Android-puhelimen salaus. Miksi täydellistä salausta tarvitaan ja miten se vaikuttaa Android-laitteiden suorituskykyyn

Nykyään on monia työkaluja tärkeiden tiedostojen salaamiseen Android-laitteissa. Tässä artikkelissa käsitellään joitain niistä, jotka täyttävät seuraavat ehdot:

• vapaa;
• työskentely ilman pääkäyttäjän oikeuksia ja tavallisen Android-ytimen kanssa;
• tukee mahdollisimman monia Android-versioita;
• kyky työskennellä salattujen tiedostojen kanssa Windows-tietokoneessa.

Erinomainen ilmainen tiedostonhallinta Androidille (vaatii version 2.1 tai uudemman). Tämä sovellus tarjoaa useita tapoja salata tiedostoja.

Salatut arkistot

Käytän tätä menetelmää, jos täydellinen yhteensopivuus on tarpeen, koska kaikki suositut arkistaattorit (WinRAR, 7z ja muut) tukevat salattuja arkistoja, eli tiedoston salauksen purkaminen tietokoneessa ei ole vaikeaa.

Aloita tiedostojen salaus siirtymällä tällä sovelluksella haluttuun kansioon, valitsemalla tiedostot ja napauttamalla "Pakkaus"-vaihtoehtoa pikavalikosta. Nopeuttaaksesi pakkausprosessia, valitse "Ei pakkausta" -toiminto, luo ja määritä salasana.

Kun pakattu, voit siirtyä arkistoon, mutta kaikki tiedostot on merkitty tähdellä ja sinun on annettava salasana niiden avaamista tai purkamista varten.

Tämän menetelmän haittoja ovat, että arkiston tiedostonimet pysyvät salaamattomina ja pakkausprosessi on melko hidas (vaikka tämä miinus on todennäköisesti merkityksetön uusille neliytimisille prosessoreille).

Salaa / Pura salaus

ES Explorerin uusimmissa versioissa kontekstuaaliset vaihtoehdot "Encrypt" ja "Decrypt" ovat ilmestyneet tiedostojen käsittelyssä. Käyttö on hyvin yksinkertaista: valitse tiedostot tai koko kansio, jonka tiedostot haluat salata, ja napsauta "Salaa" -vaihtoehtoa. Syötä haluamasi salasana kahdesti näkyviin tulevassa valintaikkunassa ja napsauta "OK".

Salaus on melko nopea. Kansiorakennetta ei ole salattu, vain tiedostot! Salattujen tiedostojen tunniste on "eslock".

Jos otat käyttöön "Salaa tiedostonimi" -vaihtoehdon salasanavalintaikkunassa, kaikki tiedostonimet salataan. Näet vain joukon numeroita tiedostojen nimissä, jotka osoittavat salauspäivämäärän.

Purkaa tarvitsemasi tiedostot valitsemalla ne ja napsauttamalla "Poista salaus" -kontekstivalikon vaihtoehtoa.

Ainoa haittapuoli on, että et voi purkaa näitä tiedostoja tietokoneella, ainakaan minä en ole löytänyt sellaista tapaa.

Video

EDS

EDS:n (Encrypted Data Store) avulla voit tallentaa tiedostoja salattuun säilöön estääksesi niiden luvattoman käytön. Sovellus toimii Androidilla versiosta 2.2 alkaen. "TrueCrypt"-muotoisia säilöjä tuetaan, mikä tarkoittaa, että voit käyttää salattuja tiedostoja tietokoneeltasi. Ohjelma voi toimia kahdessa tilassa: normaali (ilmainen versio) ja asennustila (maksullinen versio).

EDS Lite (ilmainen versio)

EDS Litellä on vain normaali tila, jossa ei ole nopeaa salausta. Toisin sanoen, jotta tiedosto voidaan avata tai muokata kolmannen osapuolen puhelinsovelluksessa, ohjelma purkaa sen ensin väliaikaiseen hakemistoon (joitakin ääni- ja videomuotoja lukuun ottamatta). Mutta maksulliseen versioon verrattuna on valtava etu: sovellus ei vaadi root-oikeuksia ja sulakemoduulin läsnäoloa Android-järjestelmän ytimessä.

Joten, jos haluat luoda uuden säilön salattujen tiedostojen tallentamista varten, sinun on kosketettava plusmerkkinäppäintä.

Määritä uuden säilön luontiikkunassa polku ja nimi (ilmoitin muistikortin juuren ja nimen "salainen"). Määritä säilön koko megatavuina ja salasana.

Jätä salaus- ja hajautusalgoritmi oletusarvoksi, jotta se on yhteensopiva TrueCrypt for Windows -sovelluksen kanssa. Kun olet napsauttanut "OK" -painiketta ja odottanut hetken (riippuen laitteesi määritetystä koosta ja suorituskyvystä), säiliö tulee näkyviin luetteloon. Napsauta sitä ja anna pääsysalasana.

Säiliön lukitus avautuu ja lukko avautuu. Säilön sisällä voit luoda oman kansioiden ja tiedostojen hierarkian, aivan kuten tavalliselle tietokoneen asemalle tai puhelimen muistikortille. Voit siirtää salaisia ​​tiedostoja säilöyn painamalla puhelimen "Takaisin"-painiketta ja siirtymällä sitten "Laite"-välilehdelle. Valitse seuraavaksi tiedostot, jotka haluat piilottaa Explorerissa, napsauta puhelimen "Valikko"-näppäintä, sitten "Leikkaa"-vaihtoehtoa, palaa säilöön ja napsauta "Liitä"-vaihtoehtoa pikavalikosta.

Tiedostot voidaan avata millä tahansa sopivalla puhelimen sovelluksella (paitsi kuvat, katso kohta "Tärkeät asetukset") sovelluksella.

Kun olet valmis käsittelemään tiedostoja, muista lukita säilön kontekstivalikossa napsauttamalla "Sulje".

Tärkeitä asetuksia

Aseta "Käytä sisäänrakennettua kuvankatseluohjelmaa" -asetukseksi "Ei koskaan", jos haluat katsella kuvia ulkoisella katseluohjelmalla.

Jos haluat tarkastella useita valokuvia tai työskennellessäsi useiden tiedostojen kanssa, on helpompi sijoittaa ne väliaikaiseen hakemistoon, jossa ulkoiset ohjelmat voivat käyttää niitä (vain luku). Luo kansio sopivaan paikkaan ja kirjoita polku siihen sopiviin asetuksiin. Ilmoita "Käynnistyksen enimmäiskoko" -kenttään myös käsittelemiesi tiedostojen vastaava koko (jos niiden koko ylittää 5 Mt).

Jos haluat tarkastella tiedostoja ulkoisessa ohjelmassa, valitse ne ja napsauta pikavalikon vaihtoehtoa "Kopioi väliaikaiseen hakemistoon", siirry sitten asetuksissa määrittämääsi kansioon ja alikansioon "/mirror/XX..XX/". näet salatut tiedostot.

TrueCrypt (työskentely tietokoneella olevien tietojen kanssa)

Jotta voit työskennellä "EDS Lite" -salattujen säiliöiden kanssa, tarvitset TrueCrypt-sovelluksen PC:lle (versiot ovat saatavilla Windowsille, Linuxille ja MacOS:lle). Ennen kuin aloitat työn, kopioi kontti tiedostoineen tietokoneellesi tai liitä puhelin tietokoneeseen USB:n kautta irrotettavan levyn tilassa. Avaa "TrueCrypt"-ohjelma, valitse haluamasi tulevan virtuaalilevyn kirjain asemien luettelosta ja määritä alla olevaan kenttään polku säilöön (käytä "Valitse tiedosto..." -painiketta).

Napsauta "Liitä..." -painiketta, kontti asennetaan paikalliseksi levyksi, joka tulee näkyviin tietokoneen hallintaan.

Voit työskennellä säilötiedostojen kanssa samalla tavalla kuin tavallisella paikallisella levyllä olevien tiedostojen kanssa.

Kun olet valmis, muista irrottaa asema estääksesi pääsyn arkaluontoisiin tietoihin.

Video

EDS (maksullinen versio)

Suurin etu ilmaiseen versioon verrattuna on asennustila, jonka avulla voit toteuttaa "on-the-fly-salauksen" ilman ylimääräistä kopiointia väliaikaiseen hakemistoon. Pohjimmiltaan tämä on "TrueCrypt", joka on toteutettu Androidissa. Voit avata tiedostoja kolmannen osapuolen sovelluksissa suoraan säilöstä. Maksullisessa versiossa luodun säilön valtava määrä kokoonpanoja on vaikuttava. Seuraavia tiedostojärjestelmiä voidaan käyttää: FAT, EXT4, EXT3, EXT2, NTFS; salausalgoritmit: AES, Serpent, Twofish, AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES, Twofish-Serpent, GOST, GOST-AES; sekä salasanan hajautusalgoritmit: SHA-512, RIPEMD-160, Whirlpool, SHA1.

Huomio! Kiinnitystila toimii vain laitteissa, joilla on pääkäyttäjän oikeudet. Lisäksi laitteen ytimen on tuettava sulaketta tai vastaava eds-ydinmoduuli on oltava saatavilla.

Mikä tahansa mobiililaite voi kadota, hylätä, unohtaa tai yksinkertaisesti varastaa. Kaikki siihen suojaamattomassa muodossa tallennetut tiedot voidaan lukea ja käyttää sinua vastaan. Ja tehokkain tapa suojata tietoja on. Tässä artikkelissa puhumme tietojen salausjärjestelmän käyttöönoton ominaisuuksista Androidin uusissa versioissa ja keskustelemme myös työkaluista, joiden avulla voit toteuttaa yksittäisten hakemistojen valikoivan salauksen.

Johdanto

Android perustuu Linux-ytimeen, joka puolestaan ​​sisältää useita mekanismeja, jotka toteuttavat salauksen useille eri kokonaisuuksille. Levyjen ja osioiden salaussuojaukseen tarjotaan järjestelmä nimeltä dm-crypt - eräänlainen kryptosuodatin, jonka kautta voit välittää kaikki pyynnöt levylle tai osioon ja saada tietojen salauksen lennossa.

Googlen ohjelmoijat opettivat Androidin käyttämään dm-cryptia Honeycombin versiosta 3.0 alkaen, jossa ilmestyi vaihtoehto, jonka avulla voit ottaa salauksen nopeasti käyttöön ja asettaa PIN-koodin tietojen käyttöä varten. Käyttäjän näkökulmasta kaikki näyttää erittäin yksinkertaiselta ja vaivattomalta: kytke puhelin laturiin, odota, kunnes se on latautunut täyteen, ja paina haluttua painiketta. Järjestelmä on alkanut salata olemassa olevia tietoja. Kaikki näyttää paljon mielenkiintoisemmalta sisältäpäin.

Androidin erityinen lähestymistapa

Kaikissa Linux-jakeluissa cryptsetup-apuohjelma vastaa dm-crypt:n hallinnasta ja luo LUKS-standardin mukaisesti salatun taltion, jota voidaan käyttää myös kolmannen osapuolen työkaluilla Windowsista tai OS X:stä. Tyypillisesti salausasetus käynnistetään vaiheessa. käyttöjärjestelmän alustus käynnistys initramfs -kuvasta ja yhdistää dm-cryptin levyasemaan, joka sitten liitetään.

Androidissa kaikki tapahtuu eri tavalla. Koska kaikki ytimen yläpuoliset komponentit vaaditaan lisensoimalla Apache-yhteensopivalla lisenssillä, GPL2:lla jaettu kryptasetup ei sisälly Androidiin. Sen sijaan käytetään cryptfs-moduulia, joka on kehitetty tyhjästä paikalliseen volyymihallintaan vold (jota ei pidä sekoittaa alkuperäisiin Linux-työkaluihin: vold ja cryptfs, nämä ovat täysin erilaisia ​​​​kehityksiä).

Oletusarvoisesti Android käyttää kryptfs-salausta käyttäjätietojen, asetusten ja sovellusten (/datahakemisto) salaamiseen. Se tulisi käynnistää varhaisessa käyttöjärjestelmän käynnistysprosessissa, ennen graafisen ympäristön ja perussovellusten käynnistämistä, jotta järjestelmän korkeamman tason komponentit voivat saattaa järjestelmän haluttuun tilaan lukemalla asetukset ja vetämällä tarvittavat tiedot välimuistista. .

Tämä on mahdotonta tehdä automaattitilassa, koska järjestelmän on pyydettävä käyttäjältä salasana salauksen purkamista varten, mikä edellyttää graafisen ympäristön käynnistämistä, eikä sitä puolestaan ​​voida käynnistää ilman /data-hakemiston yhdistämistä, jota ei voi yhdistää. ilman salasanaa. Päästäkseen pois tilanteesta Android käytti epätavallista temppua pakottamalla käyttöjärjestelmän käynnistymään "kahdesti". Minimaalisen järjestelmän ensimmäinen käynnistys tapahtuu ennen kuin cryptfs alkaa pyytää salauksen purkusalasanaa väliaikaisella tiedostojärjestelmällä, joka on kytketty /data-tiedostoon, minkä jälkeen järjestelmä käytännössä sammuu, salattu /data-osio liitetään ja käyttöjärjestelmän lopullinen versio on käynnistetty.

Ota salaus käyttöön

Tietojen salaus Androidissa otetaan käyttöön valikon "Asetukset -> Suojaus -> Salaa tiedot" avulla. Tässä tapauksessa älypuhelimen on oltava täyteen ladattu ja liitetty laturiin, ja lukituksen avaustapana on oltava PIN-koodi tai salasana (Asetukset -> Turvallisuus -> Näytön lukitus -> PIN-koodi), joka on syötettävä ennen salauksen aloittamista. operaatio. Älypuhelin varoittaa, että toiminto kestää noin tunnin, jonka aikana laite käynnistetään uudelleen useita kertoja.

Seuraavaksi tapahtuu juuri sitä, mitä on kuvattu edellisessä osiossa. Älypuhelin käynnistää järjestelmän vähimmäisversion väliaikaisella tiedostojärjestelmällä, joka on yhdistetty /data-pisteeseen, ja alkaa salata tietoja näyttäen toiminnon edistymisen näytöllä. Itse salaus tapahtuu seuraavasti:

1. vold/cryptfs luo ensin 128-bittisen pääavaimen satunnaisten tietojen perusteella tiedostosta /dev/urandom ja tätä avainta käyttämällä kartoittaa /data-hakemiston sisältävän osion uuteen virtuaaliseen salauslaitteeseen, johon kirjoittaminen salaa tiedot automaattisesti käyttämällä pääavaimen, ja lukeminen johtaa salauksen purkamiseen.
2. Pääavain salataan käyttäjän PIN-koodilla ja sijoitetaan osion loppuun. Tästä eteenpäin käynnistettäessä järjestelmä kysyy käyttäjältä PIN-koodia, lukee salatun pääavaimen osiosta, purkaa sen PIN-koodin avulla ja yhdistää salatun /data-osion.
3. Osiolla jo olevien tietojen salaamiseksi järjestelmä lukee peräkkäin tietolohkoja osiolta ja kirjoittaa ne salauslaitteeseen, jolloin käytännössä tapahtuu peräkkäinen toiminto "lue lohko -> salaa -> kirjoita takaisin", kunnes koko osio, paitsi viimeinen 16 kt, joka tallentaa pääavaimen.
4. Toimenpiteen lopussa älypuhelin käynnistyy uudelleen, ja seuraavan käynnistyksen yhteydessä järjestelmä pyytää PIN-koodia tietojen salauksen purkamiseksi.

16 Gt:n Galaxy Nexus -aseman tapauksessa kaikki nämä toiminnot vievät noin 30 minuuttia, ja mikä tärkeintä, ne ovat täysin automatisoituja, joten jopa lapsi pystyy käsittelemään salauksen.

Yksi salasana lukituksen avaamiseen ja salauksen purkamiseen?

Käyttäjien elämän helpottamiseksi Google päätti käyttää samaa salasanaa tietojen lukituksen avaamiseen ja salauksen purkamiseen, mikä johtaa melko ristiriitaiseen kuvaan. Toisaalta salauksen purkamisen salasanan on oltava pitkä ja monimutkainen, koska hyökkääjä voi arvata sen älypuhelimen ulkopuolella yksinkertaisesti poistamalla osion kuvan. Lukituksen avaussalasana sitä vastoin voidaan jättää hyvin yksinkertaiseksi, koska useiden epäonnistuneiden yritysten jälkeen Android lukitsee näytön pysyvästi ja pakottaa sinut syöttämään Google-salasanan.

Seurauksena on, että sinun on valittava lukituksen avaamisen mukavuuden ja salattujen tietojen turvallisuuden välillä (emme pidä kasvojenhallintaa suojana). Onneksi, jos puhelin on rootattu, salauksen purkusalasana voidaan määrittää manuaalisesti vold-konsoliasiakkaalla. Voit tehdä sen näin:

Tästä eteenpäin avaussalasanat ja salauksen purkusalasanat ovat erilaisia, mutta ne muuttuvat uudelleen samoiksi, jos vaihdat lukituksen avaussalasanan (PIN-koodin). Jotta et kiipeäisi konsoliin, voit käyttää jotakin graafisista käyttöliittymistä, esimerkiksi EncPassChangeria.

Palautus ja laiteohjelmiston yhteensopivuus

Valitettavasti jostain syystä Android ei salli palaamista salaamattomaan osioon. Siksi, jos tiedot on jo salattu, se pysyy sellaisena, kunnes tehdasasetusten palautus (täysi tyhjennys) suoritetaan - toiminto, joka alustaa uudelleen /data-hakemiston sisältävän osion ja muuttaa sen automaattisesti salaamattomaksi.

Mutta tässä saattaa syntyä kysymys: "Mitä tapahtuu, jos päivitän Androidin tai asensen mukautetun laiteohjelmiston?" Tässä tapauksessa kaikki riippuu asennustavasta. Useimmissa tapauksissa, kun päivität laiteohjelmistoa tai asennat vaihtoehtoisen laiteohjelmiston, jonka versio on suunnilleen sama (esimerkiksi korvaamalla CyanogenMod 10.1 Paranoid Android 3:lla tai MIUI 5:llä), pyyhkimistä ei tarvita. Tämä tarkoittaa, että asennettu laiteohjelmisto, kun yrität liittää /data-osion, "tajuaa", että se käsittelee salattua osiota, kysyy salasanaa ja purkaa tiedot rauhallisesti.

Jos asennus vaatii täydellisen pyyhkimisen, mikä on yleensä tarpeen päivitettäessä Androidin uusiin versioihin, tilanne on tässä vielä yksinkertaisempi. Pyyhkimisen aikana /data-osio alustetaan uudelleen ja siitä tulee automaattisesti salaamaton. Tärkeintä on tehdä varmuuskopio ennen päivittämistä Titanium Backupilla tai Carbonilla.

Sd-kortti

Google on jo pitkään ilmaissut kantansa, että muistikortti on roskakaatos, joka ei määritelmän mukaan voi sisältää luottamuksellisia tietoja, ja vaikka olisikin, sitä ei ole järkevää salata, koska käyttäjä voi päättää laittaa kortin toiseen puhelimeen. Siksi ei ole olemassa tavallisia tapoja salata muistikortti Androidissa, ja saadaksesi tällaiset toiminnot sinun on käytettävä kolmannen osapuolen ohjelmistoja.

Kolmannen osapuolen salausohjelmistoista meillä on valittavana kolme eri sovellusluokkaa:

1. Asia sinänsä. Sovellus, joka voi luoda ja avata kryptosäilöjä, mutta ei salli niiden yhdistämistä tiedostojärjestelmään. Eräänlainen tiedostonhallinta, joka tukee salattuja taltioita. Asiasta on vähän hyötyä, sillä se soveltuu vain päiväkirjan ja muistiinpanojen pitämiseen.
2. PseudoFS. Monien varasto- ja vaihtoehtoisten laiteohjelmistojen Linux-ytimissä on tuki FUSE-käyttäjäavaruustiedostojärjestelmäajurille, jonka pohjalta on aikoinaan kehitetty useita salaus-FS:itä. Yksi niistä on EncFS. Androidilla se on saatavilla Cryptonite-, Encdroid- ja muiden sovellusten muodossa. Tällaisen ohjelmiston avulla voit salata minkä tahansa hakemiston niin, että ehdottomasti kaikilla sovelluksilla on pääsy siihen.
3. Perustuu dm-cryptiin. Ne ovat toiminnaltaan ja toteutukseltaan samanlaisia ​​kuin aikaisemmat, mutta käyttävät natiivia dm-crypt salaukseen. LUKS Manager on tämän ohjelmistoluokan paras edustaja. Mahdollistaa kuvatiedoston luomisen muistikortille, joka voidaan yhdistää mihin tahansa hakemistoon milloin tahansa tietojen saamiseksi. Sama voidaan tehdä Linuxista cryptsetupilla tai Windowsista FreeOTFE:n avulla.

Kryptoniitti

Cryptonite on EncFS-salaustiedostojärjestelmän ympärillä oleva kääre, jonka avulla voit luoda ja tarkastella salattuja taltioita tallennuskortilla ja Dropboxin sisällä sekä liittää taltioita tallennuskorttihakemistoihin niin, että ne näkyvät kaikille sovelluksille. Meitä kiinnostaa ensisijaisesti jälkimmäinen käyttötapaus ainoana jokapäiväiseen käyttöön hyväksyttävänä, mutta se vaatii pääkäyttäjän oikeudet sekä FUSE-tuen ytimessä.

Kryptoniitin käyttäminen tässä ominaisuudessa on melko yksinkertaista, mutta sekaannusten välttämiseksi ymmärrämme sen toimintaperiaatteet. Sovellus perustuu Linux-käyttäjien hyvin tuntemaan EncFS-työkaluun. Pohjimmiltaan tämä on apuohjelma, jonka avulla voit yhdistää yhden hakemiston toiseen hakemistoon niin, että toiseen hakemistoon kirjoitettu päätyy automaattisesti ensimmäiseen salatussa muodossa, ja kun se luetaan, sen salaus puretaan vastaavasti. Kun näyttö on päällä, tietoihin pääsee käsiksi, mutta heti kun sammutat sen, toisen hakemiston sisältö katoaa ja jäljelle jää vain ensimmäinen, jonka sisältö on täysin salattu.

Tästä syystä Cryptonite vaatii kaksi hakemistoa: ensimmäinen - salattujen tietojen tallentamiseen ja toinen - tyhjä hakemisto, jossa ensimmäisen sisältö näytetään salatussa muodossa. Yksinkertaisuuden vuoksi kutsutaan niitä kryptaksi ja salauksen purkamiseksi. Luomme nämä kaksi hakemistoa muistikortille millä tahansa tiedostonhallinnan avulla. Käynnistä Cryptonite, siirry kohtaan "Asetukset -> Liitäntäpiste" ja valitse salauksen purkuhakemisto. Nyt sitä käytetään aina salattujen tietojen yhteyspisteenä. Palaamme takaisin, siirrymme LOCAL-välilehdelle ja napsauta "Luo paikallinen asema" -painiketta alustaaksesi salatun hakemiston. Valitse salaushakemisto ja anna salasana. Nyt ei jää enää muuta kuin palata päänäyttöön ja painaa "Mount EncFS" -painiketta (ja kirjoittaa salasana uudelleen). Tästä lähtien kaikki, mitä kopioit salauksen purkuhakemistoon, päätyy automaattisesti salaushakemistoon salatussa muodossa, ja salauksen purkamisen jälkeen kukaan ei voi lukea sen sisältöä (voit tarkistaa kopioimalla useita tiedostoja salauksen purkamiseen ja sitten kryptan sisällön katsominen).

Samalla tavalla voit muuten järjestää tietojen salauksen Dropboxissa. Cryptonite antaa sinun tehdä tämän heti, mutta tässä tapauksessa pääsy tietoihin voidaan saada vain itse sovelluksen kautta, toisin sanoen kaikissa salatun datan toiminnoissa sinun on käynnistettävä Cryptonite ja suoritettava kaikki toiminnot sen sisäänrakennettu tiedostonhallinta. Itse Dropbox for Android käyttäytyy tietysti samalla tavalla, mutta ainakin sillä on avoin API, jota muut sovellukset voivat käyttää, mikä vaatii tässä vain manuaalisen pääsyn.

Voit kiertää tämän ongelman asentamalla Dropsync-palvelun, joka toimii taustalla ja synkronoi ajoittain valittujen hakemistojen sisällön Dropboxin kanssa. Riittää, kun määrität sen synkronoimaan salaushakemisto (mutta ei purkaa salausta), ja salatut tiedot menevät automaattisesti Dropboxiin. Voit käyttää isoveljen tietoja käyttämällä EncFS:n Linux- tai Windows-versiota. Vain laiskot eivät kirjoittaneet niiden käytöstä.

LUKS Manager

Toinen sovellus listallamme on LUKS Manager, toiminnaltaan olennaisesti samanlainen sovellus, joka käyttää dm-cryptia EncFS:n sijaan ja salattuja binäärikuvia hakemistojen sijaan. Käytännön kannalta tämä vaihtoehto on parempi kuin edellinen siinä mielessä, että sillä salattuja kuvia voidaan katsella tai muokata lähes kaikissa käyttöjärjestelmissä, mukaan lukien Linux, Windows ja OS X. Haittapuolena on, että sitä on hankala käyttää salaukseen tiedostot Dropboxissa, koska kuten Dropbox-asiakkaan on synkronoitava koko kuva joka kerta, mikä voi olla hyvin suuri, toisin kuin yksittäiset tiedostot, kuten EncFS:n tapauksessa.

Jotta LUKS Manager toimisi oikein, tarvitset ytimen, joka tukee dm-cryptia ja loopbackia, mutta vaikka ensimmäinen on saatavilla jopa Android 2.3 -ytimissä, toinen ei ole saatavilla kaikissa varastossa olevissa ytimissä. Siksi tarvitset todennäköisesti laiteohjelmiston, jossa on vaihtoehtoinen ydin, kuten CyanogenMod, AOKP tai MIUI.

Loppu on yksinkertaista. Ohjelman käyttöliittymä koostuu vain kuudesta painikkeesta: Tila, Poista kaikki, Liitä, Poista, Luo ja Poista. Jos haluat luoda uuden kuvan ja käyttää sitä, napsauta "Luo", valitse liitettävä hakemisto, koko ja määritä salasana ja tiedostojärjestelmä (FAT32 Windows-yhteensopivuus tai ext2 Linux). Muistikortilla voi olla ja liitetty useita kuvia samanaikaisesti, jotka voidaan poistaa käytöstä "Unmount"-painikkeilla tai poistaa "Poista".

Sovelluksen hallinnassa ei ole mitään monimutkaista, sanon vain, että LUKS Manager -paketti sisältää myös Androidille kootun kryptsetup-apuohjelman version, jota voidaan käyttää kuvien manuaaliseen ohjaukseen ja yhdistämiseen.

Muut käyttötarkoitukset

Dm-crypt ja cryptfs ovat käytössä Androidissa paitsi suojaamaan /data-hakemistoa uteliailta katseilta. Heidän avullaan, outoa kyllä, täällä toteutetaan järjestelmä sovellusten asentamiseksi muistikortille. Se perustuu salattujen kuvien ideaan, yksi jokaiselle asennetulle sovellukselle. Tämä tehdään sovelluksen mahdollisesti tallentamien luottamuksellisten tietojen suojaamiseksi muilta sovelluksilta, joilla on Androidissa täysi lukuoikeus SD-korttiin, sekä niiltä, ​​jotka ottavat SD-kortin haltuunsa.

Käynnistämällä terminaalin ja suorittamalla df-komennon voit nähdä itse, kuinka tämä toteutetaan. Kuvakaappaus "Galaxy Nexus ja df" näyttää tämän komennon lähdön älypuhelimessani. On selvästi havaittavissa, että /data-hakemistoon yhdistetyn ja älypuhelimen tietojen salaamisesta vastaavan pseudo-salauslaitteen /dev/block/dm–0 lisäksi eri hakemistoihin on kytketty 15 muuta samanlaista laitetta. sisällä /mnt/asec. Nämä ovat muistikortille asennettuja sovelluksia. Itse sovellukset on tallennettu salattuihin kuviin muistikortin .asec-hakemistoon ja salausavaimet älypuhelimen päämuistiin.

Saatat myös huomata, että olemassa on myös pseudolaite /dev/fuse, joka on yhdistetty hakemistoon /storage/emulated/legacy, sekä joihinkin muihin hakemistoihin. Tämä ei ole muuta kuin muistikortin "emulaattori", joka on toteutettu aiemmin kuvatulla FUSE-ohjaimella (itse Galaxy Nexus ei tue muistikortteja). Pohjimmiltaan tämä on yksinkertainen peilaus /storage/emulated/legacy-hakemistosta hakemistoon /data/media/0. Tässä tapauksessa /sdcard-hakemisto on linkki hakemistoon /storage/emulated/legacy. Suorittamalla ps-komennon huomaat, että peilaus on toteutettu /system/bin/sdcard-sovelluksella, joka käyttää perustana FUSE:ta. Itse asiassa tämä on vaihtoehtoinen unionf-toteutus, joka on tuttu kaikille Linux-käyttäjille.

VAROITUS

Dm-crypt-moduulia ei voida käyttää osioiden salaamiseen YAFFS-tiedostojärjestelmällä, koska viimeksi mainittu käyttää matalan tason operaatioita NAND-muistia käytettäessä.

johtopäätöksiä

Kuten näet, korkealaatuisen tiedonsalauksen saaminen Androidissa on hyvin yksinkertaista, eikä useimmissa tapauksissa tarvitse edes asentaa lisäohjelmistoja. Ainoa rajoitus on, että älypuhelimella on oltava Android 4.0 tai uudempi, mutta koska kaikkea, mikä oli ennen 4.0:aa, on melko vaikea nimetä käyttöjärjestelmäksi, ei tässä ole erityistä ongelmaa :).

TIEDOT

Toteutustiedot tavallisesta Android-salausjärjestelmästä vainoharhaisille: 128-bittinen AES CBC-tilassa ja ESSIV: SHA-256. Pääavain salataan toisella 128-bittisellä AES-avaimella, joka on johdettu käyttäjän salasanasta käyttämällä 2000 PBKDF2-standardin iteraatiota 128 bitin satunnaisella suolalla.

Viimeksi päivitetty 18. marraskuuta 2016.

Applen ja FBI:n välinen taistelu on tuonut uutta huomiota salauksen tärkeyteen. Huolimatta siitä, että jokaisella voi olla oma mielipiteensä tästä asiasta, henkilötietojesi suojaamisen tärkeyttä ei tarvitse selittää, ja kaikki alkaa älypuhelimesta.

Nämä laitteet tallentavat henkilökohtaisia ​​valokuvia, yksityisviestejä, sähköposteja ja joskus jopa arkaluonteisia terveystietoja. Jos nämä tiedot joutuvat vääriin käsiin, sillä voi olla tuhoisia seurauksia. Aakkosnumeerisen salasanan käyttäminen on askel oikeaan suuntaan, mutta sinun tulee myös harkita laitteen salaamista.

iPhonet, iPadit ja useimmat Android-laitteet voidaan salata. Tässä on mitä sinun on tiedettävä.

iOS.

Apple esitteli laitesalauksen iOS 8:sta alkaen vuonna 2014. Salatun laitteen käynnistäminen edellyttää salasanan tai sormenjäljen syöttämistä. Nelinumeroinen perus-PIN-koodi toimii tässä, mutta paremman turvallisuuden vuoksi suosittelen pitemmän numeerisen salasanan tai aakkosnumeerisen salasanan käyttöä.

• Syötä "Asetukset".
• Valitse Touch ID & Passcode (tai Pääsykoodi vanhemmille laitteille, joissa ei ole sormenjälkitunnistinta).
• Napsauta "Ota salasana käyttöön" -vaihtoehtoa.
• Syötä monimutkainen salasana tai suojakoodi (muista kirjoittaa se muistiin, älä luota muistiisi. Jos unohdat salasanan, et voi enää kirjautua puhelimeen, vaan sinun on palautettava se. tehdastila ja menetät kaikki tiedot.)

Android.

Androidissa tämä prosessi on hieman monimutkaisempi. Nexus-puhelimissa ja -tableteissa on oletusarvoisesti käytössä salaus. Useimmat uudet laitteet, joissa on Android 6.0, kuten Galaxy S7 ja Galaxy S7 Edge, myydään myös salauksen ollessa käytössä. Kuten iPhonessa, sinun tarvitsee vain lisätä salasana tai sormenjälki salauksen mahdollistamiseksi suoraan.

• Syötä "Asetukset".
• Siirry "Turvallisuus"-sivulle.
• Valitse Näytön lukitus.
• Luo salasana.

Vanhemmissa laitteissa, kuten Moto X Pure ja Galaxy S6, sinun on kuitenkin salattava se manuaalisesti. Ennen kuin aloitat, varmista, että puhelimesi on kytketty verkkovirtaan, sillä prosessi voi kestää jopa tunnin riippuen laitteesi datamäärästä. Luo seuraavaksi salasana yllä mainittujen vaiheiden mukaisesti ja toimi seuraavasti:

• Avaa asetukset.
• Valitse "Turvallisuus".
• Napsauta "Salaa puhelin".

Menetelmä on hieman erilainen Galaxy S6:ssa. Täällä sinun on mentävä "Asetukset" -valikkoon, valitsemalla "Näytön lukitus" ja "Suojaus" ja sitten "Muut suojausasetukset" ja napsauta "Salaa puhelin".

Voit myös salata SD-korttisi pitääksesi tietosi turvassa ja estääksesi toisen laitteen lukemisen korttia (ellei sitä ensin tyhjennetä). Siirry kohtaan Asetukset, valitse Suojaus, sitten Ulkoinen SD-kortin salaus ja napsauta Ota käyttöön. Toisin kuin laitteen salaus (joka edellyttää, että pyyhit puhelimesi kokonaan tämän salauksen poistamiseksi käytöstä), SD-kortin salaukseen pääsee helposti Asetukset-valikosta.

Syitä siihen, miksi Android-laitetta ei salata.

On useita syitä, miksi saatat haluta lykätä salausta. Salausmenetelmä on erilainen jokaiselle laitteelle. Esimerkiksi Motorola antaa sinun jatkaa PIN-koodin ja suojakuvion käyttöä puhelimen salauksen jälkeen, mutta Samsung sallii vain salasanan tai sormenjäljen käytön.

Samsung vaatii myös salasanan syöttämistä jokaisen uudelleenkäynnistyksen jälkeen. Vaikka tämä vähentää todennäköisyyttä, että hyökkääjä pääse käsiksi tietoihisi, se voi aiheuttaa sinulle liikaa vaivaa.

Laite näyttää myös pienen suorituskyvyn, kun se salataan. Tämä pudotus on tuskin havaittavissa uusimmissa huippupuhelimissa, mutta vanhemmat mallit ja heikommat laitteet voivat kärsiä. Suosittelen käyttämään salausta vain uusimmissa huippuluokan laitteissa, kuten Galaxy S6, LG G4, HTC One M10 ja niiden uudemmissa malleissa (Galaxy S7, LG G5 jne...).

FBI yritti oikeudessa vääntää Applen käsiä, sillä Apple ei halunnut luoda koodia oman turvajärjestelmänsä ohittamiseksi. Android-ytimestä on löydetty kriittinen haavoittuvuus, jonka ansiosta pääkäyttäjät voivat ohittaa kaikki suojausmekanismit. Nämä kaksi tapahtumaa, vaikka ne eivät liity toisiinsa, osuivat ajallisesti yhteen, mikä osoittaa selvästi erot kahden suositun mobiilikäyttöjärjestelmän turvajärjestelmissä. Jätetään hetkeksi sivuun ongelma Android-ytimen kriittisestä haavoittuvuudesta, jota useimmat valmistajat eivät todennäköisesti koskaan korjaa jo julkaistuissa malleissa, ja tarkastellaan Androidin ja Apple iOS:n tietojen salausmekanismeja. Mutta ensin puhutaan siitä, miksi salausta ylipäänsä tarvitaan mobiililaitteissa.

Miksi salata puhelimesi?

Rehellisellä ihmisellä ei ole mitään salattavaa - suosituin leitmotiivi, joka kuulostaa jokaisen tietosuoja-aiheisen julkaisun jälkeen. "Minulla ei ole mitään salattavaa", monet käyttäjät sanovat. Valitettavasti tämä tarkoittaa paljon useammin vain luottamusta siihen, että kukaan ei vaivaudu pääsemään tietyn Vasya Pupkinin tietoihin, koska ketä heistä ylipäätään kiinnostaa? Käytäntö osoittaa, että näin ei ole. Emme mene pitkälle: juuri viime viikolla puhelimensa hetkeksi pöydälle jättäneen koulun opettajan ura päättyi irtisanomiseen. Oppilaat avasivat laitteen heti lukituksen ja ottivat opettajasta valokuvia muodossa, jonka amerikkalaisen yhteiskunnan puritaaninen moraali tuomitsee. Tapaus oli riittävä peruste opettajan irtisanomiseen. Tällaisia ​​tarinoita tapahtuu melkein joka päivä.

Kuinka salaamattomia puhelimia hakkeroidaan

Emme mene yksityiskohtiin, muista vain: salaamattoman puhelimen tiedot voidaan palauttaa lähes sadassa prosentissa tapauksista. "Melkein" tarkoittaa tässä pikemminkin tapauksia, joissa puhelinta yritettiin fyysisesti vahingoittaa tai tuhota välittömästi ennen tietojen poistamista. Monissa Android- ja Windows Phone -laitteissa on palvelutila, jonka avulla voit tyhjentää kaikki tiedot laitteen muistista tavallisen USB-kaapelin kautta. Tämä koskee useimpia Qualcomm-alustan laitteita (HS-USB-tila, joka toimii myös käynnistyslataimen ollessa lukittuna), kiinalaisissa älypuhelimissa, joissa on MediaTek (MTK), Spreadtrum- ja Allwinner-prosessorit (jos käynnistyslatain on lukitsematon), sekä kaikkia LG:n valmistamat älypuhelimet (yleensä kätevä palvelutila, jonka avulla voit yhdistää tietoja jopa "muuratusta" laitteesta).

Mutta vaikka puhelimessa ei olisikaan palvelun "takaovea", tiedot laitteesta voidaan silti saada purkamalla laite ja yhdistämällä se JTAG-testiporttiin. Edistyneimmissä tapauksissa laitteesta poistetaan eMMC-siru, joka laitetaan yksinkertaiseen ja erittäin halvaan sovittimeen ja toimii samalla protokollalla kuin yleisin SD-kortti. Jos tietoja ei salattu, kaikki voidaan helposti poimia puhelimesta tokeneihin asti, jotka tarjoavat pääsyn pilvitallennustilaan.

Entä jos salaus olisi käytössä? Androidin vanhemmissa versioissa (4.4 asti) tämä voitiin ohittaa (lukuun ottamatta kuitenkin Samsungin valmistamia laitteita). Mutta Android 5.0:ssa vihdoin ilmestyi vahva salaustila. Mutta onko se niin hyödyllinen kuin Google luulee sen olevan? Yritetään selvittää se.

Android 5.0–6.0

Ensimmäinen Android 5.0 -käyttöjärjestelmää käyttävä laite oli Google Nexus 6, jonka Motorola julkaisi vuonna 2014. Tuolloin 64-bittisiä mobiiliprosessoreita ARMv8-arkkitehtuurilla mainostettiin jo aktiivisesti, mutta Qualcommilla ei ollut valmista ratkaisua tälle alustalle. Tämän seurauksena Nexus 6 käytti Snapdragon 805 -piirisarjaa, joka perustui Qualcommin omiin 32-bittisiin ytimiin.

Miksi se on tärkeää? Tosiasia on, että ARMv8-arkkitehtuuriin perustuvissa prosessoreissa on sisäänrakennettu komentosarja virran datan salauksen nopeuttamiseksi, mutta 32-bittisissä ARMv7-prosessoreissa ei ole tällaisia ​​komentoja.

Joten varo käsiäsi. Prosessorissa ei ole ohjeita krypton kiihdyttämiseen, joten Qualcomm on rakentanut järjestelmän logiikkasarjaan erillisen laitteistomoduulin suorittamaan samat toiminnot. Mutta jokin ei toiminut Googlelle. Joko ohjaimia ei ollut valmis julkaisuhetkellä tai Qualcomm ei toimittanut lähdekoodeja (tai ei sallinut niiden julkaisemista AOSP:ssä). Yksityiskohdat ovat yleisölle tuntemattomia, mutta tulos on tiedossa: Nexus 6 järkytti arvioijia erittäin hitaalla tiedonlukunopeudellaan. Kuinka hitaasti? Jotain tällaista:

Syy kahdeksankertaiseen viiveeseen "pienemästä veljestään", Motorola Moto X 2014 -älypuhelimesta, on yksinkertainen: pakotettu salaus, jonka yritys toteuttaa ohjelmistotasolla. Tosielämässä Nexus 6:n alkuperäisen laiteohjelmistoversion käyttäjät valittivat lukuisista viiveistä ja jumiutumisesta, laitteen huomattavasta kuumenemisesta ja suhteellisen huonosta akun kestosta. Pakotetun salauksen poistavan ytimen asentaminen ratkaisi välittömästi nämä ongelmat.

Kuitenkin laiteohjelmisto on sellainen asia, voit lopettaa sen, eikö? Varsinkin jos olet Google, sinulla on rajoittamaton talous ja henkilöstösi pätevimmät kehittäjät. No, katsotaan mitä seuraavaksi tapahtui.

Ja sitten oli Android 5.1 (kuusi kuukautta myöhemmin), jossa tarvittavat ohjaimet laitteistokiihdytin kanssa työskentelyyn lisättiin ensin laiteohjelmiston alustavaan versioon ja poistettiin sitten lopullisessa versiossa vakavien lepotilaongelmien vuoksi. Sitten oli Android 6.0, sen julkaisuhetkellä käyttäjät olivat jo menettäneet kiinnostuksensa tähän peliin ja alkoivat poistaa salausta millä tahansa keinolla käyttämällä kolmannen osapuolen ytimiä. Tai älä poista sitä käytöstä, jos lukunopeus 25–30 Mt/s riittää.

Android 7.0

Okei, mutta voisiko Android 7 korjata vakavan ongelman lippulaivalaitteessa, joka on melkein kaksi vuotta vanha? Se on mahdollista ja se on korjattu! ElcomSoft-laboratorio vertaili kahden identtisen Nexus 6s:n suorituskykyä, joista toisessa oli Android 6.0.1 ja ElementalX-ydin (ja salaus poistettu käytöstä), kun taas toisessa oli Android 7:n ensimmäinen esikatseluversio oletusasetuksilla (salaus käytössä). Tulos on selvä:

Jatko on vain tilaajien saatavilla

Vaihtoehto 1. Tilaa Hacker lukeaksesi kaiken sivuston materiaalin

Tilauksen avulla voit lukea KAIKKI maksulliset materiaalit sivustolla määritetyn ajan kuluessa. Hyväksymme maksut pankkikorteilla, sähköisellä rahalla ja siirrot matkapuhelinoperaattoritililtä.

Jos katsot asiaa turvallisuusnäkökulmasta, Android-älypuhelimesi on kompakti laatikko, joka on täynnä tärkeitä henkilökohtaisia ​​tietoja, ja tuskin haluaisi sen joutuvan muiden vääriin käsiin. Saadaksesi realistisemman kuvan tilanteesta, ajattele sähköpostisi, tekstiviestisi, tallennettujen luottokorttien numerot, henkilökohtaiset valokuvat ja muut arkaluontoiset tiedot.

Luulen, että kukaan ei haluaisi joutua tilanteeseen, jossa tuntematon saisi nämä tiedot haltuunsa, koska on pelottavaa edes ajatella tämän seurauksia. Ja tämä on tärkein syy, miksi tulemme erilaisiin menetelmiin puhelimemme tai tablettimme suojauksen järjestämiseksi, ja tietojen salaus on tärkein tapa suojata tietoja.

Mikä on salaus?

Salaus on palautuva prosessi, jossa tiedot muunnetaan lukukelvottomaksi kaikille henkilöille paitsi niille, jotka osaavat purkaa sen. Ainoa tapa saada tiedot takaisin luettavaan muotoon on purkaa sen salaus takaisin oikealla avaimella.

Sellaiset asiat on helpompi ymmärtää yksinkertaisilla esimerkeillä, oletetaan, että olet hukannut päiväkirjasi ja joku, joka löytää sen ja osaa venäjää, voi helposti lukea ja selvittää sisimpiä salaisuuksiasi, mutta jos pidit päiväkirjaa jonkinlaisessa salakoodissa tai kieltä, jota vain sinä ymmärrät, niin kukaan muu ei voi lukea sitä.

Samanlaista lähestymistapaa voidaan soveltaa Android-laitteellesi tallennettuihin tietoihin. Varas voi ottaa älypuhelimesi tai tablettisi haltuunsa ja päästä käsiksi henkilökohtaisiin tietoihisi, mutta jos tiedot on salattu, se on vain joukko turhaa juorua, jota hän ei pysty lukemaan.

Salaamme Androidisi

Android-salaus on hyvin yksinkertainen toimenpide. Huomaa, että tietojen salauksen valikot voivat sijaita eri paikoissa eri laitteissa. Lisäksi mukautetulla laiteohjelmistolla ja käyttöliittymällä, esimerkiksi Samsung TouchWiz UX:llä, voi olla erilaisia ​​vaatimuksia.

Aseta ensin salasana tai PIN-koodi näytön lukitsemiseksi. Tämä salasana tai PIN-koodi on osa avainta tietojen salauksen purkamiseksi, joten on tärkeää asettaa se ennen salauksen aloittamista.

Jotkut laitevalmistajat asettavat lisäturvavaatimuksia, kuten Galaxy S3:lle ja Galaxy S4:lle.

Kun olet asettanut PIN-koodin tai salasanan, siirry päävalikon "Turvallisuus"-alaosioon ja valitse "Salaa puhelin" tai "Salaa tabletti". Eri laitteissa tietojen salausvalikko voi sijaita eri paikoissa, esimerkiksi HTC One -puhelimessa se sijaitsee päävalikon Muisti-osiossa.

Salausvalikko näyttää suunnilleen tältä:

Salausprosessi kestää kauan, joten on tärkeää, että akku on ladattu täyteen. Jos akun varaus ei riitä, saat ilmoituksen ennen salauksen alkamista.

Jos kaikki on valmis, napsauta "Salaa puhelin"- tai "Salaa tabletti" -näytön alaosassa olevaa painiketta. Tässä puhelimesi kysyy salasanaa tai PIN-koodia, vahvista se syöttämällä se. Varoitusviesti tulee uudelleen näkyviin, napsauta "Salaa puhelin" -painiketta.

Laitteesi käynnistyy uudelleen ja vasta sen jälkeen salaus alkaa. Näet näytöllä salauksen edistymisen ilmaisimen. Kun salausprosessi on käynnissä, älä pelaa puhelimellasi tai yritä suorittaa mitään, jos keskeytät salausprosessin, saatat menettää kaikki tiedot tai osan niistä.

Kun salaus on valmis, puhelin (tabletti) käynnistyy uudelleen ja sinun on syötettävä salasanasi tai PIN-koodi kaikkien tietojen salauksen purkamiseksi. Salasanan syöttämisen jälkeen kaikkien tietojen salaus puretaan ja normaali Android käynnistyy.

Ulkoisen SD-kortin salaus

Jotkut laitteet, kuten Galaxy S3 ja Galaxy S4, mahdollistavat tietojen salaamisen jopa ulkoisilla tallennuslaitteilla - SD-muistikorteilla.

Yleensä sinulla on mahdollisuus valita, mitkä muistikortilla olevat tiedostot salataan. Sinulla on seuraavat salausvaihtoehdot: koko SD-kortti, sisällytä/sulje pois multimediatiedostoja tai salaa vain uudet tiedostot.

SD-kortille salaamiasi tietoja ei voi lukea toisella Android-laitteella. Jotkut laitteet ilmoittavat, että muistikortti on tyhjä tai siinä on tuntematon tiedostojärjestelmä.

Toisin kuin sisäisen muistin salaus, SD-kortilla olevien tietojen salaus voidaan peruuttaa. Galaxy S3:ssa ja Galaxy S4:ssä voit purkaa ulkoisen microSD-kortin tiedot Salaa ulkoinen SD-kortti -valikon avulla. Ole varovainen SD-korttien salauksen kanssa, sillä jotkin Android-laitteet voivat tuhota kaiken tiedon salauksen tai dekoodauksen aikana.

Kuten

Lyhyesti: Jos käytät puhelimesi graafista näppäintä, tämä riittää 99 % ajasta varmistamaan, ettei kukaan pääse käsiksi puhelimesi tietoihin tietämättäsi. Jos puhelimesi tiedot ovat erittäin arkaluonteisia, sinun tulee käyttää puhelimen sisäänrakennettua täydellistä salausominaisuutta.

Nykyään lähes kaikista älypuhelimista on tullut tärkeitä henkilökohtaisia ​​tai yritystietoja välittäviä tietoja. Myös omistajan puhelimen kautta pääset helposti hänen tileihinsä, kuten Gmailiin, DropBoxiin, FaceBookiin ja jopa yrityspalveluihin. Siksi on tavalla tai toisella syytä huolehtia näiden tietojen luottamuksellisuudesta ja käyttää erityisiä keinoja puhelimen suojaamiseksi luvattomalta käytöltä sen varkauden tai katoamisen yhteydessä.

1. Keneltä sinun pitäisi suojata puhelintietosi?
2. Sisäänrakennettu tietosuoja Androidissa.
3. Täysi puhelimen muistin salaus
4. Tulokset

Mitä tietoja puhelimeen tallennetaan ja miksi niitä suojataan?

Älypuhelin tai tabletti toimii usein mobiilisihteerinä vapauttaen omistajan pään suuren määrän tärkeitä tietoja tallentamasta. Puhelinluettelo sisältää useita ystäviä, työtovereita ja perheenjäseniä. Muistikirjaan kirjoitetaan usein luottokorttien numerot, pääsykoodit, salasanat sosiaalisiin verkkoihin, sähköpostiin ja maksujärjestelmiin.
Viimeaikaisten puheluiden luettelo on myös erittäin tärkeä.
Puhelimen menettäminen voi olla todellinen katastrofi. Joskus ne varastetaan erityisesti henkilökohtaiseen elämään tai voittojen jakamiseksi omistajan kanssa.
Joskus niitä ei varasteta ollenkaan, vaan niitä käytetään lyhyen aikaa, huomaamatta, mutta muutama minuutti riittää kokeneelle pahantahtoiselle käyttäjälle selvittääkseen kaikki yksityiskohdat.

Luottamuksellisten tietojen menettäminen voi johtaa taloudelliseen tuhoon, henkilökohtaisen elämäsi romahdukseen ja perheesi hajoamiseen.
Toivon, ettei minulla olisi sitä! - entinen omistaja sanoo. - On niin hyvä, että sait hänet! - hyökkääjä sanoo.

Ja mitä puhelimessa pitää suojata:

1. Tilit. Tämä sisältää esimerkiksi pääsyn Gmail-postilaatikkoosi. Jos olet määrittänyt synkronoinnin Facebookin, dropboxin tai twitterin kanssa. Näiden järjestelmien käyttäjätunnukset ja salasanat tallennetaan selkeänä tekstinä puhelimen profiilikansioon /data/system/accounts.db.
2. SMS-kirjeenvaihdon ja puhelinluettelon historia sisältää myös luottamuksellisia tietoja.
3. Web-selain ohjelma. Koko selainprofiili on suojattava. Tiedetään, että verkkoselain (sisäänrakennettu tai kolmannen osapuolen valmistama) muistaa kaikki salasanat ja kirjautumiset puolestasi. Tämä kaikki on tallennettu avoimessa muodossa puhelimen muistiin ohjelmaprofiilikansioon. Lisäksi yleensä itse sivustot (evästeitä käyttävät) muistavat sinut ja jättävät pääsyn tiliisi auki, vaikka et olisi määrittänyt salasanan muistamista.
   Jos käytät mobiiliselaimen (Chrome, FireFox, Maxthon jne.) synkronointia selaimen työpöytäversion kanssa kirjanmerkkien ja salasanojen siirtämiseen laitteiden välillä, voit olettaa, että voit käyttää kaikkia muiden sivustojen salasanoja puhelimestasi.
4. Muistikortti. Jos tallennat luottamuksellisia tiedostoja muistikortille tai lataat asiakirjoja Internetistä. Yleensä otetut valokuvat ja videot tallennetaan muistikortille.
5. Valokuva-albumi.

Keneltä sinun pitäisi suojata puhelintietosi:

1. Satunnaiselta henkilöltä, joka löytää kadonneen puhelimesil koska puhelimen "vahingossa" varastetaan.
   On epätodennäköistä, että puhelimen tiedoilla olisi tässä tapauksessa arvoa uudelle omistajalle. Siksi jopa yksinkertainen graafinen avaimen suojaus takaa tietoturvan. Todennäköisesti puhelin yksinkertaisesti alustetaan uudelleen käyttöä varten.
2. Uteliaisilta silmiltä(työkaverit/lapset/vaimot), joka voi päästä käsiksi puhelimeesi tietämättäsi hyödyntäen poissaoloasi. Yksinkertainen suojaus takaa tietojesi turvallisuuden.
3. Pakotetun pääsyn tarjoaminen
   Tapahtuu, että sinut pakotetaan vapaaehtoisesti antamaan puhelinnumero ja avoin pääsy järjestelmään (tiedot). Esimerkiksi kun vaimosi, valtion virkamies tai palvelukeskuksen työntekijä, jonne vietit puhelimen korjattavaksi, pyytää sinua katsomaan puhelintasi. Tässä tapauksessa mikään puolustus on hyödytöntä. Vaikka on mahdollista lisäohjelmien avulla piilottaa joidenkin tietojen olemassaolo: piilota osa SMS-kirjeenvaihdosta, osa yhteystiedoista, jotkin tiedostot.
4. Puhelimesi kohdistetusta varkaudesta.
   Esimerkiksi joku todella halusi tietää, mitä puhelimessasi oli, ja yritti saada sen.
   Tässä tapauksessa vain puhelimen ja SD-kortin täysi salaus auttaa.

Sisäänrakennettu tietosuoja Android-laitteissa .

1. Lukitse näyttö kuvionäppäimellä.
Tämä menetelmä on erittäin tehokas ensimmäisessä ja toisessa tapauksessa (suojaus puhelimen vahingossa katoamiselta ja suoja uteliailta katseilta). Jos kadotat puhelimesi vahingossa tai unohdat sen töihin, kukaan ei voi käyttää sitä. Mutta jos puhelimesi päätyi tarkoituksella vääriin käsiin, tämä ei todennäköisesti pelasta sinua. Hakkerointi voi tapahtua jopa laitteistotasolla.

Näyttö voidaan lukita salasanalla, PIN-koodilla ja kuvioavaimella. Voit valita lukitustavan käynnistämällä asetukset ja valitsemalla Suojaus -> Näytön lukitus.

Graafinen avain (kuvio) - c Kätevin ja samalla luotettavin tapa suojata puhelintasi.

Ei mitään- suojan puute,
Liuku- Avataksesi lukituksen pyyhkäisemällä sormeasi näytön poikki tiettyyn suuntaan.

Kuvio- tämä on graafinen avain, se näyttää suunnilleen tältä:

Voit parantaa turvallisuutta kahdella tavalla.
1. Suurenna Grafiikkanäppäimen syöttökenttää. Se voi vaihdella 3x3 pisteestä näytöllä 6x6:een (Android 4.2 löytyy joissain malleissa Android-versiosta ja puhelinmallista riippuen).
2. Piilota graafisen näppäimen pisteiden näyttö ja "polku" älypuhelimen näytöltä, jotta näppäintä ei voi kurkistaa.

3. Aseta näyttö lukittumaan automaattisesti, kun puhelin on ollut käyttämättömänä minuutin ajan.

Huomio!!! Mitä tapahtuu, jos unohdat kuvioavaimen:

1. Graafisen avaimen virheellisten piirtämisyritysten määrä on rajoitettu 5 kertaan (eri puhelinmalleissa yritysten määrä voi olla jopa 10 kertaa).
2. Kun olet yrittänyt kaikkia yrityksiä, mutta et ole piirtänyt kuviota oikein, puhelin lukitaan 30 sekunniksi. Tämän jälkeen sinulla on todennäköisesti pari yritystä uudelleen puhelimen mallista ja Android-versiosta riippuen.
3. Seuraavaksi puhelin pyytää Gmail-tilisi kirjautumistunnusta ja salasanaa, joka on rekisteröity puhelimen tiliasetuksissa.
   Tämä menetelmä toimii vain, jos puhelimesi tai tablettisi on yhteydessä Internetiin. Muussa tapauksessa lukkiutuu tai käynnistä laite uudelleen valmistajan asetuksiin.

Tapahtuu, että puhelin putoaa lapsen käsiin - hän alkaa leikkiä, vetää avaimen monta kertaa ja tämä johtaa avaimen tukkoon.

PIN-koodi- Tämä on useista numeroista koostuva salasana.

Ja lopuksi, Salasana- luotettavin suojaus, jossa on mahdollisuus käyttää kirjaimia ja numeroita. Jos päätät käyttää salasanaa, voit ottaa puhelimen salausvaihtoehdon käyttöön.

Puhelimen muistin salaus.

Toiminto sisältyy Android-versioon 4.0* ja uudempiin. tableteille. Mutta tämä ominaisuus saattaa puuttua monista budjettipuhelimista.
Voit salata puhelimesi sisäisen muistin niin, että siihen pääsee vain salasanalla tai PIN-koodilla. Salaus auttaa suojaamaan puhelimessasi olevia tietoja tapahtumassa ts kohdennettu varkaus. Hyökkääjät eivät voi mitenkään päästä käsiksi tietoihisi puhelimestasi.

Salauksen käytön edellytyksenä on asettaa näytön lukitus salasanalla.
Tällä menetelmällä tallennetaan puhelimen muistiin tallennetut käyttäjätiedot, kuten puhelinluettelo, selaimen asetukset, Internetissä käytetyt salasanat, kuvat ja videot, jotka käyttäjä vastaanotti kameralla ja joita ei ole kopioitu SD-kortille.

SD-kortin salaus on käytössä erillisenä vaihtoehtona.
- Muistin salaus voi kestää jopa tunnin riippuen laitteen muistin määrästä. Puhelinta ei voi käyttää salauksen aikana.

Mitä jos unohdat salasanasi?

Salasanan palautusta ei tarjota tässä tapauksessa. Voit tehdä täyden RESETin puhelimellasi tai tabletillasi, esim. asenna Android uudelleen, mutta puhelimen tai tabletin käyttäjätiedot poistetaan. Näin ollen, jos hyökkääjä ei tiedä salasanaa puhelimen lukituksen avaamiseksi, hän ei voi käyttää sitä. Puhelimen muistista on myös mahdotonta nähdä tietoja muilla ohjelmilla yhdistämällä puhelin tietokoneeseen, koska kaikki sisäinen muisti on salattu. Ainoa tapa saada puhelimesi toimimaan uudelleen on alustaa se uudelleen.

Huomio, täysi salaustoiminto on käytettävissä vain Android OS 4.0 - 4.1 alkaen, eikä se välttämättä ole käytettävissä kaikissa puhelinmalleissa. Useimmiten löytyy Samsungin, HTC:n, LG:n ja Sonyn puhelimista. Joissakin kiinalaisissa malleissa on myös salaustoiminto. Joissakin puhelimissa tämä toiminto sijaitsee "Muisti"-osiossa.

Virheet:

1. Sinun on syötettävä jatkuvasti melko monimutkainen salasana (6-10 merkkiä), vaikka haluat vain soittaa puhelun. Vaikka on mahdollista asettaa pitkä aikaväli (30 minuuttia), jonka aikana salasanaa ei kysytä, kun kytket puhelimen näytön päälle. Joissakin puhelinmalleissa salasanan vähimmäispituus voi olla 3 merkkiä.
2. Joissakin puhelinmalleissa salausta ei voi poistaa käytöstä, jos haluat välttää jatkuvan salasanan syöttämisen. Salaus voidaan poistaa käytöstä vain palauttamalla puhelimen tehdasasetukset ja poistamalla kaikki tiedot.

Ulkoisen SD-muistikortin salaus

Toiminto sisältyy tablettien Android 4.1.1 -standardipakettiin. Puuttuu monista budjettiversioista.
Toiminto tarjoaa luotettavan tietosuojan ulkoiselle SD-kortille. Tänne voidaan tallentaa henkilökohtaisia ​​valokuvia, tekstitiedostoja, joissa on kaupallisia ja henkilökohtaisia ​​tietoja.
Voit salata SD-kortilla olevia tiedostoja muuttamatta niiden nimiä tai tiedostorakennetta säilyttäen samalla grafiikkatiedostojen (kuvakkeiden) esikatselun. Toiminto vaatii vähintään 6 merkin pituisen näytön lukitussalasanan asettamisen.

On mahdollista peruuttaa salaus. Salasanaa vaihdettaessa tapahtuu automaattinen uudelleensalaus.
Jos käyttäjä on kadottanut muistikortin, salattuja tiedostoja ei voida lukea kortinlukijan kautta. Jos laitat sen toiseen tablettiin eri salasanalla, salattuja tietoja ei myöskään voida lukea.
Muut salausominaisuudet:

• Läpinäkyvä salaus. Jos kortti on asetettu tablettiin ja käyttäjä on avannut näytön lukituksen salasanalla, mikä tahansa sovellus näkee tiedostot salatussa muodossa.
• Jos liität tabletin USB-kaapelilla tietokoneeseen, salatut tiedostot voidaan lukea myös tietokoneella avaamalla ensin kortin lukitus mobiililaitteen näytöltä.
• Jos kirjoitat kortille muita salaamattomia tiedostoja kortinlukijan kautta, ne myös salataan, kun kortti on asetettu tablettiin.
• Jos sinulla on salattu kortti, et voi peruuttaa lukitussalasanaa.
• Tiedot salataan tiedostotasolla (tiedostojen nimet ovat näkyvissä, mutta tiedoston sisältö on salattu).

Ohjelman haittapuoli:O puuttuu useimmista Android-versioista.

On syytä korostaa, että paras tietojen turvallisuus on täydellinen kopio niistä tietokoneellasiÄlypuhelin on melko herkkä pieni laite, mikä tarkoittaa, että se voi aina rikkoutua tai kadota.

Turvallisen älypuhelimen käytettävyyden parantaminen

Täysi puhelimen salaus tarjoaa vahvimman suojan, mutta jatkuva 6-numeroisen salasanan syöttäminen vaikeuttaa käyttöä. Mutta siihen on ratkaisu.

Määritä suojaus valitsemalla kuvio, PIN-koodi tai salasana.

Sinulle tarjotaan vaihtoehto: suojaus PIN-koodilla, salasanalla tai kuviolla käynnistyksen yhteydessä. Valinta on sinun, mutta suosittelemme jonkinlaisen suojauksen valitsemista, sillä se lisää laitteesi turvallisuutta.

Huomaa, että edes sormenjälkitunnistimella et voi käyttää sormenjälkeä laitteen lukituksen avaamiseen ensimmäisen käynnistyksen yhteydessä – sinun on syötettävä salasana, PIN-koodi tai kuvio. Kun laitteen salaus on purettu oikealla menetelmällä, sormenjälkitunnistimella voidaan jo avata näytön lukitus.

Tästä eteenpäin laitteesi salataan, mutta jos haluat poistaa salauksen käytöstä, voit tehdä sen palauttamalla tehdasasetukset. Jos sinulla on uusi laite, jossa salaus on automaattisesti käytössä, sitä ei voi poistaa käytöstä edes tehdasasetusten palauttamisen avulla.

Tietojen salaus Android-käyttöjärjestelmässä liittyy läheisesti kahteen ongelmaan: muistikorttien käytön hallintaan ja sovellusten siirtämiseen niille. Monet ohjelmat sisältävät aktivointitietoja, maksutietoja ja luottamuksellisia tietoja. Sen suojaus edellyttää käyttöoikeuksien hallintaa, joita tyypillinen FAT32-tiedostojärjestelmä ei tue korteille. Siksi jokaisessa Android-versiossa lähestymistavat salaukseen muuttuivat dramaattisesti - siirrettävien tietovälineiden täydellisestä salaussuojauksen puuttumisesta niiden syvään integrointiin yhdeksi osaksi nopealla salauksella.

Muistikortin erityinen rooli

Alun perin Android-kehittäjät aikoivat käyttää muistikorttia vain erillisenä tallennustilana käyttäjätiedostoille. Se oli vain multimediavarasto ilman vaatimuksia sen suojalle ja luotettavuudelle. FAT32:lla varustetut microSD(HC)-kortit selviytyivät hyvin yksinkertaisen tallennustilan roolista vapauttaen sisäisen muistin valokuvista, videoista ja musiikista.

Mahdollisuus siirtää paitsi multimediatiedostoja myös sovelluksia muistikortille ilmestyi ensimmäisen kerran Android 2.2 Froyossa. Se toteutettiin käyttämällä salattujen säiliöiden konseptia jokaiselle sovellukselle, mutta tämä suojasi yksinomaan korttia joutumasta vääriin käsiin - mutta ei älypuhelinta.

Lisäksi tämä oli puolimitta: monet ohjelmat siirrettiin osittain, joten osa tiedoista jäi sisäiseen muistiin ja osa (esimerkiksi järjestelmäohjelmia tai widgetejä sisältäviä) ei siirretty kortille ollenkaan. Mahdollisuus siirtää sovelluksia riippui niiden tyypistä (esiasennettu tai kolmannen osapuolen valmistama) ja sisäisestä rakenteesta. Joillekin käyttäjätietojen hakemisto sijoittui heti erikseen, kun taas toisille se sijaitsi itse ohjelman alihakemistossa.

Jos sovellukset käyttivät intensiivisesti luku-/kirjoitustoimintoja, korttien luotettavuus ja nopeus eivät enää tyydyttäneet kehittäjiä. He tekivät tarkoituksella mahdottomaksi ohjelmien siirtämisen tavallisilla keinoilla. Tämän tempun ansiosta niiden luominen rekisteröitiin taatusti sisäiseen muistiin suurella uudelleenkirjoitusresurssilla ja korkealla suorituskyvyllä.

Androidin neljännen version myötä tuli mahdolliseksi valita, mihin sovellus sijoitetaan. Muistikortti oli mahdollista määrittää levyksi ohjelmien asentamista varten oletusarvoisesti, mutta kaikki laiteohjelmistot eivät tue tätä toimintoa oikein. Se, miten se toimii tietyssä laitteessa, voidaan määrittää vain kokeellisesti.

Viidennessä Androidissa Google päätti jälleen palata alkuperäiseen konseptiin ja teki kaikkensa, jotta sovellusten siirtäminen muistikortille olisi mahdollisimman vaikeaa. Suuret valmistajat saivat signaalin kiinni ja lisäsivät omat valvontatoiminnonsa laiteohjelmistoon, joka havaitsi käyttäjien yritykset pakottaa sovelluksia korttiin rootin avulla. Vain mahdollisuus luoda kovia tai symbolisia linkkejä toimi enemmän tai vähemmän. Tässä tapauksessa sovellus määritettiin sisäisessä muistissa olevan vakioosoitteen perusteella, mutta se sijaitsi itse asiassa kortilla. Sekaannusta aiheuttivat kuitenkin tiedostonhallintaohjelmat, joista monet eivät käsitelleet linkkejä oikein. He osoittivat väärän määrän vapaata tilaa, koska he uskoivat sovelluksen oletettavasti vievän tilaa sekä sisäisestä muistista että kortista samanaikaisesti.

Mukauta se!

Android Marshmallow esitteli kompromissin nimeltä Adoptable Storage. Tämä on Googlen yritys pitää lampaat turvassa ja sotilaat onnellisina.

Adoptable Storage -toiminnon avulla voit yhdistää sisäänrakennetun muistin käyttäjäosion ja kortin osion yhdeksi loogiseks taltioksi. Itse asiassa se luo kortille ext4- tai F2FS-osion ja lisää sen sisäisen muistin käyttäjäosioon. Tämä on puhtaasti looginen yhdistämistoiminto, joka muistuttaa epämääräisesti kattavan taltion luomista useista fyysisistä levyistä Windowsissa.

Kun kortti yhdistetään sisäiseen muistiin, se alustetaan uudelleen. Oletuksena sen koko kapasiteetti käytetään yhdistetyssä taltiossa. Tässä tapauksessa kortilla olevia tiedostoja ei voi enää lukea toisella laitteella - ne salataan ainutlaatuisella laiteavaimella, joka tallennetaan luotettuun suoritusympäristöön.

Vaihtoehtoisesti voit varata tilaa kortilta toiselle FAT32-osiolle. Siihen tallennetut tiedostot näkyvät kaikilla laitteilla, kuten ennenkin.

Kortin jakamistapa asetetaan joko Adoptable Storage -valikon tai Android Debug Bridgen (ADB) kautta. Viimeistä vaihtoehtoa käytetään tapauksissa, joissa valmistaja on piilottanut Adoptable Storagen valikosta, mutta ei ole poistanut tätä toimintoa laiteohjelmistosta. Se on piilotettu esimerkiksi Samsung Galaxy S7:ään ja parhaisiin LG-älypuhelimiin. Viime aikoina on ollut yleinen taipumus poistaa Adoptable Storage lippulaivaisista laitteista. Sitä pidetään kainalosauvana edullisille älypuhelimille ja tableteille, joissa ei ole riittävästi sisäänrakennettua Flash-muistia.

Markkinoijat eivät kuitenkaan voi päättää, kuinka käytämme laitteitamme. Adoptable Storage -toiminto otetaan käyttöön Windows-tietokoneen ADB:n kautta seuraavasti.

1. Teemme varmuuskopion kaikista kortin tiedoista - se alustetaan uudelleen.
2. Java SE -kehityspaketti Oraclen verkkosivuilta.
3. Asenna Android SDK Managerin uusin versio.
4. Ota USB-virheenkorjaus käyttöön älypuhelimellasi.
5. Käynnistä SDK Manager ja kirjoita komentoriville:

   Missä x:y on muistikortin numero.

6. Jos haluat jättää osan FAT32-taltiolle, muuta komento vaiheesta 7 tähän:
   

   $ sm osiolevy: x: y sekoitettu nn

   
   missä nn on jäljellä oleva tilavuus prosentteina FAT32-taltiolle.

Esimerkiksi komento sm partition disk:179:32 mix 20 lisää 80 % kortin kapasiteetista sisäiseen muistiin ja jättää siihen FAT32-taltion 1/5 kapasiteetista.

Joissakin älypuhelimissa tämä menetelmä "sellaisenaan" ei enää toimi ja vaatii lisätemppuja. Valmistajat tekevät kaikkensa jakaakseen tuotteensa keinotekoisesti markkinaraon. Huippumalleja on saatavilla eri määrillä sisäänrakennetulla muistilla, ja yhä vähemmän on ihmisiä, jotka ovat valmiita maksamaan siitä liikaa.

Joissakin älypuhelimissa ei ole muistikorttipaikkaa (esimerkiksi Nexus-sarja), mutta ne tukevat USB-flash-asemien liittämistä OTG-tilassa. Tässä tapauksessa flash-asemaa voidaan käyttää myös sisäisen muistin laajentamiseen. Tämä tehdään seuraavalla komennolla:

$ adb shell sm set - force - adoptable true

Oletusarvoisesti mahdollisuus käyttää USB-OTG:tä mukautetun tallennustilan luomiseen on poistettu käytöstä, koska odottamaton poistaminen voi johtaa tietojen menetykseen. Todennäköisyys, että muistikortti katkeaa äkillisesti, on paljon pienempi, koska se sijaitsee laitteen sisällä.

Jos siirrettävän tietovälineen määrän lisäämisessä tai osioiden jakamisessa ilmenee ongelmia, poista ensin kaikki tiedot edellisestä loogisesta asettelusta. Tämä voidaan tehdä luotettavasti Linux-apuohjelmalla gparted, joka Windows-tietokoneessa käynnistetään käynnistyslevyltä tai virtuaalikoneesta.

Virallisen Googlen käytännön mukaan sovellukset voidaan asentaa suoraan tai siirtää mukautettuun kauppaan, jos kehittäjä on määrittänyt tämän attribuutissa android:installLocation. Ironista on, että kaikki Googlen omat sovellukset eivät vielä salli tätä. Androidin "sopeutetulle tallennustilalle" ei ole käytännön rajoituksia. Hyväksyttävän tallennustilan teoreettinen raja on yhdeksän zettatavua. Edes konesaleissa niitä ei ole niin paljon, ja vielä enemmän isompia muistikortteja ei ilmesty lähivuosina.

Itse salausmenettely mukautetun tallennustilan luomisen yhteydessä suoritetaan käyttämällä dm-cryptia - samaa Linux-ydinmoduulia, joka suorittaa älypuhelimen sisäisen muistin koko levyn salauksen (katso edellinen artikkeli ""). AES-algoritmia käytetään CBC (Ciphertext block chaining) -tilassa. Jokaiselle sektorille luodaan erillinen alustusvektori suolalla (ESSIV). SHA-hajautusfunktion pituus on 256 bittiä ja itse avain on 128 bittiä.

Tämä toteutus, vaikka sen luotettavuus on huonompi kuin AES-XTS-256, on paljon nopeampi ja sitä pidetään riittävän luotettavana kuluttajalaitteille. Utelias naapuri ei todennäköisesti avaa salattua mukautettua tallennustilaa kohtuullisessa ajassa, mutta tiedustelupalvelut ovat pitkään oppineet hyödyntämään CBC-järjestelmän puutteita. Lisäksi todellisuudessa kaikki avaimen 128 bittiä eivät ole täysin satunnaisia. Sisäänrakennetun näennäissatunnaislukugeneraattorin tahaton tai tahallinen heikentäminen on salauksen yleisin ongelma. Se ei vaikuta vain Android-laitteisiin, vaan kaikkiin kuluttajalaitteisiin yleensä. Siksi luotettavin tapa varmistaa yksityisyys on olla tallentamatta luottamuksellisia tietoja älypuhelimeesi.

Jos suoritat tehdasasetusten palautuksen sen jälkeen, kun olet yhdistänyt muistin Adoptable Storage -sovelluksella, myös kortilla olevat tiedot menetetään. Siksi niistä kannattaa ensin tehdä varmuuskopio, tai vielä parempaa, määrittää heti pilvisynkronointi.

Vaihtoehtoinen muistikortin tietojen salaus

Nyt kun olemme käsitelleet tiedostojen muistikortille tallentamisen erityispiirteitä Androidin eri versioissa, siirrytään suoraan niiden salaamiseen. Jos sinulla on laite, jossa on Android 6 tai uudempi, voit suurella todennäköisyydellä aktivoida Adoptable Storage -toiminnon siinä tavalla tai toisella. Sitten kaikki kortin tiedot salataan, aivan kuten sisäisessä muistissa. Vain FAT32-lisäosion tiedostot jäävät auki, jos haluat luoda sen korttia alustaessasi.

Aiemmissa Android-julkaisuissa asiat ovat paljon monimutkaisempia, koska ennen versiota 5.0 salaussuojaus ei vaikuttanut muistikortteihin ollenkaan (lukuun ottamatta tietysti siirrettyjen sovellusten tietoja). Kortin "tavalliset" tiedostot jäivät auki. Jos haluat sulkea ne uteliailta silmiltä, ​​tarvitset kolmannen osapuolen apuohjelmia (jotka usein osoittautuvat vain graafiseksi kuoreksi sisäänrakennetuille työkaluille). Kaikilla olemassa olevilla menetelmillä neljä on pohjimmiltaan erilaisia:

• yleisen salaussäiliön käyttö - tiedosto, jossa on kuva salatusta taltiosta suositussa muodossa, jonka kanssa eri käyttöjärjestelmien sovellukset voivat toimia;
• Tietyn hakemiston tiedostojen läpinäkyvä salaus FUSE-ohjaimen ja kolmannen osapuolen apuohjelman avulla salatun osion luomiseen/asentamiseen tiedostona;
• koko muistikortin salaus dm-cryptin kautta;
• käyttämällä "mustaa laatikkoa" - erillistä sovellusta, joka tallentaa salatut tiedot omassa muodossaan eikä tarjoa pääsyä siihen kolmansien osapuolien ohjelmille.

Ensimmäinen vaihtoehto on tuttu kaikille, jotka käyttävät TrueCryptiä tai jotakin sen haaroista tietokoneella. Androidille on sovelluksia, jotka tukevat TrueCrypt-säilöjä, mutta niiden rajoitukset ovat erilaisia.

Toisen vaihtoehdon avulla voit järjestää "läpinäkyvän salauksen", eli tallentaa kaikki tiedot salattuna ja purkaa sen salauksen, kun niitä käytetään mistä tahansa sovelluksesta. Tätä varten kaikki valitun hakemiston tiedot esitetään virtuaalisen tiedostojärjestelmän sisältönä, joka tukee on-the-fly-salausta. EncFS:ää käytetään yleensä, josta puhumme tarkemmin alla.

Kolmas vaihtoehto on sisäänrakennettu dm-crypt. Voit käyttää sitä esimerkiksi LUKS Managerin kautta. Sovellus vaatii rootin ja BusyBoxin asennettuna. Sen käyttöliittymä ei ole kaikille.

LUKS Manager luo salaussäilön korttiin tiedostona. Tämä säilö voidaan yhdistää mielivaltaiseen hakemistoon ja työskennellä sen kanssa kuten tavallisen hakemiston kanssa. Etuna on, että tällä ratkaisulla on monialustainen tuki. Voit työskennellä säilön kanssa Android-gadgetin lisäksi myös työpöydällä: Linuxissa - salausasetuksen kautta ja Windowsissa - ohjelman tai sen haarukan LibreCrypt kautta. Huonona puolena on sen käyttö pilvipalveluiden yhteydessä. Joka kerta pilvessä sinun on tallennettava koko kontti uudelleen, vaikka yksi tavu olisi muuttunut.

Neljäs vaihtoehto ei yleensä kiinnosta, koska se rajoittaa suuresti salattujen tiedostojen käyttöä. Ne voidaan avata vain jollain erikoissovelluksella ja luottaa siihen, että sen kehittäjä on onnistunut opiskelemaan kryptografiaa. Valitettavasti useimmat näistä sovelluksista eivät kestä kritiikkiä. Monilla niistä ei ole mitään tekemistä kryptografian kanssa, koska ne yksinkertaisesti peittävät tiedostot salaamisen sijaan. Tässä tapauksessa kuvauksessa voidaan mainita vahvoja algoritmeja (AES, 3DES...) ja lainauksia Schneierin "Applied Cryptography" -kirjasta. Parhaimmillaan tällaisilla ohjelmilla on erittäin huono salaustoteutus, ja pahimmillaan salausta ei ole ollenkaan.

VeraCryptille ei ole virallista Android-asiakasta, eikä sitä ole suunniteltu, mutta sen kirjoittajat suosittelevat EDS-sovelluksen (Encrypted Data Store) käyttöä. Tämä on venäläinen kehitys, joka on olemassa täysin toimivana ja kevyenä versiona. EDS:n täysi versio maksaa 329 ruplaa. Se tukee TrueCrypt-, VeraCrypt-, CyberSafe-muotoisia kryptosäilöjä sekä LUKS- ja EncFS-muotoja. Voi toimia paikallisen, verkko- ja pilvitallennustilan kanssa tarjoten muille sovelluksille läpinäkyvän salauksen. On-the-fly-salaus vaatii käyttöjärjestelmän ytimen tuen FUSE-kehykselle ja pääkäyttäjän oikeuksille. Normaali työskentely salaussäiliöiden kanssa on mahdollista millä tahansa laiteohjelmistolla.

EDS Lite -versio jaetaan ilmaiseksi, ja siinä on toiminnallisia rajoituksia. Se voi esimerkiksi toimia yksinomaan säiliöiden kanssa, joissa on FAT-tiedostojärjestelmällä oleva taltio, joka on salattu AES-algoritmilla 256-bittisellä avaimella ja SHA-512-hajautusfunktiolla. Se ei tue muita vaihtoehtoja. Siksi kannattaa keskittyä maksulliseen versioon.

Kryptosäiliö on luotettavin ja yleismaailmallisin tapa. Se voidaan tallentaa mihin tahansa tiedostojärjestelmään (jopa FAT32) ja käyttää missä tahansa laitteessa. Kaikki työpöydälläsi salaamasi tiedot tulevat saataville älypuhelimellasi ja päinvastoin.

EncFS

Vuonna 2003 Valient Gough (ohjelmistosuunnittelija Seattlesta, joka kirjoitti ohjelmistoja NASA:lle ja työskenteli myöhemmin Googlelle ja Amazonille) julkaisi ensimmäisen julkaisun ilmaisesta tiedostojärjestelmästä, jossa on sisäänrakennettu läpinäkyvä salausmekanismi - EncFS. Se on vuorovaikutuksessa käyttöjärjestelmän ytimen kanssa takaisinsoittokerroksen kautta ja vastaanottaa pyyntöjä FUSE-kehyksen libfuse-rajapinnan kautta. Käyttäjän valinnan mukaan EncFS käyttää yhtä OpenSSL-kirjastoon toteutetuista symmetrisistä algoritmeista - AES ja Blowfish.

Koska EncFS käyttää virtuaalisen tiedostojärjestelmän luomisen periaatetta, se ei vaadi erillistä osiota. Android-käyttöjärjestelmässä sinun tarvitsee vain asentaa EncFS:ää tukeva sovellus ja osoittaa se muutamaan hakemistoon. Yksi niistä tallentaa salatun sisällön (olkoon se nimeltään holvi), ja toinen - väliaikaisesti puretut tiedostot (kutsutaanko sitä avata).

Salasanan syöttämisen jälkeen tiedostot luetaan hakemistosta holvi ja ne tallennetaan salauspurttuna avata(kuten uudessa liitospisteessä), jossa kaikki sovellukset voivat käyttää niitä. Kun olet lopettanut työn, napsauta Unohda salauksen purku -painiketta (tai vastaavaa) sovelluksessa. Luettelo avata poistetaan, ja kaikki siitä puretut tiedostot katoavat.

Haitat: EncFS ei tue kiinteitä linkkejä, koska tiedot eivät ole sidottu inodeen vaan tiedoston nimeen. Samasta syystä tuetaan enintään 190 tavun pituisia tiedostonimiä. Luettelossa holvi tiedostojen nimet ja sisältö piilotetaan, mutta metatiedot pysyvät saatavilla. Voit selvittää salattujen tiedostojen määrän, niiden käyttöoikeudet ja milloin niitä on viimeksi käytetty tai muokattu. On myös selvä merkki EncFS:n käytöstä - tämä on asetustiedosto, jonka nimessä on encfs-etuliite ja versionumero. Tiedosto sisältää salausparametreja, mukaan lukien algoritmin, avaimen pituuden ja lohkon koon.

EncFS:n maksullinen auditointi suoritettiin helmikuussa 2014. Se päättelee, että "EncFS on todennäköisesti turvallinen niin kauan kuin hyökkääjällä on vain yksi joukko salattuja tiedostoja eikä mitään muuta." Jos hyökkääjän käytettävissä on enemmän tietoja (esimerkiksi kaksi eri aikoina otettua tilannekuvaa tiedostojärjestelmästä), EncFS:ää ei voida pitää luotettavana.

Kun EncFS on asennettu, se näkyy erillisenä käyttäjätilan tiedostojärjestelmänä FUSE-ohjaimen kautta. Pääsy siihen toteutetaan jonkin kolmannen osapuolen sovelluksen - esimerkiksi Encdroid- tai Cryptonite-tiedostonhallinnan kautta. Jälkimmäinen perustuu EncFS-lähdekoodiin, joten keskitymme siihen.

Kryptoniitti

Cryptonite-sovelluksen uusin versio on 0.7.17 beta, päivätty 15. maaliskuuta 2015. Se voidaan asentaa mihin tahansa laitteeseen, jossa on Android 4.1 tai uudempi, mutta jotkin toiminnot toimivat vakaammin Android 4.3:ssa ja uudemmissa versioissa.

Useimmat Cryptoniten toiminnot eivät vaadi juuri- tai erityiskomponentteja. EncFS-taltioiden luominen ja synkronointi Dropboxin kanssa voidaan suorittaa sekä virallisella että mukautetulla laiteohjelmistolla.

Salattujen tiedostojen pilvisynkronointi

Useat toiminnot edellyttävät kuitenkin EncFS-taltioiden asentamista, mikä edellyttää pääkäyttäjän oikeuksia ja käyttöjärjestelmän ytimen tukea FUSE-kehykselle. FUSE:n käyttö on välttämätöntä "läpinäkyvän salauksen" järjestämiseksi, eli jotta muut sovellukset voivat päästä käsiksi salattuihin tietoihin ja vastaanottaa ne jo salattuina. Useimmat vanhemmat laiteohjelmistot eivät tue FUSEa, mutta se on saatavana CyanogenMod-, MIUI-, AOKP- ja muissa mukautetuissa versioissa. Android 4.4:stä alkaen FUSEa käytetään tavallisesti emuloimaan sisäisessä muistissa olevaa SD-korttia.

Haitat: Kun napsautat "Poista salaus" ja annat salasanan onnistuneesti, Cryptonite luo väliaikaisen kopion salauksesta puretusta tiedostosta /data/data/csh.cryptonite/app_open/. Kopio tiedostosta on merkitty maailmanlaajuisesti luettavaksi (luettava ja suoritettava kaikille). Voit poistaa salauksen purettuja tiedostoja napsauttamalla Unohda salauksen purku -painiketta.

johtopäätöksiä

Muistikortin tietojen salaustapa tulee valita kahden pääkriteerin perusteella: käyttöskenaarion ja Android-version perusteella. Nykyaikaisissa laitteissa, joissa on Android 6.0 tai uudempi, helpoin vaihtoehto on käyttää Adoptable Storagea, liittää kortti sisäiseen muistiin ja salata läpinäkyvästi koko looginen taltio. Jos haluat asettaa tiedostoja saataville muilla laitteilla tai lisätä kortin tietojen salausta vanhemmissa laitteissa, sopivat todistettujen muotojen salaussäiliöt. On parempi välttää kokonaan kolmansien osapuolien "juttu itsessään" -apuohjelmia, koska todellisen tietosuojan sijaan ne usein vain matkivat sitä.

Viimeksi päivitetty 18. helmikuuta 2017.