Koko kiintolevyn salaaminen VeraCryptillä. Salaa järjestelmäasemasi BitLockerilla
Avoin lähdekoodi on ollut suosittu 10 vuoden ajan, koska se on riippumaton suurista toimittajista. Ohjelman tekijät ovat julkisesti tuntemattomia. Ohjelman tunnetuimpia käyttäjiä ovat Edward Snowden ja turvallisuusasiantuntija Bruce Schneier. Apuohjelman avulla voit muuttaa flash-aseman tai kiintolevyn turvalliseksi salatuksi tallennustilaksi, jossa luottamukselliset tiedot ovat piilossa uteliailta katseilta.
Apuohjelman salaperäiset kehittäjät ilmoittivat projektin sulkemisesta keskiviikkona 28. toukokuuta selittäen, että TrueCryptin käyttö ei ole turvallista. "VAROITUS: TrueCryptin käyttö ei ole turvallista, koska... ohjelma saattaa sisältää ratkaisemattomia haavoittuvuuksia” - tämä viesti näkyy SourceForge-portaalin tuotesivulla. Tätä seuraa toinen viesti: "Sinun on siirrettävä kaikki TrueCryptillä salatut tiedot salatuille levyille tai virtuaalilevykuville, joita alustasi tukee."
Riippumaton tietoturvaasiantuntija Graham Cluley kommentoi vallitsevaa tilannetta varsin loogisesti: "On aika löytää vaihtoehtoinen ratkaisu tiedostojen ja kiintolevyjen salaamiseen."
Olen tosissani!
Aluksi ehdotettiin, että ohjelman verkkosivusto olisi hakkeroitu kyberrikollisten toimesta, mutta nyt on käymässä selväksi, ettei kyseessä ole huijaus. SourceForge tarjoaa nyt päivitetyn version TrueCryptistä (jonka kehittäjät ovat allekirjoittaneet digitaalisesti), joka kehottaa sinua päivittämään BitLockeriin tai muuhun vaihtoehtoiseen työkaluun asennuksen aikana.
John Hopkinsin yliopiston kryptografian professori Matthew Green sanoi: "On erittäin epätodennäköistä, että tuntematon hakkeri tunnisti TrueCryptin kehittäjät, varasti heidän digitaalisen allekirjoituksensa ja hakkeroi heidän verkkosivustonsa."
Mitä nyt käyttää?
Sivusto ja itse ohjelman ponnahdusikkuna sisältävät ohjeet TrueCrypt-salattujen tiedostojen siirtämiseen Microsoftin BitLocker-palveluun, joka tulee Microsoft Vista Ultimate/Enterprisen, Windows 7 Ultimate/Enterprisen ja Windows 8 Pro/Enterprisen mukana. TrueCrypt 7.2 mahdollistaa tiedostojen salauksen purkamisen, mutta se ei salli uusien salattujen osioiden luomista.
Ilmeisin vaihtoehto ohjelmalle on BitLocker, mutta muitakin vaihtoehtoja on. Schneier kertoi, että hän palaa käyttämään Symantecin PGPDiskiä. (110 dollaria per käyttäjälisenssi) käyttää tunnettua ja todistettua PGP-salausmenetelmää.
Windowsille on olemassa muita ilmaisia vaihtoehtoja, kuten DiskCryptor. Tietoturvatutkija, joka tunnetaan nimellä The Grugq, kirjoitti koko viime vuoden, joka on edelleen ajankohtainen.
Johannes Ulrich, SANS Institute of Technologyn tieteellinen johtaja, suosittelee, että Mac OS X:n käyttäjät kiinnittävät huomiota FileVault 2:een, joka on sisäänrakennettu OS X 10.7 (Lion) -käyttöjärjestelmään ja tämän perheen uudempiin käyttöjärjestelmiin. FileVault käyttää 128-bittistä XTS-AES-salausta, jota käyttää Yhdysvaltain kansallinen turvallisuusvirasto (NSA). Ulrichin mukaan Linux-käyttäjien tulisi pitää kiinni sisäänrakennetusta Linux Unified Key Setup (LUKS) -järjestelmätyökalusta. Jos käytät Ubuntua, tämän käyttöjärjestelmän asennusohjelma sallii sinun ottaa täyden levyn salauksen käyttöön alusta alkaen.
Käyttäjät tarvitsevat kuitenkin muita sovelluksia kannettavien tietovälineiden salaamiseen, joita käytetään eri käyttöjärjestelmiä käyttävissä tietokoneissa. Ulrich sanoi, että tässä tapauksessa mieleen tulee .
Saksalainen Steganos tarjoaa käyttää vanhaa versiota salausapuohjelmastaan Steganos Safe (nykyinen versio on 15, mutta ehdotetaan käytettäväksi versiota 14), jota jaetaan ilmaiseksi.
Tuntemattomia haavoittuvuuksia
Se, että TrueCryptissä saattaa olla tietoturva-aukkoja, on vakava huolenaihe, varsinkin kun ohjelman tarkastus ei paljastanut tällaisia ongelmia. Ohjelman käyttäjät ovat keränneet 70 000 dollaria tarkastukseen sen jälkeen, kun huhuttiin, että Yhdysvaltain kansallinen turvallisuusvirasto voisi purkaa merkittäviä määriä salattua dataa. Tutkimuksen ensimmäinen vaihe, jossa analysoitiin TrueCrypt-lataajaa, tehtiin viime kuussa. Tarkastus ei paljastanut takaovia tai tahallisia haavoittuvuuksia. Tutkimuksen seuraava vaihe, jossa testattaisiin käytettyjä kryptografiamenetelmiä, suunniteltiin tälle kesälle.
Green oli yksi tarkastukseen osallistuneista asiantuntijoista. Hän sanoi, ettei hänellä ollut alustavaa tietoa siitä, että kehittäjät aikoivat lopettaa projektin. Green sanoi: "Kuulin viimeksi TrueCryptin kehittäjiltä: "Odotamme innolla vaiheen 2 kokeilun tuloksia. Kiitos vaivannäöstäsi!" On huomattava, että auditointi jatkuu suunnitellusti TrueCrypt-projektin sulkemisesta huolimatta.
Ehkä ohjelman luojat päättivät keskeyttää kehityksen, koska apuohjelma on vanhentunut. Kehitys pysähtyi 5.5.2014, ts. Windows XP:n tuen virallisen päättymisen jälkeen. SoundForge mainitsee: "Windows 8/7/Vista ja uudemmissa järjestelmissä on sisäänrakennetut työkalut levyjen ja virtuaalisten levykuvien salaamiseen." Näin ollen tietojen salaus on sisäänrakennettu moniin käyttöjärjestelmiin, ja kehittäjät ovat saattaneet huomata, että ohjelmaa ei enää tarvita.
Öljyn lisäämiseksi tuleen 19. toukokuuta TrueCrypt poistettiin Tailsin suojatusta järjestelmästä (Snowdenin suosikkijärjestelmä). Syy ei ole täysin selvä, mutta ohjelmaa ei selvästikään pitäisi käyttää, Cluley huomautti.
Cluley kirjoitti myös: "Onpa kyseessä huijaus, hakkerointi tai TrueCryptin elinkaaren looginen loppu, on selvää, että tunnolliset käyttäjät eivät tunne olonsa mukavaksi luottaakseen ohjelman tietoihin tämän fiaskon jälkeen."
Löysitkö kirjoitusvirheen? Paina Ctrl + Enter
Princetonin yliopiston tutkijat ovat löytäneet tavan ohittaa kiintolevyn salaus hyödyntämällä RAM-moduulien kykyä säilyttää tietoja lyhyen ajan jopa sähkökatkon jälkeen.
Esipuhe
Koska sinulla on oltava avain käyttääksesi salattua kiintolevyä, ja se on tietysti tallennettu RAM-muistiin, tarvitset vain fyysisen pääsyn tietokoneeseen muutaman minuutin ajaksi. Uudelleenkäynnistyksen jälkeen ulkoiselta kiintolevyltä tai USB-muistitikulta tehdään täydellinen muistivedos ja pääsyavain poistetaan siitä muutamassa minuutissa.
Tällä tavalla on mahdollista saada salausavaimia (ja täysi pääsy kiintolevylle), joita käyttävät BitLocker-, FileVault- ja dm-crypt-ohjelmat Windows Vista-, Mac OS X- ja Linux-käyttöjärjestelmissä sekä suosittu ilmainen kiintolevy. salausjärjestelmä TrueCrypt.
Tämän työn tärkeys piilee siinä, ettei ole olemassa yhtä yksinkertaista suojausmenetelmää tätä hakkerointimenetelmää vastaan, paitsi virran katkaiseminen ajaksi, joka riittää tietojen poistamiseen kokonaan.
Prosessin visuaalinen esitys esitetään julkaisussa video.
huomautus
Vastoin yleistä luuloa, useimmissa nykyaikaisissa tietokoneissa käytetty DRAM-muisti säilyttää tiedot jopa virran katkaisemisen jälkeen useiden sekuntien tai minuuttien ajan, ja tämä tapahtuu huoneenlämmössä ja vaikka siru irrotetaan emolevystä. Tämä aika riittää täysin tyhjentämään RAM-muistin. Näytämme, että tämän ilmiön avulla hyökkääjä, jolla on fyysinen pääsy järjestelmään, voi ohittaa käyttöjärjestelmän toiminnot salausavaintietojen suojaamiseksi. Näytämme, kuinka uudelleenkäynnistystä voidaan käyttää hyökkäämään onnistuneesti tunnettuja kiintolevyn salausjärjestelmiä vastaan ilman erityisiä laitteita tai materiaaleja. Määritämme kokeellisesti jäännösmagnetoinnin säilymisen asteen ja todennäköisyyden ja osoitamme, että aikaa, jonka aikana dataa voidaan ottaa, voidaan pidentää merkittävästi yksinkertaisilla tekniikoilla. Uusia menetelmiä ehdotetaan myös kryptografisten avainten etsimiseen muistivedosten ja bittien katoamiseen liittyvien virheiden korjaamiseen. Myös useita tapoja vähentää näitä riskejä keskustellaan, mutta emme tiedä yksinkertaista ratkaisua.
Johdanto
Useimmat asiantuntijat olettavat, että tiedot tietokoneen RAM-muistista poistetaan lähes välittömästi virran katkaisemisen jälkeen, tai he uskovat, että jäännöstiedot on erittäin vaikea saada takaisin ilman erikoislaitteita. Osoitamme, että nämä oletukset ovat vääriä. Perinteinen DRAM-muisti menettää tietoja vähitellen useiden sekuntien aikana, jopa normaaleissa lämpötiloissa, ja vaikka muistisiru poistetaan emolevystä, tiedot säilyvät siinä minuutteja tai jopa tunteja, mikäli siru säilytetään alhaisissa lämpötiloissa. Jäännöstiedot voidaan palauttaa yksinkertaisilla menetelmillä, jotka edellyttävät lyhytaikaista fyysistä pääsyä tietokoneeseen.
Näytämme sarjan hyökkäyksiä, jotka käyttämällä DRAM:n remanenssiefektejä mahdollistavat meidän palauttaa muistiin tallennetut salausavaimet. Tämä on todellinen uhka kannettavien tietokoneiden käyttäjille, jotka luottavat kiintolevyn salausjärjestelmiin. Loppujen lopuksi, jos hyökkääjä varastaa kannettavan tietokoneen, kun salattu levy on kytkettynä, hän pystyy suorittamaan yhden hyökkäyksistämme päästäkseen sisältöön, vaikka itse kannettava tietokone olisi lukittu tai lepotilassa. Osoitamme tämän hyökkäämällä menestyksekkäästi useisiin suosittuihin salausjärjestelmiin, kuten BitLockeriin, TrueCryptiin ja FileVaultiin. Näiden hyökkäysten pitäisi onnistua myös muita salausjärjestelmiä vastaan.
Vaikka olemme keskittyneet kiintolevyn salausjärjestelmiin, jos hyökkääjällä on fyysinen pääsy tietokoneeseen, kaikki RAM-muistiin tallennetut tärkeät tiedot voivat joutua hyökkäyksen kohteeksi. On todennäköistä, että myös monet muut turvajärjestelmät ovat haavoittuvia. Huomasimme esimerkiksi, että Mac OS X jättää tilien salasanat muistiin, josta pystyimme purkamaan ne, ja teimme myös hyökkäyksiä saadaksemme Apache-verkkopalvelimen yksityiset RSA-avaimet.
Vaikka jotkut tietoturva- ja puolijohdefysiikkayhteisöt olivat jo tietoisia DRAM:n remanenssivaikutuksesta, siitä oli hyvin vähän tietoa. Tämän seurauksena monet turvajärjestelmiä suunnittelevat, kehittävät tai käyttävät eivät yksinkertaisesti tunne tätä ilmiötä ja sitä, kuinka helposti hyökkääjä voi käyttää sitä hyväkseen. Tietojemme mukaan tämä on ensimmäinen yksityiskohtainen työ, jossa tarkastellaan näiden ilmiöiden tietoturvavaikutuksia.
Hyökkäykset salattuihin asemiin
Kiintolevyjen salaus on tunnettu tapa suojautua tietovarkauksilta. Monet uskovat, että kiintolevyn salausjärjestelmät suojaavat heidän tietojaan, vaikka hyökkääjä olisi saanut fyysisen pääsyn tietokoneeseen (itse asiassa ne ovat sitä varten, toimittajan huomautus). Kalifornian osavaltion vuonna 2002 hyväksytty laki vaatii ilmoittamaan mahdollisista henkilötietojen luovutuksista vain, jos tietoja ei ole salattu, koska. Tietojen salauksen uskotaan olevan riittävä suojatoimenpide. Vaikka laissa ei kuvata mitään erityisiä teknisiä ratkaisuja, monet asiantuntijat suosittelevat salausjärjestelmien käyttöä kiintolevyille tai osioihin, joita pidetään riittävinä suojatoimenpiteinä. Tutkimuksemme tulokset osoittivat, että usko levyn salaukseen on perusteeton. Vähemmän taitava hyökkääjä voi ohittaa monet yleisesti käytetyt salausjärjestelmät, jos tietoja sisältävä kannettava tietokone varastetaan sen ollessa päällä tai lepotilassa. Ja kannettavan tietokoneen tiedot voidaan lukea, vaikka ne olisivat salatussa asemassa, joten kiintolevyn salausjärjestelmien käyttö ei ole riittävä toimenpide.
Käytimme useita erilaisia hyökkäyksiä tunnettuja kiintolevyn salausjärjestelmiä vastaan. Eniten aikaa meni salattujen levyjen asentaminen ja havaittujen salausavainten oikeellisuuden tarkistaminen. RAM-kuvan saaminen ja avainten etsiminen kesti vain muutaman minuutin ja oli täysin automatisoitu. On syytä uskoa, että useimmat kiintolevyn salausjärjestelmät ovat alttiita vastaaville hyökkäyksille.
BitLocker
BitLocker on järjestelmä, joka sisältyy joihinkin Windows Vistan versioihin. Se toimii ohjaimena, joka kulkee tiedostojärjestelmän ja kiintolevyohjaimen välillä ja salaa ja purkaa valitut sektorit tarvittaessa. Salaukseen käytetyt avaimet säilyvät RAM-muistissa niin kauan kuin salattu levy on salattu.
Kiintolevyn jokaisen sektorin salaamiseen BitLocker käyttää samaa AES-algoritmin luomaa avainparia: sektorin salausavainta ja salausavainta, joka toimii salauslohkoketjutustilassa (CBC). Nämä kaksi avainta on vuorostaan salattu pääavaimella. Sektorin salaamiseksi suoritetaan binäärinen lisäysmenettely selkeälle tekstille istuntoavaimella, joka on generoitu salaamalla sektorisiirtymätavu sektorin salausavaimella. Tuloksena olevat tiedot käsitellään sitten kahdella sekoitusfunktiolla, jotka käyttävät Microsoftin kehittämää Elephant-algoritmia. Näitä avaimettomia toimintoja käytetään lisäämään muutosten määrää kaikkiin salausbitteihin ja vastaavasti lisäämään salatun sektoridatan epävarmuutta. Viimeisessä vaiheessa tiedot salataan AES-algoritmilla CBC-tilassa käyttäen sopivaa salausavainta. Alustusvektori määritetään salaamalla sektorisiirtymätavu CBC-moodissa käytetyllä salausavaimella.
Olemme toteuttaneet täysin automatisoidun demohyökkäyksen nimeltä BitUnlocker. Tämä käyttää ulkoista USB-asemaa, jossa on Linux-käyttöjärjestelmä ja muokattu SYSLINUX-pohjainen käynnistyslatain ja FUSE-ohjain, jonka avulla voit yhdistää BitLocker-salatut asemat Linux-käyttöjärjestelmään. Testitietokoneessa, jossa oli Windows Vista, virta katkaistiin, USB-kiintolevy liitettiin ja käynnistettiin siltä. Sen jälkeen BitUnlocker pudotti RAM-muistin automaattisesti ulkoiselle asemalle, käytti keyfind-ohjelmaa mahdollisten avainten etsimiseen, kokeili kaikkia sopivia vaihtoehtoja (sektorin salausavaimen ja CBC-tilan avaimen paria) ja onnistuessaan kytkei salatun aseman. Heti kun levy oli kytketty, sen kanssa oli mahdollista työskennellä kuten minkä tahansa muun levyn kanssa. Nykyaikaisella kannettavalla tietokoneella, jossa on 2 gigatavua RAM-muistia, prosessi kesti noin 25 minuuttia.
On huomionarvoista, että tämä hyökkäys tuli mahdolliseksi suorittaa ilman ohjelmistojen käänteistä suunnittelua. Microsoftin dokumentaatiossa BitLocker-järjestelmä on kuvattu riittävästi, jotta ymmärrät sektorin salausavaimen ja CBC-moodiavaimen roolin ja voit luoda oman ohjelmasi, joka toteuttaa koko prosessin.
Suurin ero BitLockerin ja muiden tämän luokan ohjelmien välillä on tapa, jolla avaimet tallennetaan, kun salattu asema irrotetaan. Oletuksena perustilassa BitLocker suojaa pääavainta vain käyttämällä TPM-moduulia, joka on olemassa monissa nykyaikaisissa tietokoneissa. Tämä laajalti käytetty menetelmä on erityisen haavoittuvainen hyökkäyksillemme, koska sen avulla salausavaimet saadaan, vaikka tietokone olisi ollut sammutettuna pitkään, koska kun tietokone käynnistyy, avaimet ladataan automaattisesti RAM (ennen kirjautumisikkunaa) syöttämättä todennustietoja.
Ilmeisesti Microsoftin asiantuntijat tuntevat tämän ongelman ja suosittelevat siksi BitLockerin määrittämistä parannetussa tilassa, jossa avaimet suojataan TPM:n lisäksi myös salasanalla tai ulkoisen USB-aseman avaimella. Mutta jopa tässä tilassa järjestelmä on haavoittuvainen, jos hyökkääjä saa fyysisen pääsyn tietokoneeseen sillä hetkellä, kun se toimii (se voi olla jopa lukittu tai lepotilassa (tässä tapauksessa otetaan huomioon tilat - yksinkertaisesti pois päältä tai horrostila). ei ole altis tälle hyökkäykselle).
FileVault
Applen FileVault-järjestelmä on osittain tutkittu ja käännetty. Mac OS X 10.4:ssä FileVault käyttää 128-bittistä AES-avainta CBC-tilassa. Kun käyttäjän salasana syötetään, AES-avaimen ja toisen K2-avaimen sisältävä otsikko puretaan, jota käytetään alustusvektorien laskemiseen. Alustusvektori I:nnelle levylohkolle lasketaan muodossa HMAC-SHA1 K2(I).
Käytimme EFI RAM -kuvausohjelmaamme tietojen hakemiseen Intel-pohjaisesta Macista, johon on liitetty FileVault-salattu asema. Tämän jälkeen avaimenhakuohjelma löysi FileVault AES -avaimet automaattisesti ilman virheitä.
Ilman alustusvektoria, mutta tuloksena olevalla AES-avaimella, tulee mahdolliseksi purkaa 4080 salaus kunkin levylohkon 4096 tavusta (kaikki paitsi ensimmäinen AES-lohko). Varmistimme, että alustusvektori on myös dumpissa. Olettaen, että tiedot eivät ole vielä vioittuneet, hyökkääjä voi määrittää vektorin kokeilemalla kaikkia vedosten 160-bittisiä merkkijonoja yksitellen ja tarkistamalla, voivatko ne muodostaa mahdollisen selkeän tekstin, kun binääri lisätään lohkon salauksen purettuun ensimmäiseen osaan. . Yhdessä käyttämällä ohjelmia, kuten vilefault, AES-avaimia ja alustusvektoria, voit purkaa salatun levyn salauksen kokonaan.
Tutkiessamme FileVaultia havaitsimme, että Mac OS X 10.4 ja 10.5 jättävät useita kopioita käyttäjän salasanasta muistiin, jossa ne ovat alttiina tälle hyökkäykselle. Tilien salasanoja käytetään usein suojaamaan avaimia, joita puolestaan voidaan käyttää FileVault-salattujen asemien tunnuslauseiden suojaamiseen.
TrueCrypt
TrueCrypt on suosittu avoimen lähdekoodin salausjärjestelmä, joka toimii Windowsissa, MacOS:ssa ja Linuxissa. Se tukee monia algoritmeja, mukaan lukien AES, Serpent ja Twofish. Versiossa 4 kaikki algoritmit toimivat LRW-tilassa; nykyisessä 5. versiossa ne käyttävät XTS-tilaa. TrueCrypt tallentaa salausavaimen ja säätää avainta kunkin aseman osion otsikossa, joka on salattu eri avaimella, joka on johdettu käyttäjän syöttämästä salasanasta.
Testasimme TrueCrypt 4.3a ja 5.0a Linuxissa. Yhdistimme aseman, salasimme 256-bittisellä AES-avaimella, poistimme sitten virran ja käytimme käynnistämiseen omaa muistivedosohjelmistoamme. Molemmissa tapauksissa keyfind löysi 256-bittisen ehjän salausavaimen. Myös TrueCrypt 5.0.a:n tapauksessa keyfind pystyi palauttamaan XTS-tilan säätöavaimen.
TrueCrypt 4:n luomien levyjen salauksen purkamiseksi sinun on säädettävä LRW-tilan avainta. Huomasimme, että järjestelmä tallentaa sen neljällä sanalla ennen AES-avainaikataulua. Kaatopaikassamme LRW-avain ei ollut vioittunut. (Jos tapahtuisi virheitä, voisimme silti palauttaa avaimen).
Dm-crypt
Linux-ydin versiosta 2.6 alkaen sisältää sisäänrakennetun tuen dm-cryptille, levyn salausalijärjestelmälle. Dm-crypt käyttää erilaisia algoritmeja ja tiloja, mutta oletusarvoisesti se käyttää 128-bittistä AES-salausta CBC-tilassa IV:t, jotka eivät perustu avaintietoihin.
Testasimme dm-crypt:n luomaa osiota käyttämällä LUKS-haaraa (Linux Unified Key Setup) cryptsetup-apuohjelmassa ja 2.6.20-ytimessä. Levy salattiin AES:llä CBC-tilassa. Katkaisimme hetkeksi virran ja muokatun PXE-käynnistyslataimen avulla otimme muistivedoksen. Avaimenhakuohjelma havaitsi oikean 128-bittisen AES-avaimen, joka palautettiin ilman virheitä. Kun se on palautettu, hyökkääjä voi purkaa dm-crypt-salatun osion ja liittää sen muuttamalla kryptausasetusapuohjelmaa siten, että se hyväksyy avaimet vaaditussa muodossa.
Suojausmenetelmät ja niiden rajoitukset
Suojauksen toteuttaminen RAM-muistiin kohdistuvia hyökkäyksiä vastaan ei ole triviaalia, koska käytetyt salausavaimet on tallennettava jonnekin. Suosittelemme keskittymään avainten tuhoamiseen tai piilottamiseen ennen kuin hyökkääjä pääsee fyysisesti käsiksi tietokoneeseen, RAM-muistin tyhjennysohjelmiston toiminnan estämistä, RAM-sirujen fyysistä suojaamista ja RAM-tietojen käyttöiän lyhentämistä mahdollisuuksien mukaan.
Muistin päällekirjoitus
Ensinnäkin sinun tulee aina kun mahdollista välttää avainten tallentamista RAM-muistiin. Sinun on korvattava keskeiset tiedot, kun niitä ei enää käytetä, ja estettävä tietojen kopioiminen sivutiedostoihin. Muisti on tyhjennettävä etukäteen käyttöjärjestelmän työkalujen tai lisäkirjastojen avulla. Nämä toimenpiteet eivät tietenkään suojaa tällä hetkellä käytössä olevia avaimia, koska ne on tallennettava muistiin, kuten salattujen levyjen tai suojattujen web-palvelimien avaimet.
Myös RAM-muisti on tyhjennettävä käynnistyksen aikana. Jotkut tietokoneet voidaan määrittää tyhjentämään RAM-muisti käynnistyksen yhteydessä käyttämällä tyhjennys-POST-pyyntöä (Power-on Self-Test) ennen käyttöjärjestelmän lataamista. Jos hyökkääjä ei voi estää tämän pyynnön suorittamista, hän ei voi tehdä muistivedosta tärkeitä tietoja tällä tietokoneella. Mutta hänellä on silti mahdollisuus poistaa RAM-sirut ja asettaa ne toiseen tietokoneeseen tarvitsemillaan BIOS-asetuksilla.
Verkosta tai siirrettävältä tietovälineeltä lataamisen rajoittaminen
Monet hyökkäyksistämme toteutettiin käyttämällä latauksia verkon kautta tai siirrettävältä tietovälineeltä. Tietokone on määritettävä vaatimaan järjestelmänvalvojan salasanaa käynnistykseen näistä lähteistä. Mutta on huomattava, että vaikka järjestelmä on määritetty käynnistymään vain pääkiintolevyltä, hyökkääjä voi vaihtaa itse kiintolevyn tai monissa tapauksissa nollata tietokoneen NVRAM-muistin palauttaakseen alkuperäiset BIOS-asetukset.
Turvallinen lepotila
Tutkimuksen tulokset osoittivat, että pelkkä PC-työpöydän lukitseminen (eli käyttöjärjestelmä jatkaa toimintaansa, mutta vuorovaikutuksen aloittamiseksi sen kanssa on syötettävä salasana) ei suojaa RAM-muistin sisältöä. Lepotila ei myöskään ole tehokas, jos tietokone on lukittu palatessaan lepotilasta, koska hyökkääjä voi aktivoida paluun lepotilasta, käynnistää kannettavan tietokoneen uudelleen ja tehdä muistivedosten. Horrostila (RAM-muistin sisältö kopioidaan kiintolevylle) ei myöskään auta, paitsi jos käytetään tärkeitä tietoja vieraantuneesta mediasta normaalin toiminnan palauttamiseksi.
Useimmissa kiintolevyn salausjärjestelmissä käyttäjät voivat suojautua sammuttamalla tietokoneen. (TPM-moduulin perustoimintatilassa oleva Bitlocker-järjestelmä on edelleen haavoittuvainen, koska levy yhdistetään automaattisesti, kun tietokone käynnistetään). Muistin sisältö saattaa säilyä lyhyen aikaa yhteyden katkaisemisen jälkeen, joten on suositeltavaa seurata työasemaasi vielä muutaman minuutin ajan. Tehokkuudestaan huolimatta tämä toimenpide on erittäin hankala työasemien pitkän latausajan vuoksi.
Siirtyminen lepotilaan voidaan turvata seuraavilla tavoilla: vaatia salasana tai muu salaisuus työaseman "herättämiseksi" ja salaa muistin sisältö tästä salasanasta johdetulla avaimella. Salasanan on oltava vahva, koska hyökkääjä voi tehdä muistivedoksen ja yrittää sitten arvata salasanan raa'alla voimalla. Jos koko muistin salaus ei ole mahdollista, sinun on salattava vain ne alueet, jotka sisältävät avaintietoja. Jotkut järjestelmät voidaan määrittää siirtymään tämän tyyppiseen suojattuun lepotilaan, vaikka tämä ei yleensä ole oletusasetus.
Esilaskutoimitusten välttäminen
Tutkimuksemme on osoittanut, että esilaskennan käyttö salaustoimintojen nopeuttamiseksi tekee avaintiedoista haavoittuvampaa. Ennakkolaskelmat johtavat redundanttisiin tietoihin avaintiedoista, jotka näkyvät muistissa, minkä ansiosta hyökkääjä voi palauttaa avaimet, vaikka niissä olisi virheitä. Esimerkiksi, kuten osiossa 5 on kuvattu, AES- ja DES-algoritmien iteratiivisia avaimia koskevat tiedot ovat erittäin tarpeettomia ja hyödyllisiä hyökkääjälle.
Esilaskutoimitusten tekemättä jättäminen heikentää suorituskykyä, koska mahdollisesti monimutkaiset laskelmat on toistettava. Mutta voit esimerkiksi tallentaa esilaskettuja arvoja välimuistiin tietyn ajan ja poistaa vastaanotetut tiedot, jos niitä ei käytetä tämän ajanjakson aikana. Tämä lähestymistapa edustaa kompromissia turvallisuuden ja järjestelmän suorituskyvyn välillä.
Avaimen laajennus
Toinen tapa estää avainten palautus on muuttaa muistiin tallennettuja avaintietoja siten, että avaimen palauttaminen vaikeutuu erilaisten virheiden vuoksi. Tätä menetelmää on käsitelty teoriassa, jossa on esitetty löytöresistentti funktio, jonka syötteet jäävät piiloon, vaikka käytännössä kaikki lähdöt olisi löydetty, aivan kuten yksisuuntaisten funktioiden toiminta.
Käytännössä kuvittelemme, että meillä on 256-bittinen AES-avain K, joka ei ole tällä hetkellä käytössä, mutta jota tarvitaan myöhemmin. Emme voi korvata sitä, mutta haluamme tehdä siitä kestävän palautusyrityksiä vastaan. Yksi tapa saavuttaa tämä on allokoida suuri B-bittinen tietoalue, täyttää se satunnaisella datalla R ja tallentaa sitten muistiin seuraavan muunnoksen tulos K+H(R) (binäärisumma, toimittajan huomautus), jossa H on hash-funktio, kuten SHA-256.
Kuvittele nyt, että virta oli katkaistu, tämä aiheuttaisi d-bittien muuttumisen tällä alueella. Jos hash-funktio on vahva, hyökkääjä voi avainta K palauttaessaan luottaa pystyvänsä vain arvaamaan, mitkä alueen B bitit muuttuivat noin puolesta, joka olisi voinut muuttua. Jos d-bittiä on muutettu, hyökkääjän on etsittävä (B/2+d)/d-kokoista aluetta löytääkseen oikeat R:n arvot ja sitten palautettava avain K. Jos alue B on suuri, esim. haku voi olla hyvin pitkä, vaikka d on suhteellisen pieni
Teoriassa voisimme tallentaa kaikki avaimet tällä tavalla, laskemalla jokaisen avaimen vain silloin, kun tarvitsemme sitä, ja poistamalla ne, kun emme tarvitse sitä. Siten yllä olevaa menetelmää käyttämällä voimme tallentaa avaimet muistiin.
Fyysinen suoja
Jotkut hyökkäyksistämme perustuivat fyysiseen pääsyyn muistisiruihin. Tällaiset hyökkäykset voidaan estää fyysisellä muistisuojauksella. Esimerkiksi muistimoduulit sijaitsevat suljetussa PC-kotelossa tai sinetöidään epoksiliimalla, jotta ne eivät yritä poistaa niitä tai niihin päästä käsiksi. Voit myös toteuttaa muistin tyhjennyksen vastauksena alhaisiin lämpötiloihin tai yrityksiin avata kotelo. Tämä menetelmä edellyttää antureiden asentamista itsenäiseen virtalähdejärjestelmään. Monet näistä menetelmistä sisältävät peukaloinnin estäviä laitteita (kuten IBM 4758 -apuprosessoria), ja ne voivat nostaa huomattavasti työaseman kustannuksia. Toisaalta emolevyyn juotetun muistin käyttö on paljon halvempaa.
Arkkitehtuurin muutos
Voit muuttaa PC-arkkitehtuuria. Tämä ei ole mahdollista jo käytetyille tietokoneille, mutta sen avulla voit suojata uusia.
Ensimmäinen lähestymistapa on suunnitella DRAM-moduuleja niin, että ne pyyhkivät kaikki tiedot nopeammin. Tämä voi olla hankalaa, koska tavoite poistaa tiedot mahdollisimman nopeasti on ristiriidassa toisen tavoitteen kanssa estää tietojen katoaminen muistin päivitysjaksojen välillä.
Toinen tapa on lisätä avaintietojen tallennuslaitteisto, joka taatusti pyyhkii kaikki tiedot muististaan käynnistyksen, uudelleenkäynnistyksen ja sammutuksen yhteydessä. Näin meillä on turvallinen paikka useiden avainten tallentamiseen, vaikka niiden ennakkolaskentaan liittyvä haavoittuvuus säilyy.
Muut asiantuntijat ovat ehdottaneet arkkitehtuuria, jossa muistin sisältö olisi pysyvästi salattu. Jos tämän lisäksi toteutamme avainten tyhjennyksen uudelleenkäynnistyksen ja sähkökatkon aikana, tämä menetelmä tarjoaa riittävän suojan kuvaamiamme hyökkäyksiä vastaan.
Luotettu tietotekniikka
"Trusted computing" -käsitettä vastaavaa laitteistoa, esimerkiksi TPM-moduulien muodossa, käytetään jo joissakin tietokoneissa. Vaikka sellaiset laitteet ovat hyödyllisiä suojattaessa joitain hyökkäyksiä vastaan, ne eivät nykyisessä muodossaan auta estämään kuvaamiamme hyökkäyksiä.
Käytetyt TPM-moduulit eivät toteuta täyttä salausta. Sen sijaan he tarkkailevat käynnistysprosessia päättääkseen, onko avaimen lataaminen turvallista RAM-muistiin vai ei. Jos ohjelmiston on käytettävä avainta, voidaan toteuttaa seuraava tekniikka: avain käyttökelpoisessa muodossa ei tallennu RAM-muistiin ennen kuin käynnistysprosessi sujuu odotetulla tavalla. Mutta heti kun avain on RAM-muistissa, siitä tulee välittömästi hyökkätemme kohde. TPM:t voivat estää avaimen lataamisen muistiin, mutta ne eivät estä sen lukemista muistista.
johtopäätöksiä
Vastoin yleistä käsitystä DRAM-moduulit säilyttävät tietoja suhteellisen pitkän ajan, kun ne on poistettu käytöstä. Kokeilumme ovat osoittaneet, että tämä ilmiö mahdollistaa kokonaisen luokan hyökkäyksiä, jotka voivat saada arkaluonteisia tietoja, kuten salausavaimia, RAM-muistista huolimatta käyttöjärjestelmän yrityksistä suojata sen sisältöä. Kuvaamamme hyökkäykset voidaan toteuttaa käytännössä, ja esimerkkimme hyökkäyksistä suosittuja salausjärjestelmiä osoittavat tämän.
Mutta myös muun tyyppiset ohjelmistot ovat haavoittuvia. Digitaalisissa oikeuksien hallintajärjestelmissä (DRM) käytetään usein muistiin tallennettuja symmetrisiä avaimia, jotka voidaan myös saada kuvatulla tavalla. Kuten olemme osoittaneet, SSL-yhteensopivat verkkopalvelimet ovat myös haavoittuvia, koska ne tallentavat muistiin SSL-istuntojen luomiseen tarvittavat yksityiset avaimet. Tärkeimmät tiedonhakutekniikkamme ovat todennäköisesti tehokkaita salasanojen, tilinumeroiden ja muiden RAM-muistiin tallennettujen arkaluonteisten tietojen löytämisessä.
Näyttää siltä, että löydettyjä haavoittuvuuksia ei ole helppoa korjata. Ohjelmistomuutos ei todennäköisesti ole tehokas; laitteistomuutokset auttavat, mutta aika- ja resurssikustannukset ovat korkeat; Luotettu laskentatekniikka nykyisessä muodossaan on myös tehotonta, koska se ei pysty suojaamaan muistissa olevia avaimia.
Mielestämme kannettavat tietokoneet, jotka sijaitsevat usein julkisilla paikoilla ja toimivat näille hyökkäyksille alttiissa tiloissa, ovat alttiimpia tälle riskille. Tällaisten riskien olemassaolo osoittaa, että levyn salaus suojaa tärkeitä tietoja vähemmän kuin yleisesti uskotaan.
Tämän seurauksena saatat joutua käsittelemään DRAM-muistia nykyaikaisen tietokoneen epäluotettavana komponenttina ja välttämään siinä olevien arkaluonteisten tietojen käsittelyä. Mutta toistaiseksi tämä ei ole käytännöllistä, ennen kuin nykyaikaisten tietokoneiden arkkitehtuuri muuttuu, jotta ohjelmistot voivat tallentaa avaimet turvalliseen paikkaan.
Järjestelmän ja tietojen luvattoman käytön estämiseksi Windows 7/10 tarjoaa mahdollisuuden asettaa salasanan, myös graafisen, mutta tätä suojausmenetelmää ei voida pitää erityisen luotettavana. Kolmannen osapuolen apuohjelmat voivat helposti nollata paikallisen tilin salasanan, ja mikä tärkeintä, mikään ei estä sinua pääsemästä tiedostojärjestelmään käynnistämällä miltä tahansa LiveCD-levyltä, jossa on sisäänrakennettu tiedostonhallinta.
Tietojesi aidosti suojaamiseksi sinun on käytettävä salausta. Sisäänrakennettu BitLocker-toiminto toimii myös tähän, mutta on parempi käyttää kolmannen osapuolen ohjelmia. TrueCrypt oli pitkään suosituin sovellus tietojen salaukseen, mutta vuonna 2014 sen kehittäjät sulkivat projektin sanomalla, että ohjelma ei ollut enää turvallinen. Pian sen työskentelyä kuitenkin jatkettiin, mutta uudella tiimillä, ja itse projekti sai uuden nimen. Näin VeraCrypt syntyi.
Itse asiassa VeraCrypt on parannettu versio TrueCryptistä, ja suosittelemme tämän ohjelman käyttöä tietojesi suojaamiseen. Yllä olevassa esimerkissä käytämme VeraCryptiä maksimissaan käyttämällä sitä koko kiintolevyn salaamiseen järjestelmä- ja käyttäjäosioilla. Tällä salausmenetelmällä on tiettyjä riskejä - on olemassa mahdollisuus, vaikkakin hyvin pieni, että järjestelmä ei voi käynnistyä, joten suosittelemme turvautumaan siihen vain silloin, kun todella tarvitset sitä.
VeraCryptin asennus ja perusasetukset
VeraCrypt-asennus ei eroa muiden ohjelmien asentamisesta, vain yhtä poikkeusta lukuun ottamatta. Heti alussa sinua pyydetään valitsemaan asennustilojen välillä Asentaa tai Ottaa talteen.
Ensimmäisessä tapauksessa ohjelma upotetaan käyttöjärjestelmään, jonka avulla voit yhdistää salattuja säiliöitä ja salata itse järjestelmäosion. Purkamistila yksinkertaisesti purkaa VeraCrypt-suoritettavat tiedostot, jolloin voit käyttää sitä kannettavana sovelluksena. Jotkut toiminnot, mukaan lukien levyn salaus Windows 7/10:ssä, eivät ole käytettävissä.
Mene heti käynnistämisen jälkeen valikkoon Asetukset – Kieli, koska oletusarvoisesti ohjelma on asennettu englanniksi.
Levyn salaus
Tehtävän näennäisestä monimutkaisuudesta huolimatta kaikki on hyvin yksinkertaista. Valitse "System"-valikosta vaihtoehto "Salaa järjestelmäosio/levy".
Valitse avautuvassa ohjatussa ikkunassa menetelmäksi "Normaali" (tämä riittää), salausalue on koko levy.
Kun olet suorittanut piilotettujen sektoreiden haun (prosessi voi kestää kauan), määritä käyttöjärjestelmien lukumäärä ja...
salausalgoritmi (on parempi jättää kaikki tähän oletusarvoksi).
Huomautus: Jos Windows lakkaa vastaamasta etsiessään piilotettuja sektoreita, pakota käynnistämään tietokoneesi uudelleen ja ohita tämä vaihe seuraavan kerran valitsemalla "Ei".
Luo ja syötä salasana kenttiin.
Liikuta hiirtä satunnaisesti, luo avain ja napsauta "Seuraava".
Tässä vaiheessa ohjelma tarjoaa VRD-palautuslevyn luomisen ja polttamisen flash- tai optiselle tietovälineelle.
Kun sinua kehotetaan suorittamaan järjestelmän salauksen esitesti, napsauta Testaa.
Sinun on käynnistettävä tietokoneesi uudelleen. Kun tietokone on kytketty päälle, VeraCrypt-käynnistyslataimen näyttö tulee näkyviin. Täällä sinun on syötettävä luomasi salasana ja PIM - salaustoistojen määrä. Jos et ole syöttänyt PIM:ää minnekään aiemmin, paina vain enteriä, vaihtoehdon arvoksi tulee oletusarvo.
Muutaman minuutin kuluttua Windows käynnistyy normaalitilassa, mutta Pretest Completed -ikkuna tulee näkyviin työpöydälle - alustava testaus on suoritettu. Tämä tarkoittaa, että voit aloittaa salauksen. Napsauta "Salaa"-painiketta ja vahvista toiminto.
Salausprosessi alkaa. Se voi kestää kauan, kaikki riippuu levyn koosta ja kuinka täynnä se on dataa, joten ole kärsivällinen ja odota.
Huomautus: Jos asemassa on EFI-salattu osio, mikä on tyypillistä uusille PC-versioille, saatat saada salauksen alussa ilmoituksen: "Näyttää siltä, että Windowsia ei ole asennettu asemaan...". Tämä tarkoittaa, että tällaista levyä ei voida salata VeraCryptillä.
Kun koko levyn sisältö on salattu, VeraCrypt-käynnistyslatausikkuna tulee näkyviin joka kerta, kun käynnistät tietokoneen, ja joka kerta, kun sinun on syötettävä salasana, ei ole muuta tapaa päästä käsiksi salattuihin tietoihin. Levyn salauksen purkamisessa kaikki on paljon yksinkertaisempaa. Sinun tarvitsee vain suorittaa ohjelma, valita "Järjestelmä"-valikosta vaihtoehto "Poista järjestelmäosio/levy pysyvästi" ja seurata ohjatun toiminnon ohjeita.
Käynnistä salaustyökalu Windowsissa etsimällä "BitLocker" ja valitsemalla "Hallinnoi BitLockeria". Seuraavassa ikkunassa voit ottaa salauksen käyttöön napsauttamalla "Ota BitLocker käyttöön" kiintolevyn vieressä (jos virheilmoitus tulee näkyviin, lue kohta "BitLockerin käyttö ilman TPM:ää").
Voit nyt valita, haluatko käyttää USB-muistitikkua vai salasanaa salatun aseman lukituksen avaamiseen. Riippumatta valitsemastasi vaihtoehdosta, sinun on tallennettava tai tulostettava palautusavain asennuksen aikana. Tarvitset sitä, jos unohdat salasanasi tai kadotat flash-asemasi.
BitLockerin käyttö ilman TPM:ää
BitLockerin määrittäminen.BitLocker toimii myös ilman TPM-sirua - vaikka tämä vaatii jonkin verran määritystä paikallisessa ryhmäkäytäntöeditorissa.
Jos tietokoneessasi ei ole TPM-sirua (Trusted Platform Module), saatat joutua tekemään joitain säätöjä ottaaksesi BitLockerin käyttöön. Kirjoita Windowsin hakupalkkiin "Muokkaa ryhmäkäytäntöä" ja avaa "Paikallinen ryhmäkäytäntöeditori" -osio. Avaa nyt editorin vasemmassa sarakkeessa “Computer Configuration | Hallintomallit | Windows-komponentit | BitLocker-aseman salaus | Käyttöjärjestelmälevyt" ja valitse oikeasta sarakkeesta "Vaadittu lisätodennus käynnistettäessä".
Napsauta sitten keskimmäisessä sarakkeessa "Muokkaa käytäntöasetusta" -linkkiä. Valitse Ota käyttöön -kohdan vieressä oleva valintaruutu ja valitse alla oleva ruutu "Salli BitLocker ilman yhteensopivaa TPM:ää". Kun olet napsauttanut "Käytä" ja "OK", voit käyttää BitLockeria yllä kuvatulla tavalla.
Vaihtoehto VeraCrypt-muodossa
Jos haluat salata järjestelmäosion tai koko kiintolevyn TrueCryptin seuraajalla, VeraCryptillä, valitse VeraCrypt-päävalikosta "Create Volume" ja valitse sitten "Salaa järjestelmäosio tai koko järjestelmäasema". Jos haluat salata koko kiintolevyn ja Windows-osion, valitse "Salaa koko asema" ja seuraa sitten vaiheittaisia asennusohjeita. Huomautus: VeraCrypt luo pelastuslevyn siltä varalta, että unohdat salasanasi. Tarvitset siis tyhjän CD-levyn.
Kun olet salannut aseman, sinun on määritettävä PIM (Personal Iterations Multiplier) salasanasi jälkeen käynnistyksen yhteydessä. Jos et asentanut PIM:ää asennuksen aikana, paina Enter.
CyberSafen avulla voit salata muutakin kuin yksittäisiä tiedostoja. Ohjelman avulla voit salata koko kiintolevyosion tai koko ulkoisen aseman (esimerkiksi USB-aseman tai flash-aseman). Tämä artikkeli näyttää, kuinka kiintolevyn salattu osio salataan ja piilotetaan uteliailta katseilta.
Vakoojat, vainoharhaiset ja tavalliset käyttäjät
Kuka hyötyy mahdollisuudesta salata osiot? Hylätään vakoojat ja vainoharhaiset heti. Edellisiä ei ole niin paljon, ja heidän tiedonsalauksen tarve on puhtaasti ammattimainen. Toinen haluaa vain salata jotain, piilottaa sen jne. Vaikka todellista uhkaa ei ole ja salatut tiedot eivät kiinnosta ketään, he salaavat sen joka tapauksessa. Siksi olemme kiinnostuneita tavallisista käyttäjistä, joista toivottavasti on enemmän kuin vainoharhaisia vakoojia.Tyypillinen osion salausskenaario on, kun tietokone on jaettu. CyberSafe-ohjelman käytössä on kaksi vaihtoehtoa: joko kukin tietokoneella työskentelevistä käyttäjistä luo virtuaalilevyn tai kumpikin varaa kiintolevylle osion henkilökohtaisten tiedostojen tallentamista varten ja salaa sen. Virtuaalisten levyjen luomisesta on jo kirjoitettu, mutta tässä artikkelissa puhumme erityisesti koko osion salaamisesta.
Oletetaan, että siellä on 500 Gt:n kiintolevy ja kolme käyttäjää ajoittain työskentelee tietokoneen kanssa. Huolimatta siitä, että NTFS-tiedostojärjestelmä tukee edelleen käyttöoikeuksia ja antaa sinun rajoittaa yhden käyttäjän pääsyä toisen käyttäjän tiedostoihin, sen suojaus ei riitä. Loppujen lopuksi yhdellä näistä kolmesta käyttäjästä on järjestelmänvalvojan oikeudet ja hän voi käyttää kahden muun käyttäjän tiedostoja.
Siksi kiintolevyn levytila voidaan jakaa seuraavasti:
- Noin 200 Gt - jaettu osio. Tämä osio on myös järjestelmäosio. Se asentaa käyttöjärjestelmän, ohjelman ja tallentaa kaikkien kolmen käyttäjän yhteiset tiedostot.
- Kolme ~100 Gt:n osaa - mielestäni 100 Gt riittää jokaisen käyttäjän henkilökohtaisten tiedostojen tallentamiseen. Jokainen näistä osioista salataan, ja vain tämän osion salannut käyttäjä tietää salasanan salatun osion käyttämiseksi. Tässä tapauksessa järjestelmänvalvoja ei voi halutessaan purkaa toisen käyttäjän osion salausta ja päästä käsiksi hänen tiedostoihinsa. Kyllä, järjestelmänvalvoja voi halutessaan alustaa osion ja jopa poistaa sen, mutta hän voi päästä käsiksi vain, jos hän huijaa käyttäjää saamaan salasanansa. Mutta uskon, että näin ei tapahdu, joten osion salaus on paljon tehokkaampi toimenpide kuin käyttöoikeuksien erottaminen NTFS:n avulla.
Osion salaus vs. virtuaaliset salatut levyt
Mikä on parempi - osioiden salaus vai salattujen virtuaalilevyjen käyttö? Täällä jokainen päättää itse, koska jokaisella menetelmällä on omat etunsa ja haittansa. Osion salaus on yhtä turvallinen kuin virtuaalilevyn salaus ja päinvastoin.Mikä on virtuaalilevy? Katsokaa sitä arkistona, jonka salasana ja pakkaussuhde on 0. Vain tämän arkiston sisällä olevat tiedostot salataan paljon turvallisemmin kuin tavallisessa arkistossa. Virtuaalinen levy on tallennettu kiintolevyllesi tiedostona. CyberSafe-ohjelmassa sinun on avattava ja liitettävä virtuaalilevy, jonka jälkeen voit työskennellä sen kanssa tavallisen levyn tavoin.
Virtuaalilevyn etuna on, että se voidaan helposti kopioida toiselle kiintolevylle tai flash-asemalle (jos koko sallii). Voit esimerkiksi luoda 4 Gt:n virtuaalilevyn (virtuaalilevyn kokoa ei ole rajoitettu, paitsi luonnollisten) ja tarvittaessa kopioida virtuaalilevytiedoston flash-asemalle tai ulkoiselle kovalevylle. Et voi tehdä tätä salatulla osiolla. Voit myös käyttää virtuaalilevytiedostoa.
Tietysti voit tarvittaessa luoda kuvan salatusta levystä - jos haluat varmuuskopioida sen tai siirtää sen toiselle tietokoneelle. Mutta se on eri tarina. Jos sinulla on samanlainen tarve, suosittelen Clonezilla-ohjelmaa - se on jo luotettava ja todistettu ratkaisu. Salatun osion siirtäminen toiseen tietokoneeseen on monimutkaisempi tehtävä kuin virtuaalilevyn siirtäminen. Jos sellainen tarve on, on helpompi käyttää virtuaalisia levyjä.
Osion salauksella koko osio on fyysisesti salattu. Kun asennat tämän osion, sinun on syötettävä salasana, jonka jälkeen voit työskennellä osion kanssa tavalliseen tapaan, eli lukea ja kirjoittaa tiedostoja.
Mikä menetelmä minun pitäisi valita? Jos sinulla on varaa salata osio, voit valita tämän menetelmän. On myös parempi salata koko osio, jos salaisten asiakirjojen koko on melko suuri.
Mutta on tilanteita, joissa koko osan käyttö on mahdotonta tai siinä ei ole mitään järkeä. Esimerkiksi kiintolevylläsi on vain yksi osio (C:) ja syystä tai toisesta (ei oikeuksia, esimerkiksi koska tietokone ei ole sinun) et voi tai halua muuttaa sen asettelua, täytyy käyttää virtuaalisia levyjä. Ei ole mitään järkeä salata koko osiota, jos salattavien asiakirjojen (tiedostojen) koko on pieni - muutama gigatavu. Luulen, että olemme ratkaisseet tämän, joten on aika puhua siitä, mitkä osiot (levyt) voidaan salata.
Tuetut asematyypit
Voit salata seuraavan tyyppiset mediat:- FAT-, FAT32- ja NTFS-tiedostojärjestelmiin alustetut kiintolevyosiot.
- Flash-asemat, ulkoiset USB-asemat, paitsi matkapuhelimia, digitaalikameroita ja äänisoittimia edustavat asemat.
- CD/DVD-RW-levyt, levykkeet
- Dynaamiset levyt
- Järjestelmäasema (josta Windows käynnistyy)
Salatun levyn kanssa työskentelyn ominaisuudet
Kuvittele, että olet jo salannut kiintolevyosion. Jos haluat työskennellä salatun osion tiedostojen kanssa, sinun on liitettävä se. Asennuksen yhteydessä ohjelma kysyy salasanaa salattuun levyyn, jonka määritit sitä salattaessa. Kun olet työskennellyt salatun levyn kanssa, sinun on poistettava se välittömästi, muuten tiedostot pysyvät käyttäjien käytettävissä, joilla on fyysinen pääsy tietokoneeseesi.Toisin sanoen salaus suojaa tiedostojasi vain, kun salattu osio on irrotettu. Kun osio on asennettu, kuka tahansa, jolla on fyysinen pääsy tietokoneeseen, voi kopioida tiedostoja siitä salaamattomaan osioon, USB-asemaan tai ulkoiselle kiintolevylle, eikä tiedostoja salata. Joten kun työskentelet salatun aseman kanssa, ota tapana irrottaa se aina, kun poistut tietokoneeltasi, vaikka hetkeksikin! Kun olet irrottanut salatun aseman, tiedostosi suojataan turvallisesti.
Mitä tulee suorituskykyyn, se on alhaisempi, kun työskentelet salatun osion kanssa. Kuinka paljon alempi riippuu tietokoneesi ominaisuuksista, mutta järjestelmä pysyy toimintakunnossa ja joudut vain odottamaan hieman tavallista kauemmin (varsinkin kun kopioit suuria tiedostoja salattuun osioon).
Valmistautuminen salaukseen
Ensimmäinen asia, joka sinun on tehtävä, on hankkia UPS jonnekin. Jos sinulla on kannettava tietokone, kaikki on kunnossa, mutta jos sinulla on tavallinen pöytätietokone ja haluat salata osion, jossa on jo tiedostoja, salaus kestää jonkin aikaa. Jos virta katkeaa tänä aikana, menetät taatusti tietoja. Siksi, jos sinulla ei ole UPS-laitetta, joka kestää useita tunteja akun käyttöikää, suosittelen toimimaan seuraavasti:- Varmuuskopioi tietosi esimerkiksi ulkoiselle kiintolevylle. Sitten sinun on päästävä eroon tästä kopiosta (on suositeltavaa pyyhkiä vapaa tila apuohjelmalla, kuten Piriform, kun olet poistanut tiedot salaamattomalta levyltä, jotta poistettuja tiedostoja ei voida palauttaa), koska jos se on olemassa, on ei ole mitään järkeä saada salattua kopiota tiedoista.
- Siirrät tiedot salatulle levylle kopiosta, kun levy on salattu. Alusta asema ja salaa se. Itse asiassa sinun ei tarvitse alustaa sitä erikseen - CyberSafe tekee sen puolestasi, mutta siitä lisää myöhemmin.
Jos sinulla on kannettava tietokone ja olet valmis jatkamaan ilman varmuuskopion luomista tiedoistasi (suosittelen sellaisen tekemistä varmuuden vuoksi), muista tarkistaa levy virheiden varalta, ainakin tavallisella Windows-apuohjelmalla. Vasta tämän jälkeen sinun on aloitettava osion/levyn salaus.
Osion salaus: harjoitus
Joten teoria ilman käytäntöä on merkityksetöntä, joten aloitetaan osion/levyn salaus. Käynnistä CyberSafe-ohjelma ja siirry osioon Levyn salaus, salausosio(Kuva 1).
Riisi. 1. Luettelo tietokoneesi osioista/levyistä
Valitse osio, jonka haluat salata. Jos painike Luoda ei ole aktiivinen, tätä osiota ei voida salata. Tämä voi olla esimerkiksi järjestelmäosio tai dynaaminen levy. Et myöskään voi salata useita asemia samanaikaisesti. Jos sinun on salattava useita levyjä, salaustoiminto on toistettava yksitellen.
Napsauta painiketta Luoda. Seuraavaksi avautuu ikkuna Kripo-levy(Kuva 2). Siihen sinun on syötettävä salasana, jota käytetään levyn salauksen purkamiseen, kun se asennetaan. Kun kirjoitat salasanaa, tarkista kirjainkoko (jotta ei paineta Caps Lock -näppäintä) ja asettelu. Jos takanasi ei ole ketään, voit kytkeä kytkimen päälle Näytä salasana.
Riisi. 2. Salauslevy
Luettelosta Salaustyyppi sinun on valittava algoritmi - AES tai GOST. Molemmat algoritmit ovat luotettavia, mutta valtion organisaatioissa on tapana käyttää vain GOST:ia. Voit vapaasti käyttää mitä tahansa algoritmeja omalla tietokoneellasi tai kaupallisessa organisaatiossa.
Jos levyllä on tietoja ja haluat tallentaa ne, kytke kytkin päälle. Huomaa, että tässä tapauksessa levyn salausaika pitenee huomattavasti. Toisaalta, jos salatut tiedostot ovat esimerkiksi ulkoisella kiintolevyllä, sinun on silti kopioitava ne salattuun asemaan salataksesi ne, ja kopiointi lennossa-salauksella kestää myös jonkin aikaa. Jos et ole varmuuskopioinut tietojasi, muista valita Ota käyttöön -valintanappi Tallenna tiedostorakenne ja tiedot, muuten menetät kaikki tietosi.
Muut parametrit ikkunassa Kryptolevy voidaan jättää oletusarvoksi. Nimittäin käytetään laitteen koko käytettävissä olevaa kokoa ja suoritetaan nopea alustus NTFS-tiedostojärjestelmään. Aloita salaus napsauttamalla painiketta Hyväksyä. Salausprosessin edistyminen näkyy ohjelman pääikkunassa.
Riisi. 3. Salausprosessin eteneminen
Kun levy on salattu, näet sen tilan - salattu, piilotettu(Kuva 4). Tämä tarkoittaa, että asemasi on salattu ja piilotettu – se ei näy Explorerissa ja muissa korkean tason tiedostonhallintaohjelmissa, mutta osiotaulukkoohjelmat näkevät sen. Ei tarvitse toivoa, että koska levy on piilotettu, kukaan ei löydä sitä. Kaikki ohjelman piilottamat levyt näkyvät laajennuksessa Levynhallinnointi(katso kuva 5) ja muita ohjelmia levyn osiointiin. Huomaa, että tässä laajennuksessa salattu osio näytetään osiona, jossa on RAW-tiedostojärjestelmä, eli ilman tiedostojärjestelmää. Tämä on normaalia – Windows ei voi määrittää sen tyyppiä osion salaamisen jälkeen. Osion piilottaminen on kuitenkin välttämätöntä täysin eri syistä, ja sitten ymmärrät tarkalleen miksi.
Riisi. 4. Levyn tila: salattu, piilotettu. Osio E: ei näy Explorerissa
Riisi. 5. Levynhallintalaajennus
Nyt asennetaan osio. Valitse se ja napsauta painiketta Ylösnousemus jotta osio tulee jälleen näkyviin (levyn tilaksi muutetaan vain " salattu"). Windows näkee tämän osion, mutta koska se ei tunnista tiedostojärjestelmätyyppiään, se tarjoaa alustuksen (kuva 6). Tätä ei pidä tehdä missään olosuhteissa, koska menetät kaikki tiedot. Tästä syystä ohjelma piilottaa salatut asemat - loppujen lopuksi, jos et ole ainoa, joka työskentelee tietokoneella, toinen käyttäjä voi alustaa oletettavasti lukukelvottoman levyosion.
Riisi. 6. Ehdotus salatun osion alustamiseksi
Tietenkin kieltäydymme muotoilusta ja painamme painiketta Montirov. CyberSafe-ohjelman pääikkunassa. Seuraavaksi sinun on valittava asemakirjain, jonka kautta pääset salattuun osioon (kuva 7).
Riisi. 7. Aseman kirjaimen valitseminen
Tämän jälkeen ohjelma pyytää sinua syöttämään tietojesi salauksen purkamiseen tarvittavan salasanan (kuva 8). Salaus purettu osio (levy) tulee näkyviin alueelle Yhdistetyt laitteet, joiden salaus on purettu(Kuva 9).
Riisi. 8. Salasana osion salauksen purkamiseen
Riisi. 9. Kytketyt laitteet, joiden salaus on purettu
Tämän jälkeen voit työskennellä salatun levyn kanssa kuten tavallisen levyn kanssa. Resurssienhallinnassa näytetään vain asema Z: - tämä on kirjain, jonka annoin salaukselle puretulle asemalle. Salattua E:-asemaa ei näytetä.
Riisi. 10. Explorer - tietokoneen levyjen katselu
Nyt voit avata asennetun levyn ja kopioida kaikki salaiset tiedostot siihen (älä vain unohda poistaa niitä alkuperäisestä lähteestä ja pyyhkiä sieltä vapaa tila).
Kun sinun on lopetettava työskentely osiomme kanssa, tai napsauta painiketta Purkaja., ja sitten painike Piilottaa tai sulje CyberSafe-ikkuna. Minulle on helpompi sulkea ohjelmaikkuna. On selvää, että sinun ei tarvitse sulkea ohjelmaikkunaa tiedostojen kopioimisen/siirtamisen aikana. Mitään kauheaa tai korjaamatonta ei tapahdu, vain joitakin tiedostoja ei kopioida salatulle levyllesi.
Tietoja suorituskyvystä
On selvää, että salatun levyn suorituskyky on alhaisempi kuin tavallisen levyn. Mutta kuinka paljon? Kuvassa 11 Kopioin käyttäjäprofiilikansioni (jossa on monia pieniä tiedostoja) C:-asemalta salattuun Z:-asemaan. Kopiointinopeus näkyy kuvassa. 11 - noin 1,3 MB/s tasolla. Tämä tarkoittaa, että 1 Gt pieniä tiedostoja kopioidaan noin 787 sekunnissa eli 13 minuutissa. Jos kopioit saman kansion salaamattomaan osioon, nopeus on noin 1,9 MB/s (kuva 12). Kopioinnin lopussa nopeus nousi 2,46 MB/s:iin, mutta tällä nopeudella kopioitiin hyvin vähän tiedostoja, joten uskomme nopeudeksi 1,9 MB/s, mikä on 30 % nopeampi. Meidän tapauksessamme samat 1 Gt:n pienet tiedostot kopioidaan 538 sekunnissa eli lähes 9 minuutissa.
Riisi. 11. Pienten tiedostojen kopioimisen nopeus salaamattomasta osiosta salattuun
Riisi. 12. Pienten tiedostojen kopiointinopeus kahden salaamattoman osion välillä
Mitä tulee suuriin tiedostoihin, et tunne eroa. Kuvassa Kuva 13 näyttää nopeuden, jolla suuri tiedosto (400 Mt videotiedosto) kopioidaan salaamattomasta osiosta toiseen. Kuten näette, nopeus oli 11,6 MB/s. Ja kuvassa Kuva 14 esittää saman tiedoston kopiointinopeuden tavallisesta osiosta salattuun osioon ja se oli 11,1 MB/s. Ero on pieni ja on virherajan sisällä (nopeus muuttuu silti hieman kopioinnin edetessä). Ihan huvin vuoksi kerron nopeuden, jolla sama tiedosto kopioidaan muistitikulta (ei USB 3.0:sta) kiintolevylle - noin 8 Mt/s (kuvakaappausta ei ole, mutta luota minuun).
Riisi. 13. Suuri tiedostojen kopiointinopeus
Riisi. 14. Suuren tiedoston kopioimisen nopeus salattuun osioon
Tämä testi ei ole täysin tarkka, mutta se voi silti antaa sinulle jonkinlaisen käsityksen suorituskyvystä.
Siinä kaikki. Suosittelen myös lukemaan artikkelin
