Το TrueCrypt δεν υποστηρίζεται πλέον, αλλά το dm-crypt και το LUKS είναι μια εξαιρετική επιλογή ανοιχτού κώδικα για κρυπτογράφηση και χρήση κρυπτογραφημένων δεδομένων.

Η ασφάλεια των δεδομένων έχει γίνει μια από τις μεγαλύτερες ανησυχίες μεταξύ των χρηστών του Διαδικτύου. Οι ειδήσεις για κλοπή δεδομένων από ιστότοπους έχουν γίνει πολύ συνηθισμένες, αλλά η προστασία των δεδομένων σας δεν είναι ευθύνη μόνο των ιστότοπων, υπάρχουν πολλά που μπορούμε, ως τελικοί χρήστες, να κάνουμε για τη δική μας ασφάλεια. Για παράδειγμα, μερικά μόνο παραδείγματα είναι η χρήση ισχυρών κωδικών πρόσβασης, η κρυπτογράφηση των σκληρών δίσκων που βρίσκονται στους υπολογιστές μας και η χρήση ασφαλών συνδέσεων. Συγκεκριμένα, η κρυπτογράφηση του σκληρού δίσκου είναι ένας καλός τρόπος για να διασφαλιστεί η ασφάλεια - όχι μόνο θα σας προστατεύσει από τυχόν Trojans που προσπαθούν να υποκλέψουν τα δεδομένα σας μέσω του δικτύου, αλλά και από φυσικές επιθέσεις.

Τον Μάιο του τρέχοντος έτους, η ανάπτυξη της εφαρμογής TrueCrypt, ενός γνωστού εργαλείου ανοιχτού κώδικα για κρυπτογράφηση δίσκου, σταμάτησε. Όπως πολλοί από εσάς γνωρίζετε, ήταν ένα από τα πολύ αξιόπιστα εργαλεία για την κρυπτογράφηση μονάδων δίσκου. Είναι λυπηρό να βλέπουμε ένα εργαλείο αυτού του διαμετρήματος να εξαφανίζεται, αλλά είναι τέτοιο το μεγαλείο του κόσμου ανοιχτού κώδικα που υπάρχουν πολλά άλλα εργαλεία ανοιχτού κώδικα που μπορούν να σας βοηθήσουν να επιτύχετε ασφάλεια με την κρυπτογράφηση δίσκου, τα οποία έχουν επίσης πολλές ρυθμίσεις διαμόρφωσης. Θα εξετάσουμε δύο από αυτά - dm-crypt και LUKS - ως εναλλακτική λύση στο TrueCrypt για την πλατφόρμα Linux. Ας ξεκινήσουμε με μια γρήγορη ματιά στο dm-crypt και μετά στο LUKS.

Αυτές είναι βασικές πληροφορίες σχετικά με μια συσκευή που χρησιμοποιεί LUKS, η οποία υποδεικνύει ποια κρυπτογράφηση χρησιμοποιείται, τη λειτουργία κρυπτογράφησης, τον αλγόριθμο κατακερματισμού και άλλα κρυπτογραφικά δεδομένα.

Πόροι

Βήμα 01:Λαμβάνοντας υπόψη το Dm-crypt

Το όνομα της εφαρμογής dm-crypt είναι σύντομο για το device mapper-crypt (κρυπτογράφηση κατά τη χαρτογράφηση μιας συσκευής). Όπως υποδηλώνει το όνομα, βασίζεται στη χαρτογράφηση συσκευών, ένα πλαίσιο πυρήνα Linux που έχει σχεδιαστεί για να αντιστοιχίζει συσκευές μπλοκ σε συσκευές εικονικού μπλοκ υψηλότερου επιπέδου. Κατά τη χαρτογράφηση συσκευών, μπορείτε να χρησιμοποιήσετε διάφορες λειτουργίες του πυρήνα, όπως dm-cache (δημιουργεί υβριδικούς τόμους), dm-verity (σχεδιασμένο για έλεγχο της ακεραιότητας των μπλοκ, είναι μέρος του Chrome OS) και επίσης το πολύ δημοφιλές Docker. Για κρυπτογραφικούς σκοπούς, το dm-crypt χρησιμοποιεί το πλαίσιο Linux Kernel Crypto API.

Έτσι, για να συνοψίσουμε, η εφαρμογή dm-crypt είναι ένα υποσύστημα κρυπτογράφησης σε επίπεδο πυρήνα που προσφέρει διαφανή κρυπτογράφηση δίσκου: αυτό σημαίνει ότι τα αρχεία είναι διαθέσιμα αμέσως μετά την προσάρτηση του δίσκου - δεν υπάρχει ορατή καθυστέρηση για τον τελικό χρήστη. Για να κρυπτογραφήσετε χρησιμοποιώντας dm-crypt, μπορείτε απλώς να καθορίσετε έναν από τους συμμετρικούς κρυπτογράφησης, τη λειτουργία κρυπτογράφησης, το κλειδί (οποιοδήποτε μέγεθος επιτρέπεται), τη λειτουργία παραγωγής IV και, στη συνέχεια, να δημιουργήσετε μια νέα συσκευή μπλοκ στο /dev. Τώρα, κατά την εγγραφή σε αυτήν τη συσκευή, θα πραγματοποιείται κρυπτογράφηση και κατά την ανάγνωση, θα αποκρυπτογραφηθεί. Μπορείτε να προσαρτήσετε ένα σύστημα αρχείων σε αυτήν τη συσκευή ως συνήθως ή μπορείτε να χρησιμοποιήσετε τη συσκευή dm-crypt για να δημιουργήσετε άλλες κατασκευές, όπως έναν τόμο RAID ή LVM. Ο πίνακας αντιστοίχισης για το dm-crypt έχει οριστεί ως εξής:

Εδώ, η τιμή του τομέα έναρξης είναι συνήθως 0, η τιμή του μεγέθους είναι το μέγεθος της συσκευής σε τομείς και το όνομα προορισμού είναι το όνομα που θέλετε να δώσετε στην κρυπτογραφημένη συσκευή. Ο πίνακας αντιστοίχισης στόχων αποτελείται από τις ακόλουθες ενότητες:

[<#opt_params> ]

Βήμα 02:Λαμβάνοντας υπόψη το LUKS

Όπως είδαμε στο προηγούμενο βήμα, η εφαρμογή dm-crypt μπορεί από μόνη της να κρυπτογραφήσει/αποκρυπτογραφήσει δεδομένα. Αλλά έχει μερικά μειονεκτήματα - εάν χρησιμοποιείτε απευθείας το dm-crypt, δεν θα δημιουργήσει μεταδεδομένα στο δίσκο και αυτό μπορεί να είναι μεγάλο πρόβλημα εάν θέλετε να διασφαλίσετε τη συμβατότητα μεταξύ διαφορετικών διανομών Linux. Επίσης, η εφαρμογή dm-crypt δεν υποστηρίζει τη χρήση πολλαπλών κλειδιών, ενώ σε πραγματικές καταστάσεις είναι πολύ σημαντική η χρήση πολλαπλών κλειδιών.

Για αυτούς τους λόγους γεννήθηκε η μεθοδολογία LUKS (Linux Unified Key Setup). Το LUKS είναι το πρότυπο για την κρυπτογράφηση σκληρού δίσκου στο Linux και η τυποποίηση επιτρέπει τη συμβατότητα μεταξύ των διανομών. Υποστηρίζονται επίσης πολλά κλειδιά και φράσεις πρόσβασης. Ως μέρος αυτής της τυποποίησης, μια κεφαλίδα LUKS προστίθεται στα κρυπτογραφημένα δεδομένα και αυτή η κεφαλίδα περιέχει όλες τις απαραίτητες πληροφορίες για τη διαμόρφωση. Όταν υπάρχει μια τέτοια κεφαλίδα με δεδομένα, τότε οι χρήστες μπορούν εύκολα να μεταβούν σε οποιαδήποτε άλλη διανομή. Το έργο dm-crypt συνιστά επί του παρόντος τη χρήση του LUKS ως τον προτιμώμενο τρόπο ρύθμισης κρυπτογράφησης δίσκου. Ας ρίξουμε μια ματιά στον τρόπο εγκατάστασης του βοηθητικού προγράμματος cryptsetup και πώς να το χρησιμοποιήσετε για τη δημιουργία τόμων που βασίζονται στο LUKS.

Βήμα 03:Εγκατάσταση

Η λειτουργικότητα σε επίπεδο πυρήνα που χρησιμοποιεί το dm-crypt είναι ήδη διαθέσιμη σε όλες τις διανομές Linux. χρειαζόμαστε μόνο μια διεπαφή μαζί τους. Θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα cryptsetup, το οποίο σας επιτρέπει να δημιουργείτε τόμους χρησιμοποιώντας dm-crypt, το πρότυπο LUKS και την παλιά καλή εφαρμογή TrueCrypt. Για να εγκαταστήσετε το cryptsetup σε διανομές Debian/Ubuntu, μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές:

Ενημέρωση $ sudo apt-get $ sudo apt-get εγκατάσταση cryptsetup

Η πρώτη εντολή συγχρονίζει τα αρχεία ευρετηρίου πυραύλων με τα περιεχόμενα των αποθετηρίων τους: λαμβάνει πληροφορίες για τις πιο πρόσφατες εκδόσεις όλων των διαθέσιμων πακέτων. Η δεύτερη εντολή θα πραγματοποιήσει λήψη και εγκατάσταση του πακέτου cryptsetup στον υπολογιστή σας. Εάν χρησιμοποιείτε τη διανομή RHEL/Fedora/CentOS, μπορείτε να χρησιμοποιήσετε την εντολή yum για να εγκαταστήσετε το βοηθητικό πρόγραμμα cryptsetup.

$ yum εγκατάσταση cryptsetup-luks

Βήμα 04:Δημιουργία αρχείου στόχου

Τώρα που το βοηθητικό πρόγραμμα cryptsetup εγκαταστάθηκε με επιτυχία, πρέπει να δημιουργήσουμε ένα αρχείο προορισμού που θα περιέχει το κοντέινερ LUKS. Αν και υπάρχουν πολλοί τρόποι δημιουργίας ενός τέτοιου αρχείου, πρέπει να πληρούνται ορισμένες προϋποθέσεις κατά τη δημιουργία του:

• Το αρχείο δεν πρέπει να αποτελείται από πολλά μέρη που βρίσκονται σε διαφορετικά σημεία του δίσκου, δηλαδή, κατά τη δημιουργία του, θα πρέπει να διαθέσετε αμέσως επαρκή ποσότητα μνήμης για αυτό.
• Ολόκληρο το αρχείο πρέπει να είναι γεμάτο με τυχαία δεδομένα, έτσι ώστε κανείς να μην μπορεί να πει πού θα βρίσκονται τα δεδομένα που χρησιμοποιούνται στην κρυπτογράφηση.

Στη δημιουργία ενός αρχείου που θα ικανοποιεί τις παραπάνω προϋποθέσεις, η εντολή dd μπορεί να μας βοηθήσει, αν και θα λειτουργήσει σχετικά αργά. Απλώς χρησιμοποιήστε το με το ειδικό αρχείο συσκευής /dev/random που έχει καθοριστεί ως είσοδος και το αρχείο προορισμού που θα καθοριστεί ως έξοδο. Ένα παράδειγμα εντολής μοιάζει με αυτό:

$ dd if=/dev/random of=/home/nitish/basefile bs=1M count=128

Αυτό θα δημιουργήσει ένα αρχείο 128 MB που ονομάζεται basefile στον κατάλογο /home/nitish. Ωστόσο, σημειώστε ότι αυτή η εντολή μπορεί να χρειαστεί πολύ χρόνο για να ολοκληρωθεί. στο σύστημα που χρησιμοποιούσε ο ειδικός μας, χρειάστηκε μια ώρα.

Βήμα 05:Δημιουργία dm-crypt LUKS

Αφού δημιουργήσετε το αρχείο προορισμού, πρέπει να δημιουργήσετε μια ενότητα LUKS σε αυτό το αρχείο. Αυτή η ενότητα χρησιμεύει ως το βασικό επίπεδο πάνω στο οποίο χτίζεται όλη η κρυπτογράφηση δεδομένων. Επιπλέον, η κεφαλίδα αυτής της ενότητας (κεφαλίδα LUKS) περιέχει όλες τις πληροφορίες που απαιτούνται για τη συμβατότητα με άλλες συσκευές. Για να δημιουργήσετε ένα διαμέρισμα LUKS, χρησιμοποιήστε την εντολή cryptsetup:

$ cryptsetup -y luksFormat /home/nitish/basefile

Αφού συμφωνήσετε ότι τα δεδομένα μέσα στο αρχείο βάσης θα διαγραφούν οριστικά, εισαγάγετε τη φράση πρόσβασης και, στη συνέχεια, την επιβεβαιώσετε, θα δημιουργηθεί το διαμέρισμα LUKS. Μπορείτε να το ελέγξετε με την ακόλουθη εντολή αρχείου:

$filebasefile

Λάβετε υπόψη ότι η φράση που εισάγετε εδώ θα χρησιμοποιηθεί για την αποκρυπτογράφηση των δεδομένων. Είναι πολύ σημαντικό να το απομνημονεύσετε και να το αποθηκεύσετε σε ασφαλές μέρος, γιατί αν το ξεχάσετε, σχεδόν σίγουρα θα χάσετε όλα τα δεδομένα στο κρυπτογραφημένο διαμέρισμα.

Βήμα 06:Δημιουργήστε και προσαρτήστε ένα σύστημα αρχείων

Το κοντέινερ LUKS που δημιουργήσαμε στο προηγούμενο βήμα είναι πλέον διαθέσιμο ως αρχείο. Στο παράδειγμά μας, αυτό είναι το /home/nitish/basefile. Το βοηθητικό πρόγραμμα cryptsetup σάς επιτρέπει να ανοίξετε ένα κοντέινερ LUKS ως ανεξάρτητη συσκευή. Για να το κάνετε αυτό, πρώτα αντιστοιχίστε το αρχείο κοντέινερ με το όνομα της συσκευής και, στη συνέχεια, προσαρτήστε τη συσκευή. Η εντολή εμφάνισης μοιάζει με αυτό:

Αφού εισαγάγετε με επιτυχία τη φράση πρόσβασης που δημιουργήθηκε στο προηγούμενο βήμα, το κοντέινερ LUKS θα αντιστοιχιστεί στο όνομα τόμος1. Αυτό που συμβαίνει στην πραγματικότητα είναι ότι το αρχείο ανοίγει ως τοπική συσκευή βρόχου, έτσι ώστε το υπόλοιπο σύστημα να μπορεί πλέον να αντιμετωπίζει το αρχείο σαν να ήταν μια πραγματική συσκευή.

Βήμα 07:Σύστημα αρχείων - συνέχεια

Το αρχείο κοντέινερ LUKS είναι πλέον διαθέσιμο στο σύστημα ως κανονική συσκευή. Για να μπορέσουμε να το χρησιμοποιήσουμε για κανονικές λειτουργίες, πρέπει να το μορφοποιήσουμε και να δημιουργήσουμε ένα σύστημα αρχείων σε αυτό. Μπορείτε να χρησιμοποιήσετε οποιοδήποτε σύστημα αρχείων που υποστηρίζεται στο σύστημά σας. Στο παράδειγμά μου, χρησιμοποιήσαμε το ext4 καθώς είναι το νεότερο σύστημα αρχείων για συστήματα Linux.

$ mkfs.ext4 -j /dev/mapper/volume1

Αφού μορφοποιηθεί επιτυχώς η συσκευή, το επόμενο βήμα είναι να την τοποθετήσετε. Πρέπει πρώτα να δημιουργήσετε ένα σημείο προσάρτησης, κατά προτίμηση σε /mnt (κοινή λογική).

$ mkdir /mnt/files

Τώρα τοποθετούμε:

Για διασταύρωση, χρησιμοποιήστε την εντολή df –h - θα δείτε τη συσκευή "/dev/mapper/volume1" στο τέλος της λίστας των τοποθετημένων συσκευών. Μπορεί να φανεί ότι η κεφαλίδα LUKS καταλαμβάνει ήδη κάποιο χώρο στη συσκευή.

Χάρη σε αυτό το βήμα, μπορείτε πλέον να χρησιμοποιήσετε μια συσκευή LUKS με σύστημα αρχείων ext4. Απλώς χρησιμοποιήστε αυτήν τη συσκευή αποθήκευσης αρχείων - ό,τι γράφετε σε αυτήν τη συσκευή θα κρυπτογραφηθεί και ό,τι διαβάζετε από αυτήν θα αποκρυπτογραφηθεί και θα εμφανιστεί σε εσάς.

Βήμα 08:Χρήση κρυπτογραφημένου δίσκου

Ακολουθήσαμε πολλά βήματα για να επιτύχουμε αυτό το αποτέλεσμα και αν δεν είστε πολύ σαφείς σχετικά με το πώς λειτουργούν όλα, πιθανότατα θα μπερδευτείτε σχετικά με το τι πρέπει να γίνει μόνο μία φορά (απαιτείται για την εγκατάσταση) και αυτό πρέπει να γίνει τακτικά όταν χρησιμοποιείτε κρυπτογράφηση. Ας εξετάσουμε το ακόλουθο σενάριο: ολοκληρώσατε επιτυχώς όλα τα παραπάνω βήματα και στη συνέχεια απενεργοποιήσατε τον υπολογιστή σας. Την επόμενη μέρα, όταν ξεκινάτε τον υπολογιστή σας, δεν μπορείτε να βρείτε την τοποθετημένη συσκευή - πού πήγε; Για να αντιμετωπίσετε όλα αυτά, πρέπει να έχετε κατά νου ότι μετά την εκκίνηση του συστήματος, πρέπει να τοποθετήσετε το κοντέινερ LUKS και να το αποσυνδέσετε πριν σταματήσετε τον υπολογιστή.

Για να αποκτήσετε πρόσβαση στο αρχείο LUKS, κάθε φορά που ενεργοποιείτε τον υπολογιστή σας, ακολουθήστε αυτά τα βήματα και, στη συνέχεια, κλείστε με ασφάλεια το αρχείο προτού απενεργοποιήσετε τον υπολογιστή σας:

Ανοίξτε το αρχείο LUKS (δηλαδή /home/nitish/basefile) και πληκτρολογήστε τον κωδικό πρόσβασης. Η εντολή μοιάζει με αυτό:

$ cryptsetup luksOpen /home/nitish/basefile volume1

Μόλις ανοίξει το αρχείο, προσαρτήστε το (αν δεν προσαρτάται αυτόματα):

$ mount /dev/mapper/volume1 /mnt/files

Τώρα μπορείτε να χρησιμοποιήσετε την τοποθετημένη συσκευή ως κανονική μονάδα δίσκου και να διαβάσετε ή να γράψετε δεδομένα σε αυτήν.

Μόλις τελειώσετε, αποσυνδέστε τη συσκευή ως εξής:

$ umount /mnt/αρχεία

Μετά την επιτυχή αποπροσάρτηση, κλείστε το αρχείο LUKS:

$ cryptsetup luksΚλείσιμο τόμου1

Βήμα 09:Αντιγράφων ασφαλείας

Οι περισσότερες απώλειες δεδομένων που είναι αποθηκευμένες σε ένα κοντέινερ LUKS οφείλονται σε καταστροφή της κεφαλίδας ή των θυρίδων κλειδιού LUKS. Εκτός από το γεγονός ότι οι κεφαλίδες LUKS μπορούν να καταστραφούν ακόμη και λόγω τυχαίας αντικατάστασης στη μνήμη κεφαλίδας, σε πραγματικές συνθήκες είναι επίσης δυνατή η πλήρης αστοχία του σκληρού δίσκου. Ο καλύτερος τρόπος για να προστατευτείτε από τέτοια προβλήματα είναι ένα αντίγραφο ασφαλείας. Ας δούμε ποιες επιλογές δημιουργίας αντιγράφων ασφαλείας είναι διαθέσιμες.

Για να δημιουργήσετε αντίγραφα ασφαλείας του αρχείου κεφαλίδας LUKS, καθορίστε την παράμετρο luksHeaderBackup στην εντολή:

$ sudo cryptsetup luksHeaderBackup /home/nitish/basefile --header-backup-file /home/nitish/backupfile

Ή, εάν θέλετε να επαναφέρετε ένα αρχείο από ένα αντίγραφο ασφαλείας, καθορίστε την παράμετρο luksHeaderRestore στην εντολή:

$ sudo cryptsetup luksHeaderRestore /home/nitish/basefile --header-backup-file /home/nitish/backupfile

Μπορείτε να χρησιμοποιήσετε την παράμετρο isLuks για να ελέγξετε για ένα αρχείο κεφαλίδας LUKS και να επαληθεύσετε ότι το αρχείο με το οποίο αντιμετωπίζετε αντιστοιχεί σε μια πραγματική συσκευή LUKS.

$ sudo cryptsetup -v isLuks /home/nitish/basefile

Έχουμε ήδη δει τον τρόπο δημιουργίας αντιγράφων ασφαλείας των αρχείων κεφαλίδας LUKS, αλλά η δημιουργία αντιγράφων ασφαλείας μιας κεφαλίδας LUKS δεν προστατεύει πραγματικά από την πλήρη αποτυχία του δίσκου, επομένως πρέπει να δημιουργήσετε αντίγραφα ασφαλείας ολόκληρου του διαμερίσματος με την ακόλουθη εντολή cat:

$ cat /home/nitish/basefile > basefile.img

Βήμα 10:Διάφορες ρυθμίσεις

Υπάρχουν μερικές άλλες ρυθμίσεις που μπορούν να είναι χρήσιμες όταν χρησιμοποιείτε κρυπτογράφηση LUKS dm-crypt. Ας τους ρίξουμε μια ματιά.

Για την απόρριψη της κεφαλίδας LUKS, η εντολή cryptsetup έχει την επιλογή luksDump. Θα σας επιτρέψει να τραβήξετε ένα στιγμιότυπο του αρχείου κεφαλίδας LUKS της συσκευής που χρησιμοποιείτε. Ένα παράδειγμα εντολής μοιάζει με αυτό:

$ cryptsetup luksDump /home/nitish/basefile

Στην αρχή αυτού του άρθρου, αναφέραμε ότι το LUKS υποστηρίζει πολλαπλά κλειδιά. Ας το δούμε τώρα στην πράξη προσθέτοντας μια νέα υποδοχή κλειδιού ( σημείωση ανά.: υποδοχή κλειδιού - θέση κλειδί στο χέρι):

$ cryptsetup luksAddKey --Key-slot 1 /home/nitish/basefile

Αυτή η εντολή προσθέτει ένα κλειδί στην υποδοχή κλειδιού με αριθμό 1, αλλά μόνο αφού εισαγάγετε τον τρέχοντα κωδικό πρόσβασης (το κλειδί που υπάρχει στην υποδοχή κλειδιού 0). Υπάρχουν συνολικά οκτώ θέσεις κλειδιών και μπορείτε να αποκρυπτογραφήσετε δεδομένα χρησιμοποιώντας οποιοδήποτε κλειδί. Εάν απορρίψετε την κεφαλίδα αφού προσθέσετε το δεύτερο κλειδί, θα δείτε ότι η δεύτερη υποδοχή κλειδιού είναι κατειλημμένη.

Μπορείτε να αφαιρέσετε τις υποδοχές κλειδιών ως εξής:

$ cryptsetup luksRemoveKey /home/nitish/basefile

Αυτό θα αφαιρέσει την υποδοχή κλειδιού με τον μεγαλύτερο αριθμό υποδοχής. Προσέξτε να μην διαγράψετε όλες τις υποδοχές διαφορετικά τα δεδομένα σας θα χαθούν οριστικά.

Σεμενένκο Β.

Όταν εγκαθιστάτε το λειτουργικό σύστημα Ubuntu, μπορεί να μην σκεφτείτε να ρυθμίσετε την κρυπτογράφηση δεδομένων σε αυτό. Ή μπορεί να υπάρχει μια κατάσταση όπου προσθέτετε έναν χρήστη στο σύστημα χωρίς να κρυπτογραφήσετε τον αρχικό του κατάλογο. Αλλά τώρα αλλάξατε γνώμη και αποφασίσατε να ρυθμίσετε την προστασία αυτού του καταλόγου. Με άλλα λόγια, εσείς (ή ένας άλλος χρήστης στον υπολογιστή) θέλετε μια δυνατότητα που δεν υπάρχει αυτήν τη στιγμή...

Δημιουργία κρυπτογραφημένου διαμερίσματος στο Ubuntu

Πώς μπορείτε να προσθέσετε δυνατότητα κρυπτογράφησης σε ένα ήδη εγκατεστημένο σύστημα Ubuntu Linux;

Ευτυχώς, είναι αρκετά εύκολο να εφαρμοστεί. Για να το κάνετε αυτό, απλώς ακολουθήστε τρία βασικά βήματα:

• δημιουργήστε ένα κρυπτογραφημένο αντίγραφο του οικιακού σας καταλόγου.
• διαγράψτε τον αρχικό μη κρυπτογραφημένο οικιακό κατάλογο.
• κρυπτογραφήστε το διαμέρισμα swap (εκτελείται μόνο μία φορά, κατά την εγκατάσταση ενός συστήματος Ubuntu ή όταν ακολουθείτε αυτόν τον οδηγό βήμα προς βήμα).

Τα βήματα σε αυτό το άρθρο εκτελέστηκαν σε ένα πλήρως ενημερωμένο σύστημα Ubuntu Precise 12.04.

Εκπαίδευση

Λόγω ενός τρέχοντος σφάλματος στο Ubuntu Linux, δεν μπορείτε να συνδεθείτε εάν το εξώφυλλο του παραθύρου σύνδεσης βρίσκεται στον κρυπτογραφημένο αρχικό φάκελο του χρήστη. Εάν ο χρήστης έχει αλλάξει την προεπιλεγμένη εμφάνιση, βεβαιωθείτε ότι δεν βρίσκεται επίσης στον αρχικό φάκελο του χρήστη.

Η δημιουργία ενός κρυπτογραφημένου αντιγράφου του οικιακού καταλόγου του χρήστη είναι μια ασφαλής διαδικασία. Ωστόσο, αξίζει να προσέξουμε ότι απαιτείται συγκεκριμένος χώρος στον σκληρό δίσκο για την υλοποίησή του. Εάν αποδειχθεί ότι υπάρχει πολύ λίγος χώρος, πρέπει να δημιουργήσετε αντίγραφα ασφαλείας των δεδομένων και, στη συνέχεια, να διαγράψετε όλα τα μεγάλα αρχεία (για παράδειγμα, ταινίες) από αυτό και να τα επαναφέρετε από αυτό το αντίγραφο ασφαλείας αφού ολοκληρωθεί η κρυπτογράφηση. Γενικά συνιστώ να δημιουργήσετε αντίγραφα ασφαλείας όλων των δεδομένων σας για να αποφύγετε πιθανά προβλήματα.

Χρησιμοποιώντας τον διαχειριστή πακέτων που προτιμάτε, εγκαταστήστε το πρόγραμμα encrypt-utils.

Κρυπτογράφηση

Σε αυτό το σεμινάριο, θα χρησιμοποιήσω το login του paddy ως όνομα χρήστη για να ενεργήσω. Πρέπει να το αντικαταστήσετε με το όνομα του χρήστη του οποίου ο αρχικός κατάλογος θα είναι κρυπτογραφημένος.

Επανεκκινήστε το Ubuntu Linux και μεταβείτε στη "Λειτουργία αποκατάστασης". Μια συμβουλή - ενώ το σύστημα εκκινείται, πατήστε και κρατήστε πατημένο το πλήκτρο Shift για να ανοίξετε το μενού Grub. Συνήθως η γραμμή "Recovery Mode" (Recovery Mode) βρίσκεται δεύτερη από την κορυφή στη λίστα αυτού του bootloader.

Από το μενού της λειτουργίας ανάκτησης, επιλέξτε "Drop" για να εμφανιστεί η γραμμή εντολών για τον λογαριασμό root.

Για να διορθώσετε το σφάλμα προγραμματισμού που αναφέρεται στην αρχή αυτού του άρθρου, πληκτρολογήστε τις ακόλουθες δύο εντολές:

mount --επιλογές remount,rw /
mount -- all

Τώρα μπορούμε να δημιουργήσουμε ένα κρυπτογραφημένο αντίγραφο του αρχικού καταλόγου του χρήστη paddy. Για να το κάνετε αυτό, πληκτρολογήστε την παρακάτω εντολή. Ταυτόχρονα, κάντε τον κόπο να θυμηθείτε τον δικό σας κωδικό πρόσβασης, καθώς αυτό το βοηθητικό πρόγραμμα θα του ζητήσει να ολοκληρώσει τη λειτουργία:

Όταν ολοκληρωθεί η διαδικασία κρυπτογράφησης, θα δείτε πολλές προειδοποιήσεις. Μπορείτε να τα αγνοήσετε. Αλλά θα χρειαστεί να θυμάστε τη διαδρομή προς τον προσωρινό φάκελο που δημιουργήθηκε από αυτήν την εντολή. Η εμφάνισή του θα είναι κάπως έτσι: /home/paddy.ChPzzxqD

Σε αυτήν την περίπτωση, οι τελευταίοι οκτώ χαρακτήρες (μετά την τελεία) είναι ένα τυχαίο σύνολο. Θα χρειαστείτε αυτόν τον κατάλογο στα επόμενα βήματα "Ολοκλήρωση" ή "Επιστροφή στην αρχική κατάσταση", τα οποία θα συζητηθούν αργότερα.

Κάντε επανεκκίνηση του συστήματος Ubuntu Linux. Για να το κάνετε αυτό, εισάγετε την εντολή: επανεκκίνηση τώρα

Μπορεί να χρειαστούν μερικά δευτερόλεπτα μετά την πληκτρολόγηση και την εκτέλεση της εντολής, οπότε να είστε υπομονετικοί.

Ολοκλήρωση

Συνδεθείτε στο σύστημά σας Ubuntu με τον συνηθισμένο τρόπο, όπως κάνατε κάθε φορά. Ελέγξτε ότι όλα λειτουργούν όπως πριν.

Εάν κάτι δεν πάει καλά, μπορείτε να μεταβείτε αμέσως στο στοιχείο "Επιστροφή στην αρχική κατάσταση".

Εάν όλα στο σύστημα λειτουργούν καλά, ολοκληρώστε τα τελευταία βήματα.

Ανοίξτε το τερματικό και πληκτρολογήστε την εντολή διαγραφής του προσωρινού καταλόγου. Για να το κάνετε αυτό, θα πρέπει να θυμάστε τη διαδρομή προς τον προσωρινό φάκελο που δημιουργήθηκε κατά την κρυπτογράφηση του αρχικού καταλόγου.

sudo rm -R /home/paddy.ChPzzxqD

Επαναφέρετε τα δεδομένα που διαγράψατε (αν υπάρχουν) στο βήμα "Προετοιμασία".

Ανοίξτε ξανά το τερματικό και πληκτρολογήστε την εντολή κρυπτογράφησης του διαμερίσματος swap. Εάν είχατε προηγουμένως διαμορφώσει έναν χρήστη με κρυπτογράφηση οικιακού καταλόγου, μπορείτε να παραλείψετε με ασφάλεια αυτό το βήμα: sudo ecryptfs-setup-swap

Κάντε επανεκκίνηση ξανά.

Επιστροφή στην αρχική κατάσταση

Εάν η διαδικασία κρυπτογράφησης απέτυχε, θα χρειαστεί να επαναλάβετε ξανά τα προηγούμενα βήματα.

Εκτέλεση εντολών:

mount --επιλογές remount,rw /
mount -- all
ecryptfs-migrate-home --user paddy

Στη συνέχεια, πληκτρολογήστε την εντολή για να δείτε τα περιεχόμενα του προσωρινού φακέλου που δημιουργήθηκε κατά τη διαδικασία κρυπτογράφησης. Για να το κάνετε αυτό, πρέπει και πάλι να θυμάστε τη διαδρομή προς αυτό. Αυτό δεν πρέπει να δημιουργεί σφάλματα. Εάν το κάνουν, τότε χρειάζεστε βοήθεια.

ls -l /home/paddy.ChPzzxqD

Τώρα ολοκληρώστε τη διαδικασία επαναφοράς εκδίδοντας τρεις εντολές:

cd /home
rm -R paddy .ecryptfs/paddy
mv paddy.ChPzzxqD

Κάντε επανεκκίνηση ξανά.

Ελπίζουμε ότι τα παραπάνω βήματα σας βοήθησαν. Εάν έχετε άλυτα προβλήματα, μπορείτε να δημοσιεύσετε ένα αίτημα στο νήμα του φόρουμ μου στο Ubuntu.

Λειτουργία αδράνειας όταν είναι κρυπτογραφημένη

Οι περισσότεροι χρήστες συχνά αναρωτιούνται γιατί δεν υπάρχει αδρανοποίηση (αδρανοποίηση) στο λειτουργικό σύστημα Ubuntu μετά την εκτέλεση των προηγούμενων λειτουργιών (που περιγράφονται νωρίτερα σε αυτό το άρθρο) και πώς να επαναφέρετε αυτήν τη δυνατότητα. Ο λόγος είναι η διαμορφωμένη κρυπτογράφηση. Εάν έχετε διαμορφώσει την κρυπτογράφηση οικιακού καταλόγου, το διαμέρισμα ανταλλαγής είναι επίσης κρυπτογραφημένο, αλλά με ένα τυχαίο κλειδί. Όταν βάζετε το σύστημα σε κατάσταση αδρανοποίησης, τα δεδομένα RAM αποθηκεύονται στο διαμέρισμα swap και κρυπτογραφούνται με ένα τυχαίο κλειδί. Κατά την επαναφορά του συστήματος από την κατάσταση αδρανοποίησης, το κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση του διαμερίσματος swap έχει ήδη χαθεί ανεπανόρθωτα και το σύστημα δεν μπορεί να διαβάσει αυτό το διαμέρισμα. Συνεπώς, τα δεδομένα δεν μπορούν να ανακτηθούν και δεν είναι δυνατή η επιστροφή στην προηγούμενη κατάσταση.

Εάν δεν έχετε διαμορφώσει τις παραμέτρους κρυπτογράφησης διαμερισμάτων στο σύστημά σας, η επαναφορά της αδρανοποίησης στο Ubuntu είναι εύκολη. Για να το κάνετε αυτό, απλώς εκτελέστε τις εντολές: ls -l /home/paddy.ChPzzxqD
rm -R paddy .ecryptfs/paddy

Αλλά εάν το διαμέρισμα οικίας του χρήστη και το διαμέρισμα ανταλλαγής είναι κρυπτογραφημένα στο σύστημα, είναι απαραίτητο να αντικαταστήσετε την κρυπτογράφηση του διαμερίσματος swap με μια προεπιλεγμένη φράση πρόσβασης και όχι με ένα τυχαίο κλειδί.

Ωστόσο, σημειώστε ότι κάθε χρήστης στον υπολογιστή θα πρέπει να γνωρίζει αυτήν τη φράση πρόσβασης κατά την εκκίνηση του συστήματος.

Δοκίμασα αυτήν τη μέθοδο και στις δύο περιπτώσεις - τόσο σε ένα κανονικό σύστημα Ubuntu 12.04 όσο και σε ένα σύστημα Ubuntu που είναι εγκατεστημένο σε μια εικονική μηχανή VirtualBox. Στην τελευταία περίπτωση, υπήρχαν προβλήματα με την εμφάνιση της οθόνης κατά την επαναφορά από την κατάσταση αναστολής λειτουργίας. Αλλά σε ένα κανονικό σύστημα όλα λειτουργούσαν καλά.

Εκπαίδευση

Εισαγάγετε την ακόλουθη εντολή στο τερματικό: κρύπτη κατάστασης εγκατάστασης κρυπτογράφησης sudo ανταλαγή 1

Ως αποτέλεσμα, θα δείτε μια γραμμή που θα υποδεικνύει τη συσκευή, που μοιάζει με αυτό: /dev/sda1

ή /dev/sdb5

Αυτή η συσκευή είναι το διαμέρισμα ανταλλαγής στο σύστημά σας. Θυμηθείτε το, καθώς θα το χρειαστείτε αργότερα.

Συνιστώ πάντα να δημιουργείτε ένα πλήρες αντίγραφο ασφαλείας των δεδομένων σας κάθε φορά που κάνετε αλλαγές στο σύστημα. Στην περίπτωσή μας, θα είναι επίσης χρήσιμο.

Ρύθμιση ύπνου

Εισαγάγετε τις ακόλουθες εντολές. Βεβαιωθείτε ότι έχετε αντικαταστήσει το /dev/sdXN με το διαμέρισμα swap που δημιουργήθηκε στην ενότητα "Προετοιμασία". Κατά την εισαγωγή εντολών, θα πρέπει να τηρείτε αυστηρά την καθορισμένη σειρά:

sudo swapoff /dev/mapper/cryptswap1
sudo cryptsetup luksΚλείσιμο /dev/mapper/cryptswap1
sudo cryptsetup luksFormat cipher aes cbc essiv:sha256 επαλήθευση φράσης πρόσβασης μέγεθος κλειδιού 256 /dev/sdXN

ΠΡΟΕΙΔΟΠΟΙΗΣΗ!
========
Αυτό θα αντικαταστήσει τα δεδομένα στο /dev/sda1 αμετάκλητα.
Είσαι σίγουρος? (Πληκτρολογήστε κεφαλαία ναι): ΝΑΙ
Εισαγάγετε τη φράση πρόσβασης LUKS:
Επαληθεύστε τη φράση πρόσβασης:
sudo cryptsetup luksOpen /dev/sdXN cryptswap1

Εισαγάγετε τη φράση πρόσβασης για τη συσκευή /dev/sda1 (και επαναλάβετε την για να αποφύγετε τυπογραφικό λάθος):

sudo mk ανταλαγή/dev/mapper/crypt ανταλαγή 1
sudo swapon όλα
του swapon

Η τελευταία εντολή θα εμφανίσει το όνομα αρχείου συσκευής /dev/crypt swap 1 .

Ανοίξτε το αρχείο διαμόρφωσης /etc/crypttab στο πρόγραμμα επεξεργασίας που προτιμάτε. Αντικαταστήστε τη γραμμή crypt swap 1 με το ακόλουθο (μην ξεχάσετε να αλλάξετε το /dev/sdXN στη συσκευή swap σας): cryptswap1 /dev/sdXN κανένας luks

Τώρα επεξεργαστείτε το αρχείο /usr/share/initramfstools/scripts/local-top/cryptroot . Σε αυτό, βρείτε τη γραμμή (συνήθως έχει τον αριθμό 288, αλλά μπορεί να αλλάξει): μήνυμα "cryptsetup: άγνωστο σφάλμα κατά τη ρύθμιση της χαρτογράφησης συσκευής"

Μεταβείτε στην επόμενη κενή γραμμή (πριν από το FSTYPE=") και εισαγάγετε μια νέα γραμμή (μην ξεχάσετε να αντικαταστήσετε τη συσκευή /dev/sdXN): /sbin/cryptsetup luksΆνοιγμα /dev/sdXN κρύπτη ανταλαγή 1

Επεξεργαστείτε το αρχείο /etc/acpi/hibetnate.sh. Στην πρώτη κενή γραμμή, επικολλήστε την τιμή: DEVICE="/dev/mapper/crypt ανταλαγή 1"

Επεξεργαστείτε το αρχείο /etc/initramfstools/conf.d/resume. Αντικαταστήστε την υπάρχουσα γραμμή σε αυτήν με το εξής: RESUME=/dev/mapper/crypt ανταλαγή 1

Στη συνέχεια, επεξεργαστείτε το αρχείο /etc/polkit1/localauthoriyt/50-local.d/com.ubuntu.enable-hibernate.pkla . Το αρχείο δεν υπάρχει αρχικά, επομένως θα πρέπει πρώτα να το δημιουργήσετε. Στη συνέχεια, προσθέστε τις γραμμές σε αυτό:
Identity=unixuser:*
Action=org.freedesktop.upower.hibernate
ResultActive=ναι

Τέλος, ανοίξτε ένα τερματικό και πληκτρολογήστε την ακόλουθη εντολή σε αυτό: sudo ενημέρωση initramfs u k all

Επανεκκίνηση.

Χρήση της λειτουργίας ύπνου

Την επόμενη φορά που θα ξεκινήσετε το Ubuntu Linux, θα σας ζητήσει μια νέα φράση πρόσβασης για το διαμέρισμα ανταλλαγής. Εισαγάγετε το και η περαιτέρω κανονική διαδικασία σύνδεσης θα συνεχιστεί.

Υπάρχουν πολλοί λόγοι για να κρυπτογραφήσετε τα δεδομένα στον σκληρό σας δίσκο, αλλά το κόστος της ασφάλειας δεδομένων είναι η πιο αργή απόδοση του συστήματος. Ο σκοπός αυτού του άρθρου είναι να συγκρίνει την απόδοση κατά την εργασία με έναν δίσκο κρυπτογραφημένο με διαφορετικά μέσα.

Για να κάνουμε τη διαφορά πιο δραματική, επιλέξαμε όχι ένα υπερσύγχρονο, αλλά ένα μέσο αυτοκίνητο. Ο συνηθισμένος μηχανικός σκληρός δίσκος 500 GB, διπλού πυρήνα AMD 2,2 GHz, 4 gigabyte μνήμης RAM, 64-bit Windows 7 SP 1. Δεν θα εκκινηθούν προγράμματα προστασίας από ιούς ή άλλα προγράμματα κατά τη διάρκεια της δοκιμής, ώστε τίποτα να μην επηρεάσει τα αποτελέσματα.

Για να αξιολογήσω την απόδοση, επέλεξα το CrystalDiskMark. Όσον αφορά τα δοκιμασμένα εργαλεία κρυπτογράφησης, στάθηκα στην ακόλουθη λίστα: BitLocker, TrueCrypt, VeraCrypt, CipherShed, Symantec Endpoint Encryption και CyberSafe Top Secret.

bitlocker

Είναι το τυπικό εργαλείο κρυπτογράφησης δίσκου ενσωματωμένο στα Microsoft Windows. Πολλοί άνθρωποι το χρησιμοποιούν απλά χωρίς να εγκαταστήσουν προγράμματα τρίτων. Πράγματι, γιατί, αν όλα είναι ήδη στο σύστημα; Από τη μια, σωστά. Από την άλλη πλευρά, ο κώδικας είναι κλειστός και δεν υπάρχει βεβαιότητα ότι δεν είχαν μείνει κερκόπορτες σε αυτόν για το FBI και άλλους ενδιαφερόμενους.

Ο δίσκος κρυπτογραφείται χρησιμοποιώντας τον αλγόριθμο AES με μήκος κλειδιού 128 ή 256 bit. Το κλειδί μπορεί να αποθηκευτεί στη μονάδα Trusted Platform Module, στον ίδιο τον υπολογιστή ή σε μια μονάδα flash.

Εάν χρησιμοποιείται TPM, τότε κατά την εκκίνηση του υπολογιστή, το κλειδί μπορεί να ληφθεί αμέσως από αυτόν ή μετά τον έλεγχο ταυτότητας. Μπορείτε να συνδεθείτε χρησιμοποιώντας ένα κλειδί σε μονάδα flash USB ή εισάγοντας έναν κωδικό PIN από το πληκτρολόγιο. Οι συνδυασμοί αυτών των μεθόδων παρέχουν πολλές επιλογές για τον περιορισμό της πρόσβασης: μόνο TPM, TPM και USB, TPM και PIN ή και τα τρία ταυτόχρονα.

Το BitLocker έχει δύο διακριτά πλεονεκτήματα: πρώτον, μπορεί να ελεγχθεί μέσω πολιτικών ομάδας. Δεύτερον, κρυπτογραφεί τόμους, όχι φυσικούς δίσκους. Αυτό σας επιτρέπει να κρυπτογραφήσετε μια σειρά από πολλές μονάδες δίσκου, κάτι που ορισμένα άλλα εργαλεία κρυπτογράφησης δεν μπορούν να κάνουν. Το BitLocker υποστηρίζει επίσης τον πίνακα διαμερισμάτων GUID (GPT), τον οποίο δεν μπορεί να καυχηθεί ακόμη και το πιο προηγμένο πιρούνι TruCrypt VeraCrypt. Για να κρυπτογραφήσετε έναν δίσκο GPT συστήματος με αυτόν, θα πρέπει πρώτα να τον μετατρέψετε σε μορφή MBR. Στην περίπτωση του BitLocker, αυτό δεν απαιτείται.

Γενικά, υπάρχει μόνο ένα μειονέκτημα - η κλειστή πηγή. Εάν κρατάτε μυστικά από το νοικοκυριό, το BitLocker είναι υπέροχο. Εάν ο δίσκος σας είναι γεμάτος έγγραφα εθνικής σημασίας, καλύτερα να βρείτε κάτι άλλο.

Είναι δυνατή η αποκρυπτογράφηση του BitLocker και του TrueCrypt

Αν ρωτήσετε την Google, θα βρει ένα ενδιαφέρον πρόγραμμα Elcomsoft Forensic Disk Decryptor κατάλληλο για την αποκρυπτογράφηση μονάδων BitLocker, TrueCrypt και PGP. Στο πλαίσιο αυτού του άρθρου, δεν θα το δοκιμάσω, αλλά θα μοιραστώ τις εντυπώσεις μου για ένα άλλο βοηθητικό πρόγραμμα της Elcomsoft, δηλαδή το Advanced EFS Data Recovery. Ήταν εξαιρετικό στην αποκρυπτογράφηση φακέλων EFS, αλλά υπό την προϋπόθεση ότι δεν είχε οριστεί κωδικός πρόσβασης χρήστη. Εάν ορίσετε έναν κωδικό πρόσβασης τουλάχιστον 1234, το πρόγραμμα αποδείχθηκε αδύναμο. Σε κάθε περίπτωση, δεν κατάφερα να αποκρυπτογραφήσω τον κρυπτογραφημένο φάκελο EFS που ανήκει στον χρήστη με τον κωδικό πρόσβασης 111. Νομίζω ότι η κατάσταση θα είναι η ίδια με το προϊόν Forensic Disk Decryptor.

TrueCrypt

Αυτό είναι ένα θρυλικό πρόγραμμα κρυπτογράφησης δίσκου που διακόπηκε το 2012. Η ιστορία που συνέβη στο TrueCrypt εξακολουθεί να καλύπτεται από το σκοτάδι και κανείς δεν ξέρει πραγματικά γιατί ο προγραμματιστής αποφάσισε να σταματήσει να υποστηρίζει το πνευματικό τέκνο του.

Υπάρχουν μόνο κομμάτια πληροφοριών που δεν σας επιτρέπουν να συνδυάσετε το παζλ. Έτσι, το 2013 ξεκίνησε η συγκέντρωση χρημάτων για έναν ανεξάρτητο έλεγχο του TrueCrypt. Ο λόγος ήταν οι πληροφορίες που ελήφθησαν από τον Έντουαρντ Σνόουντεν σχετικά με τη σκόπιμη αποδυνάμωση των εργαλείων κρυπτογράφησης TrueCrypt. Για τον έλεγχο συγκεντρώθηκαν περισσότερα από 60 χιλιάδες δολάρια. Στις αρχές Απριλίου 2015, οι εργασίες ολοκληρώθηκαν, αλλά δεν εντοπίστηκαν σοβαρά σφάλματα, τρωτά σημεία ή άλλα σημαντικά ελαττώματα στην αρχιτεκτονική της εφαρμογής.

Μόλις τελείωσε ο έλεγχος, το TrueCrypt βρέθηκε ξανά στο επίκεντρο του σκανδάλου. Οι ειδικοί της ESET δημοσίευσαν μια αναφορά ότι η ρωσική έκδοση του TrueCrypt 7.1a, που κατεβάστηκε από το truecrypt.ru, περιείχε κακόβουλο λογισμικό. Επιπλέον, ο ίδιος ο ιστότοπος truecrypt.ru χρησιμοποιήθηκε ως κέντρο εντολών - εντολές στάλθηκαν από αυτόν σε μολυσμένους υπολογιστές. Γενικά, να είστε προσεκτικοί και να μην κατεβάζετε προγράμματα από πουθενά.

Τα πλεονεκτήματα του TrueCrypt περιλαμβάνουν ανοιχτό κώδικα, που ελέγχεται πλέον ανεξάρτητα για αξιοπιστία, και υποστήριξη για δυναμικούς τόμους των Windows. Μειονεκτήματα: το πρόγραμμα δεν αναπτύσσεται πλέον και οι προγραμματιστές δεν είχαν χρόνο να εφαρμόσουν την υποστήριξη UEFI / GPT. Αλλά αν ο στόχος είναι να κρυπτογραφήσετε μια μονάδα δίσκου εκτός συστήματος, τότε δεν έχει σημασία.

Σε αντίθεση με το BitLocker, όπου υποστηρίζεται μόνο το AES, το TrueCrypt διαθέτει επίσης Serpent και Twofish. Για να δημιουργήσετε κλειδιά κρυπτογράφησης, salt και κλειδί κεφαλίδας, το πρόγραμμα σας επιτρέπει να επιλέξετε μία από τις τρεις λειτουργίες κατακερματισμού: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512. Ωστόσο, έχουν ήδη γραφτεί πολλά για το TrueCrypt, οπότε δεν θα επαναλαμβανόμαστε.

VeraCrypt

Ο πιο προηγμένος κλώνος TrueCrypt. Έχει τη δική του μορφή, αν και είναι δυνατή η εργασία σε λειτουργία TrueCrypt, η οποία υποστηρίζει κρυπτογραφημένους και εικονικούς δίσκους σε μορφή TrueCrypt. Σε αντίθεση με το CipherShed, το VeraCrypt μπορεί να εγκατασταθεί στον ίδιο υπολογιστή ταυτόχρονα με το TrueCrypt.

ΠΛΗΡΟΦΟΡΙΕΣ

Έχοντας αποσυρθεί, το TrueCrypt άφησε μια πλούσια κληρονομιά: έχει πολλά forks, ξεκινώντας από τα VeraCrypt, CipherShed και DiskCryptor.

Το TrueCrypt χρησιμοποιεί 1000 επαναλήψεις για να δημιουργήσει το κλειδί που θα κρυπτογραφήσει το διαμέρισμα συστήματος, ενώ το VeraCrypt χρησιμοποιεί 327.661 επαναλήψεις. Για τυπικές κατατμήσεις (μη συστήματος), το VeraCrypt χρησιμοποιεί 655.331 επαναλήψεις για τη συνάρτηση κατακερματισμού RIPEMD-160 και 500.000 επαναλήψεις για SHA-2 και Whirlpool. Αυτό καθιστά τα κρυπτογραφημένα διαμερίσματα πολύ πιο ανθεκτικά σε επιθέσεις ωμής βίας, αλλά επίσης μειώνει σημαντικά την απόδοση της εργασίας με ένα τέτοιο διαμέρισμα. Πόσο, θα μάθουμε σύντομα.

Μεταξύ των πλεονεκτημάτων του VeraCrypt είναι ο ανοιχτός κώδικας, καθώς και μια ιδιόκτητη και πιο ασφαλής μορφή εικονικού και κρυπτογραφημένου δίσκου σε σύγκριση με το TrueCrypt. Τα μειονεκτήματα είναι τα ίδια όπως στην περίπτωση του προγονικού - η έλλειψη υποστήριξης για UEFI / GPT. Είναι ακόμα αδύνατο να κρυπτογραφηθεί ο δίσκος GPT του συστήματος, αλλά οι προγραμματιστές ισχυρίζονται ότι εργάζονται για αυτό το πρόβλημα και σύντομα θα είναι διαθέσιμη μια τέτοια κρυπτογράφηση. Αλλά εργάζονται πάνω σε αυτό εδώ και δύο χρόνια (από το 2014) και πότε θα κυκλοφορήσει με υποστήριξη GPT και αν θα είναι καθόλου, δεν είναι ακόμα γνωστό.

CipherShed

Ένας άλλος κλώνος του TrueCrypt. Σε αντίθεση με το VeraCrypt, χρησιμοποιεί την αρχική μορφή TrueCrypt, επομένως μπορείτε να περιμένετε την απόδοσή του να είναι κοντά σε αυτήν του TrueCrypt.

Τα πλεονεκτήματα και τα μειονεκτήματα είναι τα ίδια, αν και η αδυναμία εγκατάστασης TrueCrypt και CipherShed στον ίδιο υπολογιστή μπορεί να προστεθεί στα μειονεκτήματα. Επιπλέον, εάν προσπαθήσετε να εγκαταστήσετε το CipherShed σε ένα μηχάνημα με ήδη εγκατεστημένο το TrueCrypt, το πρόγραμμα εγκατάστασης προτείνει να αφαιρέσει το προηγούμενο πρόγραμμα, αλλά αποτυγχάνει να κάνει τη δουλειά.

Symantec Endpoint Encryption

Το 2010, η Symantec αγόρασε τα δικαιώματα του προγράμματος PGPdisk. Το αποτέλεσμα ήταν προϊόντα όπως το PGP Desktop και, στη συνέχεια, το Endpoint Encryption. Αυτό θα εξετάσουμε. Το πρόγραμμα είναι φυσικά ιδιόκτητο, ο πηγαίος κώδικας είναι κλειστός και μια άδεια κοστίζει 64 ευρώ. Υπάρχει όμως υποστήριξη για το GPT, αλλά μόνο ξεκινώντας από τα Windows 8.

Με άλλα λόγια, εάν απαιτείται υποστήριξη GPT και υπάρχει επιθυμία κρυπτογράφησης του διαμερίσματος συστήματος, τότε θα πρέπει να επιλέξετε ανάμεσα σε δύο αποκλειστικές λύσεις: BitLocker και Endpoint Encryption. Είναι απίθανο, φυσικά, ένας οικιακός χρήστης να εγκαταστήσει το Endpoint Encryption. Το πρόβλημα είναι ότι αυτό απαιτεί Symantec Drive Encryption, το οποίο απαιτεί έναν παράγοντα και έναν διακομιστή διαχείρισης Symantec Endpoint Encryption (SEE) για εγκατάσταση, και ο διακομιστής θέλει επίσης να εγκαταστήσει το IIS 6.0. Δεν είναι πολύ καλό για ένα πρόγραμμα κρυπτογράφησης δίσκου; Όλα αυτά τα περάσαμε μόνο για να μετρήσουμε την απόδοση.

η στιγμή της αλήθειας

Προχωράμε λοιπόν στο πιο ενδιαφέρον, δηλαδή στη δοκιμή. Το πρώτο βήμα είναι να ελέγξετε την απόδοση του δίσκου χωρίς κρυπτογράφηση. Το «θύμα» μας θα είναι ένα διαμέρισμα σκληρού δίσκου 28 GB (κανονικό, όχι SSD), μορφοποιημένο ως NTFS.

Ανοίξτε το CrystalDiskMark, επιλέξτε τον αριθμό των περασμάτων, το μέγεθος του προσωρινού αρχείου (σε όλες τις δοκιμές θα χρησιμοποιήσουμε 1 Gbps) και τον ίδιο τον δίσκο. Αξίζει να σημειωθεί ότι ο αριθμός των περασμάτων πρακτικά δεν επηρεάζει τα αποτελέσματα. Το πρώτο στιγμιότυπο οθόνης δείχνει τα αποτελέσματα της μέτρησης της απόδοσης ενός δίσκου χωρίς κρυπτογράφηση με αριθμό περασμάτων 5, το δεύτερο - με αριθμό περασμάτων 3. Όπως μπορείτε να δείτε, τα αποτελέσματα είναι σχεδόν πανομοιότυπα, επομένως θα εστιάσουμε σε τρεις πάσες.

Τα αποτελέσματα του CrystalDiskMark θα πρέπει να ερμηνεύονται ως εξής:

• Seq Q32T1 - διαδοχική εγγραφή / δοκιμή διαδοχικής ανάγνωσης, αριθμός ουρών - 32, νήματα - 1;
• 4K Q32T1 - δοκιμή τυχαίας εγγραφής / τυχαίας ανάγνωσης (μέγεθος μπλοκ 4 KB, αριθμός ουρών - 32, νήματα - 1).
• Seq - διαδοχική εγγραφή / διαδοχική δοκιμή ανάγνωσης.
• 4K - δοκιμή τυχαίας εγγραφής / τυχαίας ανάγνωσης (μέγεθος μπλοκ 4 KB).

Ας ξεκινήσουμε με το BitLocker. Χρειάστηκαν 19 λεπτά για να κρυπτογραφηθεί ένα διαμέρισμα 28 GB.

Η συνέχεια του άρθρου είναι διαθέσιμη μόνο σε συνδρομητές

Επιλογή 1. Εγγραφείτε στο "Hacker" για να διαβάσετε όλα τα άρθρα στον ιστότοπο

Η συνδρομή θα σας επιτρέψει να διαβάσετε ΟΛΟ το υλικό επί πληρωμή του ιστότοπου, συμπεριλαμβανομένου αυτού του άρθρου, κατά τη διάρκεια της καθορισμένης περιόδου. Δεχόμαστε πληρωμές με τραπεζικές κάρτες, ηλεκτρονικό χρήμα και μεταφορές από λογαριασμούς παρόχων κινητής τηλεφωνίας.

Οι απαιτήσεις απορρήτου και ασφάλειας ενός υπολογιστή καθορίζονται εξ ολοκλήρου από τη φύση των δεδομένων που είναι αποθηκευμένα σε αυτόν. Είναι άλλο πράγμα αν ο υπολογιστής σας χρησιμεύει ως σταθμός ψυχαγωγίας και δεν υπάρχει τίποτα σε αυτόν εκτός από μερικά παιχνίδια και έναν μπαμπά με φωτογραφίες της αγαπημένης σας γάτας, και είναι άλλο εάν υπάρχουν δεδομένα στον σκληρό δίσκο που είναι εμπόριο. μυστικό, δυνητικά ενδιαφέροντος για τους ανταγωνιστές.

Η πρώτη «γραμμή άμυνας» είναι ο κωδικός πρόσβασης για την είσοδο στο σύστημα, ο οποίος ζητείται κάθε φορά που ανοίγει ο υπολογιστής.

Το επόμενο επίπεδο προστασίας είναι τα δικαιώματα πρόσβασης σε επίπεδο συστήματος αρχείων. Ένας χρήστης χωρίς δικαιώματα άδειας θα λάβει ένα σφάλμα κατά την προσπάθεια πρόσβασης στα αρχεία.

Ωστόσο, οι περιγραφόμενες μέθοδοι έχουν ένα εξαιρετικά σημαντικό μειονέκτημα. Και τα δύο λειτουργούν σε επίπεδο λειτουργικού συστήματος και μπορούν να παρακαμφθούν σχετικά εύκολα εάν έχετε λίγο χρόνο και φυσική πρόσβαση στον υπολογιστή (για παράδειγμα, με εκκίνηση από μια μονάδα flash USB, μπορείτε να επαναφέρετε τον κωδικό πρόσβασης διαχειριστή ή να αλλάξετε τα δικαιώματα του αρχείου). Πλήρης εμπιστοσύνη στην ασφάλεια και την εμπιστευτικότητα των δεδομένων μπορεί να επιτευχθεί μόνο εάν χρησιμοποιούνται και αξιόπιστα τα επιτεύγματα της κρυπτογραφίας. Παρακάτω εξετάζουμε δύο τρόπους τέτοιας προστασίας.

Η πρώτη μέθοδος που εξετάζεται σήμερα θα είναι η ενσωματωμένη προστασία κρυπτογράφησης από τη Microsoft. Η κρυπτογράφηση, που ονομάζεται BitLocker, εμφανίστηκε για πρώτη φορά στα Windows 8. Δεν θα λειτουργήσει για να ασφαλίσει έναν ξεχωριστό φάκελο ή αρχείο με αυτό, μόνο η κρυπτογράφηση ολόκληρης της μονάδας είναι διαθέσιμη. Αυτό, ειδικότερα, συνεπάγεται το γεγονός ότι είναι αδύνατη η κρυπτογράφηση του δίσκου του συστήματος (το σύστημα δεν θα μπορεί να εκκινήσει), είναι επίσης αδύνατη η αποθήκευση σημαντικών δεδομένων σε βιβλιοθήκες συστήματος όπως το "My Documents" (από προεπιλογή είναι που βρίσκεται στο διαμέρισμα συστήματος).
Για να ενεργοποιήσετε την ενσωματωμένη κρυπτογράφηση, κάντε τα εξής:

DiskCryptor

Το δεύτερο βοηθητικό πρόγραμμα κρυπτογράφησης που εξετάστηκε σήμερα είναι το DiskCryptor, μια λύση δωρεάν και ανοιχτού κώδικα. Για να το χρησιμοποιήσετε, ακολουθήστε τις παρακάτω οδηγίες:

Το αναμφισβήτητο πλεονέκτημα αυτού του βοηθητικού προγράμματος σε σύγκριση με τον μηχανισμό BitLocker είναι ότι μπορεί να χρησιμοποιηθεί σε συστήματα που κυκλοφόρησαν πριν από τα Windows 8 (υποστηρίζονται ακόμη και τα Windows XP που έχουν διακοπεί). Αλλά το DiskCryptor έχει επίσης πολλά σημαντικά μειονεκτήματα:

• δεν υπάρχουν τρόποι επαναφοράς της πρόσβασης σε κρυπτογραφημένες πληροφορίες (εάν ξεχάσατε τον κωδικό πρόσβασής σας, είναι σίγουρο ότι θα χάσετε τα δεδομένα σας).
• υποστηρίζεται μόνο το ξεκλείδωμα με κωδικό πρόσβασης, η χρήση έξυπνων καρτών ή βιομετρικών αισθητήρων δεν είναι δυνατή.
• Ίσως το μεγαλύτερο μειονέκτημα της χρήσης του DiskCryptor είναι ότι ένας εισβολέας με πρόσβαση διαχειριστή στο σύστημα θα μπορεί να διαμορφώσει το δίσκο χρησιμοποιώντας τυπικά μέσα. Ναι, δεν θα έχει πρόσβαση στα δεδομένα, αλλά θα τα χάσετε κι εσείς.

Συνοψίζοντας, μπορώ να πω ότι εάν ένα λειτουργικό σύστημα είναι εγκατεστημένο στον υπολογιστή που ξεκινά με τα Windows 8, τότε είναι καλύτερο να χρησιμοποιήσετε την ενσωματωμένη λειτουργικότητα.

Αυτή η τεκμηρίωση έχει αρχειοθετηθεί και δεν διατηρείται πλέον.

Κατανόηση της κρυπτογράφησης μονάδας δίσκου BitLocker

Προορισμός: Windows Server 2008, Windows Server 2008 R2, Windows Vista

Η κρυπτογράφηση μονάδας BitLocker είναι μια δυνατότητα προστασίας δεδομένων που διατίθεται στον Windows Server 2008 R2 και σε ορισμένες εκδόσεις των Windows 7. Η ενσωμάτωση του BitLocker στο λειτουργικό σύστημα αντιμετωπίζει την κλοπή δεδομένων ή τις απειλές ευπάθειας προστατεύοντας από απώλεια, κλοπή ή ακατάλληλο παροπλισμό υπολογιστών.

Τα δεδομένα σε έναν υπολογιστή που έχει χαθεί ή κλαπεί είναι ευάλωτα σε μη εξουσιοδοτημένη πρόσβαση, είτε μέσω πειρατείας λογισμικού είτε μέσω σύνδεσης του σκληρού δίσκου του υπολογιστή σε άλλον υπολογιστή. Η κρυπτογράφηση BitLocker βοηθά στην αποτροπή μη εξουσιοδοτημένης πρόσβασης σε δεδομένα, αυξάνοντας την ασφάλεια αρχείων και συστήματος. Η κρυπτογράφηση BitLocker βοηθά επίσης να διατηρούνται τα δεδομένα απρόσιτα κατά τον παροπλισμό ή την επαναχρησιμοποίηση υπολογιστών που προστατεύονται με κρυπτογράφηση BitLocker.

Η κρυπτογράφηση BitLocker παρέχει μέγιστη προστασία όταν χρησιμοποιείται με την Trusted Platform Module (TPM) έκδοση 1.2. Το TPM είναι ένα εξάρτημα υλικού που εγκαθίσταται σε πολλούς σύγχρονους υπολογιστές από τους κατασκευαστές τους. Λειτουργεί σε συνδυασμό με την κρυπτογράφηση BitLocker για να βοηθήσει στην προστασία των δεδομένων χρήστη και να διασφαλίσει ότι ο υπολογιστής δεν έχει παραβιαστεί ενώ το σύστημα έχει τερματιστεί.

Σε υπολογιστές που δεν έχουν εγκατεστημένο το TPM 1.2, η κρυπτογράφηση BitLocker μπορεί ακόμα να χρησιμοποιηθεί για την κρυπτογράφηση μιας μονάδας δίσκου λειτουργικού συστήματος Windows. Ωστόσο, αυτή η υλοποίηση απαιτεί από τον χρήστη να εισάγει ένα κλειδί εκκίνησης USB για την εκκίνηση ή την αφύπνιση του υπολογιστή και δεν παρέχει τον έλεγχο ακεραιότητας του συστήματος πριν από την εκκίνηση που παρέχεται από την κρυπτογράφηση BitLocker με TPM.

Εκτός από το TPM, η κρυπτογράφηση BitLocker παρέχει τη δυνατότητα αποκλεισμού της κανονικής διαδικασίας εκκίνησης έως ότου ο χρήστης εισαγάγει έναν προσωπικό αριθμό αναγνώρισης (PIN) ή εισάγει μια αφαιρούμενη συσκευή, όπως μια μονάδα flash USB, που περιέχει ένα κλειδί εκκίνησης. Αυτά τα πρόσθετα μέτρα ασφαλείας παρέχουν έλεγχο ταυτότητας πολλαπλών παραγόντων και διασφαλίζουν ότι ο υπολογιστής δεν θα ξεκινήσει ή θα αφυπνιστεί από κατάσταση αναστολής λειτουργίας έως ότου δοθεί το σωστό PIN ή κλειδί εκκίνησης.

Έλεγχος ακεραιότητας συστήματος

Η κρυπτογράφηση BitLocker μπορεί να χρησιμοποιήσει ένα TPM για να επαληθεύσει την ακεραιότητα των στοιχείων εκκίνησης και των δεδομένων διαμόρφωσης εκκίνησης. Αυτό βοηθά να διασφαλιστεί ότι όταν χρησιμοποιείται η κρυπτογράφηση BitLocker, η κρυπτογραφημένη μονάδα δίσκου θα είναι διαθέσιμη μόνο εάν αυτά τα στοιχεία δεν έχουν παραβιαστεί και η κρυπτογραφημένη μονάδα είναι εγκατεστημένη στον υπολογιστή προέλευσης.

Η κρυπτογράφηση BitLocker βοηθά στη διασφάλιση της ακεραιότητας της διαδικασίας εκκίνησης μέσω των παρακάτω βημάτων.

• Παροχή τρόπου ελέγχου της ακεραιότητας του ριζικού αρχείου και των αρχείων που χρησιμοποιούνται στα πρώτα στάδια της εκκίνησης και διασφάλισης ότι δεν υπάρχουν κακόβουλες αλλαγές σε αυτά τα αρχεία που θα μπορούσαν να γίνουν, για παράδειγμα, από ιούς τομέα εκκίνησης ή επεξεργασία στοιχείων εκκίνησης εργαλεία.
• Βελτιωμένη προστασία από επιθέσεις λογισμικού όταν ο υπολογιστής είναι εκτός σύνδεσης. Οποιοδήποτε εναλλακτικό λογισμικό που μπορεί να ξεκινήσει το σύστημα δεν θα έχει πρόσβαση στα κλειδιά κρυπτογράφησης για τη μονάδα δίσκου του λειτουργικού συστήματος των Windows.
• Κλείδωμα συστήματος κατά την αντικατάσταση ενός αρχείου. Εάν κάποιο από τα ελεγχόμενα αρχεία έχει αντικατασταθεί, το σύστημα δεν θα ξεκινήσει. Αυτό θα ειδοποιήσει τον χρήστη για την αντικατάσταση, καθώς το σύστημα δεν θα μπορεί να ξεκινήσει κανονικά. Σε περίπτωση κλειδώματος συστήματος, η κρυπτογράφηση BitLocker παρέχει μια εύκολη διαδικασία ανάκτησης.

  Απαιτήσεις υλικού, υλικολογισμικού και λογισμικού

  Για να χρησιμοποιήσετε το BitLocker, ο υπολογιστής σας πρέπει να πληροί ορισμένες απαιτήσεις.

  • Για να χρησιμοποιεί η κρυπτογράφηση BitLocker τη δυνατότητα Έλεγχος ακεραιότητας συστήματος που παρέχεται από το TPM, η έκδοση 1.2 του TPM πρέπει να είναι εγκατεστημένη στον υπολογιστή. Εάν δεν έχετε εγκατεστημένο TPM στον υπολογιστή σας, θα χρειαστεί να αποθηκεύσετε το κλειδί εκκίνησης σε μια αφαιρούμενη συσκευή, όπως μια μονάδα flash USB, όταν ενεργοποιείτε την κρυπτογράφηση BitLocker.
  • Ο υπολογιστής που είναι εξοπλισμένος με TPM πρέπει επίσης να διαθέτει BIOS που συμμορφώνεται με τις προδιαγραφές της Trusted Computing Group (TCG). Το BIOS δημιουργεί μια αλυσίδα αξιοπιστιών για ενέργειες πριν από την εκκίνηση και πρέπει να περιλαμβάνει υποστήριξη για τη στατική ρίζα της μέτρησης του επιπέδου εμπιστοσύνης που ορίζεται από το TCG. Για έναν υπολογιστή χωρίς μονάδα TPM, δεν απαιτείται συμμόρφωση του BIOS με τις προδιαγραφές TCG.
  • Το BIOS συστήματος (τόσο για υπολογιστές TPM όσο και για μη TPM) πρέπει να υποστηρίζει την κατηγορία μαζικής αποθήκευσης USB, συμπεριλαμβανομένης της ανάγνωσης μικρών αρχείων από μια μονάδα flash USB σε περιβάλλον προλειτουργικού συστήματος. Για περισσότερες πληροφορίες σχετικά με το USB, ανατρέξτε στις Προδιαγραφές συσκευής μαζικής αποθήκευσης USB και εντολές μαζικής αποθήκευσης UFI στον ιστότοπο USB (http://go.microsoft.com/fwlink/?LinkId=83120).
  • Ο σκληρός δίσκος πρέπει να χωριστεί σε τουλάχιστον δύο δίσκους.
    • Η μονάδα δίσκου λειτουργικού συστήματος (ή μονάδα εκκίνησης) περιέχει το λειτουργικό σύστημα και τα αρχεία που χρειάζεται για να εκτελεστεί και πρέπει να μορφοποιηθεί με το σύστημα αρχείων NTFS.
    • Ο δίσκος συστήματος περιέχει τα αρχεία που απαιτούνται για την εκκίνηση των Windows μετά τη φόρτωση της πλατφόρμας από το BIOS. Η κρυπτογράφηση BitLocker δεν είναι ενεργοποιημένη για αυτήν τη μονάδα δίσκου. Για να λειτουργήσει η κρυπτογράφηση BitLocker, η μονάδα δίσκου συστήματος δεν πρέπει να είναι κρυπτογραφημένη, δεν πρέπει να είναι τόμος λειτουργικού συστήματος και πρέπει να μορφοποιηθεί με το σύστημα αρχείων NTFS. Η μονάδα δίσκου συστήματος πρέπει να έχει μέγεθος τουλάχιστον 1,5 gigabyte (GB).

  Εγκατάσταση και αρχικοποίηση

  Η κρυπτογράφηση BitLocker εγκαθίσταται αυτόματα ως μέρος της εγκατάστασης του λειτουργικού συστήματος. Ωστόσο, η κρυπτογράφηση BitLocker δεν είναι διαθέσιμη μέχρι να ενεργοποιηθεί χρησιμοποιώντας τον Οδηγό εγκατάστασης BitLocker, ο οποίος μπορεί να εκκινηθεί είτε από τον Πίνακα Ελέγχου είτε κάνοντας δεξί κλικ στη μονάδα στην Εξερεύνηση αρχείων.

  Ανά πάσα στιγμή μετά την εγκατάσταση και την αρχική εγκατάσταση του λειτουργικού συστήματος, ένας διαχειριστής μπορεί να χρησιμοποιήσει τον Οδηγό εγκατάστασης BitLocker για να προετοιμάσει την κρυπτογράφηση BitLocker. Η διαδικασία αρχικοποίησης αποτελείται από δύο βήματα:

  1. Σε υπολογιστές με TPM, αρχικοποιήστε το TPM χρησιμοποιώντας τον Οδηγό εγκατάστασης TPM, ένα στοιχείο του Πίνακα Ελέγχου Κρυπτογράφηση μονάδας δίσκου BitLocker, ή εκτελώντας ένα σενάριο σχεδιασμένο για την προετοιμασία της λειτουργικής μονάδας.
  2. Ρυθμίστε την κρυπτογράφηση BitLocker. Ανοίξτε τον Οδηγό διαμόρφωσης κρυπτογράφησης BitLocker από τον Πίνακα Ελέγχου, ο οποίος θα σας καθοδηγήσει στη διαδικασία εγκατάστασης και θα σας παρέχει την επιλογή να διαμορφώσετε προηγμένες ρυθμίσεις ελέγχου ταυτότητας.

  Κατά την προετοιμασία της κρυπτογράφησης BitLocker, ο τοπικός διαχειριστής πρέπει επίσης να δημιουργήσει έναν κωδικό πρόσβασης και ένα κλειδί ανάκτησης. Χωρίς κωδικό πρόσβασης ή κλειδί ανάκτησης, όλα τα δεδομένα σε μια κρυπτογραφημένη μονάδα δίσκου ενδέχεται να μην είναι προσβάσιμα εάν υπάρχει πρόβλημα με μια μονάδα κρυπτογραφημένη με BitLocker.

  Για λεπτομερείς πληροφορίες σχετικά με τη ρύθμιση παραμέτρων και την ανάπτυξη της κρυπτογράφησης BitLocker, ανατρέξτε στο πρόγραμμα περιήγησης κρυπτογράφησης μονάδας δίσκου Windows BitLocker (http://go.microsoft.com/fwlink/?LinkID=140225).

  Εταιρική υλοποίηση

  Η κρυπτογράφηση BitLocker μπορεί να χρησιμοποιήσει την υπάρχουσα υποδομή των υπηρεσιών τομέα Active Directory (AD DS) ενός οργανισμού για την αποθήκευση κλειδιών ανάκτησης εκτός τοποθεσίας. Η κρυπτογράφηση BitLocker παρέχει έναν οδηγό για ρύθμιση παραμέτρων και διαχείριση, καθώς και επεκτασιμότητα και διαχείριση μέσω μιας διεπαφής WMI με δυνατότητα σεναρίου. Επιπλέον, η κρυπτογράφηση BitLocker παρέχει μια κονσόλα ανάκτησης ενσωματωμένη στη διαδικασία εκκίνησης για να επιτρέπει στον χρήστη ή το προσωπικό του γραφείου βοήθειας να ανακτήσει την πρόσβαση σε έναν κλειδωμένο υπολογιστή.

  Για περισσότερες πληροφορίες σχετικά με τη δημιουργία σεναρίων κρυπτογράφησης BitLocker, ανατρέξτε στο Win32_EncryptableVolume (http://go.microsoft.com/fwlink/?LinkId=85983).

  Ανακυκλώστε και επαναχρησιμοποιήστε τον υπολογιστή σας

  σχόλιο

  Σε αντίθεση με τη δημοφιλή πεποίθηση, η μνήμη DRAM που χρησιμοποιείται στους περισσότερους σύγχρονους υπολογιστές διατηρεί δεδομένα ακόμη και μετά από διακοπή ρεύματος για αρκετά δευτερόλεπτα ή λεπτά, επιπλέον, αυτό συμβαίνει σε θερμοκρασία δωματίου και ακόμη και αν αφαιρεθεί το τσιπ από τη μητρική πλακέτα. Αυτός ο χρόνος είναι αρκετά αρκετός για να αφαιρέσετε εντελώς τη μνήμη RAM. Θα δείξουμε ότι αυτό το φαινόμενο επιτρέπει σε έναν εισβολέα που έχει φυσική πρόσβαση στο σύστημα να παρακάμψει τις λειτουργίες του λειτουργικού συστήματος για την προστασία δεδομένων σχετικά με κρυπτογραφικά κλειδιά. Θα δείξουμε πώς μπορεί να χρησιμοποιηθεί η επανεκκίνηση για επιτυχείς επιθέσεις σε γνωστά συστήματα κρυπτογράφησης σκληρού δίσκου χωρίς τη χρήση εξειδικευμένων συσκευών ή υλικών. Θα προσδιορίσουμε πειραματικά τον βαθμό και την πιθανότητα διατήρησης αναμονής και θα δείξουμε ότι ο χρόνος για τον οποίο μπορούν να ληφθούν δεδομένα μπορεί να αυξηθεί σημαντικά χρησιμοποιώντας απλά κόλπα. Θα προταθούν επίσης νέες μέθοδοι για την εύρεση κρυπτογραφικών κλειδιών σε χωματερές μνήμης και τη διόρθωση σφαλμάτων που σχετίζονται με τα bit που λείπουν. Θα μιλήσουμε επίσης για διάφορους τρόπους μείωσης αυτών των κινδύνων, αλλά δεν γνωρίζουμε μια απλή λύση.

  Εισαγωγή

  Οι περισσότεροι ειδικοί υποθέτουν ότι τα δεδομένα από τη μνήμη RAM του υπολογιστή διαγράφονται σχεδόν αμέσως μετά από διακοπή ρεύματος ή θεωρούν ότι τα υπολειμματικά δεδομένα είναι εξαιρετικά δύσκολο να ανακτηθούν χωρίς τη χρήση ειδικού εξοπλισμού. Θα δείξουμε ότι αυτές οι υποθέσεις είναι εσφαλμένες. Η συμβατική μνήμη DRAM χάνει δεδομένα σταδιακά μέσα σε μερικά δευτερόλεπτα, ακόμη και σε κανονικές θερμοκρασίες, και ακόμη και αν αφαιρεθεί το τσιπ μνήμης από τη μητρική πλακέτα, τα δεδομένα θα παραμείνουν σε αυτήν για λεπτά ή και ώρες, υπό την προϋπόθεση ότι το τσιπ αποθηκεύεται σε χαμηλές θερμοκρασίες. Τα υπολειπόμενα δεδομένα μπορούν να ανακτηθούν χρησιμοποιώντας απλές μεθόδους που απαιτούν βραχυπρόθεσμη φυσική πρόσβαση στον υπολογιστή.

  Θα δείξουμε έναν αριθμό επιθέσεων που, χρησιμοποιώντας τα εφέ της παραμονής DRAM, θα μας επιτρέψουν να ανακτήσουμε τα κλειδιά κρυπτογράφησης που είναι αποθηκευμένα στη μνήμη. Αυτό αποτελεί πραγματική απειλή για τους χρήστες φορητών υπολογιστών που βασίζονται σε συστήματα κρυπτογράφησης σκληρού δίσκου. Εξάλλου, αν κάποιος εισβολέας κλέψει ένα φορητό υπολογιστή, τη στιγμή που θα συνδεθεί ο κρυπτογραφημένος δίσκος, θα μπορεί να πραγματοποιήσει μία από τις επιθέσεις μας για πρόσβαση στο περιεχόμενο, ακόμα κι αν ο ίδιος ο φορητός υπολογιστής είναι κλειδωμένος ή σε κατάσταση αναστολής λειτουργίας. Θα το δείξουμε αυτό επιτιθέμενοι επιτυχώς σε πολλά δημοφιλή συστήματα κρυπτογράφησης όπως το BitLocker, το TrueCrypt και το FileVault. Αυτές οι επιθέσεις θα πρέπει επίσης να είναι επιτυχείς έναντι άλλων συστημάτων κρυπτογράφησης.

  Αν και έχουμε επικεντρώσει τις προσπάθειές μας σε συστήματα κρυπτογράφησης σκληρού δίσκου, σε περίπτωση φυσικής πρόσβασης στον υπολογιστή ενός εισβολέα, οποιαδήποτε σημαντική πληροφορία είναι αποθηκευμένη στη μνήμη RAM μπορεί να γίνει αντικείμενο επίθεσης. Είναι πιθανό ότι πολλά άλλα συστήματα ασφαλείας είναι ευάλωτα. Για παράδειγμα, ανακαλύψαμε ότι το Mac OS X αφήνει κωδικούς πρόσβασης λογαριασμού στη μνήμη όπου μπορούσαμε να τους ανακτήσουμε και επίσης επιτεθήκαμε στα ιδιωτικά κλειδιά RSA του διακομιστή ιστού Apache.

  Κάποιοι από τις κοινότητες της ασφάλειας των πληροφοριών και της φυσικής ημιαγωγών γνώριζαν ήδη το φαινόμενο παραμονής DRAM, υπήρχαν πολύ λίγες πληροφορίες σχετικά με αυτό. Ως αποτέλεσμα, πολλοί που σχεδιάζουν, αναπτύσσουν ή χρησιμοποιούν συστήματα ασφαλείας απλά δεν είναι εξοικειωμένοι με αυτό το φαινόμενο και πόσο εύκολα μπορεί να το εκμεταλλευτεί ένας εισβολέας. Από όσο γνωρίζουμε, αυτή είναι η πρώτη λεπτομερής εργασία που εξετάζει τις επιπτώσεις αυτών των φαινομένων στην ασφάλεια των πληροφοριών.

  Επιθέσεις σε κρυπτογραφημένες μονάδες δίσκου

  Η κρυπτογράφηση σκληρών δίσκων είναι μια πολύ γνωστή μέθοδος προστασίας από κλοπή δεδομένων. Πολλοί πιστεύουν ότι τα συστήματα κρυπτογράφησης σκληρού δίσκου θα προστατεύσουν τα δεδομένα τους, ακόμα κι αν ένας εισβολέας έχει αποκτήσει φυσική πρόσβαση στον υπολογιστή (στην πραγματικότητα, χρειάζονται για αυτό, εκδ.). Ο νόμος της Καλιφόρνια, που εγκρίθηκε το 2002, απαιτεί την αναφορά πιθανών περιπτώσεων αποκάλυψης προσωπικών δεδομένων μόνο εάν τα δεδομένα δεν ήταν κρυπτογραφημένα, επειδή. η κρυπτογράφηση δεδομένων θεωρείται επαρκές προστατευτικό μέτρο. Αν και ο νόμος δεν περιγράφει συγκεκριμένες τεχνικές λύσεις, πολλοί ειδικοί συνιστούν τη χρήση συστημάτων κρυπτογράφησης σκληρού δίσκου ή διαμερισμάτων, τα οποία θα θεωρηθούν επαρκή μέτρα προστασίας. Τα αποτελέσματα της μελέτης μας έδειξαν ότι η πίστη στην κρυπτογράφηση δίσκου είναι αβάσιμη. Ένας εισβολέας, όχι μόνο από το να είναι ο πιο εξειδικευμένος, μπορεί να παρακάμψει πολλά ευρέως χρησιμοποιούμενα συστήματα κρυπτογράφησης εάν κλαπεί ένας φορητός υπολογιστής με δεδομένα ενώ ήταν ενεργοποιημένος ή σε κατάσταση αναστολής λειτουργίας. Και τα δεδομένα σε φορητό υπολογιστή μπορούν να διαβαστούν ακόμη και όταν βρίσκονται σε κρυπτογραφημένη μονάδα δίσκου, επομένως η χρήση συστημάτων κρυπτογράφησης σκληρού δίσκου δεν είναι επαρκής μέτρηση.

  Χρησιμοποιήσαμε διάφορους τύπους επιθέσεων σε γνωστά συστήματα κρυπτογράφησης σκληρού δίσκου. Η εγκατάσταση κρυπτογραφημένων δίσκων και η επαλήθευση της ορθότητας των κλειδιών κρυπτογράφησης που εντοπίστηκαν χρειάστηκαν τον περισσότερο χρόνο. Η λήψη εικόνας RAM και η αναζήτηση κλειδιών χρειάστηκαν μόνο λίγα λεπτά και ήταν πλήρως αυτοματοποιημένη. Υπάρχει λόγος να πιστεύουμε ότι τα περισσότερα συστήματα κρυπτογράφησης σκληρού δίσκου είναι επιρρεπή σε τέτοιες επιθέσεις.

  bitlocker

  Το BitLocker είναι ένα σύστημα που περιλαμβάνεται σε ορισμένες εκδόσεις των Windows Vista. Λειτουργεί ως πρόγραμμα οδήγησης μεταξύ του συστήματος αρχείων και του προγράμματος οδήγησης σκληρού δίσκου, κρυπτογραφώντας και αποκρυπτογραφώντας επιλεγμένους τομείς κατά παραγγελία. Τα κλειδιά που χρησιμοποιούνται για την κρυπτογράφηση βρίσκονται στη μνήμη RAM, εφόσον ο κρυπτογραφημένος δίσκος δεν είναι προσαρτημένος.

  Για την κρυπτογράφηση κάθε τομέα ενός σκληρού δίσκου, το BitLocker χρησιμοποιεί το ίδιο ζεύγος κλειδιών που δημιουργείται από τον αλγόριθμο AES: ένα κλειδί κρυπτογράφησης τομέα και ένα κλειδί κρυπτογράφησης που λειτουργεί σε λειτουργία αλυσίδων μπλοκ κρυπτογράφησης (CBC). Αυτά τα δύο κλειδιά είναι με τη σειρά τους κρυπτογραφημένα με το κύριο κλειδί. Για την κρυπτογράφηση ενός τομέα, εκτελείται μια διαδικασία προσθήκης δυαδικού απλού κειμένου με ένα κλειδί περιόδου λειτουργίας που δημιουργείται κρυπτογραφώντας το byte μετατόπισης τομέα με το κλειδί κρυπτογράφησης τομέα. Στη συνέχεια, τα δεδομένα που λαμβάνονται υποβάλλονται σε επεξεργασία από δύο συναρτήσεις μίξης που χρησιμοποιούν τον αλγόριθμο Elephant που αναπτύχθηκε από τη Microsoft. Αυτές οι λειτουργίες χωρίς κλειδί χρησιμοποιούνται για να αυξήσουν τον αριθμό των αλλαγών σε όλα τα bit του κρυπτογράφησης και, κατά συνέπεια, να αυξήσουν την αβεβαιότητα των κρυπτογραφημένων δεδομένων τομέα. Στο τελευταίο στάδιο, τα δεδομένα κρυπτογραφούνται με τον αλγόριθμο AES σε λειτουργία CBC, χρησιμοποιώντας το κατάλληλο κλειδί κρυπτογράφησης. Το διάνυσμα αρχικοποίησης καθορίζεται κρυπτογραφώντας το byte μετατόπισης τομέα με το κλειδί κρυπτογράφησης που χρησιμοποιείται στη λειτουργία CBC.

  Έχουμε εφαρμόσει μια πλήρως αυτοματοποιημένη επίθεση επίδειξης που ονομάζεται BitUnlocker. Αυτό χρησιμοποιεί μια εξωτερική μονάδα USB με λειτουργικό σύστημα Linux και έναν τροποποιημένο φορτωτή εκκίνησης που βασίζεται στο SYSLINUX και το πρόγραμμα οδήγησης FUSE που σας επιτρέπει να συνδέσετε κρυπτογραφημένες μονάδες δίσκου BitLocker σε λειτουργικό σύστημα Linux. Σε έναν δοκιμαστικό υπολογιστή με Windows Vista, η τροφοδοσία απενεργοποιήθηκε, συνδέθηκε ένας σκληρός δίσκος USB και εκκινήθηκε από αυτόν. Μετά από αυτό, το BitUnlocker πέταξε αυτόματα τη μνήμη RAM σε μια εξωτερική μονάδα δίσκου, αναζήτησε πιθανά κλειδιά χρησιμοποιώντας το πρόγραμμα keyfind, δοκίμασε όλες τις κατάλληλες επιλογές (ζεύγη κλειδιού κρυπτογράφησης τομέα και κλειδί λειτουργίας CBC) και, εάν ήταν επιτυχές, συνέδεσε την κρυπτογραφημένη μονάδα . Μόλις συνδεθεί ο δίσκος, κατέστη δυνατή η εργασία με αυτόν όπως με οποιονδήποτε άλλο δίσκο. Σε ένα σύγχρονο φορητό υπολογιστή με 2 gigabyte μνήμης RAM, η διαδικασία κράτησε περίπου 25 λεπτά.

  Είναι αξιοσημείωτο ότι αυτή η επίθεση κατέστη δυνατή να πραγματοποιηθεί χωρίς αντίστροφη μηχανική οποιουδήποτε λογισμικού. Η τεκμηρίωση της Microsoft περιγράφει το σύστημα BitLocker επαρκώς για να κατανοήσει το ρόλο του κλειδιού κρυπτογράφησης τομέα και του κλειδιού λειτουργίας CBC και να δημιουργήσει το δικό σας πρόγραμμα που υλοποιεί ολόκληρη τη διαδικασία.

  Η κύρια διαφορά μεταξύ του BitLocker και άλλων προγραμμάτων αυτής της κατηγορίας είναι ο τρόπος με τον οποίο αποθηκεύονται τα κλειδιά όταν αποσυνδέεται η κρυπτογραφημένη μονάδα δίσκου. Από προεπιλογή, στη βασική λειτουργία, το BitLocker προστατεύει το κύριο κλειδί μόνο με τη βοήθεια της μονάδας TPM, η οποία υπάρχει σε πολλούς σύγχρονους υπολογιστές. Αυτή η μέθοδος, η οποία φαίνεται να χρησιμοποιείται ευρέως, είναι ιδιαίτερα ευάλωτη στην επίθεσή μας, καθώς σας επιτρέπει να λαμβάνετε κλειδιά κρυπτογράφησης ακόμα και αν ο υπολογιστής είναι απενεργοποιημένος για μεγάλο χρονικό διάστημα, καθώς όταν εκκινείται ο υπολογιστής, τα κλειδιά φορτώνονται αυτόματα στη μνήμη RAM (μέχρι το παράθυρο σύνδεσης) χωρίς να εισάγετε δεδομένα ελέγχου ταυτότητας.

  Προφανώς, οι ειδικοί της Microsoft είναι εξοικειωμένοι με αυτό το πρόβλημα και επομένως συνιστούν τη ρύθμιση παραμέτρων του BitLocker σε βελτιωμένη λειτουργία, όπου τα κλειδιά προστατεύονται όχι μόνο με TPM, αλλά και με κωδικό πρόσβασης ή κλειδί σε εξωτερική μονάδα USB. Όμως, ακόμη και σε αυτήν τη λειτουργία, το σύστημα είναι ευάλωτο εάν ένας εισβολέας αποκτήσει φυσική πρόσβαση στον υπολογιστή ενώ εκτελείται (μπορεί ακόμη και να είναι κλειδωμένος ή σε κατάσταση αναστολής λειτουργίας, (κατάσταση - απλώς απενεργοποιημένη ή αδρανοποίηση σε αυτήν την περίπτωση θεωρείται ότι δεν επηρεάζεται από αυτή την επίθεση).

  Θησαυροφυλάκιο αρχείων

  Το σύστημα FileVault της Apple έχει ερευνηθεί εν μέρει και έχει τροποποιηθεί με αντίστροφη μηχανική. Σε Mac OS X 10.4, το FileVault χρησιμοποιεί ένα κλειδί AES 128-bit σε λειτουργία CBC. Όταν εισάγεται ο κωδικός πρόσβασης του χρήστη, αποκρυπτογραφείται μια κεφαλίδα που περιέχει το κλειδί AES και ένα δεύτερο κλειδί K2, που χρησιμοποιείται για τον υπολογισμό των διανυσμάτων αρχικοποίησης. Το διάνυσμα αρχικοποίησης για το μπλοκ δίσκου Ith υπολογίζεται ως HMAC-SHA1 K2(I).

  Χρησιμοποιήσαμε το πρόγραμμά μας EFI για τη λήψη εικόνων RAM για την ανάκτηση δεδομένων από έναν υπολογιστή Macintosh (που βασίζεται σε επεξεργαστή Intel) με συνδεδεμένη μια κρυπτογραφημένη μονάδα FileVault. Στη συνέχεια, το πρόγραμμα keyfind βρήκε τα κλειδιά FileVault AES αυτόματα χωρίς σφάλμα.

  Χωρίς διάνυσμα αρχικοποίησης, αλλά με το λαμβανόμενο κλειδί AES, καθίσταται δυνατή η αποκρυπτογράφηση 4080 από 4096 byte κάθε μπλοκ δίσκου (τα πάντα εκτός από το πρώτο μπλοκ AES). Σιγουρευτήκαμε ότι το διάνυσμα αρχικοποίησης βρίσκεται επίσης στο dump. Υποθέτοντας ότι τα δεδομένα δεν έχουν καταστραφεί, ο εισβολέας μπορεί να προσδιορίσει το διάνυσμα δοκιμάζοντας όλες τις συμβολοσειρές 160-bit στο dump μία προς μία και ελέγχοντας εάν μπορούν να σχηματίσουν ένα πιθανό απλό κείμενο όταν προστεθεί δυαδικό με το αποκρυπτογραφημένο πρώτο μέρος του μπλοκ. Μαζί, η χρήση προγραμμάτων όπως το vilefault, τα κλειδιά AES και ένα διάνυσμα προετοιμασίας σάς επιτρέπουν να αποκρυπτογραφήσετε πλήρως έναν κρυπτογραφημένο δίσκο.

  Κατά τη διερεύνηση του FileVault, διαπιστώσαμε ότι τα Mac OS X 10.4 και 10.5 αφήνουν πολλά αντίγραφα του κωδικού πρόσβασης ενός χρήστη στη μνήμη, όπου είναι ευάλωτοι σε αυτήν την επίθεση. Οι κωδικοί πρόσβασης λογαριασμού χρησιμοποιούνται συχνά για την προστασία των κλειδιών, τα οποία με τη σειρά τους μπορούν να χρησιμοποιηθούν για την προστασία των φράσεων πρόσβασης σε κρυπτογραφημένες μονάδες δίσκου FileVault.

  TrueCrypt

  Το TrueCrypt είναι ένα δημοφιλές σύστημα κρυπτογράφησης ανοιχτού κώδικα που τρέχει σε Windows, MacOS και Linux. Υποστηρίζει πολλούς αλγόριθμους, συμπεριλαμβανομένων των AES, Serpent και Twofish. Στην έκδοση 4, όλοι οι αλγόριθμοι λειτουργούσαν σε λειτουργία LRW. στην τρέχουσα 5η έκδοση, χρησιμοποιούν τη λειτουργία XTS. Το TrueCrypt αποθηκεύει το κλειδί κρυπτογράφησης και το κλειδί προσαρμογής στην κεφαλίδα του διαμερίσματος σε κάθε μονάδα δίσκου, η οποία είναι κρυπτογραφημένη με διαφορετικό κλειδί που προέρχεται από τον εισαγόμενο κωδικό πρόσβασης του χρήστη.

  Δοκιμάσαμε τα TrueCrypt 4.3a και 5.0a που εκτελούνται με λειτουργικό Linux. Συνδέσαμε έναν δίσκο κρυπτογραφημένο με ένα κλειδί AES 256-bit, στη συνέχεια απενεργοποιήσαμε την τροφοδοσία και χρησιμοποιήσαμε το δικό μας λογισμικό αποθήκευσης μνήμης για την εκκίνηση. Και στις δύο περιπτώσεις, το keyfind βρήκε ένα άθικτο κλειδί κρυπτογράφησης 256-bit. Επίσης, στην περίπτωση του TrueCrypt 5.0.a, το keyfind μπόρεσε να ανακτήσει το κλειδί προσαρμογής λειτουργίας XTS.

  Για να αποκρυπτογραφήσετε δίσκους που δημιουργήθηκαν από το TrueCrypt 4, πρέπει να τροποποιήσετε το κλειδί λειτουργίας LRW. Βρήκαμε ότι το σύστημα το αποθηκεύει σε τέσσερις λέξεις πριν από το βασικό πρόγραμμα κλειδιών AES. Στην χωματερή μας, το κλειδί LRW δεν ήταν κατεστραμμένο. (Σε περίπτωση σφαλμάτων, θα είμαστε ακόμα σε θέση να ανακτήσουμε το κλειδί).

  Dm-crypt

  Ο πυρήνας Linux, ξεκινώντας με την έκδοση 2.6, περιλαμβάνει ενσωματωμένη υποστήριξη για dm-crypt, ένα υποσύστημα κρυπτογράφησης δίσκου. Το Dm-crypt χρησιμοποιεί πολλούς αλγόριθμους και λειτουργίες, αλλά από προεπιλογή χρησιμοποιεί έναν κρυπτογράφηση AES 128-bit σε λειτουργία CBC με διανύσματα αρχικοποίησης που δεν βασίζονται σε κλειδιά.

  Δοκιμάσαμε το δημιουργημένο διαμέρισμα dm-crypt χρησιμοποιώντας τον κλάδο LUKS (Linux Unified Key Setup) του βοηθητικού προγράμματος cryptsetup και τον πυρήνα 2.6.20. Ο δίσκος κρυπτογραφήθηκε χρησιμοποιώντας AES σε λειτουργία CBC. Κλείσαμε την τροφοδοσία για λίγο και χρησιμοποιώντας έναν τροποποιημένο bootloader PXE, κάναμε μια ένδειξη μνήμης. Το πρόγραμμα keyfind βρήκε ένα έγκυρο κλειδί AES 128-bit, το οποίο ανακτήθηκε χωρίς σφάλματα. Αφού το ανακτήσει, ένας εισβολέας μπορεί να αποκρυπτογραφήσει και να προσαρτήσει το κρυπτογραφημένο διαμέρισμα dm-crypt τροποποιώντας το βοηθητικό πρόγραμμα cryptsetup έτσι ώστε να δέχεται τα κλειδιά στην απαιτούμενη μορφή.

  Μέθοδοι προστασίας και περιορισμοί τους

  Η εφαρμογή της προστασίας από επιθέσεις στη μνήμη RAM δεν είναι ασήμαντη, καθώς τα κρυπτογραφικά κλειδιά που χρησιμοποιούνται πρέπει να είναι αποθηκευμένα κάπου. Προτείνουμε να εστιάσουμε στην καταστροφή ή την απόκρυψη κλειδιών προτού ο εισβολέας αποκτήσει φυσική πρόσβαση στον υπολογιστή, αποτρέποντας την εκτέλεση του λογισμικού απόρριψης κύριας μνήμης, προστατεύοντας φυσικά τα τσιπ RAM και, εάν είναι δυνατόν, μειώνοντας τη διάρκεια ζωής των δεδομένων στη μνήμη RAM.

  Αντικατάσταση μνήμης

  Πρώτα απ 'όλα, είναι απαραίτητο, εάν είναι δυνατόν, να αποφύγετε την αποθήκευση κλειδιών στη μνήμη RAM. Είναι απαραίτητο να αντικαταστήσετε τις βασικές πληροφορίες όταν δεν χρησιμοποιούνται πλέον και να αποτρέψετε την αντιγραφή δεδομένων για εναλλαγή αρχείων. Η μνήμη πρέπει να διαγραφεί εκ των προτέρων μέσω του λειτουργικού συστήματος ή πρόσθετων βιβλιοθηκών. Φυσικά, αυτά τα μέτρα δεν θα προστατεύσουν τα κλειδιά που χρησιμοποιούνται αυτήν τη στιγμή, καθώς πρέπει να αποθηκεύονται στη μνήμη, όπως αυτά που χρησιμοποιούνται για κρυπτογραφημένους δίσκους ή σε ασφαλείς διακομιστές Ιστού.

  Επίσης, η μνήμη RAM πρέπει να εκκαθαριστεί κατά τη διαδικασία εκκίνησης. Μερικοί υπολογιστές μπορούν να ρυθμιστούν ώστε να εκκαθαρίζουν τη μνήμη RAM κατά την εκκίνηση χρησιμοποιώντας ένα αίτημα καθαρού POST (Power-on Self-Test) πριν από την εκκίνηση του λειτουργικού συστήματος. Εάν ο εισβολέας δεν μπορεί να αποτρέψει την εκτέλεση αυτού του αιτήματος, τότε σε αυτόν τον υπολογιστή δεν θα μπορεί να κάνει μια ένδειξη μνήμης με σημαντικές πληροφορίες. Ωστόσο, έχει ακόμα την ευκαιρία να βγάλει τα τσιπ RAM και να τα τοποθετήσει σε άλλο υπολογιστή με τις ρυθμίσεις BIOS που χρειάζεται.

  Περιορισμός λήψεων από το δίκτυο ή από αφαιρούμενα μέσα

  Πολλές από τις επιθέσεις μας υλοποιήθηκαν χρησιμοποιώντας εκκίνηση δικτύου ή αφαιρούμενα μέσα. Ο υπολογιστής πρέπει να έχει ρυθμιστεί ώστε να απαιτεί κωδικό πρόσβασης διαχειριστή για εκκίνηση από αυτές τις πηγές. Ωστόσο, πρέπει να σημειωθεί ότι ακόμα κι αν το σύστημα έχει ρυθμιστεί να εκκινεί μόνο από τον κύριο σκληρό δίσκο, ένας εισβολέας μπορεί να αλλάξει τον ίδιο τον σκληρό δίσκο ή σε πολλές περιπτώσεις να επαναφέρει τη NVRAM του υπολογιστή για να επιστρέψει στις αρχικές ρυθμίσεις του BIOS.

  Ασφαλής ύπνος

  Τα αποτελέσματα της μελέτης έδειξαν ότι το απλό κλείδωμα της επιφάνειας εργασίας του υπολογιστή (δηλαδή, το λειτουργικό σύστημα συνεχίζει να λειτουργεί, αλλά για να ξεκινήσει η αλληλεπίδραση με αυτό, πρέπει να εισαχθεί ένας κωδικός πρόσβασης) δεν προστατεύει τα περιεχόμενα της μνήμης RAM. Η κατάσταση αναστολής λειτουργίας δεν είναι αποτελεσματική ακόμη και αν ο υπολογιστής είναι μπλοκαρισμένος όταν επιστρέφει από την κατάσταση αναστολής λειτουργίας, επειδή ένας εισβολέας μπορεί να ενεργοποιήσει την επιστροφή από την κατάσταση αναστολής λειτουργίας και, στη συνέχεια, να επανεκκινήσει το φορητό υπολογιστή και να κάνει μια ένδειξη μνήμης. Η κατάσταση αδρανοποίησης (τα περιεχόμενα της μνήμης RAM αντιγράφονται στον σκληρό δίσκο) επίσης δεν θα βοηθήσει, εκτός από τη χρήση βασικών πληροφοριών σε αλλοτριωμένα μέσα για την αποκατάσταση της κανονικής λειτουργίας.

  Με τα περισσότερα συστήματα κρυπτογράφησης σκληρού δίσκου, οι χρήστες μπορούν να προστατευτούν κλείνοντας τον υπολογιστή. (Το σύστημα Bitlocker στη βασική λειτουργία της μονάδας TPM παραμένει ευάλωτο, καθώς ο δίσκος θα συνδεθεί αυτόματα όταν ο υπολογιστής είναι ενεργοποιημένος). Τα περιεχόμενα της μνήμης ενδέχεται να διατηρηθούν για σύντομο χρονικό διάστημα μετά την απενεργοποίηση, επομένως συνιστάται να παρακολουθείτε τον σταθμό εργασίας σας για μερικά λεπτά ακόμη. Παρά την αποτελεσματικότητά του, αυτό το μέτρο είναι εξαιρετικά άβολο λόγω της μεγάλης φόρτωσης των σταθμών εργασίας.

  Η αδρανοποίηση μπορεί να διασφαλιστεί με τους εξής τρόπους: απαιτείται κωδικός πρόσβασης ή κάποιο άλλο μυστικό για να "αφυπνιστεί" ο σταθμός εργασίας και κρυπτογραφήστε τα περιεχόμενα της μνήμης με ένα κλειδί που προέρχεται από αυτόν τον κωδικό πρόσβασης. Ο κωδικός πρόσβασης πρέπει να είναι ισχυρός, καθώς ένας εισβολέας μπορεί να απορρίψει τη μνήμη και στη συνέχεια να προσπαθήσει να μαντέψει τον κωδικό πρόσβασης με ωμή βία. Εάν δεν είναι δυνατή η κρυπτογράφηση ολόκληρης της μνήμης, πρέπει να κρυπτογραφηθούν μόνο εκείνες οι περιοχές που περιέχουν βασικές πληροφορίες. Ορισμένα συστήματα ενδέχεται να έχουν ρυθμιστεί ώστε να εισάγουν αυτόν τον τύπο προστατευμένου ύπνου, αν και αυτή συνήθως δεν είναι η προεπιλεγμένη ρύθμιση.

  Απόρριψη προϋπολογισμών

  Η έρευνά μας έδειξε ότι η χρήση προυπολογισμού για την επιτάχυνση των κρυπτογραφικών λειτουργιών καθιστά τις βασικές πληροφορίες πιο ευάλωτες. Ο προυπολογισμός οδηγεί στο γεγονός ότι στη μνήμη υπάρχουν περιττές πληροφορίες σχετικά με τα βασικά δεδομένα, γεγονός που επιτρέπει σε έναν εισβολέα να ανακτήσει τα κλειδιά ακόμη και αν υπάρχουν σφάλματα. Για παράδειγμα, όπως περιγράφεται στην Ενότητα 5, οι πληροφορίες σχετικά με τα κλειδιά επανάληψης των αλγορίθμων AES και DES είναι εξαιρετικά περιττές και χρήσιμες για έναν εισβολέα.

  Η απόρριψη των προυπολογισμών θα μειώσει την απόδοση, καθώς θα πρέπει να επαναληφθούν δυνητικά περίπλοκοι υπολογισμοί. Αλλά, για παράδειγμα, μπορείτε να αποθηκεύσετε τις προ-υπολογισμένες τιμές για μια συγκεκριμένη χρονική περίοδο και να διαγράψετε τα δεδομένα που λάβατε εάν δεν χρησιμοποιούνται κατά τη διάρκεια αυτού του διαστήματος. Αυτή η προσέγγιση αντιπροσωπεύει έναν συμβιβασμό μεταξύ της ασφάλειας και της απόδοσης του συστήματος.

  Επέκταση κλειδιού

  Ένας άλλος τρόπος για να αποτρέψετε την ανάκτηση κλειδιού είναι να αλλάξετε τις βασικές πληροφορίες που είναι αποθηκευμένες στη μνήμη με τέτοιο τρόπο ώστε να γίνεται πιο δύσκολη η ανάκτηση κλειδιού λόγω διαφόρων σφαλμάτων. Αυτή η μέθοδος εξετάστηκε θεωρητικά, όπου μια συνάρτηση αποδείχθηκε ότι είναι ανθεκτική στην αποκάλυψη, οι είσοδοι της οποίας παραμένουν κρυφές ακόμα κι αν ανακαλυφθούν σχεδόν όλες οι έξοδοι, κάτι που μοιάζει πολύ με τη λειτουργία μονόδρομων συναρτήσεων.

  Στην πράξη, φανταστείτε ότι έχουμε ένα κλειδί AES 256-bit K που δεν χρησιμοποιείται αυτήν τη στιγμή αλλά θα χρειαστεί αργότερα. Δεν μπορούμε να το αντικαταστήσουμε, αλλά θέλουμε να το κάνουμε ανθεκτικό στις προσπάθειες ανάκτησης. Ένας τρόπος για να επιτευχθεί αυτό είναι να εκχωρήσετε μια μεγάλη περιοχή δεδομένων B-bit, να την γεμίσετε με τυχαία δεδομένα R και, στη συνέχεια, να αποθηκεύσετε στη μνήμη το αποτέλεσμα του ακόλουθου μετασχηματισμού K + H (R) (δυαδική άθροιση, κατά προσέγγιση ed.), όπου H είναι μια συνάρτηση κατακερματισμού, όπως το SHA-256.

  Τώρα φανταστείτε ότι το ηλεκτρικό ρεύμα ήταν απενεργοποιημένο, αυτό θα έχει ως αποτέλεσμα την αλλαγή d bit σε αυτήν την περιοχή. Εάν η συνάρτηση κατακερματισμού είναι ισχυρή, όταν προσπαθεί να ανακτήσει το κλειδί K, ένας εισβολέας μπορεί να βασιστεί μόνο στο ότι μπορεί να μαντέψει ποια κομμάτια της περιοχής Β έχουν αλλάξει από τα μισά περίπου που θα μπορούσαν να έχουν αλλάξει. Εάν τα bit d έχουν αλλάξει, ο εισβολέας θα πρέπει να αναζητήσει μια περιοχή μεγέθους (B/2+d)/d για να βρει τις σωστές τιμές του R και στη συνέχεια να ανακτήσει το κλειδί K. Εάν η περιοχή B είναι μεγάλη, μια τέτοια αναζήτηση μπορεί να είναι πολύ μεγάλη, ακόμα κι αν το d είναι σχετικά μικρό.

  Θεωρητικά, μπορούμε να αποθηκεύσουμε όλα τα κλειδιά με αυτόν τον τρόπο, υπολογίζοντας κάθε κλειδί μόνο όταν το χρειαζόμαστε και διαγράφοντας το όταν δεν το χρειαζόμαστε. Έτσι, εφαρμόζοντας την παραπάνω μέθοδο, μπορούμε να αποθηκεύσουμε τα κλειδιά στη μνήμη.

  Φυσική προστασία

  Ορισμένες από τις επιθέσεις μας βασίστηκαν στη φυσική πρόσβαση σε τσιπ μνήμης. Τέτοιες επιθέσεις μπορούν να αποφευχθούν με προστασία φυσικής μνήμης. Για παράδειγμα, οι μονάδες μνήμης φυλάσσονται σε κλειστή θήκη υπολογιστή ή σφραγίζονται με εποξειδικό υλικό για να αποτρέπονται προσπάθειες αφαίρεσης ή πρόσβασης σε αυτές. Επίσης, είναι δυνατή η εφαρμογή αντικατάστασης μνήμης ως απόκριση σε χαμηλές θερμοκρασίες ή προσπάθειες ανοίγματος της θήκης. Αυτή η μέθοδος θα απαιτήσει την εγκατάσταση αισθητήρων με ανεξάρτητο σύστημα τροφοδοσίας. Πολλές από αυτές τις μεθόδους περιλαμβάνουν υλικό με προστασία από παραβιάσεις (όπως ο συνεπεξεργαστής IBM 4758) και μπορούν να αυξήσουν σημαντικά το κόστος ενός σταθμού εργασίας. Από την άλλη πλευρά, η χρήση μνήμης που είναι συγκολλημένη στη μητρική πλακέτα θα είναι πολύ φθηνότερη.

  Αλλαγή αρχιτεκτονικής

  Μπορείτε να αλλάξετε την αρχιτεκτονική του υπολογιστή. Κάτι που είναι αδύνατο για ήδη χρησιμοποιημένους υπολογιστές, αλλά θα σας επιτρέψει να εξασφαλίσετε νέους.

  Η πρώτη προσέγγιση είναι να σχεδιάσουμε τις μονάδες DRAM με τέτοιο τρόπο ώστε να διαγράφουν όλα τα δεδομένα πιο γρήγορα. Αυτό μπορεί να είναι δύσκολο, καθώς ο στόχος της διαγραφής δεδομένων όσο το δυνατόν γρηγορότερα έρχεται σε σύγκρουση με τον άλλο στόχο της μη απώλειας δεδομένων μεταξύ των περιόδων ανανέωσης μνήμης.

  Μια άλλη προσέγγιση είναι να προσθέσετε βασικό υλικό αποθήκευσης που είναι εγγυημένο ότι θα διαγράψει όλες τις πληροφορίες από την αποθήκευσή του κατά την εκκίνηση, την επανεκκίνηση και τον τερματισμό. Έτσι, θα έχουμε ένα ασφαλές μέρος για την αποθήκευση πολλών κλειδιών, αν και η ευπάθεια που σχετίζεται με τον προ-υπολογισμό τους θα παραμείνει.

  Άλλοι ειδικοί έχουν προτείνει μια αρχιτεκτονική στην οποία τα περιεχόμενα της μνήμης θα κρυπτογραφούνται μόνιμα. Εάν, εκτός από αυτό, εφαρμόσουμε τη διαγραφή των κλειδιών κατά την επανεκκίνηση και τη διακοπή ρεύματος, τότε αυτή η μέθοδος θα παρέχει επαρκή προστασία από τις επιθέσεις που περιγράψαμε.

  Αξιόπιστη Υπολογιστική

  Υλικό που αντιστοιχεί στην έννοια του "αξιόπιστου υπολογισμού", για παράδειγμα, με τη μορφή μονάδων TPM, χρησιμοποιείται ήδη σε ορισμένους υπολογιστές. Παρά τη χρησιμότητά τους στην προστασία από ορισμένες επιθέσεις, στην τρέχουσα μορφή τους, τέτοιος εξοπλισμός δεν βοηθά στην πρόληψη των επιθέσεων που περιγράψαμε.

  Οι λειτουργικές μονάδες TPM που χρησιμοποιούνται δεν εφαρμόζουν πλήρη κρυπτογράφηση. Αντίθετα, παρακολουθούν τη διαδικασία εκκίνησης για να αποφασίσουν εάν είναι ασφαλές να εκκινήσετε το κλειδί στη μνήμη RAM ή όχι. Εάν το λογισμικό χρειάζεται να χρησιμοποιήσει το κλειδί, τότε μπορεί να εφαρμοστεί η ακόλουθη τεχνολογία: το κλειδί, σε χρησιμοποιήσιμη μορφή, δεν θα αποθηκευτεί στη μνήμη RAM έως ότου η διαδικασία εκκίνησης προχωρήσει σύμφωνα με το αναμενόμενο σενάριο. Όμως, μόλις το κλειδί βρίσκεται στη μνήμη RAM, γίνεται αμέσως στόχος των επιθέσεων μας. Οι μονάδες TPM μπορούν να εμποδίσουν τη φόρτωση του κλειδιού στη μνήμη, αλλά δεν εμποδίζουν την ανάγνωσή του από τη μνήμη.

  συμπεράσματα

  Σε αντίθεση με τη δημοφιλή πεποίθηση, οι μονάδες DRAM αποθηκεύουν δεδομένα για σχετικά μεγάλο χρονικό διάστημα όταν είναι απενεργοποιημένα. Τα πειράματά μας έδειξαν ότι αυτό το φαινόμενο καθιστά δυνατή την υλοποίηση μιας ολόκληρης κατηγορίας επιθέσεων που σας επιτρέπουν να λαμβάνετε σημαντικά δεδομένα, όπως κλειδιά κρυπτογράφησης, από τη μνήμη RAM, παρά τις προσπάθειες του λειτουργικού συστήματος να προστατεύσει το περιεχόμενό της. Οι επιθέσεις που περιγράφουμε είναι υλοποιήσιμες στην πράξη και τα παραδείγματα επιθέσεων μας σε δημοφιλή συστήματα κρυπτογράφησης το αποδεικνύουν.

  Αλλά και άλλοι τύποι λογισμικού είναι επίσης ευάλωτοι. Τα συστήματα διαχείρισης ψηφιακών δικαιωμάτων (DRM) χρησιμοποιούν συχνά συμμετρικά κλειδιά που είναι αποθηκευμένα στη μνήμη και αυτά μπορούν επίσης να ληφθούν χρησιμοποιώντας τις μεθόδους που περιγράφονται. Όπως έχουμε δείξει, οι διακομιστές ιστού με δυνατότητα SSL είναι επίσης ευάλωτοι επειδή αποθηκεύουν στη μνήμη τα ιδιωτικά κλειδιά που απαιτούνται για τη δημιουργία περιόδων σύνδεσης SSL. Οι μέθοδοι αναζήτησης βασικών πληροφοριών είναι πιθανό να είναι αποτελεσματικές για την εύρεση κωδικών πρόσβασης, αριθμών λογαριασμού και οποιασδήποτε άλλης σημαντικής πληροφορίας που είναι αποθηκευμένη στη μνήμη RAM.

  Φαίνεται ότι δεν υπάρχει εύκολος τρόπος να εξαλειφθούν τα τρωτά σημεία που βρέθηκαν. Η αλλαγή του λογισμικού πιθανότατα δεν θα είναι αποτελεσματική. Οι αλλαγές υλικού θα βοηθήσουν, αλλά το κόστος χρόνου και πόρων θα είναι υψηλό. Η τεχνολογία του «έμπιστου υπολογισμού» στην τρέχουσα μορφή της δεν είναι επίσης πολύ αποτελεσματική, αφού δεν μπορεί να προστατεύσει τα κλειδιά που βρίσκονται στη μνήμη.

  Κατά τη γνώμη μας, οι φορητοί υπολογιστές, οι οποίοι βρίσκονται συχνά και λειτουργούν σε λειτουργίες ευάλωτες σε αυτές τις επιθέσεις, είναι περισσότερο εκτεθειμένοι σε αυτόν τον κίνδυνο. Η παρουσία τέτοιων κινδύνων δείχνει ότι η κρυπτογράφηση δίσκου προστατεύει σημαντικά δεδομένα σε μικρότερο βαθμό από ό,τι πιστεύεται συνήθως.

  Ως αποτέλεσμα, ίσως χρειαστεί να θεωρήσετε τη μνήμη DRAM ως μη αξιόπιστο στοιχείο ενός σύγχρονου υπολογιστή και να αποφύγετε την επεξεργασία σημαντικών εμπιστευτικών πληροφοριών.

Συγγραφέας: Paddy Landau
Ημερομηνία δημοσίευσης: Σεπτέμβριος 2012
Μετάφραση: Semenenko V.
Ημερομηνία δημοσίευσης της μετάφρασης: 13 Νοεμβρίου 2012

Όταν εγκαθιστάτε το λειτουργικό σύστημα Ubuntu, μπορεί να μην σκεφτείτε να ρυθμίσετε την κρυπτογράφηση δεδομένων σε αυτό. Ή μπορεί να υπάρχει μια κατάσταση όπου προσθέτετε έναν χρήστη στο σύστημα χωρίς να κρυπτογραφήσετε τον αρχικό του κατάλογο. Αλλά τώρα αλλάξατε γνώμη και αποφασίσατε να ρυθμίσετε την προστασία αυτού του καταλόγου. Με άλλα λόγια, εσείς (ή ένας άλλος χρήστης στον υπολογιστή) θέλετε μια δυνατότητα που δεν υπάρχει αυτήν τη στιγμή...

Δημιουργία κρυπτογραφημένου διαμερίσματος στο Ubuntu

Πώς μπορείτε να προσθέσετε δυνατότητα κρυπτογράφησης σε ένα ήδη εγκατεστημένο σύστημα Ubuntu Linux;

Ευτυχώς, είναι αρκετά εύκολο να εφαρμοστεί. Για να το κάνετε αυτό, απλώς ακολουθήστε τρία βασικά βήματα:

• δημιουργήστε ένα κρυπτογραφημένο αντίγραφο του οικιακού σας καταλόγου.
• διαγράψτε τον αρχικό μη κρυπτογραφημένο οικιακό κατάλογο.
• κρυπτογραφήστε το διαμέρισμα swap (εκτελείται μόνο μία φορά, κατά την εγκατάσταση ενός συστήματος Ubuntu ή όταν ακολουθείτε αυτόν τον οδηγό βήμα προς βήμα).

Τα βήματα σε αυτό το άρθρο εκτελέστηκαν σε ένα πλήρως ενημερωμένο σύστημα Ubuntu Precise 12.04.

Εκπαίδευση

Λόγω ενός τρέχοντος σφάλματος στο Ubuntu Linux, δεν μπορείτε να συνδεθείτε εάν το εξώφυλλο του παραθύρου σύνδεσης βρίσκεται στον κρυπτογραφημένο αρχικό φάκελο του χρήστη. Εάν ο χρήστης έχει αλλάξει την προεπιλεγμένη εμφάνιση, βεβαιωθείτε ότι δεν βρίσκεται επίσης στον αρχικό φάκελο του χρήστη.

Η δημιουργία ενός κρυπτογραφημένου αντιγράφου του οικιακού καταλόγου του χρήστη είναι μια ασφαλής διαδικασία. Ωστόσο, αξίζει να προσέξουμε ότι απαιτείται συγκεκριμένος χώρος στον σκληρό δίσκο για την υλοποίησή του. Εάν αποδειχθεί ότι υπάρχει πολύ λίγος χώρος, πρέπει να δημιουργήσετε αντίγραφα ασφαλείας των δεδομένων και, στη συνέχεια, να διαγράψετε όλα τα μεγάλα αρχεία (για παράδειγμα, ταινίες) από αυτό και να τα επαναφέρετε από αυτό το αντίγραφο ασφαλείας αφού ολοκληρωθεί η κρυπτογράφηση. Γενικά συνιστώ να δημιουργήσετε αντίγραφα ασφαλείας όλων των δεδομένων σας για να αποφύγετε πιθανά προβλήματα.

Χρησιμοποιώντας τον διαχειριστή πακέτων που προτιμάτε, εγκαταστήστε το πρόγραμμα encrypt-utils.

Κρυπτογράφηση

Σε αυτό το σεμινάριο, θα χρησιμοποιήσω το login του paddy ως όνομα χρήστη για να ενεργήσω. Πρέπει να το αντικαταστήσετε με το όνομα του χρήστη του οποίου ο αρχικός κατάλογος θα είναι κρυπτογραφημένος.

Επανεκκινήστε το Ubuntu Linux και μεταβείτε στη "Λειτουργία αποκατάστασης". Μια συμβουλή - ενώ το σύστημα εκκινείται, πατήστε και κρατήστε πατημένο το πλήκτρο Shift για να ανοίξετε το μενού Grub. Συνήθως η γραμμή "Recovery Mode" (Recovery Mode) βρίσκεται δεύτερη από την κορυφή στη λίστα αυτού του bootloader.

Από το μενού της λειτουργίας ανάκτησης, επιλέξτε "Drop" για να εμφανιστεί η γραμμή εντολών για τον λογαριασμό root.

Για να διορθώσετε το σφάλμα προγραμματισμού που αναφέρεται στην αρχή αυτού του άρθρου, πληκτρολογήστε τις ακόλουθες δύο εντολές:

Mount --επιλογές remount,rw / mount --all

Τώρα μπορούμε να δημιουργήσουμε ένα κρυπτογραφημένο αντίγραφο του αρχικού καταλόγου του χρήστη paddy. Για να το κάνετε αυτό, πληκτρολογήστε την παρακάτω εντολή. Ταυτόχρονα, κάντε τον κόπο να θυμηθείτε τον δικό σας κωδικό πρόσβασης, καθώς αυτό το βοηθητικό πρόγραμμα θα του ζητήσει να ολοκληρώσει τη λειτουργία:

cryptfs-migrate-home --user paddy

Όταν ολοκληρωθεί η διαδικασία κρυπτογράφησης, θα δείτε πολλές προειδοποιήσεις. Μπορείτε να τα αγνοήσετε. Αλλά θα χρειαστεί να θυμάστε τη διαδρομή προς τον προσωρινό φάκελο που δημιουργήθηκε από αυτήν την εντολή. Η εμφάνισή του θα είναι κάπως έτσι:

/home/paddy.ChPzzxqD

Σε αυτήν την περίπτωση, οι τελευταίοι οκτώ χαρακτήρες (μετά την τελεία) είναι ένα τυχαίο σύνολο. Θα χρειαστείτε αυτόν τον κατάλογο στα επόμενα βήματα "Ολοκλήρωση" ή "Επιστροφή στην αρχική κατάσταση", τα οποία θα συζητηθούν αργότερα.

Κάντε επανεκκίνηση του συστήματος Ubuntu Linux. Για να το κάνετε αυτό, εισάγετε την εντολή:

Κάντε επανεκκίνηση τώρα

Μπορεί να χρειαστούν μερικά δευτερόλεπτα μετά την πληκτρολόγηση και την εκτέλεση της εντολής, οπότε να είστε υπομονετικοί.

Ολοκλήρωση

Συνδεθείτε στο σύστημά σας Ubuntu με τον συνηθισμένο τρόπο, όπως κάνατε κάθε φορά. Ελέγξτε ότι όλα λειτουργούν όπως πριν.

Εάν κάτι δεν πάει καλά, μπορείτε να μεταβείτε αμέσως στο στοιχείο "Επιστροφή στην αρχική κατάσταση".

Εάν όλα στο σύστημα λειτουργούν καλά, ολοκληρώστε τα τελευταία βήματα.

Ανοίξτε το τερματικό και πληκτρολογήστε την εντολή διαγραφής του προσωρινού καταλόγου. Για να το κάνετε αυτό, θα πρέπει να θυμάστε τη διαδρομή προς τον προσωρινό φάκελο που δημιουργήθηκε κατά την κρυπτογράφηση του αρχικού καταλόγου.

Sudo rm -R /home/paddy.ChPzzxqD

Επαναφέρετε τα δεδομένα που διαγράψατε (αν υπάρχουν) στο βήμα "Προετοιμασία".

Ανοίξτε ξανά το τερματικό και πληκτρολογήστε την εντολή κρυπτογράφησης του διαμερίσματος swap. Εάν είχατε προηγουμένως διαμορφώσει έναν χρήστη με κρυπτογράφηση οικιακού καταλόγου, μπορείτε να παραλείψετε με ασφάλεια αυτό το βήμα:

sudo ecryptfs-setup-swap

Κάντε επανεκκίνηση ξανά.

Επιστροφή στην αρχική κατάσταση

Εάν η διαδικασία κρυπτογράφησης απέτυχε, θα χρειαστεί να επαναλάβετε ξανά τα προηγούμενα βήματα.

Εκτέλεση εντολών:

Mount --options remount,rw / mount --all ecryptfs-migrate-home --user paddy

Στη συνέχεια, πληκτρολογήστε την εντολή για να δείτε τα περιεχόμενα του προσωρινού φακέλου που δημιουργήθηκε κατά τη διαδικασία κρυπτογράφησης. Για να το κάνετε αυτό, πρέπει και πάλι να θυμάστε τη διαδρομή προς αυτό. Αυτό δεν πρέπει να δημιουργεί σφάλματα. Εάν το κάνουν, τότε χρειάζεστε βοήθεια.

ls -l /home/paddy.ChPzzxqD

Τώρα ολοκληρώστε τη διαδικασία επαναφοράς εκδίδοντας τρεις εντολές:

Cd /home rm -R paddy .ecryptfs/paddy mv paddy.ChPzzxqD

Κάντε επανεκκίνηση ξανά.

Ελπίζουμε ότι τα παραπάνω βήματα σας βοήθησαν. Εάν έχετε άλυτα προβλήματα, μπορείτε να δημοσιεύσετε ένα αίτημα στο νήμα του φόρουμ μου στο Ubuntu:

Λειτουργία αδράνειας όταν είναι κρυπτογραφημένη

Οι περισσότεροι χρήστες συχνά αναρωτιούνται γιατί δεν υπάρχει αδρανοποίηση (αδρανοποίηση) στο λειτουργικό σύστημα Ubuntu μετά την εκτέλεση των προηγούμενων λειτουργιών (που περιγράφονται νωρίτερα σε αυτό το άρθρο) και πώς να επαναφέρετε αυτήν τη δυνατότητα. Ο λόγος είναι η διαμορφωμένη κρυπτογράφηση. Εάν έχετε διαμορφώσει την κρυπτογράφηση οικιακού καταλόγου, το διαμέρισμα ανταλλαγής είναι επίσης κρυπτογραφημένο, αλλά με ένα τυχαίο κλειδί. Όταν βάζετε το σύστημα σε κατάσταση αδρανοποίησης, τα δεδομένα RAM αποθηκεύονται στο διαμέρισμα swap και κρυπτογραφούνται με ένα τυχαίο κλειδί. Κατά την επαναφορά του συστήματος από την κατάσταση αδρανοποίησης, το κλειδί που χρησιμοποιήθηκε για την κρυπτογράφηση του διαμερίσματος swap έχει ήδη χαθεί ανεπανόρθωτα και το σύστημα δεν μπορεί να διαβάσει αυτό το διαμέρισμα. Συνεπώς, τα δεδομένα δεν μπορούν να ανακτηθούν και δεν είναι δυνατή η επιστροφή στην προηγούμενη κατάσταση.

Εάν δεν έχετε διαμορφώσει τις παραμέτρους κρυπτογράφησης διαμερισμάτων στο σύστημά σας, η επαναφορά της αδρανοποίησης στο Ubuntu είναι εύκολη. Για να το κάνετε αυτό, απλώς εκτελέστε τις εντολές:

ls -l /home/paddy.ChPzzxqD rm -R paddy .ecryptfs/paddy

Αλλά εάν το διαμέρισμα οικίας του χρήστη και το διαμέρισμα ανταλλαγής είναι κρυπτογραφημένα στο σύστημα, είναι απαραίτητο να αντικαταστήσετε την κρυπτογράφηση του διαμερίσματος swap με μια προεπιλεγμένη φράση πρόσβασης και όχι με ένα τυχαίο κλειδί.

Ωστόσο, σημειώστε ότι κάθε χρήστης στον υπολογιστή θα πρέπει να γνωρίζει αυτήν τη φράση πρόσβασης κατά την εκκίνηση του συστήματος.

Δοκίμασα αυτήν τη μέθοδο και στις δύο περιπτώσεις - τόσο σε ένα κανονικό σύστημα Ubuntu 12.04 όσο και σε ένα σύστημα Ubuntu που είναι εγκατεστημένο σε μια εικονική μηχανή VirtualBox. Στην τελευταία περίπτωση, υπήρχαν προβλήματα με την εμφάνιση της οθόνης κατά την επαναφορά από την κατάσταση αναστολής λειτουργίας. Αλλά σε ένα κανονικό σύστημα όλα λειτουργούσαν καλά.

Εκπαίδευση

Εισαγάγετε την ακόλουθη εντολή στο τερματικό:

sudo cryptsetup κατάστασης εναλλαγή κρυπτών 1

Ως αποτέλεσμα, θα δείτε μια γραμμή στην οποία θα οριστεί η συσκευή, που μοιάζει με αυτό:

/dev/sda1

/dev/sdb5

Αυτή η συσκευή είναι το διαμέρισμα ανταλλαγής στο σύστημά σας. Θυμηθείτε το, καθώς θα το χρειαστείτε αργότερα.

Συνιστώ πάντα να δημιουργείτε ένα πλήρες αντίγραφο ασφαλείας των δεδομένων σας κάθε φορά που κάνετε αλλαγές στο σύστημα. Στην περίπτωσή μας, θα είναι επίσης χρήσιμο.

Ρύθμιση ύπνου

Εισαγάγετε τις ακόλουθες εντολές. Βεβαιωθείτε ότι έχετε αντικαταστήσει το /dev/sdXN με το διαμέρισμα swap που δημιουργήθηκε στην ενότητα "Προετοιμασία". Κατά την εισαγωγή εντολών, θα πρέπει να τηρείτε αυστηρά την καθορισμένη σειρά:

sudo swapoff /dev/mapper/cryptswap1 sudo cryptsetup luksClose /dev/mapper/cryptswap1 sudo cryptsetup luksΜορφοποίηση κρυπτογράφησης aes cbc essiv:sha256 επαλήθευση κλειδιού φράσης πρόσβασης μεγέθους 256 /dev/sdXN ΠΡΟΕΙΔΟΠΟΙΗΣΗ! ======== Αυτό θα αντικαταστήσει τα δεδομένα στο /dev/sda1 αμετάκλητα. Είσαι σίγουρος? (Πληκτρολογήστε κεφαλαία ναι): ΝΑΙ Εισαγάγετε τη φράση πρόσβασης LUKS: Επαλήθευση φράσης πρόσβασης: sudo cryptsetup luksOpen /dev/sdXN cryptswap1

Εισαγάγετε τη φράση πρόσβασης για τη συσκευή /dev/sda1 (και επαναλάβετε την για να αποφύγετε τυπογραφικό λάθος):

sudo mk swap /dev/mapper/crypt swap 1 sudo swapon --all swapon -s

Η τελευταία εντολή θα εμφανίσει το όνομα αρχείου συσκευής /dev/crypt swap 1 .

Ανοίξτε το αρχείο διαμόρφωσης /etc/crypttab στο πρόγραμμα επεξεργασίας που προτιμάτε. Αντικαταστήστε τη γραμμή crypt swap 1 με το ακόλουθο (μην ξεχάσετε να αλλάξετε το /dev/sdXN στη συσκευή swap σας):

Cryptswap1 /dev/sdXN κανένας luks

Τώρα επεξεργαστείτε το αρχείο /usr/share/initramfstools/scripts/local-top/cryptroot . Σε αυτό, βρείτε τη γραμμή (συνήθως έχει τον αριθμό 288, αλλά μπορεί να αλλάξει):

Μήνυμα "cryptsetup: άγνωστο σφάλμα κατά τη ρύθμιση της χαρτογράφησης συσκευής"

Μεταβείτε στην επόμενη κενή γραμμή (πριν από το FSTYPE=") και εισαγάγετε μια νέα γραμμή (μην ξεχάσετε να αντικαταστήσετε τη συσκευή /dev/sdXN):

/sbin/cryptsetup luksΆνοιγμα /dev/sdXN εναλλαγή κρυπτών 1

Επεξεργαστείτε το αρχείο /etc/acpi/hibetnate.sh. Στην πρώτη κενή γραμμή, επικολλήστε την τιμή:

DEVICE="/dev/mapper/crypt swap 1"

Επεξεργαστείτε το αρχείο /etc/initramfstools/conf.d/resume. Αντικαταστήστε την υπάρχουσα γραμμή σε αυτήν με το εξής:

RESUME=/dev/mapper/crypt swap 1

Στη συνέχεια, επεξεργαστείτε το αρχείο /etc/polkit1/localauthoriyt/50-local.d/com.ubuntu.enable-hibernate.pkla . Το αρχείο δεν υπάρχει αρχικά, επομένως θα πρέπει πρώτα να το δημιουργήσετε. Στη συνέχεια, προσθέστε τις γραμμές σε αυτό:

Identity=unixuser:* Action=org.freedesktop.upower.hibernate ResultActive=yes

Τέλος, ανοίξτε ένα τερματικό και πληκτρολογήστε την ακόλουθη εντολή σε αυτό:

Sudo ενημέρωση initramfs u k όλα

Επανεκκίνηση.

Χρήση της λειτουργίας ύπνου

Την επόμενη φορά που θα ξεκινήσετε το Ubuntu Linux, θα σας ζητήσει μια νέα φράση πρόσβασης για το διαμέρισμα ανταλλαγής. Εισαγάγετε το και η περαιτέρω κανονική διαδικασία σύνδεσης θα συνεχιστεί.

Εάν ξεχάσατε ξαφνικά τη φράση πρόσβασης, εισαγάγετε κάτι. Μετά τρεις αποτυχημένες προσπάθειεςτο σύστημα θα συνεχίσει τη διαδικασία σύνδεσης ούτως ή άλλως, αλλά χωρίς να προσαρτήσει το διαμέρισμα ανταλλαγής. Για να λάβετε μια νέα λέξη-κλειδί, ακολουθήστε ξανά τις οδηγίες βήμα προς βήμα που περιγράφονται σε αυτό το άρθρο.

Τώρα θα βρείτε τη λειτουργία "Hibernate" στο μενού τερματισμού λειτουργίας του Ubuntu Linux και μπορείτε να τη χρησιμοποιήσετε. Εάν θέλετε να εισέλθετε σε κατάσταση αναστολής λειτουργίας από τη γραμμή εντολών, απλώς πληκτρολογήστε την ακόλουθη εντολή στο τερματικό.

Χρησιμοποιώντας μονάδες cloud, οι χρήστες ενδιαφέρονται όλο και περισσότερο για την κρυπτογράφηση σε διανομές linux. Θα σας παρουσιάσω ένα ενδιαφέρον πρόγραμμα «κρυπτογράφησης cloud».

Έχετε σκεφτεί ποτέ ότι καθαρά θεωρητικά, αυτά τα αρχεία που αποθηκεύετε στο χώρο αποθήκευσης cloud, καθαρά τεχνικά, μπορούν να γίνουν δημόσια μέσα σε λίγα λεπτά υπό ορισμένες συνθήκες. Προσωπικά, δεν είμαι, και με όλη την έλλειψη παράνοιας που μου χαρακτηρίζει, δημοσιεύω αυτές τις πληροφορίες αποκλειστικά για όσους είναι «ήδη κοπανισμένοι από το ΖΩΓ», γιατί όπως έλεγε το παλιό ανέκδοτο: «Αν δεν είσαι παρανοϊκός, αυτό δεν σημαίνει ότι δεν διώκεσαι». Ακολούθησέ με λοιπόν. οι φιλοι.

Το Linux εφαρμόζει κρυπτογράφηση δίσκου με διάφορους τρόπους και σε διάφορα επίπεδα. Υπάρχουν εκατοντάδες τρόποι κρυπτογράφησης ενός ολόκληρου δίσκου. Θα δείξω απλώς το έργο του προγράμματος που μου αρέσει, το οποίο μπορεί να καταλάβει ακόμα και ένας noob σαν εμένα. Αυτή η εφαρμογή ονομάζεται Cryptomator.

Τι μου άρεσε σε αυτό:

• Λειτουργεί τέλεια και άμεσα με το Google Drive, το Yandex Disk, το OneDrive, το Mail.ru Cloud, το Dropbox, το ownCloud, το Nextcloud και, γενικά, με οποιαδήποτε υπηρεσία αποθήκευσης cloud που μπορεί να συγχρονιστεί με έναν τοπικό κατάλογο.
• είναι μια εφαρμογή ανοιχτού κώδικα, η οποία υποδεικνύει τη δυνατότητα ελέγχου για κερκόπορτες και άλλα πράγματα.
• εκτελεί κρυπτογράφηση AES με μήκος 256 bit.
• ανοιχτού κώδικα που σημαίνει ότι δεν υπάρχουν κερκόπορτες.
• κρυπτογραφεί ονόματα αρχείων και θολώνει τη δομή του φακέλου.
• μπορεί να χρησιμοποιηθεί τοπικά, δεν απαιτείται σύνδεση στο Διαδίκτυο.

Στην πραγματικότητα, η κρυπτογράφηση πραγματοποιείται σε έναν τοπικό υπολογιστή και, στη συνέχεια, συγχρονίζεται με το cloud, οπότε ακόμα κι αν κάποιος αποκτήσει πρόσβαση στο χώρο αποθήκευσης στο cloud, θα δει ένα σύνολο αρχείων και φακέλων με όνομα abracadabra και το ίδιο περιεχόμενο.

Μου άρεσε αυτή η εφαρμογή για δύο λόγους, ο πρώτος είναι μια ενδιαφέρουσα και βολική εφαρμογή σύνδεσης κρυπτογραφημένων κοντέινερ όπως ένας εικονικός σκληρός δίσκος. Υλοποιείται από τον τύπο σύνδεσης μονάδας USB. Και το δεύτερο είναι cross-platform, το cryptomator είναι διαθέσιμο για Linux, Windows και Mac OS. Δηλαδή, εάν έχετε Linux στο σπίτι, Mac OS στη δουλειά και Windows στον ελεύθερο χρόνο σας, τότε μπορείτε εύκολα να αποκτήσετε πρόσβαση στα κρυπτογραφημένα αρχεία σας στο cloud απλά εγκαθιστώντας το Cryptomator και εισάγοντας τον κωδικό πρόσβασής σας σε αυτό.

Εγκατάσταση του Cryptomator - μια εφαρμογή που κρυπτογραφεί αρχεία και φακέλους στο Linux

Για εγκατάσταση σε Ubuntu και παράγωγα, πληκτρολογήστε στο τερματικό:

#add repository sudo add-apt-repository ppa:sebastian-stenzel/cryptomator #update rep package lists sudo apt-get update #direct install Cryptomator sudo apt-get install cryptomator

Η εγκατάσταση στο Arch Linux και τα παράγωγά του είναι τόσο εύκολη όσο ποτέ

Yaourt -S cryptomator #Δεν θα γράψω για το pacaur και έτσι είναι ξεκάθαρο

Η εγκατάσταση σε Fedora, Centos και άλλες διανομές rpm γίνεται με απλή λήψη ενός πακέτου δυαδικών rpm και εγκαθιστώντας το.
Κατεβάστε το πακέτο rpm

Χρησιμοποιώντας το Cryptomator

Έτσι μοιάζει η δημιουργία ενός νέου αποθετηρίου

Επιλέγοντας τον κατάλογο στον οποίο θα δημιουργηθεί ο κρυπτογραφημένος κατάλογος

Αυτός ο κατάλογος μπορεί να είναι είτε τοπικός είτε συγχρονισμένος κατάλογος στον αποθηκευτικό χώρο σας στο cloud.

Δημιουργούμε ένα ισχυρό κλειδί, το οποίο θα χρησιμοποιήσουμε στο μέλλον για να συνδέσουμε τον κρυπτογραφημένο αποθηκευτικό μας χώρο.

Μετά από αυτό, μένει μόνο να εισαγάγετε το κλειδί που δημιουργήθηκε πρόσφατα και το κρυπτογραφημένο διαμέρισμα προσαρτάται.

Στο παραπάνω στιγμιότυπο οθόνης, έριξα ένα πακέτο με αρχεία 536,9 megabyte στον προσαρτημένο φάκελο κρυπτογράφησης και μου έφτιαξε αυτό το σωρό μικρά αρχεία σε 1 λεπτό.