Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Шифрування диска технологія захисту інформації яка переводить дані на диску в код який не читається і який нелегальний к

Шифрування диска

Шифрування диска

Шифрування диска — технологія захисту інформації, яка переводить дані на диску в  код, який не читається і який нелегальний користувач не зможе легко розшифрувати. Для шифрування диска використовується спеціальне програмне або апаратне забезпечення, яке зашифровує кожен біт сховища.

Вираз англ. full disk encryption (FDE) зазвичай означає, що все на диску знаходиться в зашифрованому вигляді, в тому числі і завантажувальні системні розділи.

Класифікація

На ринку є безліч реалізацій повного шифрування диска, вони можуть дуже сильно розрізнятися за можливостями й захищеністю, їх можна розділити на програмні та апаратні. Апаратні у свою чергу можна розділити на ті, що реалізовані в самому пристрої зберігання, й інші, наприклад, адаптер шини.

Апаратно реалізовані системи повного шифрування всередині диска, називаються самозашифрованими (Self-Encrypted Drive — SED). На відміну від програмно-реалізованого FDE, SED більш продуктивний. Більш того, ключ шифрування ніколи не покидає пристрою, а значить не доступний вірусам в операційній системі.

Для самозашифрованих дисків існує [en][en], яка надає прийняті в галузі стандарти.

Прозоре шифрування

Прозоре шифрування (англ. Transparent encryption), також називається шифруванням в реальному часі (англ. real-time encryption) або шифрування на льоту (on-the-fly encryption) — це метод, що використовує яке-небудь програмне забезпечення для шифрування диска. Слово «прозорий» означає, що дані автоматично зашифровуються або розшифровуються при читанні або записі, для чого зазвичай потрібна робота з драйверами, для встановлення яких необхідні спеціальні права доступу. Однак деякі FDE після установки й налаштування адміністратором дозволяють звичайним користувачам шифрувати диски.

Існує кілька способів організації прозорого шифрування: шифрування розділів і шифрування на рівні файлів. Прикладом першого може бути шифрування диска, другого — файлова система (EFS). У першому випадку, вся файлова система на диску знаходиться в зашифрованому вигляді (назви папок, файлів, їх вміст і метадані), і без коректного ключа не можна отримати доступ до даних. У другому, шифруються тільки дані вибраних файлів.

Шифрування диска і шифрування на рівні файлової системи

Шифрування на рівні файлової системи (англ. filesystem-level encryption — FLE) — процес шифрування кожного файлу в сховище. Доступ до зашифрованих даних можна отримати тільки після успішної аутентифікації. Деякі операційні системи мають власні додатки для FLE, при цьому доступно й безліч реалізацій від сторонніх розробників. FLE прозоро, це означає, що кожен, хто має доступ до файлової системи, може переглядати назви та метадані зашифрованих файлів, якими може скористатися зловмисник.

Шифрування на рівні файлової системи відрізняється від повного шифрування диска. FDE захищає дані до тих пір, поки користувач не пройде завантаження, так що у разі втрати або крадіжки диска дані будуть для зловмисника недоступні, якщо ж під час роботи диск розшифрований і зловмисник отримав доступ до вашого комп'ютера, він отримує доступ до всіх файлів у сховищі. FLE ж захищає до тих пір, поки користувач не пройде аутентифікацію для конкретного файлу, при роботі з одним файлом решта  так само зашифровані, тому FLE може бути використаний разом з повним шифруванням для більшої безпеки.

Ще одна важлива відмінність полягає в тому, що FDE автоматично шифрує всі дані на диску у той час, як FLE не захищає дані зовні зашифрованих файлів і папок, тому часові і swap файли можуть містити не зашифровану інформацію.

Шифрування диска і Trusted Platform Module

Trusted Platform Module (TPM) — це безпечний криптопроцессор, вбудований в материнську плату, який може бути використаний для аутентифікації апаратних пристроїв. Так само він може зберігати великі двійкові дані, наприклад, секретні ключі й пов'язувати їх з конфігурацією цільової системи, в результаті чого вони будуть зашифровані, і розшифрувати їх можна буде тільки на вибраному пристрої.

Є як FDE, використовують TPM, наприклад, BitLocker, так і ті, які не підтримують роботу з ним, наприклад TrueCrypt.

Повне шифрування і головний завантажувальний запис

При установці програмно-реалізованого FDE на завантажувальний диск операційної системи, яка використовує головний завантажувальний запис (англ. master boot record, MBR), FDE повинен перенаправляти MBR на спеціальне передзавантажене середовище (англ. pre-boot environment, PBE), для здійснення передзавантажувальної аутентифікації (англ. Pre-Boot Authentication, PBA). Тільки після проходження PBA буде розшифровано завантажувальний сектор операційної системи. Деякі реалізації надають можливість PBA по мережі

Однак, зміна процесу завантаження може привести до проблем. Наприклад, це може перешкодити здійсненню мультизавантаження або призвести до конфлікту з програмами, які зазвичай зберігають свої дані в дисковий простір, де, після установки FDE, буде розташована PBE. Так само це може перешкодити пробудженню за сигналом з локальної мережі, так як перед завантаженням потрібно PBA. Деякі реалізації FDE можна налаштувати так, щоб вони пропускали PBA, але це створює додаткові проблеми, якими може скористатися зловмисник. Даних проблем не виникає при використанні самозашифрованих дисків.

Механізми відновлення пароля/даних

Для систем шифрування дисків необхідні безпечні та надійні механізми відновлення даних. Реалізація повинна надавати простий і безпечний спосіб відновлення паролів (найбільш важливу інформацію) у разі, якщо користувач забуде.

Більшість реалізацій пропонують рішення на основі пароля користувача. Наприклад, якщо є захищений комп'ютер, то він може надіслати користувачу, який забув пароль, спеціальний код, що він використовує для доступу до сайту відновлення даних. Сайт поставить користувачеві секретне питання, на яке він раніше давав відповідь, після чого йому буде висланий пароль або одноразовий код відновлення даних. Це так само може бути реалізовано зверненням до служби підтримки.

Інші підходи до відновлення даних, як правило складніші. Деякі FDE надають можливість самому, без зверненнядо служби підтримки, відновити дані. Наприклад, використовуючи смарт-карти або криптографічні токени. Так само є реалізації, які підтримують локальний механізм відновлення даних "запитання-відповідь". Але такі підходи зменшують захищеність даних, тому багато компаній не дозволяють використовувати їх. Втрата аутентифікатора може призвести до втрати доступу до даних або до доступу зловмисника до них.

Проблеми безпеки

Більшість програмно реалізованих систем повного шифрування уразливі для атаки методом холодного перезавантаження, за допомогою якого ключі можуть бути вкрадені. Атака заснована на тому, що дані в оперативній пам'яті можуть зберігатися до декількох хвилин після вимикання комп'ютера. Час збереження можна збільшити охолодженням пам'яті. Системи, що використовують TPM, теж нестійкі до такої атаки, так як ключ, необхідний операційній системі для доступу до даних,  зберігається в оперативній пам'яті.

Програмні реалізації так само складно захистити від апаратних кейлогерів. Є реалізації, здатні їх виявити, але вони апаратно-залежні.

Див. також

Примітки

  1. Self-Encrypting Disks pose Self-Decrypting Risks. How to break Hardware-based Full Disk Encryption, 2012, с. 1.
  2. B. Bosen: FDE Performance Comparison. Hardware Versus Software Full Drive Encryption, 2010, с. 9.
  3. А. М. Коротин: О СПОСОБАХ РЕАЛИЗАЦИИ ПРОЗРАЧНОГО ШИФРОВАНИЯ ФАЙЛОВ НА БАЗЕ СЕРТИФИЦИРОВАННОГО СКЗИ ДЛЯ ОПЕРАЦИОННОЙ СИСТЕМЫ LINUX, 2012, с. 62.
  4. File System Encryption with Integrated User Management, 2001, с. 1.
  5. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007, с. 3-4.
  6. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007, с. 3-5—3-6.
  7. J. Winter: Eavesdropping Trusted Platform Module Communication, 2009, с. 2—3.
  8. Stark Tamperproof Authentication to Resist Keylogging, 2013, с. 3.
  9. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007, с. 3-1.
  10. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007, с. 3-2—3-3.
  11. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007, с. 4-5.
  12. K. Scarfone, M. Souppaya, M Sexton: Guide to Storage Encryption Technologies for End User Devices, 2007, с. 4-6.
  13. Stark Tamperproof Authentication to Resist Keylogging, 2013, с. 12.
  14. Lest We Remember: Cold Boot Attacks on Encryption Keys, 2008, с. 5.
  15. Lest We Remember: Cold Boot Attacks on Encryption Keys, 2008, с. 12.
  16. Stark Tamperproof Authentication to Resist Keylogging, 2013, с. 13.

Література

  • K. Scarfone, M. Souppaya, M. Sexton. {{{Заголовок}}}.
  • А. М. Коротин. . — № 2012-2.
  • B. Bosen. .
  • Stefan Ludwig, Prof. Dr. Winfried Kalf. .
  • Tilo Müller, Tobias Latzo, Felix C. Freiling. .
  • Tilo Müller, Hans Spath, Richard M¨ackl, Felix C. Freiling. .
  • J. Winter. .
  • J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, Edward W. Felten. .
  • Poul-Henning Kamp. .

Посилання

  • Guide to storage technologies for encryption end user devices [ 8 липня 2017 у Wayback Machine.](англ.)

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Shifruvannya diska tehnologiya zahistu informaciyi yaka perevodit dani na disku v kod yakij ne chitayetsya i yakij nelegalnij koristuvach ne zmozhe legko rozshifruvati Dlya shifruvannya diska vikoristovuyetsya specialne programne abo aparatne zabezpechennya yake zashifrovuye kozhen bit shovisha Viraz angl full disk encryption FDE zazvichaj oznachaye sho vse na disku znahoditsya v zashifrovanomu viglyadi v tomu chisli i zavantazhuvalni sistemni rozdili KlasifikaciyaNa rinku ye bezlich realizacij povnogo shifruvannya diska voni mozhut duzhe silno rozriznyatisya za mozhlivostyami j zahishenistyu yih mozhna rozdiliti na programni ta aparatni Aparatni u svoyu chergu mozhna rozdiliti na ti sho realizovani v samomu pristroyi zberigannya j inshi napriklad adapter shini Aparatno realizovani sistemi povnogo shifruvannya vseredini diska nazivayutsya samozashifrovanimi Self Encrypted Drive SED Na vidminu vid programno realizovanogo FDE SED bilsh produktivnij Bilsh togo klyuch shifruvannya nikoli ne pokidaye pristroyu a znachit ne dostupnij virusam v operacijnij sistemi Dlya samozashifrovanih diskiv isnuye en en yaka nadaye prijnyati v galuzi standarti Prozore shifruvannyaProzore shifruvannya angl Transparent encryption takozh nazivayetsya shifruvannyam v realnomu chasi angl real time encryption abo shifruvannya na lotu on the fly encryption ce metod sho vikoristovuye yake nebud programne zabezpechennya dlya shifruvannya diska Slovo prozorij oznachaye sho dani avtomatichno zashifrovuyutsya abo rozshifrovuyutsya pri chitanni abo zapisi dlya chogo zazvichaj potribna robota z drajverami dlya vstanovlennya yakih neobhidni specialni prava dostupu Odnak deyaki FDE pislya ustanovki j nalashtuvannya administratorom dozvolyayut zvichajnim koristuvacham shifruvati diski Isnuye kilka sposobiv organizaciyi prozorogo shifruvannya shifruvannya rozdiliv i shifruvannya na rivni fajliv Prikladom pershogo mozhe buti shifruvannya diska drugogo fajlova sistema EFS U pershomu vipadku vsya fajlova sistema na disku znahoditsya v zashifrovanomu viglyadi nazvi papok fajliv yih vmist i metadani i bez korektnogo klyucha ne mozhna otrimati dostup do danih U drugomu shifruyutsya tilki dani vibranih fajliv Shifruvannya diska i shifruvannya na rivni fajlovoyi sistemiShifruvannya na rivni fajlovoyi sistemi angl filesystem level encryption FLE proces shifruvannya kozhnogo fajlu v shovishe Dostup do zashifrovanih danih mozhna otrimati tilki pislya uspishnoyi autentifikaciyi Deyaki operacijni sistemi mayut vlasni dodatki dlya FLE pri comu dostupno j bezlich realizacij vid storonnih rozrobnikiv FLE prozoro ce oznachaye sho kozhen hto maye dostup do fajlovoyi sistemi mozhe pereglyadati nazvi ta metadani zashifrovanih fajliv yakimi mozhe skoristatisya zlovmisnik Shifruvannya na rivni fajlovoyi sistemi vidriznyayetsya vid povnogo shifruvannya diska FDE zahishaye dani do tih pir poki koristuvach ne projde zavantazhennya tak sho u razi vtrati abo kradizhki diska dani budut dlya zlovmisnika nedostupni yaksho zh pid chas roboti disk rozshifrovanij i zlovmisnik otrimav dostup do vashogo komp yutera vin otrimuye dostup do vsih fajliv u shovishi FLE zh zahishaye do tih pir poki koristuvach ne projde autentifikaciyu dlya konkretnogo fajlu pri roboti z odnim fajlom reshta tak samo zashifrovani tomu FLE mozhe buti vikoristanij razom z povnim shifruvannyam dlya bilshoyi bezpeki She odna vazhliva vidminnist polyagaye v tomu sho FDE avtomatichno shifruye vsi dani na disku u toj chas yak FLE ne zahishaye dani zovni zashifrovanih fajliv i papok tomu chasovi i swap fajli mozhut mistiti ne zashifrovanu informaciyu Shifruvannya diska i Trusted Platform ModuleTrusted Platform Module TPM ce bezpechnij kriptoprocessor vbudovanij v materinsku platu yakij mozhe buti vikoristanij dlya autentifikaciyi aparatnih pristroyiv Tak samo vin mozhe zberigati veliki dvijkovi dani napriklad sekretni klyuchi j pov yazuvati yih z konfiguraciyeyu cilovoyi sistemi v rezultati chogo voni budut zashifrovani i rozshifruvati yih mozhna bude tilki na vibranomu pristroyi Ye yak FDE vikoristovuyut TPM napriklad BitLocker tak i ti yaki ne pidtrimuyut robotu z nim napriklad TrueCrypt Povne shifruvannya i golovnij zavantazhuvalnij zapisPri ustanovci programno realizovanogo FDE na zavantazhuvalnij disk operacijnoyi sistemi yaka vikoristovuye golovnij zavantazhuvalnij zapis angl master boot record MBR FDE povinen perenapravlyati MBR na specialne peredzavantazhene seredovishe angl pre boot environment PBE dlya zdijsnennya peredzavantazhuvalnoyi autentifikaciyi angl Pre Boot Authentication PBA Tilki pislya prohodzhennya PBA bude rozshifrovano zavantazhuvalnij sektor operacijnoyi sistemi Deyaki realizaciyi nadayut mozhlivist PBA po merezhi Odnak zmina procesu zavantazhennya mozhe privesti do problem Napriklad ce mozhe pereshkoditi zdijsnennyu multizavantazhennya abo prizvesti do konfliktu z programami yaki zazvichaj zberigayut svoyi dani v diskovij prostir de pislya ustanovki FDE bude roztashovana PBE Tak samo ce mozhe pereshkoditi probudzhennyu za signalom z lokalnoyi merezhi tak yak pered zavantazhennyam potribno PBA Deyaki realizaciyi FDE mozhna nalashtuvati tak shob voni propuskali PBA ale ce stvoryuye dodatkovi problemi yakimi mozhe skoristatisya zlovmisnik Danih problem ne vinikaye pri vikoristanni samozashifrovanih diskiv Mehanizmi vidnovlennya parolya danihDlya sistem shifruvannya diskiv neobhidni bezpechni ta nadijni mehanizmi vidnovlennya danih Realizaciya povinna nadavati prostij i bezpechnij sposib vidnovlennya paroliv najbilsh vazhlivu informaciyu u razi yaksho koristuvach zabude Bilshist realizacij proponuyut rishennya na osnovi parolya koristuvacha Napriklad yaksho ye zahishenij komp yuter to vin mozhe nadislati koristuvachu yakij zabuv parol specialnij kod sho vin vikoristovuye dlya dostupu do sajtu vidnovlennya danih Sajt postavit koristuvachevi sekretne pitannya na yake vin ranishe davav vidpovid pislya chogo jomu bude vislanij parol abo odnorazovij kod vidnovlennya danih Ce tak samo mozhe buti realizovano zvernennyam do sluzhbi pidtrimki Inshi pidhodi do vidnovlennya danih yak pravilo skladnishi Deyaki FDE nadayut mozhlivist samomu bez zvernennyado sluzhbi pidtrimki vidnoviti dani Napriklad vikoristovuyuchi smart karti abo kriptografichni tokeni Tak samo ye realizaciyi yaki pidtrimuyut lokalnij mehanizm vidnovlennya danih zapitannya vidpovid Ale taki pidhodi zmenshuyut zahishenist danih tomu bagato kompanij ne dozvolyayut vikoristovuvati yih Vtrata autentifikatora mozhe prizvesti do vtrati dostupu do danih abo do dostupu zlovmisnika do nih Problemi bezpekiBilshist programno realizovanih sistem povnogo shifruvannya urazlivi dlya ataki metodom holodnogo perezavantazhennya za dopomogoyu yakogo klyuchi mozhut buti vkradeni Ataka zasnovana na tomu sho dani v operativnij pam yati mozhut zberigatisya do dekilkoh hvilin pislya vimikannya komp yutera Chas zberezhennya mozhna zbilshiti oholodzhennyam pam yati Sistemi sho vikoristovuyut TPM tezh nestijki do takoyi ataki tak yak klyuch neobhidnij operacijnij sistemi dlya dostupu do danih zberigayetsya v operativnij pam yati Programni realizaciyi tak samo skladno zahistiti vid aparatnih kejlogeriv Ye realizaciyi zdatni yih viyaviti ale voni aparatno zalezhni Div takozhShifruvannya Aparatne shifruvannya Aparatne povne shifruvannya diska Samozashifrovanij disk Shifruvannya diska BitLocker TrueCryptPrimitkiSelf Encrypting Disks pose Self Decrypting Risks How to break Hardware based Full Disk Encryption 2012 s 1 B Bosen FDE Performance Comparison Hardware Versus Software Full Drive Encryption 2010 s 9 A M Korotin O SPOSOBAH REALIZACII PROZRAChNOGO ShIFROVANIYa FAJLOV NA BAZE SERTIFICIROVANNOGO SKZI DLYa OPERACIONNOJ SISTEMY LINUX 2012 s 62 File System Encryption with Integrated User Management 2001 s 1 K Scarfone M Souppaya M Sexton Guide to Storage Encryption Technologies for End User Devices 2007 s 3 4 K Scarfone M Souppaya M Sexton Guide to Storage Encryption Technologies for End User Devices 2007 s 3 5 3 6 J Winter Eavesdropping Trusted Platform Module Communication 2009 s 2 3 Stark Tamperproof Authentication to Resist Keylogging 2013 s 3 K Scarfone M Souppaya M Sexton Guide to Storage Encryption Technologies for End User Devices 2007 s 3 1 K Scarfone M Souppaya M Sexton Guide to Storage Encryption Technologies for End User Devices 2007 s 3 2 3 3 K Scarfone M Souppaya M Sexton Guide to Storage Encryption Technologies for End User Devices 2007 s 4 5 K Scarfone M Souppaya M Sexton Guide to Storage Encryption Technologies for End User Devices 2007 s 4 6 Stark Tamperproof Authentication to Resist Keylogging 2013 s 12 Lest We Remember Cold Boot Attacks on Encryption Keys 2008 s 5 Lest We Remember Cold Boot Attacks on Encryption Keys 2008 s 12 Stark Tamperproof Authentication to Resist Keylogging 2013 s 13 LiteraturaK Scarfone M Souppaya M Sexton Zagolovok A M Korotin 2012 2 B Bosen Stefan Ludwig Prof Dr Winfried Kalf Tilo Muller Tobias Latzo Felix C Freiling Tilo Muller Hans Spath Richard M ackl Felix C Freiling J Winter J Alex Halderman Seth D Schoen Nadia Heninger William Clarkson William Paul Joseph A Calandrino Ariel J Feldman Jacob Appelbaum Edward W Felten Poul Henning Kamp PosilannyaGuide to storage technologies for encryption end user devices 8 lipnya 2017 u Wayback Machine angl

Дата публікації:
Топ