Реклама на портале

Скрытый шифрованный диск с защитой от терморектальной расшифровки. Шифрование и скорость. Сравнительный тест средств шифрования диска

В последнее время в блоге " " проскакивало несколько топиков про способы шифрования данных для защиты от маски-шоу. Но все эти способы, исходя из бурных обсуждений в комментариях, не проходят проверку паяльником.

Поэтому я хочу предложить свой способ защиты данных от особо интересующихся лиц в масках - шифрование данных на скрытом диске, который имеет дополнительный уровень в защите от паяльника.

Пока такую возможность нашёл только в программе truecrypt (opensource, win/linux/mac) - "hidden volume ", поэтому буду рассказывать на её примере. Хотя возможно и в других шифровальшиках есть что-то подобное.

Работает это следующим образом:

  1. Создаётся файл с шифрованным диском, который шифруется первым паролем, например data.img, подключается как диск.
  2. На этот диск записываются какие-либо полу-палевные данные, которые после долгих уговоров в случае угрозы применения паяльника можно и показать недоброжелателям, набрав этот первый пароль. Ну т.е. чтобы они были похожи на данные, которые действительно вы хотели скрыть от глаз владельцев паяльника, но на самом деле не особо страшно если они их найдут.
    Этими данными нужно забить не весь диск под завязку, а только часть, оставив свободное место.
  3. Поверх оставшегося свободного места от данных первого диска в файле data.img создается ещё один диск, который шифруется вторым паролем. На этот диск уже записываются самые ценные данные, которые нельзя показывать даже после прямого контакта с паяльником.
В результате мы получаем один файл с двумя зашифрованными дисками.

Итого всё получившееся выглядит примерно так:

Используя первый пароль, мы получаем доступ только к первому диску, а о наличии второго диска, как заявляют разработчики truecrypt (сам глубоко не вникал в тему, доверился их словам), никаким образом узнать нельзя, не зная второй пароль.

А, соответственно, зная второй пароль, можно без особых проблем получить доступ ко второму диску с основными данными.

Также в программе предусмотрен режим подключения первого диска с защитой от порчи данных второго диска (в этом случае спрашиваются оба пароля), иначе при записи на с первый диск в обычном режиме можно попортить данные второго скрытого диска.

Всё это делается с помощью GUI-интерфейса программы, особых сложностей в настройках вызвать не должно. Также поддерживается работа в консольном режиме, что позволяет работать с этими дисками через скрипты.

Итого, если к нам пришли маски-шоу, план действий следующий:

  1. Мы отдаём пришедшим специалистам на тщательное прощупывание свой сервер.
  2. Они находят на нём подозрительно большой файл, начинают приставать к нам с вопросами.
  3. Мы сначала отнекиваемся, говорим что это просто своп, бекапы, архив с проном, или ещё что-то, вобщем ломаем комедию.
  4. После того, как от них начинают сыпаться серьёзные угрозы, всё же что это признаемся шифрованный диск с данными, со слезами и соплями сообщаем им первый пароль.
  5. Они радуются, подключают с помощью этого пароля первый диск, получают данные, находят в них что-то неособо страшное, слегка дрючат вас за это и отпускают.
В итоге и волки сыты (они всё же заставили вас вскрыть шифрованный диск и нашли за что отдрючить, даже не догадываясь что за этим есть ещё что-то) и овцы целы (вы не показали им наиболее ценные данные и они даже не пытались у вас их вытрясти с применением паяльника, т.е. обделались лёгким испугом) .

UPD: Я не предлагаю способ стопроцентной защиты от паяльника и решение всех проблем , я просто описал дополнительную возможность защитить свои данные вторым уровнем секретности , который со стороны никак не заметен даже после тщательного поиска.

И если недоброжелатели не догадываются о существовании у вас второго скрытого диска, то по внешним признакам никак не заметят его присутствие и, соответственно, не будут тратить лишнюю электроэнергию на паяльник. А уж как сделать так чтобы они об этом не догадались - задача для каждого индивидуальная, с применением смекалки и творчества.

И этот способ более надежен, чем рабочий сервер в фирме с якобы пустым винчестером без разделов (со скрытыми шифрованными разделами), который сразу вызовет подозрение. А тут файл вызвал подозрение, мы его расшифровали первым паролем, показали все данные и успокоились, подозрения что в этом же файле может быть ещё один шифрованный диск маловероятно что появятся без прямой наводки.

С помощью программы CyberSafe можно шифровать не только отдельные файлы. Программа позволяет зашифровать целый раздел жесткого диска или весь внешний диск (например, USB-диск или флешку). В этой статье будет показано, как зашифровать и скрыть от посторонних глаз зашифрованный раздел жесткого диска.

Шпионы, параноики и обычные пользователи

Кому будет полезна возможность шифрования разделов? Шпионов и параноиков отбросим сразу. Первых не так уж и много и необходимость шифрования данных у них сугубо профессиональная. Вторым лишь бы что-то зашифровать, спрятать и т.д. Хотя никакой реальной угрозы нет и зашифрованные данные не представляют ни для кого никакого интереса, они все равно их шифруют. Именно поэтому нас интересуют простые пользователи, которых, я надеюсь, будет больше, чем шпионов с параноиками.
Типичный сценарий шифрования раздела - это совместное использование компьютера. Здесь есть два варианта применения программы CyberSafe: или каждый из работающих за компьютером пользователей создает виртуальный диск или же каждый отводит себе по разделу на жестком диске для хранения личных файлов и шифрует его. О создании виртуальных дисков уже было написано , а в этой статье речь пойдет именно о шифровании всего раздела.
Допустим, есть жесткий диск на 500 Гб и есть три пользователя, которые периодически работают с компьютером. Не смотря на то, что файловая система NTFS все же поддерживает права доступа и позволяет ограничить доступ одного пользователя к файлам другого пользователя, ее защиты недостаточно. Ведь у одного из этих трех пользователей будут права администратора и он сможет получить доступ к файлам оставшихся двух пользователей.
Поэтому дисковое пространство жесткого диска можно разделить следующим образом:
  • Примерно 200 Гб - общий раздел. Этот раздел также будет системным разделом. На нем будет установлена операционная система, программа и будут храниться общие файлы всех трех пользователей.
  • Три раздела по ~100 Гб - думаю, 100 Гб вполне достаточно для хранения личных файлов каждого пользователя. Каждый из этих разделов будет зашифрован, а пароль доступа к зашифрованному разделу будет знать только тот пользователь, который зашифровал этот раздел. При этом администратор при всем своем желании не сможет расшифровать раздел другого пользователя и получить доступ к его файлам. Да, при желании администратор может отформатировать раздел и даже удалить его, но получить доступ он сможет только лишь в том случае, если обманом выведает у пользователя его пароль. Но, думаю, этого не произойдет, поэтому шифрование раздела - гораздо более эффективная мера, чем разграничение прав доступа с помощью NTFS.

Шифрование раздела vs виртуальные зашифрованные диски

Что лучше - шифровать разделы или использовать виртуальные зашифрованные диски? Здесь каждый решает сам, поскольку у каждого способа есть свои преимущества и недостатки. Шифрование разделов также надежно, как и шифрование виртуального диска и наоборот.
Что такое виртуальный диск? Смотрите на него как на архив с паролем и степенью сжатия 0. Вот только файлы внутри этого архива зашифрованы гораздо надежнее, чем в обычном архиве. Виртуальный диск хранится на жестком диске в виде файла. В программе CyberSafe вам нужно открыть и смонтировать виртуальный диск и тогда с ним можно будет работать как с обычным диском.
Преимущество виртуального диска в том, что его можно легко скопировать на другой жесткий диск или флешку (если позволяет размер). Например, вы можете создать виртуальный диск на 4 Гб (ограничений на размер виртуального диска нет, если не считать естественных) и при необходимости скопировать файл виртуального диска на флешку или на внешний жесткий диск. С зашифрованным разделом у вас такое проделать не получится. Также файл виртуального диска можно .
Конечно, при необходимости, можно создать образ зашифрованного диска - на тот случай, если вы хотите сделать его резервную копию или переместить на другой компьютер. Но это уже отдельная история. Если у вас возникнет подобная потребность, рекомендую программу Clonezilla - уже надежное и проверенное решение. Перенос зашифрованного раздела на другой компьютер - это более сложная затея, чем перенос виртуального диска. Если есть такая необходимость, то проще использовать виртуальные диски.
В случае с шифрованием раздела физически шифруется весь раздел. При монтировании этого раздела нужно будет ввести пароль, после чего можно будет работать с разделом, как обычно, то есть читать и записывать файлы.
Какой способ выбрать? Если вы можете себе позволить зашифровать раздел, тогда можно выбрать этот способ. Также весь раздел лучше шифровать, если размер ваших секретных документов довольно большой.
Но есть ситуации, когда использовать весь раздел нельзя или нет смысла. Например, у вас есть только один раздел (диск С:) на жестком диске и по тем или иным причинам (нет прав, например, поскольку компьютер не ваш) вы не можете или не хотите изменять его разметку, тогда нужно использовать виртуальные диски. Нет смысла шифровать весь раздел, если размер документов (файлов), которые вам нужно зашифровать небольшой - несколько гигабайт. Думаю, с этим разобрались, поэтому самое время поговорить о том, какие разделы (диски) можно зашифровать.

Поддерживаемые типы дисков

Вы можете зашифровать следующие типы носителей: Нельзя зашифровать:
  • CD/DVD-RW-диски, дискеты
  • Динамические диски
  • Системный диск (с которого загружается Windows)
Начиная с Windows XP, Windows поддерживает динамические диски. Динамические диски позволяют объединять в себе несколько физических жестких дисков (аналог LVM в Windows). Такие диски зашифровать программой невозможно.

Особенности работы с зашифрованным диском

Представим, что вы уже зашифровали раздел жесткого диска. Для работы с файлами на зашифрованном разделе вам нужно его cмонтировать. При монтировании программа запросит у вас пароль к зашифрованному диску, указанный при его шифровании. Поработав с зашифрованным диском, его нужно сразу же размонтировать, иначе файлы останутся доступны пользователям, у которых есть физический доступ к вашему компьютеру.
Другими словами, шифрование защищает ваши файлы только тогда, когда зашифрованный раздел размонтирован. Когда раздел смонтирован, любой, у кого есть физический доступ к компьютеру, может скопировать с него файлы на незашифрованный раздел, USB-диск или внешний жесткий диск и файлы не будут зашифрованы. Поэтому, когда вы работаете с зашифрованным диском, возьмите в привычку всегда размонтировать его каждый раз, когда отлучаетесь от компьютера, даже ненадолго! После того, как вы размонтировали зашифрованный диск, ваши файлы будут под надежной защитой.
Что касается производительности, то при работе с зашифрованным разделом она будет ниже. Насколько ниже - зависит от способностей вашего компьютера, но система останется работоспособной и просто придется подождать чуть дольше, чем обычно (особенно, когда вы будете копировать большие файлы на зашифрованный раздел).

Готовимся к шифрованию

Первым делом нужно раздобыть где-то ИБП. Если у вас ноутбук, все хорошо, если же у вас обычный стационарный компьютер и вы хотите зашифровать раздел, на котором уже есть файлы, то шифрование займет определенное время. Если за это время отключат свет, то потеря данных вам гарантирована. Посему, если ИБП, способного выдержать несколько часов автономной работы у вас нет, рекомендую сделать следующее:
  • Сделайте резервную копию своих данных, например, на внешнем жестком диске. Потом от этой копии придется избавиться (желательно после удаления данных с незашифрованного диска затереть свободное пространство утилитой вроде Piriform, чтобы было невозможно восстановить удаленные файлы), поскольку при ее наличии пропадает смысл в наличии зашифрованной копии данных.
  • Данные на зашифрованный диск перенесете с копии после того, как диск будет зашифрован. Отформатируйте диск и зашифруйте его. Собственно, отдельно форматировать его не нужно - за вас это сделает CyberSafe, но об этом позже.

Если у вас ноутбук и вы готовы продолжить без создания резервной копии данных (я бы рекомендовал ее на всякий случай сделать), обязательно проверьте диск на наличие ошибок, хотя бы стандартной утилитой Windows. Только после этого нужно приступать к шифрованию раздела/диска.

Шифрование раздела: практика

Итак, теория без практики бессмысленна, поэтому приступим к шифрованию раздела/диска. Запустите программу CyberSafe и перейдите в раздел Шифрование дисков, Шифровать раздел (рис. 1).



Рис. 1. Список разделов/дисков вашего компьютера

Выберите раздел, который вы хотите зашифровать. Если кнопка Создать будет неактивна, то этот раздел зашифровать нельзя. Например, это может быть системный раздел или динамический диск. Также вы не можете одновременно зашифровать несколько дисков. Если вам нужно зашифровать несколько дисков, то операцию шифрования нужно повторить поочередно.
Нажмите кнопку Создать . Далее откроется окно Крипо Диск (рис. 2). В нем нужно ввести пароль, который будет использоваться для расшифровки диска при его монтировании. При вводе пароля проверьте регистр символов (чтобы не была нажата клавиша Caps Lock) и раскладку. Если за спиной никого нет, можно включить переключатель Показать пароль .



Рис. 2. Крипто Диск

Из списка Тип шифрования нужно выбрать алгоритм - AES или ГОСТ. Оба алгоритмы надежные, но в государственных организациях принято использовать только ГОСТ. На своем собственном компьютере или в коммерческой организации вы вольны использовать любой из алгоритмов.
Если на диске есть информация и вы хотите ее сохранить, включите переключатель . Нужно учесть, что в этом случае время шифрования диска значительно возрастет. С другой стороны, если зашифрованные файлы, скажем, находятся на внешнем жестком диске, то вам все равно придется их скопировать на зашифрованный диск для их шифрования, а копирование с шифрованием «на лету» также займет некоторое время. Если вы не сделали резервную копию данных, обязательно включите флажок включите переключатель Сохранить файловую структуру и данные , иначе вы потеряете все ваши данные.
Остальные параметры в окне Крипто Диск можно оставить по умолчанию. А именно - будет использоваться весь доступный размер устройства и будет выполнено быстрое форматирование в файловую систему NTFS. Для начала шифрования нажмите кнопку Принять . Ход процесса шифрования будет отображен в основном окне программы.



Рис. 3. Ход процесса шифрования

После того, как диск будет зашифрован, вы увидите его состояние - зашифрован, скрытый (рис. 4). Это означает, что ваш диск был зашифрован и скрыт - он не будет отображаться в Проводнике и других высокоуровневых файловых менеджерах, но его будут видеть программы для работы с таблицей разделов. Не нужно надеяться, что раз диск скрыт, то его никто не найдет. Все скрытые программой диски будут отображены в оснастке Управление дисками (см. рис. 5) и других программах для разметки диска. Обратите внимание, что в этой оснастке зашифрованный раздел отображается как раздел с файловой системой RAW, то есть без файловой системы вообще. Это нормальное явление - после шифрования раздела Windows не может определить его тип. Однако сокрытие раздела необходимо по совсем иным причинам и далее вы поймете, по каким именно.



Рис. 4. Состояние диска: зашифрован, скрыт. Раздел E: не отображается в Проводнике



Рис. 5. Оснастка Управление дисками

Теперь cмонтируем раздел. Выделите его и нажмите кнопку Восстан. , чтобы вновь сделать раздел видимым (состояние диска будет изменено на просто "зашифрован "). Windows увидит этот раздел, но поскольку она не может распознать тип его файловой системы, она предложит его отформатировать (рис. 6). Этого нельзя ни в коем случае делать, поскольку вы потеряете все данные. Именно поэтому программа скрывает зашифрованные диски - ведь если за компьютером работаете не только вы, другой пользователь может отформатировать якобы не читаемый раздел диска.



Рис. 6. Предложение отформатировать зашифрованный раздел

От форматирования, понятное дело, отказываемся и нажимаем кнопку Монтиров . в основном окне программы CyberSafe. Далее нужно будет выбрать букву диска, через которую вы будете обращаться к зашифрованному разделу (рис. 7).



Рис. 7. Выбор буквы диска

После этого программа попросит ввести пароль, необходимый для расшифровки ваших данных (рис. 8). Расшифрованный раздел (диск) появится в области Подключенные расшифрованные устройства (рис. 9).



Рис. 8. Пароль для расшифровки раздела



Рис. 9. Подключенные расшифрованные устройства

После этого с расшифрованным диском можно будет работать, как с обычным. В Проводнике будет отображен только диск Z: - именно эту букву я назначил расшифрованному диску. Зашифрованный диск E: отображаться не будет.



Рис. 10. Проводник - просмотр дисков компьютера

Теперь можете открыть cмонтированный диск и скопировать на него все секретные файлы (только не забудьте потом их удалить с оригинального источника и затереть на нем свободное пространство).
Когда нужно завершить работу с нашим разделом, то или нажмите кнопку Демонтир. , а затем - кнопку Скрыть или просто закройте окно CyberSafe. Как по мне, то проще закрыть окно программы. Понятное дело, закрывать окно программы во время операции копирования/перемещения файлов не нужно. Ничего страшного и непоправимого не произойдет, просто часть файлов не будет скопирована на ваш зашифрованный диск.

О производительности

Понятно, что производительность зашифрованного диска будет ниже, чем обычного. Но насколько? На рис. 11 я скопировал папку своего профиля пользователя (где есть множество мелких файлов) с диска С: на зашифрованный диск Z:. Скорость копирования показана на рис. 11 - примерно на уровне 1.3 МБ/с. Это означает, что 1 ГБ мелких файлов будет копироваться примерно 787 секунд, то есть 13 минут. Если же скопировать эту же папку на незашифрованный раздел, то скорость будет примерно 1.9 МБ/с (рис. 12). Под конец операции копирования скорость выросла до 2.46 МБ/с, но с такой скоростью было скопировано совсем немного файлов, поэтому считаем, что скорость была на уровне 1.9 МБ/с, а это на 30% быстрее. Тот самый 1 ГБ мелких файлов в нашем случае будет скопирован за 538 секунд или почти 9 минут.



Рис. 11. Скорость копирования мелких файлов с незашифрованного раздела на зашифрованный



Рис. 12. Скорость копирования мелких файлов между двумя незашифрованными разделами

Что же касается крупных файлов, то никакой разницы вы не почувствуете. На рис. 13 приведена скорость копирования крупного файла (видео-файл размером 400 Мб) с одного незашифрованного раздела на другой. Как видите, скорость составила 11.6 МБ/с. А на рис. 14 показана скорость копирования этого же файла с обычного раздела на зашифрованный и она составила 11.1 МБ/с. Разница небольшая и находится в пределах погрешности (все равно скорость незначительно изменяется по ходу выполнения операции копирования). Ради интереса сообщу скорость копирования этого же файла с флешки (не USB 3.0) на жесткий диск - около 8 МБ/с (скриншота нет, но уж поверьте мне).



Рис. 13. Скорость копирования крупного файла



Рис. 14. Скорость копирования крупного файла на зашифрованный раздел

Такой тест не совсем точный, но все же позволяет получить некоторые представления о производительности.
На этом все. Также я рекомендую вам ознакомиться со статьей

В последнее время большую популярность получили ноутбуки благодаря доступной цене и высокой производительности. И пользователи часто пользуются ими за пределами охраняемых помещений либо оставляют без присмотра. А это значит, что становится крайне насущным вопрос обеспечения недоступности для посторонних личной информации на системах под управлением ОС Windows. Простая установка пароля на вход в систему тут не поможет. А шифрование отдельных файлов и папок(почитайте про то, ) — слишком рутинное занятие. Поэтому наиболее удобным и надежным средством является . При этом можно сделать шифрованным только один из разделов, и держать приватные файлы и программы на нем. Более того, такой раздел можно сделать скрытым, не присваивая ему дисковой буквы. Такой раздел внешне будет выглядеть как неформатированный, и тем самым не привлекать к себе внимания злоумышленников, что особенно эффективно, так как лучший способ уберечь секретную информацию — это скрыть сам факт ее наличия.

Как работает шифрование жесткого диска

Общий принцип такой: программа шифрования делает образ файловой системы и помещает всю эту информацию в контейнер, содержимое которого шифруется. Таким контейнером может быть как простой файл, так и раздел на дисковом устройстве. Использование шифрованного файла-контейнера удобно тем, что такой файл можно скопировать в любое удобное место и продолжить работу с ним. Такой подход удобен при хранении небольшого объема информации. Но если размер контейнера будет несколько десятков гигабайт, то его мобильность становится весьма сомнительной, и к тому же такой огромный размер файла выдает факт содержания в нем какой-то полезной информации. Поэтому более универсальным подходом является шифрование целого раздела на жестоком диске.

Существует много разных программ для этих целей. Но наиболее известной и надежной считается TrueCrypt . Поскольку эта программа имеет открытые исходные коды, то это означает, что в ней нет закладок от производителей, позволяющих получить доступ к шифрованным данным через недокументированный «черный ход». К сожалению ходят предположения, что создателей программы TrueCrypt вынудили отказаться от дальнейшей разработки и передать эстафету проприоретарным аналогам. Тем не менее последняя надежная версия 7.1a остается вполне работоспособной на всех версиях ОС Windows, и большинство пользователей пользуются именно этой версией.

Внимание!!! Последняя актуальная версия — 7.1a (ссылка для скачивания ). Не используйте «урезанную» версию 7.2 (проект закрыли, а на официальном сайте программы предлагают выполнить переход с TrueCrypt на Bitlocker и доступна как раз только версия 7.2).

Создание шифрованного диска

Рассмотрим стандартный подход при шифровании разделов. Для этого нам понадобится неиспользуемый раздел на жестком диске либо флешке. Для этой цели можно освободить один из логических дисков. Собственно говоря, если свободного раздела не имеется, то можно будет в процессе создания шифрованного диска выбрать шифрование диска без форматирования, и сохранить имеющиеся данные. Но это дольше по времени и есть небольшой риск потерять данные в процессе шифрования, если допустим компьютер зависнет.

Если требуемый раздел на дисковом устройстве подготовлен, то теперь можно запустить программу TrueCrypt и выбрать пункт меню «Создать новый том».


Поскольку нас интересует хранение данных не в файле-контейнере, а в разделе диска, то выбираем пункт «Зашифровать несистемный раздел/диск» и обычный вид шифрования тома.






На этом этапе появляется упомянутая возможность выбора — шифровать имеющиеся в разделе данные или форматировать его без сохранения информации.


После этого программа спрашивает, какими алгоритмами производить шифрование. Для бытовых нужд большой разницы тут нет — можно выбрать любой из алгоритмов или связку из них.


Только при этом стоит учитывать, что при применении связки из нескольких алгоритмов требуется больше вычислительных ресурсов при работе с шифрованным диском — и соответственно скорость чтения и записи падает. Если компьютер недостаточно мощный, то имеет смысл нажать на кнопку тест, чтобы выбрать оптимальный алгоритм для своего компьютера.

Следующим этапом является непосредственно процесс форматирования шифрованного тома.







Теперь остается подождать, пока программа закончит шифрование жесткого диска.




Стоит отметить, что на этапе задания пароля можно в качестве дополнительной защиты задать ключевой файл. В этом случае доступ к шифрованной информации будет возможен только при наличии этого ключевого файла. Соответственно, если этот файл хранится на другом компьютере в локальной сети, то при потере ноутбука с шифрованным диском или флешки никто не сможет получить доступ к секретным данным, даже если бы подобрал пароль — ведь ключевого файла ни на самом ноутбуке ни на флешке нет.

Скрытие шифрованного раздела

Как уже упоминалось, выгодным преимуществом шифрованного раздела является то, что в операционной системе он позиционируется как неиспользуемый и неформатированный. И нет никаких указаний на то, что в нем есть шифрованная информация. Единственный способ это выяснить — использовать специальные программы по криптоанализу, умеющие по высокой степени хаотичности битовых последовательностей сделать заключение, что в разделе имеются шифрованные данные. Но если Вы не потенциальная мишень для спецслужб, то такая угроза компрометации Вам вряд ли грозит.

А вот для дополнительной защиты от простых обывателей имеет смысл спрятать шифрованный раздел из перечня доступных букв дисков. Тем более что все равно обращение к диску напрямую по его букве ничего не даст и требуется только в случае удаления шифрования путем форматирования. Для открепления тома от используемой буквы следует в «Панели управления» зайти в раздел «Управление компьютером / Управление дисками» и вызвав контекстное меню для нужного раздела выбрать пункт «Изменить букву диска или путь к диску...», где и получится убрать привязку.




После этих манипуляций шифрованный раздел не будет виден в проводнике Windows и других файловых менеджерах. А наличие среди нескольких разнообразных системных разделов одного безымянного и «неформатированного» вряд ли вызовет интерес у посторонних.

Использование шифрованного диска

Чтобы использовать шифрованное устройство как обычный диск, необходимо его подключить. Для этого в главном окне программы следует нажать правой кнопкой мыши на одной из доступных букв дисков и выбрать пункт меню «Выбрать устройство и смонтировать...»


После этого нужно отметить зашифрованное ранее устройство и указать пароль.



В результате в обозревателе Windows должен появиться новый диск с выбранной буквой (в нашем случае это диск X).


И теперь с этим диском получится работать как и с любым обычным логическим диском. Главное после окончания работы не забыть либо выключить компьютер, либо закрыть программу TrueCrypt, либо отключить шифрованный раздел — ведь пока диск подключен, любой пользователь может получить доступ к расположенным на нем данным. Отключить раздел можно нажав кнопку «Размонтировать».


Итоги

Использование программы TrueCrypt позволит Вам произвести шифрование жесткого диска и тем самым скрыть Ваши приватные файлы от посторонних, если вдруг кто-то получит доступ к Вашей флешке или жесткому диску. А расположение шифрованной информации на неиспользуемом и скрытом разделе создает дополнительный уровень защиты, так как непосвященный круг лиц может и не догадываться, что на одном из разделов хранится секретная информация. Такой метод защиты приватных данных подойдет в подавляющем большинстве случаев. И только если за Вами производится целенаправленная слежка с угрозой применения насилия для получения пароля, то Вам могут понадобиться более изощренные методы защиты, такие как стеганография и скрытые тома TrueCrypt (с двумя паролями).

Исследователи из Принстонского Университета обнаружили способ обхода шифрования жестких дисков, использующий свойство модулей оперативной памяти хранить информацию на протяжении короткого промежутка времени даже после прекращения подачи питания.

Предисловие

Так как для доступа к зашифрованному жесткому диску необходимо иметь ключ, а он, разумеется, хранится в RAM – все, что нужно, это получить физический доступ к ПК на несколько минут. После перезагрузки с внешнего жесткого диска или с USB Flash делается полный дамп памяти и в течение считанных минут из него извлекается ключ доступа.

Таким способом удается получить ключи шифрования (и полный доступ к жесткому диску), используемые программами BitLocker, FileVault и dm-crypt в операционных системах Windows Vista, Mac OS X и Linux, а также популярной свободно распространяемой системой шифрования жестких дисков TrueCrypt.

Важность данной работы заключается в том, что не существует ни одной простой методики защиты от данного способа взлома, кроме как отключение питания на достаточное для полного стирания данных время.

Наглядная демонстрация процесса представлена в видеоролике .

Аннотация

Вопреки устоявшемуся мнению, память DRAM, использующаяся в большинстве современных компьютеров, хранит в себе данные даже после отключения питания в течение нескольких секунд или минут, причём, это происходит при комнатной температуре и даже, в случае извлечения микросхемы из материнской платы. Этого времени оказывается вполне достаточно для снятия полного дампа оперативной памяти. Мы покажем, что данное явление позволяет злоумышленнику, имеющему физический доступ к системе, обойти функции ОС по защите данных о криптографических ключах. Мы покажем, как перезагрузка может использоваться для того, чтобы совершать успешные атаки на известные системы шифрования жёстких дисков, не используя каких-либо специализированных устройств или материалов. Мы экспериментально определим степень и вероятность сохранения остаточной намагниченности и покажем что время, за которое можно снять данные, может быть существенно увеличено при помощи простых приёмов. Так же будут предложены новые методы для поиска криптографических ключей в дампах памяти и исправления ошибок, связанных с потерей битов. Будет также рассказано о несколько способах уменьшения данных рисков, однако простого решения нам не известно.

Введение

Большинство экспертов исходят из того, что данные из оперативной памяти компьютера стираются практически мгновенно после отключения питания, или считают, что остаточные данные крайне сложно извлечь без использования специального оборудования. Мы покажем, что эти предположения некорректны. Обычная DRAM память теряет данные постепенно в течение нескольких секунд, даже при обычных температурах, а если даже микросхема памяти будет извлечена из материнской платы, данные сохранятся в ней на протяжении минут или даже часов, при условии хранения этой микросхемы при низких температурах. Остаточные данные могут быть восстановлены при помощи простых методов, которые требуют кратковременного физического доступа к компьютеру.

Мы покажем ряд атак, которые, используя эффекты остаточной намагниченности DRAM, позволят нам восстановить хранимые в памяти ключи шифрования. Это представляет собой реальную угрозу для пользователей ноутбуков, которые полагаются на системы шифрования жёсткого диска. Ведь в случае, если злоумышленник похитит ноутбук, в тот момент, когда зашифрованный диск подключён, он сможет провести одну из наших атак для доступа к содержимому, даже если сам ноутбук заблокирован или находится в спящем режиме. Мы это продемонстрируем, успешно атакуя несколько популярных систем шифрования, таких как – BitLocker, TrueCrypt и FileVault. Эти атаки должны быть успешны и в отношении других систем шифрования.

Хотя мы сосредоточили наши усилия на системах шифрования жёстких дисков, в случае физического доступа к компьютеру злоумышленника, любая важная информация хранящаяся в оперативной памяти может стать объектом для атаки. Вероятно, и многие другие системы безопасности уязвимы. Например, мы обнаружили, что Mac OS X оставляет пароли от учётных записей в памяти, откуда мы смоги их извлечь, так же мы совершили атаки на получение закрытых RSA ключей веб-сервера Apache.

Некоторые представители сообществ по информационной безопасности и физике полупроводников уже знали об эффекте остаточной намагниченности DRAM, об этом было очень мало информации. В итоге, многие, кто проектирует, разрабатывает или использует системы безопасности, просто незнакомы с этим явлением и как легко оно может быть использовано злоумышленником. Насколько нам известно, это первая подробная работа изучающие последствия данных явлений для информационной безопасности.

Атаки на зашифрованные диски

Шифрование жёстких дисков это известный способ защиты против хищения данных. Многие полагают, что системы шифрования жёстких дисков позволят защитить их данные, даже в том случае, если злоумышленник получил физических доступ к компьютеру (собственно для этого они и нужны, прим. ред.). Закон штата Калифорния, принятый в 2002 году, обязывает сообщать о возможных случаях раскрытия персональных данных, только в том случае, если данные не были зашифрованы, т.к. считается, что шифрование данных - это достаточная защитная мера. Хотя закон не описывает никаких конкретных технических решений, многие эксперты рекомендуют использовать системы шифрования жёстких дисков или разделов, что будет считаться достаточными мерами для защиты. Результаты нашего исследования показали, что вера в шифрование дисков необоснованна. Атакующий, далеко не самой высокой квалификации, может обойти многие широко используемые системы шифрования, в случае если ноутбук с данными похищен, в то время когда он был включён или находился в спящем режиме. И данные на ноутбуке могут быть прочитаны даже в том случае, когда они находятся на зашифрованном диске, поэтому использование систем шифрования жёстких дисков не является достаточной мерой.

Мы использовали несколько видов атак на известные системы шифрования жёстких дисков. Больше всего времени заняла установка зашифрованных дисков и проверка корректности обнаруженных ключей шифрования. Получение образа оперативной памяти и поиск ключей занимали всего несколько минут и были полностью автоматизированы. Есть основания полагать, что большинство систем шифрования жёстких дисков подвержены подобным атакам.

BitLocker

BitLocker – система, входящая в состав некоторых версий ОС Windows Vista. Она функционирует как драйвер работающий между файловой системой и драйвером жёсткого диска, шифруя и расшифровывая по требованию выбранные секторы. Используемые для шифрования ключи находятся в оперативной памяти до тех пор, пока зашифрованный диск подмантирован.

Для шифрования каждого сектора жёсткого диска BitLocker использует одну и ту же пару ключей созданных алгоритмом AES: ключ шифрования сектора и ключ шифрования, работающий в режиме сцепления зашифрованных блоков (CBC). Эти два ключа в свою очередь зашифрованы мастер ключом. Чтобы зашифровать сектор, проводится процедура двоичного сложения открытого текста с сеансовым ключом, созданным шифрованием байта смещения сектора ключом шифрования сектора. Потом, полученные данные обрабатываются двумя смешивающими функциями, которые используют разработанный Microsoft алгоритм Elephant. Эти безключевые функции используются с целью увеличения количества изменений всех битов шифра и, соответственно, увеличения неопределённости зашифрованных данных сектора. На последнем этапе, данные шифруются алгоритмом AES в режиме CBC, с использованием соответствующего ключа шифрования. Вектор инициализации определяется путём шифрования байта смещения сектора ключом шифрования, используемом в режиме CBC.

Нами была реализована полностью автоматизированная демонстрационная атака названная BitUnlocker. При этом используется внешний USB диск с ОС Linux и модифицированным загрузчиком на основе SYSLINUX и драйвер FUSE позволяющий подключить зашифрованные BitLocker диски в ОС Linux. На тестовом компьютере с работающей Windows Vista отключалось питание, подключался USB жёсткий диск, и с него происходила загрузка. После этого BitUnlocker автоматически делал дамп оперативной памяти на внешний диск, при помощи программы keyfind осуществлял поиск возможных ключей, опробовал все подходящие варианты (пары ключа шифрования сектора и ключа режима CBC), и в случае удачи подключал зашифрованный диск. Как только диск подключался, появлялась возможность с ним работать как с любым другим диском. На современном ноутбуке с 2 гигабайтами оперативной памяти процесс занимал около 25 минут.

Примечательно, что данную атаку стало возможным провести без реверс-инжиниринга какого-либо ПО. В документации Microsoft система BitLocker описана в достаточной степени, для понимания роли ключа шифрования сектора и ключа режима CBC и создания своей программы реализующей весь процесс.

Основное отличие BitLocker от других программ этого класса – это способ хранения ключей при отключённом зашифрованном диске. По умолчанию, в базовом режиме, BitLocker защищает мастер ключ только при помощи TPM модуля, который существует на многих современных ПК. Данный способ, который, по всей видимости, широко используется, особенно уязвим к нашей атаке, поскольку он позволяет получить ключи шифрования, даже если компьютер был выключен в течение долгого времени, поскольку, когда ПК загружается, ключи автоматически подгружаются в оперативную память (до появления окна входа в систему) без ввода каких-либо аутентификационных данных.

По всей видимости, специалисты Microsoft знакомы с данной проблемой и поэтому рекомендуют настроить BitLocker в улучшенный режим, где защита ключей осуществляется, не только при помощи TPM, но и паролем или ключом на внешнем USB носителе. Но, даже в таком режиме, система уязвима, если злоумышленник получит физический доступ к ПК в тот момент, когда он работает (он даже может быть заблокирован или находиться в спящем режиме, (состояния - просто выключен или hibernate в это случае считаются не подверженными данной атаке).

FileVault

Система FileVault от Apple была частично исследована и проведён реверс-инжиниринг. В Mac OS X 10.4 FileVault использует 128-битный ключ AES в режиме CBC. При введении пароля пользователя, расшифровывается заголовок, содержащий ключ AES и второй ключ K2, используемый для расчёта векторов инициализации. Вектор инициализации для I-того блока диска рассчитывается как HMAC-SHA1 K2(I).

Мы использовали нашу программу EFI для получения образов оперативной памяти для получения данных с компьютера Макинтош (базирующимся на процессоре Intel) с подключённым диском, зашифрованным FileVault. После этого программа keyfind безошибочно автоматически находила AES ключи FileVault.

Без вектора инициализации, но с полученным AES ключом появляется возможность расшифровать 4080 из 4096 байт каждого блока диска (всё кроме первого AES блока). Мы убедились, что инициализационный вектор так же находится в дампе. Предполагая, что данные не успели исказиться, атакующий может определить вектор, поочерёдно пробуя все 160-битовые строки в дампе и проверяя, могут ли они образовать возможный открытый текст, при их бинарном сложении с расшифрованной первой частью блока. Вместе, используя программы типа vilefault, AES ключи и инициализационный вектор позволяют полностью расшифровывать зашифрованный диск.

В процессе исследования FileVault, мы обнаружили, что Mac OS X 10.4 и 10.5 оставляют множественные копии пароля пользователя в памяти, где они уязвимы к данной атаке. Пароли учётных записей часто используются для защиты ключей, которые в свою очередь, могу использоваться для защиты ключевых фраз зашифрованных FileVault дисков.

TrueCrypt

TrueCrypt – популярная система шифрования с открытым кодом, работающая на ОС Windows, MacOS и Linux. Она поддерживает множество алгоритмов, включая AES, Serpent и Twofish. В 4-ой версии, все алгоритмы работали в режиме LRW; в текущей 5-ой версии, они используют режим XTS. TrueCrypt хранит ключ шифрования и tweak ключ в заголовке раздела на каждом диске, который зашифрован другим ключом получающимся из вводимого пользователем пароля.

Мы тестировали TrueCrypt 4.3a и 5.0a работающие под ОС Linux. Мы подключили диск, зашифрованный при помощи 256-битного AES ключа, потом отключили питание и использовали для загрузки собственное ПО для дампа памяти. В обоих случаях, keyfind обнаружила 256-битный неповреждённый ключ шифрования. Так же, в случае TrueCrypt 5.0.a, keyfind смогла восстановить tweak ключ режима XTS.

Чтобы расшифровать диски созданные TrueCrypt 4, необходим tweak ключ режима LRW. Мы обнаружили, что система хранит его в четырёх словах перед ключевым расписанием ключа AES. В нашем дампе, LRW ключ не был искажён. (В случае появления ошибок, мы все равно смогли бы восстановить ключ).

Dm-crypt

Ядро Linux, начиная с версии 2.6, включает в себя встроенную поддержку dm-crypt – подсистемы шифрования дисков. Dm-crypt использует множество алгоритмов и режимов, но, по умолчанию, она использует 128-битный шифр AES в режиме CBC с инициализационными векторами создаваемыми не на основе ключевой информации.

Мы тестировали созданный dm-crypt раздел, используя LUKS (Linux Unified Key Setup) ветку утилиты cryptsetup и ядро 2.6.20. Диск был зашифрован при помощи AES в режиме CBC. Мы ненадолго отключили питание и, используя модифицированный PXE загрузчик, сделали дамп памяти. Программа keyfind обнаружила корректный 128-битный AES ключ, который и был восстановлен без каких-либо ошибок. После его восстановления, злоумышленник может расшифровать и подключить раздел зашифрованный dm-crypt, модифицируя утилиту cryptsetup таким образом, чтобы она воспринимала ключи в необходимом формате.

Способы защиты и их ограничения

Реализация защиты от атак на оперативную память нетривиальна, поскольку используемые криптографические ключи необходимо где-либо хранить. Мы предлагаем сфокусировать усилия на уничтожении или скрытии ключей до того, как злоумышленник сможет получить физический доступ к ПК, предотвращая запуск ПО для дампа оперативной памяти, физически защищая микросхемы ОЗУ и по возможности снижая срок хранения данных в ОЗУ.

Перезапись памяти

Прежде всего, надо по-возможности избегать хранения ключей в ОЗУ. Необходимо перезаписывать ключевую информацию, если она больше не используется, и предотвращать копирование данных в файлы подкачки. Память должна очищаться заблаговременно средствами ОС или дополнительных библиотек. Естественно, эти меры не защитят используемые в данный момент ключи, поскольку они должны храниться в памяти, например такие ключи как, используемые для шифрованных дисков или на защищённых веб серверах.

Так же, ОЗУ должна очищаться в процессе загрузки. Некоторые ПК могут быть настроены таким образом, чтобы очищать ОЗУ при загрузке при помощи очищающего POST запроса (Power-on Self-Test) до того как загружать ОС. Если злоумышленник не сможет предотвратить выполнение данного запроса, то на данном ПК у него не будет возможности сделать дамп памяти с важной информацией. Но, у него всё ещё остаётся возможность вытащить микросхемы ОЗУ и вставить их в другой ПК с необходимыми ему настройками BIOS.

Ограничение загрузки из сети или со съёмных носителей

Многие наши атаки были реализованы с использованием загрузки по сети или со съёмного носителя. ПК должен быть настроен так, чтобы требовать пароль администратора для загрузки с этих источников. Но, необходимо отметить, что даже если система настроена на загрузку только с основного жёсткого диска, атакующий может сменить сам жёсткий диск, или во многих случаях, сбросить NVRAM компьютера для отката на первоначальные настройки BIOS.

Безопасный спящий режим

Результаты исследования показали, что простое блокирование рабочего стола ПК (т.е ОС продолжает работать, но, для того, чтобы с ней начать взаимодействие необходим ввод пароля) не защищает содержимое ОЗУ. Спящий режим не эффективен и в том случае, если ПК блокируется при возврате из спящего режима, поскольку злоумышленник может активировать возврат из спящего режима, после чего перезагрузить ноутбук и сделать дамп памяти. Режим hibernate (содержимое ОЗУ копируется на жёсткий диск) так же не поможет, кроме случаев использования ключевой информации на отчуждаемых носителях для восстановления нормального функционирования.

В большинстве систем шифрования жёстких дисков, пользователи могут защититься выключением ПК. (Система Bitlocker в базовом режиме работы TPM модуля остаётся уязвимой, поскольку диск будет подключен автоматически, когда ПК будет включён). Содержимое памяти может сохраняться в течение короткого периода после отключения, поэтому рекомендуется понаблюдать за своей рабочей станцией ещё в течение пары минут. Несмотря на свою эффективность, данная мера крайне неудобна в связи с долгой загрузкой рабочих станций.

Переход в спящий режим можно обезопасить следующими способами: требовать пароль или иной другой секрет чтобы «разбудить» рабочую станцию и шифровать содержимое памяти ключом производным от этого пароля. Пароль должен быть стойким, так как злоумышленник может сделать дамп памяти и после чего попробовать подобрать пароль перебором. Если же шифрование всей памяти невозможно, необходимо шифровать только те области, которые содержат ключевую информацию. Некоторые системы могут быть настроены таким образом, чтобы переходить в такой тип защищённого спящего режима, хотя это обычно и не является настройкой по умолчанию.

Отказ от предварительных вычислений

Наши исследования показали, что использование предварительных вычислений для того, чтобы ускорить криптографические операции делает ключевую информацию более уязвимой. Предварительные вычисления приводят к тому, что в памяти появляется избыточная информации о ключевых данных, что позволяет злоумышленнику восстановить ключи даже в случае наличия ошибок. Например, как описано в разделе 5, информация об итерационных ключах алгоритмов AES и DES крайне избыточна и полезна для атакующего.

Отказ от предварительных вычислений снизит производительность, поскольку потенциально сложные вычисления придётся повторять. Но, например, можно кэшировать предварительно высчитанные значения на определённый промежуток времени и стирать полученные данные, если они не используются в течение этого интервала. Такой подход представляет собой компромисс между безопасностью и производительностью системы.

Расширение ключей

Другой способ предотвратить восстановление ключей – это изменение ключевой информации, хранящейся в памяти, таким образом, чтобы усложнить восстановление ключа из-за различных ошибок. Этот метод был рассмотрен в теории, где была показана функция, стойкая к раскрытию, чьи входные данные остаются сокрытыми, даже если практически все выходные данные были обнаружены, что очень похоже на работу однонаправленных функций.

На практике, представьте, что у нас есть 256-битный AES ключ K, который в данный момент не используется, но понадобится позднее. Мы не можем перезаписать его, но мы хотим сделать его стойким к попыткам восстановления. Один из способов добиться этого – это выделить большую B-битную область данных, заполнить её случайными данными R, после чего хранить в памяти результат следующего преобразования K+H(R) (суммирование двоичное, прим. ред.), где H – это хэш функция, например SHA-256.

Теперь представьте, что электричество было отключено, это приведёт к тому, что d бит в данной области будут изменены. Если хэш функция стойкая, при попытке восстановления ключа K, злоумышленник может рассчитывать только на то, что он сможет угадать какие биты области B были изменены из приблизительно половины, которые могли изменится. Если d бит были изменены, злоумышленнику придётся провести поиск области размером (B/2+d)/d чтобы найти корректные значения R и уже после этого восстановить ключ K. Если область B велика, такой поиск может быть очень долог, даже если d относительно мала.

Теоретически, таким способом можно хранить все ключи, рассчитывая каждый ключ, только когда это нам необходимо, и удаляя его, когда он нам не нужен. Таким образом, применяя вышеописанный метод, мы может хранить ключи в памяти.

Физическая защита

Некоторые из наших атак основывались на наличии физического доступа к микросхемам памяти. Такие атаки могут быть предотвращены физической защитой памяти. Например, модули памяти находиться в закрытом корпусе ПК, или залиты эпоксидным клеем, чтобы предотвратить попытки их извлечения или доступа к ним. Так же, можно реализовать затирание памяти как ответную реакцию на низкие температуры или попытки открыть корпус. Такой способ потребует установки датчиков с независимой системой питания. Многие из таких способов связаны с аппаратурой, защищённой от несанкционированного вмешательства (например, сопроцессор IBM 4758) и могут сильно повысить стоимость рабочей станции. С другой стороны, использование памяти, припаянной к материнской плате, обойдётся гораздо дешевле.

Изменение архитектуры

Можно изменить архитектуру ПК. Что невозможно для уже используемых ПК, зато позволит обезопасить новые.

Первый подход заключается в том, чтобы спроектировать DRAM модули таким образом, чтобы они быстрее стирали все данные. Это может быть непросто, поскольку цель как можно более быстрого стирания данных, противоречит другой цели, чтобы данные не пропадали между периодами обновления памяти.

Другой подход заключается в добавлении аппаратуры хранения ключевой информации, которая бы гарантированно стирала всю информацию со своих хранилищ при запуске, перезапуске и выключении. Таким образом, мы получим надёжное место для хранения нескольких ключей, хотя уязвимость, связанная с их предварительными вычислениями останется.

Другие эксперты предложили архитектуру, в рамках которой содержимое памяти будет постоянно шифроваться. Если, вдобавок к этому, реализовать стирание ключей при перезагрузке и отключении электричества, то данный способ обеспечит достаточную защищённость от описанных нами атак.

Доверенные вычисления

Аппаратура, соответствующая концепции «доверенных вычислений», например, в виде TPM модулей уже используется в некоторых ПК. Несмотря на свою полезность в защите от некоторых атак, в своей нынешней форме такое оборудование не помогает предотвратить описанные нами атаки.

Используемые TPM модули не реализуют полное шифрование. Вместо этого, они наблюдают за процессом загрузки для принятия решения о том, безопасно ли загружать ключ в ОЗУ или нет. Если ПО необходимо использовать ключ, то можно реализовать следующую технологию: ключ, в пригодной для использования форме не будет храниться в ОЗУ, до тех пор пока процесс загрузки не пройдёт по ожидаемому сценарию. Но, как только ключ оказывается в оперативной памяти – он сразу становиться мишенью для наших атак. TPM модули могут предотвратить загрузку ключа в память, но они не предотвращают его считывание из памяти.

Выводы

Вопреки популярному мнению, модули DRAM в отключённом состоянии хранят данные в течение относительно долгого времени. Наши эксперименты показали, что данное явление позволяет реализовать целый класс атак, которые позволяют получить важные данные, такие как ключи шифрования из оперативной памяти, несмотря на попытки ОС защитить её содержимое. Описанные нами атаки реализуемы на практике, и наши примеры атак на популярные системы шифрования доказывают это.

Но и другие виды ПО также уязвимы. Системы управления цифровыми правами (DRM) часто используют симметричные ключи, хранящиеся в памяти, и их так же можно получить, используя описанные методы. Как мы показали, веб-сервера с поддержкой SSL тоже уязвимы, поскольку они хранят в памяти закрытые ключи необходимые для создания SSL сеансов. Наши способы поиска ключевой информации, скорее всего, будут эффективны для поиска паролей, номеров счетов и любой другой важной информации, хранящейся в ОЗУ.

Похоже что нет простого способа устранить найденные уязвимости. Изменение ПО скорее всего не будет эффективным; аппаратные изменения помогут, но временные и ресурсные затраты будут велики; технология «доверенных вычислений» в её сегодняшней форме так же мало эффективна, поскольку она не может защитить ключи находящиеся в памяти.

По нашему мнению, больше всего данному риску подвержены ноутбуки, которые часто находятся в общественных местах и функционируют в режимах уязвимых для данных атак. Наличие таких рисков, показывает, что шифрование дисков осуществляет защиту важных данных в меньшей степени, чем принято считать.

В итоге, возможно, придётся рассматривать DRAM память как не доверенную компоненту современного ПК, и избегать обработки важной конфиденциальной информации в ней. Но на данный момент это нецелесообразно, до тех пор, пока архитектура современных ПК не изменится, чтобы позволить ПО хранить ключи в безопасном месте.

Сегодня в любой компании есть конфиденциальные данные, которые нужны защитить от их раскрытия. Современные технологии позволяют нам зашифровать важные данные. В результате Ваша информация защищена, пока не станут раскрыты ключи, пароли.

TrueCrypt позволяет зашифровать системный раздел или полностью жесткий диск. При этом будет установлен специальный загрузчик, то есть система не начнет загружаться, пока Вы не введете пароль. Главное, что бы Ваша система была защищена и от вирусов, а то толку от шифрования не будет. Ваши данные украдет первый же специально подосланный вирус, или вполне возможно хакер получит конфиденциальную информацию совершенно случайно. Скажем напишет вредоносную программу, которая проникая на компьютер запрашивает о следующих действиях. В итоге используя даже самые надежные методы защиты обращайте внимание на мелочи.

Мы рассмотрим следующие аспекты:

Установка

Прочитай более подробно о TrueCrypt и скачать его можно .

Запускаем скаченный установочный файл. Вам откроется окно с текстом лицензионного соглашения. Для продолжения установки необходимо согласиться с лицензионным соглашением. Если Вы согласны нажимаем "I accept ....".

Следующее окно спрашивает нас о типе установки. В случаи, если Вы шифруете компьютер ноутбук выберите Install. Он установит программу на компьютер. Если Вы шифруете носитель информации, который будет использоваться то на одном, то на другом компьютере, тогда используйте Extract. Он скопирует файлы программы на диск, для запуска без установки. По скольку в данный момент мы шифруем компьютер, ноутбук выбираем Install. После того как выберите подходящую функцию нажимаем Next.


Следующее окно спрашивает куда устанавливать программу, и прочие параметры. Менять их я не рекомендую, так как по умолчанию заданы наиболее оптимальные настройки. Нажимаем Install.


Начался процесс установки. Конкретно сейчас создается точка восстановления системы. Она нужна, что бы в случаи ошибки можно было вернуть состояние системы.


Следующее окно информирует нас о том, что установка завершена. Нажимаем ОК.


В следующем окне разработчики просят пожертвовать деньги на их проект. Собственно проект нужный, полезный и качественный - следовательно благое дело пожертвовать хоть какую-то сумму на развитие данного проекта. Если хотите пожертвовать деньги на развитие проекта нажмите Donate now. Для завершения установки нажмите Finish.


И напоследок нам предлагают ознакомиться со справкой, но толку от неё не много, так как она на английском языке. Поэтому нажимаем Нет или No.


Установка завершена.

Запуск, Русификация

Теперь нам предстоит скачать и установить русский язык. К сожалению программа по умолчанию на английском языке. Следует отметить, что русский перевод достаточно качественный.

И так, запускаем с рабочего стола ярлык TrueCrypt.



Нам открывается окно выбора языка программы. Как видите в списке нет русского языка. Чуть ниже имеется надпись Download Language Pack, при нажатии на которую открывается сайт с которого можно скачать файл русского языка для TrueCrypt. Нажимаем на Download Language Pack.


Открылась страница официального сайта TrueCrypt с которой мы можем скачать файл русского языка. Саму программу следует закрыть.


Необходимо промотать страницу вниз, пока не увидите слово Russian или Русский. И нажать Download. Начнется загрузка архива. Альтернативная ссылка на файл с русской локализацией для TrueCrypt в архиве, который можно скачать .


После того, как завершиться загрузка архива, открываем его, там будет три файла, нам нужен только Language.ru. Скопируйте его в C:\Program Files\TrueCrypt. Буква диска у Вас может быть другой, так как программа устанавливается на диск с Windows.


После того как файл был скопирован необходимо вновь открыть программу. Далее открываем программу, заходим во вкладку Setting, далее в подпункт Language. Вам откроется окно выбора языка программы, выделяем русский и нажимаем ок. Возможно понадобиться выключить и включить программу.

Теперь мы можем видеть полностью русифицированную программу.


Шифрование

И так, приступит к этапу шифрования диска. Заходим во вкладку система главного окна TrueCrypt, и выбираем подпункт зашифровать системный раздел. Собственно теперь всё полностью русифицировано и снабжено комментариями. Создание скрытой ос мы рассмотрим в одном из следующих статей. Создание скрытой ос процесс не легкий, поэтому не пытайтесь самостоятельно выполнить данную операцию. Выбираем пункт Обычный.


В следующем окне видим два пункта. Зашифровать системный раздел - зашифрует только системный раздел. Зашифровать весь диск - Зашифрует абсолютно все разделы Вашего жесткого диска. При любом из пунктов будет создана специальная загрузочная область TrueCrypt. Какой пункт больше Вам подходит, тот и выбирайте.


Если у Вас на компьютере только одна операционная система, то выбирайте первый пункт. Если у Вас их несколько, то выбирайте второй пункт.


На данном этапе можно выбрать алгоритм шифрования. Можно оставить как есть, это вполне надежная комбинация. Поэтому можно сразу нажать далее.


Теперь нужно придумать сложный пароль, удовлетворяющий требованиям программы, иначе надежный уровень защиты не гарантируется. Лучше всего найти в интернете сайты с онлайн генераторами паролей, и сгенерировать согласно требованиям, в частности крайне важно количество символом.




Далее создается образ диска восстановления TrueCrypt. Необходимо указать где он будет храниться. Создать и далее записать его на диск Вам все равно придется, так как иначе не перейдете непосредственно к процессу шифрования данных.


После прочтения предупреждения нажимаем ок.


Далее как и было ранее сказано откроется средство записи образов дисков. Обязательно запишите данный образ на диск - в случаи ошибки в загрузочной записи, он спасет ситуацию. Соответственно для записи достаточно вставить в привод CD диск и нажать записать.

Если Вы уже записали диск, то вставьте его в привод и нажмите далее. Диск будет проверен на наличие ошибок.


В случаи, если диск был записан без ошибок, то Вы увидите следующее окно. Нажимаем далее. Если диск был записан с ошибками, нужно записать его вновь, и вновь пройти проверку диска, так как без этого Вы не сможете перейти к следующему этапу.


Далее нам нужно выбрать режим очистки. Если у Вас имеется информация, которая может составить хоть какую то ценность, то выбираем как минимум 3 прохода, но следует учесть, что процесс шифрования будет длится в несколько раз дольше. Если у Вас нет ценной информации, и Вы просто хотите поэкспериментировать с программой, то выбираем режим без очистки. После того как Вы сделали выбор нажимаем далее.



Далее нам предлагают напечатать текстовую справку по теме проблем которые могут возникнуть при тестировании. Важно помнить пароль, и в случаи чего воспользоваться диском восстановления TrueCrypt. Нажимаем Ок.


Загрузчик будет выглядеть как изображено на следующем рисунке. После ввода пароля начнется загрузка Windows.


Тест пройден успешно, можно приступать непосредственно шифрования. Нажимаем кнопку Шифрация.


Далее нам опять предлагают распечатать справку. Главное не отключать компьютер и не прерывать работу программы. Если Вы шифруете ноутбук рекомендуется подключить его к розетке, а так же отключить переход в режим сна при простое. Отключить переход в режим сна можно перейдя в панель управления, далее электропитание, далее перейти во вкладку Настройка перехода в спящий режим. Нам нужно поставить никогда не переводить компьютер в спящий режим когда он питается от сети.

Нажимаем ок.


Наконец мы дошли до процесса шифрования. Будьте готовы долго ждать завершения данного процесса. Дождитесь завершения операции.


По завершению процесса шифрования появится следующее сообщение. Нажимаем ок.


Нажимаем готово.


Дешифрование

Дешифрование, то есть процесс расшифровки зашифрованных данных. Мы его рассмотрим на тот случай, если нужда защищать информацию пропала, или Вы просто экспериментировали.

Для начала заходим в TrueCrypt.


Заходим во вкладку система, и выбираем Перманентно расшифровать системный раздел/диск.


Если Вы настроены дешифровать компьютер, то соглашаемся.



Процесс расшифровки начался. Будьте готовы долго ждать его завершения, так как по длиться он будет примерно столько же, сколько длился процесс шифрования. Вам рекомендуется не прерывать работу мастера, и избегать перехода в спящий режим компьютера. Ожидаем завершения.



Выполните перезагрузку компьютера.

Если больше не планируется шифровать что-то или работать с зашифрованными носителями, то программу TrueCrypt можно удалить. Удалить её можно в панели управления, далее программы и компоненты(или установка и удаление программ), выбираем в списке TrueCrypt и нажимаем удалить.