На наших носителях в огромных количествах хранится персональная и важная информация, документы и медиафайлы. Их необходимо защитить. Такие криптографические методы, как AES и Twofish , стандартно предлагающиеся в шифровальных программах, относятся примерно к одному поколению и обеспечивают сравнительно высокий уровень безопасности.
На практике обычный пользователь не сможет сильно ошибиться в выборе. Вместо этого стоит определиться со специализированной программой в зависимости от намерений: зачастую шифрование жесткого диска использует иной операционный режим, чем шифрование файлов.
Долгое время лучшим выбором была утилита TrueCrypt , если речь шла о полном шифровании жесткого диска или сохранении данных в зашифрованном контейнере. Сейчас этот проект закрыт. Его достойным приемником стала программа с открытым исходным кодом VeraCrypt . В ее основу был положен код TrueCrypt, однако его доработали, благодаря чему качество шифрования повысилось.
К примеру, в VeraCrypt улучшено генерирование ключа из пароля . Для шифрования жестких дисков используется не такой распространенный режим, как CBC , а XTS . В данном режиме блоки шифруются по типу ECB , однако при этом добавляется номер сектора и внутрисегментное смещение .
Случайные числа и сильные пароли
Для защиты отдельных файлов достаточно бесплатной программы с простым интерфейсом, например, MAXA Crypt Portable или AxCrypt . Мы рекомендуем AxCrypt, поскольку она представляет собой проект с открытым исходным кодом. Однако при ее установке следует обратить внимание на то, что в пакете с приложением идут ненужные дополнения, поэтому с них необходимо снять флажки.
Утилита запускается щелчком правой кнопкой мыши по файлу или папке и вводу пароля (например, при открытии зашифрованного файла ). В данной программе используется алгоритм AES на 128 бит с режимом CBC . Для создания надежного вектора инициализации (IV) Ax-Crypt встраивает генератор псевдослучайных чисел.
Если IV не является настоящим случайным числом, то режим CBC его ослабляет. Программа MAXA Crypt Portable работает похожим образом, однако шифрование происходит с помощью ключа длиной в 256 бит . Если вы загружаете личную информацию в облачные хранилища, необходимо исходить из того, что их владельцы, например, Google и Dropbox, сканируют контент.
Boxcryptor встраивается в процесс в качестве виртуального жесткого диска и по щелчку правой кнопкой мыши шифрует все расположенные там файлы еще до загрузки в облако. При этом важно обзавестись менеджером паролей, таким как Password Depot . Он создает сложные пароли, которые не сможет запомнить ни один человек. Нужно только не потерять мастер-пароль к этой программе.
Используем зашифрованные диски
Подобно TrueCrypt, мастер утилиты VeraCrypt проведет пользователя сквозь все этапы создания зашифрованного диска. Вы также можете защитить существующий раздел.
Шифрование одним кликом
Бесплатная программа Maxa Crypt Portable предлагает все необходимые опции для быстрого шифрования отдельных файлов по алгоритму AES. Нажатием на кнопку вы запускаете генерацию безопасного пароля.
Связываем облако с частной жизнью
Boxcryptor по одному клику шифрует важные файлы перед загрузкой в хранилища Dropbox или Google. По умолчанию применяется шифрование AES с ключом длиной 256 бит .
Краеугольный камень - менеджер паролей
Длинные пароли усиливают безопасность. Программа Password Depot генерирует и применяет их, в том числе для шифрования файлов и работы с веб-службами, которым передает данные для доступа к учетной записи.
Фото: компании-производители
TrueCrypt - программа для шифрования файлов и носителей.
Разберем создание TrueCrypt-контейнера с двойным дном и шифрование флешки с помощью TrueCrypt.
Создание контейнера с двойным дном
В первую очередь хочу сказать, что контейнер с двойным дном куда безопасней обычного.
Простыми словами, это один контейнер разделён на две части, к каждой присвоен свой пароль и когда вы соберётесь смонтировать (расшифровать,открыть) контейнер, откроется та его часть, от которой вы введете пароль. Держать основную информацию стоит во втором дне контейнера, так как есть масса способов заставить человека рассказать что угодно и если к вам решат применить эти способы дабы вынудить вас рассказать пароль от контейнера, вы просто скажите пароль от первого дна. В нём советую вам держать вполне осмысленную информацию, которую не стоит видеть чужим глазам, но которая не отправит вас за решётку.
Итак, начнем.
В появившемся окне программы кликаем на кнопку "Создать том".
Цепочка дальнейших действий:
В появившемся окне выбираем "Создать зашифрованный файловый контейнер". далее>
Шифрование внешнего тома: Тут оставляем все как есть. далее>>
Размер внешнего тома: Тут выбираем желаемый размер, выбирайте исходя из того что вы собираетесь в этом контейнере хранить. далее>>
Пароль внешнего тома: Задавайте основной пароль для контейнера (первое дно). Чуть ниже можете поставить галочку "ключ файлы" и справа станет доступна выборка файлов. Ключ файлы это дополнительная степень защиты, т.е. для доступа в том по мимо ввода пароля вам нужно будет еще выбрать ключ файлы (файлы могут быть абсолютно любыми,будь то текстовый документ или порно фильм. Тут важно в последствии эти файлы не потерять,в противном случае про доступ в том можно будет забыть). далее>>
Форматирование внешнего тома: В этом окне задается произвольный код шифрования (просто поводите мышью в пределах этого окна и понажимайте буквы на клавиатуре 20-30 секунд) после чего нажимаем на кнопку "разместить". Внешний том готов. Жмем кнопку далее>>
Шифрование скрытого тома: Оставляем все как есть. далее>>
Размер скрытого тома: Здесь задаем размер скрытого тома,размер скрытого тома не может привышать размер внешнего. Далее повторяем все те же действия что и с созданием внешнего тома, с одной лишь поправкой, пароли от томов не должны совпадать. После нажатия кнопки "разместить" всё готово.
Теперь переходим в основное окно программы,перед нами список дисков, кликаем один раз на любой из них. Далее жмем на кнопку "файл" она справа внизу выше кнопки "устройство". Идем в ту папку в которой создавали контейнер, выбираем и жмем кнопку "смонтировать". Вводим пороль от внешнего или скрытого тома и жмем кнопку "ок". Всё, мы открыли наш том,теперь в него можно копировать любые файлы. Том так же появляется в виде дополнительного диска в "Моём компьютере". Чтобы закрыть доступ к тому, просто выбирете основном окне программы тот диск который смонтировали и нажмите кнопку "размонтировать".
Шифруем флешку
Процесс шифрования флешки практически идентичен созданию контейнера.
Рассмотрим обычный тип шифрования (без скрытого раздела).
ПРИМЕЧАНИЕ: ФЛЕШКА ПЕРЕД ШИФРОВАНИЕМ ДОЛЖНА БЫТЬ ПУСТА, ТАК КАК В ПРОЦЕССЕ БУДЕТ ОТФОРМАТИРОВАНА.
Цепочка действий:
В главном окне программы жмем кнопку "создать том".
В появившемся окне выбираем "Зашифровать несистемный раздел/диск". далее>> Обычный том TrueCrypt. далее>>
Нажимаем на кнопку "устройство" в появившемся списке выбираем нашу флешку. далее>>
Создать и отфарматировать зашифрованный том. далее>>
На этом этапе оставляем все как есть (по умолчанию всегда выбран тип шифрования AES, он считается одним из самых надежных). далее>>
Водим мышью 20-30 секунд. Ставим галку "быстрое форматирование" в правом верхнем углу. Жмем кнопку "разместить". Всплывет предупреждающее нас о том что данные на флешке будут отформатированны, здесь мы упорно настаиваем на форматировании и жмем кнопку "да".
Далее всплывет окно предупреждающее о том, что нельзя монтировать том на той букве диска (в главном окне truecrypt), которая присвоена флешке. Всё, наша флешка зашифрована, монтировать мы ее будем точно так же как и контейнер, с той лишь разницей, что в главном окне программы после выбора диска, на котором будем монтировать, жмём кнопу "устройство", а не кнопку "файл", и соответственно выбираем нашу флешку.
При попытке зайти на флешку обычным путем через "мой компьютер" всплывёт окно, в котором будет сказано, что перед использованием флешку нужно отформатировать. Если принять это условие, то все наши зашифрованные данные будут уничтожены.
Процесс создания скрытого тома на флешке идентичен процессу создания обычного тома.
Идея этой статьи зародилась, когда перед специалистами EFSOL была поставлена задача анализа рисков информационной безопасности в ресторанном бизнесе и разработки мер противодействия им. Одним из весомых рисков оказалась возможность изъятия управленческой информации, а одной из контрмер — шифрование баз бухгалтерского учета.
Сразу же оговорюсь, что рассмотрение всех возможных криптопродуктов или решений на базе конкретных систем учета не входит в цели данной статьи. Нас интересует лишь сравнительный анализ персональных средств шифрования, для которого мы выбрали популярнейшее бесплатное решение с открытым исходным кодом и пару самых продвигаемых коммерческих аналогов. Пусть неискушенных пользователей не пугает фраза «открытый исходный код» - она означает лишь то, что разработкой занимается группа энтузиастов, которые готовы принять любого желающего помочь им.
Так почему мы избрали такой подход? Мотивация предельно проста.
- В разных компаниях используется своя система учета, поэтому выбираем средства шифрования не привязанные к конкретной платформе - универсальные.
- Персональную криптозащиту разумнее использовать в небольших предприятиях, где с программой учета работают 1-5 пользователей. Для больших компаний изъятие управленческой информации повлечет более крупные финансовые потери - потому и решения по защите обойдутся значительно дороже.
- Анализ множества коммерческих продуктов шифрования информации лишен смысла: достаточно оценить несколько из них, чтобы сформировать для себя понимание цены и функциональности.
Перейдем к сравнению продуктов, которое удобно сделать на основании сводной таблицы. Я намеренно не включал в анализ множество технических деталей (таких как поддержка аппаратного ускорения или многопоточности, нескольких логических или физических процессоров), от которых у обычного пользователя начинает болеть голова. Остановимся лишь на том функционале, пользу от которого мы можем реально выделить.
Сводная таблица
| TrueCrypt | Secret Disk | Zecurion Zdisk | |
| Последняя версия на момент обзора | 7.1a | 4 | Нет данных |
| Стоимость | Бесплатно | От 4 240 руб. на 1 компьютер | От 5250 руб. на 1 компьютер |
| Операционная система | Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32-х и 64-разрядные версии);
Windows Server 2008 R2; Windows 2000 SP4; Mac OS X 10.7 Lion (32- и 64-разрядные версии);
Linux (32-х и 64-разрядные версии, ядро 2.6 или совместимое) | Windows 7, Windows Vista, Windows XP: (32-х и 64-разрядные версии) | Windows 98;
Windows Me; Windows NT Workstation; Windows 2000 Professional; Windows XP; Windows Vista |
| Встроенные алгоритмы шифрования | AES
Serpent Twofish | Нет | Нет |
| Использование поставщиков криптографии (криптопровайдеров CSP) | Нет | Microsoft Enhanced CSP: Triple DES и RC2;
Secret Disk NG Crypto Pack: AES и Twofish; КриптоПро CSP, Signal-COM CSP или Vipnet CSP: ГОСТ 28147-89 | RC5,
AES, КРИПТОН CSP: ГОСТ 28147-89 |
| Режим шифрования XTS | Да | Нет | Нет |
| Каскадное шифрование | AES-Twofish-Serpent;
Serpent-AES; Serpent-Twofish-AES; Twofish-Serpent | Нет | Нет |
| Прозрачное шифрование | Да | Да | Да |
| Шифрование системного раздела | Да | Да | Нет |
| Аутентификация до загрузки ОС | Пароль | Пин + токен | Нет |
| Шифрование разделов диска | Да | Да | Нет |
| Создание файлов-контейнеров | Да | Да | Да |
| Создание скрытых разделов | Да | Нет | Нет |
| Создание скрытой ОС | Да | Нет | Нет |
| Шифрование переносных накопителей | Да | Да | Да |
| Работа с переносных накопителей | Да | Нет | Нет |
| Работа по сети | Да | Нет | Да |
| Многопользовательский режим | Средствами NTFS | Да | Да |
| Аутентификация только по паролю | Да | Нет | Нет |
| Аутентификация по ключевому файлу | Да | Нет | Нет |
| Поддержка токенов и смарт-карт | Поддерживающие протокол PKCS #11 2.0 или выше | USB-ключ eToken PRO/32K (64К);
USB-ключ eToken PRO/72K (Java); Смарт-карта eToken PRO/32K (64К); Смарт-карта eToken PRO/72K (Java); Комбинированный ключ eToken NG-FLASH Комбинированный ключ eToken NG-OTP eToken PRO Anywhere | Rainbow iKey 10xx/20xx/30xx;
ruToken; eToken R2/Pro |
| Экстренное отключение шифрованных дисков | Горячие клавиши | Горячие клавиши | Горячие клавиши |
| Защита от ввода пароля под принуждением | Нет | Да | Да |
| Возможность использования «Правдоподобного отрицания причастности» | Да | Нет | Нет |
| Комплект поставки | Нет коробочной версии - дистрибутив загружается с сайта разработчиков | USB-ключ eToken PRO Anywhere с лицензией на использование продукта;
Краткое руководство в печатном виде; CD-ROM (дистрибутив, подробная документация, загрузочную часть MBR; Упаковочная DVD-коробка | Лицензия;
USB-ключ и USB-удлинитель; Диск с дистрибутивом; Документация в печатном виде; Устройство чтения-записи смарт-карт ACS-30S |
Следуя законам жанра, осталось только прокомментировать отдельные пункты и выделить преимущества того или иного решения. С ценами на продукты все понятно, как и с поддерживаемыми операционными системами. Отмечу лишь тот факт, что версии TrueCrypt для MacOS и Linux имеют свои нюансы использования, а установка его на серверные платформы от Microsoft хоть и дает определенные плюсы, но совершенно не способна заменить огромный функционал коммерческих систем защиты данных в корпоративной сети. Напомню, что мы рассматриваем все же персональную криптозащиту.
Встроенные алгоритмы, криптопровайдеры, XTS и каскадное шифрование
Криптопровайдеры, в отличии от встроенных алгоритмов шифрования,- это отдельно подключаемые модули, которые определяют метод кодирования (раскодирования), используемый программой. Почему именно коммерческие решения используют пакеты криптопровайдеров? Ответы незатейливы, но финансово обоснованы.
- Нет необходимости вносить изменения в программу для добавления тех или иных алгоритмов (оплачивать труд программистов) - достаточно создать новый модуль или подключить решения сторонних разработчиков.
- Во всем мире разрабатываются, тестируются и внедряются международные стандарты, но для российских государственных структур необходимо соответствие требованиям ФСТЭК и ФСБ. Эти требования подразумевают лицензирование создания и распространения средств защиты информации.
- Средствами шифрования данных являются криптопровайдеры, а сами программы не требуют сертификации разработки и дистрибуции.
Каскадное шифрование - возможность кодировать информацию одним алгоритмом, когда она уже была закодирована другим. Такой подход, хоть и замедляет работу, позволяет увеличить стойкость защищенных данных против взлома - чем больше знает «оппонент» о методах шифрования (например, используемый алгоритм или набор символов ключа), тем проще ему раскрыть информацию.
Технология шифрования XTS (XEX-based Tweaked CodeBook mode (TCB) with CipherText Stealing (CTS)) - логическое развитие предыдущих блочных методов шифрования XEX и LRW, в использовании которых обнаружены уязвимости. Так как операции чтения/записи на носителях информации производятся посекторно блоками, то использование потоковых методов кодирования неприемлемо. Таким образом, 19 декабря 2007 года метод шифрования XTS-AES для алгоритма AES был описан и рекомендован международным стандартом защиты хранимой информации IEEE P1619.
Этот режим использует два ключа, первый из которых используется для генерации вектора инициализации, а вторым шифруются данные. Метод работает по следующему алгоритму:
- генерирует вектор, шифруя номер сектора первым ключом;
- складывает вектор с исходной информацией;
- шифрует результат сложения вторым ключом;
- складывает вектор с результатом шифрования;
- умножает вектор на порождающий многочлен конечного поля.
Национальный институт стандартов и технологий рекомендует использование режима XTS для шифрования данных устройств с блочной внутренней структурой поскольку он:
- описан международным стандартом;
- имеет высокую производительность за счет выполнения предварительных вычислений и распараллеливания;
- позволяет обрабатывать произвольный блок сектора за счет вычисления вектора инициализации.
Так же отмечу, что в IEEE P1619 рекомендуется использовать метод XTS с алгоритмом шифрования AES, однако архитектура режима позволяет использовать его совместно с любым другим блочным шифром. Таким образом, в случае необходимости сертификации устройства, реализующего прозрачное шифрование, в соответствии с требованиями российского законодательства является возможным совместное использование XTS и ГОСТ 28147-89.
Экстренное отключение дисков, ввод пароля «под принуждением», отрицание причастности
Экстренное отключение шифрованных дисков - неоспоримо необходимая функция в ситуациях, требующих мгновенного реагирования для защиты информации. Но что же происходит дальше? «Оппонент» видит систему, на которой установлена криптозащита и недоступный для чтения системными средствами диск. Вывод о сокрытии информации очевиден.
Наступает этап «принуждения». «Оппонент» будет использовать физические или юридические меры воздействия, чтобы заставить владельца раскрыть информацию. Отечественное устоявшееся решение «ввод пароля под принуждением» из разряда «умру, но не выдам» становится неактуальным. Невозможно удалить информацию, которую предварительно скопировал «оппонент», а он это сделает - не сомневайтесь. Удаление ключа шифрования лишь подтверждает то, что информация действительно важна, а запасной ключ обязательно где-то спрятан. Да и без ключа информация все еще доступна для криптоанализа и взлома. Не буду распространяться, насколько эти действия приближают владельца информации к юридическому фиаско, но расскажу о логическом методе правдоподобного отрицания причастности.
Использование скрытых разделов и скрытой ОС не позволит «оппоненту» доказать существование информации, которая защищена. В таком свете, требования раскрыть информацию становятся абсурдными. Разработчики TrueCrypt рекомендуют еще больше запутывать следы: помимо скрытых разделов или операционных систем создавать шифрованные видимые, которые содержат обманные (фиктивные) данные. «Оппонент», обнаружив видимые шифрованные разделы, будет настаивать на раскрытии именно их. Раскрыв такую информацию под принуждением, владелец ни чем не рискует и снимает с себя подозрения, потому что настоящие секреты останутся невидимыми на скрытых шифрованных разделах.
Подведение итогов
Нюансов в защите информации великое множество, но освещенного должно хватить для подведения промежуточных итогов - окончательное решения каждый примет для себя сам. К преимуществам бесплатной программы TrueCrypt стоит отнести ее функционал; возможность для всех желающим участвовать в тестировании и улучшении; избыточное количество открытой информации по работе приложения. Это решение создано людьми, которые многое знают о безопасном хранении информации и постоянно совершенствуют свой продукт, для людей, которым важен действительно высокий уровень надежности. К недостаткам отнесем отсутствие поддержки, высокая сложность для рядового пользователя, отсутствие двухуровневой аутентификации перед стартом ОС, невозможность подключать модули сторонних криптопровайдеров.
Коммерческие продукты полны заботой о пользователе: техническая поддержка, превосходная комплектация, низкая стоимость, наличие сертифицированных версий, возможность использовать алгоритм ГОСТ 28147-89, многопользовательский режим с разграниченной двухуровневой аутентификацией. Огорчает лишь ограниченная функциональность и наивность в поддержании секретности хранения зашифрованных данных.
Обновлено: июнь 2015 года.
Не смотря на то, что версия TrueCrypt 7.1а вышла 7 февраля 2011 года, она остается последней полноценной функциональной версией продукта.
Любопытна загадочная история с прекращением разработки TrueCrypt. 28 мая 2014 года с сайта разработчиков удалены все предыдущие версии продукта и выложена версия 7.2. Данная версия умеет только расшифровывать ранее зашифрованные диски и контейнеры - возможность шифрования была удалена. С этого момента на сайте и в программе появляется призыв использовать BitLocker, а использование TrueCrypt называется небезопасным.
Это вызвало волну пересудов в интернете: авторов программы заподозрили в установке «закладки» в коде. Подогреваемые информацией от бывшего работника АНБ Сноудена о том, что спецслужбы намеренно ослабляют средства криптографии, пользователи начали сбор средств для проведения аудита кода TrueCrypt. На проверку программы было собрано более 60 тысяч долларов.
Аудит был полностью окончен к апрелю 2015 года. Анализ кода не выявил каких-либо закладок, критических недостатков архитектуры или уязвимостей. Было доказано, что TrueCrypt - качественно спроектированное криптографическое средство, хоть и не идеальное.
Теперь совет разработчиков переходить на Bitlocker рассматривается многими как «свидетельство канарейки». Авторы TrueCrypt всегда высмеивали Bitlocker и его безопасность в частности. Использование Bitlocker также неразумно по причине закрытости программного кода и недоступности его в «младших» редакция Windows. Из-за всего вышесказанного интернет-сообщество склонно считать, что на разработчиков оказывается воздействие спецслужбами, и они своим молчанием намекают на что-то важное, неискренне рекомендуя Bitlocker.
Повторно подведем итоги
TrueCrypt продолжает оставаться самым мощным, надежным и функциональным средством криптографии. И аудит, и давление спецслужб только подтверждают это.
Zdisk и Secret Disk имеют версии сертифицированные ФСТЭК. Следовательно эти продукты имеет смысл использовать для соответствия требованиям законодательства РФ в области защиты информации, например, защиты персональных данных, как того требует Федеральный Закон 152-ФЗ и подчиненные ему нормативные акты.
Для тех, кто всерьез обеспокоен безопасностью информации, есть комплексное решение «Сервер в Израиле» , в котором осуществляется комплексный подход к защите данных
предприятия.
Системная интеграция. Консалтинг
Существует масса причин зашифровать данные на своем жестком диске, но расплатой за безопасность данных будет снижение скорости работы системы. Цель этой статьи - сравнить производительность при работе с диском, зашифрованным разными средствами.
Чтобы разница была более драматичной, мы выбрали не суперсовременную, а среднестатистическую машину. Обычный механический хард на 500 Гбайт, двухъядерный AMD на 2,2 ГГц, 4 гига оперативки, 64-битная Windows 7 SP 1. Никаких антивирусов и прочих программ во время теста запущено не будет, чтобы ничто не смогло повлиять на результаты.
Для оценки производительности я выбрал CrystalDiskMark. Что до тестируемых средств шифрования, то я остановился на таком списке: BitLocker, TrueCrypt, VeraCrypt, CipherShed, Symantec Endpoint Encryption и CyberSafe Top Secret.
BitLocker
Это стандартное средство шифрования дисков, встроенное в Microsoft Windows. Многие просто используют его, не устанавливая сторонних программ. Действительно, зачем, если все уже есть в системе? С одной стороны, правильно. С другой стороны, код закрыт, и нет уверенности, что в нем не оставили бэкдоров для ФБР и прочих интересующихся.
Шифрование диска осуществляется по алгоритму AES с длиной ключа 128 или 256 бит. Ключ при этом может храниться в Trusted Platform Module, на самом компьютере или на флешке.
Если используется TPM, то при загрузке компьютера ключ может быть получен сразу из него или после аутентификации. Авторизоваться можно при помощи ключа на флешке или введя PIN-код с клавиатуры. Комбинации этих методов дают множество вариантов для ограничения доступа: просто TPM, TPM и USB, TPM и PIN или все три сразу.
У BitLocker есть два неоспоримых преимущества: во-первых, им можно управлять через групповые политики; во-вторых, он шифрует тома, а не физические диски. Это позволяет зашифровать массив из нескольких дисков, чего не умеют делать некоторые другие средства шифрования. Также BitLocker поддерживает GUID Partition Table (GPT), чем не может похвастаться даже наиболее продвинутый форк «Трукрипта» VeraCrypt. Чтобы зашифровать с его помощью системный GPT-диск, придется сначала конвертировать в формат MBR. В случае с BitLocker это не требуется.
В целом, недостаток один - закрытые исходники. Если ты хранишь секреты от домочадцев, BitLocker отлично подойдет. Если же твой диск забит документами государственной важности, лучше подыскать что-то другое.
Можно ли расшифровать BitLocker и TrueCrypt
Если попросить Google, то он найдет интересную программу Elcomsoft Forensic Disk Decryptor, пригодную для расшифровки дисков BitLocker, TrueCrypt и PGP. В рамках этой статьи испытывать ее не стану, но поделюсь впечатлениями о другой утилите от Elcomsoft, а именно Advanced EFS Data Recovery. Она превосходно расшифровывала EFS-папки, но при условии, что пароль пользователя не был задан. Если задать пароль хоть 1234, программа оказывалась бессильной. Во всяком случае, расшифровать зашифрованную EFS-папку, принадлежащую пользователю с паролем 111, у меня не получилось. Думаю, с продуктом Forensic Disk Decryptor ситуация будет такой же.
TrueCrypt
Это легендарная программа шифрования дисков, разработка которой была прекращена в 2012 году. История, которая приключилась с TrueCrypt, до сих пор покрыта мраком, и толком никто не знает, почему разработчик решил отказаться от поддержки своего детища.
Есть лишь крупицы информации, не позволяющие сложить пазл воедино. Так, в 2013 году начался сбор средств для проведения независимого аудита TrueCrypt. Причиной прослужила полученная от Эдварда Сноудена информация о намеренном ослаблении средств шифрования TrueCrypt. На аудит было собрано свыше 60 тысяч долларов. В начале апреля 2015 года работы были завершены, но никаких серьезных ошибок, уязвимостей или других существенных недостатков в архитектуре приложения выявлено не было.
Как только закончился аудит, TrueCrypt снова оказался в центре скандала. Специалисты компании ESET опубликовали отчет о том, что русскоязычная версия TrueCrypt 7.1a, загруженная с сайта truecrypt.ru, содержала малварь. Более того, сам сайт truecrypt.ru использовался как командный центр - с него отправлялись команды инфицированным компьютерам. В общем, будь бдителен и не скачивай программы откуда попало.
К преимуществам TrueCrypt можно отнести открытые исходники, надежность которых теперь подкреплена независимым аудитом, и поддержку динамических томов Windows. Недостатки: программа больше не развивается, и разработчики не успели реализовать поддержку UEFI/GPT. Но если цель - зашифровать один несистемный диск, то это неважно.
В отличие от BitLocker, где поддерживается только AES, в TrueCrypt есть еще Serpent и Twofish. Для генерации ключей шифрования, соли и ключа заголовка программа позволяет выбрать одну из трех хеш-функций: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512. Однако о TrueCrypt уже много чего было написано, так что не будем повторяться.
VeraCrypt
Наиболее продвинутый клон TrueCrypt. У него собственный формат, хотя есть возможность работы в режиме TrueCrypt, в котором поддерживаются зашифрованные и виртуальные диски в формате «Трукрипта». В отличие от CipherShed, VeraCrypt может быть установлена на один и тот же компьютер одновременно с TrueCrypt.
INFO
Самоустранившись, TrueCrypt оставил богатое наследие: у него множество форков, начиная с VeraCrypt, CipherShed и DiskCryptor.В TrueCrypt используется 1000 итераций при генерации ключа, которым будет зашифрован системный раздел, а VeraCrypt использует 327 661 итерацию. Для стандартных (не системных) разделов VeraCrypt использует 655 331 итерацию для хеш-функции RIPEMD-160 и 500 000 итераций для SHA-2 и Whirlpool. Это делает зашифрованные разделы существенно более устойчивыми к атаке прямым перебором, но и значительно снижает производительность работы с таким разделом. Насколько значительно, мы скоро выясним.
Среди преимуществ VeraCrypt - открытый исходный код, а также собственный и более защищенный по сравнению с TrueCrypt формат виртуальных и зашифрованных дисков. Недостатки те же, что и в случае с прародителем, - отсутствие поддержки UEFI/GPT. Зашифровать системный GPT-диск по-прежнему нельзя, но разработчики уверяют, что работают над этой проблемой и скоро такое шифрование будет доступно. Вот только работают они над этим уже два года (с 2014-го), и когда будет релиз с поддержкой GPT и будет ли он вообще, пока не известно.
CipherShed
Еще один клон TrueCrypt. В отличие от VeraCrypt, он использует исходный формат TrueCrypt, поэтому можно ожидать, что его производительность будет близка к производительности TrueCrypt.
Преимущества и недостатки все те же, хотя к недостаткам можно еще добавить невозможность установки TrueCrypt и CipherShed на одном компьютере. Мало того, если попытаться установить CipherShed на машину с уже установленным TrueCrypt, то инсталлятор предлагает удалить предыдущую программу, но не справляется с задачей.
Symantec Endpoint Encryption
В 2010 году компания Symantec выкупила права на программу PGPdisk. В результате появились такие продукты, как PGP Desktop и, впоследствии, Endpoint Encryption. Именно ее мы и рассмотрим. Программа, конечно же, проприетарная, исходники закрыты, и одна лицензия стоит 64 евро. Зато тут есть поддержка GPT, но только начиная с Windows 8.
Другими словами, если нужна поддержка GPT и есть желание зашифровать системный раздел, то придется выбирать между двумя проприетарными решениями: BitLocker и Endpoint Encryption. Вряд ли, конечно, домашний пользователь будет устанавливать Endpoint Encryption. Проблема в том, что для этого требуется Symantec Drive Encryption, для установки которого нужны агент и сервер управления Symantec Endpoint Encryption (SEE), а сервер хочет поставить еще и IIS 6.0. Не многовато ли всякого добра ради одной программы для шифрования диска? Мы прошли через все это только ради того, чтобы замерить производительность.
Момент истины
Итак, приступаем к самому интересному, а именно к тестированию. Первым делом нужно проверить производительность диска без шифрования. Нашей «жертвой» будет раздел жесткого диска (обычного, не SSD) размером 28 Гбайт, отформатированный как NTFS.
Открываем CrystalDiskMark, выбираем количество проходов, размер временного файла (во всех тестах будем использовать 1 Гбпйт) и сам диск. Стоит отметить, что количество проходов практически не влияет на результаты. На первом скриншоте показаны результаты измерения производительности диска без шифрования с числом проходов 5, на втором - с числом проходов 3. Как видишь, результаты практически идентичны, поэтому остановимся на трех проходах.
Результаты CrystalDiskMark нужно трактовать так:
- Seq Q32T1 - тест последовательной записи / последовательного чтения, количество очередей - 32, потоков - 1;
- 4K Q32T1 - тест случайной записи / случайного чтения (размер блока 4 Кбайт, количество очередей - 32, потоков - 1);
- Seq - тест последовательной записи / последовательного чтения;
- 4K - тест случайной записи / случайного чтения (размер блока 4 Кбайт);
Начнем с BitLocker. На шифрование раздела размером 28 Гбайт было потрачено 19 минут.
Продолжение доступно только подписчикам
Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.
- Продолжать использовать TrueCrypt, ведь даже несмотря на серьёзный анализ, в нём не выявлено каких-либо проблем с безопасностью. Это хороший вариант действий, ведь TrueCrypt зарекомендовал себя как отличная и надёжная во всех смыслах программа. К тому же, бесплатная. Возможно, при смене операционных систем на более свежие, в будущем могут возникнуть проблемы совместимости с TrueCrypt.
- Пользоваться одним из форков TrueCrypt. Также хорошо как первый вариант, при этом появляется надежда на актуализацию программы и добавление новых функций и алгоритмов. Главное преимущество - у них сохранён весь функционал TrueCrypt.
- Выбрать сторонний продукт. Таких продуктов много, некоторые из них мы рассмотрим.
Скрыто от гостей
VeraCrypt - это бесплатная программа по шифрованию от IDRIX (
Скрыто от гостей
), эта программа базируется на TrueCrypt.
Она увеличивает безопасность используемых для шифрования системы и разделов алгоритмов, делая их невосприимчивыми к новым разработкам в атаках подбора. Например, когда шифруется системный раздел, TrueCrypt использует PBKDF2-RIPEMD160 с 1000 итерациями, в то время, как в VeraCrypt используются 327661! И для стандартных контейнеров и других разделов TrueCrypt использует не более 2000 итераций, а VeraCrypt использует 655331 для RIPEMD160 и 500000 итерация для SHA-2 и Whirlpool.
Эти усиления безопасности добавляют только некоторую задержку при открытии разделов, без потери производительности на стадии использования. Это приемлемо для истинных владельцев, но это сильно усложняет атакующим получение доступа к зашифрованным данным.
Скрыто от гостей
Эта программа может зашифровать системный раздел и не системные разделы, поддерживает все последние версии ОС Windows, сторонние бут-лоадеры и много другое. DiskCryptor поддерживает несколько алгоритмов шифрования и их комбинации, аппаратное ускорение AES, если оно поддерживается системой и полная поддержка внешних дисков. По функциональности эта программа ближе всех подобралась к TrueCrypt.
Скрыто от гостей
(коммерческая)
Позволяет создавать зашифрованные контейнеры. Эта программа официально объявляет, что не содержит бэкдоров, закладок, т. к. располагается в стране, законодательство которой не может её принудить сделать это. Из интересных функций - файловый менеджер (Disk Firewall) который защищает данные от нелегального копирования, вирусов. Он позволяет только разрешённым программам вносить изменения в данные на зашифрованном диске.
Скрыто от гостей
Эта программа не может шифровать разделы, только отдельные файлы. Пусть и не являясь полной альтернативой TrueCrypt, она может быть использована для шифрования важных файлов в системе. Программа использует алгоритм шифрования AES 128-bit и также поддерживает файлы-ключи.
Скрыто от гостей
Доступна для Windows, Mac, Linux и мобильных операционных систем. Она поддерживает только файловое шифрование, это только означает, что вы можете кликнуть правой кнопкой по файлу и зашифровать или расшифровать его.
Скрыто от гостей
Bitlocker это часть Windows только в изданиях Enterprise и Ultimate и Pro versions на Windows 8. Утверждения, что Bitlocker имеет встроенный бэкдор для правоохранительных органов и других служб, никогда не было доказано, но он имеет функционал восстановления по ключу, который может быть использован для дешифровки защищённых этой программой дисков, которые могут находится на серверах Microsoft, а не локально.
Скрыто от гостей
(а также Boxcryptor, CryptSync и Viivo from PKWare)
Специально создана для защиты данных, которые вы синхронизируете с облачными сервисами, такими как Google Drive, OneDrive или Dropbox. Она использует 256bit и будет определять поддерживаемых провайдеров автоматически после инсталяции. Не доступна для Linux.
Сервис прекратил свою работу
(Sophie Hunt
- спасибо за информацию). На сайте красуется надпись следующего содержания:
The Cloudfogger project has been stopped, Cloudfogger is not available anymore.
Current Cloudfogger users should re-encrypt their files with a new solution as we will also turn off our keyservers in the following weeks.
Looking for an alternative? How about
Скрыто от гостей
Возможно, стоит взглянуть на
Скрыто от гостей
Как на альтернативу Cloudfogger.
Скрыто от гостей
Может быть использована для синхронизации зашифрованных копий файлов на облачном сервисе.
Скрыто от гостей
Ещё одна программа, если вы хотите шифровать на облаке.
Скрыто от гостей
(бесплатная для личного использования)
Эта программа может быть использована для шифрования отдельных файлов, каталогов или дисков на Windows. На веб-сайте проекта не хватает информации об используемых шифрах и алгоритмах шифрования.
Скрыто от гостей
Доступна только для Linux. Поддерживает диски TrueCrypt и другие. Исходный код доступен.
Программы для шифрования данных
Конечно, в одно заметке все программы охватить не получится. Но если вы хотите продолжить исследование в этом направлении, то вот вам ещё список программ для защиты данных. Пробуйте, отписывайтесь о своих результатах в комментариях.
- Encrypt4all
- Exlade Cryptic Disk
- Folder Encryption Dog
- GiliSoft Private Disk
- G-Soft Easy Crypter
- HiTek Software AutoKrypt
- idoo Full Disk Encryption
- Jetico BCArchive
- Jetico BestCrypt
- KakaSoft KaKa Private Disk
- Kruptos 2
- NCH MEO Encryption Software
- Odin HDD Encryption
- Odin U Disk Encrypt Creator
- PC-Safety Advanced File Vault
- Rohos Disk Encryption
- SafeEnterprise ProtectDrive
- SafeHouse Professional
- SecurStar DriveCrypt
- Steganos Safe Professional
- Symantec Encryption Desktop Professional
- Utimaco SafeGuard Easy
- Utimaco Safeware AG PrivateDisk
- ZardsSoftware SafeKeeping
- AbelsSoft CryptBox Pro
- Comodo Disk Encryption
