Русская Википедия:Шифрование диска

Шифрование диска — технология защиты информации, переводящая данные на диске в нечитаемый код, который нелегальный пользователь не сможет легко расшифровать. Для шифрования диска используется специальное программное или аппаратное обеспечение, которое шифрует каждый бит хранилища.

Выражение Шаблон:Lang-en2 обычно означает, что всё на диске находится в зашифрованном виде, в том числе и загрузочные системные разделы.

Классификация

На рынке есть множество реализаций полного шифрования диска, они могут очень сильно различаться по возможностям и защищённости, их можно разделить на программные и аппаратныеШаблон:Sfn. Аппаратные, в свою очередь, можно разделить на те, что реализованы в самом устройстве хранения, и другие, например адаптер шины^[1].

Аппаратно реализованные системы полного шифрования внутри диска называются самошифрующимися (Шаблон:Lang-en). В отличие от программно-реализованного FDE, SED более производительный.Шаблон:Sfn Более того, ключ шифрования никогда не покидает устройства, а значит, недоступен вирусам в операционной системе^[2].

Для самошифрующихся дисков существует Trusted Computing Group(англ.) Opal Storage Specification (OPAL)(англ.), которая предоставляет принятые в отрасли стандарты.

Прозрачное шифрование

Прозрачное шифрование (Шаблон:Lang-en2), также называемое шифрованием в реальном времени (Шаблон:Lang-en2) или шифрованием на лету (Шаблон:Lang-en2), — это метод, использующий какое-нибудь программное обеспечение для шифрования диска.Шаблон:Sfn Слово «прозрачный» означает, что данные автоматически зашифровываются или расшифровываются при чтении или записи, для чего обычно требуется работа с драйверами, для установки которых нужны специальные права доступа. Однако некоторые FDE после установки и настройки администратором позволяют обычным пользователям шифровать дискиШаблон:Sfn.

Существует несколько способов организации прозрачного шифрования: шифрование разделов и шифрование на уровне файлов. Примером первого может быть шифрование всего диска, второго — шифрованная файловая система (EFS). В первом случае вся файловая система на диске находится в зашифрованном виде (названия папок, файлов, их содержимое и метаданные), и без корректного ключа нельзя получить доступ к данным. Во втором шифруются только данные выбранных файлов^[3].

Шифрование диска и шифрование на уровне файловой системы

Шифрование на уровне файловой системы (Шаблон:Lang-en2) (англ.) — процесс шифрования каждого файла в хранилище. Доступ к зашифрованным данным можно получить только после успешной аутентификации. Некоторые операционные системы имеют собственные приложения для FLE, при этом доступно и множество реализаций от сторонних разработчиков. FLE прозрачно, это значит, что каждый, кто имеет доступ к файловой системе, может просматривать названия и метаданные зашифрованных файлов, которыми может воспользоваться злоумышленникШаблон:Sfn.

Шифрование на уровне файловой системы отличается от полного шифрования диска. FDE защищает данные до тех пор, пока пользователь не пройдёт загрузку, так что в случае утраты или кражи диска данные будут для злоумышленника недоступны, если же во время работы диск расшифрован и злоумышленник получил доступ к компьютеру, то он получает доступ ко всем файлам в хранилище. FLE же защищает до тех пор, пока пользователь не пройдёт аутентификацию для конкретного файла, при работе с одним файлом остальные всё так же зашифрованы, поэтому FLE может быть использован вместе с полным шифрованием для большей безопасностиШаблон:Sfn.

Ещё одно важное отличие заключается в том, что FDE автоматически шифрует все данные на диске, в то время как FLE не защищает данные вне зашифрованных файлов и папок, поэтому временные и swap-файлы могут содержать незашифрованную информацию^[4].

Шифрование диска и Trusted Platform Module

Trusted Platform Module (TPM) — это безопасный криптопроцессор, встроенный в материнскую плату, который может быть использован для аутентификации аппаратных устройств. Так же он может хранить большие двоичные данные, например секретные ключи, и связывать их с конфигурацией целевой системы, в результате чего они будут зашифрованы, и расшифровать их можно будет только на выбранном устройствеШаблон:Sfn.

Есть как FDE, использующие TPM, например BitLocker, так и те, которые не поддерживают работу с ним, например TrueCrypt Шаблон:Sfn.

Полное шифрование и главная загрузочная запись

При установке программно реализованного FDE на загрузочный диск операционной системы, которая использует главную загрузочную запись (Шаблон:Lang-en2), FDE должен перенаправлять MBR на специальную предзагрузочную среду (Шаблон:Lang-en2), для осуществления предзагрузочной аутентификации (Шаблон:Lang-en2). Только после прохождения PBA будет расшифрован загрузочный сектор операционной системы. Некоторые реализации предоставляют возможность PBA по сетиШаблон:Sfn.

Однако изменение процесса загрузки может привести к проблемам. Например, это может помешать осуществлению мультизагрузки или привести к конфликту с программами, которые обычно сохраняют свои данные в дисковое пространство, где, после установки FDE, будет расположена PBE. Также это может помешать пробуждению по сигналу из локальной сети, так как перед загрузкой требуется PBA. Некоторые реализации FDE можно настроить так, чтобы они пропускали PBA, но это создаёт дополнительные уязвимости, которыми может воспользоваться злоумышленник. Данных проблем не возникает при использовании самошифрующихся дисковШаблон:Sfn. В свою очередь, это не означает преимущество самошифрующихся дисков над остальными накопителями. Для сохранения мультизагрузки операционных систем разных семейств, необязательно настраивать программный процесс шифрования до инсталляции операционной системы: полное шифрование диска с сохранением мультизагрузки возможно применить при уже установленных системах.^[5]

Механизмы восстановления пароля/данных

Для систем шифрования дисков необходимы безопасные и надёжные механизмы восстановления данных. Реализация должна предоставлять простой и безопасный способ восстановления паролей (наиболее важную информацию) в случае, если пользователь его забудет.

Большинство реализаций предлагают решения на основе пароля пользователя. К примеру, если есть защищённый компьютер, то он может отправить пользователю, забывшему пароль, специальный код, который он потом использует для доступа к сайту восстановления данных. Сайт задаст пользователю секретный вопрос, на который пользователь ранее давал ответ, после чего ему будет выслан пароль или одноразовый код восстановления данных. Это также может быть реализовано обращением к службе поддержкиШаблон:Sfn.

Другие подходы к восстановлению данных, как правило, сложнее. Некоторые FDE предоставляют возможность самому без обращения к службе поддержки восстановить данные. Например, используя смарт-карты или криптографические токены. Также есть реализации, поддерживающие локальный механизм восстановления данных «вопрос-ответ»^[6]. Но такие подходы уменьшают защищённость данных, поэтому многие компании не разрешают использовать их. Утрата аутентификатора может привести к потере доступа к данным или к доступу злоумышленника к нимШаблон:Sfn.

Проблемы безопасности

Большинство программно реализованных систем полного шифрования уязвимы для атаки методом холодной перезагрузки, посредством которого ключи могут быть украденыШаблон:Sfn. Атака основана на том, что данные в оперативной памяти могут сохраняться до нескольких минут после выключения компьютера. Время сохранения можно увеличить охлаждением памятиШаблон:Sfn. Системы, использующие TPM, тоже неустойчивы к такой атаке, так как ключ, необходимый операционной системе для доступа к данным, хранится в оперативной памятиШаблон:Sfn.

Программные реализации также сложно защитить от аппаратных кейлогеров. Есть реализации, способные их обнаружить, но они аппаратно зависимыШаблон:Sfn.

См. также

Примечания

Шаблон:Примечания

Литература

Ссылки

Guide to storage encryption technologies for end user devices Шаблон:Ref-en

Шаблон:Криптография

↑ Maxcrypto Techbrief
↑ Ошибка цитирования Неверный тег <ref>; для сносок How to break Hardware-based Full Disk Encryption_1 не указан текст
↑ Ошибка цитирования Неверный тег <ref>; для сносок Коротин_62 не указан текст
↑ Ошибка цитирования Неверный тег <ref>; для сносок Guide3_5_3_6 не указан текст
↑ Шаблон:Cite web
↑ «Symantec: How Wholedisk Encryption Works, p. 3»

[1] Maxcrypto Techbrief

[How_to_break_Hardware-based_Full_Disk_Encryption_1-2] Ошибка цитирования Неверный тег <ref>; для сносок How to break Hardware-based Full Disk Encryption_1 не указан текст

[Коротин_62-3] Ошибка цитирования Неверный тег <ref>; для сносок Коротин_62 не указан текст

[Guide3_5_3_6-4] Ошибка цитирования Неверный тег <ref>; для сносок Guide3_5_3_6 не указан текст

[5] Шаблон:Cite web

[6] «Symantec: How Wholedisk Encryption Works, p. 3»

[1]

[2]

[3]

[4]

[5]

[6]

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.