.gif)
bokiya
Опытный user
- Регистрация
- 27 Май 2020
- Сообщения
- 246
- Реакции
- 14
При взаимодействии с зашифрованными данными важно исключить всевозможные утечки по различным каналам - например, через временные файлы.
Шифрование архивов
Шифрование при архивации - наиболее лёгкий способ, однако далеко не самый надёжный.
При шифровании таким методом следует учитывать, что многие проприетарные архиваторы могут иметь “Инженерные коды” или лазейки, с помощью которых соответствующие службы при необходимости смогут расшифровать ваш архив.
Создание зашифрованного архива (со скриншотами)
Криптоконтейнеры (TrueCrypt и VeraCrypt)
Все утверждения касаемые TrueCrypt являются справедливыми по отношению к VeraCrypt, так как второй является форком первого.
VeraCrypt - это кроссплатформенное open source решение, версии которого есть для macOS, Windows и Linux. Даже вооружённые силы Израиля используют криптоконтейнеры, созданные с помощью VeraCrypt.
Можно использовать непосредственно TrueCrypt, однако скачать с официального сайта её уже не получится. Разработчики прекратили поддержку TrueCrypt, о чём официально заявили на своём сайте, при этом обвинив свой проект в ненадёжности.
Данное ПО создаёт виртуальный диск и монтирует его как настоящий. Шифрование данных осуществляется в режиме реального времени и не требует никаких дополнительных действий. При этом виртуальный диск может быть как файлом, так и внешним носителем. Программа использует строгие алгоритмы (TwoFish, AES-256 и другие).
Из особенностей можно выделить возможность создания так называемого “второго дна”. Дело в том, что вы можете попасть в такую ситуацию, когда будете вынуждены раскрыть пароль контейнера. Для такого случая программа позволяет создать для одного контейнера два последовательно зашифрованных диска, доступ к которым осуществляется посредством использования разных паролей. Обнаружить второй диск невозможно.
Создание простого криптоконтейнера (VeraCrypt)
Давайте пошагово рассмотрим метод создания простейшего криптоконтейнера:
Вот мы и создали простейший криптоконтейнер.
теперь давайте разберёмся как его открыть:
Шифрование файлов средствами Windows (EFS)
Windows не позволяет шифровать сжатые, и сжимать зашифрованные файлы. Возможность шифрования данных в операционной системе Windows появилась с версии Windows 95. Для этого диск должен быть отформатирован в файловой системе NTFS, а сам метод называется Encrypted File System (EFS).
Зашифровать файл или папку можно следующим образом: выделите файл в проводнике, откройте “свойства”. Затем во вкладке “общие” нажмите “дополнительно” и в окне “дополнительные атрибуты” нужно выбрать чекбокс “Шифровать содержимое для защиты данных”. По умолчанию зашифрованные файлы будут подсвечены зелёным. EFS можно использовать и на внешних носителях, но для этого следует отформатировать их в NTFS.
Открыть зашифрованный файл может только тот, кто зашифровал этот файл. Для расшифровки EFS можно использовать утилиту Advanced EFS Data Recovery. Владелец может разрешить доступ к файлу пользователю или группе. Если вы работаете в внутри домена, то следует помнить, что в групповых политиках предусматривается наличие системного пользователя, который имеет права на расшифровку всех файлов.
Что такое Trusted Platform Module (TPM)?
Такие модули зачастую используются для безопасного хранения биометрических данных, шифрования дисков, защиты от нарушений лицензионных соглашений (именно для этого майкрософт хотели запретить установку Windows 11 для устройств без TPM).
Чаще всего данный модуль используется непосредственно для повышения безопасности при шифровании. Например, подключившись к зашифрованному с помощью BitLocker + TPM жёсткому диску злоумышленник не сможет обойти шифрование без специального ключа.
Шифрование диска с помощью технологии BitLocker
Разработчики TrueCrypt всегда были против проприетарного ПО для шифрования, однако после закрытия они начали рекомендовать использовать BitLocker.
В Windows существует возможность шифрования данных по технологии BitLocker. Для шифрования компьютер должен соответствовать следующим требованиям:
С помощью данной технологии можно шифровать как системные логические разделы, так и сменные носители. Процесс шифрования диска занимает длительное время и зависит от объема диска.
Для примера зашифруем диск:
Вот мы и зашифровали диск с помощью технологии BitLocker.
Включение технологии BitLocker на ПК без TPM-модуля
Использовать BitLocker можно и без TPM-модуля, однако для этого нужно соответствующее разрешение, которое можно получить только с помощью изменения групповых политик. Перед использованием следует убедиться что BIOS поддерживает чтение с USB (Для старых ПК).
Чтож, давайте разберёмся как включить BitLocker:
Шифрование архивов
Шифрование при архивации - наиболее лёгкий способ, однако далеко не самый надёжный.
При шифровании таким методом следует учитывать, что многие проприетарные архиваторы могут иметь “Инженерные коды” или лазейки, с помощью которых соответствующие службы при необходимости смогут расшифровать ваш архив.
Создание зашифрованного архива (со скриншотами)
Криптоконтейнеры (TrueCrypt и VeraCrypt)
Все утверждения касаемые TrueCrypt являются справедливыми по отношению к VeraCrypt, так как второй является форком первого.
VeraCrypt - это кроссплатформенное open source решение, версии которого есть для macOS, Windows и Linux. Даже вооружённые силы Израиля используют криптоконтейнеры, созданные с помощью VeraCrypt.
Можно использовать непосредственно TrueCrypt, однако скачать с официального сайта её уже не получится. Разработчики прекратили поддержку TrueCrypt, о чём официально заявили на своём сайте, при этом обвинив свой проект в ненадёжности.
Данное ПО создаёт виртуальный диск и монтирует его как настоящий. Шифрование данных осуществляется в режиме реального времени и не требует никаких дополнительных действий. При этом виртуальный диск может быть как файлом, так и внешним носителем. Программа использует строгие алгоритмы (TwoFish, AES-256 и другие).
Из особенностей можно выделить возможность создания так называемого “второго дна”. Дело в том, что вы можете попасть в такую ситуацию, когда будете вынуждены раскрыть пароль контейнера. Для такого случая программа позволяет создать для одного контейнера два последовательно зашифрованных диска, доступ к которым осуществляется посредством использования разных паролей. Обнаружить второй диск невозможно.
Создание простого криптоконтейнера (VeraCrypt)
Давайте пошагово рассмотрим метод создания простейшего криптоконтейнера:
- Открываем VeraCrypt;
- переходим во вкладку “Volumes”, жмём “Create New Volume”;
- выбираем где будет находиться криптоконтейнер (в файле или на внешнем носителе/разделе). Я для примера выберу файл;
- указываем путь к файлу;
- выбираем алгоритм и хеш шифрования;
- выделяем место под криптоконтейнер (прибавится к выбранному ранее файлу);
- водим указателем по окну, тем самым генерируя “ключ шифрования” и жмём “Format”.
Вот мы и создали простейший криптоконтейнер.
теперь давайте разберёмся как его открыть:
- Открываем VeraCrypt, выбираем любой из слотов (в моём случае 1), указываем путь к файлу и жмём "Mount";
- в открывшимся окне вводим пароль от контейнера;
- для открытия самого контейнера дважды кликаем на слот, который мы выбрали ранее.
Шифрование файлов средствами Windows (EFS)
Windows не позволяет шифровать сжатые, и сжимать зашифрованные файлы. Возможность шифрования данных в операционной системе Windows появилась с версии Windows 95. Для этого диск должен быть отформатирован в файловой системе NTFS, а сам метод называется Encrypted File System (EFS).
Зашифровать файл или папку можно следующим образом: выделите файл в проводнике, откройте “свойства”. Затем во вкладке “общие” нажмите “дополнительно” и в окне “дополнительные атрибуты” нужно выбрать чекбокс “Шифровать содержимое для защиты данных”. По умолчанию зашифрованные файлы будут подсвечены зелёным. EFS можно использовать и на внешних носителях, но для этого следует отформатировать их в NTFS.
Открыть зашифрованный файл может только тот, кто зашифровал этот файл. Для расшифровки EFS можно использовать утилиту Advanced EFS Data Recovery. Владелец может разрешить доступ к файлу пользователю или группе. Если вы работаете в внутри домена, то следует помнить, что в групповых политиках предусматривается наличие системного пользователя, который имеет права на расшифровку всех файлов.
Что такое Trusted Platform Module (TPM)?
Такие модули зачастую используются для безопасного хранения биометрических данных, шифрования дисков, защиты от нарушений лицензионных соглашений (именно для этого майкрософт хотели запретить установку Windows 11 для устройств без TPM).
Чаще всего данный модуль используется непосредственно для повышения безопасности при шифровании. Например, подключившись к зашифрованному с помощью BitLocker + TPM жёсткому диску злоумышленник не сможет обойти шифрование без специального ключа.
Шифрование диска с помощью технологии BitLocker
Разработчики TrueCrypt всегда были против проприетарного ПО для шифрования, однако после закрытия они начали рекомендовать использовать BitLocker.
В Windows существует возможность шифрования данных по технологии BitLocker. Для шифрования компьютер должен соответствовать следующим требованиям:
- Windows Vista или старше;
- Совместимая версия BIOS;
- Наличие TPM модуля версии 1.2+ (один из ключей, используемых для шифрования хранится в данном модуле).
С помощью данной технологии можно шифровать как системные логические разделы, так и сменные носители. Процесс шифрования диска занимает длительное время и зависит от объема диска.
Для примера зашифруем диск:
- Жмём пкм на диск который хотим зашифровать и выбираем “Включить BitLocker”;
- вводим желаемый пароль (минимум 8 символов);
- выбираем где мы будем хранить ключ восстановления (он пригодится в случае, если вы забудете пароль. При желании его можно уничтожить).
Вот мы и зашифровали диск с помощью технологии BitLocker.
Включение технологии BitLocker на ПК без TPM-модуля
Использовать BitLocker можно и без TPM-модуля, однако для этого нужно соответствующее разрешение, которое можно получить только с помощью изменения групповых политик. Перед использованием следует убедиться что BIOS поддерживает чтение с USB (Для старых ПК).
Чтож, давайте разберёмся как включить BitLocker:
- нажимаем “Win + R”, и вводим “mmc”;
- открываем вкладку “Файл”, нажимаем “Добавить или удалить оснастку”;
- добавляем “Редактор объектов групповой политики”. При запросе объекта выберите “Локальный компьютер”;
- далее переходим по следующему пути: Политика “Локальный компьютер”\Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Диски операционной системы;
- дважды кликаем на “Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске”;
- тыкаем “Включено”, и отмечаем чекбокс “разрешить использование BitLocker без TPM..”.
