Шифрування файлу заощаджує простір на жорсткому диску. Шифрування жорсткого диска за допомогою програми TrueCrypt. Два способи шифрування

Дослідники з Прінстонського Університету виявили спосіб обходу шифрування жорстких дисків, Який використовує властивість модулів оперативної пам'яті зберігати інформацію протягом короткого проміжку часу навіть після припинення подачі живлення.

Передмова

Так як для доступу до зашифрованого жорсткого диска необхідно мати ключ, а він, зрозуміло, зберігається в RAM - все, що потрібно, це отримати фізичний доступ до ПК на кілька хвилин. Після перезавантаження з зовнішнього жорсткого диска або з USB Flash робиться повний дамп пам'яті і протягом лічених хвилин з нього витягується ключ доступу.

Таким способом вдається отримати ключі шифрування (і повний доступ до жорсткого диска), що використовуються програмами BitLocker, FileVault і dm-crypt в операційних системах Windows Vista, Mac OS X і Linux, а також популярної вільно розповсюджуваної системою шифрування жорстких дисків TrueCrypt.

Важливість даної роботи полягає в тому, що не існує жодної простої методики захисту від даного способу злому, крім як відключення живлення на достатнє для повного стирання даних час.

Наочна демонстрація процесу представлена \u200b\u200bв відеоролику.

анотація

Всупереч усталеній думці, пам'ять DRAM, що використовується в більшості сучасних комп'ютерів, зберігає в собі дані навіть після відключення живлення протягом декількох секунд або хвилин, причому, це відбувається при кімнатній температурі і навіть, в разі вилучення мікросхеми з материнської плати. Цього часу виявляється цілком достатньо для зняття повного дампа оперативної пам'яті. Ми покажемо, що дане явище дозволяє зловмисникові, що має фізичний доступ до системи, обійти функції ОС по захисту даних про криптографічних ключах. Ми покажемо, як перезавантаження може використовуватися для того, щоб здійснювати успішні атаки на відомі системи шифрування жорстких дисків, не використовуючи будь-яких спеціалізованих пристроїв або матеріалів. Ми експериментально визначимо ступінь і ймовірність збереження залишкової намагніченості і покажемо що час, протягом якого можна зняти дані, може бути істотно збільшено за допомогою простих прийомів. Так само будуть запропоновані нові методи для пошуку криптографічних ключів в дампи пам'яті і виправлення помилок, пов'язаних з втратою бітів. Буде також розказано про декілька способи зменшення цих ризиків, проте простого рішення нам не відомо.

Вступ

Більшість експертів вважають, що дані з оперативної пам'яті комп'ютера стираються практично миттєво після відключення живлення, або вважають, що залишкові дані вкрай складно витягти без використання спеціального обладнання. Ми покажемо, що ці припущення є некоректними. Звичайна DRAM пам'ять втрачає дані поступово протягом декількох секунд, навіть при звичайних температурах, а якщо навіть мікросхема пам'яті буде залучена з материнської плати, дані збережуться в ній протягом хвилин або навіть годин, за умови зберігання цієї мікросхеми при низьких температурах. Залишкові дані можуть бути відновлені за допомогою простих методів, Які вимагають короткочасного фізичного доступу до комп'ютера.

Ми покажемо ряд атак, які, використовуючи ефекти залишкової намагніченості DRAM, дозволять нам відновити збережені в пам'яті ключі шифрування. Це являє собою реальну загрозу для користувачів ноутбуків, які покладаються на системи шифрування жорсткого диска. Адже в разі, якщо зловмисник викраде ноутбук, в той момент, коли зашифрований диск підключений, він зможе провести одну з наших атак для доступу до вмісту, навіть якщо сам ноутбук заблокований або знаходиться в сплячому режимі. Ми це продемонструємо, успішно атакуючи кілька популярних систем шифрування, таких як - BitLocker, TrueCrypt і FileVault. Ці атаки повинні бути успішні і щодо інших систем шифрування.

Хоча ми зосередили наші зусилля на системах шифрування жорстких дисків, в разі фізичного доступу до комп'ютера зловмисника, будь-яка важлива інформація зберігається в оперативній пам'яті може стати об'єктом для атаки. Ймовірно, і багато інших систем безпеки уразливі. Наприклад, ми виявили, що Mac OS X залишає паролі від облікових записів в пам'яті, звідки ми смоги їх витягти, так само ми зробили атаки на отримання закритих RSA ключів веб-сервера Apache.

Деякі представники спільнот по інформаційної безпеки і фізиці напівпровідників вже знали про ефект залишкової намагніченості DRAM, про це було дуже мало інформації. У підсумку, багато, хто проектує, розробляє або використовує системи безпеки, просто не знайомі з цим явищем і як легко воно може бути використано зловмисником. Наскільки нам відомо, це перша детальна робота вивчають наслідки даних явищ для інформаційної безпеки.

Атаки на зашифровані диски

Шифрування жорстких дисків це відомий спосіб захисту проти розкрадання даних. Багато хто вважає, що системи шифрування жорстких дисків дозволять захистити їхні дані, навіть в тому випадку, якщо зловмисник отримав фізичних доступ до комп'ютера (власне для цього вони і потрібні, прим. Ред.). Закон штату Каліфорнія, прийнятий в 2002 році, зобов'язує повідомляти про можливих випадках розкриття персональних даних, тільки в тому випадку, якщо дані не були зашифровані, тому що вважається, що шифрування даних - це достатня захисна міра. Хоча закон не описує ніяких конкретних технічних рішень, багато експертів рекомендують використовувати системи шифрування жорстких дисків або розділів, що буде вважатися достатніми заходами для захисту. Результати нашого дослідження показали, що віра в шифрування дисків необгрунтована. Атакуючий, далеко не найвищої кваліфікації, може обійти багато широко використовуються системи шифрування, в разі якщо ноутбук з даними викрадений, в той час коли він був включений або знаходився в сплячому режимі. І дані на ноутбуці можуть бути прочитані навіть в тому випадку, коли вони знаходяться на зашифрованому диску, тому використання систем шифрування жорстких дисків не є достатньою мірою.

Ми використовували кілька видів атак на відомі системи шифрування жорстких дисків. Найбільше часу зайняла установка зашифрованих дисків і перевірка коректності виявлених ключів шифрування. Отримання образу оперативної пам'яті і пошук ключів займали всього кілька хвилин і були повністю автоматизовані. Є підстави вважати, що більшість систем шифрування жорстких дисків схильні до подібних атак.

BitLocker

BitLocker - система, що входить до складу деяких версій ОС Windows Vista. Вона функціонує як драйвер працює між файлової системою і драйвером жорсткого диска, шифруючи і розшифровуючи на вимогу обрані сектори. Використовувані для шифрування ключі знаходяться в оперативній пам'яті до тих пір, поки зашифрований диск подмантірован.

Для шифрування кожного сектора жорсткого диска BitLocker використовує одну і ту ж пару ключів створених алгоритмом AES: ключ шифрування сектора і ключ шифрування, який працює в режимі зчеплення зашифрованих блоків (CBC). Ці два ключа в свою чергу зашифровані майстер ключем. Щоб зашифрувати сектор, проводиться процедура двійкового складання відкритого тексту з сеансовим ключем, створеним шифруванням байта зміщення сектора ключем шифрування сектора. Потім, отримані дані обробляються двома змішують функціями, які використовують розроблений Microsoft алгоритм Elephant. Ці Безключевого функції використовуються з метою збільшення кількості змін всіх бітів шифру і, відповідно, збільшення невизначеності зашифрованих даних сектора. На останньому етапі, дані шифруються алгоритмом AES в режимі CBC, з використанням відповідного ключа шифрування. Вектор ініціалізації визначається шляхом шифрування байта зміщення сектора ключем шифрування, що використовується в режимі CBC.

Нами була реалізована повністю автоматизована демонстраційна атака названа BitUnlocker. При цьому використовується зовнішній USB диск з ОС Linux і модифікованим загрузчиком на основі SYSLINUX і драйвер FUSE дозволяє підключити зашифровані BitLocker диски в ОС Linux. На тестовому комп'ютері з працюючою Windows Vista відключалася харчування, підключався USB жорсткий диск, і з нього було завантажено. Після цього BitUnlocker автоматично робив дамп оперативної пам'яті на зовнішній диск, За допомогою програми keyfind здійснював пошук можливих ключів, випробував всі підходящі варіанти (пари ключа шифрування сектора і ключа режиму CBC), і в разі успіху підключав зашифрований диск. Як тільки диск підключався, з'являлася можливість з ним працювати як з будь-яким іншим диском. на сучасному ноутбуці з 2 гігабайтами оперативної пам'яті процес займав близько 25 хвилин.

Примітно, що дану атаку стало можливим провести без реверс-інжинірингу будь-якого програмного забезпечення. У документації Microsoft система BitLocker описана в достатній мірі, для розуміння ролі ключа шифрування сектора і ключа режиму CBC і створення своєї програми реалізує весь процес.

Основна відмінність BitLocker від інших програм цього класу - це спосіб зберігання ключів при відключеному зашифрованому диску. За замовчуванням, в базовому режимі, BitLocker захищає майстер ключ тільки за допомогою TPM модуля, який існує на багатьох сучасних ПК. Даний спосіб, який, по всій видимості, широко використовується, особливо вразливий до нашої атаці, оскільки він дозволяє отримати ключі шифрування, навіть якщо комп'ютер був вимкнений протягом довгого часу, оскільки, коли ПК завантажується, ключі автоматично завантажуються в оперативну пам'ять (до появи вікна входу в систему) без введення будь-яких аутентифікаційних даних.

По всій видимості, фахівці Microsoft знайомі з цією проблемою і тому рекомендують налаштувати BitLocker в покращений режим, де захист ключів здійснюється, не тільки за допомогою TPM, але і паролем або ключем на зовнішньому USB носії. Але, навіть в такому режимі, система вразлива, якщо зловмисник отримає фізичний доступ до ПК в той момент, коли він працює (він навіть може бути заблокований або перебувати в сплячому режимі, (стану - просто вимкнений або hibernate в це випадку вважаються не піддаються даної атаці).

FileVault

Система FileVault від Apple була частково досліджена і проведений реверс-інжиніринг. У Mac OS X 10.4 FileVault використовує 128-бітний ключ AES в режимі CBC. При введенні пароля користувача, розшифровується заголовок, що містить ключ AES і другий ключ K2, який використовується для розрахунку векторів ініціалізації. Вектор ініціалізації для I-того блоку диска розраховується як HMAC-SHA1 K2 (I).

Ми використовували нашу програму EFI для отримання образів оперативної пам'яті для отримання даних з комп'ютера Макінтош (що базуються на процесорі Intel) З підключеним диском, зашифрованим FileVault. Після цього програма keyfind безпомилково автоматично знаходила AES ключі FileVault.

Без вектора ініціалізації, але з отриманим AES ключем з'являється можливість розшифрувати 4080 з 4096 байт кожного блоку диска (все крім першого AES блоку). Ми переконалися, що ініціалізації вектор так само знаходиться в дампі. Припускаючи, що дані не встигли спотворитися, атакуючий може визначити вектор, по черзі пробуючи все 160-бітові рядки в дампі і перевіряючи, чи можуть вони утворити можливий відкритий текст, при їх бінарному складення з розшифрованої першою частиною блоку. Разом, використовуючи програми типу vilefault, AES ключі і ініціалізації вектор дозволяють повністю розшифровувати зашифрований диск.

У процесі дослідження FileVault, ми виявили, що Mac OS X 10.4 і 10.5 залишають множинні копії пароля користувача в пам'яті, де вони уразливі до даної атаці. Паролі облікових записів часто використовуються для захисту ключів, які в свою чергу, можу використовуватися для захисту ключових фраз зашифрованих FileVault дисків.

TrueCrypt

TrueCrypt - популярна система шифрування з відкритим кодом, Що працює на ОС Windows, MacOS і Linux. Вона підтримує безліч алгоритмів, включаючи AES, Serpent і Twofish. У 4-ої версії, всі алгоритми працювали в режимі LRW; в поточній 5-ої версії, вони використовують режим XTS. TrueCrypt зберігає ключ шифрування і tweak ключ в заголовку розділу на кожному диску, який зашифрований іншим ключем получающимся з вводиться користувачем пароля.

Ми тестували TrueCrypt 4.3a і 5.0a працюють під ОС Linux. Ми підключили диск, зашифрований за допомогою 256-бітного AES ключа, потім відключили харчування і використовували для завантаження власне ПО для дампа пам'яті. В обох випадках, keyfind виявила 256-бітний неушкоджений ключ шифрування. Так само, в разі TrueCrypt 5.0.a, keyfind змогла відновити tweak ключ режиму XTS.

Щоб розшифрувати диски створені TrueCrypt 4, необхідний tweak ключ режиму LRW. Ми виявили, що система зберігає його в чотирьох словах перед ключовим розкладом ключа AES. У нашому дампі, LRW ключ не був спотворений. (В разі появи помилок, ми все одно змогли б відновити ключ).

Dm-crypt

Ядро Linux, починаючи з версії 2.6, включає в себе вбудовану підтримку dm-crypt - підсистеми шифрування дисків. Dm-crypt використовує безліч алгоритмів і режимів, але, за замовчуванням, вона використовує 128-бітний шифр AES в режимі CBC з ініціалізації векторами створюваними не на основі ключової інформації.

Ми тестували створений dm-crypt розділ, використовуючи LUKS (Linux Unified Key Setup) гілку утиліти cryptsetup і ядро \u200b\u200b2.6.20. Диск був зашифрований за допомогою AES в режимі CBC. Ми ненадовго відключили харчування і, використовуючи модифікований PXE завантажувач, зробили дамп пам'яті. Програма keyfind виявила коректний 128-бітний AES ключ, який і був відновлений без будь-яких помилок. Після його відновлення, зловмисник може розшифрувати і підключити розділ зашифрований dm-crypt, модифікуючи утиліту cryptsetup таким чином, щоб вона сприймала ключі в необхідному форматі.

Способи захисту та їх обмеження

Реалізація захисту від атак на оперативну пам'ять нетривіальна, оскільки використовувані криптографічні ключі необхідно деінде зберігати. Ми пропонуємо сфокусувати зусилля на знищення або приховуванні ключів до того, як зловмисник зможе отримати фізичний доступ до ПК, запобігаючи запуск ПО для дампа оперативної пам'яті, фізично захищаючи мікросхеми ОЗУ і по можливості знижуючи термін зберігання даних в ОЗУ.

перезапис пам'яті

Перш за все, треба по-можливості уникати зберігання ключів в ОЗУ. Необхідно перезаписувати ключову інформацію, якщо вона більше не використовується, і запобігати копіювання даних в файли підкачки. Пам'ять повинна очищатися завчасно засобами ОС або додаткових бібліотек. Природно, ці заходи не захистять використовувані в даний момент ключі, оскільки вони повинні зберігатися в пам'яті, наприклад такі ключі як, використовувані для шифрованих дисків або на захищених веб серверах.

Так само, ОЗУ повинна очищатися в процесі завантаження. Деякі ПК можуть бути налаштовані таким чином, щоб очищати ОЗУ при завантаженні за допомогою очищаючого POST запиту (Power-on Self-Test) до того як завантажувати ОС. Якщо зловмисник не зможе запобігти виконанню даного запиту, То на даному ПК у нього не буде можливості зробити дамп пам'яті з важливою інформацією. Але, у нього все ще залишається можливість витягнути мікросхеми ОЗУ і вставити їх в інший ПК з необхідними йому настройками BIOS.

Обмеження завантаження з мережі або зі знімних носіїв

Багато наших атаки були реалізовані з використанням завантаження по мережі або зі знімного носія. ПК повинен бути налаштований так, щоб вимагати пароль адміністратора для завантаження з цих джерел. Але, необхідно відзначити, що навіть якщо система налаштована на завантаження тільки з основного жорсткого диска, атакуючий може змінити сам жорсткий диск, або в багатьох випадках, скинути NVRAM комп'ютера для відкату на початкові налаштування BIOS.

Безпечний сплячий режим

Результати дослідження показали, що просте блокування робочого столу ПК (тобто ОС продовжує працювати, але, для того, щоб з нею почати взаємодію необхідно ввести пароль) не вдасться захистити вміст ОЗУ. Сплячий режим не є ефективним і в тому випадку, якщо ПК блокується при поверненні із сплячого режиму, оскільки зловмисник може активувати повернення із сплячого режиму, після чого перезавантажити ноутбук і зробити дамп пам'яті. Режим hibernate (вміст ОЗУ копіюється на жорсткий диск) так само не допоможе, крім випадків використання ключової інформації на відчужуваних носіях для відновлення нормального функціонування.

У більшості систем шифрування жорстких дисків, користувачі можуть захиститися вимиканням ПК. (Система Bitlocker в базовому режимі роботи TPM модуля залишається вразливою, оскільки диск буде підключений автоматично, коли ПК буде включений). Вміст пам'яті може зберігатися протягом короткого періоду після відключення, тому рекомендується поспостерігати за своєю робочою станцією ще протягом пари хвилин. Незважаючи на свою ефективність, цей захід вкрай незручна в зв'язку з довгої завантаженням робочих станцій.

Перехід в сплячий режим можна убезпечити наступними способами: вимагати пароль або інший інший секрет щоб «розбудити» робочу станцію і шифрувати вміст пам'яті ключем похідним від цього пароля. Пароль повинен бути стійким, так як зловмисник може зробити дамп пам'яті і після чого спробувати підібрати пароль перебором. Якщо ж шифрування всієї пам'яті неможливо, необхідно шифрувати тільки ті області, які містять ключову інформацію. Деякі системи можуть бути налаштовані таким чином, щоб переходити в такий тип захищеного сплячого режиму, хоча це зазвичай і не є налаштуванням за замовчуванням.

Відмова від попередніх обчислень

Наші дослідження показали, що використання попередніх обчислень для того, щоб прискорити криптографічні операції робить ключову інформацію більш вразливою. Попередні обчислення призводять до того, що в пам'яті з'являється надлишкова інформації про ключових даних, що дозволяє зловмисникові відновити ключі навіть в разі наявності помилок. Наприклад, як описано в розділі 5, інформація про ітераційних ключах алгоритмів AES і DES вкрай надлишкова і корисна для атакуючого.

Відмова від попередніх обчислень знизить продуктивність, оскільки потенційно складні обчислення доведеться повторювати. Але, наприклад, можна кешувати попередньо вирахувані значення на певний проміжок часу і прати отримані дані, якщо вони не використовуються протягом цього інтервалу. Такий підхід являє собою компроміс між безпекою та продуктивністю системи.

розширення ключів

Іншим способом запобігти відновлення ключів - це зміна ключової інформації, що зберігається в пам'яті, таким чином, щоб ускладнити відновлення ключа через різних помилок. Цей метод був розглянутий в теорії, де була показана функція, стійка до розкриття, чиї вхідні дані залишаються прихованими, навіть якщо практично всі вихідні дані були виявлені, що дуже схоже на роботу односпрямованих функцій.

На практиці, уявіть, що у нас є 256-бітний AES ключ K, який в даний момент не використовується, але знадобиться пізніше. Ми не можемо перезаписати його, але ми хочемо зробити його стійким до спроб відновлення. Один із способів досягнення цього - це виділити велику B-бітну область даних, заповнити її випадковими даними R, після чого зберігати в пам'яті результат наступного перетворення K + H (R) (підсумовування двоичное, прим. Ред.), Де H - це хеш функція, наприклад SHA-256.

Тепер уявіть, що електрика була відключена, це призведе до того, що d біт в даній області будуть змінені. Якщо хеш функція стійка, при спробі відновлення ключа K, зловмисник може розраховувати тільки на те, що він зможе вгадати які біти області B були змінені з приблизно половини, які могли зміниться. Якщо d біт були змінені, зловмисникові доведеться провести пошук області розміром (B / 2 + d) / d щоб знайти коректні значення R і вже після цього відновити ключ K. Якщо область B велика, такий пошук може бути дуже довгий, навіть якщо d щодо мала.

Теоретично, таким способом можна зберігати всі ключі, розраховуючи кожен ключ, тільки коли це нам необхідно, і видаляючи його, коли він нам не потрібен. Таким чином, застосовуючи вищеописаний метод, ми може зберігати ключі в пам'яті.

Фізичний захист

Деякі з наших атак грунтувалися на наявності фізичного доступу до мікросхем пам'яті. Такі атаки можуть бути запобігти фізичним захистом пам'яті. Наприклад, модулі пам'яті знаходитися в закритому корпусі ПК, або залиті епоксидним клеєм, щоб запобігти спробам їх вилучення або доступу до них. Так само, можна реалізувати затирання пам'яті як відповідну реакцію на низькі температури або спроби відкрити корпус. Такий спосіб зажадає установки датчиків з незалежною системою харчування. Багато з таких способів пов'язані з апаратурою, захищеної від несанкціонованого втручання (наприклад, співпроцесор IBM 4758) і можуть сильно підвищити вартість робочої станції. З іншого боку, використання пам'яті, припаяної до материнської плати, Обійдеться набагато дешевше.

зміна архітектури

Можна змінити архітектуру ПК. Що неможливо для ПК які використовуються, зате дозволить убезпечити нові.

Перший підхід полягає в тому, щоб спроектувати DRAM модулі таким чином, щоб вони швидше прали всі дані. Це може бути непросто, оскільки мета якомога швидшого стирання даних, суперечить іншої мети, щоб дані не пропадали між періодами відновлення пам'яті.

Інший підхід полягає в додаванні апаратури зберігання ключової інформації, яка б гарантовано прала всю інформацію зі своїх сховищ при запуску, перезапуску і виключенні. Таким чином, ми отримаємо надійне місце для зберігання декількох ключів, хоча вразливість, пов'язана з їх попередніми обчисленнями залишиться.

Інші експерти запропонували архітектуру, в рамках якої вміст пам'яті буде постійно шифруватися. Якщо, до того ж до цього, реалізувати стирання ключів при перезавантаженні і відключенні електрики, то даний спосіб забезпечить достатню захищеність від описаних нами атак.

довірені обчислення

Апаратура, відповідна концепції «довірених обчислень», наприклад, у вигляді TPM модулів вже використовується в деяких ПК. Незважаючи на свою корисність в захисті від деяких атак, в своїй нинішній формі таке обладнання не допомагає запобігти описані нами атаки.

Використовувані TPM модулі не реалізують повне шифрування. Замість цього, вони спостерігають за процесом завантаження для прийняття рішення про те, чи безпечно завантажувати ключ в ОЗУ чи ні. Якщо ПО необхідно використовувати ключ, то можна реалізувати наступну технологію: ключ, в придатній для використання формі не буде зберігатися в ОЗУ, до тих пір поки процес завантаження не пройде по очікуваному сценарієм. Але, як тільки ключ виявляється в оперативній пам'яті - він відразу ставати мішенню для наших атак. TPM модулі можуть запобігти завантаження ключа в пам'ять, але вони не запобігають його зчитування з пам'яті.

висновки

Всупереч популярній думці, модулі DRAM в відключеному стані зберігають дані протягом відносно тривалого часу. Наші експерименти показали, що дане явище дозволяє реалізувати цілий клас атак, які дозволяють отримати важливі дані, такі як ключі шифрування з оперативної пам'яті, не дивлячись на спроби ОС захистити її вміст. Описані нами атаки можуть бути реалізовані на практиці, і наші приклади атак на популярні системи шифрування доводять це.

Але і інші види ПО також уразливі. Системи управління цифровими правами (DRM) часто використовують симетричні ключі, що зберігаються в пам'яті, і їх так само можна отримати, використовуючи описані методи. Як ми показали, веб-сервера з підтримкою SSL теж уразливі, оскільки вони зберігають в пам'яті закриті ключі необхідні для створення SSL сеансів. Наші способи пошуку ключової інформації, швидше за все, будуть ефективні для пошуку паролів, номерів рахунків і будь-який інший важливої \u200b\u200bінформації, Що зберігається в ОЗУ.

Схоже що немає простого способу усунути знайдені вразливості. Зміна ПО швидше за все не буде ефективним; апаратні зміни допоможуть, але тимчасові та ресурсні витрати будуть великі; технологія «довірених обчислень» в її сьогоднішньої формі так само мало ефективна, оскільки вона не може захистити ключі знаходяться в пам'яті.

На нашу думку, найбільше даному ризику схильні ноутбуки, які часто знаходяться в громадських місцях і функціонують в режимах вразливих для даних атак. Наявність таких ризиків, показує, що шифрування дисків здійснює захист важливих даних в меншому ступені, ніж прийнято вважати.

У підсумку, можливо, доведеться розглядати DRAM пам'ять що не довірену компоненту сучасного ПК, і уникати обробки важливої \u200b\u200bконфіденційної інформації в ній. Але на даний момент це недоцільно, до тих пір, поки архітектура сучасних ПК не зміниться, щоб дозволити ПО зберігати ключі в безпечному місці.

Жорсткий диск - популярне сучасний пристрій, Яке дозволяє розширити пам'ять комп'ютера без розтину системного блоку. Сучасні зовнішні жорсткі диски здатні поміщатися в будь-яку сумочку, а значить, великі обсяги інформації можна мати завжди під рукою. Якщо ж ви зберігаєте на своєму жорсткому диску конфіденційну інформацію, то кращий спосіб її захистити - це встановити пароль.
Пароль - універсальний засіб для захисту інформації, яка є ключ, який може складатися з будь-якої кількості букв, цифр і символів. Якщо користувач буде неправильно вказувати пароль, то, відповідно, доступ до даних, що зберігаються на зовнішньому жорсткому диску отримано бути не може.

Як встановити пароль на зовнішній жорсткий диск?

Перш на нашому сайті вже доводилося висвітлювати. Більш того, було розглянуто питання та правильного. Нижче ж піде мова про те, яким чином проводиться накладення пароля для даного пристрою.

Установка пароля вбудованими засобами Windows

Установка пароля в даному випадку застосовується успішно як для звичайних USB-накопичувачів, так і зовнішніх жорстких дисків, які відрізняються великими обсягами дискового простору. Головне ж достоїнство даного способу полягає в тому, що від вас не буде потрібно завантаження і установка сторонніх програм.

Підключіть зовнішній жорсткий диск до комп'ютера, а потім відкрийте провідник Windows. Саме нас цікавить розділ «Цей комп'ютер», в якому відображаються всі підключені диски до комп'ютера. Клацніть по зовнішньому жорсткому диску правою кнопкою миші і в що відобразиться контекстному меню пройдіть до пункту «Включити BitLocker» .

На екрані почнеться запуск утиліти. Через мить на екрані відобразиться вікно, в якому вам буде потрібно відзначити галочкою пункт «Використовувати пароль для зняття блокування з диска» , А рядками нижче двічі вказати новий пароль. Клацніть по кнопці «Далі» .

Слідом вам буде запропоновано вибрати варіант збереження спеціального відновлює ключа. На вибір вам доступні три варіанти: зберегти до вашого профілю запис Microsoft, Зберегти в файл на комп'ютер або ж негайно роздрукувати ключ на принтері. На наш погляд, найбільш кращий другий варіант, оскільки даний файл ви можете вивантажити, наприклад, в хмару, і в будь-який момент, якщо пароль від зовнішнього жорсткого диска буде забутий, відкрити його.

Наступним пунктом настройки вам пропонується налаштувати шифрування даних. Ви можете як відзначити шифрування лише зайнятого місця на диску, так і шифрування всього диска.

Звертаємо вашу увагу на те, що якщо ви вибрали шифрування всього диска, потрібно бути готовим до того, що процес шифрування може затягнутися на довгі години. Тому, якщо ви не маєте в своєму розпорядженні наявністю великої кількості часу, а також відкрити жорсткий диск передбачається на сучасних комп'ютерах, рекомендуємо вибрати перший варіант шифрування.

Заключним етапом настройки вам слід вибрати режим шифрування з двох доступних: новий режим шифрування і режим сумісності. З огляду на, що ми працюємо з зовнішнім жорстким диском, відзначте параметр "Режим сумісності" , А потім переходите далі.

Власне, на цьому процес настройки BitLocker завершено. Щоб запустити процес накладення пароля, вам лише залишається клацнути по кнопці «Почати шифрування» і дочекатися закінчення процесу.

Якщо після закінчення шифрування відкрити провідник Windows в розділі «Цей комп'ютер», то наш зовнішній жорсткий диск буде значитися з іконкою з замочком. Відкрита іконка з замочком говорить про те, що доступ до даних отримано, а закрита, як це показано на скріншоті нижче, говорить про те, що потрібне введення пароля.

Відкривши двічі диск, на екрані відобразиться мініатюрне віконце, в якому користувачеві буде запропоновано вказати пароль від підключеного зовнішнього жорсткого диска.

Установка пароля за допомогою архівування

Багато користувачів не довіряють процесу шифрування даних, оскільки таким чином ви не можете отримати доступ до диска в цілому. Тому таким способом ми підемо трохи іншим чином - помістимо інформацію, збережену на зовнішній жорсткий диск в архів без стиснення, тобто зовнішній жорсткий диск, при необхідності, може бути використаний і без пароля, а ось для доступу до збереженої в ньому інформації потрібно ввести код безпеки.

Для установки пароля за допомогою архівування інформації вам буде потрібно практично будь-яка програма архіватор. У нашому ж випадку буде використовуватися популярний інструмент WinRAR , Скачати який ви можете за наведеним в кінці статті.

Як тільки програма-архіватор буде встановлена \u200b\u200bна вашому комп'ютері, відкрийте вміст зовнішнього жорсткого диска, виділіть його простим поєднанням клавіш Ctrl + A або виділіть певні папки і файли в тому випадку, якщо вам необхідно заховати під паролем не всю інформацію на зовнішньому жорсткому диску. Після цього клацніть по виділенню правою кнопкою миші і в що відобразиться контекстному меню виберіть пункт «Додати до архіву» .

На екрані відобразиться вікно, в якому вам буде потрібно в блоці «Метод стиснення» вибрати параметр «Без стиснення» , А потім клацнути по кнопці "Встановити пароль" .

В відобразиться вікні вам буде потрібно двічі вказати пароль будь-якої тривалості. Нижче, при необхідності, ви можете активувати шифрування даних, що містяться в архіві (без активації даного пункту назви папок і файлів буде видно, але доступ до них буде обмежений).

Коли створення архіву буде завершено, в кореневій папці жорсткого диска, крім файлів, буде міститися і створений вам архів. Тепер файли на диску, окрім архіву, можна видаляти.

При спробі відкрити архів на екрані відобразиться вікно з вимогою ввести пароль. Поки пароль від архіву не буде отриманий, доступ до інформації буде обмежений.

Що в підсумку

самий ефективний спосіб зберігання конфіденційної інформації - використання стандартного кошти BitLocker. Це чудова утиліта, якої, мабуть, годі й шукати аналогів, що перевершують за якістю. Другий спосіб, що припускає використання архіватора, можна вважати найкращим, оскільки він не обмежує доступ до зовнішнього жорсткого диска, а лише до тієї інформації, яку ви побажаєте запароліть.

Безумовно, якщо ще маса програм-шифрувальників інформації, але ми не стали акцентувати на них увагу, оскільки два способи, описані в статті - найбільш оптимальні для більшості користувачів.

Запустіть інструмент шифрування в Windows, ввівши в рядку пошуку «BitLocker» і вибравши пункт «Управління BitLocker». У наступному вікні ви можете активувати шифрування, натиснувши на «Включити BitLocker» поруч з позначенням жорсткого диска (якщо з'явиться повідомлення про помилку, прочитайте розділ «Використання BitLocker без TPM»).

Тепер ви можете вибрати, чи хочете ви при деблокування зашифрованого диска використовувати USB-флеш-накопичувач або пароль. Незалежно від обраної опції, в процесі настройки вам потрібно буде зберегти або роздрукувати ключ відновлення. Він вам знадобиться, якщо ви забудете пароль або втратите флешку.

Використання BitLocker без TPM

Налаштування BitLocker.
BitLocker також функціонує без чипа TPM - правда, для цього потрібно зробити деякі налаштування в редакторі локальної групової політики.

Якщо на вашому комп'ютері не використовується чіп TPM (Trusted Platform Module), вам, можливо, необхідно буде зробити деякі настройки, щоб активувати BitLocker. В рядку пошуку Windows наберіть «Зміна групової політики» і відкрийте розділ «Редактор локальної групової політики». Тепер відкрийте в лівій колонці редактора «Конфігурація комп'ютера | Адміністративні шаблони | компоненти Windows | Шифрування диска BitLocker | Диски операційної системи », а в правій колонці відзначте запис« Обов'язкова додаткова перевірка справжності при запуску ».

Потім в середній колонці натисніть на посилання «Змінити параметр політики». Поставте кружечок навпроти «Включити» і галочку напроти пункту «Дозволити використання BitLocker без сумісного TPM» нижче. Після натискання на «Застосувати» і «ОК» ви можете використовувати BitLocker, як описано вище.

Альтернатива у вигляді VeraCrypt

щоб зашифрувати системний розділ або весь жорсткий диск за допомогою наступника програми TrueCrypt під назвою VeraCrypt, виберіть у головному меню VeraCrypt пункт «Create Volume», а потім - «Encrypt the system partition or entire system drive». Щоб зашифрувати весь жорсткий диск разом з розділом Windows, Виберіть «Encrypt the whole drive», після чого дотримуйтесь покрокової інструкції по налаштуванню. Увага: VeraCrypt створює диск аварійного відновлення на випадок, якщо ви забудете пароль. Так що вам потрібно порожня CD-болванка.

Після того як ви зашифрували свій диск, при початковому завантаженні вам потрібно буде після пароля вказати PIM (Personal Iterations Multiplier). Якщо під час налаштування ви не встановили PIM, то просто натисніть Enter.

BitLocker є вбудованою технологією в операційних системах WindowsVista (Proffessional / Enterprise), Windows 7 (Ultimate), Windows 8 / 8.1 а також в деяких серверних версіях, таких як Windows Server 2012 і Server 2008 R2.

BitLocker дозволяє зашифрувати повністю весь носій інформації, це може бути вбудований HDD або зовнішній жорсткий диск, USB накопичувач або SD карта також окремий том, наприклад, локальний диск «D: \\».

Після установки BitLocker доступ до носія інформації буде доступний тільки по паролю на всіх комп'ютерах, до яких підключається пристрій. Таким чином, якщо ви втратите зашифрований в BitLocker носій інформації, то ймовірність того, що вашими файлами буде розпоряджатися інша людина, зводяться практично до нуля.

Якщо ви втратите або забудете пароль до зашифрованого носію, то в цьому випадки пароль можна відновити, використовуючи ключ відновлення. Ключ відновлення створюється в обов'язковому порядку перед початком шифрування BitLocker. Без цієї процедури, почати шифрування не вийде.

Сам ключ можна отримати в декількох варіантах. Зберегти в звичайному «txt» файлі, після чого прибрати файлик подалі від зайвих очей. Якщо у вас сучасний комп'ютер, То вам доступна можливість зберігати ключ в платформенном модулі (TPM). Можна зберегти ключ і в облікового запису Microsoft.

Як зашифрувати USB накопичувач, використовуючи BitLocker?

Вставте USB накопичувач і відкрийте провідник, після чого натисніть ПКМ по потрібному носію і в контекстно меню виберете «Включити BitLocker»

Після недовгої ініціалізації диска вас попросять вибрати спосіб розблокування диска. В рамках цієї статті використовується спосіб, запропонований за умовчанням - використовувати пароль.

Далі вибираємо спосіб архівації ключа. Запропоновано три варіанти, з яких було обрано «Зберегти в файл». Збережіть файл з ключем відновлення на робочому столі, перейменуйте його і перенесіть в більш надійне місце.

Шифрувати тільки зайняте місце. У цьому випадки не буде зашифрований повністю весь накопичувач, буде зашифрована тільки та інформація, яка вже записана на диск. Даний пункт варто вибирати, якщо інформації мало, тоді процес шифрування буде набагато швидше.

Шифрувати весь диск. У цьому випадки буде зашифровано весь простір диска. Процес шифрування може зайняти кілька годин. Цей варіант рекомендується вибирати, якщо накопичувач заповнений повністю.

Дочекайтеся поки завершитися процес шифрування, які не відключаючи накопичувач від комп'ютера, так як, файли можуть бути пошкоджені. Якщо в процесі шифрування будуть перебої або банально відключать світло, то при наступному включенні комп'ютера, шифрування продовжиться з того ж місце.

При наступному підключенні накопичувача, його іконка буде мати вигляд закритого замочка, це говорить про те, що даний диск успішно зашифрований.

При спробі відкрити диск звичним дією з'явиться вікно, в якому потрібно вказати пароль для розблокування диска.

Якщо пароль буде вказано правильно, диск буде відкритий як зазвичай, в провіднику, і ви зможете працювати з файлами в звичному режимі.

Після нескладних дій ваш накопичувач має надійний захист. У випадки крадіжки або втрати, вам не варто хвилюватися за свою інформацію, сторонні особи не знаючи пароль, не зможуть отримати доступ до файлів.

В рамках цієї статті була приведена інструкція, про те, як зашифрувати USB накопичувач, використовуючи BitLocker. Але ця не єдина можливість даної технології.

Використовуючи BitLocker можна заборонити копіювання файлів з вашого ПК на зовнішні пристрої зберігання інформації, таким чином убезпечити себе від крадіжки файлів з власного комп'ютера.

Привіт читачі блогу компанії КомСервис (м Набережні Челни). У цій статті ми продовжимо вивчати вбудовані в Windows системи покликані підвищити безпеку наших даних. Сьогодні це система шифрування дисків Bitlocker. Шифрування даних потрібно для того що б вашою інформацією не скористалися чужі люди. Як вона до них потрапить це вже інше питання.

Шифрування - це процес перетворення даних таким чином що б отримати доступ до них могли тільки потрібні люди. Для отримання доступу зазвичай використовують ключі або паролі.

Шифрування всього диска дозволяє виключити доступ до даних при підключенні вашого жорсткого диска до іншого комп'ютера. На системі зловмисника може бути встановлена \u200b\u200bінша операційна система для обходу захисту, але це не допоможе якщо ви використовуєте BitLocker.

Технологія BitLocker з'явилася з виходом операційної системи Windows Vista і була вдосконалена в. Bitlocker доступний у версіях Максимальна і Корпоративна а так само в Pro. Власникам інших версій доведеться шукати.

структура статті

1. Як працює шифрування диска BitLocker

Не вдаючись в подробиці виглядає це так. Система шифрує весь диск і дає вам ключі від нього. Якщо ви шифруєте системний диск то без вашого ключа не завантажиться. Теж саме як ключі від квартири. У вас вони є ви в неї потрапите. Втратили, потрібно скористатися запасними (кодом відновлення (видається при шифруванні)) і міняти замок (зробити шифрування заново з іншими ключами)

Для надійного захисту бажано наявність в комп'ютері модуля TPM TPM (Trusted Platform Module). Якщо він є і його версія 1.2 або вище, то він буде керувати процесом і у вас з'являться більш сильні методи захисту. Якщо ж його немає, то можливо буде скористатися тільки ключем на USB-накопичувачі.

Працює BitLocker наступним чином. Кожен сектор диска шифрується окремо за допомогою ключа (full-volume encryption key, FVEK). Використовується алгоритм AES з 128 бітовим ключем і дифузором. Ключ можна поміняти на 256 бітний в групових політиках безпеки.

Коли шифрування буде завершено побачите наступну картинку

Закриваєте віконце і перевіряєте в надійних чи місцях знаходяться ключ запуску і ключ відновлення.

3. Шифрування флешки - BitLocker To Go

Чому потрібно припиняти шифрування? Що б BitLocker не заблокований ваш диск і не вдаватися до процедури відновлення. Параметри системи (і вміст завантажувального розділу) при шифруванні фіксуються для додаткового захисту. При їх зміні може відбутися блокування комп'ютера.

Якщо ви оберете Управління BitLocker, то можна буде Зберегти або надрукувати ключ відновлення і Дублювати ключ запуску

Якщо один з ключів (ключ запуску або ключ відновлення) загублений, тут можна їх відновити.

Управління шифруванням зовнішніх накопичувачів

Для управління параметрами шифрування флешки доступні наступні функції

Можна змінити пароль для зняття блокування. Видалити пароль можна тільки якщо для зняття блокування допомагає смарт-карта. Так само можна зберегти або надрукувати ключ відновлення і включити зняття блокування диска для цього автоматично.

5. Відновлення доступу до диску

Відновлення доступу до системного диску

Якщо флешка з ключем поза зоною доступу, то в справу вступає ключ відновлення. При завантаженні комп'ютера ви побачите приблизно наступну картину

Для відновлення доступу і завантаження Windows натискаємо Enter

Побачимо екран з проханням ввести ключ відновлення

З введенням останньої цифри за умови правильного ключа відновлення автоматично піде завантажуватися операційна система.

Відновлення доступу до знімних накопичувачів

Для відновлення доступу до інформації на флешці або натискаємо Забули пароль?

Вибираємо Ввести ключ відновлення

і вводимо цей страшний 48-значний код. тиснемо Далі

Якщо ключ відновлення підходить то диск буде розблоковано

З'являється ссилочку на Управління BitLocker, де можна змінити пароль для розблокування накопичувача.

висновок

У цій статті ми дізналися яким чином можна захистити нашу інформацію зашифрувавши її за допомогою вбудованого засобу BitLocker. Засмучує, що ця технологія доступна тільки в старших або просунутих версіях ОС Windows. Так само стало ясно для чого ж створюється цей прихований і завантажувальний розділ розміром 100 МБ для диска засобами Windows.

Можливо буду користуватися шифруванням флешок або. Але, це малоймовірно так як є хороші замінники у вигляді хмарних сервісів зберігання даних таких як, і подібні.

Дякую за те, що поділилися статтею в соціальних мережах. Всього Вам Доброго!