Шифрування розділів дисків. Захист даних на зовнішньому HDD або шифруємося на повний. Розшифровка та розблокування диска

Зараз ми постійно маємо справу з інформацією. Завдяки розвитку інформаційних технологій, тепер робота, творчість, розвага значною мірою перетворилися на процеси з обробки чи споживання інформації. І серед цього величезного масиву інформації частина даних не має бути загальнодоступною. Прикладом такої інформації можуть бути файли та дані, пов'язані з комерційною діяльністю; приватні архіви.

Частина цих даних не призначена для широкого кола просто з тієї причини, що їм нема чого про це знати; а якась інформація є життєво важливою.

Ця стаття присвячена надійному захисту саме життєво важливої ​​інформації, а також будь-яких файлів, які ви хочете убезпечити від доступу інших осіб, навіть якщо ваш комп'ютер або носій (флешка, жорсткий диск) потрапили в руки сторонніх осіб, у тому числі технічно просунутих та мають доступ до потужних обчислювальних ресурсів.

Чому не варто довіряти програмам для шифрування із закритим вихідним кодом

У програми із закритим вихідним кодом можуть бути впроваджені «закладки» (і не треба сподіватися, що їх там немає!) та можливість відкривати зашифровані файли за допомогою майстер-ключа. Тобто. ви можете використовувати будь-який, найскладніший пароль, але ваш зашифрований файл все одно з легкістю, без перебору паролів, може бути відкритий за допомогою «закладки» або власником майстер-ключа. Розмір компанії-виробника програмного забезпечення для шифрування та назва країни у цьому питанні ролі не відіграють, оскільки це є частиною державної політики багатьох країн. Адже нас весь час оточують терористи та наркоторговці (а що робити?).

Тобто. на дійсно надійне шифрування можна сподіватися правильно використовуючи популярне програмне забезпечення з відкритим вихідним кодом і стійким для злому алгоритмом шифрування.

Чи варто переходити з TrueCrypt на VeraCrypt

Еталонна програма, яка багато років дозволяє дуже надійно шифрувати файли є TrueCrypt. Ця програма досі чудово працює. На жаль, зараз розробка програми припинена.

Її найкращою спадкоємицею стала програма VeraCrypt.

VeraCrypt - це безкоштовне програмне забезпечення для шифрування дисків, яке базується на TrueCrypt 7.1a.

VeraCrypt продовжує найкращі традиції TrueCrypt, але при цьому додає підвищену безпеку алгоритмам, що використовуються для шифрування систем та розділів, що робить ваші зашифровані файли несприйнятливими до нових досягнень в атаках повного перебору паролів.

VeraCrypt також виправила багато вразливостей та проблем безпеки, виявлених у TrueCrypt. Вона може працювати з томами TrueCrypt та пропонує можливість конвертувати контейнери TrueCrypt та несистемні розділи у формат VeraCrypt.

Ця покращена безпека додає деяку затримку лише до відкриття зашифрованих розділів без жодного впливу на продуктивність у фазі використання зашифрованого диска. Для легітимного користувача це практично непомітна незручність, але для зловмисника стає практично неможливим отримати доступ до зашифрованих даних, незважаючи на наявність будь-яких обчислювальних потужностей.

Це можна продемонструвати наочно наступними бенчмарками зі злому (перебору) паролів у Hashcat:

Для TrueCrypt:

Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт Speed.Dev.#1.: 21957 H/s (96.78ms) Speed.Dev.#2.: 1175 H/s (99.79ms) Speed.Dev.#* .: 23131 H/s Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 біт Speed.Dev.#1.: 9222 H/s (74.13ms) Speed.Dev.#2.: 4556 H/s (95.92ms) Speed.Dev.#*.: 13778 H/s Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 біт Speed.Dev.#1.: 2429 H/s (95.69ms) Speed.Dev.#2.: 891 H /s (98.61ms) Speed.Dev.#*.: 3321 H/s Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт + boot-mode Speed.Dev.#1.: 43273 H/s (95.60ms) Speed.Dev.#2.: 2330 H/s (95.97ms) Speed.Dev.#*.: 45603 H/s

Для VeraCrypt:

Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт Speed.Dev.#1.: 68 H/s (97.63ms) Speed.Dev.#2.: 3 H/s (100.62ms) Speed.Dev.#* .: 71 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 біт Speed.Dev.#1.: 26 H/s (87.81ms) Speed.Dev.#2.: 9 H/s (98.83ms) Speed.Dev.#*.: 35 H/s Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 біт Speed.Dev.#1.: 3 H/s (57.73ms) Speed.Dev.#2.: 2 H /s (94.90ms) Speed.Dev.#*.: 5 H/s Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт + boot-mode Speed.Dev.#1.: 154 H/s (93.62ms) Speed.Dev.#2.: 7 H/s (96.56ms) Speed.Dev.#*.: 161 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 біт /s (94.25ms) Speed.Dev.#2.: 5 H/s (95.50ms) Speed.Dev.#*.: 123 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 Speed.Dev.#1.: 306 H/s (94.26ms) Speed.Dev.#2.: 13 H/s (96.99ms) Speed.Dev.#*.: 319 H/s

Як можна побачити, зламати зашифровані контейнери VeraCrypt на кілька порядків складніше, ніж контейнери TrueCrypt (які також зовсім не прості).

Повний бенчмарк та опис заліза я публікував у статті «В».

Друге важливе питання – надійність. Ніхто не хоче, щоб особливо цінні та важливі файли та відомості були втрачені через помилки у програмі. Я знаю про VeraCrypt одразу після її появи. Я стежив за її розвитком і постійно приглядався до неї. Протягом останнього року я повністю перейшов із TrueCrypt на VeraCrypt. За рік щоденної роботи VeraCrypt мене жодного разу не підбивала.

Таким чином, на мою думку, зараз варто переходити з TrueCrypt на VeraCrypt.

Як працює VeraCrypt

VeraCrypt створює спеціальний файл, який називається контейнер. Цей контейнер є зашифрованим і може бути підключений лише при введенні пароля. Після введення пароля контейнер відображається як додатковий диск (як вставлена ​​флешка). Будь-які файли, поміщені на цей диск (тобто контейнер), шифруються. Поки контейнер підключений, ви можете безперешкодно копіювати, видаляти, записувати нові файли, відкривати їх. Як тільки контейнер вимкнено, всі файли на ньому стають абсолютно недоступними, доки знову не буде виконано його підключення, тобто. поки не буде введено пароль.

Робота із файлами в зашифрованому контейнері нічим не відрізняється від роботи з файлами на будь-якому іншому диску.

При відкритті файлу або запису його в контейнер, не потрібно чекати на розшифрування - все відбувається дуже швидко, ніби ви дійсно працюєте зі звичайним диском.

Як встановити VeraCrypt у Windows

З TrueCrypt мала місце напівшпигунська історія – були створені сайти для «завантажити TrueCrypt», на них бінарний файл (ну природно!) був заражений вірусом/трояном. Ті, хто завантажував TrueCrypt з цих неофіційних сайтів, заражали свої комп'ютери, що дозволяло зловмисникам красти персональну інформацію та сприяти поширенню шкідливого ПЗ.

Взагалі всі програми потрібно завантажувати тільки з офіційних сайтів. І тим більше це стосується програм, які торкаються питань безпеки.

Офіційними місцями розміщення файлів VeraCrypt є:

Встановлення VeraCrypt у Windows

Є майстер установки, тому процес установки VeraCrypt схожий на аналогічний процес інших програм. Хіба можна пояснити кілька моментів.

Установник VeraCrypt запропонує дві опції:

• Install(Встановити VeraCrypt у вашу систему)
• Extract(Вийняти. Якщо ви оберете цю опцію, всі файли з цього пакета будуть витягнуті, але у вашу систему нічого не буде встановлено. Не вибирайте її якщо ви маєте намір шифрувати системний розділ або системний диск. Вибір цієї опції може бути корисним, наприклад, якщо ви хочете запускати VeraCrypt у так званому портативному режимі. VeraCrypt не вимагає установки в операційну систему, в якій вона буде запускатися.

Якщо ви оберете зазначену опцію, тобто. асоціацію з файлами .hc, то це додасть зручність. Оскільки якщо ви створите контейнер з розширенням.hc, то по подвійному кліку даного файлу буде запускатися VeraCrypt. Але мінус у тому, що сторонні особи можуть знати, що .hc є зашифрованими контейнерами VeraCrypt.

Програма нагадує про донат:

Якщо ви не обмежені у засобах, звичайно ж, обов'язково допоможіть автору цієї програми (він один) не хотілося б його втратити, як ми втратили автора TrueCrypt…

Інструкція VeraCrypt для початківців

VeraCrypt має багато різних можливостей і просунутих функцій. Але найпопулярнішою функцією є шифрування файлів. Далі крок за кроком показано як зашифрувати один або кілька файлів.

Почнемо з перемикання російською мовою. Російська мова вже вбудована у VeraCrypt. Його потрібно лише увімкнути. Для цього в меню SettingsОберіть Language…:

Там виберіть російську мову, після чого мова програми одразу зміниться.

Як було зазначено, файли зберігаються у зашифрованих контейнерах (їх ще називають «томи»). Тобто. почати потрібно зі створення такого контейнера, для цього в головному інтерфейсі програми натисніть кнопку « Створити том».

З'явиться майстер створення томів VeraCrypt:

Нас цікавить саме перший варіант (« Створити зашифрований файловий контейнер»), тому ми, нічого не міняючи, натискаємо Далі,

VeraCrypt має дуже цікаву функцію – можливість створити прихований том. Суть у тому, що у файлі створюється жоден, а два контейнери. Про те, що є зашифрований розділ знають усі, у тому числі можливі недоброзичливці. І якщо вас силою змушують видати пароль, то важко послатися, що зашифрованого диска немає. При створенні прихованого розділу створюються два зашифровані контейнери, які розміщені в одному файлі, але відкриваються різними паролями. Тобто. Ви можете в одному з контейнерів розмістити файли, які виглядають чутливими. А в другому контейнері – справді важливі файли. Для власних потреб ви вводите пароль для відкриття важливого розділу. У разі неможливості відмовити ви розкриваєте пароль від не дуже важливого диска. Жодних можливостей довести, що є другий диск, немає.

Для багатьох випадків (приховування не дуже критичних файлів від сторонніх очей) буде достатньо створити звичайний том, тому я просто натискаю Далі.

Виберіть місце розташування файлу:

Том VeraCrypt може перебувати у файлі (у контейнері VeraCrypt) на жорсткому диску, флеш-накопичувачі USB тощо. Контейнер VeraCrypt нічим не відрізняється від іншого звичайного файлу (наприклад, його можна переміщати або видаляти як і інші файли). Натисніть кнопку "Файл", щоб вказати ім'я та шлях до створюваного файлу-контейнера для збереження нового тома.

УВАГА: Якщо ви виберете наявний файл, VeraCrypt НЕ зашифрує його; цей файл буде видалено та замінено новоствореним контейнером VeraCrypt. Ви можете зашифрувати наявні файли (згодом), перемістивши їх у створюваний зараз контейнер VeraCrypt.

Можна вибрати будь-яке розширення файлу, це не впливає на роботу зашифрованого тома. Якщо ви оберете розширення .hc, а також якщо ви при установці задали асоціацію VeraCrypt з даним розширенням, то при подвійному натисканні по даному файлу буде запускатися VeraCrypt.

Історія нещодавно відкритих файлів дозволяє швидко отримувати доступ до цих файлів. Проте записи в історії на кшталт «H:\Мої офшорні рахунки накраденого на охуліадр доларів.doc» можуть у сторонніх осіб зародити сумніви у вашій порядності. Щоб відкрити з зашифрованого диска файли не потрапляли в історію, поставте галочку навпроти « Не зберігати історію».

Вибір алгоритмів шифрування та хешування. Якщо ви не впевнені, що вибрати, залиште значення за замовчуванням:

Введіть розмір тома та виберіть одиниці виміру (кілобайти, мегабайти, гігабайти, терабайти):

Дуже важливий етап встановлення пароля для вашого зашифрованого диска:

Хороший пароль – це дуже важливо. Уникайте паролів з одного або декількох слів, які можна знайти у словнику (або комбінацій із 2, 3 або 4 таких слів). Пароль не повинен містити імена або дати народження. Він має бути важким для вгадування. Хороший пароль - випадкова комбінація великих і малих літер, цифр та особливих символів (@^=$*+ і т.д.).

Тепер знову як паролі можна використовувати російські літери.

Допомагаємо програмі зібрати випадкові дані:

Зверніть увагу, що тут можна поставити галочку для створення динамічного диска. Тобто. він буде розширюватися в міру заповнення його інформацією.

В результаті у мене створено на робочому столі файл test.hc:

Якщо ви створили файл з розширенням.hc, то ви можете двічі клацнути по ньому, відкриється головне вікно програми, причому вже буде вставлено шлях до контейнера:

У будь-якому випадку ви можете відкрити VeraCrypt і вибрати шлях до файлу вручну (Для цього натисніть кнопку «Файл»).

Якщо пароль введено правильно, то у вас у системі з'явиться новий диск:

Ви можете скопіювати/перемістити будь-які файли. Також ви можете створювати там папки, копіювати файли звідти, видаляти і т.д.

Щоб закрити контейнер від сторонніх, натисніть кнопку Розмонтувати:

Щоб знову отримати доступ до секретних файлів, заново змонтуйте зашифрований диск.

Налаштування VeraCrypt

VeraCrypt має багато налаштувань, які ви можете змінити для вашої зручності. Я настійно рекомендую поставити галочку на « Автоматично розмонтувати томи при неактивності протягом»:

А також встановити гарячу клавішу для « Відразу розмонтувати все, очистити кеш та вийти»:

Це може дуже… ДУЖЕ знадобитися…

Портативна версія VeraCrypt у Windows

Починаючи з версії 1.22 (яка на момент написання є бетою) для Windows було додано портативний варіант. Якщо ви прочитали розділ про інсталяцію, ви повинні пам'ятати, що програма і так є портативною і дозволяє витягти свої файли. Тим не менш, окремий портативний пакет має свої особливості: для запуску установника вам потрібні права адміністратора (навіть якщо ви хочете просто розпакувати архів), а портативна версія може бути розпакована без прав адміністратора – відмінність лише в цьому.

Офіційні бета версії доступні тільки . У папці VeraCrypt Nightly Builds файлом із портативною версією є VeraCrypt Portable 1.22-BETA4.exe.

Файл із контейнером можна розмістити на флешці. На цю ж флешку можна скопіювати портативну версію VeraCrypt - це дозволить відкривати зашифрований розділ на будь-якому комп'ютері, у тому числі без встановленої VeraCrypt. Але пам'ятайте про небезпеку перехоплення натискання клавіш - мабуть, у цій ситуації може допомогти екранна клавіатура.

Як правильно використовувати програмне забезпечення для шифрування

Декілька порад, які допоможуть вам краще зберігати свої секрети:

1. Намагайтеся не допускати сторонніх осіб до вашого комп'ютера, у тому числі, не здавайте ноутбуки в багаж в аеропортах; якщо є можливість, віддавайте комп'ютери у ремонт без системного жорсткого диска тощо.
2. Використовуйте складний пароль. Не використовуйте той самий пароль, який ви використовуєте для пошти тощо.
3. При цьому не забудьте пароль! Інакше дані неможливо відновити.
4. Завантажуйте всі програми лише з офіційних сайтів.
5. Використовуйте безкоштовні програми або куплені (не використовуйте зламаний софт). А також не завантажуйте і не запускайте сумнівні файли, оскільки всі подібні програми, серед інших шкідливих елементів, можуть мати кілогери (перехоплювачі натискань клавіш), що дозволить зловмиснику дізнатися пароль від вашого зашифрованого контейнера.
6. Іноді як засіб від перехоплення натискань клавіш рекомендують використовувати екранну клавіатуру - здається, у цьому є сенс.

У Windows Vista, Windows 7 і Windows 8 версій Pro та вище розробники створили спеціальну технологію для шифрування вмісту логічних розділів на всіх видів, зовнішніх дисках та USB-флешках. BitLocker.
Навіщо вона потрібна? Якщо запустити BitLocker, всі файли, що знаходяться на диску, будуть шифруватися. Шифрування відбувається прозоро, тобто вам не потрібно щоразу вводити пароль при збереженні файлу – система все робить автоматично та непомітно. Однак, як тільки ви відключите цей диск, то при наступному його увімкненні потрібен спеціальний ключ (спеціальна смарт-карта, флешка або пароль) для доступу до нього. Тобто, якщо ви випадково втратите ноутбук, то прочитати вміст зашифрованого диска на ньому не вийде, навіть якщо ви витягнете цей жорсткий диск з цього ноутбука і спробуєте його прочитати на іншому комп'ютері. Ключ шифрування має таку довжину, що час на перебір всіх можливих комбінацій для підбору правильного варіанту на найпотужніших комп'ютерах обчислюватиметься десятиліттями. Звичайно, пароль можна вивідати під тортурами або вкрасти заздалегідь, але якщо флешка була втрачена випадково, або її вкрали, не знаючи, що вона зашифрована, то її неможливо буде прочитати.

Налаштування шифрування BitLocker на прикладі Windows 8: шифрування системного диска та шифрування флешок та зовнішніх USB-дисків.
Шифрування системного диска
Вимогою для роботи BitLocker для шифрування логічного диска, на якому встановлена ​​операційна система Windows, є наявність незашифрованого завантажувального розділу: система повинна все ж таки звідкись запускатися. Якщо правильно інсталювати Windows 8/7, то при встановленні створюються два розділи - невидимий розділ для завантажувального сектора та файлів ініціалізації та основний розділ, на якому зберігаються всі файли. Перший якраз і є таким розділом, який не потрібно шифрувати. А ось другий розділ, в якому знаходяться всі файли, шифрується.

Щоб перевірити, чи є у вас ці розділи, відкрийте Керування комп'ютером

перейдіть до розділу Запам'ятовуючі пристрої - Управління дисками.

На скріншоті розділ, створений для завантаження системи, позначений як SYSTEM RESERVED. Якщо він є, то ви можете використовувати систему BitLocker для шифрування логічного диска, на якому встановлена ​​Windows.
Для цього зайдіть у Windows із правами адміністратора, відкрийте Панель управління

перейдіть до розділу Система та безпека

і увійдіть до розділу Шифрування диска BitLocker.
Ви побачите у ньому всі диски, які можна зашифрувати. Клацніть на посилання Увімкнути BitLocker.

Налаштування шаблонів політики безпеки
У цьому місці ви можете отримати повідомлення про те, що шифрування диска неможливе, доки будуть налаштовані шаблони політики безпеки.

Справа в тому, що для запуску BitLocker потрібно системі дозволити цю операцію - це може зробити лише адміністратор і лише власноруч. Зробити це набагато простіше, ніж здається після прочитання незрозумілих повідомлень.

Відкрийте Провідник, натисніть Win + R- Відкриється рядок введення.

Введіть у неї та виконайте:

gpedit.msc

Відкриється Редактор локальної групової політики. Перейдіть до розділу

Адміністративні шаблони
- Компоненти Windows
-- Цей параметр політики дозволяє вибрати шифрування диска BitLocker
--- Диски операційної системи
---- Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску.

Встановіть значення параметра Увімкнено.

Після цього збережіть всі значення і поверніться до Панель управління- Ви можете запускати шифрування диска BitLocker.

Створення ключа та його збереження

Вам на вибір система запропонує два варіанти ключа: пароль та флешка.

При використанні флешки ви зможете скористатися жорстким диском тільки в тому випадку, якщо вставите цю флешку - на ній буде записаний ключ. При використанні пароля вам потрібно буде вводити його кожного разу, коли відбуватиметься звернення до зашифрованого розділу на цьому диску. У випадку із системним логічним диском комп'ютера пароль буде потрібен при холодному (з нуля) завантаженні або повному рестарті або при спробі прочитати вміст логічного диска на іншому комп'ютері. Щоб уникнути якогось підводного каміння, пароль вигадувати, використовуючи англійські літери та цифри.

Після створення ключа вам буде запропоновано зберегти інформацію для відновлення доступу у разі втрати: ви можете зберегти спеціальний код у текстовому файлі, зберегти його на флешці, зберегти його в обліковому записі Microsoft, або роздрукувати.

Зверніть увагу, що зберігається не сам ключ, а спеціальний код, необхідний для відновлення доступу.

Шифрування USB-дисків та флешок
Ви також можете шифрувати і зовнішні USB-диски та флешки - ця можливість вперше з'явилася у Windows 7 під назвою BitLocker To Go. Процедура така сама: ви вигадуєте пароль і зберігає код відновлення.

Коли ви монтуватимете USB-диск (приєднуватимете до комп'ютера), або спробуєте його розблокувати, система запросить у вас пароль.

Якщо ви не хочете щоразу вводити пароль, тому що впевнені в безпеці при роботі на цьому комп'ютері, то можете в додаткових параметрах при розблокуванні вказати, що довіряєте цьому комп'ютеру - у цьому випадку пароль буде вводитися завжди автоматично, доки ви не скасуйте налаштування довіри. Зверніть увагу, що на іншому комп'ютері система у вас попросить ввести пароль, тому що налаштування довіри на кожному комп'ютері діє незалежно.

Після того, як ви попрацювали з USB-диском, розмонтуйте його або просто від'єднавши, або через меню безпечного вилучення, і зашифрований диск буде захищений від несанкціонованого доступу.

Два способи шифрування

BitLocker при шифруванні пропонує два способи, що мають однаковий результат, але різний час виконання: ви можете зашифрувати тільки зайняте інформацією місце, пропустивши обробку порожнього простору, або пройтися по диску повністю, зашифрувавши весь простір логічного розділу, включаючи і не зайнятий. Перше відбувається швидше, проте залишається можливість поновлення інформації з порожнього місця. Справа в тому, що за допомогою спеціальних програм можна відновлювати інформацію, навіть якщо вона була видалена з Кошика, і навіть якщо диск було відформатовано. Звичайно, практично це виконати важко, але теоретична можливість все одно є, якщо ви не використовуєте для видалення спеціальні утиліти, що видаляють інформацію безповоротно. При шифруванні всього логічного диска шифруватиметься і місце, позначене як порожнє, і можливості відновлення інформації з нього навіть за допомогою спеціальних утиліт вже не буде. Цей спосіб абсолютно надійний, але повільніший.

При шифруванні диска бажано не вимикати комп'ютер. На шифрування 300 гігабайт у мене пішло приблизно 40 хвилин. Що буде, якщо раптово вимкнулося харчування? Не знаю, не перевіряв, але в інтернеті пишуть, що нічого страшного не станеться – потрібно буде почати шифрування заново.

Висновок

Таким чином, якщо ви постійно використовуєте флешку, на якій зберігаєте важливу інформацію, то за допомогою BitLocker можете захистити себе від попадання важливої ​​інформації в чужі руки. Також можна захистити інформацію і на жорстких дисках комп'ютера, включаючи і системні - досить повністю вимкнути комп'ютер, а інформація на дисках стане недоступною для сторонніх. Використання BitLocker після налаштування шаблонів політики безпеки не викликає жодних труднощів навіть у непідготовлених користувачів, якогось гальмування при роботі з зашифрованими дисками я не помітив.

Доброго дня читачі блогу компанії КомСервіс (м. Набережні Човни). У цій статті ми продовжимо вивчати вбудовані в Windows системи, які покликані підвищити безпеку наших даних. Сьогодні це система шифрування дисків Bitlocker. Шифрування даних потрібно для того, щоб вашою інформацією не скористалися чужі люди. Як вона до них потрапить, це вже інше питання.

Шифрування - це процес перетворення даних таким чином, щоб отримати доступ до них могли тільки потрібні люди. Для доступу зазвичай використовують ключі або паролі.

Шифрування всього диска дозволяє виключити доступ до даних при підключенні жорсткого диска до іншого комп'ютера. На системі зловмисника може бути встановлена ​​інша операційна система для обходу захисту, але це не допоможе, якщо ви використовуєте BitLocker.

Технологія BitLocker з'явилася з виходом операційної системи Windows Vista і була вдосконалена. Bitlocker доступний у версіях Максимальна і в Pro. Власникам інших версій доведеться шукати.

Структура статті

1. Як працює шифрування диска BitLocker

Не вдаючись у подробиці, це виглядає так. Система шифрує весь диск та дає вам ключі від нього. Якщо ви шифруєте системний диск, то без вашого ключа не завантажиться. Теж саме як ключі від квартири. У вас вони є, ви в неї потрапите. Втратили, потрібно скористатися запасними (кодом відновлення (видається при шифруванні)) і міняти замок (зробити шифрування наново з іншими ключами)

Для надійного захисту бажано наявність у комп'ютері довіреного платформного модуля TPM (Trusted Platform Module). Якщо він є і його версія 1.2 або вище, то він керуватиме процесом і у вас з'являться сильніші методи захисту. Якщо його немає, то можливо буде скористатися тільки ключем на USB-накопичувачі.

BitLocker працює наступним чином. Кожен сектор диска шифрується окремо з допомогою ключа (full-volume encryption key, FVEK). Використовується алгоритм AES зі 128 бітним ключем та дифузором. Ключ можна поміняти на 256 біт у групових політиках безпеки.

Коли шифрування буде завершено, побачите наступну картинку

Закриваєте віконце і перевіряєте, чи в надійних місцях знаходяться ключ запуску і ключ відновлення.

3. Шифрування флешки – BitLocker To Go

Чому потрібно зупиняти шифрування? Щоб BitLocker не заблокував ваш диск і не вдаватися до процедури відновлення. Параметри системи ( та вміст завантажувального розділу) при шифруванні фіксуються для додаткового захисту. Якщо їх змінено, може статися блокування комп'ютера.

Якщо ви оберете Керування BitLocker, то можна буде Зберегти або надрукувати ключ відновлення та Дублювати ключ запуску

Якщо один із ключів (ключ запуску або ключ відновлення) втрачено, можна їх відновити.

Управління шифруванням зовнішніх накопичувачів

Для керування параметрами шифрування флешки доступні такі функції

Можна змінити пароль, щоб зняти блокування. Видалити пароль можна лише, якщо для зняття блокування використовується смарт-картка. Також можна зберегти або надрукувати ключ відновлення та увімкнути зняття блокування диска для цього автоматично.

5. Відновлення доступу до диска

Відновлення доступу до системного диска

Якщо флешка з ключем поза зоною доступу, то справа вступає ключ відновлення. При завантаженні комп'ютера ви побачите наступну картину

Для відновлення доступу та завантаження Windows натискаємо Enter

Побачимо екран із проханням ввести ключ відновлення

З введенням останньої цифри за умови правильного ключа відновлення автоматично піде завантажуватись операційна система.

Відновлення доступу до знімних накопичувачів

Для відновлення доступу до інформації на флешці або натискаємо Забули пароль?

Вибираємо Ввести ключ відновлення

і вводимо цей страшний 48-значний код. Тиснемо Далі

Якщо ключ відновлення підходить, то диск буде розблоковано

З'являється посилання на Керування BitLocker, де можна змінити пароль для розблокування накопичувача.

Висновок

У цій статті ми дізналися, як можна захистити нашу інформацію зашифрувавши її за допомогою вбудованого засобу BitLocker. Засмучує, що ця технологія доступна лише у старших або просунутих версіях Windows. Так само стало ясно для чого створюється цей прихований і завантажувальний розділ розміром 100 МБ при налаштуванні диска засобами Windows.

Можливо користуватимуся шифруванням флешок або . Але, це малоймовірно, оскільки є хороші замінники у вигляді хмарних сервісів зберігання даних таких як , і подібні.

Дякую за те, що поділилися статтею у соціальних мережах. Усього Вам Доброго!

Пропонуємо Вашій увазі огляд найпопулярніших апаратних та програмних засобів для шифрування даних на зовнішньому жорсткому диску.

Почнемо із найпростішого. У Mac OS X вбудована Дискова утиліта, яка дозволяє створити зашифрований образ диска. Також для шифрування файлів або папок можна використовувати інше програмне забезпечення, наприклад Espionage, FileWard, StuffIt Deluxe. Крім того, деякі програми для створення резервних копій пропонують шифрування бекапів із коробки.

Ці методи хороші. Але іноді використання програмного шифрування не є найкращим варіантом. Наприклад, коли потрібно шифрувати резервні копії Time Machine. Для захисту таких бекапів доведеться зробити хитрі маніпуляції, тому що Time Machine не підтримує шифрування. Звичайне програмне забезпечення не допоможе в тому випадку, коли потрібно створити зашифровану копію завантажувального диска так, щоб він залишався завантажувальним. Зашифровані диски стосуються іншого обмеження: їх не можна використовувати на інших комп'ютерах (Mac або PC) без спеціального ПЗ.

PGP Whole Disk Encryption for the Mac – одна з тих програм, що дозволяють шифрувати вміст диска, який залишається завантажувальним та придатним для використання на Mac та PC. Це чудова програма, але для доступу до інформації на кожному комп'ютері, до якого підключається такий диск, потрібна інсталяція PGP. У разі пошкодження диска шифрування може завадити відновленню даних.

Якщо Вам потрібне універсальне рішення, яке не накладає обмеження на використання диска, варто придбати HDD із вбудованим шифруванням. Диск самостійно шифрує та дешифрує дані, тому потреби в установці додаткового програмного забезпечення відсутня. При цьому диск можна використовувати як завантажувальний том або для Time Machine. Одна застереження: якщо у диска відмовить контролер або інша електроніка, у Вас не буде можливості перенести дані з пристрою (навіть з механікою, що повністю працює) до повного відновлення HDD.

Жорсткі диски з підтримкою шифрування бувають декількох типів, залежно від механізму дешифрування:

Апаратні ключі

Деякі виробники пропонують шифруючі HDD-бокси, які блокуються за допомогою фізичного пристрою. До тих пір, поки є ключ (підключений або знаходиться поруч із диском), диск може бути прочитаний.

HDD такого типу: RadTech's Encrypted Impact Enclosures (95 доларів), RocStor Rocbit FXKT drives та кілька пристроїв від SecureDISK (від 50 доларів). Усі бокси мають два або три сумісні ключі, які підключаються до спеціального порту пристрою. SecureDISK пропонує RFID Security External Enclosure з інфрачервоним ключем (для використання диска носій має бути поруч).

Сканери відбитків пальців

Якщо Ви турбуєтеся через втрату фізичного носія, можна подивитися у бік HDD-боксів зі сканером відбитків пальців. Декілька прикладів: MXI Security Outbacker MXI Bio (419-599 $) і LaCie SAFE hard drives (400 $ за 2Гб модель). (Деякі старші моделі боксів LaCie, формату 2.5″ не шифрують дані, а використовують менш надійне блокування у прошивці). Ці диски зручні у використанні та можуть зберігати відбитки пальців до п'яти осіб. Існує кілька технік обману сканера пальців (без наявності оригінального пальця).

Клавіатура

(230-480 $) – дискові бокси, що шифрують, для яких не потрібні фізичні ключі або біометричні зчитувачі. Натомість використовується клавіатура для введення пароля (до 18 символів). Застосування клавіатури замість фізичного ключа зручно у тому випадку, коли диск часто ходить по руках. Диски підтримують функцію "самоліквідації", яка видаляє всю збережену інформацію після кількох невдалих спроб введення пароля.

З відкритим вихідним кодом була популярна протягом 10 років завдяки своїй незалежності від основних вендорів. Автори програми публічно невідомі. Серед найвідоміших користувачів програми можна виділити Едварда Сноудена та експерта з безпеки Брюса Шнайєра. Утиліта дозволяє перетворити флеш-накопичувач або жорсткий диск на захищене зашифроване сховище, в якому конфіденційна інформація прихована від сторонніх очей.

Таємничі розробники утиліти оголосили про закриття проекту в середу 28 травня, пояснивши, що використання TrueCrypt є небезпечним. «УВАГА: Використовувати TrueCrypt небезпечно, тому що це не так. програма може містити неусунені уразливості» - таке повідомлення можна побачити на сторінці продукту на порталі SourceForge. Далі слідує ще одне звернення: "Ви повинні перенести всі дані, зашифровані в TrueCrypt на зашифровані диски або образи віртуальних дисків, що підтримуються на вашій платформі".

Незалежний експерт з безпеки Грем Клулі цілком логічно прокоментував ситуацію, що склалася: «Настав час підшукати альтернативне рішення для шифрування файлів і жорстких дисків».

Це не жарт!

Спочатку з'являлися припущення, що сайт програми був зламаний кіберзлочинцями, але тепер зрозуміло, що це не обман. Сайт SourceForge зараз пропонує оновлену версію TrueCrypt (яка має цифровий підпис розробників), під час встановлення якої пропонується перейти на BitLocker або інший альтернативний інструмент.

Професор у галузі криптографії університету Джона Хопкінаса Метью Грін сказав: «Дуже малоймовірно, що невідомий хакер ідентифікував розробників TrueCrypt, вкрав їх цифровий підпис і зламав їхній сайт».

Що використати тепер?

Сайт і спливаюче сповіщення в самій програмі містить інструкції з перенесення файлів, зашифрованих TrueCrypt на сервіс BitLocker від Microsoft, що постачається разом із ОС Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise та Windows 8 Pro/Enterprise. TrueCrypt 7.2 дає змогу дешифрувати файли, але не дозволяє створювати нові зашифровані розділи.

Найочевиднішою альтернативою програмі є BitLocker, але є інші варіанти. Шнайєр поділився, що повертається до використання PGPDisk від Symantec. (110 доларів за одну ліцензію користувача) використовує добре відомий і перевірений метод шифрування PGP.

Існують інші безкоштовні альтернативи для Windows, наприклад DiskCryptor . Дослідник з комп'ютерної безпеки, відомий як The Grugq минулого року склав цілий , який актуальний і досі.

Йоханнес Ульріх, науковий керівник технологічного інституту SANS користувачам Mac OS X рекомендує звернути увагу на FileVault 2, який вбудований в OS X 10.7 (Lion) та пізніші ОС цього сімейства. FileVault використовує 128-розрядне шифрування XTS-AES, яке застосовується в агентстві національної безпеки США (NSA). На думку Ульріха, користувачі Linux повинні дотримуватися вбудованого системного інструменту Linux Unified Key Setup (LUKS). Якщо Ви використовуєте Ubuntu, то інсталятор цієї ОС вже дозволяє включити повне шифрування дисків із самого початку.

Тим не менш, користувачам знадобляться інші програми для шифрування переносних носіїв, які використовуються на комп'ютерах із різними ОС. Ульріх сказав, що в цьому випадку на думку спадає.

Німецька компанія Steganos пропонує скористатися старою версією утиліти шифрування Steganos Safe (актуальна версія на даний момент - 15, а пропонується скористатися 14 версією), яка поширюється безкоштовно.

Невідомі вразливості

Той факт, що TrueCrypt може мати вразливість у безпеці, викликає серйозні побоювання, особливо враховуючи, що аудит програми не виявив подібних проблем. Користувачі програми накопичили 70 000 доларів для проведення аудиту після чуток про те, що агенція національної безпеки США може декодувати значні обсяги зашифрованих даних. Перший етап дослідження, в якому аналізувався завантажувач TrueCrypt, був проведений минулого місяця. Аудит не виявив ні бекдорів, ні умисних уразливостей. Наступна фаза дослідження, в якій повинні були перевірятися використовувані методи криптографії, була запланована на це літо.

Грін був одним із експертів, які беруть участь в аудиті. Він розповів, що не мав жодної попередньої інформації про те, що розробники планують закрити проект. Грін розповів: «Останнє, що я чув від розробників TrueCrypt: «Ми з нетерпінням чекаємо на результати 2 фази випробування. Дякую за ваші старання!». Потрібно відзначити, що аудит продовжиться, як було заплановано, незважаючи на зупинку проекту TrueCrypt.

Можливо, творці програми вирішили припинити розробку, тому що утиліта є застарілою. Розробка припинилася 5 травня 2014, тобто. вже після офіційного припинення підтримки Windows XP. На SoundForge згадується: «Windows 8/7/Vista та пізніші системи мають вбудовані засоби для шифрування дисків та образів віртуальних дисків». Таким чином, шифрування даних вбудовано в багато ОС, і розробники могли вважати програму більше не потрібною.

Щоб додати олії у вогонь зазначимо, що 19 травня TrueCrypt було видалено із захищеної системи Tails (улюбленої системи Сноудена). Причина до кінця не ясна, але використовувати програму не слід – зазначив Клулі.

Клулі також написав: "Будь то обман, злом або логічний кінець життєвого циклу TrueCrypt, стає ясно, що свідомі користувачі не будуть почуватися комфортно, довіряючи свої дані програмі після фіаско".