Позвольте мне сначала рассказать вам некоторую резервную историю: компьютерный техник бросил мне вызов, чтобы я отдал ему свой ноутбук и попросил у него любую часть информации, которую я хотел бы «спрятать» на моем жестком диске. Он утверждал, что сможет извлечь все, что угодно, независимо от того, что я делаю, чтобы это скрыть.
Поскольку я не ценю абсолютные заявления типа: "и с этим ничего не поделаешь", я начал думать об этом в своей голове. Я понял, что очень безопасная операционная система не подойдет, так как ей не нужно загружаться с этого конкретного жесткого диска, чтобы найти что-то на моем жестком диске.
Общий вопрос здесь таков:
Есть ли способ полностью защитить все данные на жестком диске? (Мне не нужны подробные объяснения того, как это сделать, мне просто нужно, чтобы вы указали мне направление; я могу сам прочитать об этом подробнее)
В частности, я подозреваю, что мне может понадобиться:
Операционная система, которая очень безопасна и, возможно, шифрует все хранящиеся в ней данные (не знаю, существует ли такая вообще).
Если вышеперечисленного не существует, есть ли способ вручную зашифровать данные на моем жестком диске и при этом иметь возможность загружаться с этого жесткого диска?
В целом я хочу сделать жесткий диск как можно менее доступным для тех, кто не является мной (= знает определенный пароль/ключ), поэтому любые решения приветствуются.
решение1
Этого достаточно для шифрования большинства конфиденциальных файлов. ZIP-файл, зашифрованный с помощью AES 256 бит и хорошего длинного пароля, практически невозможно открыть без пароля. (Избегайте использования устаревшего шифрования ZIP, известного как потоковый шифр PKZIP/ZipCrypto — известно, что он слаб.)
Также можно зашифровать целый раздел, скрыв все его содержимое.Truecryptявляется своего рода стандартной программой де-факто для домашнего (и некоторого делового) шифрования разделов/образов. Вероятно, лучшее в Truecrypt по сравнению с инструментами, встроенными в операционную систему, это то, чтопортативный: существуют версии для Windows, Mac OS X и Linux, которые составляют подавляющее большинство потребительских операционных систем.
Если вы хотите спрятатьсявсе, вы можете зашифровать каждый раздел в вашей системе, включая тот, с которого вы загружаетесь. Невозможно прочитать данные с зашифрованного диска, не зная пароля/ключа. Дело в том, что операционная система Windows не всегда поддерживает загрузку с зашифрованного жесткого диска.*Truecrypt имеет то, что называетсяшифрование системы. Они довольно хорошо это резюмировали:
Шифрование системы включает в себя предзагрузочную аутентификацию, что означает, что любой, кто хочет получить доступ и использовать зашифрованную систему, читать и записывать файлы, хранящиеся на системном диске и т. д., должен будет вводить правильный пароль каждый раз перед загрузкой (стартом) Windows. Предзагрузочная аутентификация выполняется загрузчиком TrueCrypt, который находится на первой дорожке загрузочного диска и на диске восстановления TrueCrypt.
Итак, загрузчик Truecrypt загрузится до загрузки ОС и запросит у вас пароль. Когда вы введете правильный пароль, загрузчик ОС загрузится. Жесткий диск всегда зашифрован, поэтому даже загрузочный CD не сможет считать с него никаких полезных данных.
Также не так уж и сложно зашифровать/расшифровать существующую систему:
Обратите внимание, что TrueCrypt может зашифровать существующий незашифрованный системный раздел/диск на месте, пока операционная система работает (пока система шифруется, вы можете использовать свой компьютер как обычно без каких-либо ограничений). Аналогично, зашифрованный TrueCrypt системный раздел/диск может быть расшифрован на месте, пока операционная система работает. Вы можете прервать процесс шифрования или дешифрования в любое время, оставить раздел/диск частично незашифрованным, перезагрузить или выключить компьютер, а затем возобновить процесс, который продолжится с того места, где он был остановлен.
*Различные другие операционные системы поддерживают шифрование системного диска. Например, ядро Linux 2.6 и более новые версии имеютdm-крипт, а также Mac OS X 10.7 и более поздние версии имеютФайловое хранилище 2. Windows имеет такую поддержку сBitLocker, но только в редакциях Enterprise/Business/Server и только в Vista и новее. Как указано выше, Truecrypt более портативен, но часто не имеет интеграции, необходимой для шифрования системных дисков, за исключением Windows.
решение2
Одна фраза - Полное шифрование диска, желательно с хорошим, длинным, не словарным ключом. Вы также можете посмотреть на системы, которые делают это с внешним ключевым файлом. В основном, поскольку вся система, кроме загрузчика, зашифрована, за исключениематака прямого доступа к памяти- то есть используйте FireWire или другое устройство с DMA для получения содержимого памяти и/или используйте атаку холодной загрузки для получения информации. Предотвратить это просто - просто убедитесь, что система выключена, и извлеките батарею непосредственно перед тем, как передать систему. Если это просто жесткий диск, обе эти атаки маловероятны
Я бы, наверное, просто дал truecrypt шанс, использовал ОЧЕНЬ длинный случайный пароль (длина затрудняет подбор, а случайность препятствует атаке по словарю) и позволил бы ему пойти с ним в город. С другой стороны, в некоторых версиях Windows есть bitlocker — это сильная опция FDE, встроенная в Windows. Аналогично есть решения для Linux, такие как luks и dmcrypt.
Или заполните диск случайными данными... и посмотрите, сколько времени пройдет, прежде чем он сообразит ;)
решение3
Не поддавайтесь на уловки вроде «дайте мне пароль, чтобы я мог проверить результаты».
На конференции по безопасности, на которую я ходил, в начале спросили пароли. На полпути докладчик сказал, что наибольший риск безопасности — это ВЫ, поскольку большинство людей дали свои пароли с легкостью.
(И да, просто зашифруйте соответствующие данные.)
решение4
Я согласен с другим ответом TrueCrypt. Однако я хочу добавить один важный момент — возможность правдоподобного отрицания TrueCrypt. Это означает, что TrueCrypt не оставляет никаких положительно идентифицируемых подписей на дисках/файлах, которые он шифрует. Поэтому никто не может доказать, является ли набор битов на диске случайными битами или зашифрованными данными. Это настолько важно, что имело последствия в недавнем судебном деле.