Як зашифрувати дані на комп'ютері? Як зашифрувати та приховати розділ жорсткого диска за допомогою програми CyberSafe

Шифрування - це процес кодування інформації таким чином, що вона не може бути доступна іншим людям, якщо вони не мають необхідний ключ для декодування. Шифрування зазвичай використовується для захисту важливих документів, але це також хороший спосіб зупинити людей, які намагаються вкрасти ваші особисті дані.

Для чого використовувати категорії? Щоб розбити безліч програм шифрування інформації більш прості і зрозумілі набори програм, тобто. структурувати. Ця стаття обмежується набором утиліт для шифрування файлів та папок.

1. Утиліти шифрування файлів та папок – ці утиліти розглядаються в цій статті.Ці утиліти шифрування працюють безпосередньо з файлами та папками, на відміну від утиліт, які здійснюють шифрування та зберігання файлів у томах (архівах, тобто у контейнерах файлів). Ці утиліти шифрування можуть працювати в режимі "на вимогу" або в режимі "на льоту".
2. Утиліти шифрування віртуальних дисків. Такі утиліти працюють за допомогою створення томів (зашифрованих контейнерів/архівів), які подаються у файловій системі як віртуальні диски, що мають свою букву, наприклад, "L:". Ці диски можуть містити файли і папки. Файлова система комп'ютера може читати, писати і створювати документи як реального часу, тобто. у відкритому вигляді. Такі утиліти працюють у режимі "на льоту".
3. Full-drive утиліти шифрування - шифрують всі пристрої зберігання даних, наприклад, жорсткі диски, розділи диска і USB пристрою. Деякі з утиліт у цій категорії також можуть зашифрувати диск, на якому встановлена ​​операційна система.
4. Клієнтські утиліти шифрування в "хмарі":нова категорія утиліт шифрування. Ці утиліти шифрування файлів використовуються до завантаження або синхронізації з "хмарою". Файли знаходяться у зашифрованому вигляді при передачі та під час зберігання у "хмарі". Утиліти шифрування в "хмарі" використовують різні форми віртуалізації, щоб надати доступ до вихідного тексту на стороні клієнта. При цьому вся робота відбувається у режимі "на льоту".

Застереження

Операційні системи порочні: відлуння ваших особистих даних - файли підкачки, тимчасові файли, файли режиму енергозбереження ("сну системи"), видалені файли, артефакти браузерів, і т.д. - швидше за все залишаться на будь-якому комп'ютері, який ви використовуєте для доступу до даних. Це нетривіальне завдання - виділити це відлуння ваших особистих даних. Якщо вам необхідний захист даних жорсткого диска під час їх переміщення або надходження ззовні, це досить складне завдання. Наприклад, коли ви створюєте зашифрований архів файлів або розархівування такого архіву, то, відповідно, оригінальні версії файлів або копії оригінальних файлів з цього архіву залишаються на жорсткому диску. Вони також можуть залишитися в місцях сховища тимчасових файлів (ака папки Temp і т.д.). І виходить, що завдання видалення цих оригінальних версій стає завданням не простого видалення цих файлів за допомогою команди "видалити".

1. Той факт, що програма шифрування працює не означає, що вона є безпечною. Нові утиліти шифрування часто з'являються після того, як хтось прочитає прикладну криптографію, вибере алгоритм і візьметься за розробку. Можливо навіть "хтось" використовує перевірений опенсурс код. Реалізує інтерфейс користувача. Переконається, що вона працює. І подумає, що на цьому все закінчено. Але це не так. Така програма, напевно, наповнена фатальними багами. "Функціональність не означає якість, і ніяке бета-тестування не розкриє проблеми безпеки. Більшість продуктів є красивим словом "дотримується". Вони використовують алгоритми криптографії, але самі не є безпечними." (Вільний переклад) - Брюс Шнайєр, з Security Pitfalls in Cryptography. (Вихідна фраза: "Функційність не є якістю, і ніяким чином не буде випробувати цю проблему, щоб скористатися функцією захисту. Такі багато продуктів є merely buzzword compliant; вони використовуються для збереження криптографії, але вони не існують.").
2. Використання шифрування – не достатнє для забезпечення безпеки ваших даних. Існує безліч способів обійти захист, тому якщо ваші дані дуже секретні, то необхідно так само замислюватися і про інші шляхи захисту. Як "старт" для додаткових пошуків можна використовувати статтю ризики використання криптографічного ПЗ.

Огляд програм шифрування файлів та папок

TrueCryptколись був найкращою програмою у цій категорії. І досі є однією з найкращих, але вже не відповідає цій категорії, оскільки базується на роботі із засобів віртуальних дисків.

Більшість, якщо не всі програми, описані нижче, наражають користувача на неочевидні загрози, які описані вище в пункті №1 зі списку предостережень . TrueCrypt, який базується на роботі з розділами, а не на роботі з файлами та папками, не піддає користувачів цієї вразливості.

Sophos Free Encryption- Більше не доступна.

Супутні продукти та посилання

Супутні продукти:

Альтернативні продукти:

• SafeHouse Explorer є простою, безкоштовною програмою, яка досить мало важить, що дозволяє її легко використовувати на USB накопичувачах. Також ви можете знайти добре підготовлені відео матеріали та посібник користувача на їхньому веб-сайті.
  
• Rohos Mini Drive - це портативна (portable) програма, яка створює прихований, зашифрований розділ на USB накопичувачі.
• FreeOTFE (з огляду утиліт шифрування віртуальних дисків) є програмою для шифрування диска "на льоту". Вона може бути адаптована для портативного використання.
• FreeOTFE Explorer є найпростішим варіантом FreeOTFE. Вона не потребує прав адміністратора.
• Pismo File Mount Audit Package є розширенням файлової системи, що забезпечує доступ до спеціальних зашифрованих файлів (через контекстне меню провідника Windows), які надають доступ до зашифрованих папок. Програми можуть писати прямо до цих папок, що дозволяє гарантувати, що текстові копії оригінального документа не залишаться на жорсткому диску.
• 7-Zip це потужна утиліта для створення архівів файлів, яка забезпечує 256-бітове AES шифрування для *.7z та *.zip форматів. Однак, програма Pismo краще рішення, оскільки воно дозволяє уникнути проблеми зберігання незашифрованих версій файлів.

Посібник із швидкого вибору (завантажити програми для шифрування файлів та папок)

AxCrypt

		Інтеграція з контекстним меню провідника Windows. AxCrypt дозволяє так само легко відкривати, редагувати та зберігати зашифровані файли, начебто ви працювали з незашифрованими файлами. Використовуйте цей продукт, якщо потрібно часто працювати з шифрованими файлами.
		Програма використовує Open Candy (встановлюється у комплекті додаткового програмного забезпечення). Якщо хочете, то можете і не встановлювати його, але треба реєструватися на сайті.

Основні можливості програми Folder Lock такі:

• AES шифрування, довжина ключа 256 біт.
• Приховування файлів та папок.
• Шифрування файлів (за допомогою створення віртуальних дисків – сейфів) «на льоту».
• Резервне копіювання онлайн.
• Створення захищених дисків USB/CD/DVD.
• Шифрування додатків електронної пошти.
• Створення зашифрованих «гаманців», які зберігають інформацію про кредитні картки, рахунки тощо.

Здавалося б, можливостей програми цілком достатньо, особливо для персонального використання. Тепер подивимося на програму у роботі. При першому запуску програма вимагає встановити майстер-пароль, який використовується для автентифікації користувача в програмі (рис. 1). Уявіть таку ситуацію: ви приховали файли, а хтось інший запустив програму, переглянув, які файли приховані та отримав доступ до них. Погодьтеся, не дуже добре. А ось якщо програма запитує пароль, то у цього «хтось» вже нічого не вийде - принаймні доти, доки він не підбере або не дізнається ваш пароль.

Мал. 1. Встановлення майстер-паролю під час першого запуску

Насамперед подивимося, як програма приховує файли. Перейдіть до розділу Lock Files, потім або перетягніть файли (мал. 2) і папки в основну область програми або скористайтеся кнопкою Add. Як показано на рис. 3, програма дозволяє приховати файли, папки та диски.

Мал. 2. Перетягніть файл, перейдіть до нього та натисніть кнопку Lock

Мал. 3. Кнопка Add

Подивимося, що станеться, коли ми натиснемо кнопку Lock. Я спробував приховати файл C:UsersDenisDesktopcs.zip. Файл зник з Провідника, Total Commander та інших файлових менеджерів, навіть якщо увімкнено відображення прихованих файлів. Кнопка приховування файлу називається Lock, а розділ Lock Files. Однак потрібно було б ці елементи UI назвати Hide і Hide Files відповідно. Тому що насправді програма здійснює не блокування доступу до файлу, а просто ховає його. Подивіться на рис. 4. Я, знаючи точне ім'я файлу, скопіював його у файл cs2.zip. Файл спокійно скопіювався, не було жодних помилок доступу, файл не був зашифрований - він розпакувався, як завжди.

Мал. 4. Копіювання прихованого файлу

Сама по собі функція приховування безглузда і марна. Однак якщо використовувати її разом із функцією шифрування файлів - для приховування створених програмою сейфів - тоді ефективність її використання збільшиться.
В розділі Encrypt FilesВи можете створити сейфи (Lockers). Сейф – це зашифрований контейнер, який після монтування можна використовувати як звичайний диск – шифрування не просте, а прозоре. Така ж техніка використовується багатьма іншими програмами шифрування, у тому числі TrueCrypt, CyberSafe Top Secret та ін.

Мал. 5. Розділ Encrypt Files

Натисніть кнопку Create Locker, у вікні, введіть назву і виберіть розташування сейфа (мал. 6). Далі необхідно ввести пароль для доступу до сейфа (мал. 7). Наступний крок - вибір файлової системи та розміру сейфа (рис. 8). Розмір сейфа - динамічний, але ви можете задати максимальну його межу. Це дозволяє заощаджувати дискове місце, якщо ви не використовуєте сейф «під зав'язку». За бажанням можна створити сейф фіксованого розміру, що буде показано у розділі "Продуктивність" цієї статті.

Мал. 6. Назва та розташування сейфа

Мал. 7. Пароль для доступу до сейфа

Мал. 8. Файлова система та розмір сейфа

Після цього ви побачите вікно UAC (якщо він увімкнено), в якому потрібно буде натиснути Так, далі буде відображено вікно з інформацією про створений сейф. У ньому потрібно натиснути кнопку Finish, після чого буде відкрито вікно Провідника, що відображатиме підмонтований контейнер (носій), див. рис. 9.

Мал. 9. Віртуальний диск, створений програмою

Поверніться до розділу Encrypt Filesта виділіть створений сейф (рис. 10). Кнопка Open Lockerдозволяє відкрити закритий сейф, Close Locker- закрити відкритий, кнопка Edit Optionsвикликає меню, в якому знаходяться команди видалення/копіювання/перейменування/зміни пароля сейфа. Кнопка Backup Onlineдозволяє виконати резервне копіювання сейфа, причому не кудись, а в хмару (рис. 11). Але спочатку вам належить створити обліковий запис Secure Backup Account, після чого ви отримаєте до 2 ТБ дискового простору, а ваші сейфи автоматично синхронізуватимуться з онлайн-сховищем, що особливо корисно, якщо вам потрібно працювати з одним і тим же сейфом на різних комп'ютерах.

Мал. 10. Операції над сейфом

Мал. 11. Створення Secure Backup Account

Ніщо не буває просто так. З розцінками за зберігання ваших сейфів можна ознайомитись за адресою secure.newsoftwares.net/signup?id=en. За 2 Тб доведеться викласти 400 $ на місяць. 500 Гб обійдеться на місяць 100 $. Якщо чесно, це дуже дорого. За 50-60 $ можна орендувати цілий VPS з 500 Гб «на борту», ​​який ви зможете використовувати як сховище для ваших сейфів і навіть створити на ньому свій сайт.
Зверніть увагу: програма вміє створювати зашифровані розділи, але на відміну від програми PGP Desktop вона не вміє шифрувати цілі диски. В розділі Protect USB/CDможна захистити ваші USB/CD/DVD-диски, а також вкладення електронної пошти (мал. 12). Однак цей захист здійснюється не шляхом шифрування самого носія, а шляхом запису на відповідний носій сейфа, що саморозшифровується. Іншими словами, на обраний носій буде записана урізана портативна версія програми, що дозволяє «відкрити» сейф. Як такої підтримки поштових клієнтів у цієї програми також немає. Ви можете зашифрувати вкладення та прикріпити його (вже зашифроване) до листа. Але вкладення шифрується звичайним паролем, а чи не PKI. Думаю, про надійність говорити нема рації.

Мал. 12. Розділ Protect USB/CD

Розділ Make Walletsдозволяє створити гаманці, що містять інформацію про ваші кредитки, банківські рахунки і т.д. (Рис. 13). Вся інформація, ясна річ, зберігається в зашифрованому вигляді. З усією відповідальністю можу сказати, що цей розділ марний, оскільки не передбачена функція експорту інформації з гаманця. Уявіть, що у вас є безліч банківських рахунків і ви внесли інформацію про кожен з них у програму - номер рахунку, назву банку, власник рахунку, SWIFT-код і т.д. Потім вам потрібно надати інформацію про рахунок третій особі для переказу вам грошей. Вам доведеться копіювати кожне поле вручну, вставляти його в документ або електронний лист. Наявність функції експорту значно полегшила це завдання. На мою думку, набагато простіше зберігати всю цю інформацію в одному загальному документі, який потрібно помістити на створений програмою віртуальний диск - сейф.

Мал. 13. Гаманці

Переваги програми Folder Lock:

• Привабливий і зрозумілий інтерфейс, який сподобається користувачам-початківцям, що володіють англійською мовою.
• Прозоре шифрування на льоту, створення віртуальних зашифрованих дисків, з якими можна працювати, як зі звичайними дисками.
• Можливість резервного онлайн-копіювання та синхронізації зашифрованих контейнерів (сейфів).
• Можливість створення контейнерів, що саморозшифровуються, на USB/CD/DVD-дисках.

Недоліки програми:

• Немає підтримки російської мови, що ускладнить роботу з програмою користувачів, які не знайомі з англійською мовою.
• Сумнівні функції Lock Files (яка просто приховує, а не замикає файли) і Make Wallets (малоефективна без експорту інформації). Чесно кажучи, думав, що функція Lock Files забезпечуватиме прозоре шифрування папки/файлу на диску, як це робить програма CyberSafe Top Secret або файлова система EFS.
• Відсутність можливості підписання файлів, перевірки цифрового підпису.
• Відкриття сейфа не дозволяє вибрати букву диска, яка буде призначена віртуальному диску, який відповідає сейфу. У налаштуваннях програми можна вибрати тільки порядок, в якому програма призначатиме літеру диска - за зростанням (від A до Z) або за спаданням (від Z до A).
• Немає інтеграції з поштовими клієнтами, є лише можливість зашифрувати вкладення.
• Висока вартість резервного копіювання хмар.

PGP Desktop

Програма PGP Desktop від Symantec – це комплекс програм для шифрування, що забезпечує гнучке багаторівневе шифрування. Програма відрізняється від CyberSafe TopSecret та Folder Lock тісною інтеграцією у системну оболонку. Програма вбудовується в оболонку (Провідник), а доступ до її функцій здійснюється через контекстне меню Провідника (рис. 14). Як бачите, у контекстному меню є функції шифрування, підпису файлу тощо. Досить цікавою є функція створення архіву, що саморозшифровується - за принципом архіву, що саморозпаковується, тільки замість розпакування архів також ще й розшифровується. Втім, у програм Folder Lock та CyberSafe також є аналогічна функція.

Мал. 14. Контекстне меню PGP Desktop

Також доступ до функцій програми можна отримати через системний трей (мал. 15). Команда Open PGP Desktopвідкриває основне вікно програми (рис. 16).

Мал. 15. Програма у системному треї

Мал. 16. Вікно PGP Desktop

Розділи програми:

• PGP Keys- управління ключами (як власними, і імпортованими з keyserver.pgp.com).
• PGP Messaging- Управління службами обміну повідомленнями. Під час встановлення програма автоматично виявляє ваші облікові записи та автоматично шифрує комунікації AOL Instant Messenger.
• PGP Zip- Управління зашифрованими архівами. Програма підтримує прозоре та непрозоре шифрування. Цей розділ реалізує непрозоре шифрування. Ви можете створити зашифрований Zip-архів (PGP Zip) або архів, що саморозшифровується (рис. 17).
• PGP Disk– це реалізація функції прозорого шифрування. Програма може зашифрувати весь розділ жорсткого диска (або навіть весь диск) або створити новий віртуальний диск (контейнер). Тут є функція Shred Free Space, яка дозволяє затерти вільний простір на диску.
• PGP Viewer- Тут можна розшифрувати PGP-повідомлення та вкладення.
• PGP NetShare- засіб "розшарування" папок, при цьому "кулі" шифруються за допомогою PGP, а у вас є можливість додати/видалити користувачів (користувачі ідентифікуються на основі сертифікатів), які мають доступ до "кулі".

Мал. 17. Саморозшифровується архів

Щодо віртуальних дисків, то мені особливо сподобалася можливість створення віртуального диска динамічного розміру (рис. 18), а також вибору алгоритму, відмінного від AES. Програма дозволяє вибрати букву диска, до якої буде підмонтовано віртуальний диск, а також дозволяє автоматично монтувати диск під час запуску системи та розмонтувати при простої (за замовчуванням через 15 хвилин бездіяльності).

Мал. 18. Створення віртуального диска

Програма намагається зашифрувати все та вся. Вона відстежує POP/SMTP-з'єднання та пропонує їх захистити (мал. 19). Те саме стосується і клієнтів для обміну миттєвими повідомленнями (рис. 20). Також є можливість захисту IMAP-з'єднань, але її потрібно окремо включати у налаштування програми.

Мал. 19. Виявлено SSL/TLS-з'єднання

Мал. 20. PGP IM у дії

Шкода, що PGP Desktop не підтримує найпопулярніші сучасні програми на кшталт Skype та Viber. Хто зараз користується AOL IM? Думаю, таких знайдеться небагато.
Також при використанні PGP Desktop складно настроїти шифрування пошти, яке працює лише у режимі перехоплення. А якщо зашифрована пошта вже була отримана, а PGP Desktop був запущений вже після отримання зашифрованого повідомлення. Як його розшифрувати? Можна, звичайно, але доведеться це робити вручну. До того ж, вже розшифровані листи в клієнті вже ніяк не захищаються. А якщо налаштувати клієнт на сертифікати, як це зроблено у програмі CyberSafe Top Secret, листи завжди будуть зашифровані.
Режим перехоплення працює теж не дуже добре, оскільки повідомлення про захист пошти з'являється щоразу на кожен новий поштовий сервер, а у gmail їх дуже багато. Віконце захисту пошти дуже швидко вам набридне.
Стабільністю роботи програма також не відрізняється (рис. 21).

Мал. 21. PGP Desktop зависла…

Також після її встановлення система працювала повільніше (суб'єктивно).

Переваги програми PGP Desktop:

• Повноцінна програма, яка використовується для шифрування файлів, підписання файлів та перевірки електронного підпису, прозорого шифрування (віртуальні диски та шифрування всього розділу), шифрування електронної пошти.
• Підтримує сервер ключів keyserver.pgp.com.
• Можливість шифрування системного жорсткого диска.
• Функція PGP NetShare.
• Можливість затирання вільного місця.
• Тісна інтеграція із Провідником.

Недоліки програми:

• Відсутність підтримки російської мови, що ускладнить роботу з програмою для користувачів, які не знають англійської мови.
• Нестабільна робота програми.
• Низька продуктивність програми.
• Є підтримка AOL IM, але немає підтримки Skype та Viber.
• Вже розшифровані листи залишаються незахищеними клієнтом.
• Захист пошти працює тільки в режимі перехоплення, який швидко набридне, оскільки вікно захисту пошти з'являтиметься щоразу для кожного нового сервера.

CyberSafe Top Secret

Як і в попередньому огляді, детального опису програми CyberSafe Top Secret не буде, оскільки в нашому блозі і так уже багато про неї написано (рис. 22).

Мал. 22. Програма CyberSafe Top Secret

Однак ми все ж таки звернемо увагу на деякі моменти - найважливіші. Програма містить засоби управління ключами та сертифікатами, а наявність у CyberSafe власного сервера ключів дозволяє користувачеві опублікувати на ньому свій відкритий ключ, а також отримати відкриті ключі інших співробітників компанії (рис. 23).

Мал. 23. Управління ключами

Програма може використовуватись для шифрування окремих файлів, що було показано у статті «Електронний підпис: практичне використання на підприємстві програмного продукту CyberSafe Enterprise. Частина перша" . Що стосується алгоритмів шифрування, то програма CyberSafe Top Secret підтримує алгоритми ГОСТ та сертифікований криптопровайдер КриптоПро, що дозволяє використовувати її в державних установах та банках.
Також програма може використовуватися для прозорого шифрування папки (мал. 24), що дозволяє її використовувати як заміну EFS. А, враховуючи, що програма CyberSafe виявилася надійнішою і швидше (у деяких сценаріях), ніж EFS, використовувати її не тільки можна, але і потрібно.

Мал. 24. Прозоре шифрування папки C:CS-Crypted

Функціонал програми CyberSafe Top Secret нагадує функціонал програми PGP Desktop - якщо ви помітили, програма також може використовуватися для шифрування повідомлень електронної пошти, а також для електронного підпису файлів та перевірки цього підпису (розділ Ел. цифровий підписдив. рис. 25).

Мал. 25. Розділ Ел. цифровий підпис

Як і програма PGP Desktop, програма CyberSafe Top Secret вміє створювати віртуальні зашифровані диски і повністю шифрувати розділи жорсткого диска . Слід зазначити, що програма CyberSafe Top Secret вміє створювати віртуальні диски лише фіксованого розміру, на відміну від програм Folder Lock та PGP Desktop. Однак цей недолік нейтралізується можливістю прозорого шифрування папки, а розмір папки обмежений лише розміром вільного місця на жорсткому диску.
На відміну від програми PGP Desktop, програма CyberSafe Top Secret не вміє шифрувати системний жорсткий диск, вона обмежується лише шифруванням зовнішніх та внутрішніх несистемних дисків.
Зате CyberSafe Top Secret має можливість хмарного резервного копіювання, причому, на відміну від Folder Lock, дана можливість абсолютно безкоштовна, точніше функцію хмарного резервного копіювання можна налаштувати на будь-який сервіс - як платний, так і безкоштовний. Докладніше про цю можливість можна прочитати у статті «Шифрування резервного копіювання на хмарних сервісах».
Також слід зазначити дві важливі особливості програми: двофакторну авторизацію та систему довірених додатків. У налаштуваннях програми можна встановити автентифікацію за паролем або двофакторну автентифікацію (рис. 26).

Мал. 26. Налаштування програми

На вкладці Дозволено. програмиможна визначити довірені програми, яким дозволено працювати із зашифрованими файлами. За замовчуванням усі програми є довіреними. Але для більшої безпеки ви можете встановити програми, яким дозволено працювати із зашифрованими файлами (мал. 27).

Мал. 27. Довірені додатки

Переваги програми CyberSafe Top Secret:

• Підтримка алгоритмів шифрування ГОСТ та сертифікованого криптопровайдера КриптоПро, що дозволяє використовувати програму не лише приватним особам та комерційним організаціям, а й державним установам.
• Підтримка прозорого шифрування папки, що дозволяє використовувати програму як заміну EFS. Враховуючи, що програма забезпечує кращий рівень продуктивності та безпеки, така заміна більш ніж виправдана.
• Можливість підписання файлів електронним цифровим підписом та можливість перевірки підпису файлу.
• Вбудований сервер ключів, що дозволяє публікувати ключі та отримувати доступ до інших ключів, опублікованих іншими співробітниками компанії.
• Можливість створення віртуального зашифрованого диска та можливість шифрування всього розділу.
• Можливість створення архівів, що саморозшифровуються.
• Можливість безкоштовного хмарного резервного копіювання, яке працює з будь-яким сервісом – як платним, так і безкоштовним.
• Двофакторна автентифікація користувача.
• Система довірених програм, що дозволяє дозволити доступ до зашифрованих файлів лише певним програмам.
• Додаток CyberSafe підтримує набір інструкцій AES-NI, що позитивно позначається на продуктивності програми (це буде продемонстровано далі).
• Драйвер програми CyberSafe дозволяє працювати через мережу, що дає можливість організувати корпоративне шифрування.
• Російськомовний інтерфейс програми. Для англомовних користувачів є можливість перемикання англійською мовою.

Тепер про недоліки програми. Особливих недоліків у програми немає, але оскільки було поставлене завдання чесно порівняти програми, то недоліки все ж таки доведеться знайти. Якщо вже зовсім чіплятися, іноді в програмі (дуже-дуже рідко) «проскакують» нелокалізовані повідомлення на кшталт «Password is weak». Також поки що програма не вміє шифрувати системний диск, але таке шифрування не завжди і не всім необхідне. Але все це дрібниці порівняно із зависанням PGP Desktop та її вартістю (але про це ви ще не знаєте).

Продуктивність

При роботі з PGP Desktop у мене склалося враження (вже одразу після встановлення програми), що комп'ютер став працювати повільніше. Якби не це "шосте почуття", то цього розділу не було в цій статті. Було вирішено виміряти продуктивність програмою CrystalDiskMark. Усі випробування проводяться на реальній машині – жодних віртуалок. Конфігурація ноутбука наступна – Intel 1000M (1.8 GHz)/4 Гб ОЗУ/WD WD5000LPVT (500 Гб, SATA-300, 5400 RPM, буфер 8 Мб/Windows 7 64-bit). Машина не дуже потужна, але яка є.
Тест проводитиметься в такий спосіб. Запускаємо одну із програм і створюємо віртуальний контейнер. Параметри контейнера такі:

• Розмір віртуального диска – 2048 Мб.
• Файлова система - NTFS
• Літера диска Z:

Після цього програма закривається (ясна річ, віртуальний диск розмонтується) – щоб уже ніщо не заважало тесту наступної програми. Запускається наступна програма, у ній створюється аналогічний контейнер та знову проводиться тест. Щоб зрозуміліше читати результати тесту, потрібно поговорити про те, що означають результати CrystalDiskMark:

1. Seq – тест послідовного запису/послідовного читання (розмір блоку = 1024КБ);
2. 512К - тест випадкового запису/випадкового читання (розмір блоку = 512КБ);
3. 4К - те саме, що і 512К, але розмір блоку 4 Кб;
4. 4К QD32 - тест випадкового запису/читання (розмір блоку = 4КБ, Глибина Черги = 32) для NCQ&AHCI.

Під час тестування всі програми, крім CrystalDiskMark, були закриті. Я вибрав розмір тесту 1000 Мб і встановив 2 проходи, щоб зайвий раз не ґвалтувати свій жорсткий диск (в результаті цього експерименту у нього і так температура зросла з 37 до 40 градусів).

Почнемо із звичайного жорсткого диска, щоб було з чим порівнювати. Продуктивність диска C: (а це єдиний розділ на моєму комп'ютері) вважатиметься еталонною. Отже, я отримав такі результати (рис. 28).

Мал. 28. Продуктивність жорсткого диска

Тепер приступимо до тестування першої програми. Нехай це буде Folder Lock. На рис. 29 показано параметри створеного контейнера. Зверніть увагу: я використовую фіксований розмір. Результати програми показано на рис. 30. Як бачите, має місце значне зниження продуктивності проти еталоном. Але це нормальне явище - адже дані зашифровуються та розшифровуються на льоту. Продуктивність має бути нижчою, питання наскільки.

Мал. 29. Параметри контейнера Folder Lock

Мал. 30. Результати програми Folder Lock

Наступна програма – PGP Desktop. На рис. 31 - параметри створеного контейнера, але в рис. 32 – результати. Мої відчуття підтвердилися – програма справді працює повільніше, що й підтвердив тест. Ось тільки під час роботи цієї програми «гальмував» не лише віртуальний диск, а й навіть вся система, чого не спостерігалося при роботі з іншими програмами.

Мал. 31. Параметри контейнера PGP Desktop

Мал. 32. Результати програми PGP Desktop

Залишилось протестувати програму CyberSafe Top Secret. Як завжди, спочатку - параметри контейнера (рис. 33), та був результати програми (рис. 34).

Мал. 33. Параметри контейнера CyberSafe Top Secret

Мал. 34. Результати програми CyberSafe Top Secret

Думаю, коментарі будуть зайвими. За продуктивністю місця розподілилися таким чином:

1. CyberSafe Top Secret
2. Folder Lock
3. PGP Desktop

Ціна та висновки

Оскільки ми тестували пропрієтарне програмне забезпечення, потрібно розглянути ще один важливий фактор – ціна. Програма Folder Lock обійдеться 39.95 $ за одну установку і 259.70 $ за 10 інсталяцій. З одного боку, ціна не дуже висока, але функціонал програми, щиро кажучи, малий. Як зазначалося, від функцій приховування файлів і гаманців толку мало. Функція Secure Backup вимагає додаткової плати, отже, віддавати майже 40 доларів (якщо поставити себе на місце звичайного користувача, а не компанії) тільки за можливість шифрування файлів і створення сейфів, що саморозшифровуються, - дорого.
Програма PGP Desktop коштуватиме 97 доларів. І зауважте – це лише початкова ціна. Повна версія з набором всіх модулів коштуватиме приблизно 180-250$ і це лише ліцензія на 12 місяців. Інакше кажучи, щороку використання програми доведеться викласти 250$. Як на мене, це перебір.
Програма CyberSafe Top Secret – золота середина, як за функціоналом, так і за ціною. Для звичайного користувача програма коштуватиме всього 50 доларів (спеціальна антикризова ціна для Росії, решті країн повна версія обійдеться 90$). Прошу помітити, стільки коштує найповніша версія програми Ultimate.
Таблиця 1 містить порівняльну таблицю функцій всіх трьох продуктів, яка допоможе вам обрати саме ваш продукт.

Таблиця 1. Програми та функції

Функція	Folder Lock	PGP Desktop	CyberSafe Top Secret
Віртуальні зашифровані диски	Так	Так	Так
Шифрування всього розділу	Ні	Так	Так
Шифрування системного диска	Ні	Так	Ні
Зручна інтеграція із поштовими клієнтами	Ні	Ні	Так
Шифрування повідомлень електронної пошти	Так (обмежено)	Так	Так
Шифрування файлів	Ні	Так	Так
ЕЦП, підписання	Ні	Так	Так
ЕЦП, перевірка	Ні	Так	Так
Прозоре шифрування папки	Ні	Ні	Так
Саморозшифровуються архіви	Так	Так	Так
Хмарне резервне копіювання	Так (платно)	Ні	Так (безкоштовно)
Система довірених додатків	Ні	Ні	Так
Підтримка сертифікованого криптопровайдера	Ні	Ні	Так
Підтримка токенів	Ні	Ні (підтримка припинена)	Так (при встановленні КриптоПро)
Власний сервер ключів	Ні	Так	Так
Двофакторна автентифікація	Ні	Ні	Так
Приховування окремих файлів	Так	Ні	Ні
Приховування розділів жорсткого диска	Так	Ні	Так
Гаманці для зберігання платіжної інформації	Так	Ні	Ні
Підтримка шифрування ГОСТ	Ні	Ні	Так
Російський інтерфейс	Ні	Ні	Так
Послідовне читання/ запис (DiskMark), Мб/с	47/42	35/27	62/58
Вартість	40$	180-250$	50$

Враховуючи всі викладені в цій статті фактори (функціонал, продуктивність та ціну), переможцем цього порівняння є програма CyberSafe Top Secret. Якщо у вас залишилися питання, ми з радістю дамо відповідь на них у коментарях.

Теги: Додати теги

Ця стаття буде корисною для будь-якого власника ПК або ноутбука. Ви замислювалися колись, наскільки великі можуть бути ваші втрати, якщо ваша інформація потрапить не в ті руки? Деякі з вас роблять резервні копії важливих даних на знімні диски або в хмару, але це не рятує від втрати чи крадіжки техніки. Шифрувати дані я почав одразу після того, як у мого знайомого двічі на рік вкрали ноутбук. При цьому я «старовір», на сьогоднішній день я не користуюся ноутбуком і працюю виключно за ПК, і виключаю собі ризики на кшталт «забув сумку з ноутбуком у кафе».

Подумайте, який може бути параноїдальний варіант використання ваших даних. У вас заберуть клієнтську базу? Заберуть гроші з гаманця «вебмані»? Отримають доступ до десятків клієнтських проектів, за які ви відповідаєте головою? Ви станете зіркою YouTube?

Починайте шифрувати дані.

Важливий момент. Я не професіонал із захисту інформації. І стаття написана на підставі мого досвіду та уподобань, і в ній описуються методи, які підійдуть для особистого використання або дрібного бізнесу, у форматі «Краще убезпечити інформацію так, аніж ніяк».

Якщо ви постійно користуєтеся мобільними пристроями – ви зможете знайти корисні програми у статті про безкоштовні мобільні програми для бізнесу.

Навіщо шифрувати дані та параноїти щодо паролів?

Ось випадки з життя найближчого оточення за останні кілька років:

• З вкраденого ноутбука попросили у друзів у соцмережах і месенджерах понад 1 000 доларів сумарно;
• Злили клієнтську базу, яка напрацьовувалась роками, на форум любителів розсилок;
• З вебмані кіпера зняли вартість нової іномарки;
• Звели домени з гарною історією та відвідуваністю.

Можливі й неприємніші варіанти – якщо техніку «відвели» цілеспрямовано. Основами безпеки під час роботи з даними нехтують повсюдно. Це і збережені в сервісах і сайтах паролі, і паролі на робочому столі у файлі «паролі.txt».

Більшість сервісів прив'язані до пошти, пошту багато хто отримує або через поштові клієнти (Outlook, Thunderbird та подібні), або читають у браузері, само собою, зберігши пароль. Часто ще й основну пошту заведено років 15 тому, без прив'язки мобільного. У такому випадку можна втратити всі доступи до сервісів, до яких не прив'язаний номер телефону.

Якщо ви поспіхом почали переписувати паролі на папірець і гуглити «як видалити пароль з браузера назавжди» - зупиніться. Далі у статті буде кілька простих варіантів шифрування для побутового та комерційного використання для малого бізнесу.

Варіанти шифрування даних, у яких випадках їх краще використовувати для життя та бізнесу?

Ось три найпростіші, бюджетні і відносно надійні варіанти збереження даних. Навіть якщо ваша техніка потрапить у чужі руки – отримати доступ до інформації не вдасться.

Перший варіант – шифрування на знімному носії

Знімний жорсткий диск або флешка при підключенні вимагають ввести цифровий пароль на самому носії, крім того, самі шифруються дані на чіпі пам'яті. Ось так приблизно це виглядає:

У такого варіанта я бачу лише дві переваги:

1. Сумісність із різними операційними системами (це просто флешка).
2. Можливість ввести суперсекретний пароль для видалення всіх даних замість пароля для розшифровки.

Ну і ще сумнівний плюс – при кожному підключенні пристрою ви виглядатимете як погана пародія на Тома Круза у серії фільмів «Місія Нездійсненна».

1. Ціна.
2. Швидкість роботи. Зовнішні диски (а особливо флешки) працюють повільніше.
3. Шанс отримати додатковий головний біль, коли одна із цифр западе чи зламається.

Моя думка – це для любителів пограти у шпигунів. Можна використовувати як сховище важливої ​​інформації (записати всі паролі і сховати в банку з крупою або ящик зі шкарпетками), але не більше.

Ми проти покупних посилань, спам-розсилок та накруток. Тільки комплексний «білий» поступ дає довгостроковий результат.

Другий варіант – використання програм для шифрування даних на диску

Оскільки в роботі я використовую безліч «виндових» програм для збору та обробки даних, я обмежений у виборі операційної системи та працюю в Windows. Як і більше 80% користувачів ПК та ноутбуків:

Я зупинився на двох реалізаціях шифрування даних для Windows (BitLocker та VeraCrypt) через вагомі переваги:

1. У випадку з Windows від версії Vista і вище є штатний інструмент шифрування диска або його частини – Bitlocker;
2. Можна зашифрувати розділ диска повністю, незалежно від його обсягу;
3. Можна створити окремий зашифрований контейнер на кілька гігабайт, який виглядатиме як звичайний файл, і отримати дані можна буде лише знаючи, якою програмою зашифровані дані та отримавши пароль. Як приклад – зашифрований розділ у форматі.mp4 може лежати у папці «Фільми» і навряд чи комусь спаде на думку намагатися відкрити «битий» фільм програмою VeraCrypt;
4. У разі використання VeraCrypt – при встановленні відповідного програмного забезпечення зашифрований диск можна буде прочитати і під MacOS і під найпоширенішими дистрибутивами Linux.
5. VeraCrypt дозволяє створити додатковий шифрований розділ усередині зашифрованого розділу, вибачте за тавтологію. Це дозволяє створити схованку всередині схованки, якщо говорити простою мовою. Я цією функцією не скористався, але раптом вам це буде корисно знати.

З виявлених за кілька років використання недоліків:

1. Bitlocker - не кросплатформний варіант. Ні під Mac OS ні під популярними дистрибутивами Linux розділ чи диск, зашифрований «Бітлокером», відкрити не вийде. Я про це випадково дізнався, коли потрібно було перекинути на ноутбук із Ubuntu дані із зашифрованого знімного диска. Що цікаво – під Windows XP є офіційна програма Bitlocker To Go від Microsoft, яка дозволяє читати зашифровані розділи.
2. Зашифрований за допомогою VeraCrypt розділ відкрити можна лише за допомогою комп'ютера із встановленою програмою. Щоправда, є варіант створення portable-версії програми розшифровки разом із зашифрованим розділом. Але це відразу впадає в око і видно, що на диску, розділі або флешці є зашифровані дані.

Третій варіант – безпечне зберігання паролів

Іноді захист інформації обмежується необхідністю безпечно зберігати паролі, наприклад, від:

• Хмарного сховища з даними.
• Віддалений сервер, на якому ведеться вся робота.
• Пошти, облікових записів соцмереж і т.д.

У такому випадку взагалі немає сенсу у використанні спеціалізованого програмного забезпечення для зберігання паролів. Наприкінці цієї статті я розповім, як можна зберігати паролі хоч написаними на моніторі, і в той же час убезпечити їх.

Особистий досвід. Як зашифрувати диск програмою Bitlocker

Bitlocker я використовую на домашньому комп'ютері з трьох причин:

1. Я реаліст і розумію, що у мене немає жодних суперсекретних даних, заради яких варто було б використовувати якісь складні схеми зберігання та шифрування даних.
2. Bitlocker дозволяє зашифрувати вже використовуваний розділ диска. Тобто критичні дані достатньо зберегти окремо про всяк випадок, і можна приступати до шифрування диска.
3. До цих даних не потрібно регулярний доступ з комп'ютерів з іншої ОС, тому замість нагромадження сторонніх програм простіше і логічніше було використовувати штатну можливість операційної системи.

Як увімкнути BitLocker у Windows?

BitLocker можна запустити в наступних версіях ОС:

• Microsoft Windows Vista Максимальна/Корпоративна;
• Windows 7 Максимальна або Корпоративна;
• Windows Server 2008 R2;
• Windows 8 Професійна або Корпоративна;
• Windows 8.1 Професійна чи Корпоративна;
• Windows 10 Професійна, для навчальних закладів або Корпоративна.

Якщо у вас інша версія ОС, найпростішим варіантом буде підключення диска до комп'ютера з потрібною версією Windows. Для роботи із зашифрованим диском не потрібна одна з перерахованих вище версій. Наприклад, можна зашифрувати розділ диска, підключивши його до комп'ютера з Windows 7 Максимальної, а використовувати на комп'ютері з Windows 7 Home Basic.

BitLocker у Windows 7, Windows 8 та Windows 10 – сумісність

Існує проблема сумісності дисків, зашифрованих у версіях 7 та 8 та у версії 10. Windows 7 та Windows 8 використовують при шифруванні алгоритми AES, а «десятка» – XTS-AES алгоритми. Розробники заявляють, що це баг, а фіча. Хоча, як на мене – несумісність систем шифрування для операційних систем, випущених із різницею у 5 років (2009 та 2014) – не дуже гарна витівка. На офіційному форумі Microsoft у такій ситуації рекомендують використовувати інший комп'ютер. Що як мінімум дивно, тому що навіть для стародавньої Windows XP (що вийшла в 2001) випустили програму BitLocker To Go, що дозволяє підключити диск, зашифрований в Windows 7 і 8.

Як настроїти BitLocker?

Все, що стосується налаштувань шифрування, зберігається у редакторі локальної групової політики. Щоб у неї потрапити, тиснемо «Пуск», у рядку пошуку вводимо:

У вікні потрібно перейти по розділах «Конфігурація комп'ютера» – «Адміністративні шаблони» – «Компоненти Windows» – «Шифрування даних BitLocker»:

З корисних для звичайного користувача можу виділити 2 налаштування в редакторі локальної групової політики.

Перша – вибір методу шифрування та стійкість шифру.

Найнадійніший варіант із можливих до вибору – AES з 256-бітним ключем із дифузором. Але для виконання завдання «стороння людина не отримає доступу до ваших даних, якщо знайде вашу сумку з ноутбуком» достатньо будь-якої з налаштувань. Значної різниці у швидкості роботи «на око» я не помітив, тому можна використати найпросунутіший варіант.

Друге налаштування, яке може бути корисним – можливість шифрування системного диска (зазвичай це диск C) без наявності модуля TPM. TPM – Trusted Platform Module – криптопроцесор, що дозволяє шифрувати дані на системному диску. Цей модуль не встановлений на більшість ПК та ноутбуків, тому без додаткового налаштування BitLocker зашифрувати Гсистемний диск не вдасться.

Перевірте, чи встановлено модуль TPM на вашому комп'ютері або ноутбуці, можна в налаштуваннях безпеки BIOS.

Якщо він не встановлений, а ви все ж таки хочете зашифрувати системний диск, потрібно перейти в розділ "Конфігурація комп'ютера" - "Адміністративні шаблони" - "Компоненти Windows" - "Шифрування даних BitLocker" - "Диски операційної системи":

У вікні можна дозволити використання BitLocker без TPM:

Перед тим, як шифрувати системний диск, дайте відповідь собі на 3 питання:

1. Чи підтримує ваш ноутбук або комп'ютер завантаження з флешки? Якщо ні – системний диск зашифрувати не вдасться.
2. У вас на системному диску справді зберігаються важливі дані? Зазвичай хороша практика – кілька розділів (C, D) та збереження важливої ​​інформації на диску D.
3. Який шанс, що флешка зламається чи буде втрачена?

На мою особисту думку, набагато простіше розбити диск на кілька розділів (або у випадку з комп'ютером – використання кількох дисків) та зашифрувати диск із даними. Недолік лише один – можна буде увімкнути комп'ютер та завантажити операційну систему.

Переваг багато:

1. Навіть у разі поломки комп'ютера можна просто зняти диск та розшифрувати його на іншому комп'ютері.
2. Свою думку до щоденного підключення-відключення USB-ключа я вже висловив на початку статті – через 3 дні вам набридне смикати його туди-сюди, і він буде підключений завжди.
3. Навіть дорогі флешки ламаються. За законом підлості – станеться це в самий невідповідний момент.

Для мене найкращою відповіддю на питання «Чому не треба шифрувати системний диск просто тому, що так можна» стало тижневе спостереження за невдалими спробами розшифрувати диск при втраті USB-ключа.

Тому найкращий варіант для особистого використання – зашифрувати дані на окремому диску, перестати турбуватися та почати жити.

Заради справедливості, зараз вже не проблема купити ноутбук чи материнську плату з TPM модулем:

У чому каверза? Якщо ваш комп'ютер або ноутбук підтримує TPM, але щось станеться з материнською платою, ви можете попрощатися з даними на системному диску. Єдиний варіант уникнути цього зробити кілька USB-ключів і сподіватися, що флешка з ключем, і материнська плата ноутбука не вийдуть з ладу одночасно.

І додатковий нюанс – Windows досить примхлива система. Якщо у вас в 2020 році згорить ноутбук 2017 року випуску, а на системному диску буде бухгалтерія за 3 роки, дуже ймовірно доведеться шукати ноутбук аналогічної конфігурації. Тому що навіть за наявності USB-ключа операційна система може не завестися на іншому «залізі».

Повторюся – для побутового використання достатньо просто зберігати важливі дані на окремому диску або розділі, зашифрованому BitLocker. Тоді у разі поломки комп'ютера їх можна буде розшифрувати на будь-якому іншому комп'ютері з версією ОС.

Перейдемо до практичної частини.

Шифрування диска або флешки за допомогою BitLocker

Практика простіша за теорію. У меню диска або флешки вибираємо пункт «Включити Bitlocker»:

Важливий момент. Перед шифруванням зробіть резервну копію важливих даних. На випадок, якщо щось піде не так (світло «мигне» на середині процесу, наприклад) – це найкращий варіант. Знімний диск на 2 ТБ коштує 5 000 рублів, це набагато дешевше, ніж відновлення даних у разі переривання шифрування в середині процесу.

Після шифрування окрім пароля ви отримаєте ключ, за допомогою якого так само можна буде розшифрувати диск, якщо забудете пароль.

Після вибору одного з варіантів розпочнеться шифрування.

Флешка на 16 ГБ шифрувалася близько 1,5 години. Двотерабайтний диск я залишав на ніч, тому точно час не засік, але 6 годин вистачило.

Саме тому, що сам процес може зайняти 3-6 годин, я рекомендував зробити бекап на окремий диск. Якщо під час шифрування диска у вас вимикають світло, ні ДБЖ, ні заряд батареї ноутбука швидше за все не вистачить на весь процес.

При відкритті зашифрованого диска достатньо ввести пароль:

Після розблокування диск працює у звичайному режимі. Після розблокування в меню, що випадає, в пункті «Управління BitLocker» ви можете:

• змінити пароль для зняття блокування диска;
• видалити пароль для диска;
• додати необхідність підключати смарт-картку для зняття блокування;
• зберегти чи надрукувати ключ відновлення BitLocker;
• автоматично знімати блокування для поточного комп'ютера (не використовуйте цей пункт).

Як користуватись VeraCrypt? Інструкція з встановлення та налаштування

Portable версія (яка не потребує установки) доступна тільки для Windows. Її використання є доцільним у тому випадку, коли шифруються дійсно секретні дані, і навіть наявність встановленої програми може наштовхнути на думку, що на комп'ютері чи ноутбуці є зашифрований розділ. Я використовую звичайну версію.

Процес установки я опущу, він нічим не примітний (згоду з ліцензійною угодою, додавання ярлика на робочий стіл і меню пуск, установка для всіх користувачів). Під час встановлення можна вибрати російську мову для інтерфейсу програми.

Як зашифрувати диск або флешку програмою VeraCrypt

Власне, сам процес шифрування. Запускаємо програму:

Натискаємо «Створити том»:

1. Створення зашифрованого файлу. «Шпигунський» варіант. Якщо створити файл "Zvezdnle.W0yny.Khan.s0l0-fullHD.mp4" вагою 9-12 ГБ і покласти його в папку "фільми" серед 15 інших фільмів, то здогадатися, що саме цей файл і є зашифрований контейнер, буде непросто.
2. Шифрування диска, флешки або розділу повністю. Недоліком є ​​те, що відразу видно, що диск зашифрований. Хоча підручними засобами розшифрувати його все одно не вдасться.
3. Шифрування системного розділу диска.

Використовуємо перший варіант, решта принципово не відрізняються, крім часу, необхідного для шифрування диска повністю.

Перед шифруванням будь-якої важливої ​​інформації зробіть її копію. Це в будь-якому випадку обійдеться дешевше, ніж відновлення даних із напівзашифрованого диска.

Наступна опція:

Другий варіант дозволяє створити ще один зашифрований розділ усередині першого зашифрованого розділу. Актуальний варіант, якщо ви припускаєте можливість того, що перший пароль розшифрують за допомогою вас і паяльника. Я виберу перший варіант:

Зверніть увагу – потрібно вказати назву файлу, а не існуючий файл, тому що якщо файл існує – він буде видалений, а на його місці створено зашифрований розділ.

Вибираємо шифрування AES із хешуванням SHA-512 – цього достатньо, щоб розшифрувати пароль на звичайному комп'ютері методом підбору було малореально. Наступний крок визначає розмір зашифрованого розділу:

І задаємо пароль для розділу:

На наступному етапі вам запропонують вибрати файлову систему зашифрованого розділу. Для цього треба відповісти на запитання – чи збираєтеся ви зберігати файли розміром більше 4 ГБ. І переходимо до шифрування:

Тепер переміщуємо курсор усередині вікна, поки не заповниться смуга прогресу, і після цього тиснемо "Розмітити".

У цьому процес шифрування закінчено. Для непосвяченої людини на флешці знаходиться фільм:

Щоб використовувати зашифрований розділ, потрібно:

1. Запустити програму VeraCrypt;
2. Вибрати букву диска, який буде змонтований зашифрований том;
3. Вибрати файл зашифрованого розділу;
4. Натиснути "Змонтувати";
5. Ввести пароль, зачекати 3–10 секунд.
6. У провіднику з'явиться новий диск, який є зашифрованим розділом.

Все, працювати із зашифрованим розділом можна як із звичайним диском. Перед завершенням роботи із зашифрованим розділом потрібно закрити всі програми, які використовували файли з цього розділу. Після цього натискаємо «Розмонтувати все» і зашифрований розділ знову перетворюється на звичайний файл.

Як бачите, у шифруванні даних на побутовому рівні немає нічого складного. Проте різко знижується ймовірність втрати нервових клітин разом із втратою ноутбука з конфіденційними даними.

Інші програми для шифрування диска для Windows та Mac OS

Крім описаних вище варіантів, можна використовувати інші рішення:

TrueCrypt

Спочатку я хотів замість VeraCrypt використати саме цю програму. Її можливостей більш ніж достатньо для побутового і для професійного використання. TrueCrypt вміє:

• Шифрувати контейнери. Можна зашифрувати лише необхідну інформацію, щоб скористатися носієм невеликого обсягу.
• Шифрувати розділи дисків.
• Шифрувати диск або флешку повністю.

У 2014 році підтримка та розробка TrueCrypt була припинена, остання версія програми дозволяє лише розшифровувати дані без можливості шифрування. На офіційному сайті з'явилася рекомендація переходити на BitLocker. Оскільки TrueCrypt був однією з найпопулярніших безкоштовних програм для шифрування даних, це породило безліч чуток про тиск на розробників ПЗ. Побічно це підтверджує факт, що незалежний аудит безпеки, на який було зібрано понад 60 000 доларів, не виявив критичних уразливостей в останніх версіях програми.

На сьогоднішній день неофіційним сайтом є проект https://truecrypt.ch.

Любителі теорій змов у сумніві – що краще? Не використовувати BitLocker, тому що дуже підозріло, що на колишньому офіційному сайті посилаються на нього? Або не використовувати TrueCrypt, раптом спецслужби спеціально зробили новий «повстанський» сайт і напхали у вихідний код «закладок», що дозволяє розшифрувати зашифровані дані?

Тим не менш, на сайті можна завантажити TrueCrypt для Windows, MacOS, Linux:

На сайті є англомовний форум підтримки, на якому регулярно відповідають на запитання новачків.

Зізнаюся, на мій вибір вплинув звичайний побутовий фактор - я не хочу перешифровувати кілька дисків, якщо раптом TrueCrypt перестане оновлюватися або буде несумісний з останніми версіями Windows (на скріншоті вище видно, що Windows 10 вже не вказано у списку завантажень).

Тому я вибрав VeraCrypt, як на мою думку, найбільш перспективне відгалуження TrueCrypt. Проект постійно розвивається:

Але я думаю, ви погодитеся зі мною - все одно, все виглядає підозріло? Хто міг написати на «Вікіпедії», що VeraCrypt стійкіший до можливих атак АНБ, якщо не черговий офіцер АНБ?

FireVault та FireVault 2 для MacOS

Власники ноутбуків та комп'ютерів Apple можуть використовувати для шифрування офіційну програму FireVault. По суті це аналог BitLocker, тільки для MacOS. Недолік першої версії, що використовується у версіях ОС Mac OS X Snow Leopard включно - можливість зашифрувати тільки домашню папку користувача. Друга версія програми використовується починаючи з OS X Lion і дозволяє повністю зашифрувати диск.

Детальна російськомовна інструкція із шифрування завантажувального розділу наведена на офіційному сайті.

Якщо ваша версія Mac OS дозволяє шифрувати тільки домашню папку - ви можете використовувати TrueCrypt або VeraCrypt і створити зашифрований розділ.

CipherShed

Втім, у вас може бути інша думка. Напишіть у коментарях, чи була стаття вам корисна? Ви використовуєте шифрування? Можливо, у вас є простий та перевірений спосіб захисту даних, про який я не згадав?

Зараз ми постійно маємо справу з інформацією. Завдяки розвитку інформаційних технологій тепер робота, творчість, розвага значною мірою перетворилися на процеси з обробки або споживання інформації. І серед цього величезного масиву інформації частина даних не має бути загальнодоступною. Прикладом такої інформації можуть бути файли та дані, пов'язані з комерційною діяльністю; приватні архіви.

Частина цих даних не призначена для широкого кола просто з тієї причини, що їм нема чого про це знати; а якась інформація є життєво важливою.

Ця стаття присвячена надійному захисту саме життєво важливої ​​інформації, а також будь-яких файлів, які ви хочете убезпечити від доступу інших осіб, навіть якщо ваш комп'ютер або носій (флешка, жорсткий диск) потрапили в руки сторонніх осіб, у тому числі технічно просунутих та мають доступ до потужних обчислювальних ресурсів.

Чому не варто довіряти програмам для шифрування із закритим вихідним кодом

У програми із закритим вихідним кодом можуть бути впроваджені «закладки» (і не треба сподіватися, що їх там немає!) та можливість відкривати зашифровані файли за допомогою майстер-ключа. Тобто. Ви можете використовувати будь-який найскладніший пароль, але ваш зашифрований файл все одно з легкістю, без перебору паролів, може бути відкритий за допомогою «закладки» або власником майстер-ключа. Розмір компанії-виробника програмного забезпечення для шифрування та назва країни у цьому питанні ролі не відіграють, оскільки це є частиною державної політики багатьох країн. Адже нас весь час оточують терористи та наркоторговці (а що робити?).

Тобто. Насправді надійне шифрування можна сподіватися правильно використовуючи популярне програмне забезпечення з відкритим вихідним кодом і стійким для злому алгоритмом шифрування.

Чи варто переходити з TrueCrypt на VeraCrypt

Еталонна програма, яка багато років дозволяє дуже надійно шифрувати файли є TrueCrypt. Ця програма досі чудово працює. На жаль, наразі розробку програми припинено.

Її найкращою спадкоємицею стала програма VeraCrypt.

VeraCrypt - це безкоштовне програмне забезпечення для шифрування дисків, яке базується на TrueCrypt 7.1a.

VeraCrypt продовжує найкращі традиції TrueCrypt, але при цьому додає підвищену безпеку алгоритмам, що використовуються для шифрування систем та розділів, що робить ваші зашифровані файли несприйнятливими до нових досягнень в атаках повного перебору паролів.

VeraCrypt також виправила багато вразливостей та проблем безпеки, виявлених у TrueCrypt. Вона може працювати з томами TrueCrypt та пропонує можливість конвертувати контейнери TrueCrypt та несистемні розділи у формат VeraCrypt.

Ця покращена безпека додає деяку затримку тільки до відкриття зашифрованих розділів без впливу на продуктивність у фазі використання зашифрованого диска. Для легітимного користувача це практично непомітна незручність, але для зловмисника стає практично неможливим отримати доступ до зашифрованих даних, незважаючи на наявність будь-яких обчислювальних потужностей.

Це можна продемонструвати наочно наступними бенчмарками зі злому (перебору) паролів у Hashcat:

Для TrueCrypt:

Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт Speed.Dev.#1.: 21957 H/s (96.78ms) Speed.Dev.#2.: 1175 H/s (99.79ms) .: 23131 H/s Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 біт Speed.Dev.#1.: 9222 H/s (74.13ms) Speed.Dev.#2.: 4556 H/s (95.92ms) Speed.Dev.#*.: 13778 H/s Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 біт Speed.Dev.#1.: 2429 H/s (95.69ms) Speed.Dev.#2.: 891 H /s (98.61ms) Speed.Dev.#*.: 3321 H/s Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт + boot-mode Speed.Dev.#1.: 43273 H/s (95.60ms) Speed.Dev.#2.: 2330 H/s (95.97ms) Speed.Dev.#*.: 45603 H/s

Для VeraCrypt:

Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт Speed.Dev.#1.: 68 H/s (97.63ms) Speed.Dev.#2.: 3 H/s (100.62ms) Speed.Dev.#* .: 71 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 біт Speed.Dev.#1.: 26 H/s (87.81ms) Speed.Dev.#2.: 9 H/s (98.83ms) Speed.Dev.#*.: 35 H/s Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 біт Speed.Dev.#1.: 3 H/s (57.73ms) Speed.Dev.#2.: 2 H /s (94.90ms) Speed.Dev.#*.: 5 H/s Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт + boot-mode Speed.Dev.#1.: 154 H/s (93.62ms) Speed.Dev.#2.: 7 H/s (96.56ms) Speed.Dev.#*.: 161 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 біт /s (94.25ms) Speed.Dev.#2.: 5 H/s (95.50ms) Speed.Dev.#*.: 123 H/s Hashtype: VeraCrypt Speed.Dev.#1.: 306 H/s (94.26ms) Speed.Dev.#2.: 13 H/s (96.99ms) Speed.Dev.#*.: 319 H/s

Як можна побачити, зламати зашифровані контейнери VeraCrypt на кілька порядків складніше, ніж контейнери TrueCrypt (які також зовсім не прості).

Повний бенчмарк та опис заліза я публікував у статті «В».

Друге важливе питання – надійність. Ніхто не хоче, щоб особливо цінні та важливі файли та відомості були втрачені через помилку у програмі. Я знаю про VeraCrypt одразу після її появи. Я стежив за її розвитком і постійно придивлявся до неї. Протягом останнього року я повністю перейшов із TrueCrypt на VeraCrypt. За рік щоденної роботи VeraCrypt мене жодного разу не підбивала.

Таким чином, на мій погляд зараз варто переходити з TrueCrypt на VeraCrypt.

Як працює VeraCrypt

VeraCrypt створює спеціальний файл, який називається контейнер. Цей контейнер є зашифрованим і може бути підключений лише при введенні пароля. Після введення пароля контейнер відображається як додатковий диск (як вставлена ​​флешка). Будь-які файли, поміщені на цей диск (тобто контейнер), шифруються. Поки контейнер підключений, ви можете безперешкодно копіювати, видаляти, записувати нові файли, відкривати їх. Як тільки контейнер вимкнено, всі файли на ньому стають абсолютно недоступними, доки знову не буде здійснено його підключення, тобто. поки не буде введено пароль.

Робота з файлами у зашифрованому контейнері нічим не відрізняється від роботи з файлами на будь-якому іншому диску.

При відкритті файлу або запису його в контейнер, не потрібно чекати на розшифрування - все відбувається дуже швидко, ніби ви дійсно працюєте зі звичайним диском.

Як встановити VeraCrypt у Windows

З TrueCrypt мала місце напівшпигунська історія – були створені сайти для «завантажити TrueCrypt», на них бінарний файл (ну природно!) був заражений вірусом/трояном. Ті, хто завантажував TrueCrypt з цих неофіційних сайтів, заражали свої комп'ютери, що дозволяло зловмисникам красти персональну інформацію та сприяти поширенню шкідливого ПЗ.

Взагалі всі програми потрібно завантажувати тільки з офіційних сайтів. І тим більше це стосується програм, які торкаються питань безпеки.

Офіційними місцями розміщення інсталяційних файлів VeraCrypt є:

Встановлення VeraCrypt у Windows

Є майстер установки, тому процес установки VeraCrypt схожий на аналогічний процес інших програм. Хіба можна пояснити кілька моментів.

Установник VeraCrypt запропонує дві опції:

• Install(Встановити VeraCrypt у вашу систему)
• Extract(Вийняти. Якщо ви оберете цю опцію, всі файли з цього пакета будуть витягнуті, але у вашу систему нічого не буде встановлено. Не вибирайте її якщо ви маєте намір шифрувати системний розділ або системний диск. Вибір цієї опції може бути корисним, наприклад, якщо ви хочете запускати VeraCrypt у так званому портативному режимі. VeraCrypt не вимагає установки в операційну систему, в якій вона буде запускатися.

Якщо ви оберете зазначену опцію, тобто. асоціацію з файлами .hc, то це додасть зручність. Оскільки якщо ви створите контейнер з розширенням.hc, то по подвійному кліку за цим файлом запускатиметься VeraCrypt. Але мінус у тому, що сторонні особи можуть знати, що .hc є зашифрованими контейнерами VeraCrypt.

Програма нагадує про донат:

Якщо ви не стиснуті в засобах, звичайно ж, обов'язково допоможіть автору цієї програми (він один) не хотілося б його втратити, як ми втратили автора TrueCrypt…

Інструкція VeraCrypt для початківців

VeraCrypt має багато різних можливостей і просунутих функцій. Але найпопулярнішою функцією є шифрування файлів. Далі покроково показано, як зашифрувати один або кілька файлів.

Почнемо з перемикання російською мовою. Російська мова вже вбудована у VeraCrypt. Його потрібно лише увімкнути. Для цього в меню SettingsВиберіть Language…:

Там виберіть російську мову, після чого мова програми відразу зміниться.

Як було зазначено, файли зберігаються у зашифрованих контейнерах (їх ще називають «тома»). Тобто. почати потрібно зі створення такого контейнера, для цього в головному інтерфейсі програми натисніть кнопку « Створити том».

З'явиться майстер створення томів VeraCrypt:

Нас цікавить саме перший варіант (« Створити зашифрований файловий контейнер»), тому ми, нічого не змінюючи, натискаємо Далі,

VeraCrypt має дуже цікаву функцію – можливість створити прихований том. Суть у тому, що у файлі створюється жоден, а два контейнери. Про те, що є зашифрований розділ знають усі, у тому числі можливі недоброзичливці. І якщо вас силоміць змушують видати пароль, то важко послатися, що «зашифрованого диска немає». При створенні прихованого розділу створюються два зашифровані контейнери, які розміщені в одному файлі, але відкриваються різними паролями. Тобто. Ви можете в одному з контейнерів розмістити файли, які виглядають "чутливими". А в другому контейнері – справді важливі файли. Для власних потреб ви вводите пароль для відкриття важливого розділу. У разі неможливості відмовити ви розкриваєте пароль від не дуже важливого диска. Жодних можливостей довести, що є другий диск, немає.

Для багатьох випадків (приховування не дуже критичних файлів від сторонніх очей) буде достатньо створити звичайний том, тому я просто натискаю Далі.

Виберіть місце розташування файлу:

Том VeraCrypt може перебувати у файлі (в контейнері VeraCrypt) на жорсткому диску, флеш-накопичувачі USB тощо. Контейнер VeraCrypt нічим не відрізняється від іншого звичайного файлу (наприклад, його можна переміщати або видаляти як і інші файли). Натисніть кнопку "Файл", щоб вказати ім'я та шлях до файлу-контейнера, що створюється для зберігання нового тома.

УВАГА: Якщо ви виберете наявний файл, VeraCrypt НЕ зашифрує його; цей файл буде видалено та замінено новоствореним контейнером VeraCrypt. Ви можете зашифрувати наявні файли (згодом), перемістивши їх у створюваний зараз контейнер VeraCrypt.

Можна вибрати будь-яке розширення файлу, це не впливає на роботу зашифрованого тома. Якщо ви оберете розширення .hc, а також якщо ви при установці задали асоціацію VeraCrypt з даним розширенням, то при подвійному натисканні по даному файлу буде запускатися VeraCrypt.

Історія нещодавно відкритих файлів дозволяє швидко отримувати доступ до цих файлів. Проте записи в історії на кшталт «H:\Мої офшорні рахунки накраденого на охуліадр доларів.doc» можуть у сторонніх осіб зародити сумніви у вашій порядності. Щоб відкрити з зашифрованого диска файли не потрапляли в історію, поставте галочку навпроти « Не зберігати історію».

Вибір алгоритмів шифрування та хешування. Якщо ви не впевнені, що вибрати, залиште значення за замовчуванням:

Введіть розмір тома та виберіть одиниці вимірювання (кілобайти, мегабайти, гігабайти, терабайти):

Дуже важливий етап встановлення пароля для вашого зашифрованого диска:

Хороший пароль – це дуже важливо. Уникайте паролів з одного або декількох слів, які можна знайти у словнику (або комбінацій із 2, 3 або 4 таких слів). Пароль не повинен містити імена або дати народження. Він має бути важким для вгадування. Хороший пароль - випадкова комбінація великих і малих літер, цифр та особливих символів (@^=$*+ і т.д.).

Тепер знову як паролі можна використовувати російські літери.

Допомагаємо програмі зібрати випадкові дані:

Зверніть увагу, що тут можна поставити галочку для створення динамічного диска. Тобто. він буде розширюватися в міру заповнення його інформацією.

В результаті у мене створено на робочому столі файл test.hc:

Якщо ви створили файл з розширенням.hc, ви можете двічі клікнути по ньому, відкриється головне вікно програми, причому вже буде вставлено шлях до контейнера:

У будь-якому випадку ви можете відкрити VeraCrypt і вибрати шлях до файлу вручну (Для цього натисніть кнопку «Файл»).

Якщо пароль введено правильно, то у вас у системі з'явиться новий диск:

Ви можете скопіювати/перемістити на нього будь-які файли. Також ви можете створювати там папки, копіювати файли звідти, видаляти і т.д.

Щоб закрити контейнер від сторонніх, натисніть кнопку Розмонтувати:

Щоб знову отримати доступ до секретних файлів, заново змонтуйте зашифрований диск.

Налаштування VeraCrypt

VeraCrypt має багато налаштувань, які ви можете змінити для вашої зручності. Я настійно рекомендую поставити галочку на « Автоматично розмонтувати томи при неактивності протягом»:

А також встановити гарячу клавішу для « Відразу розмонтувати все, очистити кеш та вийти»:

Це може дуже… Дуже стати в нагоді…

Портативна версія VeraCrypt у Windows

Починаючи з версії 1.22 (яка на момент написання є бетою) для Windows було додано портативний варіант. Якщо ви прочитали розділ про інсталяцію, ви повинні пам'ятати, що програма і так є портативною і дозволяє просто витягти свої файли. Тим не менш, окремий портативний пакет має свої особливості: для запуску установника вам потрібні права адміністратора (навіть якщо ви хочете просто розпакувати архів), а портативна версія може бути розпакована без прав адміністратора – відмінність лише в цьому.

Офіційні бета версії доступні тільки. У папці VeraCrypt Nightly Builds файлом із портативною версією є VeraCrypt Portable 1.22-BETA4.exe.

Файл із контейнером можна розмістити на флешці. На цю ж флешку можна скопіювати портативну версію VeraCrypt - це дозволить відкривати зашифрований розділ на будь-якому комп'ютері, у тому числі без встановленої VeraCrypt. Але пам'ятайте про небезпеку перехоплення натискання клавіш - мабуть, у цій ситуації може допомогти екранна клавіатура.

Як правильно використовувати програмне забезпечення для шифрування

Декілька порад, які допоможуть вам краще зберігати свої секрети:

1. Намагайтеся не допускати сторонніх осіб до вашого комп'ютера, у тому числі не здавайте ноутбуки до багажу в аеропортах; якщо є можливість віддавайте комп'ютери в ремонт без системного жорсткого диска і т.д.
2. Використовуйте складний пароль. Не використовуйте той самий пароль, який ви використовуєте для пошти тощо.
3. При цьому не забудьте пароль! Інакше дані неможливо відновити.
4. Завантажуйте всі програми лише з офіційних сайтів.
5. Використовуйте безкоштовні програми або куплені (не використовуйте зламаний софт). А також не завантажуйте і не запускайте сумнівні файли, оскільки всі подібні програми, серед інших шкідливих елементів, можуть мати кілогери (перехоплювачі натискання клавіш), що дозволить зловмиснику дізнатися пароль від вашого зашифрованого контейнера.
6. Іноді як засіб від перехоплення натискань клавіш рекомендують використовувати екранну клавіатуру - здається, у цьому є сенс.

В даний час гарантувати збереження корпоративної або користувальницької інформації на різних поштових сервісах, персональних комп'ютерах та сховіщах для хмар практично неможливо. Пошту можуть зламати, інформація зі свого комп'ютера або комп'ютера колег може бути скопійована співробітниками компанії та використана у своїх цілях. Чи є спосіб захисту інформації? 100% гарантію захисту даних на сьогоднішній день не дає жодна компанія, зробити гарний крок у бік збереження своїх даних, зрозуміло, можна. Зазвичай використовується для захисту даних шифрування.

Шифрування буває симетричне та асиметричне, різниця лише у кількості ключів, що використовуються для шифрування та дешифрування. Симетричне шифрування для кодування та декодування інформації використовує один ключ. Законами Російської Федерації без ліцензування своєї діяльності дозволено використання симетричного ключа довгою
трохи більше 56 біт. Для асиметричного шифрування використовуються два ключі: один ключ для кодування (відкритий) та один для декодування
(закритий). Для асиметричного шифрування закони Російської Федерації, залежно від алгоритмів, дозволяють максимальну довжину ключа 256 біт.
Розглянемо деякі пристрої для захисту інформації на знімних
накопичувачах:

1. DatAshur від британської компанії iStorage є флешкою ​​з кнопками на корпусі. Пристрій виконує апаратне шифрування симетричним алгоритмом AES256. На введення ПІН-коду дається 10 спроб, у разі неправильного введення дані на пристрої будуть
   знищено. У пристрій входить акумулятор для введення PIN-коду до підключення до ПК.
   Переваги:міцний корпус, захист від перебору ПІН-коду, знищення даних.
   Недоліки:незрозуміло, що станеться, якщо акумулятор розрядиться; ПІН-код можна спробувати підібрати за потертими кнопками або просто видалити всі дані конкурента і залишитися при цьому непоміченим, а це, на мій погляд, потенційно більша шкода, ніж копіювання даних конкурентом (хоча є можливість зробити захист).
2. Samurai московська компанія, припускаю, що працюють у співпраці з iStorage або їх дистриб'ютори, але також роблять свою продукцію, наприклад, Samurai Nano Drive. Використовують 256 бітне шифрування, випускають різні пристрої, спрямовані переважно на знищення інформації.
   Переваги та недоліки аналогічні DatAshur.
3. Криптографічний USB накопичувач FLASH-карт від компанії Міландр з функцією шифрування, дозволяє шифрувати інформацію на microSD картках. Пристрій виконаний на власному процесорі компанії. Зроблено як звичайну флешку.
   Переваги: алгоритм шифрування ДЕРЖСТАНДАРТ-89 з довгою ключа 56 біт (з документації незрозуміло як перетворили ГОСТ-89 розрахований на 256 біт), робота з необмеженою кількістю microSD карт.
   Недоліки:пристрій працює тільки з microSD картами, невідомо чи є можливість переходу до стійкіших алгоритмів шифрування.
4. Key_P1 Multiclet - пристрій захисту інформації від ВАТ «Мультиклет», розробника процесорів. Розглянемо пристрій докладніше (далі пристрій позначимо як Ключ_Р1).

Ключ_Р1 виконаний з трьома роз'ємами: USB – розетка та вилка, а також роз'єм для карт SD.

Початкові функції пристрою (надалі ПЗ розширюється, див. нижче про додатковий функціонал):

• захист від модифікованих (шпигунських) флеш-накопичувачів.
• шифрування інформації з алгоритму DES довжиною ключа 56 біт
  (після отримання ліцензії AES та ГОСТ-89 з довжиною ключа 256 біт).
• можливість відновлення інформації, у разі втрати пристрою Ключ_Р1 та накопичувача.
• можливість синхронізації ключів обмінюватись файлами між користувачами.
• відображення часу вимкнення пристрою Ключ_Р1.

Докладніше опис функцій пристрою буде наведено в цій статті. Ключі для шифрування зберігаються у flash пам'яті процесора розглянутого пристрою.
Ключ_Р1 може працювати з необмеженою кількістю накопичувачів та на необмеженій кількості персональних комп'ютерів, прив'язки до конкретного ПК немає.

Структурна схема роботи всієї системи:

Опис елементів структури:

• сервер формує прошивку, здійснює оновлення Ключ_Р1 Менеджер, прошивки та програми Key_P1_for_Windows (або Key_P1_for_Linux) для накопичувача (флешки) користувача.
• (ПЗ для ОС) Ключ_Р1 Менеджер - здійснює оновлення компонентів, ініціалізацію Ключ_Р1, формує набір ключів для Ключ_Р1 та ін.
• прошивка Ключ_Р1 - є програмою виконуваної на пристрої Ключ_Р1.
• додаток для накопичувача - Key_P1_for_Windows (Key_P1_for_Linux) (обидві програми завантажуються на флешку користувача та здійснюють авторизацію користувача та відображення останнього часу відключення пристрою для ОС Windows та Linux).

Розглянемо докладніше основні функції пристрою.

1. Шифрування інформації здійснюється не одним ключем, а декількома (максимум 1024). Шифрування відбувається за секторами кожного накопичувача. Таким чином, один файл може бути зашифрований кількома десятками ключів.
2. Захист від модифікованих накопичувачів відбувається за рахунок контролю службової інформації, що передається за допомогою SCSI команд
3. Відновлення інформації:
   • Ключі формуються користувачем на комп'ютері за допомогою програми Ключ_Р1. Менеджер (у цьому випадку користувач) може зробити резервну копію своїх ключів у разі відновлення.
   • Ключі формуються пристроєм Ключ_Р1. У цьому випадку зробити резервну копію своїх ключів користувач не може.
   • Користувач може робити резервну копію своєї зашифрованої інформації
4. Синхронізація ключів є формування однакових ключів у різних користувачів за заданим початковим значенням та обраним алгоритмом. У пристрої Ключ_Р1 передбачена можливість зберігання 50 ключів для синхронізації. Тобто. Користувачі можуть зберігати мітку 8 байт і сам ключ. Для синхронізації ключів та початку обміну зашифрованими файлами користувачам необхідно:
   • передати один одному через усну домовленість, телефонний дзвінок, смс, електронну пошту або написи на піску початкове значення для ініціалізації ключа, а також алгоритм формування ключа;
   • сформувати ключ та призначити мітку – не більше 8 символів (байт);
   • скопіювати ключ на пристрій Ключ_Р1;
   • обмін зашифрованими файлами може здійснюватися з ПК, тобто. при завантаженні ПЗ та його установці на будь-який «чужий» ПК при підключеному пристрої Ключ_Р1 після введення пін-коду користувач побачить ключі та відповідні мітки і зможе шифрувати потрібним ключем файли для обміну з іншим користувачем.
5. Пристрій Ключ_Р1 виводить після запуску програми key_p1_for_windows.exe (Windows) або key_p1_for_linux (Linux) інформацію про час останнього відключення пристрою з точністю в дві хвилини. Ця функція дозволяє користувачеві та/або службі безпеки компанії встановити факт та визначити час несанкціонованого відключення Ключ_Р1, що ускладнює дії зловмисника та полегшує його пошук.

Для початку роботи з пристроєм необхідно:

1. Встановити програмне забезпечення, завантажити прошивку з сервера
2. Ініціалізувати Ключ_Р1 (встановити прошивку, задати PIN, PUK коди)
3. Ініціалізувати накопичувач (розбиття накопичувача на два розділи: відкритий та закритий, який доступний лише після введення ПІН-коду)

Вікно введення ПІН-коду виглядає так (ескізна версія):

Крім індивідуальної версії буде доступна і корпоративна версія:

Співробітники компанії завантажують програму Ключ_Р1 Менеджер з корпоративного сервера або знімних носіїв і встановлюють на свою ОС. Потім завантажують ключі, що згенеровані службою безпеки або IT-службою компанії. Далі за аналогією з індивідуальною версією відбувається ініціалізація Ключа_Р1 та накопичувача. На відміну від версії користувача, в корпоративній керівник кількох відділів може вибрати, для якого відділу шифрувати файли. Перелік відділів формують уповноважені працівники компанії.

Всередині відділу співробітники можуть обмінюватися зашифрованою інформацією, кодуючи файли через Ключ_Р1 Менеджер та Ключ_Р1. Служба безпеки підприємства має можливість створювати різні розмежування прав у відділах (наприклад: відділ «Програмісти» зможе шифрувати файли для відділу «Бухгалтерія»). Крім того, підприємство може закласти у пристрій алгоритм генерації одноразових паролів для аутентифікації на серверах, комп'ютерах та ін., щоб підвищити безпеку та забезпечити захист комерційної та інших видів таємниць.
Як додатковий функціонал пристрою:

• Підтримка ОС Mac;
• Ключ_Р1 може бути закладена функція генерації одноразових паролів для організації двофакторної аутентифікації на серверах
  різних сервісів. Двофакторна автентифікація забезпечує додатковий захист вашого облікового запису. Для цього при вході в систему запитуються не тільки ім'я користувача та пароль, а й унікальні коди підтвердження. Навіть якщо зловмисник дізнається ваш пароль, отримати доступ до облікового запису йому не вдасться.
• зберігання особистих даних з автоматичною підстановкою під час аутентифікації у соцмережах, платіжних системах тощо.
• використання пристрою для авторизації на комп'ютері.

З цього списку найцікавішим є зберігання логінів та паролів користувачів від різних ресурсів. Питання лише у тому, як зручніше це зробити. Здійснювати автоматичне встановлення пари логін і пароль або дати можливість користувачеві після введення ПІН-коду переглядати логін і пароль у відкритому вигляді так, як це дозволяє браузер Google Chrome.

Тепер звернемося до розгляду апаратного рівня роботи пристрою.

Основними функціями пристрою є шифрування та захист від несанкціонованої роботи накопичувачів.

Розглянемо способи шифрування даних пристроєм:

• зашифрувати файл на диску - у цьому випадку файл не буде зашифровано одним випадковим ключем, але залежно від розміру файлу та розміру сектора диска (це найменша адресна комірка пам'яті диска), файл буде зашифровано кількома ключами по секторам диска;
• зашифрувати файл на ПК - у цьому випадку файл буде зашифрований випадково вибраним на пристрої ключем і вміст файлу буде повернуто пристроєм на ПК у зашифрованому вигляді, крім того цей вміст буде "обгорнуто" в спеціальний контейнер, що містить номер ключа, яким зашифровано файл;
• зашифрувати файл для іншого користувача - у цьому випадку файл за попередньо сформованим ключем з відповідною йому міткою (наприклад "колеги1") буде зашифрований пристроєм без будь-якого контейнера і вміст файлу буде повернуто на ПК.

Також буде доступна функція сповіщення користувача про зміну розміру файлу, у разі заміни існуючого на накопичувачі файлу новим з таким же ім'ям. У функціоналі роботи пристрою передбачено режим «тільки читання» для захисту від несанкціонованого копіювання інформації на накопичувач при роботі на ПК, зараженому вірусами.

Для відсікання шпигунських пристроїв «Ключ_Р1» проводить фільтрацію службових команд посиланих накопичувачам, що дає захист від зараження накопичувача апаратним вірусом, а також пристрій «Ключ_Р1» аналізує надсилається накопичувачем таблицю дескрипторів і на основі цієї інформації відбувається блокування накопичувачів (наприклад клавіатурою та накопичувачем) або будь-яким іншим пристроєм крім накопичувача.

Розглянемо реалізацію пристрою на схемотехнічному рівні.

Пристрій реалізовано на основі вітчизняного мультиклітинного процесора Р1. Для здійснення взаємодії з інтерфейсом USB host у схему вводиться процесор stm32f205. Мультиклітинний процесор тактується від процесора stm32f205, завантаження прошивки здійснюється за інтерфейсом spi. Процесор Р1 бере на себе всі основні функції із шифрування та хешування інформації. Однією з цікавих особливостей більшості алгоритмів шифрування є їхнє добре розпаралелювання. Завдяки цьому факту є раціональним застосування процесора з апаратним розпаралелюванням операцій.

В результаті модернізації пристрою передбачається така схема:

Взаємодія з USB host може бути забезпечена мікросхемою FTDI.
У пристрої реалізовані роз'єми, що дозволяють працювати з USB-накопичувачами та microSD, SD картами.

Переваги:

• шифрування великим набором ключів на апаратному рівні по секторам накопичувача
• контроль службових команд між ПК та накопичувачем
• зберігання пари «логін-пароль»
• робота в режимі «тільки читання»
• підтримка USB накопичувачів, SD, microSD карт
• робота з необмеженою кількістю накопичувачів
• корпоративна версія
• можливість відновлення інформації

Недоліки: не спеціалізований корпус, відсутність захисту від розтину (хоча захист від розтину не є визначальною для таких користувачів хабра як BarsMonster:)

P.S. Як додатковий функціонал розглядалася і ідея створення програми для захищеного обміну, за аналогією зі skype, qip, але тільки безпосередньо, конкретним користувачам без сполучного сервера, але поки що з певних причин вирішено не торкатися цієї області.
Крім того, з 25 березня стартував проект на Kickstarter.com, присвячений цьому пристрою.