Телевизоры. Приставки. Проекторы и аксессуары. Технологии. Цифровое ТВ

Шифрование диска mac. Хранение шифрованных данных в облаке средствами Mac OS X. Зашифровываем диск USB

По мере того как емкость флэш-дисков постоянно растет, а цены на них, напротив, падают, они набирают популярность. Особенно привлекательной оказывается их возможность по переносу значительных объемов данных на портативных USB-накопителях. Однако их портативность имеет и оборотную сторону - их очень легко потерять. Этот рецепт рассказывает о том, как защитить ваши конфиденциальные данные от постороннего доступа в случае утери накопителя флэш-USB.Вряд ли кто-то на сегодняшний день будет оспаривать удобство переноса данных с компьютера на компьютер на перезаписываемых портативных носителях флэш-USB. Тем не менее, это удобство имеет и оборотную сторону - риск для безопасности конфиденциальных данных. Емкость портативных носителей все растет, а сами они становятся все более и более миниатюрными. А ведь чем миниатюрнее устройство, тем проще его потерять. Если это случается, то вы не просто теряете само устройство и хранящиеся на нем данные. Фактически, если эти данные имеют для вас ценность или являются конфиденциальными, вы допускаете утечку информации.

По правде говоря, если вы действительно потеряете носитель флэш-USB, то в большинстве случаев тот, кто найдет это маленькое чудо, будет заинтересован не столько в ваших данных, сколько в самом устройстве - с тем, чтобы хранить на нем собственные данные. Причем здесь нужно отметить еще один момент. Вы используете свой накопитель флэш-USB на Mac, а большинство пользователей все-таки работают в Windows. Если ваш USB-диск подключить к компьютеру, работающему под управлением Windows, то Windows сразу же предложит отформатировать его, так что пользователи Windows вряд ли смогут прочесть ваши файлы, даже если им и интересно, что же хранится на утерянном вами носителе.

Но вот беда, если нашедший действительно заинтересуется содержимым вашей флэшки, и при этом у него есть в распоряжении Mac. С другой стороны, существует и шанс того, что вы оставите (забудете) свой накопитель буквально рядом с Mac - тогда любой случайно проходящий мимо пользователь сможет подключить его к этому Mac и, например, даже взять и скопировать себе ваши данные. Это - очень неприятный сценарий, и чтобы не допустить развития событий таким образом, недостаточно просто беречь свой USB-накопитель. Все мы люди, а людям свойственны рассеянность и забывчивость. Иными словами, у вас нет никакой гарантии, что вы не потеряете носитель с вашими драгоценными данными. Очевидно, что в данном случае данные следует защитить от постороннего доступа паролем. Сделать это можно, воспользовавшись приложением Disk Utility.

Зашифровываем диск USB

Первое решение, которое вам необходимо принять - это выяснить, какой объем пространства на вашем носителе USB следует выделить для данных, защищенных паролем. Как правило, хорошим решением является защита всех данных. В этом случае, создайте резервную копию вашего USB-носителя на рабочем столе (просто перетащите мышью все файлы и папки, хранящиеся на нем, в отдельную папку). Резервное копирование необходимо, так как для достижения поставленной цели вам потребуется стереть все данные с флэш-накопителя.

Создав резервную копию, запустите программу Disk Utility (она расположена в папке /Applications/Utilities) и с ее помощью переформатируйте USB-накопитель. После переформатирования Mac OS X автоматически создаст новый том и даст ему имя Untitled. Вы можете оставить это имя без изменений или присвоить тому любое другое по вашему усмотрению.

Теперь диск следует зашифровать. На этом шаге вы создадите на нем зашифрованный.dmg-файл, который будет выглядеть как диск, хранящийся на диске (это может выглядеть немного обескураживающе). Чтобы выполнить эту задачу, вернитесь в окно программы Disk Utility и щелкните по кнопке New Image. Сразу же после того, как вы щелкнете мышью по кнопке New Image, появится диалоговое окно, позволяющее задать различные опции для создаваемого.dmg-файла. Первое, о чем следует позаботиться - это о выборе местоположения вашего нового.dmg-файла. Вы можете создать этот файл на рабочем столе, а затем переместить его на USB-носитель, но можете создать его и прямо на целевом диске.

Как только местоположение для.dmg-файла будет задано, вы сможете задать и его размер. Хотя Disk Utility предоставляет ряд опций для создания.dmg-файлов предопределенных размеров, соответствующих стандартным емкостям типовых носителей (CD, DVD и т. д.), высока вероятность того, что опции, соответствующей размеру вашего USB-носителя, не окажется. Поэтому выберите из раскрывающегося списка Volume Size опцию Custom. Очевидно, что вам следует указать меньший размер, чем фактический размер физического диска, но, помимо этого, вам следует учесть и накладные расходы на форматирование диска. Например, на накопителе флэш-USB объемом 2 Гбайт максимальный размер файла образа составил 1.7 Гбайт.


Как только расположение и размер.dmg-файла будут заданы, вам потребуется указать тип создаваемого образа. В данном случае образ должен допускать как чтение, так и запись и при этом быть зашифрованным. Пример установки опций для создания зашифрованного образа показан на рис. 3.41.

ИЗБЕГАЙТЕ ПУТАНИЦЫ : При создании зашифрованного образа предварительно убедитесь в том, что когда вы нажимаете кнопку New Image, ни один из дисков не выделен подсветкой (т. е. не выбран). Если какой-то из дисков окажется выделенным, Disk Utility попытается создать образ выбранного диска вместо того, чтобы создавать новый, нетронутый образ. Впрочем, если вы допустите эту ошибку, ничего ужасного не случится - за исключением того, что вы можете получить сообщение об ошибке Resource Busy.

Нажмите кнопку Create, и ваша задача будет практически выполнена. Mac OS X предложит вам ввести и подтвердить пароль, после чего на вашем USB-носителе будет создан новый зашифрованный образ диска.

ПОЛОЖИТЕСЬ НА ПОМОЩЬ MAC OS X ПРИ СОЗДАНИИ ПАРОЛЕЙ : В состав Mac OS X входит удобная утилита для генерации паролей - Password Assistant (рис. 3.42). Mac OS X может не только оценить введенный вами пароль, но и сгенерировать для вас пароли с различными степенями стойкости ко взлому. Щелкните мышью по кнопке с изображением ключа, расположенной правее поля Password, и Mac OS X оценит ваш пароль. Щелкните мышью по кнопке с изображением двух треугольных стрелок правее поля Type. Раскроется список опций, из которого вы можете выбрать тип пароля.


Использование нового образа

Итак, вся подготовительная работа уже выполнена, и все, что вам теперь осталось - это начать пользоваться вашим новым зашифрованным носителем USB. Ваш.dmg-файл вложен в носитель USB, как матрешка, но на рабочем столе они выглядят как два отдельных тома. Чтобы поместить файл на зашифрованную область диска, перетащите его туда мышью, после чего вы спокойно можете путешествовать куда угодно с зашифрованными данными. Когда вам потребуется скопировать данные с зашифрованного диска, подключите к компьютеру USB-носитель, откройте вложенный.dmg-файл, введите пароль (рис. 3.43), и вы сможете работать с зашифрованными файлами.


«Выживают только параноики»
- Эндрю Гроув, экс-глава Intel

Для тех пользователей, которые хранят на своем компьютере важные файлы, в Mac OS X существует функция FileVault, которая позволяет зашифровать все содержимое домашней директории (Macintosh HD -> Users -> Your_Name) стойким алгоритмом AES 128 (Advanced Encryption Standart с длинной ключа в 128 бит, он является государственным стандартом в США).

Не забывайте, что обычная установка пароля на вход в систему не шифрует данные, при желании, получить к ним доступ достаточно просто. Поэтому для реальной защиты самих файлов используйте FileVault, или другие криптографические решения.

Для активации FileVault, в панели System Preferences выберите пункт Security (как показано на скриншоте), установите необходимые параметры и создайте Master Password (если он еще не создан), с помощью которого вы сможете получить доступ к данным, если забудете пароль своего аккаунта (очень пригодится системным администраторам - в любой момент можно будет получить доступ к файлам, даже если сотрудник уже не работает в компании и отказывается сообщать пароль). После активации система будет перезагружена и все содержимое домашней директории будет зашифровано (процесс может занять довольно продолжительное время - в зависимости от объема информации).

После этого иконка вашей домашней директории будет изменена, и все ее содержимое будет храниться в зашифрованном виде - при обращении к какому-либо файлу, он будет дешифрован на время работы с ним и автоматически зашифрован по ее окончании. Все это Apple сделала со свойственной ей простотой и удобством. Работа пользователя с включенным FileVault практически никак не усложняет использование системы.

Тем не менее, вы можете столкнуться со следующими особенностями:

  1. Дополнительная нагрузка на процессор. Постоянное шифрование и дешифрование файлов «на ходу» создает дополнительную нагрузку на процессор. В большинстве случаев она практически не заметна, вы обратите внимание на нее лишь при работе с файлами большого объема, требующими активной работы с жестким диском (например, при работе с видео). Поэтому особо крупные и не конфиденциальные файлы (например, фильмы), лучше хранить не в домашней директории, а в обычной папке на жестком диске (следующий пункт лишь подтвердит эту рекомендацию).
  2. Необходимость восстановления свободного дискового пространства. При удалении файла из вашей домашней директории и очистки корзины место на диске не освободится. Дело в том, что зашифрованный образ вашей директории - это большой файл, который, по причинам криптографических особенностей, не может быть быстро уменьшен в размерах. При выходе из вашей учетной записи (или при полной перезагрузке системы), система предложит выполнить Disk Space Recovery, то есть реально освободить свободное место на диске за счет удаленных ранее файлов. Эта операция может занять не один десяток минут, поэтому, если вы используете ноутбук, не подключенный к сети питания, система не предложит вам Disk Space Recovery. Think Different.
  3. Уязвимость в случае возникновения дисковых ошибок. Обязательно делайте резервное копирование данных, ведь зашифрованная директория представляет собой один большой файл, доступ к которому может быть невозможен при наличии испорченного кластера. Если вы не используете шифрование, то рискуете одним или несколькими файлами, а во время активированного FileVault - всей директорией сразу.
  4. Невозможность восстановления данных. Не забывайте пароль. Вы можете восстановить данные либо паролем соответствующего аккаунта, либо с помощью Master Password. Если вы не помните ни тот, ни другой, то данные потеряны навсегда.
  5. В Mac OS X 10.4 Tiger появилась новая возможность шифрования виртуальной памяти (своп-файла). Когда вы работаете с документами, часть из них хранится в этом файле, и получив доступ к вашему жесткому диску, возможно восстановить некоторые документы, с которыми недавно велась работа. Конечно, включение этой функции дополнительно увеличит нагрузку на процессор.

Добавление дополнительного уровня защиты крайне важно, чтобы избежать кражи, особенно ваших личных файлов, сохраненных на компьютере. Шифрование позволяет защитить паролем любые файлы или папки на вашем устройстве, чтобы никто не крал вашу личную информацию. Учить как зашифровать файлы на Mac в этом новом посте.

Часть 1. Шифрование файлов на Mac с помощью Дисковой утилиты

У всех нас есть файлы, сохраненные на нашем Mac, которые мы не хотим, чтобы другие люди видели или получали к ним доступ; Эти файлы могут содержать ваши банковские реквизиты, личные записи и другие важные заметки. Хорошо, что мы можем легко зашифровать эти файлы на Mac с помощью Дисковой утилиты.

Несмотря на то, что мы можем использовать FileVault, который является полнодисковым шифрованием, которое предотвращает несанкционированный доступ к информации на вашем загрузочном диске, мы можем чувствовать себя в большей безопасности, когда мы также шифруем определенные файлы или папки, особенно когда мы совместно используем компьютеры с кем-то еще.

Как зашифровать файлы на Mac? Мы будем использовать Disk Utility и установить уровень защиты, добавив пароль.

Как превратить папку в защищенный паролем образ диска

  1. Запустите Дисковую утилиту из папки «Программы» в разделе «Утилиты». Вы также можете использовать поиск Spotlight
  2. В меню «Дисковая утилита» выберите «Файл» и перейдите в «Новый образ». Нажмите Изображение в папке и дождитесь появления всплывающего окна.
  3. Укажите необходимые данные для сохранения нового образа диска. Введите необходимую информацию для Сохранить как, используйте более подходящее имя файла. Под «Где» выберите правильное местоположение папки; и в разделе Шифрование вы можете выбрать между 128Bit и 256Bit. Обратите внимание, что чем выше применяемое шифрование, тем больше времени требуется для завершения шифрования. Бит 256 более безопасен, но медленнее для завершения шифрования.
  4. Для формата изображения выберите чтение / запись, чтобы разрешить вам редактировать файлы в зашифрованной папке. Выберите Сохранить и введите желаемый пароль. Используйте пароли, которые легко запомнить, но трудно расшифровать. Вам может потребоваться ввести пароль дважды для подтверждения. Нажмите Сохранить и нажмите Готово.

Теперь вы можете найти зашифрованный образ диска в папке, которую вы указали ранее, как файл DMG с именем файла, которое вы также ввели. Теперь вы можете удалить старый файл или папки без шифрования. Прежде чем удалить старый файл или папку, убедитесь, что вы создали резервную копию на случай, если вы что-то напутали в процессе.

Как открыть защищенный паролем файл / папку?

Чтобы получить доступ к зашифрованному образу диска или открыть его, вам просто нужно дважды щелкнуть файл образа диска, ввести пароль и нажать «ОК». Обратите внимание, что вам не нужно ставить флажок ниже, чтобы запомнить пароль в цепочке для ключей, в противном случае он просто аннулирует весь процесс, который мы проделали, особенно когда другие пользователи имеют доступ к вашей цепочке для ключей. После ввода правильного пароля диск будет смонтирован, а файлы появятся и станут доступны.

Часть 2. Как зашифровать загрузочный диск с помощью FileVault

Как мы упоминали ранее, FileVault - это специальная настройка шифрования, предоставляемая на вашем Mac, чтобы обеспечить полную защиту диска, которая использует шифрование XTS-AES-128 с ключом 256-bit.

Шаги по настройке FileVault

  1. Перейдите к настройкам безопасности и конфиденциальности из системных настроек в Apple Menu
  2. Нажмите FileVault
  3. Нажмите на значок замка и введите имя пользователя и пароль администратора.
  4. Включить FileVault

Если у вас несколько пользователей Mac, каждому пользователю также необходимо ввести пароль, чтобы иметь возможность разблокировать диск. Шифрование занимает некоторое время, поскольку оно использует более безопасный ключ, однако вы можете продолжить работу на своем Mac. Он продолжает шифрование в фоновом режиме и только тогда, когда Mac не спит и подключен.

После завершения шифрования перезагрузите устройство и введите пароль, который вы создали ранее. Вам нужно будет делать это каждый раз, когда вы входите в свой Mac при запуске. Все пользователи обязаны вводить свои собственные пароли.

Шаги, чтобы отключить FileVault

Если в любом случае вы захотите отключить FileVault, просто вернитесь в раздел «Безопасность и конфиденциальность»> «Найти» и нажмите «FileVault»> щелкните значок замка и введите имя пользователя и пароль администратора> нажмите «Отключить FileVault». Процесс расшифровки также занимает некоторое время, прежде чем он будет завершен.

Шаги для сброса пароля FileVault

Что произойдет, если вы забыли пароль FileVault? Существует три способа сброса пароля.

  • Вы можете использовать свою учетную запись iCloud для восстановления и разблокировать диск для тех, кто использует iOS Yosemite или более позднюю версию.
  • Локальное восстановление тоже подойдет, если вы не хотите использовать iCloud в качестве опции восстановления учетной записи.
  • Наконец, вы можете выбрать три секретных вопроса и сохранить их в ключе восстановления FileVault. Это доступно, если вы используете iOS Mavericks

Часть 3. Как использовать Печать в PDF

Если вы хотите зашифровать только один файл, вы также можете воспользоваться опцией «Печать в PDF». Мы предполагаем, что все знакомы с этой опцией. Любые файлы, которые позволяют печатать в PDF, могут быть зашифрованы. Проверьте эти шаги ниже:

  1. Откройте файл, который вы хотите зашифровать, и перейдите к печати.
  2. В окне «Печать» выберите PDF и нажмите «Сохранить как PDF».
  3. Нажмите на кнопку Параметры безопасности
  4. Установите флажок «Требовать пароль для открытия документа». Введите желаемый пароль и подтвердите. Другие поля ниже являются необязательными на случай, если вы захотите добавить пароль при редактировании или печати документа.
  5. нажмите OK

Это оно! Вы практически зашифровали документ PDF. Вы можете сделать это для ваших личных заметок и других отдельных файлов или документов.

Часть 4. Вывод

Вот, наконец, мы узнали как зашифровать файлы на Mac использование Дисковой утилиты, а также шифрование всего диска с помощью FileVault. Однако использование FileVault может занимать или занимать много места на диске, а также может вызывать задержку или снижение производительности устройства. Если вам нужно оптимизировать и очистить ваш Mac и получить больше места, используйте . Это универсальное решение, которое поможет вам оптимизировать ваш Mac, предоставив нам три мощных варианта: Status, Cleaner и Toolkit. Не стесняйтесь использовать эту программу, если вам нужно больше места для хранения!

Мы надеемся, что вы узнали что-то из этого руководства, и дайте нам знать ваши мысли в комментариях ниже!

Mac на службе у хакера. Часть 1 – Шифрование диска

Alexander Antipov

Первая статья будет посвящена шифрованию диска, что поможет защититься от всех интересующихся нашими битами и байтами.


Так повелось, что большая часть руководств по взлому и пентестам пишется с позиции Linux-пользователя. Существуют, конечно, исключения из этого правила, но в целом складывается впечатление, что ОС Linux единственная система, которая пригодна для подобного рода задач. На самом деле эта идея не далека от истины, поскольку правильная настройка систем от компании Apple для нужд специалиста по безопасности – не такая простая задача.

До появления macOS (когда была система OS X) проведение исследований, связанных с безопасностью, на машинах от Apple было немного комичным. Подходящих инструментов было мало, а аппаратная часть была заточена под специфические нужды. Как итог, у разработчиков не было особой мотивации для адаптации своих творений, поскольку OS X занимала небольшую долю рынка и была малопригодна для серьезных дел. В тот момент на сцене господствовали Windows и Linux.

Но времена изменились, и теперь macOS – серьезный конкурент в борьбе за внимание специалистов по безопасности. На данный момент эта система занимает 7,4 и 13% рынка в мире и США соответственно.

На Apple-машинах работает вариант ОС UNIX, совместимый со стандартном POSIX, а аппаратная часть ничем не отличается от начинки современных компьютеров, что позволяет запускать большинство утилит, используемых пентестерами, в ОС Mac. Кроме того, на Apple-машинах можно с легкостью запускать и Windows и Linux. Короче говоря, на систему macOS, которой к тому же легко пользоваться и обслуживать, как минимум, стоит обратить свое внимание.

Эта серия статей была задумана с целью помочь вам преодолеть первоначальные препятствия, связанные с настройкой системы macOS. Как только среда будет готова, при работе с утилитами не возникнет никаких сложностей.
Кроме того, будет совершенно нелишним изучать азы текстового редактора Vim, функционал которого схож и в Linux и в Mac.

После ознакомления и выполнения инструкций из всех руководств, у вас будет настроенный Mac, пригодный для выполнения тестов на проникновение. К тому же, вы поймете, почему эти вещи жизненно важны. Если базовые утилиты для настройки системы могут отличаться в зависимости от платформы, основные концепции остаются неизменными. Вы получите знания, которые пригодятся не только при работе с macOS, но и со всеми остальными платформами.
Начиная повествование первой части, я предполагаю, что у вас есть чистая система с macOS. В противном случае, могут возникнуть некоторые расхождения в процедуре настройки.

Первая статья будет посвящена шифрованию диска, что поможет защититься от всех интересующихся нашими битами и байтами. Кроме того, использование шифрование уже стало стандартом вне зависимости о того, на какой стороне вы находитесь, темной или светлой. После того как методы шифрования стали доступны повсеместно, причины работать в открытую просто отсутствуют.

Мы будем использовать FileVault (средство, встроенное в ОС Mac), которое позволяет полностью зашифровать диск в 128-битном режиме XTS-AES. Эта схема шифрования рекомендуется (NIST), совместима с Федеральным стандартом по обработке информации и пригодна к использованию в подотчетных отраслях, таких как правительство и медицина. То есть схема достаточно надежная.

Шаг 1: Переход во вкладку FileVault

Зайдите в System Preferences и в первом ряду выберите Security & Privacy. В качестве альтернативного варианта можно воспользоваться следующей командой (просто скопируйте команду в терминал и нажмите Enter). Опция –b (bundle identifier; идентификатор набора) говорит о том, что нужно открыть файл Security.prefPane с системными настройками.

  • open -b com.apple.systempreferences /System/Library/PreferencePanes/Security.prefPane


Рисунок 1: Панель системных настроек

Далее зайдите в раздел Security & Privacy и выберите вкладку FileVault. Чтобы внести изменения, вам потребуется кликнуть на замок в левой нижней части окна и во всплывающем окне и ввести параметры (имя и пароль) административной учетной записи.


Рисунок 2: Вкладка для настройки шифрования диска

Шаг 2: Включение FileVault

Перед тем как нажать на кнопку "Turn On FileVault", необходимо ознакомиться с предупреждением, которое отображено на экране.

Предупреждение: Для доступа к данным вам необходим пароль для входа или ключ восстановления. Ключ восстановления автоматически генерируется во время настройки. Если вы забудете пароль и ключ восстановления, информация будет утеряна.

Перечитайте предыдущий абзац еще раз. Потеря пароля и ключа эквивалентна удалению всей информации, поскольку нужно сделать именно такую операцию, чтобы ваш Mac стал снова в рабочем состоянии.
Далее нажмите на кнопку "Turn On FileVault".

В зависимости от того, вошли ли вы через iCloud или нет (для версий Yosemite и выше), появится диалоговое окно с вопросом о том, хотите ли вы использовать учетную запись в iCloud или ключ восстановления для обнуления пароля в случае утери. Я предпочитаю хранить копию ключа в надежном месте, поскольку облако, по сути своей, является чьим-то компьютером. (Если вы не залогинились в iCloud, то сразу же увидите ключ восстановления).

После того как вы определились со способом хранения ключа, нажмите Continue.


Рисунок 3: Выбор способа разблокировки диска

Чтобы сохранить ключ в безопасности, перед тем как продолжить, я скопирую текст в документ, распечатаю на бумаге и уберу распечатку в безопасное место. Никогда не храните ключ на машине . Если вы забудете пароль, у вас не будет доступа к ключу, и вы не сможете разблокировать систему.

После того как ключ сохранен в надежном месте, еще раз нажмите Continue.


Рисунок 4: Ключ для восстановления системы в случае утери пароля

Если в системе есть другие пользователи, появится диалоговое окно, где можно выдать разрешение нужным пользователям. Для разблокировки диска соответствующий пользователь должен ввести свой пароль. Естественно, нужно разрешить разблокировку для административной учетной записи. Остальные пользователи - на ваше усмотрение. Далее опять нажмите на кнопку Continue.


Рисунок 5: Разрешение на разблокировку диска для пользователей

По окончанию настройки появится сообщение о перезагрузке. Если нужно, сохраните ранее сделанную работу, и выполните перезагрузку систему.

После инициации перезагрузки FileVault начнет шифровать диск в фоновом режиме, что может вызвать серьезные замедления до тех пор, пока весь процесс не закончится. Время шифрования зависит от размера диска. Наблюдать степень завершения процесса можно во вкладке FileVault.


Рисунок 6: Шифрование диска

Примечание: Если у вас современная система с SSD процесс шифрования и дешифрования будет происходить значительно быстрее по сравнению с HDD дисками. Если скорость загрузки для вас важна, вы находитесь на темной стороне и должны шифроваться в обязательном порядке, то вероятно вам будет полезен этот совет.

Шаг 4: Проверка ключа

Завершающий шаг – проверка ключа, чтобы убедиться, что вы можете расшифровать диск в любой момент (этот функционал доступен в версиях Mavericks и выше). Для проверки мы будем использовать приложение Terminal из папки Utilities внутри директории Applications.


Рисунок 7: Командная строка в терминале

В окне терминала введите следующую команду и нажмите Enter:

sudo fdesetup validaterecovery

Появится запрос на ввод административного пароля. Во время ввода символы пароля не будут видны. После ввода нажмите Enter.

Затем появится запрос на ввод ключа восстановления, который должен быть в формате xxxx-xxxx-xxxx-xxxx-xxxx-xxxx. Как и в случае с административным паролем, вводимые символы ключа вы не видите. Поэтому либо вводите медленно, либо скопируйте в текстовый документ, а потом вставьте в терминал и нажмите Enter.

Если ключ корректный, шелл вернет значение true.


Рисунок 8: Результаты проверки ключа

Причин неудачной проверки может быть несколько: либо ключ набран неверно, либо скопирован неверно, либо поврежден. Если вы уверены, что ключ верный, необходимо зайти в настройки File Vault, отключить эту функцию и повторить весь процесс, начиная с шага 2.

Теперь ваш диск готов к работе

После завершения процесса ваш диск стал зашифрован. Только не забывайте, что диск защищен только, когда компьютер выключен.

Росс Ульбрихт (Ross Ulbricht), один из известных операторов проекта Silk Road, использовал шифрование диска для защиты ноутбука, но не придерживался других правил безопасности. Агенты ФБР перед захватом дождались, когда Росс авторизуется, и диск расшифруется. В итоге Ульбрихт получил пожизненное заключение.

Старайтесь не повторять подобного рода ошибок.

В следующих статьях мы поговорим о шифровании образов дисков, об использовании приложений KeePass, Terminal и т. д.

Оставайтесь на связи.

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3 DNews не несет никакой ответственности за любые возможные последствия.

⇡ Введение

Почти обо всех решениях, упомянутых в предыдущем материале , так или иначе рассказывалось на страницах нашего ресурса. Однако тема шифрования и уничтожения данных незаслуженным образом была обойдена стороной. Исправим же это упущение. Рекомендуем ещё раз прочитать прошлую статью, перед тем как что-либо делать. Обязательно сделайте резервную копию всех данных перед их шифрованием! И ещё — десять раз подумайте, какую именно информацию вам придётся везти с собой и нет ли возможности отказаться хотя бы от её части. Если всё готово, приступаем.

⇡ Шифрование стандартными средствами Windows 7, Mac OS X 10.7 и Ubuntu 12.04

Все современные десктопные ОС уже давно обзавелись встроенными утилитами для шифрования файлов и папок или целых дисков. Перед тем как рассматривать сторонние утилиты, лучше обратиться именно к ним, ибо они довольно просты в настройке и использовании, хотя и не обладают различными дополнительными функциями. В Windows 7 Ultimate и Enterprise есть функция шифрования томов под названием BitLocker . Для защиты системного диска она требует наличия модуля TPM, который установлен далеко не во всех ПК или ноутбуках, но для прочих томов он не требуется. Также в Windows 7 есть функция BitLocker To Go для защиты съёмных накопителей, которой тоже можно воспользоваться без аппаратного криптомодуля, а этого вполне достаточно для большинства пользователей.

Если у вас установлена подходящая версия Windows 7, то для задействования BitLocker (To Go) перейдите в панели управления к пункту «Шифрование диска BitLocker». Напротив соответствующего накопителя кликните по ссылке «Включить BitLocker». Выберите опцию разблокировки с помощью пароля и сохраните ключ восстановления (это просто текстовый файл) в безопасное место, например на флешку, которую вы не берёте с собой в дорогу. Через некоторое время, а это зависит от объёма накопителя и мощности ПК, процесс шифрования будет завершён.

При подключении зашифрованного тома вас каждый раз будут просить ввести пароль для доступа к данным, если вы не включите автоматическую разблокировку, а делать это не рекомендуется. Управлять параметрами зашифрованного тома можно всё в том же разделе «Шифрование диска BitLocker» панели управления. Если вы вдруг забыли пароль от BitLocker, то для расшифровки надо использовать 48-значный цифровой ключ восстановления — после его ввода том будет временно разблокирован.

В Windows 7, помимо BitLocker, есть ещё метод шифрования папок и файлов, а не томов, — шифрованная файловая система (EFS). Поддерживается во всех редакциях ОС, но в Starter и Home (Premium) можно только работать с уже зашифрованными папками и файлами, но не создавать их. Для работы EFS обязательно использование NTFS с отключённой опцией сжатия данных. Если ваша машина удовлетворяет этим требованиям, то можно приступать к настройке.

В панели управления переходим к параметрам учётных записей и кликаем по ссылке «Управление сертификатами шифрования файлов». Следуя подсказкам мастера, создаём новый самозаверяющий сертификат для ПК. Обязательно сохраняем его в надёжном месте и защищаем паролем. Это можно сделать и потом с помощью этого же мастера, но лучше не тянуть, ибо экспортируемый PFX-файл понадобится для экстренного восстановления данных. Если у вас уже были зашифрованные данные на диске, то для них надо обновить ключи.

Система EFS прозрачна для пользователя, то есть с файлами и папками можно работать как обычно. Но если попытаться открыть их в другой среде (ОС, ПК), то доступ к ним будет закрыт. Чтобы зашифровать файл или папку, достаточно в их свойствах нажать кнопку «Другие…» на вкладке «Общие» и поставить галочку «Шифровать содержимое для защиты данных». После применения изменений цвет имени зашифрованного элемента по умолчанию меняется на зелёный для лучшей визуальной идентификации защищённых данных.

Для расшифровки достаточно снять галочку в свойствах файла/папки. При попытке скопировать защищённые данные в неподходящие для этого места — на диск c FAT32, в сетевое хранилище и так далее — появится предупреждение, что данные будут расшифрованы и попадут туда в незащищённом виде. Для удобства работы с EFS можно добавить в контекстное меню проводника соответствующие пункты. Достаточно создать DWORD-параметр EncryptionContextMenu в ветке реестра HKEY_ LOCAL_ MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion \\Explorer \\Advanced \\ и выставить его значение в 1.

Для расшифровки данных на накопителе в случае недоступности машины, на которой они шифровались, нужна резервная копия сертификата и пароль к ней. Для импорта достаточно дважды кликнуть по pfx-файлу и следовать указаниям мастера. Если вы хотите в дальнейшем экспортировать данный сертификат для работы с данными на ещё одной машине, то отметьте эту опцию галочкой.

Сохранить импортируемый сертификат нужно в личном хранилище. После окончания процесса доступ к зашифрованным файлам и папкам будет открыт. Управлять личными сертификатами можно с помощью оснастки MMC — Win+R, certmgr.msc, Enter.

Ещё одна крайне полезная опция, а именно затирание свободного места на диске, доступна только с помощью командной строки. Ключ /W — очистка места, /E — шифрование, /D — расшифровка. Описание остальных параметров доступно во встроенной справке — ключ /?.

Cipher /W X:\\путь\\до\\любой\\папки\\на\\очищаемом\\диске

Mac OS X

Кратенько остановимся на возможностях защиты данных в «яблочных» компьютерах. В Mac OS X уже давно имеется встроенная система шифрования FileVault , а с версии 10.7 она позволяет защищать не только домашний каталог, но и сразу весь диск. Включить её можно в настройках системы в разделе «Защита и безопасность». Там же полезно будет отметить галочкой опцию защиты виртуальной памяти. При включении шифрования придётся задать мастер-пароль, если он ещё не задан, а также сохранить ключ восстановления. Для дальнейшей настройки следуйте указаниям мастера. Впрочем, более универсальный метод — это использование зашифрованных образов диска.


В дисковой утилите выберите «Новый образ» и в появившемся диалоге укажите имя файла и его местоположение, задайте имя диску и выберите размер. В качестве ФС вполне подойдёт журналируемая Mac OS Extended. Шифрование лучше выбрать AES-256. В списке «Разделы» оставьте выбор «Жёсткий диск», а в качестве формата укажите растущий пакет-образ. Осталось придумать или сгенерировать пароль для доступа, но не запоминать его в связке ключей для пущей безопасности, а каждый раз вводить вручную. При двойном клике по образу он подмонтируется с запросом пароля. После сохранения на нём важных данных не забудьте отмонтировать образ.


Ubuntu ещё на этапе установки предлагает зашифровать домашний каталог пользователя. Одновременно с этим шифруется и раздел подкачки, что приводит к невозможности использования спящего режима. Если же вы отказались от шифрования при установке, то придётся настроить все вручную. При этом от защиты swap-раздела можно отказаться, что естественным образом снижает безопасность. Более удобный и защищённый, но и более сложный в настройке вариант — шифрование всего диска сразу. Если вы хотите сделать это, то воспользуйтесь вот этой инструкцией . Мы же рассмотрим простой вариант с защитой home и, по желанию, swap. Для начала установим с помощью терминала необходимое ПО:

Sudo apt-get install ecryptfs-utils cryptsetup

Здесь есть один нюанс — чтобы зашифровать домашний каталог какого-нибудь пользователя, файлы в этом каталоге не должны быть открыты в какой-либо программе, а значит, пользователь должен выйти из системы. Для этого придётся создать ещё одну временную учётную запись с правами администратора. После создания оной выходим из системы и логинимся с новым аккаунтом.


От имени второго пользователя выполняем следующую команду, в которой username заменяем именем пользователя, чей домашний каталог мы будем шифровать. Преобразование файлов займёт некоторое время, так что наберитесь терпения.

Sudo ecryptfs-migrate-home -u username

После завершения операции выходим из системы и снова входим в неё под основной учётной записью. Теперь можно удалить временный аккаунт и все его файлы. Через несколько минут после входа появится предупреждение о том, что надо бы сохранить в надёжном месте случайно сгенерированный пароль для доступа к только что зашифрованным файлам на случай экстренного восстановления. Не забудьте это сделать.

Наконец, осталось удалить «старый» домашний каталог / home/имя_пользователя. XXXXXXXX , где XXXXXXXX — случайный набор букв.

Sudo rm -rf /home/username.XXXXXXXX

Для шифрования раздела подкачки достаточно выполнить одну-единственную команду, затем убедиться, что в / etc/ fstab закомментирована запись о старом swap-разделе, а в качестве нового указан /dev/mapper/cryptswap1 .

Sudo ecryptfs-setup-swap

⇡ Шифрование с помощью TrueCrypt

TrueCrypt — это открытое кроссплатформенное приложение для создания защищённых томов и работы с ними с шифрованием на лету. На практике это означает, что, во-первых, в расшифрованном виде данные находятся только в оперативной памяти. Во-вторых, что работа с криптоконтейнерами возможна в любой ОС. И в-третьих, что с довольно высокой степенью вероятности можно говорить об отсутствии каких-либо «закладок». Помимо этого TrueCrypt поддерживает инструкции AES-NI для ускорения (де-)шифрования. На самом деле возможности программы гораздо шире и все они хорошо описаны в руководстве, которое доступно с пакетом локализации (распакуйте содержимое архива в каталог с установленной программой). Поэтому мы рассмотрим простейший случай создания криптоконтейнера в среде Windows.



Итак, после установки запускаем утилиту, нажимаем кнопку «Создать том» и следуем советам мастера, так как выбранные по умолчанию параметры достаточно безопасны. Вручную потребуется задать лишь объём тома и пароль к нему. После монтирования контейнера он будет выглядеть в системе как обычный физический том, а значит, его можно форматировать, дефрагментировать и так далее.



Особенностью контейнеров TrueCrypt является то, что со стороны они выглядят как наборы случайных битов, и распознать, что в файле именно контейнер, теоретически невозможно. Обязательно следуйте советам по созданию надёжного пароля и сразу же сохраните его в безопасном месте. Дополнительной защитой является использование ключевых файлов любого типа, для которых также надо будет сделать резервную копию.



Осталось выбрать формат ФС (набор зависит от ОС), поводить мышью внутри окна и разметить том. На этом создание контейнера завершено.


Чтобы смонтировать том, надо нажать кнопку «Файл…», выбрать контейнер и букву диска, нажать «Смонтировать», ввести пароли и, если необходимо, выбрать ключевые файлы, а также указать прочие параметры. Теперь можно работать с данными так же, как если бы они находились на обычном логическом диске. Для отключения криптоконтейнера достаточно нажать кнопку «Размонтировать». В настройках программы также можно включить автоматическое размонтирование по таймеру/выходу из системы/запуску хранителя экрана, очистку кешей и прочие полезные функции.

Это достаточно простой и надёжный вариант хранения важной информации. Однако если вам требуется большая безопасность, то TrueCrypt позволяет создавать скрытые тома, шифровать диски и разделы, добавлять скрытый раздел с ещё одной ОС, настраивать «конвейер» из нескольких алгоритмов шифрования, защищать переносной диск, использовать токены и смарт-карты для авторизации, а также многое другое. Крайне рекомендуется прочитать в документации главу о требованиях безопасности и мерах предосторожности.

⇡ Безопасное удаление

Единственный надёжный способ гарантированно удалить данные — это физическое уничтожение накопителя, на котором они находятся. Для этого даже разработаны специальные процедуры, порой утончённо-извращённого садистского характера. А «виноваты» в этом различные технологии, которые используются в современных накопителях, — остаточная намагниченность, TRIM-операции, равномерное распределение нагрузки, журналирование и так далее. Суть их в целом сводится к тому, что данные зачастую помечаются как удалённые или готовые к удалению вместо того, чтобы быть действительно стёртыми. Поэтому были разработаны методики достаточно безопасного удаления остаточной информации , которые не столь радикальны, как полное уничтожение носителя.

Функция безопасной очистки диска присутствует во многих редакторах разделов. Для Windows есть множество подобных утилит, но мы остановимся на классической SDelete . Работа с ней осуществляется в режиме командной строки. Синтаксис довольно простой. Ключом -p задаётся число проходов перезаписи, с ключом -s (или -r) программа рекурсивно уничтожает всё содержимое папки, а передача ключа -c (или -z) очищает (забивает нулями) свободное место на указанном томе. В конце указывается путь до папки или файла. Например, для стирания нашего тома TrueCrypt и очистки диска выполним две команды:

C:\\sdelete.exe -p 26 C:\\exampletc C:\\sdelete.exe -c C:\\

В большинстве Linux-дистрибутивов есть утилита shred, которая выполняет те же функции, что и SDelete . У неё также есть несколько параметров, но для нас вполне достаточно знать три из них. Ключ -n задаёт число проходов перезаписи, -u удаляет файл, а -z в конце забивает использовавшееся место нулями. Пример работы:

Sudo shred -u -z -n 26 /home/dest/exampletc2

Программа shred имеет ряд ограничений в плане безопасного удаления, о чём честно предупреждает пользователя при запуске с ключом --help. Более эффективный набор утилит входит в пакет Secure-Delete. Установим его и рассмотрим пару встроенных программ. Утилита srm аналогична shred, но принимает чуть меньше параметров. Нам интересны ключи -r для рекурсивного удаления указанного каталога и вездесущий -z для заполнения пространства нулями. Также в пакете имеется утилита для затирания свободного места на диске с указанной папкой.

Sudo apt-get install secure-delete sudo srm -z /home/dest/exampletc3 sudo -z sfill /home/dest

Для Mac OS X есть всё тот же CCleaner с функцией зачистки свободного места, а также утилита srm, которая работает так же, как в Linux. В настройках Finder рекомендуется включить функцию безопасной очистки корзины. Она же доступна в контекстном меню корзины при нажатой клавише CMD.

Для SSD-накопителей и флешек лучше использовать низкоуровневое форматирование (см. ) или же процедуру Secure Erase, что может привести вас к потере гарантии на SDD. Для последнего случая подойдёт другой Live-дистрибутив для работы с разделами на диске — Parted Magic . Загрузитесь с него и выберите в главном меню System tools → Erase Disk. Для твердотельных накопителей выберите последний пункт Secure Erase, а для обычных HDD используйте метод nwipe, который является по сути тем же DBAN.

⇡ Заключение

Рассмотренного нами сочетания шифрования данных с последующим их безопасным удалением вполне достаточно для того, чтобы надёжно защитить конфиденциальную информацию. Естественно, стопроцентной защиты это никоим образом не гарантирует, но для простых пользователей риски утечки резко падают. А о «непростых смертных» позаботятся соответствующие службы. Ещё раз напоминаем о важности создания резервных копий вообще и перед шифрованием в частности, а также о минимизации объёма перемещаемых вместе с вами данных в стан вероятного противника и необходимости использования надёжных паролей с ключами вкупе с их резервированием. Ну и просто будьте всегда внимательны. Удачи!



Похожие публикации