먼저 몇 가지 백업 이야기를 들려드리겠습니다. 한 컴퓨터 기술자가 제게 노트북을 주고 하드 드라이브에 "숨기고 싶은" 정보가 있으면 물어보라고 했습니다. 그는 내가 무엇을 숨기더라도 무엇이든 되찾을 수 있을 것이라고 주장했습니다.
나는 "그리고 그것에 대해 당신이 할 수 있는 일은 아무것도 없다"와 같은 절대적인 말을 좋아하지 않기 때문에 나는 이것에 대해 머릿속으로 생각하기 시작했습니다. 나는 내 하드 드라이브에서 항목을 찾기 위해 이 특정 하드 드라이브에서 부팅할 필요가 없기 때문에 매우 안전한 운영 체제로는 이를 해결할 수 없다는 것을 깨달았습니다.
일반적인 질문은 다음과 같습니다.
하드디스크의 모든 데이터를 완벽하게 보호할 수 있는 방법이 있나요? (어떻게 하는지에 대한 자세한 설명은 필요하지 않습니다. 방향만 알려주시면 됩니다. 자세한 내용은 제가 직접 읽어볼 수 있습니다.)
특히 다음이 필요할 수 있다고 생각합니다.
매우 안전하고 저장하는 모든 데이터를 암호화할 수 있는 운영 체제입니다(그런 것이 존재하는지 전혀 알 수 없음).
위의 내용이 존재하지 않는 경우 하드 드라이브의 데이터를 수동으로 암호화하고 해당 하드 드라이브에서 계속 부팅할 수 있는 방법이 있습니까?
일반적으로 나는 내가 아닌 다른 사람(= 특정 비밀번호/키를 알고 있는 사람)이 하드 드라이브에 최대한 접근할 수 없도록 만들고 싶으므로 어떤 해결책이라도 환영합니다.
답변1
대부분의 민감한 파일을 암호화하는 데 충분합니다. AES 256비트로 암호화된 ZIP 파일과 좋은 긴 비밀번호는 비밀번호 없이는 접근이 거의 불가능합니다. (PKZIP 스트림 암호/ZipCrypto로 알려진 레거시 ZIP 암호화는 사용하지 마십시오. 이는 취약한 것으로 알려져 있습니다.)
전체 파티션을 암호화하여 그 안의 모든 것을 숨기는 것도 가능합니다.트루크립트가정(및 일부 기업) 파티션/이미지 암호화를 위한 사실상의 표준 프로그램입니다. 아마도 운영 체제에 내장된 도구와 비교하여 Truecrypt의 가장 좋은 점은가지고 다닐 수 있는: 대부분의 소비자 운영 체제를 구성하는 Windows, Mac OS X 및 Linux용 버전이 있습니다.
숨기고 싶다면모든 것, 부팅하는 파티션을 포함하여 시스템의 모든 파티션을 암호화할 수 있습니다. 비밀번호/키를 모르면 암호화된 드라이브에서 데이터를 읽을 수 없습니다. 문제는 Windows 운영 체제가 암호화된 하드 드라이브에서의 부팅을 항상 지원하는 것은 아니라는 것입니다.*Truecrypt에는 소위 말하는 것이 있습니다시스템 암호화. 그들은 그것을 꽤 잘 요약했습니다.
시스템 암호화에는 사전 부팅 인증이 포함됩니다. 즉, 암호화된 시스템에 액세스하여 사용하고, 시스템 드라이브 등에 저장된 파일을 읽고 쓰려는 사람은 Windows 부팅(시작) 전에 매번 올바른 암호를 입력해야 함을 의미합니다. ). 사전 부팅 인증은 부팅 드라이브의 첫 번째 트랙과 TrueCrypt 복구 디스크에 있는 TrueCrypt 부팅 로더에 의해 처리됩니다.
따라서 Truecrypt 부트 로더는 OS보다 먼저 로드되고 비밀번호를 묻는 메시지를 표시합니다. 올바른 비밀번호를 입력하면 OS 부트로더가 로드됩니다. 하드 드라이브는 항상 암호화되어 있으므로 부팅 가능한 CD라도 유용한 데이터를 읽을 수 없습니다.
기존 시스템을 암호화/해독하는 것도 그리 어렵지 않습니다.
TrueCrypt는 운영 체제가 실행되는 동안 암호화되지 않은 기존 시스템 파티션/드라이브를 암호화할 수 있습니다(시스템이 암호화되는 동안에는 아무런 제한 없이 컴퓨터를 평소처럼 사용할 수 있습니다). 마찬가지로, TrueCrypt로 암호화된 시스템 파티션/드라이브는 운영 체제가 실행되는 동안 그 자리에서 해독될 수 있습니다. 언제든지 암호화 또는 암호 해독 프로세스를 중단하고 파티션/드라이브를 부분적으로 암호화하지 않은 상태로 두고 컴퓨터를 다시 시작하거나 종료한 다음 프로세스를 재개할 수 있습니다. 이 프로세스는 중지된 지점부터 계속됩니다.
*기타 다양한 운영 체제는 시스템 드라이브 암호화를 지원합니다. 예를 들어 Linux 커널 2.6 이상에는DM-암호화및 Mac OS X 10.7 이상에는파일볼트 2. Windows는 다음과 같은 지원을 제공합니다.BitLocker, 그러나 Enterprise/Business/Server 버전에만 해당되며 Vista 이상에서만 가능합니다. 위에서 언급한 것처럼 Truecrypt는 이식성이 더 뛰어나지만 시스템 드라이브를 암호화하는 데 필요한 통합 기능이 부족한 경우가 많습니다. Windows는 예외입니다.
답변2
한 문구 - 전체 디스크 암호화, 가급적 길고 사전이 아닌 키를 사용하는 것이 좋습니다. 외부 키 파일을 사용하여 이를 수행하는 시스템을 살펴볼 수도 있습니다. 기본적으로 부트로더를 제외한 시스템 전체가 암호화되어 있기 때문에직접 메모리 접근 공격- 즉, DMA가 있는 방화벽이나 기타 장치를 사용하여 메모리 내용을 가져오거나 콜드 부팅 공격을 사용하여 정보를 가져옵니다. 해결 방법은 간단합니다. 시스템을 넘겨주기 직전에 시스템이 꺼져 있고 배터리가 제거되었는지 확인하세요. 단지 하드 드라이브라면 이 두 가지 공격은 거의 불가능합니다.
나는 아마도 truecrypt를 시도하고 매우 길고 임의의 암호를 사용하고(길이가 길면 무차별 대입이 더 어려워지고 임의성은 사전 공격을 방지합니다) 그 암호를 가지고 마을로 가도록 할 것입니다. 또는 일부 Windows 버전에는 Windows에 내장된 강력한 FDE 옵션인 bitlocker가 있습니다. 마찬가지로 luks 및 dmcrypt와 같은 Linux용 솔루션도 있습니다.
아니면 디스크를 임의의 데이터로 채우고... 그가 그것을 알아내기까지 얼마나 걸릴지 확인해보세요 ;)
답변3
"결과를 확인할 수 있도록 비밀번호를 알려주세요"와 같은 속임수에 빠지지 마세요.
제가 참석한 보안 컨퍼런스에서 처음에 비밀번호를 물어봤습니다. 절반 정도 진행하자 발표자는 대부분의 사람들이 자신의 비밀번호를 무심코 알려주었기 때문에 가장 큰 보안 위험은 바로 당신이라고 말했습니다.
(그렇습니다. 관련 데이터만 암호화하면 됩니다.)
답변4
다른 TrueCrypt 답변에 동의합니다. 그러나 한 가지 중요한 점을 추가해야 합니다. 바로 TrueCrypt의 그럴듯한 거부 기능입니다. 이는 TrueCrypt가 암호화하는 디스크/파일에 확실하게 식별 가능한 서명을 남기지 않는다는 것을 의미합니다. 따라서 디스크의 비트 집합이 임의의 비트인지 암호화된 데이터인지 여부를 누구도 증명할 수 없습니다. 이는 최근 법원 사건에서 시사하는 바가 있을 정도로 매우 중요합니다.