Программа для шифрования диска

Программное обеспечение для шифрования диска — это программное обеспечение компьютерной безопасности , которое защищает конфиденциальность данных, хранящихся на компьютерном носителе (например, жестком диске , дискете или USB-устройстве ), с помощью шифрования диска .

По сравнению с контролем доступа, обычно реализуемым операционной системой (ОС), шифрование пассивно защищает конфиденциальность данных, даже когда ОС неактивна, например, если данные считываются непосредственно с оборудования или другой ОС. Кроме того, крипто-измельчение исключает необходимость стирания данных в конце жизненного цикла диска.

Шифрование диска обычно относится к оптовому шифрованию, которое работает на всем томе, в основном прозрачно для пользователя, системы и приложений. Обычно это отличается от шифрования на уровне файлов, которое выполняется пользователем по вызову одного файла или группы файлов и требует от пользователя решения, какие конкретные файлы следует зашифровать. Шифрование диска обычно включает в себя все аспекты диска, включая каталоги, поэтому злоумышленник не может определить содержимое, имя или размер любого файла. Он хорошо подходит для портативных устройств, таких как ноутбуки и флэш-накопители , которые особенно подвержены потере или краже. При правильном использовании тот, кто найдет потерянное устройство, не сможет проникнуть в реальные данные или даже узнать, какие файлы могут там присутствовать.

Методы [ править ]

Данные диска защищены с помощью симметричной криптографии с ключом, генерируемым случайным образом при первом установлении шифрования диска. Этот ключ сам по себе каким-то образом зашифрован с использованием пароля или кодовой фразы, известной (в идеале) только пользователю. После этого, чтобы получить доступ к данным диска, пользователь должен ввести пароль, чтобы сделать ключ доступным для программного обеспечения. Это необходимо делать через некоторое время после каждого запуска операционной системы, прежде чем зашифрованные данные можно будет использовать.

Выполненное в программном обеспечении шифрование обычно работает на уровне между всеми приложениями и большинством системных программ и драйверами устройств низкого уровня путем «прозрачного» (с точки зрения пользователя) шифрования данных после того, как они будут созданы программой, но до того, как они будут физически записано на диск. И наоборот, он расшифровывает данные сразу после чтения, но до того, как они будут представлены программе. При правильном выполнении программы не знают об этих криптографических операциях.

Некоторые программы шифрования дисков (например, TrueCrypt или BestCrypt ) предоставляют функции, которые обычно невозможно реализовать при аппаратном шифровании диска : возможность монтировать «контейнерные» файлы как зашифрованные логические диски с собственной файловой системой ; и зашифрованные логические «внутренние» тома, которые тайно спрятаны в свободном пространстве более очевидных «внешних» томов. Такие стратегии обеспечивают правдоподобное отрицание .

Хорошо известные примеры программного обеспечения для шифрования дисков включают BitLocker для Windows; FileVault для Apple OS/X; LUKS — стандартное бесплатное программное обеспечение, в основном для Linux , и TrueCrypt — некоммерческое бесплатное приложение для Windows, OS/X и Linux.

Исследование 2008 года выявило остаточную намагниченность данных в динамической памяти с произвольным доступом (DRAM), при этом данные сохраняются от секунд до минут при комнатной температуре и гораздо дольше, когда микросхемы памяти охлаждаются до низкой температуры. Авторы исследования смогли продемонстрировать атаку с холодной загрузкой для восстановления криптографических ключей для нескольких популярных систем шифрования дисков, несмотря на некоторую деградацию памяти, воспользовавшись избыточностью способа хранения ключей после их расширения для эффективного использования. Авторы рекомендуют выключать компьютеры, а не оставлять их в «спящем» состоянии, когда они не находятся под физическим контролем законного владельца компьютера. Однако этот метод восстановления ключей подходит для контролируемых лабораторных условий и крайне непрактичен для «полевого» использования из-за необходимого оборудования и систем охлаждения. ^[1]

Другие особенности [ править ]

Правдоподобное отрицание [ править ]

Некоторые системы шифрования дисков, такие как VeraCrypt , CipherShed (активные версии прекращенного проекта TrueCrypt с открытым исходным кодом ), BestCrypt (проприетарная пробная версия), предлагают уровни правдоподобного отрицания , что может быть полезно, если пользователь вынужден раскрыть пароль зашифрованного диска. объем.

Скрытые тома [ править ]

Скрытые тома — это стеганографическая функция, которая позволяет второму, «скрытому» тому находиться в кажущемся свободном пространстве видимого тома-контейнера (иногда называемого «внешним» томом). Скрытый том имеет собственную файловую систему, пароль и ключ шифрования, отличные от тома-контейнера.

Содержимое скрытого тома зашифровано и находится в свободном пространстве файловой системы внешнего тома — пространстве, которое в противном случае было бы заполнено случайными значениями, если бы скрытый том не существовал. Когда внешний контейнер подключается к сети с помощью программного обеспечения для шифрования диска, подключение внутреннего или внешнего тома зависит от предоставленного пароля. Если «обычный» пароль/ключ внешнего тома окажется действительным, внешний том монтируется; если пароль/ключ скрытого тома окажется действительным, тогда (и только тогда) можно будет обнаружить существование скрытого тома, и он будет смонтирован; в противном случае, если пароль/ключ не может успешно расшифровать ни внутренний, ни внешний дескриптор тома, ни один из них не монтируется.

Как только скрытый том будет создан внутри видимого тома-контейнера, пользователь будет хранить важную информацию (но которую пользователь на самом деле не против раскрыть) во внешнем томе, тогда как более конфиденциальная информация хранится внутри скрытого тома.

Если пользователь вынужден раскрыть пароль, он может раскрыть пароль внешнего тома, не раскрывая существования скрытого тома. Скрытый том не будет скомпрометирован, если пользователь примет определенные меры предосторожности при перезаписи свободных областей «хостового» диска. ^[2]

Нет опознавательных признаков [ править ]

Тома, независимо от того, хранятся ли они в файле или устройстве/разделе, могут намеренно не содержать каких-либо различимых «подписей» или незашифрованных заголовков. Поскольку алгоритмы шифрования разработаны так, чтобы их можно было отличить от псевдослучайной перестановки без знания ключа , наличие данных в зашифрованном томе также невозможно обнаружить, если в шифре не известны слабые места. ^[3] Это означает, что невозможно доказать, что какой-либо файл или раздел является зашифрованным томом (а не случайными данными), не имея пароля для его монтирования. Эта характеристика также не позволяет определить, содержит ли том другой скрытый том.

Том, размещенный в файле (в отличие от разделов), в некоторых случаях может выглядеть неуместным, поскольку это будут полностью случайные данные, намеренно помещенные в файл. Однако том, размещенный на разделе или устройстве, не будет отличаться от раздела или устройства, очищенного с помощью обычного инструмента очистки диска, такого как Darik's Boot и Nuke . Можно обоснованно утверждать, что такое устройство или раздел были стерты для очистки личных данных.

Портативный или «режим путешественника» означает, что программное обеспечение для шифрования можно запускать без установки на жесткий диск системы. В этом режиме программное обеспечение обычно устанавливает временный драйвер с портативного носителя. Поскольку происходит установка драйвера (хотя и временно), права администратора по-прежнему требуются.

Изменяемые размеры томов [ править ]

Некоторые программы шифрования дисков позволяют изменять размер зашифрованных томов. Не многие системы реализуют это в полной мере и для достижения этой цели прибегают к использованию « разреженных файлов ». ^{[ нужна ссылка ]}

Резервные копии [ править ]

Зашифрованные тома содержат данные «заголовка» (или «CDB»), для которых можно создать резервную копию. Перезапись этих данных приведет к уничтожению тома, поэтому возможность резервного копирования будет полезна.

Восстановление резервной копии этих данных может привести к сбросу пароля тома до того, который был на момент создания резервной копии.

См. также [ править ]

Ссылки [ править ]

^ Дж. Алекс Халдерман ; и др. (февраль 2008 г.). «Чтобы мы не помнили: атаки с холодной загрузкой на ключи шифрования» (PDF) . Архивировано из оригинала (PDF) 14 мая 2008 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ Правдоподобное отрицание - инструкции FreeOTFE по инициализации зашифрованного диска, чтобы невозможно было обнаружить наличие скрытого диска.
^ Это критерий проектирования современных шифров; другими словами, шифры считаются взломанными, если их результат отличим от случайного.
Михир Белларе , Филип Рогауэй (20 сентября 2005 г.). «Глава 3: Псевдослучайные функции». Введение в современную криптографию . п. 7. Архивировано из оригинала 11 октября 2007 г. Проверено 30 сентября 2007 г.

Внешние ссылки [ править ]

Шифрование жесткого диска в Curlie

[1] Дж. Алекс Халдерман ; и др. (февраль 2008 г.). «Чтобы мы не помнили: атаки с холодной загрузкой на ключи шифрования» (PDF) . Архивировано из оригинала (PDF) 14 мая 2008 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[2] Правдоподобное отрицание - инструкции FreeOTFE по инициализации зашифрованного диска, чтобы невозможно было обнаружить наличие скрытого диска.

[3] Это критерий проектирования современных шифров; другими словами, шифры считаются взломанными, если их результат отличим от случайного.
Михир Белларе , Филип Рогауэй (20 сентября 2005 г.). «Глава 3: Псевдослучайные функции». Введение в современную криптографию . п. 7. Архивировано из оригинала 11 октября 2007 г. Проверено 30 сентября 2007 г.

[1]

[2]

[3]