Как зашифровать данные на компьютере? Как зашифровать и скрыть раздел жесткого диска с помощью программы CyberSafe

Шифрование - это процесс кодирования информации таким образом, что она не может быть доступной другим людям, если они не имеют необходимый ключ для декодирования. Шифрование, как правило, используется для защиты важных документов, но это также хороший способ остановить людей, которые пытаются украсть ваши личные данные.

Зачем использовать категории? Чтобы разбить огромное множество программ шифрования информации на более простые и понятные наборы программ, т.е. структурировать. Данная статья ограничивается набором утилит для шифрования файлов и папок.

1. Утилиты шифрования файлов и папок - эти утилиты рассматриваются в данной статье. Эти утилиты шифрования работают напрямую с файлами и папками, в отличие от утилит, которые осуществляют шифрование и хранение файлов в томах (архивах, то есть в контейнерах файлов). Данные утилиты шифрования могут работать в режиме "по требованию" или в режиме "на лету".
2. Утилиты шифрования виртуальных дисков . Такие утилиты работают по средствам создания томов (зашифрованных контейнеров/архивов), которые представляются в файловой системе в качестве виртуальных дисков, имеющих свою букву, например, "L:". Эти диски могут содержать как файлы, так и папки. Файловая система компьютера может читать, писать и создавать документы в режиме реального времени, т.е. в открытом виде. Такие утилиты работают в режиме "на лету".
3. Full-drive утилиты шифрования - шифруют все устройства хранения данных, например, сами жесткие диски, разделы диска и USB устройства. Некоторые из утилит в этой категории также могут зашифровать диск, на котором установлена операционная система.
4. Клиентские утилиты шифрования в "облаке": новая категория утилит шифрования. Эти утилиты шифрования файлов используются до загрузки или синхронизации с "облаком". Файлы находятся в зашифрованном виде при передаче и во время хранения в "облаке". Утилиты шифрования в "облаке" используют различные формы виртуализации, чтобы представить доступ к исходному тексту на стороне клиента. При этом вся работа происходит в режиме "на лету".

Предостережения

Операционные системы порочны: эхо ваших личных данных - файлы подкачки, временные файлы, файлы режима энергосбережения ("сна системы"), удаленные файлы, артефакты браузеров, и т.д. - скорее всего, останутся на любом компьютере, который вы используете для доступа к данным. Это нетривиальная задача - выделить это эхо ваших личных данных. Если вам необходима защита данных жесткого диска во время их перемещения или поступления извне, то это достаточно сложная задача. Например, когда вы осуществляете создание зашифрованного архива файлов или разархивирование такого архива, то, соответственно, оригинальные версии файлов или копии оригинальных файлов из этого архива остаются на жестком диске. Они так же могут остаться в местах хранилища временных файлов (ака папки Temp и т.д.). И получается, что задача удаления этих оригинальных версий становится задачей не простого удаления этих файлов по средствам команды "удалить".

1. Тот факт, что программа шифрования «работает» не означает, что она является безопасной. Новые утилиты шифрования часто появляются после того, как "кто-то" прочитает прикладную криптографию, выберет алгоритм и возьмется за разработку. Может быть даже "кто-то" использует проверенный опенсурс код. Реализует пользовательский интерфейс. Убедится в том, что она работает. И подумает, что на этом все закончено. Но, это не так. Такая программа наверняка наполнена фатальными багами. "Функциональность не означает качество, и никакое бета-тестирование не раскроет проблемы безопасности. Большинство продуктов представляют собой красивое слово "соблюдается". Они используют алгоритмы криптографии, но сами не являются безопасными." (Вольный перевод) - Брюс Шнайер, из Security Pitfalls in Cryptography. (исходная фраза: "Functionality does not equal quality, and no amount of beta testing will ever reveal a security flaw. Too many products are merely buzzword compliant; they use secure cryptography, but they are not secure.").
2. Использование шифрования - не является достаточным для обеспечения безопасности ваших данных. Существует множество способов обойти защиту, поэтому если ваши данные "очень секретные", то необходимо так же задумываться и о других путях защиты. Как "старт" для дополнительных поисков можно использовать статью риски использования криптографического ПО .

Обзор программ шифрования файлов и папок

TrueCrypt когда-то был самой лучшей программой в этой категории. И до сих пор является одной из лучших, но уже не соответствует данной категории, так как базируется на работе по средствам виртуальных дисков.

Большинство, если не все программы, описанные ниже, подвергают пользователя неочевидным угрозам, которые описаны выше в пункте №1 из списка п редостережений. TrueCrypt, который базируется на работе с разделами, а не на работе с файлами и папками - не подвергает пользователей этой уязвимости.

Sophos Free Encryption - больше не доступна.

Сопутствующие продукты и ссылки

Сопутствующие продукты:

Альтернативные продукты:

• SafeHouse Explorer является простой, бесплатной программой, которая достаточно мало весит, что позволяет ее с легкостью использовать на USB накопителях. Так же вы можете найти хорошо подготовленные видео материалы и руководство пользователя на их веб-сайте.
  
• Rohos Mini Drive это портативная (portable) программа, которая создает скрытый, зашифрованный раздел на USB накопителе.
• FreeOTFE (из обзора утилит шифрования виртуальных дисков) является программой для осуществления шифрования диска "на лету". Она может быть адаптирована для портативного (portable) использования.
• FreeOTFE Explorer является более простым вариантом FreeOTFE. Она не требует прав администратора.
• Pismo File Mount Audit Package является расширением файловой системы, которое обеспечивает доступ к специальным зашифрованным файлам (через контекстное меню проводника Windows), в свою очередь которые предоставляют доступ к зашифрованным папкам. Приложения могут писать прямо в эти папки, что позволяет гарантировать, что текстовые копии оригинального документа не останутся на жестком диске.
• 7-Zip это мощная утилита для создания архивов файлов, которая обеспечивает 256-битное AES шифрование для *.7z и *.zip форматов. Однако, программа Pismo более лучшее решение, поскольку оно позволяет избежать проблемы хранения незашифрованных версий файлов.

Руководство по быстрому выбору (скачать программы для шифрования файлов и папок)

AxCrypt

		Интеграция с контекстным меню проводника Windows. AxCrypt позволяет так же легко открывать, редактировать и сохранять зашифрованные файлы, как если бы вы работали с незашифрованными файлами. Используйте этот продукт, если вам необходимо часто работать с шифрованными файлами.
		Программа использует Open Candy (устанавливается в комплекте дополнительного стороннего программного обеспечения). Если хотите, то можете и не устанавливать его, но тогда надо регистрироваться на сайте.

Основные возможности программы Folder Lock следующие:

• AES-шифрование, длина ключа 256 бит.
• Сокрытие файлов и папок.
• Шифрование файлов (посредством создания виртуальных дисков - сейфов) «на лету».
• Резервное копирование онлайн.
• Создание защищенных USB/CD/DVD-дисков.
• Шифрование вложений электронной почты.
• Создание зашифрованных «бумажников», хранящих информацию о кредитных картах, счетах и т.д.

Казалось бы, возможностей у программы вполне достаточно, особенно для персонального использования. Теперь посмотрим на программу в работе. При первом запуске программа просит установить мастер-пароль, который используется для аутентификации пользователя в программе (рис. 1). Представьте такую ситуацию: вы скрыли файлы, а кто-то другой запустил программу, просмотрел, какие файлы скрыты и получил к ним доступ. Согласитесь, не очень хорошо. А вот если программа запрашивает пароль, то у этого «кто-то» уже ничего не выйдет - во всяком случае, до тех пор, пока он не подберет или не узнает ваш пароль.

Рис. 1. Установка мастер-пароля при первом запуске

Первым делом посмотрим, как программа скрывает файлы. Перейдите в раздел Lock Files , затем либо перетащите файлы (рис. 2) и папки в основную область программы или же воспользуйтесь кнопкой Add . Как показано на рис. 3, программа позволяет скрыть файлы, папки и диски.

Рис. 2. Перетащите файл, выделите его и нажмите кнопку Lock

Рис. 3. Кнопка Add

Посмотрим, что произойдет, когда мы нажмем кнопку Lock . Я попытался скрыть файл C:\Users\Denis\Desktop\cs.zip. Файл исчез из Проводника, Total Commander и остальных файловых менеджеров, даже если включено отображение скрытых файлов. Кнопка сокрытия файла называется Lock , а раздел Lock Files . Однако нужно было бы эти элементы UI назвать Hide и Hide Files соответственно. Потому что на самом деле программа осуществляет не блокирование доступа к файлу, а просто «прячет» его. Посмотрите на рис. 4. Я, зная точное имя файла, скопировал его в файл cs2.zip. Файл спокойно скопировался, не было никаких ошибок доступа, файл не был зашифрован - он распаковался, как обычно.

Рис. 4. Копирование скрытого файла

Сама по себе функция сокрытия бестолковая и бесполезная. Однако если использовать ее вместе с функцией шифрования файлов - для сокрытия созданных программой сейфов - тогда эффективность от ее использования увеличится.
В разделе Encrypt Files вы можете создать сейфы (Lockers). Сейф - это зашифрованный контейнер, который после монтирования можно использовать как обычный диск - шифрование не простое, а прозрачное. Такая же техника используется многими другими программами шифрования, в том числе TrueCrypt, CyberSafe Top Secret и др.

Рис. 5. Раздел Encrypt Files

Нажмите кнопку Create Locker , в появившемся окне введите название и выберите расположение сейфа (рис. 6). Далее нужно ввести пароль для доступа к сейфу (рис. 7). Следующий шаг - выбор файловой системы и размера сейфа (рис. 8). Размер сейфа - динамический, но вы можете задать максимальный его предел. Это позволяет экономить дисковое пространство, если вы не используете сейф «под завязку». При желании можно создать сейф фиксированного размера, что будет показано в разделе «Производительность» этой статьи.

Рис. 6. Название и расположение сейфа

Рис. 7. Пароль для доступа к сейфу

Рис. 8. Файловая система и размер сейфа

После этого вы увидите окно UAC (если он включен), в котором нужно будет нажать Да, далее будет отображено окно с информацией о созданном сейфе. В нем нужно нажать кнопку Finish, после чего будет открыто окно Проводника, отображающее подмонтированный контейнер (носитель), см. рис. 9.

Рис. 9. Виртуальный диск, созданный программой

Вернитесь в раздел Encrypt Files и выделите созданный сейф (рис. 10). Кнопка Open Locker позволяет открыть закрытый сейф, Close Locker - закрыть открытый, кнопка Edit Options вызывает меню, в котором находятся команды удаления/копирование/ переименования/изменения пароля сейфа. Кнопка Backup Online позволяет выполнить резервное копирование сейфа, причем не куда-нибудь, а в облако (рис. 11). Но сначала вам предстоит создать учетную запись Secure Backup Account , после чего вы получите до 2 ТБ дискового пространства, а ваши сейфы будут автоматически синхронизироваться с онлайн-хранилищем, что особенно полезно, если вам нужно работать с одним и тем же сейфом на разных компьютерах.

Рис. 10. Операции над сейфом

Рис. 11. Создание Secure Backup Account

Ничто не бывает просто так. С расценками за хранение ваших сейфов можно ознакомиться по адресу secure.newsoftwares.net/signup?id=en . За 2 Тб придется выложить 400$ в месяц. 500 Гб обойдется в месяц 100$. Если честно, то это очень дорого. За 50-60$ можно арендовать целый VPS с 500 Гб «на борту», который вы сможете использовать, как хранилище для ваших сейфов и даже создать на нем свой сайт.
Обратите внимание: программа умеет создавать зашифрованные разделы, но в отличие от программы PGP Desktop, она не умеет шифровать целые диски. В разделе Protect USB/CD можно защитить ваши USB/CD/DVD-диски, а также вложения электронной почты (рис. 12). Однако эта защита осуществляется не путем шифрования самого носителя, а путем записи на соответствующий носитель саморасшифровывающегося сейфа. Другими словами, на выбранный носитель будет записана урезанная portable-версия программы, позволяющаяся «открыть» сейф. Как таковой поддержки почтовых клиентов у этой программы тоже нет. Вы можете зашифровать вложение и прикрепить его (уже зашифрованное) к письму. Но вложение шифруется обычным паролем, а не PKI. Думаю, о надежности говорить нет смысла.

Рис. 12. Раздел Protect USB/CD

Раздел Make Wallets позволяет создать бумажники, содержащие информацию о ваших кредитках, банковских счетах и т.д. (рис. 13). Вся информация, понятное дело, хранится в зашифрованном виде. Со всей ответственностью могу сказать, что этот раздел бесполезный, поскольку не предусмотрена функция экспорта информации из бумажника. Представьте, что у вас есть множество банковских счетов и вы внесли информацию о каждом из них в программу - номер счета, название банка, владелец счета, SWIFT-код и т.д. Затем вам нужно предоставить информацию о счете третьему лицу для перевода вам денег. Вам придется вручную копировать каждое поле, вставлять его в документ или электронное письмо. Наличие функции экспорта значительно облегчило бы эту задачу. Как по мне, гораздо проще хранить всю эту информацию в одном общем документе, который нужно поместить на созданный программой виртуальный диск - сейф.

Рис. 13. Бумажники

Преимущества программы Folder Lock:

• Привлекательный и понятный интерфейс, который понравится начинающим пользователям, владеющим английским языком.
• Прозрачное шифрование «на лету», создание виртуальных зашифрованных дисков, с которыми можно работать, как с обычными дисками.
• Возможность резервного онлайн-копирования и синхронизации зашифрованных контейнеров (сейфов).
• Возможность создания саморасшифровывающихся контейнеров на USB/CD/DVD-дисках.

Недостатки программы:

• Нет поддержки русского языка, что усложнит работу с программой пользователей, не знакомых с английским языком.
• Сомнительные функции Lock Files (которая просто скрывает, а не «запирает» файлы) и Make Wallets (малоэффективна без экспорта информации). Честно говоря, думал, что функция Lock Files будет обеспечивать прозрачное шифрование папки/файла на диске, как это делает программа CyberSafe Top Secret или файловая система EFS .
• Отсутствие возможности подписания файлов, проверки цифровой подписи.
• При открытии сейфа не позволяет выбрать букву диска, которая будет назначена виртуальному диску, который соответствует сейфу. В настройках программы можно выбрать только порядок, в котором программа будет назначать букву диска - по возрастанию (от A до Z) или по убыванию (от Z до A).
• Нет интеграции с почтовыми клиентами, есть только возможность зашифровать вложение.
• Высокая стоимость облачного резервного копирования.

PGP Desktop

Программа PGP Desktop от Symantec - это комплекс программ для шифрования, обеспечивающий гибкое многоуровневое шифрование. Программа отличается от CyberSafe TopSecret и Folder Lock тесной интеграцией в системную оболочку. Программа встраивается в оболочку (Проводник), а доступ к ее функциям осуществляется через контекстное меню Проводника (рис. 14). Как видите, в контекстном меню есть функции шифрования, подписи файла и т.д. Довольно интересной является функция создания саморасшифровывающегося архива - по принципу самораспаковывающегося архива, только вместо распаковки архив также еще и расшифровывается. Впрочем, у программ Folder Lock и CyberSafe также есть аналогичная функция.

Рис. 14. Контекстное меню PGP Desktop

Также доступ к функциям программы можно получить через системный трей (рис. 15). Команда Open PGP Desktop открывает основное окно программы (рис. 16).

Рис. 15. Программа в системном трее

Рис. 16. Окно PGP Desktop

Разделы программы:

• PGP Keys - управление ключами (как собственными, так и импортированными с keyserver.pgp.com).
• PGP Messaging - управление службами обмена сообщениями. При установке программа автоматически обнаруживает ваши учетные записи и автоматически шифрует коммуникации AOL Instant Messenger.
• PGP Zip - управление зашифрованными архивами. Программа поддерживает прозрачное и непрозрачное шифрование. Этот раздел как раз и реализует непрозрачное шифрование. Вы можете создать зашифрованный Zip-архив (PGP Zip) или саморасшифровывающийся архив (рис. 17).
• PGP Disk - это реализация функции прозрачного шифрования. Программа может, как зашифровать весь раздел жесткого диска (или даже весь диск) или создать новый виртуальный диск (контейнер). Здесь же есть функция Shred Free Space, которая позволяет затереть свободное пространство на диске.
• PGP Viewer - здесь можно расшифровать PGP-сообщения и вложения.
• PGP NetShare - средство «расшаривания» папок, при этом «шары» шифруются с помощью PGP, а у вас есть возможность добавить/удалить пользователей (пользователи идентифицируются на основе сертификатов), которые имеют доступ к «шаре».

Рис. 17. Саморасшифровывающийся архив

Что касается виртуальных дисков, то мне особо понравилась возможность создания виртуального диска динамического размера (рис. 18), а также выбора алгоритма, отличного от AES. Программа позволяет выбрать букву диска, к которой будет подмонтирован виртуальный диск, а также позволяет автоматически монтировать диск при запуске системы и размонтировать при простое (по умолчанию через 15 минут бездействия).

Рис. 18. Создание виртуального диска

Программа старается зашифровать все и вся. Она отслеживает POP/SMTP-соединения и предлагает их защитить (рис. 19). То же самое касается и клиентов для обмена мгновенными сообщениями (рис. 20). Также есть возможность защиты IMAP-соединений, но ее нужно отдельно включать в настройках программы.

Рис. 19. Обнаружено SSL/TLS-соединение

Рис. 20. PGP IM в действии

Жаль, что PGP Desktop не поддерживает популярные современные программы вроде Skype и Viber. Кто сейчас пользуется AOL IM? Думаю, таких найдется немного.
Также при использовании PGP Desktop сложно настроить шифрование почты, которое работает только в режиме перехвата. А что, если зашифрованная почта уже была получена, а PGP Desktop был запущен уже после получения зашифрованного сообщения. Как его расшифровать? Можно, конечно, но придется это делать вручную. К тому же уже расшифрованные письма в клиенте уже никак не защищаются. А если настроить клиент на сертификаты, как это сделано в программе CyberSafe Top Secret, то письма всегда будут зашифрованы.
Режим перехвата работает тоже не очень хорошо, поскольку сообщение о защите почты появляется каждый раз на каждый новый почтовый сервер, а у gmail их очень много. Окошко защиты почты очень быстро вам надоест.
Стабильностью работы программа также не отличается (рис. 21).

Рис. 21. PGP Desktop зависла…

Также после ее установки система работала медленнее (субъективно)…

Преимущества программы PGP Desktop:

• Полноценная программа, использующаяся для шифрования файлов, подписания файлов и проверки электронной подписи, прозрачного шифрования (виртуальные диски и шифрование всего раздела), шифрования электронной почты.
• Поддержка сервера ключей keyserver.pgp.com.
• Возможность шифрования системного жесткого диска.
• Функция PGP NetShare.
• Возможность затирания свободного места.
• Тесная интеграция с Проводником.

Недостатки программы:

• Отсутствие поддержки русского языка, что усложнит работу с программой пользователям, которые не знают английский язык.
• Нестабильная работа программы.
• Низкая производительность программы.
• Есть поддержка AOL IM, но нет поддержки Skype и Viber.
• Уже расшифрованные письма остаются незащищенными на клиенте.
• Защита почты работает только в режиме перехвата, который быстро вам надоест, поскольку окно защиты почты будет появляться каждый раз для каждого нового сервера.

CyberSafe Top Secret

Как и в предыдущем обзоре , подробного описания программы CyberSafe Top Secret не будет, поскольку в нашем блоге и так уже много о ней написано (рис. 22).

Рис. 22. Программа CyberSafe Top Secret

Однако мы все же обратим внимание на некоторые моменты - самые важные. Программа содержит средства управления ключами и сертификатами, а наличие в CyberSafe собственного сервера ключей позволяет пользователю опубликовать на нем свой открытый ключ, а также получить открытые ключи других сотрудников компании (рис. 23).

Рис. 23. Управление ключами

Программа может использоваться для шифрования отдельных файлов, что было показано в статье «Электронная подпись: практическое использование на предприятии программного продукта CyberSafe Enterprise. Часть первая» . Что касается алгоритмов шифрования, то программа CyberSafe Top Secret поддерживает алгоритмы ГОСТ и сертифицированный криптопровайдер КриптоПро, что позволяет использовать ее в государственных учреждениях и банках.
Также программа может использоваться для прозрачного шифрования папки (рис. 24), что позволяет ее использовать в качестве замены для EFS . А, учитывая, что программа CyberSafe оказалась надежнее и быстрее (в некоторых сценариях), чем EFS, то использовать ее не только можно, но и нужно.

Рис. 24. Прозрачное шифрование папки C:\CS-Crypted

Функционал программы CyberSafe Top Secret напоминает функционал программы PGP Desktop - если вы заметили, то программа также может использоваться для шифрования сообщений электронной почты, а также для электронной подписи файлов и проверки этой подписи (раздел Эл. цифровая подпись , см. рис. 25).

Рис. 25. Раздел Эл. цифровая подпись

Как и программа PGP Desktop, программа CyberSafe Top Secret умеет создавать виртуальные зашифрованные диски и шифровать полностью разделы жесткого диска . Нужно отметить, что программа CyberSafe Top Secret умеет создавать виртуальные диски только фиксированного размера, в отличие от программ Folder Lock и PGP Desktop. Однако этот недостаток нейтрализуется возможностью прозрачного шифрования папки, а размер папки ограничен только размером свободного пространства на жестком диске.
В отличие от программы PGP Desktop, программа CyberSafe Top Secret не умеет шифровать системный жесткий диск, она ограничивается лишь шифрованием внешних и внутренних не системных дисков.
Зато у CyberSafe Top Secret есть возможность облачного резервного копирования, причем, в отличие от Folder Lock, данная возможность абсолютно бесплатна, точнее функцию облачного резервного копирования можно настроить на любой сервис - как платный, так и бесплатный. Подробнее об этой возможности можно прочитать в статье «Шифрование резервного копирования на облачных сервисах» .
Также нужно отметить две немаловажные особенности программы: двухфакторную авторизацию и систему доверенных приложений. В настройках программы можно или установить аутентификацию по паролю или двухфакторную аутентификацию (рис. 26).

Рис. 26. Настройки программы

На вкладке Разрешен. приложения можно определить доверенные приложения, которым разрешено работать с зашифрованными файлами. По умолчанию все приложения являются доверенными. Но для большей безопасности вы можете задать приложения, которым разрешено работать с зашифрованными файлами (рис. 27).

Рис. 27. Доверенные приложения

Преимущества программы CyberSafe Top Secret:

• Поддержка алгоритмов шифрования ГОСТ и сертифицированного криптопровайдера КриптоПро, что позволяет использовать программу не только частным лицам и коммерческим организациям, но и государственным учреждениям.
• Поддержка прозрачного шифрования папки, что позволяет использовать программу в качестве замены EFS. Учитывая, что программа обеспечивает лучший уровень производительности и безопасности , такая замена более чем оправдана.
• Возможность подписания файлов электронной цифровой подписью и возможность проверки подписи файла.
• Встроенный сервер ключей, позволяющий публиковать ключи и получать доступ к другим ключам, которые были опубликованы другими сотрудниками компании.
• Возможность создания виртуального зашифрованного диска и возможность шифрования всего раздела.
• Возможность создания саморасшифровывающихся архивов.
• Возможность бесплатного облачного резервного копирования, которое работает с любым сервисом - как платным, так и бесплатным.
• Двухфакторная аутентификация пользователя.
• Система доверенных приложений, позволяющая разрешить доступ к зашифрованным файлам только определенным приложениям.
• Приложение CyberSafe поддерживает набор инструкций AES-NI, что положительно сказывается на производительности программы (этот факт будет продемонстрирован далее).
• Драйвер программы CyberSafe позволяет работать по сети, что дает возможность организовать корпоративное шифрование .
• Русскоязычный интерфейс программы. Для англоязычных пользователей имеется возможность переключения на английский язык.

Теперь о недостатках программы. Особых недостатков у программы нет, но поскольку была поставлена задача честно сравнить программы, то недостатки все же придется найти. Если совсем уж придираться, иногда в программе (очень-очень редко) «проскакивают» нелокализированные сообщения вроде «Password is weak». Также пока программа не умеет шифровать системный диск, но такое шифрование не всегда и не всем необходимо. Но все это мелочи по сравнению с зависанием PGP Desktop и ее стоимостью (но об этом вы еще не знаете).

Производительность

При работе с PGP Desktop у меня создалось впечатление (уже сразу после установки программы), что компьютер стал работать медленнее. Если бы не это «шестое чувство», то этого раздела не было в данной статье. Было решено измерить производительность программой CrystalDiskMark . Все испытания проводятся на реальной машине - никаких виртуалок. Конфигурация ноутбука следующая - Intel 1000M (1.8 GHz)/4 Гб ОЗУ/WD WD5000LPVT (500 Гб, SATA-300, 5400 RPM, буфер 8 Мб/Windows 7 64-bit). Машина не очень мощная, но какая есть.
Тест будет производиться следующим образом. Запускаем одну из программ и создаем виртуальный контейнер. Параметры контейнера следующие:

• Размер виртуального диска - 2048 Мб.
• Файловая система - NTFS
• Буква диска Z:

После этого программа закрывается (ясное дело, виртуальный диск размонтируется) - чтобы уже ничто не мешало тесту следующей программы. Запускается следующая программа, в ней создается аналогичный контейнер и снова производится тест. Чтобы вам было понятнее читать результаты теста, нужно поговорить о том, что означают результаты CrystalDiskMark:

1. Seq - тест последовательной записи/последовательного чтения (размер блока = 1024КБ);
2. 512К - тест случайной записи/случайного чтения (размер блока = 512КБ);
3. 4К - то же самое, что и 512К, но размер блока 4 Кб;
4. 4К QD32 - тест случайной записи/чтения (размер блока = 4КБ, Глубина Очереди = 32) для NCQ&AHCI.

Во время теста все программы, кроме CrystalDiskMark были закрыты. Я выбрал размер теста 1000 Мб и установил 2 прохода, чтобы лишний раз не насиловать свой жесткий диск (в результате данного эксперимента у него и так температура выросла с 37 до 40 градусов).

Начнем с обычного жесткого диска, чтобы было с чем сравнивать. Производительность диска C: (а это единственный раздел на моем компьютере) будет считаться эталонной. Итак, я получил следующие результаты (рис. 28).

Рис. 28. Производительность жесткого диска

Теперь приступим к тестированию первой программы. Пусть это будет Folder Lock. На рис. 29 показаны параметры созданного контейнера. Обратите внимание: я использую фиксированный размер. Результаты программы показаны на рис. 30. Как видите, имеет место значительное снижение производительности по сравнению с эталоном. Но это нормальное явление - ведь данные зашифровываются и расшифровываются на лету. Производительность должна быть ниже, вопрос насколько.

Рис. 29. Параметры контейнера Folder Lock

Рис. 30. Результаты программы Folder Lock

Следующая программа - PGP Desktop. На рис. 31 - параметры созданного контейнера, а на рис. 32 - результаты. Мои ощущения подтвердились - программа действительно работает медленнее, что и подтвердил тест. Вот только при работе этой программы «тормозил» не только виртуальный диск, а даже вся система, чего не наблюдалось при работе с другими программами.

Рис. 31. Параметры контейнера PGP Desktop

Рис. 32. Результаты программы PGP Desktop

Осталось протестировать программу CyberSafe Top Secret. Как обычно, сначала - параметры контейнера (рис. 33), а затем результаты программы (рис. 34).

Рис. 33. Параметры контейнера CyberSafe Top Secret

Рис. 34. Результаты программы CyberSafe Top Secret

Думаю, комментарии будут лишними. По производительности места распределились следующим образом:

1. CyberSafe Top Secret
2. Folder Lock
3. PGP Desktop

Цена и выводы

Поскольку мы тестировали проприетарное программное обеспечение, нужно рассмотреть еще один немаловажный фактор - цена. Приложение Folder Lock обойдется 39.95$ за одну установку и 259.70$ за 10 инсталляций. С одной стороны, цена не очень высока, но функционал программы, откровенно говоря, мал. Как уже отмечалось, от функций сокрытия файлов и бумажников толку мало. Функция Secure Backup требует дополнительной платы, следовательно, отдавать почти 40 долларов (если поставить себя на место обычного пользователя, а не компании) только за возможность шифрования файлов и создания саморасшифровывающихся сейфов - дорого.
Программа PGP Desktop обойдется в 97 долларов. И заметьте - это только начальная цена. Полная версия с набором всех модулей обойдется примерно в 180-250$ и это только лицензия на 12 месяцев. Другими словами, каждый год за использование программы придется выложить 250$. Как по мне, это перебор.
Программа CyberSafe Top Secret - золотая середина, как по функционалу, так и по цене. Для обычного пользователя программа обойдется всего в 50 долларов (специальная антикризисная цена для России, для остальных стран полная версия обойдется 90$). Прошу заметить, столько стоит самая полная версия программы Ultimate .
Таблица 1 содержит сравнительную таблицу функций всех трех продуктов, которая сможет помочь вам выбрать именно ваш продукт.

Таблица 1. Программы и функции

Функция	Folder Lock	PGP Desktop	CyberSafe Top Secret
Виртуальные зашифрованные диски	Да	Да	Да
Шифрование всего раздела	Нет	Да	Да
Шифрование системного диска	Нет	Да	Нет
Удобная интеграция с почтовыми клиентами	Нет	Нет	Да
Шифрование сообщений электронной почты	Да (ограничено)	Да	Да
Шифрование файлов	Нет	Да	Да
ЭЦП, подписание	Нет	Да	Да
ЭЦП, проверка	Нет	Да	Да
Прозрачное шифрование папки	Нет	Нет	Да
Саморасшифровывающиеся архивы	Да	Да	Да
Облачное резервное копирование	Да (платно)	Нет	Да (беплатно)
Система доверенных приложений	Нет	Нет	Да
Поддержка сертифицированного криптопровайдера	Нет	Нет	Да
Поддержка токенов	Нет	Нет (поддержка прекращена)	Да (при установке КриптоПро)
Собственный сервер ключей	Нет	Да	Да
Двухфакторная аутентификация	Нет	Нет	Да
Сокрытие отдельных файлов	Да	Нет	Нет
Сокрытие разделов жесткого диска	Да	Нет	Да
Бумажники для хранения платежной информации	Да	Нет	Нет
Поддержка шифрования ГОСТ	Нет	Нет	Да
Русский интерфейс	Нет	Нет	Да
Последовательная чтение/ запись (DiskMark), Мб/с	47/42	35/27	62/58
Стоимость	40$	180-250$	50$

Учитывая все изложенные в этой статье факторы (функционал, производительность и цену), победителем данного сравнения является программа CyberSafe Top Secret. Если у вас остались вопросы, мы с радостью ответим на них в комментариях.

Теги: Добавить метки

Эта статья будет полезна любому владельцу ПК или ноутбука. Вы задумывались когда-нибудь, насколько велики могут быть ваши потери, если ваша информация попадет не в те руки? Некоторые из вас делают резервные копии важных данных на съемные диски или в облако, но это не спасает от утери или воровства техники. Шифровать данные я начал сразу после того, как у моего знакомого дважды за год украли ноутбук. При этом я «старовер», на сегодняшний день я не пользуюсь ноутбуком и работаю исключительно за ПК, и исключаю для себя риски вроде «забыл сумку с ноутбуком в кафе».

Подумайте, какой может быть самый параноидальный вариант использования ваших данных. У вас уведут клиентскую базу? Уведут деньги с кошелька «вебмани»? Получат доступ к десяткам клиентских проектов, за которые вы отвечаете головой? Вы станете звездой YouTube?

Начинайте шифровать данные.

Важный момент. Я не профессионал по защите информации. И статья написана на основании моего опыта и предпочтений, и в ней описываются методы, которые подойдут для личного использования или мелкого бизнеса, в формате «Лучше обезопасить информацию так, чем никак».

Если вы постоянно пользуетесь мобильными устройствами – вы сможете найти полезные приложения в статье про бесплатные мобильные приложения для бизнеса .

Зачем шифровать данные и параноить насчет паролей?

Вот случаи из жизни ближайшего окружения за последние несколько лет:

• С украденного ноутбука попросили взаймы у друзей в соцсетях и мессенджерах более 1 000 долларов суммарно;
• Слили клиентскую базу, которая нарабатывалась годами, на форум любителей рассылок;
• С вебмани кипера сняли стоимость новой иномарки;
• Увели домены с хорошей историей и посещаемостью.

Возможны и более неприятные варианты – если технику «увели» целенаправленно. Основами безопасности при работе с данными пренебрегают повсеместно. Это и сохраненные в сервисах и на сайтах пароли, и пароли на рабочем столе в файлике «пароли.txt».

Большинство сервисов привязаны к почте, почту многие получают или через почтовые клиенты (Outlook, Thunderbird и подобные), или читают в браузере, само собой, сохранив пароль. Часто еще и основная почта заведена лет 15 назад, без привязки мобильного. В таком случае потерять можно все доступы к сервисам, к которым не привязан номер телефона.

Если вы в спешке начали переписывать пароли на бумажку и гуглить «как удалить пароль из браузера навсегда» – остановитесь. Далее в статье будет несколько простых вариантов шифрования для бытового и коммерческого использования для мелкого бизнеса.

Варианты шифрования данных, в каких случаях их лучше использовать для жизни и бизнеса?

Вот три самых простых, бюджетных и относительно надежных варианта сохранности данных. Даже если ваша техника попадет в чужие руки – получить доступ к информации не получится.

Первый вариант – шифрование на съемном носителе

Съемный жесткий диск или флешка при подключении требуют ввести цифровой пароль на самом носителе, кроме этого, шифруются сами данные на чипе памяти. Вот так примерно это выглядит:

У такого варианта я вижу только 2 преимущества:

1. Совместимость с разными операционными системами (это просто флешка).
2. Возможность ввести суперсекретный пароль для удаления всех данных, вместо пароля для расшифровки.

Ну и еще сомнительный плюс – при каждом подключении устройства вы будете выглядеть как плохая пародия на Тома Круза в серии фильмов «Миссия Невыполнима».

1. Цена.
2. Скорость работы. Внешние диски (а особенно флешки) работают медленнее.
3. Шанс получить дополнительную головную боль, когда одна из цифр западет или сломается.

Мое мнение – это для любителей поиграть в шпионов. Можно использовать как хранилище важной информации (записать все пароли и спрятать в банку с крупой или ящик с носками), но не более того.

Мы против покупных ссылок, спам-рассылок и накруток. Только комплексное «белое» продвижение дает долгосрочный результат.

Второй вариант – использование программ для шифрования данных на диске

Поскольку в работе я использую множество «виндовых» программ для сбора и обработки данных, я ограничен в выборе операционной системы и работаю в ОС Windows. Как и более 80 % пользователей ПК и ноутбуков:

Я остановился на двух реализациях шифрования данных для Windows (BitLocker и VeraCrypt) из-за весомых преимуществ:

1. В случае с ОС Windows от версии Vista и выше есть штатный инструмент шифрования диска или его части – Bitlocker;
2. Можно зашифровать раздел диска целиком, независимо от его объема;
3. Можно создать отдельный зашифрованный контейнер на несколько гигабайт, который будет выглядеть как обычный файл, и получить данные можно будет только зная, какой программой зашифрованы данные и получив пароль. Как пример – зашифрованный раздел в формате.mp4 может лежать в папке «Фильмы» и вряд ли кому-то придет в голову пробовать открыть «битый» фильм программой VeraCrypt;
4. В случае использования VeraCrypt – при установке соответствующего ПО зашифрованный диск можно будет прочитать и под MacOS и под наиболее распространенными дистрибутивами Linux.
5. VeraCrypt позволяет создать дополнительный шифрованный раздел внутри зашифрованного раздела, извините за тавтологию. Это позволяет создать тайник внутри тайника, если говорить простым языком. Я этой функцией не пользовался, но вдруг вам это будет полезно знать.

Из обнаруженных за несколько лет использования недостатков:

1. Bitlocker – не кроссплатформенный вариант. Ни под Mac OS ни под популярными дистрибутивами Linux раздел или диск, зашифрованный «Битлокером» открыть не получится. Я об этом случайно узнал, когда нужно было перекинуть на ноутбук с Ubuntu данные с зашифрованного съемного диска. Что интересно – под Windows XP есть официальная программа Bitlocker To Go от Microsoft, которая позволяет читать зашифрованные разделы.
2. Зашифрованный с помощью VeraCrypt раздел открыть можно только с помощью компьютера с установленной программой. Правда, есть вариант создания portable-версии программы расшифровки вместе с зашифрованным разделом. Но это сразу бросается в глаза и видно, что на диске, разделе или флешке имеются зашифрованные данные.

Третий вариант – безопасное хранение паролей

Иногда защита информации ограничивается необходимостью безопасно хранить пароли, например, от:

• Облачного хранилища с данными.
• Удаленного сервера, на котором ведется вся работа.
• Почты, аккаунтов соцсетей и т. д.

В таком случае вообще нет смысла в использовании специализированное программное обеспечение для хранения паролей. В конце этой статьи я расскажу, как можно хранить пароли хоть написанными на мониторе, и в то же время обезопасить их.

Личный опыт. Как зашифровать диск программой Bitlocker

Bitlocker я использую на домашнем компьютере по трем причинам:

1. Я реалист и понимаю, что у меня нет никаких суперсекретных данных, ради которых стоило бы использовать какие-нибудь сложные схемы хранения и шифрования данных.
2. Bitlocker позволяет зашифровать уже используемый раздел диска. То есть, критичные данные достаточно сохранить отдельно на всякий случай, и можно приступать к шифрованию диска.
3. К этим данным не требуется регулярный доступ с компьютеров с другой ОС, поэтому вместо нагромождения сторонних программ проще и логичнее было использовать штатную возможность операционной системы.

Как включить BitLocker в Windows?

BitLocker можно запустить в следующих версиях ОС:

• Microsoft Windows Vista Максимальная/Корпоративная;
• Windows 7 Максимальная или Корпоративная;
• Windows Server 2008 R2;
• Windows 8 Профессиональная или Корпоративная;
• Windows 8.1 Профессиональная или Корпоративная;
• Windows 10 Профессиональная, для образовательных учреждений или Корпоративная.

Если у вас другая версия ОС – самым простым вариантом будет подключение диска к компьютеру с нужной версией Windows. Для работы с зашифрованным диском не требуется одна из вышеперечисленных версий. Например, вы можете зашифровать раздел диска, подключив его к компьютеру с Windows 7 Максимальной, а использовать на компьютере с Windows 7 Home Basic.

BitLocker в Windows 7, Windows 8 и Windows 10 – совместимость

Существует проблема совместимости дисков, зашифрованных в версиях 7 и 8 и в версии 10. Windows 7 и Windows 8 используют при шифровании алгоритмы AES, а «десятка» – XTS-AES алгоритмы. Разработчики заявляют, что это не баг, а фича. Хотя, как по мне – несовместимость систем шифрования для операционных систем, выпущенных с разницей в 5 лет (2009 и 2014) – не очень хорошая затея. На официальном форуме Microsoft в такой ситуации рекомендуют использовать другой компьютер. Что как минимум странно, потому что даже для древней Windows XP (вышедшей в 2001 году) выпустили программу BitLocker To Go, позволяющую подключить диск, зашифрованный в Windows 7 и 8.

Как настроить BitLocker?

Все, что касается настроек шифрования, хранится в редакторе локальной групповой политики. Чтобы в нее попасть, жмем «Пуск», в строке поиска вводим:

В открывшемся окне нужно перейти по разделам «Конфигурация компьютера» – «Административные шаблоны» – «Компоненты Windows» – «Шифрование данных BitLocker»:

Из полезных для обычного пользователя могу выделить 2 настройки в редакторе локальной групповой политики.

Первая – выбор метода шифрования и стойкость шифра.

Самый надежный вариант из возможных к выбору – AES с 256-битным ключом с диффузором. Но для выполнения задачи «посторонний человек не получит доступ к вашим данным, если найдет вашу сумку с ноутбуком» достаточно любой из настроек. Значительной разницы в скорости работы «на глаз» я не заметил, поэтому можно использовать самый продвинутый вариант.

Вторая настройка, которая может быть полезна – возможность шифрования системного диска (обычно это диск C) без наличия модуля TPM. TPM – Trusted Platform Module – криптопроцессор, который позволяет шифровать данные на системном диске. Этот модуль не установлен на большинство ПК и ноутбуков, поэтому без дополнительной настройки BitLocker зашифровать Гсистемный диск не получится.

Проверить, установлен ли модуль TPM на вашем компьютере или ноутбуке, можно в настройках безопасности BIOS.

Если он не установлен, а вы все же хотите зашифровать системный диск, потребуется перейти в раздел «Конфигурация компьютера» – «Административные шаблоны» – «Компоненты Windows» – «Шифрование данных BitLocker» – «Диски операционной системы»:

В открывшемся окне можно разрешить использование BitLocker без TPM:

Перед тем, как шифровать системный диск, ответьте себе на 3 вопроса:

1. Поддерживает ли ваш ноутбук или компьютер загрузку с флешки? Если нет – системный диск зашифровать не получится.
2. У вас на системном диске действительно хранятся важные данные? Обычно хорошая практика – несколько разделов (C, D) и хранение важной информации на диске D.
3. Каков шанс, что флешка сломается или будет потеряна?

По моему личному мнению, гораздо проще разбить диск на несколько разделов (или в случае с компьютером – использование нескольких дисков) и зашифровать диск с данными. Недостаток только один – можно будет включить компьютер и загрузить операционную систему.

Преимуществ много:

1. Даже в случае поломки компьютера можно просто снять диск и расшифровать его на другом компьютере.
2. Свое мнение к ежедневному подключению-отключению USB-ключа я уже высказал в начале статьи – через 3 дня вам надоест дергать его туда-сюда, и он будет подключен всегда.
3. Даже дорогие флешки ломаются. По закону подлости – произойдет это в самый неподходящий момент.

Для меня лучшим ответом на вопрос «Почему не надо шифровать системный диск просто потому что так можно» стало недельное наблюдение за неудачными попытками расшифровать диск при потере USB-ключа.

Поэтому лучший вариант для личного использования – зашифровать данные на отдельном диске, перестать беспокоиться и начать жить.

Справедливости ради, сейчас уже не проблема купить ноутбук или материнскую плату с TPM модулем:

В чем подвох? Если ваш компьютер или ноутбук поддерживает TPM, но что-то произойдет с материнской платой, вы можете попрощаться с вашими данными на системном диске. Единственный вариант избежать этого -– сделать несколько USB-ключей и надеяться, что флешка с ключом, и материнская плата ноутбука не выйдут из строя одновременно.

И дополнительный нюанс – Windows достаточно капризная система. Если у вас в 2020 году сгорит ноутбук 2017 года выпуска, а на системном диске будет бухгалтерия за 3 года, с очень большой вероятностью придется искать ноутбук аналогичной конфигурации. Потому что даже при наличии USB-ключа, операционная система может не завестись на другом «железе».

Повторюсь – для бытового использования достаточно просто хранить важные данные на отдельном диске или разделе, зашифрованном BitLocker. Тогда в случае поломки компьютера их можно будет расшифровать на любом другом компьютере с подходящей версией ОС.

Перейдем к практической части.

Шифрование диска или флешки с помощью BitLocker

Практика проще теории. В выпадающем меню диска или флешки выбираем пункт «Включить Bitlocker»:

Важный момент. Сделайте резервную копию важных данных перед шифрованием. На случай, если что-то пойдет не так (свет «мигнет» на середине процесса, например) – это лучший вариант. Съемный диск на 2 ТБ стоит 5 000 рублей, это в разы дешевле, чем восстановление данных в случае прерывания шифрования в середине процесса.

После шифрования помимо пароля вы получите ключ, с помощью которого так же можно будет расшифровать диск если забудете пароль.

После выбора одного из вариантов начнется шифрование.

Флешка на 16 ГБ шифровалась около 1,5 часов. Двухтерабайтный диск я оставлял на ночь, поэтому точно время не засек, но 6 часов хватило.

Именно потому что сам процесс может занять 3–6 часов, я рекомендовал сделать бэкап на отдельный диск. Если во время шифрования диска у вас выключат свет, ни ИБП, ни заряда батареи ноутбука скорее всего не хватит на весь процесс.

При открытии зашифрованного диска достаточно ввести пароль:

После разблокировки диск работает в обычном режиме. После разблокировки в выпадающем меню в пункте «Управление BitLocker» вы можете:

• изменить пароль для снятия блокировки диска;
• удалить пароль для диска;
• добавить необходимость подключать смарт-карту для снятия блокировки;
• сохранить или напечатать ключ восстановления BitLocker;
• автоматически снимать блокировку для текущего компьютера (никогда не используйте этот пункт).

Как пользоваться VeraCrypt? Инструкция по установке и настройке

Portable версия (не требующая установки) доступна только для Windows. Ее использование целесообразно в том случае, когда шифруются действительно секретные данные, и даже наличие установленной программы может натолкнуть на мысль, что на компьютере или ноутбуке есть зашифрованный раздел. Я использую обычную версию.

Процесс установки я опущу, он ничем не примечателен (согласие с лицензионным соглашением, добавление ярлыка на рабочий стол и в меню пуск, установка для всех пользователей). При установке можно выбрать русский язык для интерфейса программы.

Как зашифровать диск или флешку программой VeraCrypt

Собственно, сам процесс шифрования. Запускаем программу:

Нажимаем «Создать том»:

1. Создание зашифрованного файла. Самый «шпионский» вариант. Если создать файл «Zvezdnle.W0yny.Khan.s0l0-fullHD.mp4» весом в 9–12 ГБ и положить его в папку «фильмы» среди 15 других фильмов, то догадаться, что именно этот файл и есть зашифрованный контейнер, будет непросто.
2. Шифрование диска, флешки или раздела полностью. Недостаток в том, что сразу видно, что диск зашифрован. Хотя подручными средствами расшифровать его все равно не получится.
3. Шифрование системного раздела диска.

Используем первый вариант, остальные принципиально не отличаются, кроме времени, необходимого для шифрования диска полностью.

Перед шифрованием любой важной информации – сделайте ее копию. Это в любом случае обойдется дешевле, чем восстановление данных с полузашифрованного диска.

Следующая опция:

Второй вариант позволяет создать еще один зашифрованный раздел внутри первого зашифрованного раздела. Актуальный вариант, если вы допускаете возможность того, что первый пароль расшифруют с помощью вас и паяльника. Я выберу первый вариант:

Обратите внимание – нужно указать название файла, а не существующий файл, так как если файл существует – он будет удален, а на его месте создан зашифрованный раздел.

Выбираем шифрование AES с хешированием SHA-512 – этого достаточно, чтобы расшифровать пароль на обычном компьютере методом подбора было малореально. На следующем шаге задается размер зашифрованного раздела:

И задаем пароль для раздела:

На следующем этапе вам предложат выбрать файловую систему зашифрованного раздела. Для этого надо ответить на вопрос – собираетесь ли вы хранить в нем файлы размером более 4 ГБ. И переходим к шифрованию:

Теперь перемещаем курсор внутри окна, пока не заполнится полоса прогресса, и после этого жмем «Разметить».

На этом процесс шифрования закончен. Для непосвященного человека на флешке находится фильм:

Чтобы использовать зашифрованный раздел, необходимо:

1. Запустить программу VeraCrypt;
2. Выбрать букву диска, на который будет смонтирован зашифрованный том;
3. Выбрать файл зашифрованного раздела;
4. Нажать «Смонтировать»;
5. Ввести пароль, подождать 3–10 секунд.
6. В проводнике появится новый диск, который и является зашифрованным разделом.

Все, работать с зашифрованным разделом можно как с обычным диском. Перед завершением работы с зашифрованным разделом нужно закрыть все приложения, которые использовали файлы с этого раздела. После этого нажимаем «Размонтировать все» и зашифрованный раздел снова превращается в обычный файл.

Как видите, в шифровании данных на бытовом уровне нет ничего сложного. Зато резко снижается вероятность потери нервных клеток вместе с потерей ноутбука с конфиденциальными данными.

Другие программы для шифрования диска для Windows и Mac OS

Помимо описанных выше вариантов можно использовать другие решения:

TrueCrypt

Сначала я хотел вместо VeraCrypt использовать именно эту программу. Ее возможностей более чем достаточно и для бытового и для профессионального использования. TrueCrypt умеет:

• Шифровать контейнеры. Можно зашифровать только необходимую информацию, чтобы пользоваться носителем небольшого объема.
• Шифровать разделы диска.
• Шифровать диск или флешку целиком.

В 2014 году поддержка и разработка TrueCrypt была прекращена, последняя версия программы позволяет только расшифровывать данные, без возможности шифрования. На официальном сайте появилась рекомендация переходить на BitLocker. Поскольку TrueCrypt был одной из самых популярных бесплатных программ для шифрования данных – это породило множество слухов о давлении на разработчиков ПО. Косвенно это подтверждает факт, что независимый аудит безопасности, на который было собрано более 60 000 долларов, не обнаружил критических уязвимостей в последних версиях программы.

На сегодняшний день неофициальным сайтом является проект https://truecrypt.ch .

Любители теорий заговоров в сомнении – что лучше? Не использовать BitLocker, потому что очень уж подозрительно, что на бывшем официальном сайте ссылаются на него? Или не использовать TrueCrypt, вдруг спецслужбы специально сделали новый «повстанческий» сайт и напихали в исходный код «закладок», позволяющих расшифровать зашифрованные данные?

Тем не менее, на сайте можно загрузить TrueCrypt для Windows, MacOS, Linux:

На сайте есть англоязычный форум поддержки, на котором регулярно отвечают на вопросы новичков.

Признаюсь, на мой выбор повлиял обычный бытовой фактор – я не хочу перешифровывать несколько дисков, если вдруг TrueCrypt перестанет обновляться или будет несовместим с последними версиями ОС Windows (на скриншоте выше видно, что Windows 10 уже не указан в списке загрузок).

Поэтому я выбрал VeraCrypt, как на мой взгляд, наиболее перспективное ответвление TrueCrypt. Проект постоянно развивается:

Но я думаю, вы согласитесь со мной – все равно ведь, все выглядит подозрительно? Кто мог написать на «Википедии», что VeraCrypt более устойчив к возможным атакам АНБ, если не дежурный офицер АНБ?

FireVault и FireVault 2 для MacOS

Владельцы ноутбуков и компьютеров Apple могут использовать для шифрования официальную программу FireVault. По сути, это аналог BitLocker, только для MacOS. Недостаток первой версии, используемой в версиях ОС до Mac OS X Snow Leopard включительно – возможность зашифровать только домашнюю папку пользователя. Вторая версия программы используется начиная с OS X Lion и позволяет зашифровать диск полностью.

Подробная русскоязычная инструкция по шифрованию загрузочного раздела приведена на официальном сайте .

Если ваша версия Mac OS позволяет шифровать только домашнюю папку -– вы можете использовать TrueCrypt или VeraCrypt и создать зашифрованный раздел.

CipherShed

Впрочем, у вас может быть другое мнение. Напишите в комментариях, была ли статья вам полезна? Используете ли вы шифрование? Может быть, у вас есть простой и проверенный способ защиты данных, о котором я не упомянул?

В настоящие дни мы постоянно имеем дело с информацией. Благодаря развитию информационных технологий, теперь работа, творчество, развлечение в значительной степени превратились в процессы по обработке или потреблению информации. И среди этого огромного массива информации часть данных не должна быть общедоступной. Примером такой информации могут быть файлы и данные, связанные с коммерческой деятельностью; приватные архивы.

Часть этих данных не предназначена для широкого круга просто по той причине, что «им незачем об этом знать»; а какая-то информация является жизненно важной.

Эта статья посвящено надёжной защите именно жизненно важной информации, а также любых файлов, которые вы хотите оградить от доступа других лиц, даже если ваш компьютер или носитель (флешка, жёсткий диск) попали в руки посторонних лиц, в том числе технически продвинутых и имеющих доступ к мощным вычислительным ресурсам.

Почему не стоит доверять программам для шифрования с закрытым исходным кодом

В программы с закрытым исходным кодом могут быть внедрены «закладки» (и не надо надеяться, что их там нет!) и возможность открывать зашифрованные файлы с помощью мастер-ключа. Т.е. вы можете использовать любой, самый сложный пароль, но ваш зашифрованный файл всё равно с лёгкостью, без перебора паролей, может быть открыт с помощью «закладки» или владельцем мастер-ключа. Размер компании-производителя программного обеспечения для шифрования и название страны в данном вопросе роли не играют, поскольку это является частью государственной политики многих стран. Ведь нас всё время окружают террористы и наркоторговцы (а что делать?).

Т.е. на действительно надёжное шифрование можно надеяться правильно используя популярное программное обеспечение с открытым исходным кодом и стойким для взлома алгоритмом шифрования.

Стоит ли переходить с TrueCrypt на VeraCrypt

Эталонной программой, которая много лет позволяет очень надёжно шифровать файлы является TrueCrypt. Эта программа до сих пор прекрасно работает. К сожалению, в настоящее время разработка программы прекращена.

Её лучшей наследницей стала программа VeraCrypt.

VeraCrypt - это бесплатное программное обеспечение для шифрование дисков, она базируется на TrueCrypt 7.1a.

VeraCrypt продолжает лучшие традиции TrueCrypt, но при этом добавляет повышенную безопасность алгоритмам, используемым для шифрования систем и разделов, что делает ваши зашифрованные файлы невосприимчивым к новым достижениям в атаках полного перебора паролей.

VeraCrypt также исправила многие уязвимости и проблемы безопасности, обнаруженные в TrueCrypt. Она может работать с томами TrueCrypt и предлагает возможность конвертировать контейнеры TrueCrypt и несистемные разделы в формат VeraCrypt.

Эта улучшенная безопасность добавляет некоторую задержку только к открытию зашифрованных разделов без какого-либо влияния на производительность в фазе использования зашифрованного диска. Для легитимного пользователя это практически незаметное неудобство, но для злоумышленника становится практически невозможным получить доступ к зашифрованным данным, несмотря на наличие любых вычислительных мощностей.

Это можно продемонстрировать наглядно следующими бенчмарками по взлому (перебору) паролей в Hashcat :

Для TrueCrypt:

Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit Speed.Dev.#1.: 21957 H/s (96.78ms) Speed.Dev.#2.: 1175 H/s (99.79ms) Speed.Dev.#*.: 23131 H/s Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit Speed.Dev.#1.: 9222 H/s (74.13ms) Speed.Dev.#2.: 4556 H/s (95.92ms) Speed.Dev.#*.: 13778 H/s Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit Speed.Dev.#1.: 2429 H/s (95.69ms) Speed.Dev.#2.: 891 H/s (98.61ms) Speed.Dev.#*.: 3321 H/s Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode Speed.Dev.#1.: 43273 H/s (95.60ms) Speed.Dev.#2.: 2330 H/s (95.97ms) Speed.Dev.#*.: 45603 H/s

Для VeraCrypt:

Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit Speed.Dev.#1.: 68 H/s (97.63ms) Speed.Dev.#2.: 3 H/s (100.62ms) Speed.Dev.#*.: 71 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit Speed.Dev.#1.: 26 H/s (87.81ms) Speed.Dev.#2.: 9 H/s (98.83ms) Speed.Dev.#*.: 35 H/s Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit Speed.Dev.#1.: 3 H/s (57.73ms) Speed.Dev.#2.: 2 H/s (94.90ms) Speed.Dev.#*.: 5 H/s Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode Speed.Dev.#1.: 154 H/s (93.62ms) Speed.Dev.#2.: 7 H/s (96.56ms) Speed.Dev.#*.: 161 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit Speed.Dev.#1.: 118 H/s (94.25ms) Speed.Dev.#2.: 5 H/s (95.50ms) Speed.Dev.#*.: 123 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit + boot-mode Speed.Dev.#1.: 306 H/s (94.26ms) Speed.Dev.#2.: 13 H/s (96.99ms) Speed.Dev.#*.: 319 H/s

Как можно увидеть, взломать зашифрованные контейнеры VeraCrypt на несколько порядков сложнее, чем контейнеры TrueCrypt (которые тоже совсем не просты).

Полный бенчмарк и описание железа я публиковал в статье « ».

Второй важный вопрос - надёжность. Никто не хочет, чтобы особо ценные и важные файлы и сведения были потеряны из-за ошибки в программе. Я знаю о VeraCrypt сразу после её появления. Я следил за её развитием и постоянно к ней присматривался. На протяжении последнего года я полностью перешёл с TrueCrypt на VeraCrypt. За год ежедневной работы VeraCrypt меня ни разу не подводила.

Таким образом, на мой взгляд, сейчас стоит переходить с TrueCrypt на VeraCrypt.

Как работает VeraCrypt

VeraCrypt создаёт специальный файл, который называется контейнер. Этот контейнер является зашифрованным и может быть подключён только при вводе верного пароля. После ввода пароля, контейнер отображается как дополнительный диск (как вставленная флешка). Любые файлы, помещённые на этот диск (т.е. в контейнер), шифруются. Пока контейнер подключён, вы беспрепятственно можете копировать, удалять, записывать новые файлы, открывать их. Как только контейнер отключён, все файлы на нём становятся абсолютно недоступными, пока вновь не будет выполнено его подключение, т.е. пока не будет введён пароль.

Работа с файлами в зашифрованном контейнере ничем не отличается от работы с файлами на любом другом диске.

При открытии файла или записи его в контейнер, не нужно ждать расшифрования - всё происходит очень быстро, будто бы вы действительно работаете с обычным диском.

Как установить VeraCrypt в Windows

С TrueCrypt имела место полушпионская история - были созданы сайты для «скачать TrueCrypt», на них бинарный файл (ну естественно!) был заражён вирусом/трояном. Те, кто скачивал TrueCrypt с этих неофициальных сайтов заражали свои компьютеры, что позволяло злоумышленникам воровать персональные информацию и способствовать распространению вредоносного ПО.

Вообще-то, все программы нужно скачивать только с официальных сайтов. И уж тем более это касается программ, которые затрагивают вопросы безопасности.

Официальными местами размещения установочных файлов VeraCrypt являются:

Установка VeraCrypt в Windows

Имеется мастер установки, поэтому процесс установки VeraCrypt схож с аналогичным процессом других программ. Разве что можно пояснить несколько моментов.

Установщик VeraCrypt предложит две опции:

• Install (Установить VeraCrypt в вашу систему)
• Extract (Извлечь. Если вы выберите эту опцию, все файлы из этого пакета будут извлечены, но в вашу систему ничего не будет установлено. Не выбирайте её если вы намереваетесь шифровать системный раздел или системный диск. Выбор этой опции может быть полезен, например, если вы хотите запускать VeraCrypt в так называемом портативном режиме. VeraCrypt не требует установки в операционную систему, в которой она будет запускаться. После извлечения всех файлов, вы можете запускать непосредственно извлечённый файл "VeraCrypt.exe" (откроется VeraCrypt в портативном режиме))

Если вы выберите отмеченную опцию, т.е. ассоциацию с файлами .hc , то это добавит удобство. Поскольку если вы создадите контейнер с расширением.hc, то по двойному клику по данному файлу будет запускаться VeraCrypt. Но минус в том, что посторонние лица могут знать, что.hc являются зашифрованными контейнерами VeraCrypt.

Программа напоминает о донате:

Если вы не стеснены в средствах, конечно же, обязательно помогите автору этой программы (он один) не хотелось бы его потерять, как мы потеряли автора TrueCrypt…

Инструкция VeraCrypt для начинающих

У VeraCrypt много разных возможностей и продвинутых функций. Но самой востребованной функцией является шифрование файлов. Далее пошагово показано как зашифровать один или несколько файлов.

Начнём с переключения на русский язык. Русский язык уже встроен в VeraCrypt. Его нужно только включить. Для этого в меню Settings выберите Language… :

Там выберите русский язык, после этого язык программы сразу поменяется.

Как уже было сказано, файлы хранятся в зашифрованных контейнерах (их ещё называют «тома»). Т.е. начать нужно с создания такого контейнера, для этого в главном интерфейсе программы нажмите на кнопку «Создать том ».

Появится мастер создания томов VeraCrypt:

Нас интересует именно первый вариант («Создать зашифрованный файловый контейнер »), поэтому мы, ничего не меняя, нажимаем Далее ,

VeraCrypt имеет очень интересную функцию - возможность создать скрытый том. Суть в том, что в файле создаётся ни один, а два контейнера. О том, что имеется зашифрованный раздел знают все, в том числе возможные неблагожелатели. И если вас силой заставляют выдать пароль, то трудно сослаться, что «зашифрованного диска нет». При создании скрытого раздела, создаются два зашифрованных контейнера, которые размещены в одном файле, но открываются разными паролями. Т.е. вы можете в одном из контейнеров разместить файлы, которые выглядят «чувствительными». А во втором контейнере - действительно важные файлы. Для своих нужд вы вводите пароль для открытия важного раздела. В случае невозможности отказать, вы раскрываете пароль от не очень важного диска. Никаких возможностей доказать, что имеется второй диск, нет.

Для многих случаев (сокрытие не очень критических файлов от посторонних глаз) будет достаточно создать обычный том, поэтому я просто нажимаю Далее .

Выберите место расположения файла:

Том VeraCrypt может находиться в файле (в контейнере VeraCrypt) на жёстком диске, флэш-накопителе USB и т.п. Контейнер VeraCrypt ничем не отличается от любого другого обычного файла (например, его можно перемещать или удалять как и прочие файлы). Нажмите кнопку "Файл", чтобы указать имя и путь к создаваемому файлу-контейнеру для хранения нового тома.

ВНИМАНИЕ: Если вы выберете уже имеющийся файл, VeraCrypt НЕ зашифрует его; этот файл будет удалён и заменён вновь созданным контейнером VeraCrypt. Вы сможете зашифровать имеющиеся файлы (впоследствии), переместив их в создаваемый сейчас контейнер VeraCrypt.

Можно выбрать любой расширение файла, это никак не влияет на работу зашифрованного тома. Если вы выберите расширение .hc , а также если вы при установке задали ассоциацию VeraCrypt с данным расширением, то при двойном клике по данному файлу будет запускаться VeraCrypt.

История недавно открытых файлов позволяет быстро получать доступ к этим файлам. Тем не менее, записи в истории вроде «H:\Мои офшорные счета наворованного на охулиадр долларов.doc» могут у посторонних лиц зародить сомнения в вашей порядочности. Чтобы открытые с зашифрованного диска файлы не попадали в историю, поставьте галочку напротив «Не сохранять историю ».

Выбор алгоритмов шифрования и хеширования. Если вы не уверены, что выбрать, то оставьте значения по умолчанию:

Введите размер тома и выберите единицы измерения (килобайты, мегабайты, гигабайты, терабайты):

Очень важный этап, установление пароля для вашего зашифрованного диска:

Хороший пароль - это очень важно. Избегайте паролей из одного или нескольких слов, которые можно найти в словаре (или комбинаций из 2, 3 или 4 таких слов). Пароль не должен содержать имён или дат рождения. Он должен быть труден для угадывания. Хороший пароль - случайная комбинация прописных и строчных букв, цифр и особых символов (@ ^ = $ * + и т.д.).

Теперь снова в качестве паролей можно использовать русские буквы.

Помогаем программе собрать случайные данные:

Обратите внимание, что здесь вы можете поставить галочку для создания динамического диска. Т.е. он будет расширятся по мере заполнения его информацией.

В результате у меня создан на рабочем столе файл test.hc:

Если вы создали файл с расширением.hc, то вы можете дважды кликнуть по нему, откроется главное окно программы, причём уже будет вставлен путь до контейнера:

В любом случае, вы можете открыть VeraCrypt и выбрать путь до файла вручную (Для этого нажмите кнопку «Файл»).

Если пароль введён верно, то у вас в системе появится новый диск:

Вы можете скопировать/переместить на него любые файлы. Также вы можете создавать там папки, копировать оттуда файлы, удалять и т.д.

Чтобы закрыть контейнер от посторонних, нажмите кнопку Размонтировать :

Чтобы вновь получить доступ к своим секретным файлам, заново смонтируйте зашифрованный диск.

Настройка VeraCrypt

У VeraCrypt довольно много настроек, которые вы можете изменить для вашего удобства. Я настоятельно рекомендую поставить галочку на «Автоматически размонтировать тома при неактивности в течение »:

А также установить горячую клавишу для «Сразу размонтировать все, очистить кэш и выйти »:

Это может очень… ОЧЕНЬ пригодиться…

Портативная версия VeraCrypt в Windows

Начиная с версии 1.22 (которая на момент написания является бетой) для Windows был добавлен портативный вариант. Если вы прочитали раздел про установку, вы должны помнить, что программа и так является портативной и позволяет просто извлечь свои файлы. Тем не менее, отдельный портативный пакет имеет свои особенности: для запуска установщика вам нужны права администратора (даже если вы хотите просто распаковать архив), а портативная версия может быть распакована без прав администратора - отличие только в этом.

Официальные бета версии доступны только только . В папке VeraCrypt Nightly Builds файлом с портативной версией является VeraCrypt Portable 1.22-BETA4.exe.

Файл с контейнером можно разместить на флешке. На эту же флешку можно скопировать портативную версию VeraCrypt - это позволит вам открывать зашифрованный раздел на любом компьютере, в том числе без установленной VeraCrypt. Но помните об опасности перехвата нажатия клавиш - вероятно, в этой ситуации может помочь экранная клавиатура.

Как правильно использовать программное обеспечение для шифрования

Несколько советов, которые помогут вам лучше сохранять свои секреты:

1. Старайтесь не допускать посторонних лиц до вашего компьютера, в том числе не сдавайте ноутбуки в багаж в аэропортах; если есть возможность, отдавайте компьютеры в ремонт без системного жёсткого диска и т.д.
2. Используйте сложный пароль. Не используйте тот же самый пароль, который вы используете для почты и т.д.
3. При этом не забудьте пароль! Иначе данные будет невозможно восстановить.
4. Скачивайте все программы только с официальных сайтов.
5. Используйте бесплатные программы или купленные (не используйте взломанный софт). А также не скачивайте и не запускайте сомнительные файлы, поскольку все подобные программы, среди прочих зловредных элементов, могут иметь килоггеры (перехватчики нажатий клавиш), что позволит злоумышленнику узнать пароль от вашего зашифрованного контейнера.
6. Иногда в качестве средства от перехвата нажатий клавиш рекомендуют использовать экранную клавиатуру - думается, в этом есть смысл.

В настоящее время гарантировать сохранность корпоративной или пользовательской информации на различных почтовых сервисах, персональных компьютерах и облачных хранилищах практически невозможно. Почту могут взломать, информация со своего компьютера или с компьютера коллег может быть скопирована сотрудниками компании и использована в своих целях. Есть ли способ для защиты информации? 100% гарантию защиты данных на сегодняшний день не даёт ни одна компания, сделать хороший шаг в сторону сохранения своих данных, разумеется, можно. Обычно используется для защиты данных шифрование.

Шифрование бывает симметричное и асимметричное, разница лишь в количестве ключей используемых для шифрования и дешифрования. Симметричное шифрование для кодирования и декодирования информации использует один ключ. Законами Российской Федерации без лицензирования своей деятельности разрешено использование симметричного ключа длинной
не более 56 бит. Для асимметричного шифрования используются два ключа: один ключ для кодирования (открытый) и один для декодирования
(закрытый). Для асимметричного шифрования законы Российской Федерации, в зависимости от алгоритмов, разрешают максимальную длинну ключа 256 бит.
Рассмотрим некоторые устройства для защиты информации на съёмных
накопителях:

1. DatAshur от британской компании iStorage представляет собой флешку с кнопками на корпусе. Устройство выполняет аппаратное шифрование симметричным алгоритмом AES256. На ввод ПИН-кода даётся 10 попыток, в случае неверного ввода, данные на устройстве будут
   уничтожены. В устройство входит аккумулятор для ввода ПИН-кода до подключения к ПК.
   Достоинства: прочный корпус, защита от перебора ПИН-кода, уничтожение данных.
   Недостатки: непонятно что произойдёт, если аккумулятор разрядится; ПИН-код можно попытаться подобрать по потёртым кнопкам или просто удалить все данные конкурента и остаться при этом незамеченным, а это, на мой взгляд, потенциально больший вред, чем копирование данных конкурентом (хотя есть возможность сделать защиту).
2. Samurai московская компания, предполагаю, что работают в сотрудничестве с iStorage или их дистрибьюторы, но также делают свою продукцию, например Samurai Nano Drive. Используют 256 битное шифрование, выпускают различные устройства, направленные в большей степени на уничтожение информации.
   Достоинства и недостатки аналогичны DatAshur.
3. Криптографический USB накопитель-считыватель FLASH-карт от компании Миландр с функцией шифрования, позволяет шифровать информацию на microSD карточках. Устройство выполнено на собственном процессоре компании. Сделано как обычная флешка.
   Достоинства : алгоритм шифрования ГОСТ-89 с длинной ключа 56 бит (из документации непонятно как преобразовали ГОСТ-89 рассчитанный на 256 бит), работа с неограниченным количеством microSD карт.
   Недостатки: устройство работает только с microSD картами, неизвестно имеется ли возможность перехода к более стойким алгоритмам шифрования.
4. Key_P1 Multiclet - устройство для защиты информации от ОАО «Мультиклет», разработчика процессоров. Рассмотрим устройство подробнее (далее устройство обозначим как Ключ_Р1).

Ключ_Р1 выполнен с тремя разъёмами: USB – розетка и вилка, а также разъём для SD карт.

Начальные функции устройства (в дальнейшем ПО расширяется, см. ниже о дополнительном функционале):

• защита от модифицированных (шпионских) флеш-накопителей.
• шифрование информации по алгоритму DES длинной ключа 56 бит
  (после получения лицензии AES и ГОСТ-89 с длинной ключа 256 бит).
• возможность восстановления информации, в случае потери устройства Ключ_Р1 и накопителя.
• возможность синхронизации ключей для обмена файлами между пользователями.
• отображение времени отключения устройства Ключ_Р1.

Подробнее описание функций устройства будет далее в этой статье. Ключи для шифрования хранятся во flash памяти процессора рассматриваемого устройства.
Ключ_Р1 может работать с неограниченным количеством накопителей и на неограниченном количестве персональных компьютеров, привязки к конкретному ПК нет.

Структурная схема работы всей системы:

Описание элементов структуры:

• сервер формирует прошивку, осуществляет обновления Ключ_Р1 Менеджер, прошивки и приложения Key_P1_for_Windows (или Key_P1_for_Linux) для накопителя (флешки) пользователя.
• (ПО для ОС) Ключ_Р1 Менеджер - осуществляет обновления компонентов, инициализацию Ключ_Р1, формирует набор ключей для Ключ_Р1 и др.
• прошивка Ключ_Р1 - является программой выполняемой на устройстве Ключ_Р1.
• приложение для накопителя - Key_P1_for_Windows (Key_P1_for_Linux) (оба приложения загружаются на флешку пользователя и осуществляют авторизацию пользователя и отображение последнего времени отключения устройства для ОС Windows и Linux).

Рассмотрим подробнее основные функции устройства.

1. Шифрование информации осуществляется не одним ключом, а несколькими (максимум 1024). Шифрование происходит по секторам для каждого накопителя. Таким образом, один файл может быть зашифрован нескольким десятком ключей.
2. Защита от модифицированных накопителей происходит за счёт контроля служебной информации, передаваемой при помощи SCSI команд
3. Восстановление информации:
   • Ключи формируются пользователем на ПК с помощью программы Ключ_Р1. Менеджер (в этом случае пользователь) может сделать резервную копию своих ключей на случай восстановления.
   • Ключи формируются устройством Ключ_Р1. В этом случае сделать резервную копию своих ключей пользователь не может.
   • Пользователь может делать резервную копию своей зашифрованной информации
4. Синхронизация ключей представляет собой формирование одинаковых ключей у разных пользователей по заданному начальному значению и выбранному алгоритму. В устройстве Ключ_Р1 предусмотрена возможность хранения 50-ти ключей для синхронизации. Т.е. пользователи могут хранить метку 8 байт и сам ключ. Для синхронизации ключей и начала обмена зашифрованными файлами пользователям необходимо:
   • передать друг другу посредством устной договорённости, телефонного звонка, смс, электронной почты или надписи на песке начальное значение для инициализации ключа, а также алгоритм формирования ключа;
   • сформировать ключ и назначить метку – не более 8 символов (байт);
   • скопировать ключ на устройство Ключ_Р1;
   • обмен зашифрованными файлами может осуществляться с любого ПК, т.е. при скачивании ПО и его установке на любой «чужой» ПК при подключённом устройстве Ключ_Р1 после ввода пин-кода пользователь увидит ключи и соответствующие им метки и сможет шифровать нужным ключом файлы для обмена с другим пользователем.
5. Устройство Ключ_Р1 выводит после запуска программы key_p1_for_windows.exe (для Windows) или key_p1_for_linux (для Linux) информацию о времени последнего отключению устройства с точностью в две минуты. Данная функция позволяет пользователю и/или службе безопасности компании установить факт и определить время несанкционированного отключения Ключ_Р1, что затрудняет действия злоумышленника и облегчает его поиск.

Для начала работы с устройством необходимо:

1. Установить ПО, загрузить прошивку с сервера
2. Инициализировать Ключ_Р1 (установить прошивку, задать PIN, PUK коды)
3. Инициализировать накопитель (разбиение накопителя на два раздела: открытый и закрытый, который доступен только после ввода ПИН-кода)

Окно ввода ПИН-кода выглядит следующим образом (эскизная версия):

Кроме индивидуальной версии будет доступна и корпоративная версия:

Сотрудники компании загружают программу Ключ_Р1 Менеджер с корпоративного сервера или со съёмных носителей и устанавливают на свою ОС. Затем загружают ключи, сгенерированные службой безопасности или IT-службой компании. Далее по аналогии с индивидуальной версией происходит инициализация Ключа_Р1 и накопителя. В отличие от пользовательской версии, в корпоративной руководитель нескольких отделов может выбрать, для какого отдела шифровать файлы. Перечень отделов формируют уполномоченные сотрудники компании.

Внутри отдела сотрудники могут обмениваться зашифрованной информацией, кодируя файлы через Ключ_Р1 Менеджер и Ключ_Р1. Служба безопасности предприятия имеет возможность создавать различные разграничения прав по отделам (например: отдел «Программисты» сможет шифровать файлы для отдела «Бухгалтерия»). Кроме того, предприятие может заложить в устройство алгоритм генерации одноразовых паролей для аутентификации на серверах, компьютерах и др., чтобы повысить безопасность и обеспечить защиту коммерческой и других видов тайн.
В качестве дополнительного функционала устройства:

• Поддержка ОС Mac;
• В Ключ_Р1 может быть заложена функция генерации одноразовых паролей для организации двухфакторной аутентификации на серверах
  различных сервисов. Двухфакторная аутентификация обеспечивает дополнительную защиту вашего аккаунта. Для этого при входе в систему запрашиваются не только имя пользователя и пароль, но и уникальные «коды подтверждения». Даже если злоумышленник узнает ваш пароль, получить доступ к аккаунту ему не удастся.
• хранение личных данных с автоматической подстановкой при аутентификации в соцсетях, платежных системах и т.п.
• использование устройства для авторизации на ПК.

Из этого списка наиболее интересным является хранение логинов и паролей пользователей от различных ресурсов. Вопрос лишь в том, как удобнее это сделать. Осуществлять автоматическую подстановку пары логин и пароль или дать возможность пользователю после ввода ПИН-кода просматривать логин и пароль в открытом виде так, как это позволяет браузер Google Chrome.

Теперь обратимся к рассмотрению аппаратного уровня работы устройства.

Основными функциями устройства являются шифрование и защита от несанкционированной работы накопителей.

Рассмотрим способы шифрования данных устройством:

• зашифровать файл на накопителе - в этом случае файл будет зашифрован не одним случайным ключом, а в зависимости от размера файла и размера сектора накопителя (это наименьшая адресуемая ячейка памяти накопителя) файл будет зашифрован несколькими ключами по секторам накопителя;
• зашифровать файл на ПК - в этом случае файл будет зашифрован случайно выбранным на устройстве ключом и содержимое файла будет возвращено устройством на ПК в зашифрованном виде, кроме того это содержимое будет «обернуто» в специальный контейнер, содержащий номер ключа, которым был зашифрован файл;
• зашифровать файл для другого пользователя - в этом случае файл по предварительно сформированному ключу с соответствующей ему меткой (например «коллеги1») будет зашифрован устройством без какого-либо контейнера и содержимое файла будет возвращено на ПК.

Также будет доступна функция уведомления пользователя об изменении размера файла, в случае замены существующего на накопителе файла новым с таким же именем. В функционале работы устройства предусмотрен режим «только чтение» для защиты от несанкционированного копирования информации на накопитель при работе на ПК заражённом вирусами.

Для отсечения шпионских устройств «Ключ_Р1» проводит фильтрацию служебных команд посылаемых накопителям, что даёт защиту от заражения накопителя аппаратным вирусом, а также устройство «Ключ_Р1» анализирует присылаемую накопителем таблицу дескрипторов и на основе этой информации происходит блокирование накопителей, которые пытаются представиться системе ПК совмещённым устройством (например клавиатурой и накопителем) или любым другим устройством кроме накопителя.

Рассмотрим реализацию устройства на схемотехническом уровне.

Устройство реализовано на базе российского мультиклеточного процессора Р1. Для осуществления взаимодействия с интерфейсом USB host в схему вводится процессор stm32f205. Мультиклеточный процессор тактируется от процессора stm32f205, загрузка прошивки осуществляется по интерфейсу spi. Процессор Р1 берёт на себя все основные функции по шифрованию и хэшированию информации. Одной из интересных особенностей большинства алгоритмов шифрования является их хорошее распараллеливание. Благодаря этому факту является рациональным применение процессора с аппаратным распараллеливанием операций.

В результате модернизации устройства предполагается следующая схема:

Взаимодействия с USB host может быть обеспечено микросхемой FTDI.
В устройстве реализованы разъёмы, позволяющие работать с USB накопителями и microSD, SD картами.

Достоинства:

• шифрование большим набором ключей на аппаратном уровне по секторам накопителя
• контроль служебных команд между ПК и накопителем
• хранение пары «логин-пароль»
• работа в режиме «только чтение»
• поддержка USB накопителей, SD, microSD карт
• работа с неограниченным количеством накопителей
• корпоративная версия
• возможность восстановления информации

Недостатки: не специализированный корпус, отсутствие защиты от вскрытия (Хотя защита от вскрытия не является определяющей для таких пользователей хабра как BarsMonster:)

P.S. В качестве дополнительного функционала рассматривалась и идея создания приложения для защищённого обмена, по аналогии со skype, qip, но только напрямую, конкретным пользователям без связующего сервера, но пока по определённым причинам решено не затрагивать эту область.
Кроме того, с 25 марта стартовал проект на Kickstarter.com, посвящённый данному устройству.