En iyi veri şifreleyici. Kişisel verileri ve ekipmanı korumak için bir dizi güvenilir program. Dosya ve klasör şifreleme programlarına genel bakış

Modern kripto korumanın ilkesi, okunamayan şifreleme oluşturmak değil (bu neredeyse imkansızdır), ancak kriptanaliz maliyetlerini artırmaktır.
Yani, şifreleme algoritmasının kendisini bilen, ancak anahtarı bilmeyen bir saldırganın şifresini çözmek için milyonlarca yıl harcaması gerekir. Peki ya da gerektiği kadar (bildiğiniz gibi, sevdiklerinizin ve kendinizin ölümünden sonra bilgi önemli olmaktan çıkar), x dosyaları alaka düzeyini kaybedene kadar. Bu durumda, karmaşıklık kullanım kolaylığı ile çelişir: bir anahtar kullanılırken veriler yeterince hızlı bir şekilde şifrelenmeli ve şifresi çözülmelidir. Bugünün incelemesine dahil edilen programlar, bir bütün olarak, belirtilen iki kriteri karşılamaktadır: oldukça sağlam algoritmalar kullanırken, çalıştırmaları oldukça basittir.

Kendi içinde ayrı bir makaleye veya bir dizi makaleye layık olan bir programla başlayacağız. Zaten kurulum sırasında, ek bir yanlış oluşturma olasılığı beni şaşırttı. işletim sistemi... Kurulum sihirbazıyla diyaloğu tamamladıktan hemen sonra DriveCrypt bir anahtar deposu oluşturmayı önerdi. Depo olarak herhangi bir dosya seçilebilir: dosya, çizim, mp3. Depolamaya giden yol belirtildikten sonra, iki tam türümüz olan parolalar giriyoruz: ana ve kullanıcı. DCPP ayarlarına erişimde farklılık gösterirler - kullanıcının bir şeyi değiştirme yeteneği yoktur, yalnızca belirtilen ayarları görüntüleyebilir. Her tür iki veya daha fazla parola içerebilir. Koruma ayarına gerçek erişim, hem ana şifre hem de kullanıcı şifresi ile sağlanabilir.

Herhangi bir diski şifrelemeden önce, önyükleme korumasının doğru şekilde kurulduğunu kontrol etmeniz gerekir. Önyükleme korumasının doğruluğunu kontrol etmezseniz ve diski hemen şifrelemezseniz, içeriğini geri yüklemek imkansız olacaktır. Doğrulamadan sonra diski veya bölümü şifrelemeye devam edebilirsiniz. Bir diski veya bölümü şifrelemek için
Disk Sürücüleri'ni seçin ve Şifrele'yi tıklayın. Disk Şifreleme Sihirbazı, depolama alanından bir anahtar seçmenizin isteneceği bir pencere açacaktır. Disk bu anahtarla şifrelenecek ve diskle daha fazla çalışmak için aynı anahtar gerekli olacaktır. Anahtar seçildikten sonra disk şifreleme işlemi başlayacaktır. İşlem oldukça uzundur: Şifrelenecek diskin veya bölümün boyutuna bağlı olarak, birkaç saat kadar sürebilir.

Genel olarak, tüm bunlar oldukça basit ve standarttır. Yanlış bir eksenle çalışmak çok daha ilginç. FAT32'de sabit diskte biçimlendirelim (bunun ölümüyle ilgili söylentilere benziyor dosya sistemiçok abartılı olduğu ortaya çıktı
:)), Windows'u kurun, DriveCrypt'i kurun. Oluşturduğunuz sahte işletim sistemi, sürekli kullanımda olan çalışan bir sistem gibi görünmelidir. Gizli işletim sistemi oluşturulduktan sonra, gizli işletim sisteminin verilerini bozma olasılığı bulunduğundan, sahte işletim sistemi ile önyükleme yapmak ve çalıştırmak son derece tehlikelidir. Sisteme herhangi bir çöp attıktan sonra yeni bir depolama alanı oluşturuyoruz,
DCPP'ye giriş yapın, Sürücüler sekmesine geçin, sahte işletim sisteminin kurulu olduğu bölümü seçin ve HiddenOS'u kurcalayın. Ayarlar penceresi açılacaktır. Burada her şey basit: yeni oluşturulan depolamaya, şifrelere, etikete giden yolu belirtiyoruz gizli disk, dosya sistemi ve numarası boş alan bu, sahte işletim sistemini gizli olandan ayıracaktır. Gizli İşletim Sistemi Oluştur düğmesine tıkladıktan sonra oluşturma işlemi başlatılacaktır. gizli bölüm ve sistem bölümünün tüm içeriği gizli bölüme kopyalanacaktır. Program, başlangıcı yanlış bölümün sonundan gizli bölüm oluştururken belirtilen boş alandan geçecek olan gizli bir bölüm oluşturacaktır. Yeniden başlat ve
Gizli bölüm oluşturulurken belirtilen şifreleri girerek giriş yapınız. Sahte işletim sisteminin içeriği, gizli bir işletim sisteminde çalışırken görünmeyecek ve bunun tersi de geçerlidir: sahte bir işletim sisteminde çalışırken, gizli işletim sistemi görünmeyecektir. Böylece sadece bilgisayar açılırken girilen şifre hangi işletim sisteminin yükleneceğini belirler. Gizli bir işletim sisteminin oluşturulmasını tamamladıktan sonra, onu girmeniz ve sistem bölümünü şifrelemeniz gerekir.

DriveCrypt ile istediğiniz her şeyi şifreleyebilirsiniz. HDD veya çıkarılabilir bir depolama aygıtı (CD'ler ve DVD'ler hariç) ve bunu kullanıcılar arasında veri alışverişi için kullanın. Tamamen şifrelenmiş bir ortamda veri alışverişinin şüphesiz avantajı, üzerinde herhangi bir dosya tespit etmenin imkansızlığıdır, ortam biçimlendirilmemiş görünüyor. Ortamın şifrelendiği bilgisiyle bile, bir anahtarın yokluğunda verilerin okunması imkansız olacaktır.

DriveCrypt, tüm diski veya bölümü şifreleyerek yalnızca önemli verileri değil, aynı zamanda işletim sistemi de dahil olmak üzere diskin veya bölümün tüm içeriğini gizlemenize olanak tanır. Ne yazık ki, bu güvenlik düzeyi, dosya sistemi performansında önemli bir düşüş pahasına gelir.

Burada, programın yazarları tarafından geliştirilen, 4 ila 255 karakter uzunluğunda özel bir anahtara sahip oldukça orijinal bir şifreleme algoritması görüyoruz. Ayrıca, anahtar parolası, şifrelenmiş dosyanın içinde saklanmaz, bu da onu kırma olasılığını azaltır. Programın prensibi basittir: Şifrelenmesi gereken dosya veya klasörleri belirtiriz, ardından program sizden anahtarı girmenizi ister. Daha fazla güvenilirlik için, tuş yalnızca klavyede değil, aynı zamanda özel bir panel kullanılarak da seçilebilir. Bu panel, iş sırasında MS Word'den küstahça çalındı ​​(iç metin
- sembolü). Şifreyi onayladıktan sonra, * .shr uzantısını atayarak programı dosyayı şifrelemeye zorlayacağız.

Files Cipher, yerleşik bir arşivleme algoritması kullanarak şifrelenmiş dosyaları sıkıştırabilir. Ek olarak, şifrelemeden sonra orijinal dosya dosyadan silinebilir. hard disk kurtarma olasılığı olmadan.
Program her türden dosyayla çalışır ve ayrıca 4 Gb'den büyük dosyaları (NTFS için) destekler. Aynı zamanda, bilgisayar için sistem gereksinimleri çok mütevazıdır ve öncünün aksine kaynaklar hiçbir şey yemiyor.

PGP hem açık hem de kanıtlanmış simetrik şifreleme uygular
anahtarlar: 256-bit'e kadar şifrelemeli AES, CAST, TripleDES, IDEA ve Twofish2. Şifreleme anahtarlarını yönetmek için, kullanıcı anahtarlarını görüntüleyen bir pencere görüntüleyen ve ortak anahtarlar listesine eklenen PGP Anahtarları seçeneği vardır. PGP Disk disklerini şifrelemek için modülün şeması ... mmmm ... nasıl koyabilirim? A, ilkokul. Yine Key Store dosyasını oluşturuyoruz (Kendime Keys diyorum), şifreleri giriyoruz. Ayrıca, bir şifre belirlerken, bu arada, karmaşık şifrelerin uygunluğunu açıkça gösteren özel bir güç (kalite) göstergesi görüntülenir: örneğin, sekiz basamaktan oluşan bir şifrenin gücü yaklaşık olarak güce eşittir. bir özel karakter (ünlem işareti) ve üç harf içeren altı harfli veya dört basamaklı bir şifre.

Yaratıcıların ICQ hakkında düşünmeleri gerçekten hoşuma gitti (Orospu çocuğunun tahrif edilmesinden sonra Stalker'ın günlüklerini okuyanlar anlayacaktır... yoksa aslı'da değiller miydi ve bir şeyi karıştırıyor muyum?). Kurulumdan sonra, ICQ penceresinde, oturum korumasının açık olduğu özel bir simge belirir.

En acı verici konuya gelince - bir takas dosyası aracılığıyla bilgi sızıntısı - yazarlar, işletim sisteminin işleyişinin özellikleri nedeniyle bu sızıntı kanalını sıkıca engelleyemediklerini itiraf ettiler. Öte yandan, bu tehdidi azaltmak için önlemler alındı ​​- tüm önemli veriler gerekenden daha uzun süre bellekte saklanmıyor. İşlem tamamlandıktan sonra tüm kritik bilgiler bellekten silinir. Bu nedenle, bu güvenlik açığı mevcuttur ve onu ortadan kaldırmak için sanal belleği devre dışı bırakmanız (bu, işletim sistemi performansında gözle görülür bir bozulmaya neden olabilir) veya ek koruma önlemleri almanız gerekir.

Princeton Üniversitesi'ndeki araştırmacılar, şifrelemeyi atlamanın bir yolunu keşfetti sabit sürücüler modüller özelliğini kullanarak rasgele erişim belleği bir elektrik kesintisinden sonra bile bilgileri kısa bir süre için saklayın.

Önsöz

Şifrelenmiş bir sabit diske erişmek için bir anahtarınız olması gerektiğinden ve bu, elbette, RAM'de depolandığından - tek ihtiyacınız olan, PC'nize birkaç dakikalığına fiziksel erişim sağlamaktır. Harici bir sabit sürücüden yeniden başlattıktan sonra veya Flash bellek tam bir bellek dökümü yapılır ve birkaç dakika içinde ondan bir erişim anahtarı çıkarılır.

Bu şekilde, tarafından kullanılan şifreleme anahtarlarını (ve sabit diske tam erişim) elde etmek mümkündür. BitLocker programları, İşletim sistemlerinde FileVault ve dm-crypt Windows Vista, Mac OS X ve Linux'un yanı sıra popüler ücretsiz sabit disk şifreleme sistemi TrueCrypt.

Bu çalışmanın önemi, verilerin tamamen silinmesi için yeterli bir süre için gücün kesilmesi dışında, bu bilgisayar korsanlığı yöntemine karşı tek bir basit koruma yönteminin olmaması gerçeğinde yatmaktadır.

Sürecin açık bir gösterimi şurada sunulmaktadır: video.

Dipnot

Popüler inanışın aksine, en çok kullanılan DRAM, modern bilgisayarlar, bir elektrik kesintisinden birkaç saniye veya dakika sonra bile verileri kendi içinde saklar, ayrıca bu, oda sıcaklığında ve mikro devre anakarttan çıkarılsa bile gerçekleşir. Bu sefer, ana belleğin tam bir dökümünü almak için oldukça yeterli. Bu olgunun, sisteme fiziksel erişimi olan bir saldırganın, şifreleme anahtarları hakkındaki verileri korumak için işletim sistemi işlevlerini atlamasına izin verdiğini göstereceğiz. Herhangi bir özel cihaz veya malzeme kullanmadan bilinen sabit disk şifreleme sistemlerine başarılı bir şekilde saldırmak için yeniden başlatmanın nasıl kullanılabileceğini göstereceğiz. Artık manyetizasyonun alıkonma derecesini ve olasılığını deneysel olarak belirleyeceğiz ve basit teknikler kullanılarak veri almak için gereken sürenin önemli ölçüde artırılabileceğini göstereceğiz. Ayrıca, bellek dökümlerinde kriptografik anahtarların aranması ve bit kaybıyla ilişkili hataların düzeltilmesi için yeni yöntemler önerilecektir. Bu riskleri azaltmanın birkaç yolundan da bahsedeceğiz ama basit bir çözüm bilmiyoruz.

Tanıtım

Çoğu uzman, bir elektrik kesintisinden sonra bilgisayarın RAM'indeki verilerin neredeyse anında silindiğini varsayıyor veya artık verilerin özel ekipman kullanılmadan çıkarılmasının son derece zor olduğuna inanıyor. Bu varsayımların yanlış olduğunu göstereceğiz. Geleneksel DRAM belleği, normal sıcaklıklarda bile birkaç saniye içinde kademeli olarak veri kaybeder ve bellek yongası anakarttan çıkarılsa bile, bu yonganın düşük sıcaklıklarda saklanması koşuluyla veriler dakikalar hatta saatler boyunca içinde kalır. Artık veriler, bilgisayara kısa süreli fiziksel erişim gerektiren basit yöntemler kullanılarak kurtarılabilir.

DRAM'ın artık manyetizasyon etkilerini kullanarak bellekte depolanan şifreleme anahtarlarını kurtarmamıza izin verecek bir dizi saldırı göstereceğiz. Bu, sabit disk şifreleme sistemlerine güvenen dizüstü bilgisayar kullanıcıları için gerçek bir tehdit oluşturuyor. Gerçekten de, bir saldırgan bir dizüstü bilgisayarı çalarsa, şifreli sürücü bağlandığı anda, dizüstü bilgisayarın kendisi kilitli veya uyku modunda olsa bile içeriğe erişmek için saldırılarımızdan birini gerçekleştirebilecektir. BitLocker, TrueCrypt ve FileVault gibi birkaç popüler şifreleme sistemine başarılı bir şekilde saldırarak bunu göstereceğiz. Bu saldırılar diğer şifreleme sistemlerine karşı da başarılı olmalıdır.

Çabalarımızı sabit diskler için şifreleme sistemlerine odaklamış olsak da, bir saldırganın bir bilgisayara fiziksel olarak erişmesi durumunda, RAM'de saklanan herhangi bir önemli bilgi saldırı nesnesi haline gelebilir. Diğer birçok güvenlik sisteminin savunmasız olması muhtemeldir. Örneğin, Mac OS X'in hesaplar için parolaları çıkarabileceğimiz yerden bellekte bıraktığını tespit ettik ve ayrıca Apache web sunucusunun özel RSA anahtarlarını elde etmeye yönelik saldırılar gerçekleştirdik.

Toplulukların bazı temsilcileri bilgi Güvenliği ve yarı iletken fiziği, DRAM kalıcı mıknatıslanma etkisini zaten biliyordu, bununla ilgili çok az bilgi vardı. Sonuç olarak, güvenlik sistemleri tasarlayan, geliştiren veya kullanan pek çok kişi bu olguya ve bir saldırgan tarafından ne kadar kolay istismar edilebileceğine aşina değildir. Bildiğimiz kadarıyla bu, bu olguların bilgi güvenliği üzerindeki etkilerini inceleyen ilk detaylı çalışmadır.

Şifrelenmiş disklere saldırılar

Sabit sürücü şifrelemesi bilinen yol veri hırsızlığına karşı koruma. Birçok kişi, bir saldırgan bir bilgisayara fiziksel erişim kazanmış olsa bile, sabit diskler için şifreleme sistemlerinin verilerini korumaya yardımcı olacağına inanıyor (aslında, bunun için gerekli, ed.). 2002'de kabul edilen California yasası, kişisel bilgilerin olası açıklamalarını yalnızca veriler şifrelenmemişse bildirmenizi gerektirir. veri şifreleme yeterli bir güvenlik önlemi olarak kabul edilir. Kanun herhangi bir özel teknik çözümü tanımlamasa da, birçok uzman, koruma için yeterli önlem olarak kabul edilecek olan sabit diskler veya bölümler için şifreleme sistemlerinin kullanılmasını önermektedir. Araştırmamız, disk şifrelemeye olan inancın temelsiz olduğunu göstermiştir. En yüksek beceriye sahip olmayan bir saldırgan, verileri içeren bir dizüstü bilgisayar açıkken veya uyku modundayken çalınırsa, yaygın olarak kullanılan birçok şifreleme sistemini atlayabilir. Ve bir dizüstü bilgisayardaki veriler, şifreli bir diskte olsa bile okunabilir, bu nedenle sabit disk şifreleme sistemlerinin kullanılması yeterli bir önlem değildir.

İyi bilinen sabit disk şifreleme sistemlerine çeşitli saldırı türleri kullandık. Şifreli disklerin en çok zaman alan kurulumu ve tespit edilen şifreleme anahtarlarının doğruluğunu kontrol etme. Bir RAM görüntüsünün yakalanması ve anahtarların aranması yalnızca birkaç dakika sürdü ve tamamen otomatikleştirildi. Çoğu sabit disk şifreleme sisteminin bu tür saldırılara açık olduğuna inanmak için nedenler var.

BitLocker

BitLocker, Windows Vista işletim sisteminin bazı sürümlerinde bulunur. Dosya sistemi ve sabit disk sürücüsü arasında bir sürücü olarak işlev görür, isteğe bağlı olarak seçilen sektörleri şifreler ve şifresini çözer. Şifreleme için kullanılan anahtarlar, şifrelenmiş disk boş olduğu sürece RAM'de kalır.

BitLocker, sabit sürücünün her bir sektörünü şifrelemek için AES tarafından oluşturulan aynı anahtar çiftini kullanır: bir sektör şifreleme anahtarı ve bir şifreli blok zincirleme (CBC) şifreleme anahtarı. Bu iki anahtar, sırayla, ana anahtarla şifrelenir. Bir sektörü şifrelemek için, sektör ofset baytını sektör şifreleme anahtarıyla şifreleyerek oluşturulan bir oturum anahtarıyla bir düz metin ikili eklemesi gerçekleştirilir. Ardından alınan veriler, Microsoft tarafından geliştirilen Elephant algoritmasını kullanan iki karıştırma işlevi tarafından işlenir. Bu anahtarsız işlevler, şifrenin tüm bitlerindeki değişiklik sayısını artırmak ve buna bağlı olarak şifrelenmiş sektör verilerinin belirsizliğini artırmak için kullanılır. Son adımda, veriler uygun şifreleme anahtarı kullanılarak CBC modunda AES algoritması ile şifrelenir. Başlatma vektörü, sektör ofset baytının CBC modunda kullanılan bir şifreleme anahtarıyla şifrelenmesiyle belirlenir.

BitUnlocker adlı tam otomatik bir demo saldırı gerçekleştirdik. Bu durumda, harici bir USB diski Linux işletim sistemi ve SYSLINUX ve FUSE sürücüsüne dayalı değiştirilmiş önyükleyici ile BitLocker şifreli sürücüleri Linux işletim sistemine monte etmeye izin verir. Windows Vista çalıştıran bir test bilgisayarında güç kapatılmış, USB sabit sürücü takılmış ve ondan önyüklenmiştir. Bundan sonra, BitUnlocker RAM'i otomatik olarak Harici Sürücü, anahtarnd programını kullanarak olası anahtarları aradım, tüm uygun seçenekleri denedim (sektör şifreleme anahtarı ve CBC modu anahtarı çiftleri) ve başarılı olursa şifreli bir disk bağladım. Disk bağlanır bağlanmaz, diğer disklerle olduğu gibi onunla çalışmak mümkün hale geldi. 2 gigabayt RAM'e sahip modern bir dizüstü bilgisayarda işlem yaklaşık 25 dakika sürdü.

Herhangi bir yazılımın tersine mühendislik gerektirmeden bu saldırıyı gerçekleştirmenin mümkün olması dikkat çekicidir. Microsoft belgeleri, sektör şifreleme anahtarının ve CBC modu anahtarının rolünü anlamak ve tüm süreci uygulayan özel bir program oluşturmak için BitLocker'ı yeterince açıklar.

BitLocker ile bu sınıftaki diğer programlar arasındaki temel fark, şifreli sürücünün bağlantısı kesildiğinde anahtarların saklanma şeklidir. Varsayılan olarak, temel modda BitLocker, ana anahtarı yalnızca birçok modern bilgisayarda bulunan TPM ile korur. Görünüşe göre yaygın olarak kullanılan bu yöntem, bilgisayar uzun süre kapalı olsa bile şifreleme anahtarlarını almamıza izin verdiği için özellikle saldırılarımıza karşı savunmasızdır, çünkü bilgisayar açıldığında, anahtarlar otomatik olarak yüklenir. Herhangi bir kimlik bilgisi girmeden RAM (oturum açma pencerelerinden önce).

Görünüşe göre Microsoft uzmanları bu soruna aşinadır ve bu nedenle BitLocker'ı, anahtarların yalnızca TPM kullanılarak değil, aynı zamanda harici bir USB sürücüsündeki bir parola veya anahtarla da korunduğu gelişmiş bir modda yapılandırmanızı önerir. Ancak, bu modda bile, bir saldırgan çalıştığı anda PC'ye fiziksel erişim kazanırsa sistem savunmasızdır (hatta kilitli veya hazırda bekleme modunda bile olabilir, (durumlar - bu durumda sadece kapalı veya hazırda bekletme modu kabul edilir) bu saldırıdan etkilenmez).

Dosya kasası

Apple'ın FileVault sistemi kısmen araştırılmış ve tersine mühendislik yapılmıştır. Mac OS X 10.4'te FileVault, CBC modunda 128 bit AES anahtarı kullanır. Kullanıcı şifresi girildiğinde, AES anahtarını ve başlatma vektörlerini hesaplamak için kullanılan ikinci anahtar K2'yi içeren başlığın şifresi çözülür. Diskin I. bloğu için başlatma vektörü HMAC-SHA1 K2 (I) olarak hesaplanır.

Bir Macintosh bilgisayardan veri almak için RAM görüntüleri elde etmek için EFI programımızı kullandık ( Intel işlemci) FileVault tarafından şifrelenmiş bağlı bir sürücü ile. Anahtarnd programı daha sonra otomatik olarak FileVault AES anahtarlarını hatasız buldu.

Başlatma vektörü olmadan, ancak elde edilen AES anahtarıyla, her disk bloğunun 4096 baytından 4080'inin şifresini çözmek mümkün hale gelir (ilk AES bloğu hariç her şey). Başlatma vektörünün de dökümde olduğundan emin olduk. Verilerin bozulacak zamanı olmadığını varsayarsak, saldırgan, dökümdeki tüm 160 bitlik satırları dönüşümlü olarak deneyerek ve şifresi çözülen ilk bölümle ikili olarak eklendiğinde olası bir düz metin oluşturup oluşturamayacaklarını kontrol ederek vektörü belirleyebilir. engellemek. Birlikte, vilefault, AES anahtarları ve bir başlatma vektörü gibi programları kullanmak, şifrelenmiş bir diskin şifresini tamamen çözmenize olanak tanır.

FileVault'u araştırırken, Mac OS X 10.4 ve 10.5'in bir kullanıcının parolasının birden çok kopyasını bellekte bu saldırıya karşı savunmasız oldukları yerde bıraktıklarını gördük. Hesap parolaları genellikle anahtarları korumak için kullanılır ve bu da FileVault ile şifrelenmiş sürücülerdeki parolaları korumak için kullanılabilir.

TrueCrypt

TrueCrypt, popüler bir şifreleme sistemidir. açık kaynak Windows, MacOS ve Linux üzerinde çalışıyor. AES, Serpent ve Twofish dahil olmak üzere birçok algoritmayı destekler. 4. versiyonda tüm algoritmalar LRW modunda çalıştı; mevcut 5. versiyonda XTS modunu kullanıyorlar. TrueCrypt, şifreleme anahtarını ve ince ayar anahtarını, kullanıcı tarafından girilen paroladan türetilen farklı bir anahtarla şifrelenen her diskteki bölüm başlığında saklar.

Linux çalıştıran TrueCrypt 4.3a ve 5.0a'yı test ettik. 256-bit AES anahtarıyla şifrelenmiş bir diski taktık, ardından gücü kapattık ve yüklemek için kendi bellek dökümü yazılımımızı kullandık. Her iki durumda da, keyfind 256 bit bozulmamış bir şifreleme anahtarı buldu. Ayrıca, TrueCrypt 5.0.a durumunda, keyfind, XTS modunun ince ayar anahtarını kurtarabildi.

TrueCrypt 4 tarafından oluşturulan disklerin şifresini çözmek için bir LRW ince ayar anahtarına ihtiyacınız vardır. Sistemin, AES anahtarının anahtar programından önce dört kelimede sakladığını bulduk. Bizim çöplüğümüzde, LRW anahtarı bozuk değildi. (Hata olması durumunda, anahtarı yine de kurtarabiliriz).

Dm-crypt

Sürüm 2.6'dan bu yana Linux çekirdeği, bir disk şifreleme alt sistemi olan dm-crypt için yerleşik destek içerir. Dm-crypt birçok algoritma ve mod kullanır, ancak varsayılan olarak anahtarsız başlatma vektörleriyle CBC modunda 128 bit AES şifresi kullanır.

Oluşturulan dm-crypt bölümünü, cryptsetup yardımcı programının LUKS (Linux Unified Key Setup) dalını ve 2.6.20 çekirdeğini kullanarak test ettik. Disk, CBC modunda AES ile şifrelendi. Gücü kısaca kapattık ve değiştirilmiş bir PXE önyükleyici kullanarak bir bellek dökümü yaptık. Keyfind, hatasız olarak kurtarılan geçerli bir 128 bit AES anahtarı buldu. Geri yükledikten sonra, bir saldırgan, cryptsetup yardımcı programını anahtarları gerekli biçimde kabul edecek şekilde değiştirerek şifreli dm-crypt bölümünün şifresini çözebilir ve bağlayabilir.

Koruma yöntemleri ve sınırlamaları

Kullanılan kriptografik anahtarların bir yerde saklanması gerektiğinden, RAM'e yönelik saldırılara karşı koruma uygulanması önemsiz değildir. Bir saldırganın PC'ye fiziksel olarak erişmeden önce anahtarları yok etmeye veya gizlemeye, RAM döküm yazılımının çalışmasını engellemeye, RAM yongalarını fiziksel olarak korumaya ve mümkünse verilerin RAM'deki depolama süresini en aza indirmeye odaklanmanızı öneririz.

hafızanın üzerine yaz

Her şeyden önce, mümkün olduğunca anahtarları RAM'de saklamaktan kaçınmalısınız. Artık kullanılmadığında önemli bilgilerin üzerine yazılması ve verilerin disk belleği dosyalarına kopyalanmasının önlenmesi gerekir. Bellek, işletim sistemi veya ek kitaplıklar aracılığıyla önceden temizlenmelidir. Doğal olarak, bu önlemler kullanılanları korumayacaktır. şu an Anahtarlar, örneğin şifrelenmiş diskler veya güvenli web sunucuları için kullanılanlar gibi bellekte saklanmaları gerektiğinden.

Ayrıca, önyükleme işlemi sırasında RAM temizlenmelidir. Bazı bilgisayarlar, Temizleme kullanılarak önyükleme sırasında RAM'i temizleyecek şekilde yapılandırılabilir. POST isteğiİşletim sistemini başlatmadan önce (Açılışta Kendi Kendine Test). Saldırgan bu isteğin yürütülmesini engelleyemezse, bu bilgisayarda önemli bilgileri içeren belleği boşaltamaz. Ancak yine de RAM yongalarını çıkarma ve bunları gerekli BIOS ayarlarıyla başka bir PC'ye yerleştirme fırsatı var.

Ağdan veya çıkarılabilir medyadan önyüklemeyi sınırlama

Saldırılarımızın çoğu, ağ üzerinden veya çıkarılabilir medyadan önyükleme kullanılarak gerçekleştirildi. Bilgisayar, bu kaynaklardan önyükleme yapmak için bir yönetici parolası gerektirecek şekilde yapılandırılmalıdır. Ancak, sistem yalnızca birincil sabit sürücüden önyükleme yapacak şekilde yapılandırılmış olsa bile, bir saldırganın sabit sürücünün kendisini değiştirebileceği veya çoğu durumda bilgisayarın NVRAM'ini başlangıç ​​BIOS ayarlarına dönecek şekilde sıfırlayabileceği unutulmamalıdır.

Güvenli uyku modu

Çalışmanın sonuçları, PC masaüstünü basitçe engellemenin (yani, işletim sistemi çalışmaya devam eder, ancak onunla etkileşime başlamak için bir şifre girmeniz gerekir) RAM içeriğini korumadığını gösterdi. Hazırda bekletme, bilgisayar hazırda bekletme modundan döndüğünde kilitlenirse de etkisizdir, çünkü bir saldırgan bir hazırda bekletme modunu etkinleştirebilir, ardından dizüstü bilgisayarı yeniden başlatabilir ve bir bellek dökümü alabilir. Hazırda bekletme modu (RAM içeriği sabit diske kopyalanır), normal çalışmayı geri yüklemek için yabancılaştırılmış medyadaki önemli bilgilerin kullanılması durumları dışında da yardımcı olmaz.

Çoğu sabit sürücü şifreleme sisteminde, kullanıcılar bilgisayarlarını kapatarak kendilerini koruyabilirler. (Bilgisayar açıldığında disk otomatik olarak bağlanacağından, TPM modülünün temel modundaki Bitlocker sistemi savunmasız kalır). Kapattıktan sonra belleğin içeriği kısa bir süre daha kalabilir, bu nedenle iş istasyonunuzu birkaç dakika daha gözlemlemeniz önerilir. Etkinliğine rağmen, bu önlem, iş istasyonlarının uzun süre yüklenmesi nedeniyle son derece elverişsizdir.

Hazırda bekletme moduna geçiş aşağıdaki yollarla güvenli hale getirilebilir: iş istasyonunu "uyandırmak" için bir parola veya başka bir sır gerektirebilir ve bu paroladan türetilen bir anahtarla belleğin içeriğini şifrelemek. Parola güçlü olmalıdır, çünkü bir saldırgan bir bellek dökümü yapabilir ve ardından parolayı kaba kuvvetle zorlamayı deneyebilir. Tüm belleğin şifrelenmesi mümkün değilse, yalnızca anahtar bilgileri içeren alanların şifrelenmesi gerekir. Bazı sistemler, bu tür korumalı uykuya girecek şekilde yapılandırılabilir, ancak bu genellikle varsayılan ayar değildir.

Ön hesaplamadan kaçınma

Araştırmamız, kriptografik işlemleri hızlandırmak için ön hesaplama kullanmanın önemli bilgileri daha savunmasız hale getirdiğini göstermiştir. Ön hesaplamalar, bellekteki anahtar veriler hakkında fazladan bilgi bulunmasına yol açar ve bu da bir saldırganın hata durumunda bile anahtarları kurtarmasına olanak tanır. Örneğin, Bölüm 5'te açıklandığı gibi, AES ve DES algoritmalarının yinelemeli anahtarları hakkındaki bilgiler, bir saldırgan için fazlasıyla gereksiz ve yararlıdır.

Potansiyel olarak karmaşık hesaplamaların tekrarlanması gerekeceğinden, ön hesaplamalardan kaçınmak performansı azaltacaktır. Ancak örneğin önceden hesaplanmış değerleri belirli bir süre için önbelleğe alabilir ve bu aralıkta kullanılmadıkları takdirde alınan verileri silebilirsiniz. Bu yaklaşım, güvenlik ve sistem performansı arasında bir dengeyi temsil eder.

Anahtar genişletme

Anahtar kurtarmayı önlemenin bir başka yolu, bellekte depolanan anahtar bilgilerini, çeşitli hatalar nedeniyle anahtar kurtarmayı zorlaştıracak şekilde değiştirmektir. Bu yöntem, tek yönlü işlevlerin çalışmasına çok benzeyen, neredeyse tüm çıkış verileri algılansa bile giriş verileri gizli kalan, ifşa edilmeye dirençli bir işlevin gösterildiği teoride ele alındı.

Pratikte, şu anda kullanımda olmayan ancak daha sonra ihtiyaç duyulacak olan 256 bitlik bir AES K anahtarımız olduğunu hayal edin. Üzerine yazamayız, ancak kurtarma girişimlerine karşı dirençli hale getirmek istiyoruz. Bunu başarmanın yollarından biri, büyük bir B-bit veri alanı tahsis etmek, onu rastgele veri R ile doldurmak ve ardından bir sonraki K + H (R) dönüşümünün sonucunu bellekte depolamaktır (ikili toplam, editörün notu), burada H, SHA-256 gibi bir karma işlevidir.

Şimdi elektriğin kesildiğini hayal edin, bu bu alandaki d bitlerinin değişmesine neden olacaktır. Karma işlevi güçlüyse, K anahtarını kurtarmaya çalışırken, saldırgan yalnızca, değişmiş olabilecek yaklaşık yarısından B alanının hangi bitlerinin değiştirildiğini tahmin edebileceği gerçeğine güvenebilir. Eğer d bitleri değiştirilmişse saldırganın (B/2+d)/d büyüklüğünde bir alan araması ve R’nin doğru değerlerini bulması ve ardından K anahtarını kurtarması gerekecektir. büyükse, d nispeten küçük olsa bile böyle bir arama çok uzun olabilir.

Teoride, bu şekilde tüm anahtarları saklayabiliriz, her anahtarı yalnızca ihtiyacımız olduğunda hesaplayabilir ve ihtiyacımız olmadığında silebiliriz. Böylece yukarıdaki yöntemi kullanarak anahtarları bellekte saklayabiliriz.

Fiziksel koruma

Saldırılarımızdan bazıları bellek yongalarına fiziksel erişime dayanıyordu. Bu tür saldırılar fiziksel bellek koruması ile önlenebilir. Örneğin, bellek modülleri kapalı bir PC kasasına yerleştirilmiştir veya bunları çıkarma veya bunlara erişme girişimlerini önlemek için epoksi yapıştırıcı ile kapatılmıştır. Ayrıca, bellek silme, düşük sıcaklıklara veya kasayı açma girişimlerine yanıt olarak uygulanabilir. Bu yöntem, bağımsız bir güç sistemine sahip sensörlerin kurulumunu gerektirecektir. Bu yöntemlerin çoğu, kurcalamaya karşı korumalı donanımları (IBM 4758 yardımcı işlemcisi gibi) içerir ve maliyetleri büyük ölçüde artırabilir. iş istasyonu... Öte yandan, lehimlenmiş bellek kullanımı anakart, çok daha az maliyetli olacaktır.

Değişen mimari

PC mimarisi değiştirilebilir. Bu, zaten kullanılmış bilgisayarlar için imkansızdır, ancak yenilerini güvence altına almanıza olanak tanır.

İlk yaklaşım, DRAM modüllerini tüm verileri daha hızlı silecek şekilde tasarlamaktır. Verileri olabildiğince çabuk silme hedefi başka bir hedefle çeliştiğinden, verilerin bellek yenileme periyotları arasında kaybolmaması için bu zor olabilir.

Başka bir yaklaşım, anahtar bilgileri depolamak için donanım eklemektir; bu, başlatma, yeniden başlatma ve kapatma sırasında tüm bilgileri depolarından silmeyi garanti eder. Böylece, birkaç anahtarı saklamak için güvenilir bir yer elde edeceğiz, ancak ön hesaplamalarıyla ilişkili güvenlik açığı devam edecek.

Diğer uzmanlar, belleğin içeriğinin kalıcı olarak şifreleneceği bir mimari önerdiler. Buna ek olarak, yeniden başlatma ve elektrik kesintisi üzerine anahtarların silinmesini uygularsak, bu yöntem tarafımızdan açıklanan saldırılara karşı yeterli koruma sağlayacaktır.

Güvenilir Bilgi İşlem

"Güvenilir bilgi işlem" kavramına uyan donanım, örneğin TPM modülleri biçiminde, bazı bilgisayarlarda zaten kullanılmaktadır. Bu tür donanımlar mevcut haliyle bazı saldırılara karşı savunmada faydalı olsa da, anlattığımız saldırıları önlemeye yardımcı olmuyor.

Kullanılan TPM'ler tam şifreleme uygulamaz. Bunun yerine, anahtarı RAM'e başlatmanın güvenli olup olmadığına karar vermek için önyükleme sürecini izlerler. Yazılımın bir anahtar kullanması gerekiyorsa, aşağıdaki teknoloji uygulanabilir: kullanılabilir bir biçimdeki anahtar, önyükleme işlemi beklenen senaryoyu izleyene kadar RAM'de depolanmayacaktır. Ancak anahtar RAM'e girer girmez saldırılarımızın hedefi oluyor. TPM'ler anahtarın belleğe yüklenmesini engelleyebilir, ancak bellekten okunmasını engellemez.

sonuçlar

Popüler inanışın aksine, DRAM modülleri devre dışı bırakıldığında verileri nispeten uzun süre saklar. Deneylerimiz, bu olgunun, işletim sisteminin içeriğini koruma girişimlerine rağmen, RAM'den şifreleme anahtarları gibi önemli verileri elde etmemize izin veren tüm bir saldırı sınıfını uygulamamıza izin verdiğini göstermiştir. Tanımladığımız saldırılar pratikte gerçekleştirilebilir ve popüler şifreleme sistemlerine yönelik saldırı örneklerimiz bunu kanıtlıyor.

Ancak diğer yazılım türleri de savunmasızdır. Dijital haklar yönetimi (DRM) sistemleri genellikle bellekte depolanan simetrik anahtarları kullanır ve açıklanan yöntemler kullanılarak da elde edilebilir. Gösterdiğimiz gibi, SSL etkin web sunucuları, özel anahtarları SSL oturumları oluşturmak için gereken bellekte sakladıkları için savunmasızdır. Anahtar bilgilere yönelik arama yöntemlerimiz, büyük olasılıkla parolaları, hesap numaralarını ve diğer tüm bilgileri bulmak için etkili olacaktır. önemli bilgi RAM'de saklanır.

Bulunan güvenlik açıklarını düzeltmenin kolay bir yolu yok gibi görünüyor. Yazılımın değiştirilmesi büyük olasılıkla etkili olmayacaktır; donanım değişiklikleri yardımcı olacaktır, ancak zaman ve kaynak maliyetleri yüksek olacaktır; Mevcut haliyle "güvenilir bilgi işlem" teknolojisi, bellekteki anahtarları koruyamadığından etkisizdir.

Bize göre, genellikle halka açık yerlerde bulunan ve bu saldırılara açık modlarda çalışan dizüstü bilgisayarlar bu risk için en fazla risk altındadır. Bu tür risklerin varlığı, disk şifrelemenin önemli verileri genel olarak inanıldığından daha az koruduğunu gösterir.

Sonuç olarak, DRAM belleğine modern bir bilgisayarın güvenilmeyen bir bileşeni olarak bakmanız ve önemli işlemlerden kaçınmanız gerekebilir. kesin bilgi içinde. Ancak bu, modern bilgisayarların mimarisi, yazılımın anahtarları güvenli bir yerde saklamasına izin verecek şekilde değişene kadar şu anda pratik değildir.

Sabit sürücünüzdeki verileri şifrelemek için birçok neden vardır, ancak veri güvenliği için ödenmesi gereken bedel sisteminizi yavaşlatmaktır. Bu makalenin amacı, farklı yollarla şifrelenmiş bir diskle çalışırken performansı karşılaştırmaktır.

Farkı daha dramatik hale getirmek için ultra modern değil, ortalama bir araba seçtik. Her zamanki mekanik sabit 500 GB, 2.2 GHz'de çift çekirdekli AMD, 4 gigabayt RAM, 64-bit Windows 7 SP 1. Test sırasında hiçbir antivirüs ve diğer program başlatılmayacak, böylece hiçbir şey sonuçları etkileyemez.

Performans değerlendirmesi için CrystalDiskMark'ı seçtim. Test edilen şifreleme araçlarına gelince, bu listeye karar verdim: BitLocker, TrueCrypt, VeraCrypt, CipherShed, Symantec Endpoint Encryption ve CyberSafe Top Secret.

BitLocker

Bu yerleşik bir standart disk şifrelemesidir. Microsoft Windows... Birçok kişi yüklemeden sadece kullanır üçüncü taraf programları... Gerçekten de, her şey zaten sistemdeyse neden? Bir yandan, doğru. Öte yandan, kod kapatılmıştır ve içinde FBI ve diğer ilgili taraflar için arka kapılar bırakılmadığına dair bir kesinlik yoktur.

Disk şifreleme, anahtar uzunluğu 128 veya 256 bit olan AES algoritması kullanılarak gerçekleştirilir. Bu durumda anahtar, Güvenilir Platform Modülünde, bilgisayarın kendisinde veya bir USB flash sürücüde saklanabilir.

TPM kullanılıyorsa, bilgisayar başlatıldığında, anahtar ondan hemen veya kimlik doğrulamadan sonra alınabilir. USB flash sürücüdeki bir anahtarı kullanarak veya klavyeden bir PIN kodu girerek oturum açabilirsiniz. Bu yöntemlerin kombinasyonları, erişimi kısıtlamak için birçok seçenek sunar: yalnızca TPM, TPM ve USB, TPM ve PIN veya aynı anda üçü.

BitLocker'ın iki belirgin avantajı vardır: Birincisi, Grup İlkesi aracılığıyla yönetilebilir; ikincisi, fiziksel diskleri değil, birimleri şifreler. Bu, diğer bazı şifreleme araçlarının yapamayacağı bir dizi birden çok diskin şifrelenmesine izin verir. BitLocker ayrıca, VeraCrypt'in en gelişmiş çatalının bile "Trucript" ile övünemeyeceği GUID Bölüm Tablosunu (GPT) destekler. Bir sistem GPT diskini onunla şifrelemek için önce onu MBR formatına dönüştürmeniz gerekir. BitLocker durumunda bu gerekli değildir.

Genel olarak, tek dezavantajı vardır - kapalı kaynak. Ailenizden sır saklıyorsanız, BitLocker harikadır. Diskiniz ulusal öneme sahip belgelerle doluysa, başka bir şey aramak daha iyidir.

BitLocker ve TrueCrypt şifresini çözebilir mi

Google'a sorarsanız, BitLocker, TrueCrypt ve PGP sürücülerinin şifresini çözmek için uygun olan ilginç bir Elcomsoft Forensic Disk Decryptor programı bulacaksınız. Bu makalenin bir parçası olarak, test etmeyeceğim, ancak Elcomsoft'un başka bir yardımcı programı olan Advanced EFS Data Recovery ile ilgili izlenimlerimi paylaşacağım. Kullanıcı parolası belirlenmemiş olması koşuluyla, EFS klasörlerinin şifresini çözmede mükemmeldi. Şifreyi en az 1234 olarak ayarlarsanız, programın güçsüz olduğu ortaya çıktı. Her durumda, şifre 111 ile kullanıcıya ait şifreli EFS klasörünün şifresini çözemedim. Forensic Disk Decryptor ile durumun aynı olacağını düşünüyorum.

TrueCrypt

2012'de durdurulan efsanevi bir disk şifreleme programıdır. TrueCrypt'in başına gelen hikaye hala karanlıkta ve kimse geliştiricinin neden beyin çocuğuna desteği bırakmaya karar verdiğini gerçekten bilmiyor.

Bulmacayı bir araya getirmenize izin vermeyen yalnızca bilgi parçacıkları vardır. Böylece, 2013 yılında bağış toplama, TrueCrypt'in bağımsız bir denetimini yapmaya başladı. Bunun nedeni, Edward Snowden'den TrueCrypt şifreleme araçlarının kasıtlı olarak zayıflatılması hakkında alınan bilgilerdi. Denetim için 60 bin doların üzerinde para toplandı. Nisan 2015'in başında çalışma tamamlandı, ancak uygulama mimarisinde ciddi hatalar, güvenlik açıkları veya diğer önemli kusurlar tespit edilmedi.

Denetim sona erdiğinde TrueCrypt yeniden bir skandalın merkezindeydi. ESET uzmanları, truecrypt.ru adresinden indirilen TrueCrypt 7.1a'nın Rusça sürümünün kötü amaçlı yazılım içerdiğine dair bir rapor yayınladı. Ayrıca, truecrypt.ru sitesinin kendisi bir komut merkezi olarak kullanıldı - komutlar ondan virüslü bilgisayarlara gönderildi. Genel olarak dikkatli olun ve herhangi bir yerden program indirmeyin.

TrueCrypt'in avantajları arasında, güvenilirliği artık bağımsız bir denetim tarafından desteklenen açık kaynak ve dinamik Windows birimleri... Dezavantajlar: Program artık geliştirilmiyor ve geliştiricilerin UEFI / GPT desteği uygulamak için zamanları yoktu. Ancak amaç, sistem dışı bir sürücüyü şifrelemekse, bunun bir önemi yok.

Yalnızca AES'yi destekleyen BitLocker'dan farklı olarak TrueCrypt, Serpent ve Twofish'i de içerir. Şifreleme anahtarları, salt ve başlık anahtarı oluşturmak için program, üç karma işlevinden birini seçmenize olanak tanır: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512. Ancak, TrueCrypt hakkında zaten çok şey yazıldı, bu yüzden kendimizi tekrarlamayalım.

VeraCrypt

En gelişmiş TrueCrypt klonu. Trucripta formatında şifreli ve sanal diskleri destekleyen TrueCrypt modunda çalışma yeteneğine sahip olmasına rağmen kendi formatına sahiptir. CipherShed'den farklı olarak VeraCrypt, TrueCrypt ile aynı anda aynı bilgisayara kurulabilir.

BİLGİ

TrueCrypt, sistem bölümünü şifrelemek için bir anahtar oluşturmak için 1000 yineleme kullanırken VeraCrypt 327 661 yineleme kullanır. Standart (sistem dışı) bölümler için VeraCrypt, RIPEMD-160 karma işlevi için 655.331 yineleme ve SHA-2 ve Whirlpool için 500.000 yineleme kullanır. Bu, şifrelenmiş bölümleri kaba kuvvet saldırılarına karşı çok daha dirençli hale getirir, ancak aynı zamanda böyle bir bölümle çalışma performansını önemli ölçüde azaltır. Ne kadar, yakında öğreneceğiz.

VeraCrypt'in avantajları arasında açık kaynak, TrueCrypt'e kıyasla tescilli ve daha güvenli sanal ve şifreli disk formatı yer alır. Dezavantajlar, progenitör durumundaki ile aynıdır - UEFI / GPT desteğinin olmaması. Sistem GPT diskini şifrelemek hala imkansız, ancak geliştiriciler bu sorun üzerinde çalıştıklarını ve yakında bu şifrelemenin kullanıma sunulacağını garanti ediyorlar. Ancak bunun üzerinde iki yıldır (2014'ten beri) çalışıyorlar ve GPT destekli bir sürümün ne zaman olacağı ve olup olmayacağı henüz bilinmiyor.

Şifreleme

Başka bir TrueCrypt klonu. VeraCrypt'in aksine, yerel TrueCrypt biçimini kullanır, bu nedenle performansının TrueCrypt'inkine yakın olmasını bekleyebilirsiniz.

Avantajlar ve dezavantajlar aynıdır, ancak TrueCrypt ve CipherShed'in aynı bilgisayara yüklenememesi dezavantajları eklenebilir. Ayrıca, CipherShed'i TrueCrypt'in kurulu olduğu bir makineye yüklemeye çalışırsanız, yükleyici önceki programın kaldırılmasını önerir, ancak başarısız olur.

Symantec Uç Nokta Şifrelemesi

2010 yılında Symantec, PGPdisk programının haklarını satın aldı. Sonuç, PGP Desktop ve ardından Endpoint Encryption gibi ürünler oldu. Bu, dikkate alacağımız şeydir. Program elbette tescilli, kaynaklar kapalı ve bir lisans 64 avroya mal oluyor. Ancak GPT desteği var, ancak yalnızca Windows 8 ile başlıyor.

Başka bir deyişle, GPT desteğine ihtiyacınız varsa ve sistem bölümünü şifrelemek istiyorsanız, iki tescilli çözüm arasında seçim yapmanız gerekecektir: BitLocker ve Endpoint Encryption. Elbette, bir ev kullanıcısının Endpoint Encryption'ı kurması pek olası değildir. Sorun şu ki, yüklemek için bir Symantec Endpoint Encryption (SEE) yönetim sunucusu ve aracısı gerektiren Symantec Drive Encryption'ı gerektiriyor ve sunucu ayrıca IIS 6.0'ı da yüklemek istiyor. Bir disk şifreleme programı için fazla iyi değil mi? Bütün bunları sadece performansı ölçmek için yaptık.

gerçeğin anı

Öyleyse, en ilginç şeye, yani teste geçelim. İlk adım, şifrelenmemiş diskin performansını kontrol etmektir. "Kurbanımız" olacak bölüm zor disk (normal, SSD değil) NTFS olarak biçimlendirilmiş 28 GB.

CrystalDiskMark'ı açın, geçiş sayısını, geçici dosyanın boyutunu (tüm testlerde 1 GByte kullanacağız) ve diskin kendisini seçin. Geçiş sayısının pratikte sonuçlar üzerinde hiçbir etkisi olmadığına dikkat edilmelidir. İlk ekran görüntüsü, şifreleme olmadan bir diskin performansını 5 geçiş sayısıyla, ikincisi - geçiş sayısı 3 ile ölçmenin sonuçlarını gösterir. Gördüğünüz gibi, sonuçlar neredeyse aynı, bu yüzden üçe odaklanacağız. geçer.

CrystalDiskMark sonuçları aşağıdaki gibi yorumlanmalıdır:

• Seq Q32T1 - sıralı yazma / sıralı okuma testi, sıra sayısı - 32, iş parçacığı - 1;
• 4K Q32T1 - rastgele yazma / rastgele okuma testi (blok boyutu 4 KB, kuyruk sayısı - 32, iş parçacığı - 1);
• Sıra - sıralı yazma / sıralı okuma testi;
• 4K - rastgele yazma / rastgele okuma testi (blok boyutu 4 KB);

BitLocker ile başlayalım. 28 GB'lık bölümü şifrelemek 19 dakika sürdü.

Devam sadece katılımcılara açıktır

Seçenek 1. Sitedeki tüm materyalleri okumak için "site" topluluğuna katılın

Belirtilen süre içinde topluluğa üyelik, TÜM Hacker malzemelerine erişmenizi sağlayacak, kişisel kümülatif indiriminizi artıracak ve profesyonel bir Xakep Skoru kazanmanıza izin verecektir!

CyberSafe, tek tek dosyalardan daha fazlasını şifreleyebilir. Program, bir sabit sürücünün tüm bir bölümünü veya bir harici sürücünün tamamını (örneğin, bir USB sürücü veya flash sürücü) şifrelemenize olanak tanır. Bu makale, şifrelenmiş bir sabit disk bölümünü meraklı gözlerden nasıl şifreleyeceğinizi ve gizleyeceğinizi gösterecektir.

Casuslar, paranoyak ve sıradan kullanıcılar

• Yaklaşık 200 GB paylaşılan bölüm. Bu bölüm aynı zamanda sistem bölümü olacaktır. İşletim sistemi, program üzerine kurulacak ve üç kullanıcının da ortak dosyaları saklanacak.
• Üç ~ 100 GB bölüm - Her kullanıcının kişisel dosyalarını depolamak için 100 GB'nin yeterli olduğunu düşünüyorum. Bu bölümlerin her biri şifrelenecek ve sadece bu bölümü şifreleyen kullanıcı şifrelenmiş bölüme erişmek için şifreyi bilecektir. Bu durumda yönetici, tüm iradesiyle başka bir kullanıcının bölümünün şifresini çözemez ve dosyalarına erişim sağlayamaz. Evet, istenirse yönetici bölümü biçimlendirebilir ve hatta silebilir, ancak yalnızca kullanıcıyı kandırarak parolasını girerse erişim elde edebilir. Ancak bunun olacağını sanmıyorum, bu nedenle bir bölümü şifrelemek, NTFS kullanarak erişim haklarını ayırt etmekten çok daha etkili bir önlemdir.

Bölüm şifrelemesi ve sanal şifreli diskler

Desteklenen disk türleri

• Dosya olarak biçimlendirilmiş sabit disk bölümleri FAT sistemleri, FAT32 ve NTFS.
• Flash sürücüler, harici USB sürücüler, cep telefonlarını, dijital kameraları ve müzik çalarları temsil eden sürücüler hariç.

• CD / DVD-RW diskleri, disketler
• dinamik diskler
• Sistem sürücüsü (Windows'un önyüklendiği)

Şifreli bir diskle çalışmanın özellikleri

Şifrelemeye hazırlanma

• Örneğin verilerinizi harici bir sabit sürücüye yedekleyin. O zaman bu kopyadan kurtulmanız gerekecek (tercihen şifrelenmemiş bir diskteki verileri sildikten sonra, boş alanı Piriform gibi bir yardımcı programla silin, böylece silinen dosyaları kurtarmak imkansız olur), çünkü varsa, hiçbir anlamı yoktur. verilerin şifrelenmiş bir kopyasına sahip olmak için.
• Disk şifrelendikten sonra verileri kopyadan şifreli diske aktarın. Sürücüyü biçimlendirin ve şifreleyin. Aslında, ayrı olarak biçimlendirmenize gerek yok - CyberSafe bunu sizin için yapacak, ancak daha fazlasını daha sonra yapacak.

Dizüstü bilgisayarınız varsa ve bir veri yedeği oluşturmadan devam etmeye hazırsanız (her ihtimale karşı bunu yapmanızı tavsiye ederim), diskte en azından standart bir hata olup olmadığını kontrol ettiğinizden emin olun. Windows yardımcı programı... Ancak bundan sonra bölümü / diski şifrelemeye başlamanız gerekir.

Şifreleme Bölümü: Alıştırma

Pirinç. 1. Bilgisayarınızdaki bölümlerin / disklerin listesi

Şifrelemek istediğiniz bölümü seçin. eğer düğme Oluşturmak inaktif olur, o zaman bu bölüm şifrelenemez. Örneğin, bir sistem bölümü veya dinamik disk olabilir. Ayrıca, aynı anda birden fazla sürücüyü şifreleyemezsiniz. Birkaç diski şifrelemeniz gerekiyorsa, şifreleme işlemi tek tek tekrarlanmalıdır.
Düğmeye bas Oluşturmak... Ardından, bir pencere açılacaktır Kripo Diski(incir. 2). İçinde, takıldığında diskin şifresini çözmek için kullanılacak bir parola girmeniz gerekir. Parolayı girerken, karakterlerin büyük/küçük harf durumunu kontrol edin (böylece Caps Lock) ve düzen. Arkanızda kimse yoksa anahtarı açabilirsiniz. Şifreyi göster.

Pirinç. 2. Kripto Diski

Listeden Şifreleme tipi bir algoritma seçmeniz gerekiyor - AES veya GOST. Her iki algoritma da sağlamdır, ancak devlet kurumları sadece GOST kullanmak gelenekseldir. Kendi bilgisayarınızda veya ticari bir kuruluşta, algoritmalardan herhangi birini kullanmakta özgürsünüz.
Diskte bilgi varsa ve bunu kaydetmek istiyorsanız anahtarı açın. Bu durumda disk şifreleme süresinin önemli ölçüde artacağına dikkat edilmelidir. Öte yandan, şifrelenmiş dosyalar örneğin harici bir sabit sürücüdeyse, onları şifrelemek için yine de şifreli sürücüye kopyalamanız gerekir ve anında şifreli kopyalama da biraz zaman alacaktır. Verilerinizi yedeklemediyseniz, anahtarı etkinleştirmek için yanındaki kutuyu işaretlediğinizden emin olun. Dosya yapısını ve verilerini kaydedin aksi takdirde tüm verilerinizi kaybedersiniz.
Penceredeki diğer parametreler kripto diski varsayılan olarak bırakılabilir. Yani, mevcut aygıt boyutunun tamamı kullanılacak ve NTFS dosya sistemine hızlı biçimlendirme gerçekleştirilecektir. Şifrelemeyi başlatmak için düğmeye basın. Kabul etmek... Şifreleme işleminin ilerlemesi ana program penceresinde görüntülenecektir.

Pirinç. 3. Şifreleme sürecinin ilerlemesi

Disk şifrelendikten sonra durumunu göreceksiniz - şifreli, gizli(şekil 4). Bu, diskinizin şifrelenmiş ve gizlenmiş olduğu anlamına gelir - Explorer'da ve diğer yüksek düzeyde görünmeyecektir. dosya yöneticileri, ancak bölüm tablosuyla çalışmak için programlar tarafından görülecektir. Disk gizlendiği için kimsenin onu bulamayacağını ummaya gerek yok. Her şey program tarafından gizlenmiş diskler ekte görüntülenecek Disk Yönetimi(bkz. Şekil 5) ve disk bölümleme için diğer programlar. Lütfen bu ek bileşende, şifrelenmiş bölümün RAW dosya sistemine sahip bir bölüm olarak görüntülendiğini, yani hiçbir dosya sisteminin olmadığını unutmayın. Bu normaldir - bir bölümü şifreledikten sonra Windows türünü belirleyemez. Ancak, bir bölümü gizlemek tamamen farklı nedenlerle gereklidir ve o zaman nedenini anlayacaksınız.

Pirinç. 4. Disk durumu: şifreli, gizli. Bölüm E: Explorer'da görünmez

Pirinç. 5. Ek Bileşen Disk Yönetimi

Şimdi bölümü monte edelim. Vurgulayın ve düğmeye basın Onarmak bölümü tekrar görünür kılmak için (disk durumu sadece " olarak değiştirilecektir) şifreli"). Windows bu bölümü görecek, ancak dosya sisteminin türünü tanıyamadığı için onu biçimlendirmeyi önerecek (Şekil 6). Bu, tüm verileri kaybedeceğiniz için hiçbir koşulda yapılmamalıdır. programın şifrelenmiş diskleri gizlemesinin nedeni budur - sonuçta, bilgisayarda çalışan tek kişi siz değilseniz, başka bir kullanıcı diskin sözde okunamayan bölümünü biçimlendirebilir.

Pirinç. 6. Şifreli bölümü biçimlendirme önerisi

Elbette biçimlendirmeyi reddediyoruz ve düğmeye basıyoruz Montirov... CyberSafe programının ana penceresinde. Ardından, şifreli bölüme erişeceğiniz bir sürücü harfi seçmeniz gerekecektir (Şekil 7).

Pirinç. 7. Bir sürücü harfi seçme

Bundan sonra program sizden verilerinizin şifresini çözmek için gereken şifreyi girmenizi isteyecektir (Şekil 8). Şifresi çözülen bölüm (disk) alanda görünecektir. Bağlı şifresi çözülmüş cihazlar(şek. 9).

Pirinç. 8. Bölümün şifresini çözmek için şifre

Pirinç. 9. Bağlı şifresi çözülmüş cihazlar

Bundan sonra, şifresi çözülen diskle normal bir diskle çalışabilirsiniz. Explorer'da yalnızca Z: sürücüsü görüntülenecek - bu, şifresi çözülen sürücüye atadığım harf. Şifreli sürücü E: görüntülenmez.

Pirinç. 10. Explorer - bilgisayar disklerini görüntüleme

Artık takılı diski açabilir ve tüm gizli dosyaları ona kopyalayabilirsiniz (bunları orijinal kaynaktan silmeyi ve daha sonra üzerindeki boş alanın üzerine yazmayı unutmayın).
Bölümümüzle çalışmayı tamamlamanız gerektiğinde, ya düğmesine tıklayın Sök. ve sonra düğme Saklamak veya CyberSafe penceresini kapatın. Bana gelince, program penceresini kapatmak daha kolay. Dosya kopyalama/taşıma işlemi sırasında program penceresini kapatmanıza gerek olmadığı açıktır. Korkunç veya onarılamaz bir şey olmayacak, sadece bazı dosyalar şifrelenmiş diskinize kopyalanmayacak.

performans hakkında

Pirinç. 11. Küçük dosyaları şifrelenmemiş bir bölümden şifrelenmiş bir bölüme kopyalama hızı

Pirinç. 12. Şifrelenmemiş iki bölüm arasında küçük dosyaları kopyalama hızı

Büyük dosyalara gelince, herhangi bir fark hissetmeyeceksiniz. İncirde. 13, büyük bir dosyayı (400 MB video dosyası) bir şifrelenmemiş bölümden diğerine kopyalama hızını gösterir. Gördüğünüz gibi, hız 11.6 MB / s idi. Ve Şek. 14, aynı dosyayı normal bir bölümden şifreli bir bölüme kopyalama hızını gösterir ve 11.1 MB / s idi. Fark küçüktür ve hata payı dahilindedir (hepsi aynı, kopyalama işlemi sırasında hız biraz değişir). İlginiz için, aynı dosyayı bir flash sürücüden (USB 3.0 değil) bir sabit sürücüye kopyalama hızını size bildireceğim - yaklaşık 8 MB / s (ekran görüntüsü yok, ama bana güven).

Pirinç. 13. Büyük dosya kopyalama hızı

Pirinç. 14. Büyük bir dosyayı şifreli bir bölüme kopyalama hızı

Böyle bir test tamamen doğru değildir, ancak yine de performans hakkında bir fikir verir.
Bu kadar. ayrıca makaleyi okumanızı tavsiye ederim

Windows'ta "BitLocker" aratıp "BitLocker'ı Yönet"i seçerek şifreleme aracını çalıştırın. Bir sonraki pencerede, sabit sürücü sembolünün yanındaki "BitLocker'ı Etkinleştir" seçeneğine tıklayarak şifrelemeyi etkinleştirebilirsiniz (bir hata mesajı görüntülenirse, "BitLocker'ı TPM'siz Kullanma" bölümünü okuyun).

Artık, şifreli sürücünün kilidini açarken bir USB flash sürücü mü yoksa bir parola mı kullanmak istediğinizi seçebilirsiniz. Seçilen seçeneğe bakılmaksızın, kurulum işlemi sırasında kurtarma anahtarını kaydetmeniz veya yazdırmanız gerekecektir. Parolanızı unutursanız veya USB flash sürücünüzü kaybederseniz buna ihtiyacınız olacak.

BitLocker'ı TPM olmadan kullanma

Bilgisayarınızda Güvenilir Platform Modülü (TPM) yongası yoksa BitLocker'ı etkinleştirmek için bazı ayarlamalar yapmanız gerekebilir. Windows arama çubuğuna "Grup İlkesini Değiştir" yazın ve "Yerel Grup İlkesi Düzenleyicisi" bölümünü açın. Şimdi "Bilgisayar Yapılandırması | Yönetim Şablonları | Windows bileşenleri| BitLocker Sürücü Şifrelemesi | İşletim sistemi sürücüleri ”ve sağ sütunda“ Başlangıçta ek kimlik doğrulama gerekli ”girişini kontrol edin.

Ardından, orta sütunda "Politika ayarını değiştir" bağlantısını tıklayın. "Etkinleştir"in yanındaki kutuyu işaretleyin ve aşağıdaki "Uyumlu bir TPM olmadan BitLocker'a izin ver"in yanındaki kutuyu işaretleyin. Uygula ve Tamam'a tıkladıktan sonra BitLocker'ı yukarıda açıklandığı gibi kullanabilirsiniz.

VeraCrypt şeklinde alternatif

Sistem bölümünü şifrelemek için veya hepsi zor VeraCrypt adlı TrueCrypt'in halefini kullanarak disk, VeraCrypt ana menüsünden Birim Oluştur'u seçin ve ardından sistem bölümünü veya tüm sistem sürücüsünü şifreleyin. ile birlikte tüm sabit sürücüyü şifrelemek için Windows bölümü, "Tüm sürücüyü şifrele"yi seçin, ardından adım adım talimatlar ayarda. Dikkat: VeraCrypt bir disk oluşturur felaket kurtarmaşifrenizi unutmanız durumunda. Yani boş bir CD'ye ihtiyacınız var.

Diskinizi şifreledikten sonra, önyükleme sırasında şifreden sonra PIM (Kişisel Yineleme Çarpanı) belirtmeniz gerekecektir. Kurulum sırasında PIM'i yüklemediyseniz, Enter'a basmanız yeterlidir.