Meniul
AcasăAndroid

Alternative la TrueCrypt. Programe pentru criptarea fișierelor individuale sau a discurilor întregi. Cum să protejați în mod fiabil fișierele de pe o unitate flash sau un hard disk extern

Un hard disk este un dispozitiv modern popular care vă permite să extindeți memoria computerului fără a deschide unitatea de sistem. Hard disk-urile externe moderne pot încăpea în orice geantă de mână, ceea ce înseamnă că puteți avea întotdeauna la îndemână cantități mari de informații. Dacă stocați informații confidențiale pe hard disk, atunci cea mai bună modalitate de a le proteja este să setați o parolă.
O parolă este un mijloc universal de protejare a informațiilor, care este o cheie care poate consta din orice număr de litere, cifre și simboluri. Dacă utilizatorul introduce parola incorect, atunci accesul la datele stocate pe hard diskul extern nu poate fi obținut.

Cum să setați o parolă pe un hard disk extern?

Am tratat deja acest lucru pe site-ul nostru înainte. Mai mult, a fost luată în considerare și întrebarea celui corect. Mai jos vom vorbi despre cum să aplicați o parolă pentru acest dispozitiv.

Setarea unei parole folosind instrumentele Windows încorporate

Setarea unei parole în acest caz este folosită cu succes atât pentru unitățile USB obișnuite, cât și pentru hard disk-urile externe, care au cantități mari de spațiu pe disc. Principalul avantaj al acestei metode este că nu trebuie să descărcați și să instalați programe terțe.

Conectați hard diskul extern la computer, apoi deschideți Windows Explorer. Mai exact, ne interesează secțiunea „Acest computer”, care afișează toate unitățile conectate la computer. Faceți clic dreapta pe hard diskul extern și în meniul contextual care apare, accesați „Activați BitLocker” .

Utilitarul va începe să se lanseze pe ecran. După un moment, pe ecran va apărea o fereastră în care va trebui să bifați caseta „Folosiți o parolă pentru a debloca discul” , iar în rândurile de mai jos specificați noua parolă de două ori. Faceți clic pe butonul "Mai departe" .

În continuare, vi se va cere să selectați opțiunea de salvare a unei chei speciale de recuperare. Aveți trei opțiuni din care să alegeți: salvați în contul Microsoft, salvați într-un fișier de pe computer sau imprimați imediat cheia pe o imprimantă. În opinia noastră, a doua opțiune este cea mai preferată, deoarece puteți încărca acest fișier, de exemplu, în cloud și, în orice moment, dacă parola pentru hard diskul extern este uitată, deschideți-o.

Următorul element de setare vă solicită să configurați criptarea datelor. Puteți alege fie să criptați doar spațiul ocupat de pe disc, fie să criptați întregul disc.

Vă rugăm să rețineți că, dacă alegeți să criptați întregul disc, trebuie să fiți pregătit pentru faptul că procesul de criptare poate dura multe ore. Prin urmare, dacă nu aveți mult timp și intenționați să deschideți hard disk-ul pe computerele moderne, vă recomandăm să alegeți prima opțiune de criptare.

Pasul final de configurare este selectarea unui mod de criptare dintre cele două disponibile: nou mod de criptare și modul de compatibilitate. Având în vedere că lucrăm cu un hard disk extern, bifați opțiunea "Mod de compatibilitate" , și apoi treceți mai departe.

De fapt, aceasta completează procesul de configurare BitLocker. Pentru a începe procesul de parolă, tot ce trebuie să faceți este să faceți clic pe butonul „Începeți criptarea” și așteptați finalizarea procesului.


Dacă, după finalizarea criptării, deschidem Windows Explorer în secțiunea „Acest PC”, hard diskul nostru extern va fi afișat cu o pictogramă de lacăt. O pictogramă deschisă cu un lacăt indică faptul că a fost obținut accesul la date, iar o pictogramă închisă, așa cum se arată în captura de ecran de mai jos, indică faptul că este necesară o parolă.

După ce a deschis discul de două ori, pe ecran va apărea o fereastră în miniatură în care utilizatorului i se va cere să introducă parola pentru hard diskul extern conectat.

Setarea unei parole folosind arhivare

Mulți utilizatori nu au încredere în procesul de criptare a datelor, deoarece astfel nu puteți accesa întreaga unitate. Prin urmare, vom folosi această metodă într-un mod ușor diferit - vom plasa informațiile salvate pe un hard disk extern într-o arhivă fără compresie, adică. Un hard disk extern, dacă este necesar, poate fi folosit fără parolă, dar pentru a accesa informațiile stocate în el, va trebui să introduceți o cheie de securitate.

Pentru a seta o parolă folosind informații de arhivare, veți avea nevoie de aproape orice program de arhivare. În cazul nostru, vom folosi instrumentul popular WinRAR , pe care o puteți descărca din linkul dat la finalul articolului.

De îndată ce programul de arhivare este instalat pe computer, deschideți conținutul hard diskului extern, selectați-l cu o simplă comandă rapidă de la tastatură Ctrl + A sau selectați anumite foldere și fișiere în cazul în care nu trebuie să ascundeți toate informațiile de pe unitatea externă. hard disk sub o parolă. După aceea, faceți clic dreapta pe selecție și selectați elementul din meniul contextual care apare "Adauga la arhiva" .

Pe ecran va apărea o fereastră în care veți avea nevoie în bloc "Metoda de compresie" selectați opțiunea „Fără compresie” , apoi faceți clic pe butonul "Seteaza parola" .

În fereastra care apare, va trebui să introduceți de două ori o parolă de orice durată. Mai jos, dacă este necesar, puteți activa criptarea datelor conținute în arhivă (fără a activa acest articol, numele folderelor și fișierelor vor fi vizibile, dar accesul la acestea va fi limitat).

Când crearea arhivei este finalizată, folderul rădăcină al hard disk-ului, pe lângă fișiere, va conține și arhiva pe care ați creat-o. Acum, fișierele de pe disc, cu excepția arhivei, pot fi șterse.

Când încercați să deschideți arhiva, pe ecran va apărea o fereastră care vă va cere să introduceți o parolă. Până la primirea parolei de arhivă, accesul la informații va fi limitat.

Care este rezultatul?

Cel mai eficient mod de a stoca informații confidențiale este utilizarea instrumentului standard BitLocker. Aceasta este o utilitate minunată, care, probabil, nu poate fi găsită cu analogi de calitate superioară. A doua metodă, care implică utilizarea unui arhivator, poate fi considerată cea mai preferată, deoarece nu restricționează accesul la hard diskul extern, ci doar la informațiile pe care doriți să le protejați prin parolă.

Desigur, există încă o mulțime de programe de criptare a informațiilor, dar nu ne-am concentrat asupra lor, deoarece cele două metode descrise în articol sunt cele mai optime pentru majoritatea utilizatorilor.

Securitatea și confidențialitatea sunt foarte importante pentru cei care stochează date importante pe un computer. Computerul dvs. de acasă este în siguranță, dar cu un laptop sau alte dispozitive portabile, situația este foarte diferită. Dacă purtați laptopul cu dvs. aproape peste tot și persoanele neautorizate pot avea acces la el, apare întrebarea - cum să vă protejați datele de interferențele altor persoane. Tocmai de la atacuri fizice, unde oricine poate încerca să obțină date de pe o unitate USB sau un hard disk de laptop prin simpla luare a dispozitivului sau, în cazul unui laptop, scoțând hard disk-ul și conectându-l la alt sistem de operare.

Multe companii și chiar utilizatori obișnuiți folosesc criptarea discului în Linux pentru a proteja informațiile confidențiale, cum ar fi informații despre client, fișiere, informații de contact și multe altele. Sistemul de operare Linux acceptă mai multe metode criptografice pentru a proteja partițiile, directoarele individuale sau întregul hard disk. Toate datele din oricare dintre aceste metode sunt criptate și decriptate automat din mers.

Criptare la nivel de sistem de fișiere:

  • 1. eCryptfs este un sistem de fișiere criptografic Linux. Stochează metadate criptografice pentru fiecare fișier într-un fișier separat, astfel încât fișierele să poată fi copiate între computere. Fișierul va fi decriptat cu succes dacă aveți cheia. Această soluție este utilizată pe scară largă pentru a implementa un director principal criptat, de exemplu în Ubuntu. De asemenea, ChromeOS încorporează acești algoritmi în mod transparent atunci când folosesc dispozitive de stocare atașată la rețea (NAS).
  • 2.EncFS- oferă un sistem de fișiere criptat în spațiul utilizatorului. Funcționează fără privilegii suplimentare și folosește biblioteca Fuse și modulul kernel pentru a oferi o interfață de sistem de fișiere. EncFS este un software gratuit și este licențiat sub GPL.

Criptare bloc la nivel de dispozitiv:

  • Loop-AES- un sistem de fișiere rapid și transparent, precum și un pachet pentru criptarea partiției swap în Linux. Codul sursă al programului nu a fost schimbat de mult timp. Funcționează cu nucleele 4.x, 3.x, 2.2, 2.0.
  • TrueCrypt este o soluție gratuită și open source pentru criptarea discului pe sistemele de operare Windows 7/Vista/XP/Mac OS X, precum și pe Linux.
  • dm-crypt+LUKS- dm-crypt este un subsistem transparent pentru criptarea discului în kernel-ul 2.6 și mai târziu. Este acceptată criptarea discurilor întregi, medii amovibile, partiții, volume RAID, software, volume logice și fișiere.

În acest tutorial, ne vom uita la criptarea unui hard disk pe Linux folosind algoritmul Linux Unified Key Setup-on-disk-format (LUKS).

Cum funcționează LUKS?

LUKS (Linux Unified Key Setup este un protocol de criptare bloc al dispozitivului. Dar am sărit mult înainte, pentru a înțelege cum funcționează, trebuie să înțelegem alte tehnologii utilizate în această metodă.

Pentru a realiza criptarea discului Linux, este utilizat modulul kernel dm-crypt. Acest modul vă permite să creați un dispozitiv de bloc virtual în directorul /dev/mapper cu criptare transparentă pentru sistemul de fișiere și utilizator. De fapt, toate datele sunt localizate pe o partiție fizică criptată. Dacă un utilizator încearcă să scrie date pe un dispozitiv virtual, acestea sunt criptate din mers și scrise pe disc la citirea de pe un dispozitiv virtual, se efectuează operația inversă - datele sunt decriptate de pe discul fizic și transmise în text clar; discul virtual către utilizator. De obicei, AES este utilizat pentru criptare, deoarece majoritatea procesoarelor moderne sunt optimizate pentru aceasta. Este important să rețineți că puteți cripta nu numai partițiile și discurile, ci și fișierele obișnuite, creând un sistem de fișiere în ele și conectându-le ca un dispozitiv de buclă.

Algoritmul LUKS determină ce acțiuni și în ce ordine vor fi efectuate atunci când se lucrează cu medii criptate. Pentru a lucra cu LUKS și modulul dm-crypt, utilizați utilitarul Cryptsetup. Vom lua în considerare acest lucru în continuare.

Utilitar Cryptsetup

Utilitarul Cryptsetup va facilita criptarea unei partiții Linux folosind modulul dm-crypt. Să-l instalăm mai întâi.

Pe Debian sau Ubuntu, utilizați această comandă:

apt-get install cryptsetup

Pe distribuțiile bazate pe Red Hat, va arăta astfel:

yum instalează cryptsetup-luks

Sintaxa pentru rularea comenzii este:

$ cryptsetup opțiuni operație opțiuni_operații

Să ne uităm la operațiunile de bază care pot fi efectuate folosind acest utilitar:

  • luksFormat- creați o partiție criptată luks linux
  • luksOpen- conectați un dispozitiv virtual (este necesar un dongle)
  • luksÎnchide- închideți dispozitivul virtual luks linux
  • luksAddKey- adăugați cheia de criptare
  • luksRemoveKey- ștergeți cheia de criptare
  • luksUUID- arată UUID-ul partiției
  • luksDump- creați o copie de rezervă a antetelor LUKS

Parametrii operațiunii depind de operația în sine, de obicei este fie un dispozitiv fizic cu care trebuie efectuată acțiunea, fie unul virtual, sau ambele. Nu totul este încă clar, dar cu practică, cred că o să-ți dai seama.

Criptare disc Linux

Teoria a fost finalizată, toate instrumentele sunt gata. Acum să ne uităm la criptarea partiției Linux. Să trecem la configurarea hard disk-ului. Vă rugăm să rețineți că aceasta va șterge toate datele de pe unitatea sau partiția pe care urmează să o criptați. Deci, dacă există date importante acolo, este mai bine să le copiați într-o locație mai sigură.

Crearea unei secțiuni

În acest exemplu, vom cripta partiția /dev/sda6, dar puteți utiliza un hard disk întreg sau doar un singur fișier plin cu zerouri. Creați o partiție criptată:

cryptsetup -y -v luksFormat /dev/sda6

AVERTIZARE!
========
Acest lucru va suprascrie datele de pe /dev/sda6 în mod irevocabil.

Esti sigur? (Tastați majuscule da): DA
Introduceți fraza de acces LUKS:
Verificați fraza de acces:
Comanda reușită.

Această comandă va inițializa partiția și va seta cheia și parola de inițializare. Specificați o parolă pentru a nu o uita mai târziu.

Rulați următoarea comandă pentru a deschide partiția nou creată folosind modulul dm-crypt din /dev/mapper, pentru a face acest lucru va trebui să introduceți parola cu care a fost efectuată criptarea luks linux:

Introduceți fraza de acces pentru /dev/sda6

Acum puteți vedea noul dispozitiv virtual /dev/mapper/backup2 creat folosind comanda luksFormat:

ls -l /dev/mapper/backup2

Pentru a vedea starea dispozitivului, rulați:

cryptsetup -v status backup2

/dev/mapper/backup2 este activ.
tip: LUKS1
cifr: aes-cbc-essiv:sha256
dimensiune cheie: 256 biți
dispozitiv: /dev/sda6
offset: 4096 sectoare
dimensiune: 419426304 sectoare
modul: citire/scriere
Comanda reușită.

Și cu următoarea comandă puteți face o copie de rezervă a antetelor LUKS pentru orice eventualitate:

cryptsetup luksDump /dev/sda6

Ei bine, putem spune că secțiunea este gata. Și cea mai bună parte este că acum îl puteți folosi la fel ca orice altă partiție obișnuită din directorul /dev. Îl puteți formata folosind utilitare standard, puteți scrie date în el, schimba sau verifica sistemul de fișiere etc. Nu puteți schimba pur și simplu dimensiunea. Adică totul este complet transparent, așa cum se spune la începutul articolului.

Formatarea unei partiții

Să formatăm mai întâi discul. Pentru a fi în siguranță, pentru a șterge toate datele care au fost în acest loc înainte, vom suprascrie partiția noastră linux criptată cu zerouri. Acest lucru va reduce probabilitatea de a rupe criptarea printr-o creștere a cantității de informații aleatorii. Pentru a face acest lucru, rulați:

dd if=/dev/zero of=/dev/mapper/backup2

Funcționarea utilitarului poate dura câteva ore pentru a putea monitoriza procesul, utilizați pv:

pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M

Când procesul este finalizat, putem formata dispozitivul în orice sistem de fișiere. De exemplu, să-l formatăm în ext4:

mkfs.ext4 /dev/mapper/backup2

După cum puteți vedea, toate comenzile cryptsetup sunt aplicate partiției fizice, în timp ce restul comenzilor pentru lucrul cu discuri sunt aplicate pe cea virtuală.

Montarea unei partiții

Acum puteți monta doar sistemul de fișiere creat:

$ mount /dev/mapper/backup2 /backup2

Dezactivarea unei partiții

Totul funcționează, dar cum să dezactivați dispozitivul și să protejați datele. Pentru a face acest lucru, rulați:

cryptsetup luksÎnchide backup2

Remontare

Pentru a putea lucra din nou cu partiția criptată folosind LUKS Linux, trebuie să o deschideți din nou:

cryptsetup luksOpen /dev/sda6 backup2

Acum putem monta:

montați /dev/mapper/backup2 /backup2

Verificați luks-ul sistemului de fișiere

Deoarece după deschiderea unei partiții cu luks linux, această partiție este tratată de sistem ca toate celelalte, puteți utiliza pur și simplu utilitarul fsck:

sudo umount /backup2

$ fsck -vy /dev/mapper/backup2

$ mount /dev/mapper/backup2 /backu2

Schimbați fraza de acces luks

Criptarea discului Linux se realizează cu o anumită expresie de acces, dar o puteți schimba. Și mai bine, puteți crea până la opt fraze de acces diferite. Pentru a schimba, executați următoarele comenzi. Mai întâi să facem backup pentru anteturile LUKS:

cryptsetup luksDump /dev/sda6

Apoi creați o cheie nouă:

cryptsetup luksAddKey /dev/sda6

Introdu orice expresie de acces:

Introduceți o nouă expresie de acces pentru slotul de cheie:
Verificați fraza de acces:

Și șterge-l pe cel vechi:

cryptsetup luksRemoveKey /dev/sda6

Acum va trebui să introduceți vechea parolă.

concluzii

Asta e tot, acum știi cum să criptezi o partiție în Linux și, de asemenea, înțelegi cum funcționează totul. În plus, criptarea discului în Linux folosind algoritmul LUKS deschide posibilități largi de criptare completă a sistemului instalat.

Pro:

  • LUKS criptează întregul dispozitiv bloc și, prin urmare, este foarte potrivit pentru protejarea conținutului dispozitivelor portabile precum telefoane mobile, medii amovibile sau hard disk-uri pentru laptop.
  • Puteți utiliza NAS pe servere pentru a vă proteja copiile de rezervă
  • Procesoarele Intel și AMD cu AES-NI (Advanced Encryption Standard) au un set de comenzi care pot accelera procesul de criptare bazat pe dm-crypt în nucleul Linux începând cu 2.6.32.
  • Funcționează și cu partiția de schimb, astfel încât laptopul poate utiliza modul de repaus sau funcția de hibernare în deplină siguranță.

Open Source a fost popular de 10 ani datorită independenței sale față de furnizorii importanți. Creatorii programului sunt necunoscuți public. Printre cei mai cunoscuți utilizatori ai programului se numără Edward Snowden și expertul în securitate Bruce Schneier. Utilitarul vă permite să transformați o unitate flash sau un hard disk într-un spațiu de stocare criptat securizat în care informațiile confidențiale sunt ascunse de privirile indiscrete.

Misterioșii dezvoltatori ai utilitarului au anunțat închiderea proiectului miercuri, 28 mai, explicând că folosirea TrueCrypt este nesigură. „ATENȚIE: Nu este sigur să utilizați TrueCrypt deoarece... programul poate conține vulnerabilități nerezolvate” - acest mesaj poate fi văzut pe pagina produsului de pe portalul SourceForge. Acesta este urmat de un alt mesaj: „Trebuie să migrați toate datele criptate cu TrueCrypt pe discuri criptate sau pe imagini de disc virtual acceptate pe platforma dumneavoastră.”

Expertul independent în securitate Graham Cluley a comentat destul de logic situația actuală: „Este timpul să găsim o soluție alternativă pentru criptarea fișierelor și hard disk-urilor”.

Nu glumesc!

Inițial, au existat sugestii că site-ul web al programului a fost spart de infractorii cibernetici, dar acum devine clar că aceasta nu este o farsă. SourceForge oferă acum o versiune actualizată a TrueCrypt (care este semnată digital de dezvoltatori), care vă solicită să faceți upgrade la BitLocker sau la un alt instrument alternativ în timpul instalării.

Profesorul de criptografie de la Universitatea John Hopkins, Matthew Green, a spus: „Este foarte puțin probabil ca un hacker necunoscut să identifice dezvoltatorii TrueCrypt, să le fure semnătura digitală și să le pirateze site-ul”.

Ce să folosești acum?

Site-ul și o alertă pop-up din programul însuși conțin instrucțiuni pentru transferul fișierelor criptate TrueCrypt către serviciul Microsoft BitLocker, care vine cu Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise și Windows 8 Pro/Enterprise. TrueCrypt 7.2 vă permite să decriptați fișiere, dar nu vă permite să creați noi partiții criptate.

Cea mai evidentă alternativă la program este BitLocker, dar există și alte opțiuni. Schneier a spus că revine la utilizarea PGPDisk de la Symantec. (110 USD per licență de utilizator) utilizează metoda de criptare PGP binecunoscută și dovedită.

Există și alte alternative gratuite pentru Windows, cum ar fi DiskCryptor. Cercetătorul în securitatea computerelor cunoscut sub numele de The Grugq a scris un întreg anul trecut, care este și astăzi relevant.

Johannes Ulrich, director științific al Institutului de Tehnologie SANS, recomandă utilizatorilor Mac OS X să acorde atenție FileVault 2, care este încorporat în OS X 10.7 (Lion) și sistemele de operare ulterioare ale acestei familii. FileVault folosește criptarea XTS-AES pe 128 de biți, care este utilizată de Agenția de Securitate Națională a SUA (NSA). Potrivit lui Ulrich, utilizatorii Linux ar trebui să respecte instrumentul de sistem Linux Unified Key Setup (LUKS). Dacă utilizați Ubuntu, atunci programul de instalare al acestui sistem de operare vă permite deja să activați criptarea completă a discului de la bun început.

Cu toate acestea, utilizatorii vor avea nevoie de alte aplicații pentru a cripta mediile portabile care sunt utilizate pe computere care rulează diferite sisteme de operare. Ulrich a spus că ceea ce îmi vine în minte în acest caz este .

Compania germană Steganos oferă să folosească versiunea veche a utilitarului său de criptare Steganos Safe (versiunea actuală este 15, dar se propune să folosească versiunea 14), care este distribuită gratuit.

Vulnerabilitati necunoscute

Faptul că TrueCrypt poate avea vulnerabilități de securitate este o îngrijorare serioasă, mai ales că un audit al programului nu a relevat astfel de probleme. Utilizatorii programului au strâns 70.000 de dolari pentru audit în urma zvonurilor că Agenția de Securitate Națională a SUA ar putea decoda cantități semnificative de date criptate. Prima etapă a studiului, care a analizat încărcătorul TrueCrypt, a fost efectuată luna trecută. Auditul nu a evidențiat nicio ușă în spate sau vulnerabilități intenționate. Următoarea fază a studiului, care va testa metodele de criptografie utilizate, a fost planificată pentru această vară.

Green a fost unul dintre experții implicați în audit. El a spus că nu are nicio informație preliminară că dezvoltatorii plănuiau să închidă proiectul. Green a spus: „Ultimul pe care l-am auzit de la dezvoltatorii TrueCrypt a fost: „Așteptăm cu nerăbdare rezultatele testului de fază 2. Va multumesc pentru eforturile dumneavoastra!" Trebuie remarcat faptul că auditul va continua așa cum era planificat, în ciuda închiderii proiectului TrueCrypt.

Poate că creatorii programului au decis să suspende dezvoltarea, deoarece utilitarul este depășit. Dezvoltarea s-a oprit pe 5 mai 2014, i.e. după încheierea oficială a suportului pentru Windows XP. SoundForge menționează: „Windows 8/7/Vista și sistemele ulterioare au instrumente încorporate pentru criptarea discurilor și a imaginilor discurilor virtuale.” Astfel, criptarea datelor este încorporată în multe sisteme de operare, iar dezvoltatorii au descoperit că programul nu mai este necesar.

Pentru a adăuga combustibil la foc, pe 19 mai, TrueCrypt a fost scos din sistemul securizat Tails (sistemul preferat al lui Snowden). Motivul nu este în întregime clar, dar programul în mod clar nu ar trebui folosit, a remarcat Cluley.

Cluley a mai scris: „Fie că este vorba despre o înșelătorie, un hack sau sfârșitul logic al ciclului de viață al TrueCrypt, este clar că utilizatorii conștiincioși nu se vor simți confortabil să aibă încredere în program cu datele lor după acest fiasco”.

Ați găsit o greșeală de scriere? Apăsați Ctrl + Enter

Lansați instrumentul de criptare pe Windows căutând „BitLocker” și selectând „Gestionați BitLocker”. În fereastra următoare, puteți activa criptarea făcând clic pe „Activați BitLocker” de lângă hard disk (dacă apare un mesaj de eroare, citiți secțiunea „Utilizarea BitLocker fără TPM”).

Acum puteți alege dacă doriți să utilizați o unitate flash USB sau o parolă atunci când deblocați o unitate criptată. Indiferent de opțiunea pe care o alegeți, va trebui să salvați sau să tipăriți cheia de recuperare în timpul procesului de configurare. Veți avea nevoie de el dacă uitați parola sau pierdeți unitatea flash.

Utilizarea BitLocker fără TPM

Configurarea BitLocker.
BitLocker funcționează și fără un cip TPM - deși acest lucru necesită o anumită configurație în Editorul de politici de grup local.

Dacă computerul dvs. nu are un cip TPM (Trusted Platform Module), poate fi necesar să faceți unele ajustări pentru a activa BitLocker. În bara de căutare Windows, tastați „Edit Group Policy” și deschideți secțiunea „Local Group Policy Editor”. Acum deschideți în coloana din stânga a editorului „Configurație computer | Șabloane administrative | Componente Windows | Criptare unitate BitLocker | Discuri ale sistemului de operare”, iar în coloana din dreapta, bifați intrarea „Autentificare suplimentară necesară la pornire”.

Apoi, în coloana din mijloc, faceți clic pe linkul „Editați setarea politicii”. Bifați caseta de lângă „Activați” și bifați caseta de lângă „Permiteți BitLocker fără un TPM compatibil” de mai jos. După ce faceți clic pe „Aplicați” și „OK”, puteți utiliza BitLocker așa cum este descris mai sus.

Alternativă sub formă de VeraCrypt

Pentru a cripta partiția de sistem sau întregul hard disk folosind succesorul lui TrueCrypt, VeraCrypt, selectați „Creare volum” din meniul principal VeraCrypt, apoi selectați „Criptați partiția de sistem sau întreaga unitate de sistem”. Pentru a cripta întregul hard disk împreună cu partiția Windows, selectați „Criptați întreaga unitate”, apoi urmați instrucțiunile de configurare pas cu pas. Notă: VeraCrypt creează un disc de salvare în cazul în care vă uitați parola. Deci veți avea nevoie de un CD gol.

După ce v-ați criptat unitatea, va trebui să specificați PIM (Personal Iterations Multiplier) după parolă când porniți. Dacă nu ați instalat PIM în timpul instalării, apăsați Enter.

Cu CyberSafe, puteți cripta mai mult decât fișiere individuale. Programul vă permite să criptați o întreagă partiție de hard disk sau o întreagă unitate externă (de exemplu, o unitate USB sau o unitate flash). Acest articol vă va arăta cum să criptați și să ascundeți o partiție criptată a hard diskului de privirile indiscrete.

Spioni, paranoici și utilizatori obișnuiți

Cine va beneficia de capacitatea de a cripta partițiile? Să renunțăm imediat la spioni și paranoici. Nu există atât de multe dintre primele, iar nevoia lor de criptare a datelor este pur profesională. Al doilea vrea doar să cripteze ceva, să-l ascundă etc. Deși nu există o amenințare reală și datele criptate nu interesează pe nimeni, oricum le criptează. De aceea ne interesează utilizatorii obișnuiți, dintre care, sper, vor fi mai mult decât spioni paranoici.
Un scenariu tipic de criptare a partițiilor este atunci când un computer este partajat. Există două opțiuni pentru utilizarea programului CyberSafe: fie fiecare dintre utilizatorii care lucrează la computer creează un disc virtual, fie fiecare alocă o partiție pe hard disk pentru stocarea fișierelor personale și o criptează. S-a scris deja despre crearea de discuri virtuale, dar în acest articol vom vorbi în special despre criptarea întregii partiții.
Să presupunem că există un hard disk de 500 GB și sunt trei utilizatori care lucrează periodic cu computerul. În ciuda faptului că sistemul de fișiere NTFS acceptă în continuare drepturi de acces și vă permite să limitați accesul unui utilizator la fișierele altui utilizator, protecția acestuia nu este suficientă. La urma urmei, unul dintre acești trei utilizatori va avea drepturi de administrator și va putea accesa fișierele celorlalți doi utilizatori.
Prin urmare, spațiul pe hard disk poate fi împărțit după cum urmează:
  • Aproximativ 200 GB - partiție partajată. Această partiție va fi și partiția de sistem. Acesta va instala sistemul de operare, programul și va stoca fișierele comune ale tuturor celor trei utilizatori.
  • Trei secțiuni de ~100 GB fiecare - cred că 100 GB sunt suficiente pentru a stoca fișierele personale ale fiecărui utilizator. Fiecare dintre aceste secțiuni va fi criptată și doar utilizatorul care a criptat această secțiune va cunoaște parola de acces la secțiunea criptată. În acest caz, administratorul, chiar dacă dorește, nu va putea decripta partiția altui utilizator și nu va putea avea acces la fișierele acestuia. Da, dacă dorește, administratorul poate formata partiția și chiar o poate șterge, dar va putea avea acces doar dacă păcălește utilizatorul să-i dea parola. Dar cred că acest lucru nu se va întâmpla, așa că criptarea partiției este o măsură mult mai eficientă decât diferențierea drepturilor de acces folosind NTFS.

Criptarea partițiilor vs discuri virtuale criptate

Ce este mai bine - criptarea partițiilor sau folosirea discurilor virtuale criptate? Aici fiecare decide singur, deoarece fiecare metodă are propriile avantaje și dezavantaje. Criptarea partițiilor este la fel de sigură ca și criptarea discurilor virtuale și invers.
Ce este un disc virtual? Priviți-o ca pe o arhivă cu o parolă și un raport de compresie de 0. Numai fișierele din această arhivă sunt criptate mult mai sigur decât într-o arhivă obișnuită. Un disc virtual este stocat pe hard disk ca fișier. În programul CyberSafe, trebuie să deschideți și să montați discul virtual și apoi puteți lucra cu el ca pe un disc obișnuit.
Avantajul unui disc virtual este că poate fi copiat cu ușurință pe un alt hard disk sau pe o altă unitate flash (dacă dimensiunea permite). De exemplu, puteți crea un disc virtual de 4 GB (nu există restricții privind dimensiunea unui disc virtual, cu excepția celor naturale) și, dacă este necesar, copiați fișierul disc virtual pe o unitate flash sau pe un hard disk extern. Nu veți putea face acest lucru cu o partiție criptată. De asemenea, puteți ascunde fișierul disc virtual.
Desigur, dacă este necesar, puteți crea o imagine a discului criptat - în cazul în care doriți să o faceți o copie de rezervă sau să o mutați pe alt computer. Dar asta este o altă poveste. Dacă aveți o nevoie similară, vă recomand programul Clonezilla - este deja o soluție de încredere și dovedită. Transferul unei partiții criptate pe un alt computer este o activitate mai complexă decât transferul unui disc virtual. Dacă există o astfel de nevoie, atunci este mai ușor să utilizați discuri virtuale.
Cu criptarea partiției, întreaga partiție este criptată fizic. Când montați această partiție, va trebui să introduceți o parolă, după care puteți lucra cu partiția ca de obicei, adică să citiți și să scrieți fișiere.
Ce metodă ar trebui să aleg? Dacă vă puteți permite să criptați partiția, atunci puteți alege această metodă. De asemenea, este mai bine să criptați întreaga secțiune dacă dimensiunea documentelor dvs. secrete este destul de mare.
Dar există situații în care utilizarea întregii secțiuni este imposibilă sau nu are sens. De exemplu, ai o singură partiție (unitatea C:) pe hard disk și dintr-un motiv sau altul (fără drepturi, de exemplu, deoarece computerul nu este al tău) nu poți sau nu vrei să-i schimbi aspectul, atunci trebuie să utilizați discuri virtuale. Nu are rost să criptezi întreaga partiție dacă dimensiunea documentelor (fișierelor) pe care trebuie să le criptezi este mică - câțiva gigaocteți. Cred că am rezolvat asta, așa că este timpul să vorbim despre ce partiții (discuri) pot fi criptate.

Tipuri de unități acceptate

Puteți cripta următoarele tipuri de media:
  • Partiții hard disk formatate în sisteme de fișiere FAT, FAT32 și NTFS.
  • Unități flash, unități USB externe, cu excepția unităților care reprezintă telefoane mobile, camere digitale și playere audio.
Nu se poate cripta:
  • Discuri CD/DVD-RW, dischete
  • Discuri dinamice
  • Unitatea de sistem (de pe care pornește Windows)
Începând cu Windows XP, Windows acceptă discuri dinamice. Discurile dinamice vă permit să combinați mai multe hard disk-uri fizice (analog cu LVM în Windows). Este imposibil să criptați astfel de discuri cu programul.

Caracteristici de lucru cu un disc criptat

Să ne imaginăm că ați criptat deja o partiție de hard disk. Pentru a lucra cu fișiere pe o partiție criptată, trebuie să o montați. La montare, programul vă va cere parola pentru discul criptat pe care l-ați specificat când l-ați criptat. După ce lucrați cu un disc criptat, trebuie să îl demontați imediat, altfel fișierele vor rămâne disponibile utilizatorilor care au acces fizic la computerul dvs.
Cu alte cuvinte, criptarea vă protejează fișierele numai atunci când partiția criptată este demontată. Odată montată partiția, oricine are acces fizic la computer poate copia fișiere de pe aceasta pe o partiție necriptată, o unitate USB sau un hard disk extern, iar fișierele nu vor fi criptate. Așadar, atunci când lucrați cu o unitate criptată, fă-ți obiceiul să o demontați întotdeauna de fiecare dată când părăsiți computerul, chiar și pentru o perioadă scurtă de timp! După ce ați demontat unitatea criptată, fișierele dvs. vor fi protejate în siguranță.
În ceea ce privește performanța, aceasta va fi mai mică atunci când lucrați cu o partiție criptată. Cât de mult mai mic depinde de capacitățile computerului dvs., dar sistemul va rămâne operațional și va trebui doar să așteptați puțin mai mult decât de obicei (mai ales când copiați fișiere mari pe o partiție criptată).

Ne pregătim pentru criptare

Primul lucru pe care trebuie să-l faci este să iei un UPS undeva. Dacă aveți un laptop, totul este în regulă, dar dacă aveți un computer desktop obișnuit și doriți să criptați o partiție care are deja fișiere, atunci criptarea va dura ceva timp. Dacă alimentarea se întrerupe în acest timp, aveți garanția că veți pierde date. Prin urmare, dacă nu aveți un UPS care poate rezista la câteva ore de viață a bateriei, vă recomand să faceți următoarele:
  • Faceți copii de rezervă ale datelor, de exemplu pe un hard disk extern. Apoi va trebui să scăpați de această copie (este recomandabil să ștergeți spațiul liber cu un utilitar precum Piriform după ștergerea datelor de pe un disc necriptat, astfel încât să fie imposibil să recuperați fișierele șterse), deoarece dacă este prezent, există nu are rost să avem o copie criptată a datelor.
  • Veți transfera date pe discul criptat din copie după ce discul este criptat. Formatați unitatea și criptați-o. De fapt, nu trebuie să îl formatați separat - CyberSafe o va face pentru dvs., dar mai multe despre asta mai târziu.

Dacă aveți un laptop și sunteți gata să continuați fără a crea o copie de rezervă a datelor dvs. (aș recomanda să faceți una pentru orice eventualitate), asigurați-vă că verificați discul pentru erori, cel puțin cu un utilitar Windows standard. Abia după aceasta trebuie să începeți criptarea partiției/discului.

Criptarea partițiilor: practică

Deci, teoria fără practică este lipsită de sens, așa că să începem criptarea partiției/discului. Lansați programul CyberSafe și accesați secțiunea Criptare disc, criptare partiție(Fig. 1).


Orez. 1. Lista partițiilor/discurilor computerului dvs

Selectați partiția pe care doriți să o criptați. Dacă butonul Crea va fi inactiv, atunci această partiție nu poate fi criptată. De exemplu, aceasta ar putea fi o partiție de sistem sau un disc dinamic. De asemenea, nu puteți cripta mai multe unități în același timp. Dacă trebuie să criptați mai multe discuri, atunci operația de criptare trebuie repetată unul câte unul.
Faceți clic pe butonul Crea. În continuare se va deschide o fereastră Kripo Disk(Fig. 2). În el trebuie să introduceți o parolă care va fi folosită pentru a decripta discul atunci când îl montați. Când introduceți parola, verificați caracterele (pentru ca tasta Caps Lock să nu fie apăsată) și aspectul. Dacă nu este nimeni în spatele tău, poți porni comutatorul Arata parola.


Orez. 2. Crypto Disk

Din listă Tipul de criptare trebuie să alegeți un algoritm - AES sau GOST. Ambii algoritmi sunt de încredere, dar în organizațiile guvernamentale se obișnuiește să se folosească numai GOST. Pe propriul computer sau într-o organizație comercială, sunteți liber să utilizați oricare dintre algoritmi.
Dacă există informații pe disc și doriți să le salvați, porniți comutatorul. Vă rugăm să rețineți că, în acest caz, timpul de criptare a discului va crește semnificativ. Pe de altă parte, dacă fișierele criptate sunt, de exemplu, pe un hard disk extern, atunci va trebui totuși să le copiați pe unitatea criptată pentru a le cripta, iar copierea cu criptare on-the-fly va dura, de asemenea, ceva timp. Dacă nu ați făcut o copie de rezervă a datelor, asigurați-vă că ați bifat butonul radio Activare Salvați structura fișierului și datele, altfel îți vei pierde toate datele.
Alți parametri în fereastră Crypto Disk poate fi lăsat implicit. Și anume, se va folosi întreaga dimensiune disponibilă a dispozitivului și se va efectua formatarea rapidă în sistemul de fișiere NTFS. Pentru a începe criptarea, faceți clic pe butonul Accept. Progresul procesului de criptare va fi afișat în fereastra principală a programului.


Orez. 3. Progresul procesului de criptare

Odată ce discul este criptat, veți vedea starea acestuia - criptat, ascuns(Fig. 4). Aceasta înseamnă că unitatea dvs. a fost criptată și ascunsă - nu va apărea în Explorer și în alți manageri de fișiere de nivel înalt, dar programele de tabel de partiții o vor vedea. Nu este nevoie să sperăm că, deoarece discul este ascuns, nimeni nu îl va găsi. Toate discurile ascunse de program vor fi afișate în snap-in Managementul discurilor(vezi Fig. 5) și alte programe pentru partiționarea discului. Vă rugăm să rețineți că în acest snap-in, partiția criptată este afișată ca o partiție cu un sistem de fișiere RAW, adică fără un sistem de fișiere deloc. Acest lucru este normal - după criptarea unei partiții, Windows nu poate determina tipul acesteia. Cu toate acestea, ascunderea unei partiții este necesară din motive complet diferite și atunci veți înțelege exact de ce.


Orez. 4. Starea discului: criptat, ascuns. Partiția E: nu este vizibilă în Explorer


Orez. 5. Complet de gestionare a discurilor

Acum să montem partiția. Selectați-l și faceți clic pe butonul Înviere pentru a face partiția vizibilă din nou (starea discului va fi schimbată la doar " criptat"). Windows va vedea această partiție, dar din moment ce nu își poate recunoaște tipul de sistem de fișiere, va oferi să o formateze (Fig. 6). Acest lucru nu trebuie făcut în niciun caz, deoarece veți pierde toate datele. Acesta este motivul pentru care programul ascunde unități criptate - la urma urmei, dacă nu sunteți singurul care lucrează pe computer, un alt utilizator poate formata o partiție a discului care se presupune că nu poate fi citită.


Orez. 6. Sugestie de formatare a partiției criptate

Desigur, refuzăm formatarea și apăsăm butonul Montirov. în fereastra principală a programului CyberSafe. În continuare, va trebui să selectați litera unității prin care veți accesa partiția criptată (Fig. 7).


Orez. 7. Selectarea unei litere de unitate

După aceasta, programul vă va cere să introduceți parola necesară pentru a vă decripta datele (Fig. 8). Partiția decriptată (discul) va apărea în zonă Dispozitive decriptate conectate(Fig. 9).


Orez. 8. Parola pentru decriptarea partiției


Orez. 9. Dispozitive decriptate conectate

După aceasta, puteți lucra cu discul decriptat ca și cu unul obișnuit. În Explorer, va fi afișată doar unitatea Z: - aceasta este litera pe care am atribuit-o unității decriptate. Unitatea E: criptată nu va fi afișată.


Orez. 10. Explorer - vizualizarea discurilor computerului

Acum puteți deschide discul montat și puteți copia toate fișierele secrete pe el (nu uitați să le ștergeți din sursa originală și să ștergeți spațiul liber de pe el).
Când trebuie să terminați de lucrat cu secțiunea noastră, atunci sau faceți clic pe butonul Demontator., iar apoi butonul Ascunde sau pur și simplu închideți fereastra CyberSafe. În ceea ce mă privește, este mai ușor să închid fereastra programului. Este clar că nu trebuie să închideți fereastra programului în timpul operațiunii de copiere/mutare a fișierelor. Nimic groaznic sau ireparabil nu se va întâmpla, doar unele dintre fișiere nu vor fi copiate pe discul tău criptat.

Despre performanță

Este clar că performanța unui disc criptat va fi mai mică decât cea a unuia obișnuit. Dar cât? În fig. 11 Am copiat folderul meu de profil de utilizator (unde sunt multe fișiere mici) de pe unitatea C: pe unitatea criptată Z:. Viteza de copiere este prezentată în Fig. 11 - aproximativ la nivelul de 1,3 MB/s. Aceasta înseamnă că 1 GB de fișiere mici vor fi copiate în aproximativ 787 de secunde, adică 13 minute. Dacă copiați același folder într-o partiție necriptată, viteza va fi de aproximativ 1,9 MB/s (Fig. 12). La finalul operațiunii de copiere, viteza a crescut la 2,46 MB/s, dar foarte puține fișiere au fost copiate la această viteză, așa că credem că viteza a fost de 1,9 MB/s, ceea ce este cu 30% mai rapid. Același 1 GB de fișiere mici în cazul nostru vor fi copiați în 538 de secunde sau aproape 9 minute.


Orez. 11. Viteza de copiere a fișierelor mici dintr-o partiție necriptată într-una criptată


Orez. 12. Viteza de copiere a fișierelor mici între două partiții necriptate

În ceea ce privește fișierele mari, nu veți simți nicio diferență. În fig. Figura 13 arată viteza de copiere a unui fișier mare (fișier video de 400 MB) de la o partiție necriptată la alta. După cum puteți vedea, viteza a fost de 11,6 MB/s. Și în fig. Figura 14 arată viteza de copiere a aceluiași fișier dintr-o partiție obișnuită într-una criptată și a fost de 11,1 MB/s. Diferența este mică și se află în limita de eroare (viteza se modifică în continuare ușor pe măsură ce operația de copiere progresează). Doar pentru distracție, vă voi spune viteza de copiere a aceluiași fișier de pe o unitate flash (nu USB 3.0) pe un hard disk - aproximativ 8 MB/s (nu există nicio captură de ecran, dar credeți-mă).


Orez. 13. Viteză mare de copiere a fișierelor


Orez. 14. Viteza de copiere a unui fișier mare pe o partiție criptată

Acest test nu este în întregime precis, dar încă vă poate oferi o idee despre performanță.
Asta e tot. De asemenea, vă recomand să citiți articolul