que desea especificar una contraseña para desbloquear el disco.

Si la contraseña se especifica correctamente, el disco estará abierto como de costumbre, en el explorador, y puede trabajar con archivos en el modo habitual.

Después de las acciones simples, su unidad tiene una protección confiable. En los casos de robo o pérdida, no debe preocuparse por su información, personas no autorizadas. La contraseña no podrá acceder a los archivos.

Como parte de este artículo, se mostró una instrucción sobre cómo cifrar una unidad USB con BitLocker. Pero esta no es la única posibilidad de esta tecnología.

Usando BitLocker, puede prohibir copiar archivos de su PC a dispositivos externos Información de almacenamiento, por lo tanto, protéjase de robo de archivos desde su propia computadora.

Hello COMSERVIS Lectores de blogs (Naberezhnye Chelny). En este artículo, continuaremos explorando el sistema incrustado en Windows diseñado para mejorar la seguridad de nuestros datos. Hoy es el sistema de cifrado de disco BitLocker. Se necesitan datos de cifrado para que su información saque a la gente de otras personas. Cómo caerá a ellos ya otra pregunta.

El cifrado es el proceso de transformación de datos de tal manera que solo las personas necesarias podrían acceder a ellos. Para acceder, generalmente use llaves o contraseñas.

Encriptando todo el disco le permite excluir el acceso a datos al conectar su disco duro a otra computadora. Otro sistema operativo se puede instalar en el sistema intrusor, pero no ayudará si está usando BitLocker.

La tecnología BitLocker apareció con la salida de la sala de operaciones. sistemas de Windows Vista y se mejoró en. BitLocker está disponible en versiones Máximo y Corporativo, así como en Pro. Los propietarios de otras versiones tendrán que mirar.

Estructura del artículo.

1. ¿Cómo funciona el cifrado de disco BitLocker?

Sin entrar en detalles se ve así. El sistema encripta todo el disco y le da las llaves de él. Si cifras disco Eso no arranca sin tu llave. Lo mismo que las llaves del apartamento. Los tienes que entrarás en ello. Perdido, debe usar el repuesto (código de recuperación (emitido durante el cifrado)) y cambie el bloqueo (haga que el cifrado re-con otras teclas)

Para una protección confiable, es deseable tener un módulo de plataforma de confianza (módulo de plataforma de confianza) en la computadora. Si es y su versión 1.2 o superior, administrará el proceso y tendrá métodos de defensa más fuertes. Si no lo es, será posible usar solo la clave en la unidad USB.

BitLocker funciona de la siguiente manera. Cada sector del disco se cifra por separado utilizando la tecla (clave de cifrado de volumen completo, Fvek). El algoritmo AES se usa con una llave y difusor de 128 bits. La clave se puede cambiar en 256 bits en políticos grupales seguridad.

Cuando se completará el cifrado, vea la siguiente imagen.

Cierra la ventana y comprueba si la tecla de inicio y la clave de recuperación están en lugares confiables.

3. Encriptación plana - BitLocker para ir

¿Por qué necesitas suspender el cifrado? Lo que BitLocker bloqueó su disco y no recurre al procedimiento de recuperación. Los parámetros del sistema (y los contenidos de la partición de inicio) durante el cifrado se fijan para una protección adicional. Cuando cambian, puede ocurrir un bloqueo de computadora.

Si selecciona el control BitLocker, puede guardar o imprimir la recuperación de la tecla y duplique la clave de inicio

Si se pierde una de las teclas (clave de lanzamiento o clave de recuperación), aquí puede restaurarlas.

Gestión de unidades externas de cifrado.

Las siguientes funciones están disponibles para administrar los parámetros de cifrado Flash.

Puede cambiar la contraseña para eliminar la cerradura. Puede eliminar la contraseña solo si se usa una tarjeta inteligente para eliminar el bloqueo. También puede guardar o imprimir la tecla de recuperación y encender la eliminación del bloqueo del disco para esto automáticamente.

5. Restaurar acceso de disco

Restaurar acceso al disco del sistema.

Si la unidad flash está con la tecla fuera de la zona de acceso, se ingresa la tecla de recuperación. Al descargar una computadora, verá aproximadamente la siguiente imagen.

Para restaurar el acceso y descargas de Windows Presione ENTER.

Consulte la pantalla pidiéndole que ingrese la tecla de recuperación

Con la introducción del último dígito, sujeto a la clave de recuperación correcta, el sistema operativo se cargará automáticamente.

Restaurar acceso a unidades removibles

Para restaurar el acceso a la información en la unidad Flash o haga clic en Olvidó su contraseña?

Elija Ingrese la tecla de recuperación

y ingrese este terrible código de 48 dígitos. Haga clic en Siguiente

Si la clave de recuperación es adecuada, el disco se desbloqueará.

Una referencia al control BitLocker, donde puede cambiar la contraseña para desbloquear la unidad.

Conclusión

En este artículo, aprendimos cómo puede proteger nuestra información al cifrarlo utilizando BitLocker incorporado. Se aflie a que esta tecnología solo está disponible en versiones senior o avanzadas de Windows. También quedó claro para lo oculto y sección de arranque El tamaño de 100 MB al configurar el disco usando las herramientas de Windows.

Tal vez utilice el cifrado de las unidades flash o. Pero, es poco probable porque hay buenos sustitutos en la forma. servicios en la nube Almacenamiento de datos tales como, y similares.

Gracias por compartir el artículo en redes sociales. ¡Buena suerte para ti!