Программное обеспечение для шифрования дисков - Disk encryption software
Эта статья нужны дополнительные цитаты для проверка.Сентябрь 2013) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Программное обеспечение для шифрования дисков является компьютерная безопасность программное обеспечение, которое защищает конфиденциальность данных, хранящихся на компьютерных носителях (например, на жестком диске, гибком диске или USB-устройстве), с помощью шифрование диска.
По сравнению с контролем доступа, обычно обеспечиваемым Операционная система (ОС) шифрование пассивно защищает конфиденциальность данных, даже когда ОС не активна, например, если данные считываются непосредственно с оборудования или другой ОС. Кроме того крипто-шрединг подавляет необходимость стирать данные в конце жизненного цикла диска.
Шифрование диска обычно относится к оптовому шифрованию, которое работает на всем объем в основном прозрачно для пользователя, системы и приложений. Это обычно отличается от шифрования на уровне файлов, которое работает по вызову пользователя с одним файлом или группой файлов и требует, чтобы пользователь сам решил, какие конкретные файлы следует зашифровать. Шифрование диска обычно включает все аспекты диска, включая каталоги, поэтому злоумышленник не может определить содержимое, имя или размер любого файла. Он хорошо подходит для портативных устройств, таких как портативные компьютеры и флешки которые особенно подвержены потере или краже. При правильном использовании кто-то, обнаруживший потерянное устройство, не сможет проникнуть в реальные данные или даже узнать, какие файлы могут присутствовать.
Методы
Данные на диске защищены с помощью симметричная криптография с ключом, генерируемым случайным образом при первой установке шифрования диска. Этот ключ сам каким-то образом зашифрован с использованием пароля или парольной фразы, известной (в идеале) только пользователю. После этого, чтобы получить доступ к данным на диске, пользователь должен ввести пароль, чтобы сделать ключ доступным для программного обеспечения. Это необходимо делать через некоторое время после каждого запуска операционной системы, прежде чем можно будет использовать зашифрованные данные.
Сделано в программном обеспечении, шифрование диска обычно работает на уровне между всеми приложениями и большинством системных программ, а также на низком уровне драйверы устройств путем «прозрачного» (с точки зрения пользователя) шифрования данных после их создания программой, но до физической записи на диск. И наоборот, он расшифровывает данные сразу после чтения, но до того, как они будут представлены программе. При правильном выполнении программы не знают об этих криптографических операциях.
Некоторое программное обеспечение для шифрования дисков (например, TrueCrypt или же BestCrypt ) предоставляют функции, которые обычно не могут быть выполнены с аппаратное шифрование диска: возможность монтировать "контейнерные" файлы как зашифрованные логические диски с собственными файловая система; и зашифрованные логические «внутренние» тома, которые тайно скрыты в свободном пространстве более очевидных «внешних» томов. Такие стратегии обеспечивают правдоподобное отрицание.
К хорошо известным примерам программного обеспечения для шифрования дисков относятся: BitLocker для Windows; FileVault для Apple OS / X; LUKS стандартное бесплатное программное обеспечение в основном для Linux и TrueCrypt, некоммерческое бесплатное приложение для Windows, OS / X и Linux.
- Исследование 2008 года показало остаточные данные в динамическая память с произвольным доступом (DRAM), с сохранением данных от секунд до минут при комнатной температуре и гораздо более длительное время, когда микросхемы памяти охлаждались до низкой температуры. Авторы исследования смогли продемонстрировать холодная атака для восстановления криптографических ключей для нескольких популярных систем шифрования дисков, несмотря на некоторую деградацию памяти, за счет использования преимущества избыточности в способе хранения ключей после того, как они были расширены для эффективного использования. Авторы рекомендуют выключать компьютеры, а не оставлять их в «спящем» состоянии, когда законный владелец компьютера не контролирует их физически. Однако этот метод восстановления ключа подходит для контролируемых лабораторных условий и крайне непрактичен для использования в полевых условиях из-за необходимого оборудования и систем охлаждения.[1]
Другие свойства
Правдоподобное отрицание
Некоторые системы шифрования дисков, такие как VeraCrypt, CipherShed (активные форки с открытым исходным кодом прекращенных TrueCrypt проект), BestCrypt (проприетарное пробное ПО), предлагает уровни правдоподобное отрицание, что может быть полезно, если пользователь вынужден раскрыть пароль зашифрованного тома.
Скрытые тома
Скрытые тома - это стеганографический функция, позволяющая второму, «скрытому», размещаться в видимом свободном пространстве видимого «контейнерного» тома (иногда известного как «внешний» том). Скрытый том имеет свою собственную отдельную файловую систему, пароль и ключ шифрования, отличные от тома контейнера.
Содержимое скрытого тома зашифровано и находится в свободном пространстве файловой системы внешнего тома - пространстве, которое в противном случае было бы заполнено случайными значениями, если бы скрытый том не существовал. Когда внешний контейнер подключается к сети с помощью программного обеспечения для шифрования диска, независимо от того, используется ли внутренний или внешний том установленный зависит от предоставленного пароля. Если «нормальный» пароль / ключ внешнего тома оказывается действительным, внешний том монтируется; если пароль / ключ скрытого тома окажется действительным, тогда (и только тогда) можно будет даже обнаружить существование скрытого тома, и он будет смонтирован; в противном случае, если пароль / ключ не может успешно расшифровать дескрипторы внутреннего или внешнего тома, то ни один из них не монтируется.
После того, как скрытый том был создан внутри видимого контейнерного тома, пользователь будет хранить важную на вид информацию (но которую пользователь на самом деле не возражает раскрыть) на внешнем томе, тогда как более конфиденциальная информация хранится внутри скрытого тома.
Если пользователя вынуждают раскрыть пароль, он может раскрыть пароль для внешнего тома, не раскрывая существования скрытого тома. Скрытый том не будет скомпрометирован, если пользователь примет определенные меры предосторожности при перезаписи свободных областей «основного» диска.[2]
Нет идентифицирующих особенностей
Тома, независимо от того, хранятся ли они в файле или на устройстве / разделе, могут намеренно не содержать заметных «подписей» или незашифрованных заголовков. Поскольку алгоритмы шифрования разработаны так, чтобы их нельзя было отличить от псевдослучайная перестановка не зная ключ, наличие данных на зашифрованном томе также невозможно обнаружить, если в шифре нет известных слабых мест.[3] Это означает, что невозможно доказать, что какой-либо файл или раздел является зашифрованным томом (а не случайными данными), не имея пароля для его монтирования. Эта характеристика также делает невозможным определение того, содержит ли том другой скрытый том.
Том, размещенный в файле (в отличие от разделов), в некоторых случаях может выглядеть неуместно, поскольку это будут полностью случайные данные, намеренно помещенные в файл. Однако том, размещенный на разделе или устройстве, не будет отличаться от раздела или устройства, которые были очищены с помощью обычного средства очистки диска, такого как Ботинок Дарика и ядерная бомба. Можно с полным основанием утверждать, что такое устройство или раздел были очищены для очистки личных данных.
Переносной или «путевой режим» означает, что программу шифрования можно запускать без установки на системный жесткий диск. В этом режиме программа обычно устанавливает временный Водитель с портативных носителей. Поскольку он устанавливает драйвер (хотя и временно), по-прежнему требуются права администратора.
Объемы изменяемого размера
Некоторые программы для шифрования дисков позволяют изменять размер зашифрованных томов. Не многие системы реализуют это полностью и прибегают к использованию "разреженные файлы " для достижения этой цели.[нужна цитата ]
Резервные копии
Зашифрованные тома содержат данные «заголовка» (или «CDB»), для которых можно создать резервную копию. Перезапись этих данных приведет к уничтожению тома, поэтому возможность их резервного копирования полезна.
Восстановление резервной копии этих данных может сбросить пароль тома на тот, который был на момент создания резервной копии.
Смотрите также
- Теория шифрования диска
- Оборудование для шифрования диска
- Сравнение программного обеспечения для шифрования дисков
- Остаточная информация
- Шифрование диска
- Шифрование на лету
- Атака холодной загрузки
- Единая точка входа
- Соединенные Штаты против Баучера
Рекомендации
- ^ Дж. Алекс Халдерман; и другие. (Февраль 2008 г.). «Чтобы мы не помнили: атаки холодного запуска на ключи шифрования» (PDF). Архивировано из оригинал (PDF) на 2008-05-14. Цитировать журнал требует
| журнал =
(помощь) - ^ Правдоподобное отрицание - FreeOTFE инструкции по инициализации зашифрованного диска, так что наличие скрытого диска не может быть обнаружено
- ^ Это критерий проектирования современных шифров; Другими словами, шифры считаются взломанными, если их выходные данные отличны от случайных.
Михир Белларе, Филип Рогавей (2005-09-20). «Глава 3: Псевдослучайные функции». Введение в современную криптографию. п. 7. Архивировано из оригинал на 2007-10-11. Получено 2007-09-30.
внешняя ссылка
- Шифрование жесткого диска в Керли
- Подробная статья в стиле вики о шифровании диска на infoanarchy.org
- Внутри NetBSD CGD
- Руководство покупателя по полному шифрованию диска - Обзор полнодискового шифрования, того, как оно работает и чем оно отличается от шифрования на уровне файлов, а также обзор ведущего программного обеспечения для полнодискового шифрования.