Программное обеспечение для шифрования диска — это программное обеспечение компьютерной безопасности , которое защищает конфиденциальность данных, хранящихся на компьютерном носителе (например, жестком диске , дискете или USB-устройстве ), с помощью шифрования диска .
По сравнению с контролем доступа, обычно реализуемым операционной системой (ОС), шифрование пассивно защищает конфиденциальность данных, даже когда ОС не активна, например, если данные считываются непосредственно с оборудования или другой ОС. Кроме того, крипто-измельчение исключает необходимость стирания данных в конце жизненного цикла диска.
Шифрование диска обычно относится к оптовому шифрованию, которое работает на всем томе , в основном прозрачно для пользователя, системы и приложений. Обычно это отличается от шифрования на уровне файлов, которое выполняется пользователем по вызову одного файла или группы файлов и требует от пользователя решения, какие конкретные файлы следует зашифровать. Шифрование диска обычно включает в себя все аспекты диска, включая каталоги, поэтому злоумышленник не может определить содержимое, имя или размер любого файла. Он хорошо подходит для портативных устройств, таких как портативные компьютеры и флэш-накопители , которые особенно подвержены потере или краже. При правильном использовании тот, кто найдет потерянное устройство, не сможет проникнуть в реальные данные или даже узнать, какие файлы могут там присутствовать.
Данные диска защищены с помощью симметричной криптографии с ключом, генерируемым случайным образом при первом установлении шифрования диска. Этот ключ сам по себе каким-то образом зашифрован с использованием пароля или кодовой фразы, известной (в идеале) только пользователю. После этого, чтобы получить доступ к данным диска, пользователь должен ввести пароль, чтобы сделать ключ доступным для программного обеспечения. Это необходимо делать через некоторое время после каждого запуска операционной системы, прежде чем зашифрованные данные можно будет использовать.
Выполненное в программном обеспечении шифрование обычно работает на уровне между всеми приложениями и большинством системных программ и драйверами устройств низкого уровня путем «прозрачного» (с точки зрения пользователя) шифрования данных после того, как они созданы программой, но до того, как они будут физически записано на диск. И наоборот, он расшифровывает данные сразу после чтения, но до того, как они будут представлены программе. При правильном выполнении программы не знают об этих криптографических операциях.
Некоторые программы шифрования дисков (например, TrueCrypt или BestCrypt ) предоставляют функции, которые обычно невозможно реализовать при аппаратном шифровании диска : возможность монтировать файлы-контейнеры как зашифрованные логические диски с собственной файловой системой ; и зашифрованные логические «внутренние» тома, которые тайно спрятаны в свободном пространстве более очевидных «внешних» томов. Такие стратегии обеспечивают правдоподобное отрицание .
Хорошо известные примеры программного обеспечения для шифрования дисков включают BitLocker для Windows; FileVault для Apple OS/X; LUKS — стандартное бесплатное программное обеспечение, в основном для Linux , и TrueCrypt — некоммерческое бесплатное приложение для Windows, OS/X и Linux.
Некоторые системы шифрования дисков, такие как VeraCrypt , CipherShed (активные версии прекращенного проекта TrueCrypt с открытым исходным кодом ), BestCrypt (проприетарная пробная версия), предлагают уровни правдоподобного отрицания , что может быть полезно, если пользователь вынужден раскрыть пароль зашифрованного диска. объем.
Скрытые тома — это стеганографическая функция, которая позволяет второму, «скрытому» тому находиться в кажущемся свободном пространстве видимого тома-контейнера (иногда называемого «внешним» томом). Скрытый том имеет собственную файловую систему, пароль и ключ шифрования, отличные от тома-контейнера.
Содержимое скрытого тома зашифровано и находится в свободном пространстве файловой системы внешнего тома — пространстве, которое в противном случае было бы заполнено случайными значениями, если бы скрытый том не существовал. Когда внешний контейнер подключается к сети с помощью программного обеспечения для шифрования диска, подключение внутреннего или внешнего тома зависит от предоставленного пароля. Если «обычный» пароль/ключ внешнего тома окажется действительным, внешний том монтируется; если пароль/ключ скрытого тома окажется действительным, тогда (и только тогда) можно будет обнаружить существование скрытого тома, и он будет смонтирован; в противном случае, если пароль/ключ не может успешно расшифровать ни внутренний, ни внешний дескриптор тома, ни один из них не монтируется.
Как только скрытый том будет создан внутри видимого тома-контейнера, пользователь будет хранить важную информацию (но которую пользователь на самом деле не против раскрыть) во внешнем томе, тогда как более конфиденциальная информация хранится внутри скрытого тома.
Если пользователь вынужден раскрыть пароль, он может раскрыть пароль внешнего тома, не раскрывая существования скрытого тома. Скрытый том не будет скомпрометирован, если пользователь примет определенные меры предосторожности при перезаписи свободных областей «хостового» диска. [2]
Тома, независимо от того, хранятся ли они в файле или устройстве/разделе, могут намеренно не содержать каких-либо заметных «подписей» или незашифрованных заголовков. Поскольку алгоритмы шифрования разработаны так, чтобы их можно было отличить от псевдослучайной перестановки без знания ключа , присутствие данных в зашифрованном томе также невозможно обнаружить, если в шифре не известны слабые места. [3] Это означает, что невозможно доказать, что какой-либо файл или раздел является зашифрованным томом (а не случайными данными), не имея пароля для его монтирования. Эта характеристика также не позволяет определить, содержит ли том другой скрытый том.
Том, размещенный в файле (в отличие от разделов), в некоторых случаях может выглядеть неуместным, поскольку это будут полностью случайные данные, намеренно помещенные в файл. Однако том, размещенный на разделе или устройстве, не будет отличаться от раздела или устройства, очищенного с помощью обычного инструмента очистки диска, такого как Darik's Boot и Nuke . Можно обоснованно утверждать, что такое устройство или раздел были стерты для очистки личных данных.
Портативный или «режим путешественника» означает, что программное обеспечение для шифрования можно запускать без установки на жесткий диск системы. В этом режиме программное обеспечение обычно устанавливает временный драйвер с портативного носителя. Поскольку происходит установка драйвера (хотя и временно), права администратора по-прежнему необходимы.
Некоторые программы шифрования дисков позволяют изменять размер зашифрованных томов. Не многие системы реализуют это в полной мере и для достижения этой цели прибегают к использованию « разреженных файлов ». [ нужна цитата ]
Зашифрованные тома содержат данные «заголовка» (или «CDB»), для которых можно создать резервную копию. Перезапись этих данных приведет к уничтожению тома, поэтому возможность резервного копирования будет полезна.
Восстановление резервной копии этих данных может привести к сбросу пароля тома до того, который был на момент создания резервной копии.
{{cite journal}}: Требуется цитировать журнал |journal=( помощь )