Шифрования данных в ОС Windows, Mac OS и Linux встроенными методами
В настоящее время гарантировать конфиденциальность информации на корпоративных и частных компьютерах или облачных сервисах почти невозможно. Для защиты данных считается хорошей практикой использовать шифрование, но гарантию не даёт ни одна компания, ни один метод. Взломать любую защиту можно, но вопрос стоит в том, сколько времени и ресурсов для этого потребуется. Это значит, что можно создать хорошую защиту данных, с которой взламывать их будет попросту не выгодно. Шифрование бывает симметричное и асимметричное, и отличается количеством ключей используемых для шифрования и дешифрования. Симметричное шифрование использует один ключ, асимметрическое шифрования два ключа: один ключ для кодирования (открытый) и один для декодирования (закрытый). В большинстве случаев все методы шифрования на ПК сводятся к созданию отдельного виртуального тома, образа дисков или отдельного файла со своим расширением.
Если ценность информации не критична, ее можно скрыть от посторонних или поставить пароль пользователя на вход в систему и настроить права доступов для папок и файлов.
EFS работает, шифруя каждый файл с помощью алгоритма симметричного шифрования, зависящего от версии операционной системы и настроек (начиная с Windows XP доступна теоретическая возможность использования сторонних библиотек для шифрования данных). При этом используется случайно сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK), выбор симметричного шифрования на данном этапе объясняется его скоростью по отношению к асимметричному шифрованию.
FEK (случайный для каждого файла ключ симметричного шифрования) защищается путём асимметричного шифрования, использующего открытый ключ пользователя, шифрующего файл, и алгоритм RSA (теоретически возможно использование других алгоритмов асимметричного шифрования). Зашифрованный таким образом ключ FEK сохраняется в альтернативном потоке $EFS файловой системы NTFS. Для расшифрования данных драйвер шифрованной файловой системы прозрачно для пользователя расшифровывает FEK, используя закрытый ключ пользователя, а затем и необходимый файл с помощью расшифрованного файлового ключа.
Поскольку шифрование/расшифрование файлов происходит с помощью драйвера файловой системы (по сути, надстройки над NTFS), оно происходит прозрачно для пользователя и приложений. Стоит заметить, что EFS не шифрует файлы, передаваемые по сети, поэтому для защиты передаваемых данных необходимо использовать другие протоколы защиты данных (IPSec или WebDAV).
Шифрование диска
Почти все популярные дистрибутивы позволяют зашифровать жесткий диск на этапе установки операционной системы. Такое шифрование делает извлечение данных с диска почти невозможной задачей (при достаточно длинном пароле), но имеет один существенный недостаток: падение производительности операций ввода-вывода, которое может достигать сотен и тысяч процентов.
Минимизировать проседание производительности можно, если зашифровать только раздел /home (на котором и находятся твои данные), а саму систему оставить незашифрованной. По факту многие дистрибутивы предлагают такой вариант по умолчанию, но он тоже не идеален: ноутбук будет жрать дополнительные ресурсы просто при просмотре сохраненного на диск фильма, а если ты занимаешься разработкой ПО или просто часто собираешь софт из исходников — готовься к существенному замедлению.
Но и из этой ситуации есть выход. Системы EncFS и CryFS используют механизм FUSE, чтобы создать зашифрованную виртуальную ФС поверх основной. С их помощью ты можешь зашифровать любой отдельно взятый каталог, без необходимости выделять специальный контейнер заранее определенного размера и с возможностью синхронизации каталога с Dropbox и другими подобными сервисами.
Обе файловые системы используют алгоритм AES-256 в режиме GCM, но отличаются в реализации. EncFS шифрует каждый файл по отдельности и поэтому скрывает лишь содержимое файлов и их названия, но никак не препятствует получению информации о структуре каталогов и размере файлов. Другими словами: если кому-то потребуется доказать, что ты хранишь архив детского порно, скачанный из даркнета, — он сможет это сделать.
CryFS защищает от подобных рисков. Зашифрованный с ее помощью каталог выглядит как плоское файловое дерево с кучей каталогов и файлов одинакового размера. Однако CryFS никогда не подвергалась независимому аудиту, который был произведен в отношении EncFS. Если тебя это останавливает — используй EncFS, если же ты не веришь ни тому, ни другому — можешь вооружиться VeraCrypt или другим «классическим» инструментом шифрования, использующим контейнер заранее заданного размера, который нельзя выложить в Dropbox без синхронизации всех зашифрованных данных при малейшем изменении.
Использовать EncFS и CryFS крайне просто. Достаточно установить пакет, а затем выполнить операцию монтирования:
В данном случае мы подключаем зашифрованный каталог
/crypto . Все файлы, записанные в последний, появятся в первом в зашифрованном виде.
В этот каталог можно сложить все ценные данные: сканы паспорта, ключи GPG, рабочие каталоги криптокошельков, базы паролей и так далее. Подключать его придется вручную после каждой загрузки, а после использования лучше сразу отключать:
Содержимое каталога, зашифрованного с помощью CryFS
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Евгений Зобнин
Редактор рубрики X-Mobile. По совместительству сисадмин. Большой фанат Linux, Plan 9, гаджетов и древних видеоигр.
Утилита Cryptsetup
Утилита Cryptsetup позволят облегчить шифрование раздела Linux с помощью модуля dm-crypt. Давайте сначала ее установим.
В Debian или Ubuntu, для этого используйте такую команду:
suduo apt install cryptsetup
В дистрибутивах, основанных на Red Hat это будет выглядеть так:
sudo yum install cryptsetup-luks
Синтаксис запуска команды такой:
$ cryptsetup опции операция параметры_операции
Рассмотрим основные операции, которые можно сделать с помощью этой утилиты:
- luksFormat – создать зашифрованный раздел luks linux;
- luksOpen – подключить виртуальное устройство (нужен ключ);
- luksClose – закрыть виртуальное устройство luks linux;
- luksAddKey – добавить ключ шифрования;
- luksRemoveKey – удалить ключ шифрования;
- luksUUID – показать UUID раздела;
- luksDump – создать резервную копию заголовков LUKS.
Параметры операции зависят от самой операции, обычно это либо физическое устройство, с которым нужно произвести действие, либо виртуальное или и то и другое. Еще не все понятно, но на практике, я думаю, вы со всем разберетесь.
⇡#Настройка EncFS в Windows
Для начала договоримся, что у нас уже установлен Dropbox на всех машинах и во всех ОС. Самый простой способ воспользоваться шифрованием — установить утилиты BoxCryptor для Windows XP/Vista/7. При первом запуске она определит наличие Dropbox и предложит хранить секретные данные именно в нём. Согласимся, нажав кнопку Yes.
Затем откроется окно настроек, где можно поменять расположение папки с зашифрованными данными и где необходимо указать букву логического диска, куда будет монтироваться EncFS.
После этого надо дважды ввести пароль для доступа к данным. На этом настройка закончена. Можно работать с новым виртуальным диском точно так же, как и с обычным, — копировать файлы, редактировать их, создавать папки и так далее. При выключении программы том будет автоматически размонтирован.
В бесплатной версии BoxCryptor можно создать логический том объёмом не более двух гигабайт, то есть ровно столько, сколько по умолчанию предоставляет Dropbox.
На данный момент BoxCryptor поддерживает только алгоритм AES 256-bit и не может шифровать имена файлов и папок, а также не поддерживает ряд других возможностей EncFS. В принципе, даже того уровня безопасности, который предоставляет эта утилита, должно хватать обычным пользователям.
Пример файла до и после шифрования
Альтернативный проект без ограничений по объёму шифруемых данных называется encfs4win. Как и BoxCryptor, он использует аналог FUSE под Windows Dokan (его надо будет скачать и установить) для монтирования сторонних ФС. Скачайте архив с программой и распакуйте его, например, в C:Program Files, а затем запустите encfsw.exe. В трее появится иконка с ключиком, по которой надо кликнуть правой кнопкой и выбрать в меню пункт Open/Create. Если у вас уже есть зашифрованная папка, то нужно будет указать путь до неё, а затем выбрать букву тома, куда будет монтироваться EncFS, и ввести пароль.
Создание нового тома происходит аналогичным образом. Выбираем Open/Create, указываем папку для шифрования, выбираем букву диска и дважды вводим пароль. Учтите, что при включении Set paranoia mode свежесозданный раздел не будет работать с BoxCryptor. После добавления или создания томов в том же меню появляются пункты для быстрого монтирования и размонтирования томов. В нём же можно поставить галочку Start at login, чтобы encfs4win автоматически запускалась при входе в систему.
Сегодня мы переключаем наше внимание на методы шифрования и предлагаем вам список лучших программ для шифрования файлов и дисков для вашей Linux-машины.
1. Tomb
Tomb – это бесплатный инструмент с открытым исходным кодом для простого шифрования и резервного копирования файлов в системах GNU / Linux.
Он состоит из простого скрипт оболочки, который реализует стандартные инструменты GNU наряду с cryptsetup и LUKS (криптографический API ядра Linux).
Целью Tomb является повышение безопасности путем принятия нескольких проверенных стандартов и реализаций, применения передовых методов хранения ключей и минималистического дизайна, состоящего из краткого читаемого кода.
Узнайте больше о программном обеспечении для шифрования Tomb из нашего обзора по этой ссылке:
2. Cryptmount
Cryptmount – это утилита с открытым исходным кодом, созданная для операционных систем GNU / Linux и позволяющая пользователям монтировать зашифрованные файлы без прав пользователя root.
Он работает с использованием более нового механизма devmapper, который предлагает несколько преимуществ, в том числе улучшенную функциональность в ядре, поддержку зашифрованных разделов подкачки для суперпользователей, поддержку крипто-подкачки при загрузке системы, хранение нескольких зашифрованных файловых систем на одном диске и т. д.
Мы уже рассматривали его в нашем обзоре:
3. CryFS
CryFS – это бесплатный облачный инструмент шифрования с открытым исходным кодом для безопасного хранения файлов в любом месте.
Его легко настроить, он работает в фоновом режиме и прекрасно работает с любым популярным облачным сервисом.
CryFS гарантирует, что никакие данные, включая структуру каталогов, метаданные и содержимое файлов, не оставят ваш компьютер в незашифрованном формате.
4. GnuPG
GnuPG, часто называемая GPG, означает GNU Privacy Guard и представляет собой бесплатную коллекцию криптографических инструментов с открытым исходным кодом, созданную в качестве замены пакета криптографического программного обеспечения Symantec PGP.
Он соответствует требованиям стандартов IETF OpenPGP и RFC 4889.
Мы рассмотрели GPG здесь немного подробнее.
5. VeraCrypt
VeraCrypt – это многоплатформенный, бесплатный инструмент с открытым исходным кодом, созданный для предоставления пользователям возможности оперативного шифрования.
Вы можете использовать его для шифрования целых устройств хранения или только выбранных разделов с использованием предварительной загрузки.
Функции VeraCrypt включают в себя возможность создавать виртуальные зашифрованные диски и монтировать их, как если бы они были реальными, обеспечивать правдоподобное отрицание, конвейеризацию и распараллеливание и т. д.
6. EncFS
EncFS – это бесплатный и в основном инструмент с открытым исходным кодом для монтирования папок EncFS на Mac и Windows.
Вы можете использовать его для создания, редактирования, изменения и экспорта пароля папок EncFS, и он на 100% совместим с EncFS 1.7.4 на платформах GNU / Linux.
7. 7-zip
7-zip – популярная, бесплатная многоплатформенная утилита архивирования файлов для сжатия файлов (или групп файлов) в контейнеры, называемые архивами.
7-zip является одной из самых популярных утилит архивирования благодаря высокой степени сжатия в формате 7z, среди которых есть компрессия сжатия LZMA и LZMA2, плагин для менеджера FAR, интеграция с Windows Shell, шифрование AES-256 в форматах 7z и ZIP, а также другие функции.
8. dm-crypt
dm-crypt – это подсистема шифрования диска для шифрования дисков, разделов и переносимых контейнеров.
Он был создан для решения определенных проблем с надежностью в cryptoloop и может использоваться для резервного копирования нескольких типов томов.
9. ecryptfs
eCryptfs – это бесплатная коллекция программного обеспечения для шифрования дисков в Linux с открытым исходным кодом.
Она призвана отразить функциональность GnuPG путем реализации POSIX-совместимого уровня шифрования на уровне файловой системы и является частью ядра Linux с момента выпуска версии 2.6.19.
ecryptfs хорош, потому что вы можете использовать его для шифрования каталогов и разделов, независимо от их базовой файловой системы.
10. cryptsetup
cryptsetup – это утилита с открытым исходным кодом, созданная для того, чтобы пользователи могли легко шифровать файлы на основе модуля ядра DMCrypt с акцентом на дизайн LUKS.
LUKS расшифровывается как Linux Unified Key Setup и с тех пор стал стандартом для шифрования жесткого диска Linux благодаря его способности облегчать дистрибутивную совместимость, беспрепятственную передачу и / или миграцию данных, а также безопасное управление паролями нескольких пользователей.
Материалы по теме:
Насколько полезны инструменты шифрования для вас и какие утилиты вы предпочитаете использовать?
Не стесняйтесь оставлять свои комментарии, вопросы и предложения ниже.
Портативный режим и FreeOTFE Explorer [ править ]
FreeOTFE может использоваться в «портативном режиме», который позволяет хранить программу на USB флеш-накопителе или другом портативном устройстве вместе с зашифрованными данными. Это позволяет монтировать разделы и получать доступ к зашифрованным данным через виртуальный диск без установки полной программы. Использование этого режима требует установки драйвера для создания виртуального диска, и как следствие необходимы права администратора.
FreeOTFE Explorer позволяет зашифрованным дискам использоваться без установки драйвера и без прав администратора.
FreeOTFE Explorer не обеспечивает шифрование «на лету», а работает как архиватор, позволяя файлам быть сохраненными и извлечёнными из зашифрованных образов диска.
EFS работает, шифруя каждый файл с помощью алгоритма симметричного шифрования, зависящего от версии операционной системы и настроек (начиная с Windows XP доступна теоретическая возможность использования сторонних библиотек для шифрования данных). При этом используется случайно сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK), выбор симметричного шифрования на данном этапе объясняется его скоростью по отношению к асимметричному шифрованию.
FEK (случайный для каждого файла ключ симметричного шифрования) защищается путём асимметричного шифрования, использующего открытый ключ пользователя, шифрующего файл, и алгоритм RSA (теоретически возможно использование других алгоритмов асимметричного шифрования). Зашифрованный таким образом ключ FEK сохраняется в альтернативном потоке $EFS файловой системы NTFS. Для расшифрования данных драйвер шифрованной файловой системы прозрачно для пользователя расшифровывает FEK, используя закрытый ключ пользователя, а затем и необходимый файл с помощью расшифрованного файлового ключа.
Поскольку шифрование/расшифрование файлов происходит с помощью драйвера файловой системы (по сути, надстройки над NTFS), оно происходит прозрачно для пользователя и приложений. Стоит заметить, что EFS не шифрует файлы, передаваемые по сети, поэтому для защиты передаваемых данных необходимо использовать другие протоколы защиты данных (IPSec или WebDAV).
Шифрование данных в Linux встроенными методами.
В операционных системах Linux существует возможность зашифровать раздел диска с использованием LUKS. Это спецификация шифрования дисков, предназначавшаяся для Linux, созданная Clemens Fruhwirth. В Windows зашифрованные диски LUKS можно использовать в программе FreeOTFE. Для монтирования раздела достаточно запустить его из менеджера файлов, как и демонтировать, при монтировании запрашивает пароль доступа.
Для работы в графическом формате с LUKS в Linux прежде всего нам понадобится файловый менеджер с пакетом gnome-disk-utility (управления разделами, S.M.A.R.T. мониторинг, тестирование и программный RAID).
Далее нам понадобится:
- Отформатировать раздел и указать тип форматирования с шифрованием LUKS;
Для использования нужно подключить диск и ввести правильный пароль.
Из минусов можно выделить только поддержку LUKS до восьми паролей. Это значит, что только восемь пользователей с разными паролями могут иметь доступ к устройству.
CryptKeeper
В операционных системах Linux также можно установить утилиту CryptKeeper, которая в графическом виде выполнит шифрование папки используя возможности EncFS. Программу можно установить с официального репозитория.
Установив, она станет доступна в главном меню, сразу после вызова она появится на панели.
Для защиты доступа к папке паролем нужно:
- Нажать New encrypted folder;
- В открывшемся окне нужно указать путь и имя папки нажать «Forward» и придумать пароль.
Интерфейс окна CryptKeeper
Папка в окне всплывающего меню CryptKeeper
Вновь созданную папку можно найти на панели, в меню программы. Для доступа к ней нужно ввести правильный пароль. Она будет подключена как раздел диска. Для блокирования, снимите галочку в том же всплывающем меню программы.
Какой бы метод вы не использовали, главное не теряйте пароль, потому что вы попросту не сможете получить доступ к своим данным. Что в конечном итоге приведет к потере информации, так как без ключа это будет бессмысленный набор единиц и нулей.
