Sulitkan data tidak berfungsi pada Android. penyulitan peranti Android. Peranan khas kad memori

Pergaduhan antara Apple dan FBI telah membawa perhatian baharu kepada kepentingan penyulitan. Terlepas dari hakikat bahawa setiap orang mungkin mempunyai pendapat mereka sendiri mengenai perkara ini, tidak perlu menjelaskan kepentingan melindungi data peribadi anda, dan semuanya bermula dengan telefon pintar.

Simpan peranti ini gambar peribadi, mesej peribadi, mesej emel, dan kadangkala maklumat kesihatan yang sensitif. Jika data ini jatuh ke tangan yang salah, ia boleh membawa akibat yang dahsyat. Menggunakan kata laluan abjad angka ialah satu langkah ke arah yang betul, tetapi anda juga harus mempertimbangkan untuk menyulitkan peranti.

iPhone, iPad dan kebanyakan peranti Android boleh disulitkan. Inilah yang anda perlu tahu.

iOS.

Apple memperkenalkan penyulitan peranti bermula dengan iOS 8 pada 2014. Menghidupkan peranti yang disulitkan memerlukan memasukkan kata laluan atau cap jari. Walaupun kod PIN empat digit asas juga sesuai di sini, untuk perlindungan yang lebih baik Saya mengesyorkan menggunakan kod laluan berangka yang lebih panjang atau kata laluan abjad angka.
  • Masukkan "Tetapan".
  • Pilih Touch ID & Kod Laluan (atau Kod Laluan untuk peranti lama tanpa penderia cap jari).
  • Klik pada pilihan "Dayakan Kata Laluan".
  • Masuk kata laluan yang kompleks atau kod keselamatan (Pastikan anda menulisnya di suatu tempat, jangan bergantung pada ingatan anda. Jika anda terlupa kata laluan, anda tidak akan dapat melog masuk ke telefon anda; anda perlu menetapkannya semula kepada keadaan kilang dengan kehilangan semua data.)

Android.

Pada Android proses ini sedikit lebih rumit. Telefon dan tablet Nexus disertakan dengan penyulitan dihidupkan secara lalai. Kebanyakan peranti baharu yang dihantar dengan Android 6.0, seperti Galaxy S7 dan Galaxy S7 Edge, turut dijual dengan penyulitan didayakan. Sama seperti iPhone, anda hanya perlu menambah kata laluan atau cap jari untuk mendayakan penyulitan secara langsung.
  • Masukkan "Tetapan".
  • Pergi ke halaman "Keselamatan".
  • Pilih Kunci Skrin.
  • Buat kata laluan.

Walau bagaimanapun, untuk peranti yang lebih lama, seperti Moto X Pure dan Galaxy S6, anda perlu menyulitkannya secara manual. Sebelum anda memulakan, pastikan telefon anda dipalamkan kerana proses boleh mengambil masa sehingga sejam bergantung pada jumlah data pada peranti anda. Seterusnya, buat kata laluan menggunakan langkah-langkah yang dinyatakan di atas dan ikuti langkah berikut:

  • Buka Tetapan.
  • Pilih "Keselamatan".
  • Klik pada "Sulitkan telefon".
Kaedahnya sedikit berbeza pada Galaxy S6. Di sini anda perlu memasuki menu "Tetapan", memilih "Kunci skrin" dan "Keselamatan", dan kemudian "Pilihan keselamatan lain", dan klik pada "Sulitkan telefon".


Anda juga boleh menyulitkan kad SD anda untuk memastikan data anda selamat dan menghalang kad daripada dibaca oleh peranti lain (melainkan dipadamkan dahulu). Pergi ke Tetapan, pilih Keselamatan, kemudian Penyulitan kad luaran SD" dan klik butang "Dayakan". Tidak seperti penyulitan peranti (yang memerlukan anda memadam sepenuhnya telefon anda untuk melumpuhkan penyulitan ini), penyulitan kad SD boleh diakses dengan mudah dalam menu Tetapan.

Sebab untuk tidak menyulitkan peranti Android.

Terdapat beberapa sebab mengapa anda mungkin mahu menangguhkan penyulitan. Kaedah penyulitan adalah berbeza untuk setiap peranti. Motorola, sebagai contoh, membenarkan anda untuk terus menggunakan kod pin dan corak keselamatan selepas telefon disulitkan, tetapi Samsung hanya membenarkan anda menggunakan kata laluan atau cap jari.

Samsung juga memerlukan anda memasukkan kata laluan selepas setiap but semula. Walaupun ini mengurangkan kemungkinan penyerang mendapat akses kepada data anda, ia mungkin menyebabkan terlalu banyak kesulitan untuk anda.

Peranti juga akan menunjukkan prestasi prestasi yang sedikit apabila menyulitkannya. Penurunan ini hampir tidak ketara telefon terkini kelas tinggi, walau bagaimanapun, model lama dan peranti yang lebih lemah mungkin mengalami masalah. Saya mengesyorkan menggunakan penyulitan hanya pada peranti terkini mewah seperti Galaxy S6, LG G4, HTC One M10 dan model baharu mereka (Galaxy S7, LG G5, dll...).

FBI cuba memutar tangan mereka melalui mahkamah epal, tidak mahu mencipta kod untuk memintas sistem sendiri keselamatan. Kerentanan kritikal telah ditemui dalam kernel Android yang membolehkan anda memperoleh akses superuser memintas semua mekanisme pertahanan. Kedua-dua peristiwa ini, walaupun tidak berkaitan, bertepatan dengan masa, jelas menunjukkan perbezaan dalam sistem keselamatan dua sistem pengendalian mudah alih yang popular. Mari kita ketepikan seketika isu kerentanan kritikal. Inti Android, yang tidak mungkin dapat diperbaiki oleh kebanyakan pengeluar dalam model yang telah dikeluarkan, dan pertimbangkan mekanisme penyulitan data dalam Android dan Apple iOS. Tetapi pertama sekali, mari kita bincangkan tentang sebab penyulitan diperlukan dalam peranti mudah alih sama sekali.

Mengapa menyulitkan telefon anda?

Orang yang jujur ​​tidak mempunyai apa-apa untuk disembunyikan - leitmotif paling popular yang kedengaran selepas setiap penerbitan mengenai topik perlindungan data. "Saya tidak mempunyai apa-apa untuk disembunyikan," kata ramai pengguna. Malangnya, lebih kerap ini hanya bermakna keyakinan bahawa tiada siapa yang akan mengganggu untuk masuk ke dalam data Vasya Pupkin tertentu, kerana siapa yang berminat dengan mereka sama sekali? Amalan menunjukkan bahawa ini tidak begitu. Kami tidak akan pergi jauh: hanya minggu lepas, kerjaya seorang guru sekolah yang meninggalkan telefonnya di atas meja seketika berakhir dengan pemecatannya. Para pelajar serta-merta membuka kunci peranti itu dan mengeluarkan gambar guru dalam bentuk yang dikutuk oleh moral puritan masyarakat Amerika. Insiden itu menjadi alasan yang mencukupi untuk pemecatan guru itu. Cerita seperti ini berlaku hampir setiap hari.

Cara telefon yang tidak disulitkan digodam

Kami tidak akan pergi ke butiran, cuma perlu diingat: data daripada telefon yang tidak disulitkan boleh diekstrak dalam hampir seratus peratus kes. "Hampir" di sini lebih merujuk kepada kes di mana telefon itu cuba dirosakkan atau dimusnahkan secara fizikal serta-merta sebelum data dialih keluar. Dalam banyak peranti Android dan Telefon Windows ada mod perkhidmatan, yang membolehkan anda mengalirkan semua data daripada memori peranti melalui kabel USB biasa. Ini terpakai kepada kebanyakan peranti pada platform Qualcomm (mod HS-USB, berfungsi walaupun semasa pemuat but dikunci), pada telefon pintar Cina dengan pemproses MediaTek (MTK), Spreadtrum dan Allwinner (jika pemuat but dibuka kunci), serta semua telefon pintar yang dikeluarkan oleh LG (secara amnya terdapat mod perkhidmatan yang mudah yang membolehkan anda menggabungkan data walaupun dari peranti "bata").

Tetapi walaupun telefon tidak mempunyai perkhidmatan "pintu belakang", data daripada peranti masih boleh diperoleh dengan membuka peranti dan menyambung ke port ujian JTAG. Dalam kes yang paling maju, cip eMMC dialih keluar daripada peranti, yang dimasukkan ke dalam penyesuai mudah dan sangat murah dan beroperasi menggunakan protokol yang sama seperti kad SD yang paling biasa. Jika data tidak disulitkan, semuanya boleh diekstrak dengan mudah daripada telefon, sehingga token pengesahan yang menyediakan akses kepada storan awan anda.

Bagaimana jika penyulitan didayakan? Dalam versi Android yang lebih lama (sehingga 4.4 termasuk), ini boleh dipintas (dengan pengecualian, walau bagaimanapun, peranti yang dikeluarkan oleh Samsung). Tetapi dalam Android 5.0, mod penyulitan yang kuat akhirnya muncul. Tetapi adakah ia berguna seperti yang difikirkan oleh Google? Mari cuba fikirkan.

Android 5.0–6.0

Peranti pertama di bawah Kawalan Android 5.0 menjadi Google Nexus 6, dikeluarkan pada 2014 oleh Motorola. Pada masa itu, perisian 64-bit telah pun dipromosikan secara aktif. pemproses mudah alih dengan seni bina ARMv8, tetapi Qualcomm tidak mempunyai penyelesaian siap sedia pada platform ini. Akibatnya, Nexus 6 menggunakan satu set logik sistem Snapdragon 805 berdasarkan teras 32-bit pembangunan sendiri Qualcomm.

Mengapa ini penting? Hakikatnya ialah pemproses berdasarkan seni bina ARMv8 mempunyai set arahan terbina dalam untuk mempercepatkan penyulitan data aliran, tetapi pemproses ARMv7 32-bit tidak mempunyai arahan sedemikian.

Jadi jaga tangan anda. Tiada arahan untuk mempercepatkan kripto dalam pemproses, jadi Qualcomm telah membina khusus modul perkakasan, direka untuk melaksanakan fungsi yang sama. Tetapi sesuatu tidak berjaya untuk Google. Sama ada pemandu tidak selesai pada masa dikeluarkan, atau Qualcomm tidak memberikannya kod sumber(atau tidak membenarkannya diterbitkan di AOSP). Butirannya tidak diketahui oleh orang ramai, tetapi hasilnya diketahui: Nexus 6 mengejutkan pengulas dengan kelajuan membaca data yang sangat perlahan. lambat sangat? Sesuatu seperti ini:

Sebab ketinggalan lapan kali ganda di belakang "adik lelaki" telefon pintar Motorola Moto X 2014, mudah: penyulitan paksa didayakan, dilaksanakan oleh syarikat pada peringkat program. DALAM kehidupan sebenar Pengguna Nexus 6 dihidupkan versi asal perisian tegar mengadu tentang banyak ketinggalan dan pembekuan, pemanasan peranti yang ketara dan hayat bateri yang agak lemah. Memasang kernel yang melumpuhkan penyulitan paksa segera menyelesaikan masalah ini.

Walau bagaimanapun, firmware adalah perkara sedemikian, anda boleh menyelesaikannya, bukan? Terutamanya jika anda adalah Google, mempunyai kewangan tanpa had dan mempunyai pemaju yang paling berkelayakan dalam kakitangan anda. Baiklah, mari kita lihat apa yang berlaku seterusnya.

Dan kemudian terdapat Android 5.1 (enam bulan kemudian), di mana pemacu yang diperlukan untuk bekerja dengan pemecut perkakasan mula-mula ditambahkan dalam versi awal perisian tegar, dan kemudian dikeluarkan semula dalam versi akhir kerana masalah serius dengan mod tidur. Kemudian terdapat Android 6.0, pada masa pelepasannya, pengguna telah kehilangan minat dalam permainan ini dan mula melumpuhkan penyulitan dengan apa-apa cara, menggunakan kernel pihak ketiga. Atau jangan lumpuhkannya jika kelajuan baca 25–30 MB/s sudah mencukupi.

Android 7.0

Baiklah, tetapi ia mungkin telah diperbaiki dalam Android 7 masalah serius peranti perdana, yang sudah hampir dua tahun? Ia mungkin, dan ia telah ditetapkan! Makmal ElcomSoft membandingkan prestasi dua Nexus 6 yang serupa, satu daripadanya menjalankan Android 6.0.1 dengan kernel ElementalX (dan penyulitan dilumpuhkan), manakala yang kedua menjalankan versi prakeluaran pertama. versi Android 7 dengan tetapan lalai (penyulitan didayakan). Hasilnya jelas:

Kesinambungan hanya tersedia kepada pelanggan

Pilihan 1. Langgan Hacker untuk membaca semua bahan di tapak

Langganan akan membolehkan anda membaca SEMUA bahan berbayar di tapak dalam tempoh yang ditetapkan. Kami menerima bayaran kad bank

, wang elektronik dan pemindahan daripada akaun pengendali mudah alih.

Tujuan artikel ini adalah untuk membandingkan tiga aplikasi Android untuk penyulitan data - Pengurus LUKS, Cryptonite dan Mudah Alih CyberSafe. Perlu diperhatikan dengan segera bahawa perbandingan akan adil, dan bukan dengan tujuan untuk menonjolkan kelebihan program tertentu. Setiap program mempunyai kelebihan dan kekurangannya sendiri dalam artikel ini mereka akan didedahkan sepenuhnya.

Apa yang menentukan pilihan aplikasi? Pertama sekali, saya ingin ambil perhatian mengapa aplikasi tertentu ini disertakan dalam semakan. Dengan program CyberSafe Mobile, saya rasa semuanya jelas, kerana anda membaca blog syarikat Cybersoft, jadi agak logik untuk melihat program kami dalam semakan. Tetapi selebihnya program dipilih menggunakan kaedah Cauchy yang dipanggil, juga dikenali sebagai kaedah mencucuk saintifik, iaitu secara rawak. Sudah tentu, apabila memilih program, populariti dan penarafan mereka diambil kira. Jadi, program Cryptonite mempunyai pada masa ini
lebih daripada 50 ribu muat turun dan penarafannya ialah 4.3, dan program Pengurus LUKS mempunyai penarafan yang sama, tetapi muat turun lima kali lebih sedikit - lebih daripada 10 ribu.

Banyak program penyulitan data telah dibangunkan untuk Android, jadi kami tidak boleh menyemak kesemuanya secara fizikal. Mungkin pada masa akan datang tinjauan serupa terhadap program lain dan perbandingannya dengan program Mudah Alih CyberSafe akan ditulis. Buat masa ini, kami akan menghadkan diri kami kepada program-program yang dinyatakan sebelum ini.

Pengurus LUKS
Pengurus LUKS ialah salah satu program penyulitan sebenar pertama untuk Android. Sebelum itu, program "penyulitan" sebenarnya tidak melakukan penyulitan, tetapi melakukan semua jenis karut seperti memberikan atribut tersembunyi kepada fail. Program Pengurus LUKS meninggalkan kesan ambivalen. Saya akan mulakan mengikut urutan - dengan pemasangan program itu sendiri. Program ini memerlukan anda mempunyai akses root dan juga memasang SuperSU dan BusyBox. Keperluan akses root - daripada semua program penyulitan serius dalam Android, kerana tanpa keistimewaan maksimum terdapat sedikit yang boleh dilakukan. Tetapi keperluan SuperSU dan BusyBox memberi saya idea bahawa program itu, sebenarnya, tidak melakukan apa-apa sendiri, tetapi bukannya menggunakan sistem Panggilan Android, menggunakan utiliti BusyBox. Dalam erti kata lain, program ini hanyalah shell untuk arahan sistem. Baiklah, pengguna pemula tidak mungkin memahami semua arahan ini, jadi shell adalah apa yang anda perlukan - perkara utama ialah ia berfungsi.
Saya sudah mempunyai akses root ke peranti saya, SuperSU telah dipasang, tetapi saya terpaksa memasang BusyBox dari Pasaran Main. Namun, selepas Pemasangan BusyBox program itu masih dengan gembira memberitahu saya bahawa ia tidak melihatnya (Rajah 1).


nasi. 1. Program Pengurus LUKS tidak melihat BusyBox yang dipasang

Saya tidak akan menerangkan perkara yang saya lakukan untuk menjadikan program "melihat" itu, saya hanya akan mengatakan bahawa but semula tablet membantu. Entah bagaimana ia berbau seperti Windows, dan bukan UNIX, yang, apa pun yang boleh dikatakan, adalah Android. Sebenarnya, buli berlaku terhadap tablet Acer B1 dengan Android 4.1.2. Tiada satu tablet pun dicederakan akibat daripada eksperimen :)
Selepas but semula, program masih bermula (Gamb. 2). Antara muka program adalah sangat mudah. Saya juga akan mengatakan Spartan. Saya memangkas tangkapan skrin supaya tidak mengurangkan saiznya dan supaya anda dapat melihatnya dengan lebih baik.


nasi. 2. Program Pengurus LUKS

Fungsi program ini juga ringkas. Anda boleh melihat bekas yang dipasang (button Status), buat bekas (butang Buat), lekapkan (butang Gunung) dan nyahlekapkannya (butang Nyahlekap), nyahlekap semua bekas ( Nyahlekap Semua), keluarkan bekas ( Alih keluar). Hakikat bahawa program ini boleh mencipta bekas yang disulitkan dan memasangnya adalah baik. Tetapi pada masa kini saya mahu melihat kemungkinannya penyulitan awan, keupayaan untuk melekapkan folder rangkaian supaya anda boleh bekerja dengan bekas jauh. Saya juga ingin melihat terbina dalam pengurus fail sekiranya pengguna tidak memasang program sedemikian. Lagipun, untuk membolehkan Pengurus LUKS berfungsi, saya perlu mengakar peranti, memasang SuperSu dan BusyBox. Ternyata anda juga memerlukan pengurus fail. Program ini mempunyai fungsi asas (memaparkan fail dan folder), adakah ia benar-benar sukar untuk menambah fungsi untuk menyalin/memindahkan/memadam fail dan folder? Untuk mengakses "penjelajah" yang terbina dalam program, tekan butang menu program dan pilih arahan Teroka. Walau bagaimanapun, kita akan membincangkan perkara ini kemudian.
Jom tengok program yang sedang berlangsung. Klik butang Buat untuk membuat bekas. Program ini akan menggesa anda untuk memilih direktori di mana bekas akan disimpan (Rajah 3, Rajah 4).


nasi. 3. Klik OK


nasi. 4. Pilih direktori dan klik Pilih Direktori Ini

Seterusnya, anda perlu memasukkan nama bekas (Rajah 5), kata laluan untuk mengaksesnya (Rajah 6) dan saiz bekas (Rajah 7). Program ini tidak memaparkan kata laluan yang dimasukkan dan tidak meminta anda memasukkan pengesahan kata laluan, jadi terdapat kemungkinan ralat semasa memasukkan kata laluan - maka anda tidak akan dapat memasang bekas yang dibuat dan ini mesti diambil kira apabila bekerja dengan program.


nasi. 5. Nama bekas


nasi. 6. Kata laluan untuk mengakses bekas


nasi. 7. Saiz bekas

Soalan seterusnya ialah cara memformat bekas: sebagai FAT (akan serasi dengan FreeeOTFE) atau sebagai ext2 (Rajah 8). Pengurus LUKS mencipta bekas yang serasi dengan program Windows. Pada pendapat saya, adalah lebih baik jika program ini menyokong TrueCrypt. Walau bagaimanapun, perlu diperhatikan bahawa FreeOTFE akhirnya mempunyai sokongan untuk 64-bit Versi Windows, yang membolehkan anda menggunakan gabungan Pengurus LUKS + FreeOTFE dengan lebih lengkap pada komputer moden. Alangkah baiknya jika Pengurus LUKS mempunyai keupayaan untuk melekapkan bekas dari jauh pada komputer Windows. Kemudian anda boleh membuat bekas pada PC anda menggunakan FreeOTFE dan melekapkannya dari jauh pada peranti Android anda. Kelebihan penyelesaian sedemikian ialah tidak perlu mengacaukan memori peranti, dan data itu sendiri tidak akan disimpan secara fizikal pada peranti Android, yang lebih berkemungkinan hilang daripada PC biasa.


nasi. 8. Bagaimana untuk memformat bekas?

Seterusnya, program akan memberitahu anda bahawa bekas telah dibuat dan dipasang pada folder /mnt/sdcard/<название контейнера>, dalam kes kami, ini ialah /mnt/sdcard/photos (Gamb. 9). Dalam tetapan program anda boleh menukar nama folder ini.


nasi. 9. Bekas dipasang

Yang tinggal hanyalah melancarkan beberapa pengurus fail pihak ketiga dan menyalin fail ke dalam bekas yang dibuat (Gamb. 10).


nasi. 10. Fail disalin

Kami cuba menyahlekap bekas (button Nyahlekap), dan program memaparkan tetingkap yang membolehkan anda memilih bekas yang perlu dinyahlekap (Gamb. 11).


nasi. 11. Menyahlekapkan bekas

Selepas itu, lancarkan pengurus fail dan pergi ke /mnt/sdcard/. Folder foto wujud dan atas sebab tertentu ia tidak dipadamkan, tetapi akses kepadanya adalah dilarang (Gamb. 12). Biasanya folder sementara sedemikian harus dipadamkan selepas dinyahlekap. Tetapi ini adalah perkara kecil, pada dasarnya.


nasi. 12. Akses kepada /mnt/sdcard/photos adalah dilarang

Sekarang mari lihat apa yang terdapat dalam tetapan program. Tekan butang menu dan pilih arahan Keutamaan(Gamb. 13). Inilah yang kami lihat berguna (Gamb. 14):

  • Saiz kunci penyulitan- saiz kunci penyulitan, lalai 256 bit.
  • Lekapkan direktori- folder tempat bekas akan dipasang.
  • Teroka di atas gunung- jika parameter ini didayakan, selepas memasang bekas, kandungannya akan dipaparkan dalam "penjelajah" terbina dalam (Gamb. 15). Walau bagaimanapun, pengurus fail terbina dalam hanya membenarkan anda melihat kandungan bekas, ia tidak membenarkan anda mengurus fail. Maksimum yang berguna di dalamnya ialah tetingkap dengan maklumat tentang fail, yang muncul jika anda mengklik pada fail dalam bekas dan menahan jari anda untuk seketika (Gamb. 16).


nasi. 13. Menu program


nasi. 14. Tetapan program


nasi. 15. Pengurus fail terbina dalam


nasi. 16. Tetingkap dengan maklumat tentang fail

Sekarang mari kita ringkaskan. Kelebihan program Pengurus LUKS termasuk:

  • Program ini adalah percuma, tetapi memerlukan BusyBox berbayar (namun, terdapat juga versi percuma yang terhad)
  • Penyulitan dijalankan dengan cepat
  • Bekerja dengan bekas yang dipasang dijalankan seperti dengan folder biasa. Ia agak mudah.

Tetapi program ini mempunyai banyak kelemahan:

  • Sebagai tambahan kepada program ini, anda perlu memasang aplikasi tambahan SuperSU dan BusyBox (yang, dengan cara itu, tidak percuma, walaupun Pengurus LUKS itu sendiri adalah percuma).
  • Fungsi terhad program: tiada keupayaan untuk melekapkan bekas jauh, tiada penyulitan awan, tiada sokongan untuk memasang folder rangkaian.
  • Pengurus fail terbina dalam yang menyusahkan, yang hanya membenarkan anda melihat fail dan folder.
  • Tiada pilihan untuk memilih pengurus fail luaran.
  • Folder tempat bekas dipasang tidak dipadamkan secara automatik selepas bekas dinyahlekap.
  • Tiada sokongan untuk bahasa Rusia.

Cryptonite

Program Cryptonite agak muda dan dalam peringkat ujian, jadi ia tidak mungkin digunakan untuk menyulitkan sebarang data yang sangat penting. Dalam keadilan, perlu diperhatikan bahawa pembangun secara jujur ​​memberi amaran tentang perkara ini apabila mereka mula-mula melancarkan program (Rajah 17).


nasi. 17. Pelancaran pertama Cryptonite

berkenaan keperluan sistem, maka program ini memerlukan akses root dan kernel dengan sokongan FUSE (Filesystem in Userspace). Keperluan untuk menyokong FUSE dengan mudah boleh dianggap sebagai kelemahan program, kerana tidak semua peranti menyokong FUSE. Tidak perlu memasang sebarang program tambahan (kecuali pengurus fail).
Fungsi program ini sudah lebih baik daripada Pengurus LUKS. Ia boleh mencipta bukan sahaja bekas tempatan, tetapi juga menyulitkan fail anda pada DropBox. Sokongan DropBox secara automatik bermaksud sokongan untuk penyulitan awan, jadi program ini sudah pun berdiri di atas Pengurus LUKS.
Dalam Rajah. 18 menunjukkan program Cryptonite selepas menutup mesej yang menjengkelkan bahawa anda sedang menggunakan versi percubaan program tersebut. Tab Dropbox membolehkan anda menyulitkan fail pada Dropbox anda, tab Tempatan digunakan untuk mencipta bekas tempatan dan pada tab pakar kepada pengguna biasa tiada apa yang perlu dilakukan.


nasi. 18. Program Cryptonite

Untuk membuat bekas tempatan anda perlu mengklik butang Buat volum tempatan, selepas itu anda sekali lagi akan melihat amaran bahawa fungsi ini secara eksperimen (Rajah 19). Seterusnya, seperti biasa, anda perlu memilih kaedah penyulitan (Rajah 20), lokasi kontena, masukkan kata laluan dan sahkannya (Rajah 21). Saya suka program ini menggesa anda untuk memasukkan pengesahan kata laluan, yang menghalang anda daripada memasukkannya secara salah semasa membuat bekas.


nasi. 19. Satu lagi amaran yang menjengkelkan


nasi. 20. Memilih kaedah penyulitan


nasi. 21. Masukkan pengesahan kata laluan

Anda boleh melekapkan bekas yang dibuat dengan arahan Gunung EncFS pada tab Tempatan. Program ini akan menggesa anda untuk memilih bekas. Selepas memasukkan kata laluan untuknya, bekas akan dipasang pada direktori /mnt/sdcard/csh.cryptonite/mnt (Gamb. 22). Direktori pelekap ditentukan dalam tetapan program (Gamb. 23).


nasi. 22. Bekas dipasang


nasi. 23. Tetapan program

Tiada apa-apa yang menarik dalam tetapan, kecuali untuk folder pelekap ( Titik lekap), serta mod Chuck Norris, yang membolehkan anda mematikan amaran yang menjengkelkan dan tidak bermakna. Anda juga boleh mendayakan penggunaan pengurus fail terbina dalam semasa memasang bekas ( Gunakan pelayar fail terbina dalam), tetapi memandangkan kefungsian tradisional bahagian program ini (Gamb. 24), saya tidak mengesyorkan mendayakan parameter ini. "Pengurus fail" ini tidak boleh membuka fail. Ia hanya membenarkan anda melihat kandungan bekas dan tidak ada yang lain.


nasi. 24. Pemapar kontena terbina dalam

Faedah program:

  • Sokongan penyulitan awan (Dropbox).
  • Penyulitan on-the-fly.
  • Sokongan Bekas TrueCrypt, yang akan berguna jika anda perlu bekerja dengan bekas pada PC desktop.

Kelemahan:

  1. Memerlukan sokongan FUSE, yang tidak dimiliki oleh setiap peranti.
  2. Pengurus fail yang sangat lemah yang hanya membenarkan anda melihat kandungan bekas dan tiada yang lain
  3. Tiada sokongan untuk folder rangkaian (walaupun kelemahan ini diserikan sedikit oleh sokongan Dropbox)
  4. Program ini masih percubaan (walaupun ia muncul agak lama dahulu, dan sejak itu lebih daripada 50,000 orang telah memuat turunnya). Terpulang kepada anda untuk memutuskan sama ada mahu menggunakannya atau tidak, tetapi saya tidak akan menggunakannya untuk melindungi data penting. Lebih baik cari program lain.
  5. Tiada sokongan untuk bahasa Rusia.

Mudah Alih CyberSafe

Kami telah menyemak program Mudah Alih CyberSafe beberapa kali dalam blog kami, jadi tidak akan ada penerangan terperinci mengenainya. Saya amat mengesyorkan membaca artikel "Berkongsi cakera kripto pada PC dan Android," yang menerangkan salah satu kes penggunaan program.
Oleh itu, daripada menyemak program, untuk tidak mengulanginya, kami akan membandingkannya dengan program yang diterangkan sebelum ini dalam artikel ini.
Perkara pertama yang perlu diperhatikan ialah anda tidak memerlukan hak root untuk bekerja dengan program ini. Ya, dalam kes ini, fungsi program akan terhad, dan anda tidak akan dapat memasang peti keselamatan yang dibuat (itulah yang disebut CyberSafe Mobile sebagai bekas yang disulitkan), tetapi telefon pintar anda tidak akan kehabisan jaminan jika anda mendapat root akses. Walau bagaimanapun, memandangkan program ini mempunyai pengurus fail sepenuhnya, ini tidak menjadi masalah. Anda boleh bekerja dengan fail dalam peti besi tanpa memasangnya atau memasang pengurus fail pihak ketiga. Atas sebab keselamatan, program ini tidak membenarkan anda mengambil beberapa tangkapan skrin, jadi tetingkap pengurus fail terbina dalam, yang memaparkan kandungan peti besi, hanya boleh diambil gambar dengan kamera biasa (Gamb. 25). Seperti yang anda lihat, program ini mempunyai pengurus fail yang lengkap. Ia mungkin bukan ES Explorer, tetapi, tidak seperti program yang diterangkan sebelum ini, pengurus fail terbina dalam Cybersafe Mobile boleh menguruskan fail - menyalin, mengalih, memadam, mencipta fail dan folder baharu. Saya memohon maaf atas kualiti foto, tetapi untuk mengelakkan silau, tablet itu diambil gambar tanpa kilat, jadi foto itu gelap sedikit.


nasi. 25. Pengurus fail terbina dalam CyberSafe

Dalam tetapan pemasangan program anda boleh pilih (Gamb. 26):

  • Kaedah pemasangan- seperti yang telah dinyatakan, jika peranti anda tidak mempunyai akses root atau tidak menyokong FUSE, maka anda tidak boleh memasang peti besi, tetapi bekerja dengannya melalui pengurus fail terbina dalam.
  • Laluan asas untuk pemasangan- direktori tempat peti besi akan dipasang.
  • Pengurus fail pihak ketiga- program ini membolehkan anda menggunakan kedua-dua pengurus fail terbina dalam dan luaran, dan ia mengesan pengurus yang telah dipasang pada peranti anda dan membolehkan anda memilih salah satu daripadanya.


nasi. 26. Pilihan pemasangan

Juga perlu diperhatikan Antara muka bahasa Rusia Program Mudah Alih CyberSafe, yang memudahkan pengguna yang tidak tahu cara bekerja dengan program tersebut Inggeris(Gamb. 27).


nasi. 27. Antara muka program. Mencipta peti keselamatan

Hanya terima kasih kepada semua ini (keupayaan untuk bekerja tanpa akar dan FUSE, pengurus fail lengkap dan antara muka bahasa Rusia) program ini berada di atas kepala dan bahu di atas Pengurus LUKS dan Cryptonite. Tetapi bukan itu sahaja. Program ini mempunyai beberapa fungsi yang membawa kepada kalah mati pesaing.
Pertama, ia menyokong algoritma GOST - tidak seperti program lain yang hanya menggunakan AES atau Blowfish (Rajah 28).


nasi. 28. Memilih algoritma penyulitan apabila mencipta peti keselamatan

Kedua, program ini menyokong folder rangkaian pemasangan, yang membolehkan penggunaan peti besi jauh yang terletak pada PC jauh (Gamb. 29). Prinsipnya mudah: bekas itu sendiri disimpan pada PC, dan akses kepadanya disediakan akses umum melalui rangkaian. Ternyata bekas itu dibuka pada telefon pintar, pada PC ia sentiasa disimpan dalam bentuk yang disulitkan, dan data melalui rangkaian juga dihantar disulitkan, yang menghalang pemintasannya. Semua tindakan penyulitan dan penyahsulitan data dijalankan pada peranti mudah alih. Walaupun anda kehilangan peranti anda, tiada sesiapa pun akan mempunyai akses kepada data yang disulitkan kerana ia disimpan komputer jauh.


nasi. 29. Bekerja dengan folder rangkaian

Anda boleh mencipta peti besi menggunakan sama ada program Mudah Alih CyberSafe atau versi desktop program - Rahsia Utama CyberSafe. Perlu diingatkan bahawa program Rahsia Teratas CyberSafe tidak diperlukan untuk berfungsi sepenuhnya dengan peti besi - anda boleh mencipta peti besi pada peranti mudah alih anda dan menyalinnya ke PC anda. Dengan kata lain, anda tidak perlu membeli Rahsia Utama CyberSafe untuk penggunaan jauh selamat pada telefon pintar anda. Tetapi jika anda perlu berkongsi peti besi pada PC dan Android, maka, sudah tentu, anda memerlukan program Rahsia Teratas CyberSafe.
Apabila memasang program percuma URSafe Media Redirector boleh mengubah hala secara automatik foto (dan fail lain, seperti dokumen) yang anda buat ke peti keselamatan yang terletak secara fizikal pada komputer jauh. Anda boleh membaca lebih lanjut mengenai perkara ini dalam artikel "Melindungi foto peribadi pada telefon Android". Dan artikel "Menyimpan data dalam bekas kripto pada pelayan jauh dan bekerja dengannya daripada peranti Android" menunjukkan cara menyimpan bekas pada pelayan jauh dan bukannya pada PC yang disambungkan ke rangkaian wayarles tempatan anda.
Semuanya ada kekurangan. Walau bagaimanapun, CyberSafe Mobile hampir tiada. Kelemahan termasuk keperluan untuk menyokong FUSE, tetapi kelemahan ini diimbangi oleh fakta bahawa peti besi yang dicipta boleh dibuka tanpa pemasangan, tetapi hanya dalam pengurus fail terbina dalam. Ia juga harus diperhatikan bahawa program ini dibayar, tetapi harganya rendah untuk program kelas ini (jangan lupa apa fungsi program itu dan jangan lupa bahawa ia menyokong, sebagai tambahan kepada algoritma AES, GOST). Nah, saya tidak begitu menyukai ketidakupayaan untuk membuat beberapa tangkapan skrin program, tetapi ia lebih baik dari sudut pandangan keselamatan :)
Sekarang mari kita ringkaskan. Kelebihan program Mudah Alih CyberSafe:

  • Keupayaan untuk bekerja tanpa akses root dan sokongan FUSE (peti besi tidak akan dipasang).
  • Penyulitan telus dengan cepat
  • Pengurus fail penuh anda sendiri
  • Antara muka bahasa Rusia
  • Sokongan algoritma penyulitan GOST
  • Keupayaan untuk memilih pengurus fail pihak ketiga untuk membuka kandungan peti besi
  • Sokongan untuk memasang folder rangkaian
  • Keupayaan untuk bekerja dengan bekas terpencil(VPN selamat)
  • Kemungkinan berkongsi bekas yang sama pada telefon pintar dan pada PC (menggunakan program Rahsia Teratas CyberSafe).
  • Tidak perlu memasang (membeli) aplikasi pihak ketiga (seperti yang berlaku dengan Pengurus LUKS)

Kelemahan:

  • Program ini tidak percuma, tetapi terdapat versi Lite yang tidak menyokong folder pelekap dan rangkaian. Jika anda tidak bercadang untuk menggunakan peti besi jauh, dan peranti anda tidak menyokong FUSE, atau anda tidak mahu mendapatkan akses root untuk mengelak daripada membatalkan jaminan anda, maka versi Lite adalah yang anda perlukan. CyberSafe Mobile akan percuma untuk anda, dan kefungsian versi Lite akan menjadi lebih baik daripada Pengurus LUKS percuma, memandangkan pengurus fail sepenuhnya.
  • Untuk program berfungsi sepenuhnya, ia memerlukan sokongan FUSE (namun, pada peranti moden ini tidak lagi menjadi masalah).

Seperti yang anda lihat, program ini tidak mempunyai kekurangan seperti itu dan menonjolkan mereka adalah lebih kepada saya berdalih tentang program itu, supaya tiada siapa yang menuduh saya berat sebelah. Saya rasa tiada siapa yang meragui bahawa pemenang perbandingan kami hari ini ialah program Mudah Alih CyberSafe. Jika anda mempunyai sebarang soalan, kami dengan senang hati akan menjawabnya dalam ulasan artikel ini.

Tag: Tambah tag

Penyulitan data dalam OS Android berkait rapat dengan dua masalah: mengawal akses kepada kad memori dan memindahkan aplikasi kepada mereka. Banyak program mengandungi data pengaktifan, maklumat pembayaran dan maklumat sulit. Perlindungannya memerlukan pengurusan hak akses, yang tidak disokong oleh sistem fail biasa untuk kad. sistem FAT 32. Oleh itu, dalam setiap versi Android, pendekatan kepada penyulitan berubah secara radikal - daripada ketiadaan sepenuhnya perlindungan kriptografi media boleh alih sebelum penyepaduan mendalam mereka ke dalam satu partition dengan penyulitan segera.

Peranan khas kad memori

Pada mulanya pemaju Android bertujuan untuk menggunakan kad memori sahaja sebagai storan berasingan fail pengguna. Ia hanyalah sebuah gudang multimedia tanpa sebarang keperluan untuk perlindungan dan kebolehpercayaannya. Kad microSD(HC) dengan FAT32 mengatasi dengan baik dengan peranan storan mudah, membebaskan memori dalaman daripada foto, video dan muzik.

Keupayaan untuk memindahkan bukan sahaja fail multimedia, tetapi juga aplikasi ke kad memori pertama kali muncul dalam Android 2.2 Froyo. Ia telah dilaksanakan menggunakan konsep bekas yang disulitkan untuk setiap aplikasi, tetapi ini dilindungi secara eksklusif daripada kad yang jatuh ke tangan yang salah - tetapi bukan telefon pintar.

Lebih-lebih lagi, ia adalah separuh langkah: banyak program telah dipindahkan sebahagiannya, meninggalkan beberapa data dalam ingatan dalaman, dan beberapa (contohnya, yang sistem atau yang mengandungi widget) tidak dipindahkan ke kad sama sekali. Kemungkinan memindahkan aplikasi bergantung pada jenisnya (pra-pasang atau pihak ketiga) dan struktur dalaman. Bagi sesetengah orang, direktori dengan data pengguna segera ditempatkan secara berasingan, manakala bagi yang lain ia terletak dalam subdirektori program itu sendiri.

Jika aplikasi secara intensif menggunakan operasi baca/tulis, maka kebolehpercayaan dan kelajuan kad tidak lagi dapat memuaskan hati pembangun. Mereka sengaja menjadikannya mustahil untuk memindahkan program menggunakan cara standard. Terima kasih kepada helah ini, penciptaan mereka dijamin untuk didaftarkan dalam memori dalaman dengan sumber penulisan semula yang besar dan prestasi tinggi.

Dengan versi Android yang keempat, anda boleh memilih tempat untuk meletakkan aplikasi. Adalah mungkin untuk menetapkan kad memori sebagai cakera untuk memasang program secara lalai, tetapi tidak semua perisian tegar menyokong fungsi ini dengan betul. Cara ia berfungsi dalam peranti tertentu hanya boleh ditentukan secara eksperimen.

Pada yang kelima Android Google Saya sekali lagi memutuskan untuk kembali kepada konsep asal dan melakukan segala-galanya untuk menjadikannya sesukar mungkin untuk memindahkan aplikasi ke kad memori. Pengeluar besar menangkap isyarat dan menambahkannya pada perisian tegar fungsi asli pemantauan yang mengesan percubaan pengguna untuk memindahkan aplikasi secara paksa ke kad menggunakan root. Satu-satunya pilihan yang lebih kurang diusahakan ialah mencipta keras atau pautan simbolik. Dalam kes ini, aplikasi ditentukan oleh alamat standard dalam memori terbina dalam, tetapi sebenarnya terletak pada kad. Walau bagaimanapun, kekeliruan disebabkan oleh pengurus fail, yang kebanyakannya tidak memproses pautan dengan betul. Mereka menunjukkan jumlah ruang kosong yang salah kerana mereka percaya bahawa aplikasi itu sepatutnya mengambil ruang dalam kedua-dua memori terbina dalam dan kad pada masa yang sama.

Sesuaikan!

Android Marshmallow memperkenalkan kompromi yang dipanggil Storan Boleh Pakai. Ini adalah percubaan Google untuk memastikan domba selamat dan tentera gembira.

Fungsi Storan Boleh Pakai membolehkan anda menggabungkan partition pengguna dalam memori terbina dalam dengan partition pada kad menjadi satu volum logik. Malah, ia mencipta partition ext4 atau F2FS pada kad dan menambahkannya pada partition pengguna memori dalaman. Ia bersih operasi logik persatuan, samar-samar mengingatkan mencipta volum komposit daripada beberapa cakera fizikal pada Windows.

Semasa proses menggabungkan dengan memori dalaman, kad diformat semula. Secara lalai, keseluruhan kapasitinya akan digunakan dalam volum yang digabungkan. Dalam kes ini, fail pada kad tidak lagi boleh dibaca pada peranti lain - ia akan disulitkan dengan kunci peranti unik, yang disimpan di dalam persekitaran pelaksanaan yang dipercayai.

Sebagai alternatif, anda boleh menempah ruang pada kad untuk partition kedua dengan FAT32. Fail yang disimpan padanya akan kelihatan pada semua peranti, seperti sebelum ini.

Kaedah untuk membahagikan kad ditetapkan sama ada melalui menu Storan Boleh Pakai atau melalui Android Debug Bridge (ADB). Pilihan terakhir digunakan dalam kes di mana pengilang telah menyembunyikan Storan Boleh Pakai daripada menu, tetapi tidak mengalih keluar fungsi ini daripada perisian tegar. Sebagai contoh, ia tersembunyi dalam Samsung Galaxy S7 dan telefon pintar teratas LG. Baru-baru ini, terdapat kecenderungan umum untuk mengalih keluar Storan Boleh Pakai daripada peranti utama. Ia dianggap sebagai tongkat untuk telefon pintar bajet dan tablet yang tidak mempunyai memori Flash terbina dalam yang mencukupi.

Walau bagaimanapun, tidak terpulang kepada pemasar untuk memutuskan cara kami menggunakan peranti kami. Melalui ADB pada komputer dengan Fungsi Windows Storan Boleh Pakai didayakan seperti berikut.

  1. Kami membuat sandaran semua data pada kad - ia akan diformat semula.
  2. Kit Pembangunan Java SE dari laman web Oracle.
  3. Pasang versi terkini Pengurus Android SDK.
  4. Dayakan penyahpepijatan USB pada telefon pintar anda.
  5. Lancarkan Pengurus SDK dan baris arahan kami menulis:

    di mana x:y ialah nombor kad memori.
  6. Jika anda ingin meninggalkan bahagian untuk volum FAT32, kemudian tukar arahan dari langkah 7 kepada ini:

    $ sm cakera partition : x : y bercampur nn

    dengan nn ialah baki isipadu sebagai peratusan untuk isipadu FAT32.

Contohnya, perintah sm partition disk:179:32 mixed 20 akan menambah 80% kapasiti kad pada memori terbina dalam dan meninggalkan volum FAT32 padanya dengan 1/5 daripada kapasitinya.

Pada sesetengah telefon pintar, kaedah ini "seadanya" tidak lagi berfungsi dan memerlukan helah tambahan. Pengilang melakukan segala-galanya untuk membahagikan produk mereka secara buatan ke dalam niche pasaran. Model teratas dihasilkan dengan jumlah memori terbina dalam yang berbeza, dan semakin sedikit orang yang sanggup membayar lebih untuknya.

Sesetengah telefon pintar tidak mempunyai slot kad memori (contohnya, siri Nexus), tetapi menyokong penyambungan pemacu USB-Flash dalam mod OTG. Dalam kes ini, pemacu kilat juga boleh digunakan untuk mengembangkan memori dalaman. Ini dilakukan dengan arahan berikut:

$ adb shell sm set - force - adoptable true

Secara lalai, keupayaan untuk menggunakan USB-OTG untuk mencipta storan tersuai dilumpuhkan kerana pengalihan keluar yang tidak dijangka boleh mengakibatkan kehilangan data. Kebarangkalian penutupan mengejut Kad memori jauh lebih rendah kerana penempatan fizikalnya di dalam peranti.

Jika masalah timbul dengan menambah kelantangan media boleh alih atau membahagikannya kepada sekatan, maka mula-mula keluarkan semua maklumat mengenai susun atur logik sebelumnya. Ini boleh dilakukan dengan pasti menggunakan utiliti Linux gparted, yang pada komputer Windows dilancarkan daripada cakera but atau dalam mesin maya.

Menurut pegawai itu Dasar Google Aplikasi boleh dipasang terus ke dalam gedung boleh suai atau dipindahkan kepadanya jika pembangun telah menetapkan ini dalam atribut android:installLocation. Ironinya, bukan semuanya adalah milik mereka sendiri apl Google selagi mereka membenarkan anda melakukan ini. Tiada had praktikal untuk "storan tersuai" dalam Android. Had teori untuk Storan Boleh Pakai ialah sembilan zettabait. Tidak begitu banyak walaupun di pusat data, dan lebih-lebih lagi kad memori dengan kapasiti yang lebih besar tidak akan muncul pada tahun-tahun akan datang.

Prosedur penyulitan itu sendiri apabila mencipta storan yang disesuaikan dilakukan menggunakan dm-crypt - modul yang sama Inti Linux, yang melakukan penyulitan cakera penuh bagi memori terbina dalam telefon pintar (lihat artikel sebelumnya ""). Algoritma AES digunakan dalam mod perantaian blok ciphertext (CBC). Vektor permulaan yang berasingan dengan garam (ESSIV) dijana untuk setiap sektor. Panjang lilitan fungsi cincang SHA ialah 256 bit, dan kunci itu sendiri ialah 128 bit.

Pelaksanaan ini, walaupun lebih rendah dari segi kebolehpercayaan berbanding AES-XTS-256, jauh lebih pantas dan dianggap cukup boleh dipercayai untuk peranti pengguna. Jiran yang usil tidak mungkin membuka storan tersuai yang disulitkan dalam masa yang munasabah, tetapi agensi perisikan telah lama belajar untuk mengeksploitasi kelemahan skim CBC. Di samping itu, pada hakikatnya, tidak semua 128 bit kunci adalah rawak sepenuhnya. Kelemahan penjana nombor pseudo-rawak terbina dalam secara tidak sengaja atau sengaja adalah masalah yang paling biasa dalam kriptografi. Ia mempengaruhi bukan sahaja alat Android, tetapi semua peranti pengguna secara amnya. Oleh itu yang paling cara yang boleh dipercayai pastikan privasi - jangan simpan data sulit pada telefon pintar anda sama sekali.

Jika anda melakukan tetapan semula kilang selepas menggabungkan memori menggunakan Storan Boleh Pakai, data pada kad juga akan hilang. Oleh itu, adalah wajar membuat sandaran mereka terlebih dahulu, atau lebih baik lagi, dengan segera memberikan penyegerakan awan.

Penyulitan alternatif data pada kad memori

Memandangkan kita telah menangani keanehan menyimpan fail pada kad memori dalam versi Android yang berbeza, mari kita teruskan untuk menyulitkannya. Jika anda mempunyai peranti dengan Android 6 atau lebih baru, maka dengan kebarangkalian yang tinggi anda boleh mengaktifkan fungsi Storan Boleh Pakai di dalamnya satu cara atau yang lain. Kemudian semua data pada kad akan disulitkan, sama seperti dalam memori terbina dalam. Hanya fail pada partition FAT32 tambahan akan kekal terbuka jika anda ingin menciptanya semasa memformat semula kad.

Dalam keluaran awal Android, perkara menjadi lebih rumit, sejak sebelum versi 5.0 perlindungan kriptografi tidak menjejaskan kad memori sama sekali (kecuali untuk data daripada aplikasi yang dipindahkan, sudah tentu). Fail "biasa" pada kad kekal terbuka. Untuk menutupnya daripada mengintip, anda memerlukan utiliti pihak ketiga (yang selalunya menjadi sahaja cangkerang grafik untuk alatan terbina dalam). Dengan semua kepelbagaian kaedah sedia ada Terdapat empat asas yang berbeza:

  • penggunaan cryptocontainer universal - fail dengan imej volum yang disulitkan dalam format popular yang boleh digunakan oleh aplikasi untuk OS yang berbeza;
  • penyulitan telus fail dalam direktori tertentu melalui pemacu FUSE dan utiliti pihak ketiga untuk mencipta/melekapkan partition yang disulitkan sebagai fail;
  • penyulitan keseluruhan kad memori melalui dm-crypt;
  • menggunakan "kotak hitam" - aplikasi berasingan yang menyimpan data yang disulitkan format sendiri dan tidak menyediakan akses kepada mereka untuk program pihak ketiga.

Pilihan pertama adalah biasa kepada sesiapa sahaja yang menggunakan TrueCrypt atau salah satu garpunya pada komputer. Terdapat aplikasi untuk Android yang menyokong bekas TrueCrypt, tetapi hadnya berbeza.

Pilihan kedua membolehkan anda mengatur "penyulitan telus", iaitu, menyimpan semua data yang disulitkan dan menyahsulitnya apabila diakses daripada mana-mana aplikasi. Untuk melakukan ini, semua data daripada direktori yang dipilih diwakili sebagai kandungan sistem fail maya dengan sokongan untuk penyulitan segera. EncFS biasanya digunakan, yang akan kami bincangkan dengan lebih terperinci di bawah.

Pilihan ketiga ialah dm-crypt terbina dalam. Anda boleh menggunakannya, contohnya, melalui Pengurus LUKS. Aplikasi ini memerlukan root dan BusyBox dipasang. Antara mukanya bukan untuk semua orang.


Pengurus LUKS mencipta bekas kripto pada kad sebagai fail. Bekas ini boleh disambungkan ke direktori sewenang-wenangnya dan berfungsi dengannya seperti yang biasa. Kelebihannya ialah penyelesaian ini mempunyai sokongan merentas platform. Anda boleh bekerja dengan bekas bukan sahaja pada alat Android, tetapi juga pada desktop: pada Linux - melalui cryptsetup, dan pada Windows - melalui program atau forknya LibreCrypt. Kelemahannya ialah ketidakselesaan menggunakannya bersama-sama dengan perkhidmatan awan. Setiap kali dalam awan anda perlu menyimpan semula keseluruhan bekas, walaupun satu bait telah berubah.

Pilihan keempat biasanya kurang menarik, kerana ia sangat mengehadkan senario untuk menggunakan fail yang disulitkan. Ia hanya boleh dibuka oleh beberapa aplikasi khusus dan mempercayai bahawa pembangunnya telah berjaya dalam mempelajari kriptografi. Malangnya, kebanyakan aplikasi ini tidak tahan dengan kritikan. Ramai daripada mereka tidak mempunyai kaitan sama sekali dengan kriptografi, kerana mereka hanya menutup fail dan bukannya menyulitkannya. Pada masa yang sama, perihalan mungkin menyebut algoritma yang kuat (AES, 3DES...) dan petikan daripada "Criptografi Gunaan" Schneier. DALAM senario kes terbaik Program sedemikian akan mempunyai pelaksanaan penyulitan yang sangat lemah, dan dalam kes yang paling teruk tidak akan ada penyulitan sama sekali.

Tiada pelanggan rasmi untuk Android untuk VeraCrypt dan tidak dirancang, tetapi pengarangnya mengesyorkan menggunakan aplikasi EDS (Encrypted Data Store). Ini adalah pembangunan Rusia, yang wujud dalam versi yang berfungsi sepenuhnya dan ringan. Versi penuh EDS berharga 329 rubel. Ia menyokong bekas kripto dalam format TrueCrypt, VeraCrypt, CyberSafe, serta LUKS dan EncFS. Boleh berfungsi dengan storan tempatan, rangkaian dan awan, menyediakan aplikasi lain dengan penyulitan telus. Penyulitan on-the-fly memerlukan sokongan kernel OS untuk rangka kerja FUSE dan hak akar. Kerja tetap dengan bekas kripto boleh dilakukan pada mana-mana perisian tegar.


Versi EDS Lite diedarkan secara percuma dan mempunyai had fungsi. Sebagai contoh, ia boleh berfungsi secara eksklusif dengan bekas yang mengandungi volum dengan sistem fail FAT, disulitkan menggunakan algoritma AES dengan panjang kunci 256-bit dan menggunakan fungsi cincang SHA-512. Ia tidak menyokong pilihan lain. Oleh itu, ia patut memberi tumpuan kepada versi berbayar.

Bekas Crypto adalah yang paling boleh dipercayai dan kaedah universal. Ia boleh disimpan dalam mana-mana sistem fail (walaupun FAT32) dan digunakan pada mana-mana peranti. Semua data yang anda disulitkan pada desktop anda akan tersedia pada telefon pintar anda, dan sebaliknya.

EncFS

Pada tahun 2003, Valient Gough (seorang jurutera perisian dari Seattle yang menulis perisian untuk NASA dan kemudian bekerja untuk Google dan Amazon) mengeluarkan keluaran pertama sistem fail percuma dengan mekanisme penyulitan telus terbina dalam - EncFS. Ia berinteraksi dengan kernel OS melalui lapisan panggil balik, menerima permintaan melalui antara muka libfuse rangka kerja FUSE. Atas pilihan pengguna, EncFS menggunakan salah satu daripada algoritma simetri dilaksanakan dalam perpustakaan OpenSSL - AES dan Blowfish.

Memandangkan EncFS menggunakan prinsip mencipta sistem fail maya, ia tidak memerlukan partition yang berasingan. Pada OS Android, anda hanya perlu memasang aplikasi yang menyokong EncFS dan hanya menghalakannya ke beberapa direktori. Salah seorang daripada mereka akan menyimpan kandungan yang disulitkan (biarkan ia dipanggil peti besi), dan yang kedua - fail yang dinyahsulitkan buat sementara waktu (mari kita panggilnya terbuka).

Selepas memasukkan kata laluan, fail dibaca dari direktori peti besi dan disimpan dalam dekripsi terbuka(seperti dalam titik baru mount), di mana ia tersedia untuk semua aplikasi. Selepas menyelesaikan kerja, klik butang Lupakan Penyahsulitan (atau yang setara) dalam aplikasi. Katalog terbuka akan dinyahlekap, dan semua fail yang dinyahsulit daripadanya akan hilang.

Kelemahan: EncFS tidak menyokong pautan keras, kerana data tidak terikat pada inod, tetapi pada nama fail. Atas sebab yang sama, nama fail sehingga 190 bait panjangnya disokong. Dalam katalog peti besi nama fail dan kandungan akan disembunyikan, tetapi metadata akan kekal tersedia. Anda boleh mengetahui bilangan fail yang disulitkan, kebenarannya dan kali terakhir ia diakses atau diubah suai. Terdapat juga tanda yang jelas untuk menggunakan EncFS - ini ialah fail tetapan dengan awalan encfs dan nombor versi dalam namanya. Fail mengandungi parameter penyulitan, termasuk algoritma, panjang kunci dan saiz blok.


Audit berbayar EncFS telah dilakukan pada Februari 2014. Ia menyimpulkan bahawa "EncFS berkemungkinan selamat selagi penyerang hanya mempunyai satu set fail yang disulitkan dan tidak lebih." Jika penyerang mempunyai lebih banyak data yang tersedia (contohnya, dua syot kilat sistem fail yang diambil masa yang berbeza), maka EncFS tidak boleh dianggap boleh dipercayai.

Selepas pemasangan, EncFS akan kelihatan sebagai yang berasingan sistem fail ruang pengguna melalui pemacu FUSE. Akses kepadanya akan direalisasikan melalui beberapa permohonan pihak ketiga- contohnya, pengurus fail Encdroid atau Cryptonite. Yang terakhir adalah berdasarkan kod sumber EncFS, jadi kami akan memfokuskannya.

Cryptonite

Versi terkini aplikasi Cryptonite ialah 0.7.17 beta bertarikh 15 Mac 2015. Ia boleh dipasang pada mana-mana peranti dengan Android 4.1 dan lebih tinggi, tetapi sesetengah fungsi berfungsi dengan lebih stabil dalam Android 4.3 dan versi yang lebih baru.

Kebanyakan operasi dalam Cryptonite tidak memerlukan akar atau mana-mana komponen tertentu. Mencipta volum EncFS dan penyegerakan dengan Dropbox boleh dilakukan pada kedua-dua perisian tegar rasmi dan tersuai.

Penyegerakan awan bagi fail yang disulitkan

Walau bagaimanapun, beberapa operasi akan memerlukan pemasangan volum EncFS, yang memerlukan hak akar dan sokongan untuk rangka kerja FUSE oleh kernel OS. Penggunaan FUSE adalah perlu untuk mengatur "penyulitan telus", iaitu, supaya aplikasi lain boleh mengakses data yang disulitkan dan menerimanya yang telah dinyahsulitkan. Kebanyakan perisian tegar yang lebih lama tidak menyokong FUSE, tetapi ia tersedia dalam CyanogenMod, MIUI, AOKP dan yang lain tersuai. Bermula dengan Android 4.4, FUSE digunakan secara standard untuk meniru kad SD dalam memori terbina dalam.

Kelemahan: Apabila anda mengklik "Nyahsulit" dan berjaya memasukkan kata laluan, Cryptonite mencipta salinan sementara fail yang dinyahsulit dalam /data/data/csh.cryptonite/app_open/. Salinan fail ditandakan sebagai boleh dibaca dunia (boleh dibaca dan boleh dilaksanakan untuk semua orang). Anda boleh memadam fail yang dinyahsulit dengan mengklik butang Lupakan Penyahsulitan.

Kesimpulan

Kaedah menyulitkan data pada kad memori harus dipilih berdasarkan dua kriteria utama: senario penggunaan dan versi Android. Pada alat moden dengan Android 6.0 dan lebih tinggi, pilihan paling mudah ialah menggunakan Storan Boleh Pakai, pasangkan kad pada memori dalaman dan telus menyulitkan keseluruhan volum logik. Jika anda perlu menyediakan fail pada peranti lain atau menambah penyulitan data pada kad dalam peranti lama, bekas kripto dengan format terbukti adalah sesuai. Utiliti pihak ketiga mengikut jenis "perkara itu sendiri", adalah lebih baik untuk mengelakkannya sama sekali, kerana bukannya perlindungan sebenar data, mereka selalunya hanya menirunya.

Kemas kini terakhir pada 18 Februari 2017.

Membaca e-mel penting, membuat pembelian dalam talian dengan kad kredit anda, mengedit dan memindahkan dokumen penting? Jika jawapan anda ya, maka anda harus berfikir tentang menyulitkan peranti anda.

Setelah proses penyulitan selesai, anda selesai! Pastikan anda menyimpan kata laluan anda di tempat yang selamat, kerana kini anda akan memerlukannya setiap kali anda ingin mengakses telefon anda. Sila ambil perhatian bahawa jika anda terlupa kata laluan anda, pada masa ini tiada cara untuk memulihkannya.

Malah, penyulitan peranti Android, bersama-sama dengan kelebihan yang jelas, juga mempunyai kelemahan yang ketara:

  1. Bayangkan anda perlu mendail kata laluan yang kompleks setiap kali anda ingin membuat panggilan. Saya tertanya-tanya berapa lama masa yang diperlukan untuk anda bosan dengannya?
  2. Anda tidak akan dapat menyahsulit peranti yang disulitkan; ini tidak disediakan. Untuk penyahsulitan ada satu-satunya cara- tetapkan semula telefon kepada tetapan kilang. Dalam kes ini, sudah tentu, semua data anda akan hilang. Ini akan kelihatan sangat menarik jika anda terlupa membuat salinan sandaran terlebih dahulu.

Oleh itu, hari ini terdapat pilihan yang sukar - sama ada anda menyulitkan peranti anda dan menghadapi kesulitan yang besar, atau anda mendapat kemudahan penggunaan, tetapi dengan mengorbankan keselamatan. Jalan mana yang akan anda pilih? saya tak tahu. Jalan mana yang akan saya pilih? saya pun tak boleh jawab. Saya hanya tidak tahu.

Vladimir BEZMALY ,
Keselamatan Pengguna MVP,
Keselamatan Microsoft Penasihat Dipercayai



ARTIKEL BERKAITAN