Програмне забезпечення для шифрування дисків — це програмне забезпечення безпеки комп'ютера, яке захищає конфіденційність даних, що зберігаються на комп'ютерних носіях (наприклад, на жорсткому диску, дискеті чи USB-накопичувачі), за допомогою шифрування диска.
У порівнянні з контролем доступу, який зазвичай забезпечується операційною системою (ОС), шифрування пасивно захищає конфіденційність даних, навіть коли ОС не активна, наприклад, якщо дані зчитуються безпосередньо з обладнання або іншою ОС. Крім того, шифрування усуває необхідність видаляти дані в кінці життєвого циклу диска.
Шифрування диска як правило відноситься до повного шифрування, яке працює на всьому томі, переважно прозоро для користувача, системи та програм. Це, як правило, відрізняється від шифрування на рівні файлу, яке працює шляхом звернення користувача до одного файлу або групи файлів і вимагає від користувача рішення про те, які конкретні файли слід зашифрувати. Шифрування диска зазвичай включає всі аспекти диска, включаючи каталоги, так що зловмисник не може визначити вміст, назву або розмір будь-якого файлу. Він добре підходить для портативних пристроїв, таких як портативні комп'ютери та флеш-накопичувачі, які особливо схильні до втрати або викрадення. За правильного використання той, хто знаходить втрачений пристрій, не зможе отримати фактичні дані або навіть знати, які там були файли.
Методи
Дані диска захищено за допомогою симетричної криптографії з випадковим генеруванням ключа під час першого встановлення шифрування диска. Сам цей ключ певним чином зашифрований за допомогою пароля або фрази-паролю, відомої (в ідеалі) лише користувачеві. Після цього, щоб отримати доступ до даних диска, користувач повинен ввести пароль, щоб зробити ключ доступним програмному забезпеченню. Це потрібно робити через деякий час після кожного запуску операційної системи, перш ніж можна буде використовувати зашифровані дані.
Програмне шифрування зазвичай працює на рівні між усіма додатками та більшістю системних програм і низькорівневими драйверами пристроїв (з точки зору користувача) шифруючи дані після того, як вони були створені програмою, але до того, як вони були фізично записані на диск. І навпаки, він розшифровує дані одразу після їх зчитування, але до того, як вони будуть передані програмі. Якщо все зроблено правильно, програми не знають про ці криптографічні операції.
Деяке програмне забезпечення для шифрування дисків (наприклад, VeraCrypt або BestCrypt ) надає функції, які зазвичай не можуть бути реалізовані за допомогою апаратного шифрування диска : можливість монтувати файли-контейнери як зашифровані логічні диски з власною файловою системою ; і зашифровані логічні «внутрішні» томи, які таємно приховані у вільному просторі більш очевидних «зовнішніх» томів. Такі стратегії забезпечують правдоподібне заперечення .
Добре відомі приклади програмного забезпечення для шифрування дисків: BitLocker для Windows; FileVault для Apple OS/X; LUKS — стандартне безкоштовне програмне забезпечення для Linux і VeraCrypt, некомерційна безкоштовна програма для Windows, OS/X і Linux.
- Дослідження 2008 року виявило збереження даних у динамічній пам’яті з довільним доступом (DRAM), при цьому дані зберігаються від секунд до хвилин за кімнатної температури та значно довше, коли чіпи пам’яті охолоджуються до низької температури. Автори дослідження змогли продемонструвати атаку холодного завантаження для відновлення криптографічних ключів для кількох популярних систем шифрування дисків, незважаючи на деяку деградацію пам’яті, використовуючи переваги надлишковості в тому, як ключі зберігаються після їх розширення для ефективного використання. Автори рекомендують вимикати комп’ютери, а не залишати їх у «сплячому» стані, якщо вони не знаходяться під фізичним контролем законного власника комп’ютера. Цей метод відновлення ключа, однак, підходить для контрольованих лабораторних установок і вкрай непрактичний для «польового» використання через необхідне обладнання та системи охолодження.
Інші особливості
Правдоподібне заперечення
Деякі системи шифрування диска, такі як VeraCrypt, CipherShed (активні форки з відкритим вихідним кодом припиненого проекту TrueCrypt ), BestCrypt (власницьке пробне програмне забезпечення), пропонують рівні правдоподібного заперечення, що може бути корисним, якщо користувач змушений розкрити пароль зашифрованого тому.
Приховані томи
Приховані томи — це стеганографічна функція, яка дозволяє іншому, «прихованому» тому розташовуватися в межах видимого вільного простору видимого «контейнера» (іноді відомого як «зовнішній» том). Прихований том має власну окрему файлову систему, пароль і ключ шифрування, відмінні від тому контейнера.
Вміст прихованого тому зашифровано та зберігається у вільному просторі файлової системи зовнішнього тому — просторі, який інакше був би заповнений випадковими значеннями, якби прихований том не існував. Коли зовнішній контейнер підключається за допомогою програмного забезпечення для шифрування диска, монтування внутрішнього чи зовнішнього тому залежить від наданого пароля. Якщо «звичайний» пароль/ключ зовнішнього тому виявляється дійсним, зовнішній том монтується; якщо пароль/ключ прихованого тому виявиться дійсним, тоді (і тільки тоді) можна виявити існування прихованого тому, і він буде змонтований; інакше, якщо пароль/ключ не вдасться розшифрувати ні внутрішній, ні зовнішній дескриптори тому, жоден з них не буде змонтовано.
Після створення прихованого тома всередині видимого тома контейнера користувач зберігатиме важливу на вигляд інформацію (але яку він насправді не проти розкрити) на зовнішньому томі, тоді як більш конфіденційна інформація зберігатиметься всередині прихованого тома.
Якщо користувач змушений відкрити пароль, він може відкрити пароль для зовнішнього тому, не повідомляючи про існування прихованого тому. Прихований том не буде скомпрометовано, якщо користувач вживе певних заходів обережності під час перезапису вільних областей «хостового» диска.
Без ознак ідентифікації
Томи, незалежно від того, чи зберігаються вони у файлі чи на пристрої/розділі, можуть навмисно не містити жодних помітних «підписів» чи незашифрованих заголовків. Оскільки алгоритми шифрування розроблені таким чином, що їх неможливо відрізнити від псевдовипадкової перестановки без знання ключа, наявність даних у зашифрованому томі також неможливо виявити, якщо в шифрі немає відомих недоліків. Це означає, що неможливо довести, що будь-який файл або розділ є зашифрованим томом (а не випадковими даними), не маючи пароля для його монтування. Ця характеристика також унеможливлює визначення того, чи містить том інший прихований том.
Файловий том (на відміну від розділів) у деяких випадках може виглядати недоречним, оскільки це будуть випадкові дані, розміщені у файлі навмисно. Однак розділ або том, розміщений на пристрої, нічим не відрізнятиметься від розділу чи пристрою, стертих за допомогою звичайного засобу очищення диска, наприклад Darik's Boot і Nuke . Можна стверджувати, що з високою імовірністю такий пристрій або розділ було стерто, щоб очистити особисті дані.
Портативний або «режим мандрівника» означає, що програмне забезпечення для шифрування можна запускати без інсталяції на жорсткий диск системи. У цьому режимі програмне забезпечення зазвичай встановлює тимчасовий драйвер із портативного носія. Оскільки він встановлює драйвер (хоча й тимчасово), права адміністратора все одно потрібні.
Томи змінного розміру
Деякі програми для шифрування дисків дозволяють змінювати розмір зашифрованих томів. Не багато систем реалізують це повністю, і для цього вдаються до використання «розріджених файлів».
Резервні копії
Зашифровані томи містять дані «заголовка» (або «CDB»), резервні копії яких можуть бути створені. Перезапис цих даних знищить том, тому можливість їх резервного копіювання є корисною.
Відновлення резервної копії цих даних може скинути пароль тома до того значення, яке було на момент створення резервної копії.
Див. також
- Теорія шифрування дисків
- Апаратне забезпечення шифрування диска
- Порівняння програмного забезпечення для шифрування дисків
- Залишкова інформація
- Шифрування диска
- Шифрування на льоту
- Атака холодного завантаження
- Єдиний вхід
- Сполучені Штати проти Буше
Примітки
- та ін. (February 2008). (PDF). Архів оригіналу (PDF) за 14 травня 2008.
- Plausible Deniability - FreeOTFE instructions for initializing an encrypted disk such that the presence of a hidden disk cannot be detected
- Це критерій проектування сучасних шифрів; іншими словами, шифри вважаються зламаними, якщо їх результат можна відрізнити від випадкового , (20 вересня 2005). Chapter 3: Pseudorandom functions. . с. 7. Архів оригіналу за 11 жовтня 2007. Процитовано 30 вересня 2007.
Посилання
- Hard Disk Encryption, каталог посилань Open Directory Project
- Inside NetBSDs CGD Archived 2005-12-30 at the Wayback Machine
- Buyer's Guide to Full Disk Encryption - Overview of full-disk encryption, how it works, and how it differs from file-level encryption—plus an overview of leading full-disk encryption software.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Programne zabezpechennya dlya shifruvannya diskiv ce programne zabezpechennya bezpeki komp yutera yake zahishaye konfidencijnist danih sho zberigayutsya na komp yuternih nosiyah napriklad na zhorstkomu disku disketi chi USB nakopichuvachi za dopomogoyu shifruvannya diska U porivnyanni z kontrolem dostupu yakij zazvichaj zabezpechuyetsya operacijnoyu sistemoyu OS shifruvannya pasivno zahishaye konfidencijnist danih navit koli OS ne aktivna napriklad yaksho dani zchituyutsya bezposeredno z obladnannya abo inshoyu OS Krim togo shifruvannya usuvaye neobhidnist vidalyati dani v kinci zhittyevogo ciklu diska Shifruvannya diska yak pravilo vidnositsya do povnogo shifruvannya yake pracyuye na vsomu tomi perevazhno prozoro dlya koristuvacha sistemi ta program Ce yak pravilo vidriznyayetsya vid shifruvannya na rivni fajlu yake pracyuye shlyahom zvernennya koristuvacha do odnogo fajlu abo grupi fajliv i vimagaye vid koristuvacha rishennya pro te yaki konkretni fajli slid zashifruvati Shifruvannya diska zazvichaj vklyuchaye vsi aspekti diska vklyuchayuchi katalogi tak sho zlovmisnik ne mozhe viznachiti vmist nazvu abo rozmir bud yakogo fajlu Vin dobre pidhodit dlya portativnih pristroyiv takih yak portativni komp yuteri ta flesh nakopichuvachi yaki osoblivo shilni do vtrati abo vikradennya Za pravilnogo vikoristannya toj hto znahodit vtrachenij pristrij ne zmozhe otrimati faktichni dani abo navit znati yaki tam buli fajli MetodiDani diska zahisheno za dopomogoyu simetrichnoyi kriptografiyi z vipadkovim generuvannyam klyucha pid chas pershogo vstanovlennya shifruvannya diska Sam cej klyuch pevnim chinom zashifrovanij za dopomogoyu parolya abo frazi parolyu vidomoyi v ideali lishe koristuvachevi Pislya cogo shob otrimati dostup do danih diska koristuvach povinen vvesti parol shob zrobiti klyuch dostupnim programnomu zabezpechennyu Ce potribno robiti cherez deyakij chas pislya kozhnogo zapusku operacijnoyi sistemi persh nizh mozhna bude vikoristovuvati zashifrovani dani Programne shifruvannya zazvichaj pracyuye na rivni mizh usima dodatkami ta bilshistyu sistemnih program i nizkorivnevimi drajverami pristroyiv z tochki zoru koristuvacha shifruyuchi dani pislya togo yak voni buli stvoreni programoyu ale do togo yak voni buli fizichno zapisani na disk I navpaki vin rozshifrovuye dani odrazu pislya yih zchituvannya ale do togo yak voni budut peredani programi Yaksho vse zrobleno pravilno programi ne znayut pro ci kriptografichni operaciyi Deyake programne zabezpechennya dlya shifruvannya diskiv napriklad VeraCrypt abo BestCrypt nadaye funkciyi yaki zazvichaj ne mozhut buti realizovani za dopomogoyu aparatnogo shifruvannya diska mozhlivist montuvati fajli kontejneri yak zashifrovani logichni diski z vlasnoyu fajlovoyu sistemoyu i zashifrovani logichni vnutrishni tomi yaki tayemno prihovani u vilnomu prostori bilsh ochevidnih zovnishnih tomiv Taki strategiyi zabezpechuyut pravdopodibne zaperechennya Dobre vidomi prikladi programnogo zabezpechennya dlya shifruvannya diskiv BitLocker dlya Windows FileVault dlya Apple OS X LUKS standartne bezkoshtovne programne zabezpechennya dlya Linux i VeraCrypt nekomercijna bezkoshtovna programa dlya Windows OS X i Linux Doslidzhennya 2008 roku viyavilo zberezhennya danih u dinamichnij pam yati z dovilnim dostupom DRAM pri comu dani zberigayutsya vid sekund do hvilin za kimnatnoyi temperaturi ta znachno dovshe koli chipi pam yati oholodzhuyutsya do nizkoyi temperaturi Avtori doslidzhennya zmogli prodemonstruvati ataku holodnogo zavantazhennya dlya vidnovlennya kriptografichnih klyuchiv dlya kilkoh populyarnih sistem shifruvannya diskiv nezvazhayuchi na deyaku degradaciyu pam yati vikoristovuyuchi perevagi nadlishkovosti v tomu yak klyuchi zberigayutsya pislya yih rozshirennya dlya efektivnogo vikoristannya Avtori rekomenduyut vimikati komp yuteri a ne zalishati yih u splyachomu stani yaksho voni ne znahodyatsya pid fizichnim kontrolem zakonnogo vlasnika komp yutera Cej metod vidnovlennya klyucha odnak pidhodit dlya kontrolovanih laboratornih ustanovok i vkraj nepraktichnij dlya polovogo vikoristannya cherez neobhidne obladnannya ta sistemi oholodzhennya Inshi osoblivostiPravdopodibne zaperechennya Deyaki sistemi shifruvannya diska taki yak VeraCrypt CipherShed aktivni forki z vidkritim vihidnim kodom pripinenogo proektu TrueCrypt BestCrypt vlasnicke probne programne zabezpechennya proponuyut rivni pravdopodibnogo zaperechennya sho mozhe buti korisnim yaksho koristuvach zmushenij rozkriti parol zashifrovanogo tomu Prihovani tomi Prihovani tomi ce steganografichna funkciya yaka dozvolyaye inshomu prihovanomu tomu roztashovuvatisya v mezhah vidimogo vilnogo prostoru vidimogo kontejnera inodi vidomogo yak zovnishnij tom Prihovanij tom maye vlasnu okremu fajlovu sistemu parol i klyuch shifruvannya vidminni vid tomu kontejnera Vmist prihovanogo tomu zashifrovano ta zberigayetsya u vilnomu prostori fajlovoyi sistemi zovnishnogo tomu prostori yakij inakshe buv bi zapovnenij vipadkovimi znachennyami yakbi prihovanij tom ne isnuvav Koli zovnishnij kontejner pidklyuchayetsya za dopomogoyu programnogo zabezpechennya dlya shifruvannya diska montuvannya vnutrishnogo chi zovnishnogo tomu zalezhit vid nadanogo parolya Yaksho zvichajnij parol klyuch zovnishnogo tomu viyavlyayetsya dijsnim zovnishnij tom montuyetsya yaksho parol klyuch prihovanogo tomu viyavitsya dijsnim todi i tilki todi mozhna viyaviti isnuvannya prihovanogo tomu i vin bude zmontovanij inakshe yaksho parol klyuch ne vdastsya rozshifruvati ni vnutrishnij ni zovnishnij deskriptori tomu zhoden z nih ne bude zmontovano Pislya stvorennya prihovanogo toma vseredini vidimogo toma kontejnera koristuvach zberigatime vazhlivu na viglyad informaciyu ale yaku vin naspravdi ne proti rozkriti na zovnishnomu tomi todi yak bilsh konfidencijna informaciya zberigatimetsya vseredini prihovanogo toma Yaksho koristuvach zmushenij vidkriti parol vin mozhe vidkriti parol dlya zovnishnogo tomu ne povidomlyayuchi pro isnuvannya prihovanogo tomu Prihovanij tom ne bude skomprometovano yaksho koristuvach vzhive pevnih zahodiv oberezhnosti pid chas perezapisu vilnih oblastej hostovogo diska Bez oznak identifikaciyi Tomi nezalezhno vid togo chi zberigayutsya voni u fajli chi na pristroyi rozdili mozhut navmisno ne mistiti zhodnih pomitnih pidpisiv chi nezashifrovanih zagolovkiv Oskilki algoritmi shifruvannya rozrobleni takim chinom sho yih nemozhlivo vidrizniti vid psevdovipadkovoyi perestanovki bez znannya klyucha nayavnist danih u zashifrovanomu tomi takozh nemozhlivo viyaviti yaksho v shifri nemaye vidomih nedolikiv Ce oznachaye sho nemozhlivo dovesti sho bud yakij fajl abo rozdil ye zashifrovanim tomom a ne vipadkovimi danimi ne mayuchi parolya dlya jogo montuvannya Cya harakteristika takozh unemozhlivlyuye viznachennya togo chi mistit tom inshij prihovanij tom Fajlovij tom na vidminu vid rozdiliv u deyakih vipadkah mozhe viglyadati nedorechnim oskilki ce budut vipadkovi dani rozmisheni u fajli navmisno Odnak rozdil abo tom rozmishenij na pristroyi nichim ne vidriznyatimetsya vid rozdilu chi pristroyu stertih za dopomogoyu zvichajnogo zasobu ochishennya diska napriklad Darik s Boot i Nuke Mozhna stverdzhuvati sho z visokoyu imovirnistyu takij pristrij abo rozdil bulo sterto shob ochistiti osobisti dani Portativnij abo rezhim mandrivnika oznachaye sho programne zabezpechennya dlya shifruvannya mozhna zapuskati bez instalyaciyi na zhorstkij disk sistemi U comu rezhimi programne zabezpechennya zazvichaj vstanovlyuye timchasovij drajver iz portativnogo nosiya Oskilki vin vstanovlyuye drajver hocha j timchasovo prava administratora vse odno potribni Tomi zminnogo rozmiru Deyaki programi dlya shifruvannya diskiv dozvolyayut zminyuvati rozmir zashifrovanih tomiv Ne bagato sistem realizuyut ce povnistyu i dlya cogo vdayutsya do vikoristannya rozridzhenih fajliv Rezervni kopiyi Zashifrovani tomi mistyat dani zagolovka abo CDB rezervni kopiyi yakih mozhut buti stvoreni Perezapis cih danih znishit tom tomu mozhlivist yih rezervnogo kopiyuvannya ye korisnoyu Vidnovlennya rezervnoyi kopiyi cih danih mozhe skinuti parol toma do togo znachennya yake bulo na moment stvorennya rezervnoyi kopiyi Div takozhTeoriya shifruvannya diskiv Aparatne zabezpechennya shifruvannya diska Porivnyannya programnogo zabezpechennya dlya shifruvannya diskiv Zalishkova informaciya Shifruvannya diska Shifruvannya na lotu Ataka holodnogo zavantazhennya Yedinij vhid Spolucheni Shtati proti BushePrimitkita in February 2008 PDF Arhiv originalu PDF za 14 travnya 2008 Plausible Deniability FreeOTFE instructions for initializing an encrypted disk such that the presence of a hidden disk cannot be detected Ce kriterij proektuvannya suchasnih shifriv inshimi slovami shifri vvazhayutsya zlamanimi yaksho yih rezultat mozhna vidrizniti vid vipadkovogo 20 veresnya 2005 Chapter 3 Pseudorandom functions s 7 Arhiv originalu za 11 zhovtnya 2007 Procitovano 30 veresnya 2007 PosilannyaHard Disk Encryption katalog posilan Open Directory Project Inside NetBSDs CGD Archived 2005 12 30 at the Wayback Machine Buyer s Guide to Full Disk Encryption Overview of full disk encryption how it works and how it differs from file level encryption plus an overview of leading full disk encryption software