โดยการใช้ โปรแกรมไซเบอร์เซฟคุณสามารถเข้ารหัสได้ไม่เฉพาะไฟล์แต่ละไฟล์เท่านั้น โปรแกรมช่วยให้คุณสามารถเข้ารหัสทั้งหมดได้ ส่วนที่ยากหรือไดรฟ์ภายนอกทั้งหมด (เช่น ไดรฟ์ USB หรือแฟลชไดรฟ์) บทความนี้จะแสดงวิธีเข้ารหัสและซ่อน แอบมองพาร์ติชันที่เข้ารหัส ฮาร์ดไดรฟ์.

สายลับ ผู้หวาดระแวง และผู้ใช้ทั่วไป

ใครจะได้รับประโยชน์จากความสามารถในการเข้ารหัสพาร์ติชัน? ทิ้งสายลับและหวาดระแวงทันที ในอดีตมีไม่มากนัก และความจำเป็นในการเข้ารหัสข้อมูลนั้นมีความเป็นมืออาชีพอย่างแท้จริง อันที่สองแค่ต้องการเข้ารหัสบางสิ่ง ซ่อนมันไว้ ฯลฯ แม้ว่าไม่มี ภัยคุกคามที่แท้จริงไม่ และข้อมูลที่เข้ารหัสนั้นไม่สนใจใครเลย ยังไงซะพวกเขาก็เข้ารหัสมันอยู่ดี นั่นคือเหตุผลที่เราสนใจผู้ใช้ทั่วไป ซึ่งฉันหวังว่าจะมีมากกว่าสายลับหวาดระแวง
สถานการณ์การเข้ารหัสพาร์ติชันทั่วไปคือ การแบ่งปันคอมพิวเตอร์. มีสองตัวเลือกในการใช้โปรแกรม CyberSafe: ผู้ใช้แต่ละคนที่ทำงานที่คอมพิวเตอร์สร้างขึ้น ดิสก์เสมือนหรือทุกคนจะกำหนดพาร์ติชันบนฮาร์ดไดรฟ์ของตนเองเพื่อจัดเก็บข้อมูล ไฟล์ส่วนบุคคลและเข้ารหัสมัน มีการเขียนเกี่ยวกับการสร้างดิสก์เสมือนแล้ว แต่ในบทความนี้เราจะพูดถึงการเข้ารหัสพาร์ติชันทั้งหมดโดยเฉพาะ
เอาเป็นว่ามีอยู่ ฮาร์ดไดรฟ์ 500 GB และมีผู้ใช้สามคนที่ทำงานกับคอมพิวเตอร์เป็นระยะ แม้ว่าระบบไฟล์ NTFS ยังคงรองรับสิทธิ์การเข้าถึงและอนุญาตให้ผู้ใช้รายหนึ่งเข้าถึงไฟล์ของผู้ใช้รายอื่นได้ แต่การป้องกันยังไม่เพียงพอ ท้ายที่สุดแล้วหนึ่งในสามผู้ใช้นี้จะมีสิทธิ์ของผู้ดูแลระบบและจะสามารถเข้าถึงไฟล์ของผู้ใช้สองคนที่เหลือได้
นั่นเป็นเหตุผล พื้นที่ดิสก์ฮาร์ดไดรฟ์สามารถแบ่งได้ดังนี้:

• ประมาณ 200GB - ส่วนทั่วไป- พาร์ติชันนี้จะเป็นพาร์ติชันระบบด้วย ระบบปฏิบัติการ โปรแกรม จะถูกติดตั้งและจะถูกเก็บไว้ ไฟล์ที่แชร์ผู้ใช้ทั้งสามคน
• สามส่วน ส่วนละ ~100 GB - ฉันคิดว่า 100 GB ก็เพียงพอที่จะจัดเก็บไฟล์ส่วนตัวของผู้ใช้แต่ละคน แต่ละส่วนเหล่านี้จะถูกเข้ารหัส และเฉพาะผู้ใช้ที่เข้ารหัสส่วนนี้เท่านั้นที่จะรู้รหัสผ่านการเข้าถึงส่วนที่ถูกเข้ารหัส ในกรณีนี้ ผู้ดูแลระบบ แม้ว่าจะต้องการก็ตาม จะไม่สามารถถอดรหัสพาร์ติชันของผู้ใช้รายอื่นและเข้าถึงไฟล์ของเขาได้ ใช่ หากต้องการ ผู้ดูแลระบบสามารถฟอร์แมตพาร์ติชั่นและลบพาร์ติชั่นได้ แต่จะสามารถเข้าถึงได้ก็ต่อเมื่อเขาหลอกให้ผู้ใช้รับรหัสผ่าน แต่ฉันคิดว่าสิ่งนี้จะไม่เกิดขึ้น ดังนั้นการเข้ารหัสพาร์ติชันจึงมีมากกว่านั้นมาก มาตรการที่มีประสิทธิภาพกว่าการแยกสิทธิ์การเข้าถึงโดยใช้ NTFS

การเข้ารหัสพาร์ติชั่นเทียบกับดิสก์เสมือนที่เข้ารหัส

อะไรจะดีไปกว่า - การเข้ารหัสพาร์ติชันหรือใช้ดิสก์เสมือนที่เข้ารหัส ที่นี่ทุกคนตัดสินใจด้วยตัวเองเนื่องจากแต่ละวิธีมีข้อดีและข้อเสียของตัวเอง การเข้ารหัสพาร์ติชั่นมีความปลอดภัยพอๆ กับการเข้ารหัสดิสก์เสมือนและในทางกลับกัน
ดิสก์เสมือนคืออะไร? มองว่าเป็นไฟล์เก็บถาวรที่มีรหัสผ่านและอัตราส่วนการบีบอัดเป็น 0 เฉพาะไฟล์ภายในไฟล์เก็บถาวรนี้เท่านั้นที่จะได้รับการเข้ารหัสอย่างปลอดภัยมากกว่าในไฟล์เก็บถาวรทั่วไป ดิสก์เสมือนจะถูกจัดเก็บไว้ในฮาร์ดไดรฟ์ของคุณเป็นไฟล์ ในโปรแกรม CyberSafe คุณต้องเปิดและติดตั้งดิสก์เสมือน จากนั้นจึงสามารถทำงานได้เหมือนกับดิสก์ทั่วไป
ข้อดีของดิสก์เสมือนคือสามารถคัดลอกไปยังฮาร์ดไดรฟ์หรือแฟลชไดรฟ์อื่นได้อย่างง่ายดาย (หากขนาดอนุญาต) ตัวอย่างเช่น คุณสามารถสร้างดิสก์เสมือนขนาด 4 GB ได้ (ไม่มีข้อจำกัดเกี่ยวกับขนาดของดิสก์เสมือน ยกเว้นดิสก์ทั่วไป) และหากจำเป็น ให้คัดลอกไฟล์ดิสก์เสมือนไปยังแฟลชไดรฟ์ USB หรือไปที่ ภายนอกยากดิสก์. คุณไม่สามารถทำเช่นนี้กับพาร์ติชันที่เข้ารหัสได้ คุณยังสามารถซ่อนไฟล์ดิสก์เสมือนได้
แน่นอนหากจำเป็น คุณสามารถสร้างอิมเมจของดิสก์ที่เข้ารหัสได้ ในกรณีที่คุณต้องการสร้าง สำเนาสำรองหรือย้ายไปยังคอมพิวเตอร์เครื่องอื่น แต่นั่นเป็นอีกเรื่องหนึ่ง หากคุณมีความต้องการที่คล้ายกัน ฉันขอแนะนำโปรแกรม Clonezilla ซึ่งเป็นโซลูชันที่เชื่อถือได้และผ่านการพิสูจน์แล้ว การถ่ายโอนพาร์ติชันที่เข้ารหัสไปยังคอมพิวเตอร์เครื่องอื่นเป็นการดำเนินการที่ซับซ้อนกว่าการถ่ายโอนดิสก์เสมือน หากมีความจำเป็นก็จะใช้ดิสก์เสมือนได้ง่ายกว่า
ด้วยการเข้ารหัสพาร์ติชั่น พาร์ติชั่นทั้งหมดจะถูกเข้ารหัสทางกายภาพ เมื่อติดตั้งพาร์ติชันนี้ คุณจะต้องป้อนรหัสผ่าน หลังจากนั้นคุณสามารถทำงานกับพาร์ติชันได้ตามปกติ นั่นคือ อ่านและเขียนไฟล์
ฉันควรเลือกวิธีใด? หากคุณสามารถเข้ารหัสพาร์ติชันได้ คุณสามารถเลือกวิธีนี้ได้ นอกจากนี้ยังควรเข้ารหัสทั้งส่วนหากเอกสารลับของคุณมีขนาดค่อนข้างใหญ่
แต่มีบางสถานการณ์ที่การใช้ทั้งส่วนเป็นไปไม่ได้หรือไม่สมเหตุสมผล ตัวอย่างเช่น คุณมีพาร์ติชั่นเดียวเท่านั้น (ไดรฟ์ C:) บนฮาร์ดไดรฟ์ของคุณ และด้วยเหตุผลใดก็ตาม (เช่น ไม่มีสิทธิ์ เนื่องจากคอมพิวเตอร์ไม่ใช่ของคุณ) คุณไม่สามารถหรือไม่ต้องการเปลี่ยนเค้าโครงของมัน จากนั้นคุณ จำเป็นต้องใช้ดิสก์เสมือน การเข้ารหัสพาร์ติชันทั้งหมดไม่มีประโยชน์หากขนาดของเอกสาร (ไฟล์) ที่คุณต้องการเข้ารหัสมีขนาดเล็ก - ไม่กี่กิกะไบต์ ฉันคิดว่าเราได้จัดการเรื่องนี้แล้ว ดังนั้นจึงถึงเวลาที่จะพูดถึงพาร์ติชั่น (ดิสก์) ที่สามารถเข้ารหัสได้

ประเภทไดรฟ์ที่รองรับ

คุณสามารถเข้ารหัสได้ ประเภทต่อไปนี้ผู้ให้บริการ:

• พาร์ติชันฮาร์ดไดรฟ์ที่จัดรูปแบบเป็นรูปแบบไฟล์ ระบบไขมัน, FAT32 และ NTFS
• แฟลชไดรฟ์, ไดรฟ์ USB ภายนอกไม่รวมแผ่นดิสก์ที่เป็นตัวแทน โทรศัพท์มือถือ, กล้องดิจิตอลและเครื่องเล่นเสียง

ไม่สามารถเข้ารหัสได้:

• ดิสก์ซีดี/ดีวีดี-RW, ฟล็อปปี้ดิสก์
• ดิสก์แบบไดนามิก
• ไดรฟ์ระบบ (ซึ่ง Windows บูท)

เริ่มต้นด้วย Windows XP Windows รองรับดิสก์ไดนามิก ไดนามิกดิสก์ช่วยให้คุณสามารถรวมฟิสิคัลดิสก์หลายตัวได้ ฮาร์ดไดรฟ์(คล้ายกับ LVM ใน Windows) ไม่สามารถเข้ารหัสดิสก์ดังกล่าวด้วยโปรแกรมได้

คุณสมบัติของการทำงานกับดิสก์ที่เข้ารหัส

สมมติว่าคุณได้เข้ารหัสพาร์ติชันฮาร์ดไดรฟ์แล้ว หากต้องการทำงานกับไฟล์บนพาร์ติชั่นที่เข้ารหัส คุณจะต้องติดตั้งพาร์ติชั่นนั้น เมื่อติดตั้งโปรแกรมจะถามรหัสผ่านจากดิสก์ที่เข้ารหัสที่คุณระบุไว้เมื่อทำการเข้ารหัส หลังจากทำงานกับดิสก์ที่เข้ารหัสแล้ว คุณต้องยกเลิกการต่อเชื่อมทันที มิฉะนั้นไฟล์จะยังสามารถเข้าถึงได้โดยผู้ใช้ที่สามารถเข้าถึงคอมพิวเตอร์ของคุณได้
กล่าวอีกนัยหนึ่ง การเข้ารหัสจะปกป้องไฟล์ของคุณเฉพาะเมื่อไม่ได้ต่อเชื่อมพาร์ติชันที่เข้ารหัสเท่านั้น เมื่อติดตั้งพาร์ติชั่นแล้ว ใครก็ตามที่สามารถเข้าถึงคอมพิวเตอร์สามารถคัดลอกไฟล์จากพาร์ติชั่นนั้นไปยังพาร์ติชั่นที่ไม่ได้เข้ารหัส ไดรฟ์ USB หรือฮาร์ดไดรฟ์ภายนอก และไฟล์จะไม่ได้รับการเข้ารหัส ดังนั้น เมื่อคุณทำงานกับไดรฟ์ที่เข้ารหัส ให้เลิกติดตั้งไดรฟ์ทุกครั้งที่คุณออกจากคอมพิวเตอร์จนเป็นนิสัย แม้จะเป็นเพียงช่วงเวลาสั้นๆ ก็ตาม! เมื่อคุณยกเลิกการต่อเชื่อมไดรฟ์ที่เข้ารหัสแล้ว ไฟล์ของคุณจะได้รับการป้องกันอย่างปลอดภัย
สำหรับประสิทธิภาพนั้นจะลดลงเมื่อทำงานกับพาร์ติชั่นที่เข้ารหัส ต่ำกว่านี้มากน้อยเพียงใดขึ้นอยู่กับความสามารถของคอมพิวเตอร์ของคุณ แต่ระบบจะยังคงใช้งานได้และคุณจะต้องรอนานกว่าปกติเล็กน้อย (โดยเฉพาะเมื่อคุณคัดลอก ไฟล์ขนาดใหญ่ไปยังพาร์ติชันที่เข้ารหัส)

เตรียมพร้อมสำหรับการเข้ารหัส

สิ่งแรกที่คุณต้องทำคือหา UPS ที่ไหนสักแห่ง หากคุณมีแล็ปท็อป ทุกอย่างก็ดี แต่ถ้าคุณมีแล็ปท็อปทั่วไป คอมพิวเตอร์ตั้งโต๊ะและคุณต้องการเข้ารหัสพาร์ติชั่นที่มีไฟล์อยู่แล้ว การเข้ารหัสจะใช้เวลาระยะหนึ่ง หากไฟฟ้าดับในช่วงเวลานี้ ข้อมูลจะสูญหายอย่างแน่นอน ดังนั้นหากเป็น UPS ที่สามารถทนทานได้หลายชั่วโมง อายุการใช้งานแบตเตอรี่หากคุณไม่มี ฉันแนะนำให้ทำดังต่อไปนี้:

• สำรองข้อมูลของคุณ เช่น บนฮาร์ดไดรฟ์ภายนอก จากนั้นคุณจะต้องกำจัดสำเนานี้ (แนะนำให้ลบข้อมูลออกจากดิสก์ที่ไม่ได้เข้ารหัสหลังจากลบแล้ว พื้นที่ว่างโปรแกรมอรรถประโยชน์เช่น Piriform ดังนั้นจึงไม่สามารถกู้คืนได้ ไฟล์ที่ถูกลบ) เนื่องจากหากมีอยู่ ก็ไม่มีประโยชน์ที่จะมีสำเนาข้อมูลที่เข้ารหัส
• คุณจะถ่ายโอนข้อมูลไปยังดิสก์ที่เข้ารหัสจากสำเนาหลังจากที่ดิสก์ถูกเข้ารหัส ฟอร์แมตไดรฟ์และเข้ารหัส จริงๆ แล้ว คุณไม่จำเป็นต้องฟอร์แมตมันแยกกัน CyberSafe จะช่วยคุณเอง แต่จะเพิ่มเติมในภายหลัง

หากคุณมีแล็ปท็อปและพร้อมที่จะดำเนินการต่อโดยไม่ต้องสร้างสำเนาสำรองข้อมูลของคุณ (ฉันขอแนะนำให้ทำสำเนาสำรองไว้เผื่อไว้) อย่าลืมตรวจสอบข้อผิดพลาดในดิสก์ อย่างน้อยก็มาตรฐาน ยูทิลิตี้วินโดวส์- หลังจากนี้คุณจะต้องเริ่มเข้ารหัสพาร์ติชัน/ดิสก์

การเข้ารหัสพาร์ติชัน: การปฏิบัติ

ดังนั้น ทฤษฎีที่ไม่มีการฝึกฝนนั้นไร้ความหมาย ดังนั้นเรามาเริ่มเข้ารหัสพาร์ติชั่น/ดิสก์กันดีกว่า เปิดโปรแกรม CyberSafe และไปที่ส่วนนี้ การเข้ารหัสดิสก์, เข้ารหัสพาร์ติชัน(รูปที่ 1)

ข้าว. 1. รายการพาร์ติชั่น/ดิสก์ของคอมพิวเตอร์ของคุณ

เลือกพาร์ติชันที่คุณต้องการเข้ารหัส หากเป็นปุ่ม สร้างจะไม่ใช้งาน ดังนั้นพาร์ติชันนี้จึงไม่สามารถเข้ารหัสได้ ตัวอย่างเช่นมันอาจจะเป็น พาร์ติชันระบบหรือ ดิสก์ไดนามิก- นอกจากนี้คุณไม่สามารถเข้ารหัสหลายไดรฟ์พร้อมกันได้ หากคุณต้องการเข้ารหัสหลายดิสก์ การดำเนินการเข้ารหัสจะต้องทำซ้ำทีละรายการ
คลิกปุ่ม สร้าง- ถัดไปหน้าต่างจะเปิดขึ้น คริปโปดิสก์(รูปที่ 2) ในนั้นคุณจะต้องป้อนรหัสผ่านที่จะใช้ในการถอดรหัสดิสก์เมื่อทำการติดตั้ง เมื่อป้อนรหัสผ่านให้ตรวจสอบตัวพิมพ์เล็ก (เพื่อไม่ให้กดปุ่ม แคปล็อค) และเค้าโครง หากไม่มีใครอยู่ข้างหลังคุณ คุณสามารถเปิดสวิตช์ได้ แสดงรหัสผ่าน.

ข้าว. 2. ดิสก์เข้ารหัส

จากรายการ ประเภทการเข้ารหัสคุณต้องเลือกอัลกอริทึม - AES หรือ GOST อัลกอริธึมทั้งสองมีความน่าเชื่อถือ แต่ องค์กรภาครัฐเป็นเรื่องปกติที่จะใช้เฉพาะ GOST เท่านั้น ด้วยตัวคุณเอง คอมพิวเตอร์ของตัวเองหรือใน องค์กรการค้าคุณมีอิสระที่จะใช้อัลกอริธึมใดก็ได้
หากมีข้อมูลอยู่บนดิสก์และคุณต้องการบันทึก ให้เปิดสวิตช์ โปรดทราบว่าในกรณีนี้ เวลาการเข้ารหัสดิสก์จะเพิ่มขึ้นอย่างมาก ในทางกลับกัน หากไฟล์ที่เข้ารหัสนั้นอยู่บนฮาร์ดไดรฟ์ภายนอก คุณจะต้องคัดลอกไฟล์เหล่านั้นไปยังไดรฟ์ที่เข้ารหัสเพื่อเข้ารหัส และการคัดลอกด้วยการเข้ารหัสแบบทันทีทันใดก็จะใช้เวลาพอสมควรเช่นกัน หากคุณยังไม่ได้สำรองข้อมูล อย่าลืมทำเครื่องหมายที่ปุ่มตัวเลือกเปิดใช้งาน บันทึก โครงสร้างไฟล์และข้อมูลมิฉะนั้น คุณจะสูญเสียข้อมูลทั้งหมดของคุณ
พารามิเตอร์อื่นๆ ในหน้าต่าง เข้ารหัสลับดิสก์สามารถปล่อยให้เป็นค่าเริ่มต้นได้ กล่าวคือทั้งหมด ขนาดที่มีจำหน่ายอุปกรณ์และจะดำเนินการ การจัดรูปแบบอย่างรวดเร็ววี ระบบไฟล์เอ็นทีเอฟเอส หากต้องการเริ่มการเข้ารหัส ให้คลิกปุ่ม ยอมรับ- ความคืบหน้าของกระบวนการเข้ารหัสจะแสดงในหน้าต่างหลักของโปรแกรม

ข้าว. 3. ความคืบหน้าของกระบวนการเข้ารหัส

เมื่อดิสก์ถูกเข้ารหัสแล้ว คุณจะเห็นสถานะ - เข้ารหัสซ่อนอยู่(รูปที่ 4) ซึ่งหมายความว่าไดรฟ์ของคุณได้รับการเข้ารหัสและซ่อนไว้ - มันจะไม่แสดงใน Explorer และระดับสูงอื่นๆ ผู้จัดการไฟล์แต่จะเห็นได้จากโปรแกรมสำหรับการทำงานกับตารางพาร์ติชัน ไม่จำเป็นต้องหวังว่าเนื่องจากดิสก์ถูกซ่อนอยู่จึงไม่มีใครพบมัน ทั้งหมด ที่ถูกซ่อนไว้โดยโปรแกรมไดรฟ์จะแสดงในสแน็ปอิน การจัดการดิสก์(ดูรูปที่ 5) และโปรแกรมอื่น ๆ สำหรับการแบ่งพาร์ติชันดิสก์ โปรดทราบว่าในสแนปอินนี้ พาร์ติชั่นที่เข้ารหัสจะปรากฏเป็นพาร์ติชั่นไฟล์ ระบบไฟล์ดิบนั่นคือไม่มีระบบไฟล์เลย นี่เป็นปรากฏการณ์ปกติ - หลังการเข้ารหัส พาร์ทิชัน Windowsไม่สามารถระบุประเภทของมันได้ อย่างไรก็ตาม การซ่อนพาร์ติชันเป็นสิ่งจำเป็นด้วยเหตุผลที่แตกต่างกันโดยสิ้นเชิง แล้วคุณจะเข้าใจว่าทำไม

ข้าว. 4. สถานะดิสก์: เข้ารหัส, ซ่อนอยู่ พาร์ติชัน E: ไม่ปรากฏใน Explorer

ข้าว. 5. สแน็ปอินการจัดการดิสก์

ตอนนี้เรามาติดตั้งพาร์ติชันกัน เลือกและคลิกปุ่ม การฟื้นคืนชีพเพื่อให้มองเห็นพาร์ติชั่นได้อีกครั้ง (สถานะของดิสก์จะเปลี่ยนเป็นเพียง " เข้ารหัส") Windows จะเห็นพาร์ติชันนี้แต่เนื่องจากไม่รู้จักประเภทระบบไฟล์จึงเสนอให้ฟอร์แมต (รูปที่ 6) ไม่ควรทำไม่ว่าในกรณีใด ๆ เนื่องจากคุณจะสูญเสียข้อมูลทั้งหมด นี่คือสาเหตุ โปรแกรมจะซ่อนไดรฟ์ที่เข้ารหัส - หากคุณไม่ใช่คนเดียวที่ทำงานบนคอมพิวเตอร์ผู้ใช้รายอื่นสามารถฟอร์แมตพาร์ติชันของดิสก์ที่คาดไม่ถึงว่าอ่านไม่ได้

ข้าว. 6. คำแนะนำในการฟอร์แมตพาร์ติชั่นที่เข้ารหัส

แน่นอนเราปฏิเสธการจัดรูปแบบและกดปุ่ม มอนติรอฟ- ในหน้าต่างหลักของโปรแกรม CyberSafe ถัดไปคุณจะต้องเลือกอักษรระบุไดรฟ์ที่คุณจะเข้าถึงพาร์ติชันที่เข้ารหัส (รูปที่ 7)

ข้าว. 7. การเลือกอักษรระบุไดรฟ์

หลังจากนี้โปรแกรมจะขอให้คุณป้อนรหัสผ่านที่จำเป็นในการถอดรหัสข้อมูลของคุณ (รูปที่ 8) พาร์ติชันที่ถอดรหัส (ดิสก์) จะปรากฏขึ้นในพื้นที่ เชื่อมต่ออุปกรณ์ถอดรหัสแล้ว(รูปที่ 9)

ข้าว. 8. รหัสผ่านสำหรับการถอดรหัสพาร์ติชัน

ข้าว. 9. อุปกรณ์ถอดรหัสที่เชื่อมต่ออยู่

หลังจากนี้คุณสามารถทำงานกับดิสก์ที่ถอดรหัสได้เหมือนกับดิสก์ปกติ ใน Explorer จะแสดงเฉพาะไดรฟ์ Z: นี่คือตัวอักษรที่ฉันกำหนดให้กับไดรฟ์ที่ถอดรหัส ไดรฟ์ E: ที่เข้ารหัสจะไม่ปรากฏขึ้น

ข้าว. 10. Explorer - ดูดิสก์คอมพิวเตอร์

ตอนนี้คุณสามารถเปิดดิสก์ที่เมาท์แล้วคัดลอกทุกอย่างลงไปได้ ไฟล์ลับ(อย่าลืมลบออกจากต้นฉบับในภายหลังและลบพื้นที่ว่างในนั้น)
เมื่อคุณต้องการทำงานกับส่วนของเราให้เสร็จ จากนั้นหรือคลิกปุ่ม ช่างรื้อ.แล้วจึงกดปุ่ม ซ่อนหรือเพียงปิดหน้าต่าง CyberSafe สำหรับฉันการปิดหน้าต่างโปรแกรมง่ายกว่า เห็นได้ชัดว่าคุณไม่จำเป็นต้องปิดหน้าต่างโปรแกรมระหว่างการดำเนินการคัดลอก/ย้ายไฟล์ จะไม่มีอะไรเลวร้ายหรือแก้ไขไม่ได้เกิดขึ้น เพียงไฟล์บางไฟล์จะไม่ถูกคัดลอกไปยังดิสก์ที่เข้ารหัสของคุณ

เกี่ยวกับประสิทธิภาพ

เป็นที่ชัดเจนว่าประสิทธิภาพของดิสก์ที่เข้ารหัสจะต่ำกว่าประสิทธิภาพของดิสก์ปกติ แต่เท่าไหร่ล่ะ? ในรูป 11 ฉันคัดลอกโฟลเดอร์โปรไฟล์ผู้ใช้ของฉัน (ซึ่งมีไฟล์ขนาดเล็กจำนวนมาก) จากไดรฟ์ C: ไปยังไดรฟ์ Z: ที่เข้ารหัส ความเร็วในการคัดลอกจะแสดงในรูป 11 - ประมาณที่ระดับ 1.3 MB/s ซึ่งหมายความว่าไฟล์ขนาดเล็ก 1 GB จะถูกคัดลอกในเวลาประมาณ 787 วินาที ซึ่งก็คือ 13 นาที หากคุณคัดลอกโฟลเดอร์เดียวกันไปยังพาร์ติชันที่ไม่ได้เข้ารหัส ความเร็วจะอยู่ที่ประมาณ 1.9 MB/s (รูปที่ 12) เมื่อสิ้นสุดการดำเนินการคัดลอก ความเร็วเพิ่มขึ้นเป็น 2.46 MB/s แต่มีไฟล์น้อยมากที่ถูกคัดลอกด้วยความเร็วนี้ ดังนั้นเราจึงเชื่อว่าความเร็วอยู่ที่ 1.9 MB/s ซึ่งเร็วกว่า 30% ไฟล์ขนาดเล็ก 1 GB เดียวกันในกรณีของเราจะถูกคัดลอกใน 538 วินาทีหรือเกือบ 9 นาที

ข้าว. 11. ความเร็วในการคัดลอกไฟล์ขนาดเล็กจากพาร์ติชั่นที่ไม่ได้เข้ารหัสไปยังพาร์ติชั่นที่เข้ารหัส

ข้าว. 12. ความเร็วในการคัดลอกไฟล์ขนาดเล็กระหว่างสองพาร์ติชั่นที่ไม่ได้เข้ารหัส

สำหรับไฟล์ขนาดใหญ่ คุณจะไม่รู้สึกถึงความแตกต่างใดๆ ในรูป รูปที่ 13 แสดงความเร็วในการคัดลอกไฟล์ขนาดใหญ่ (ไฟล์วิดีโอ 400 MB) จากพาร์ติชั่นที่ไม่ได้เข้ารหัสหนึ่งไปยังอีกพาร์ติชั่นหนึ่ง อย่างที่คุณเห็น ความเร็วอยู่ที่ 11.6 MB/s และในรูป รูปที่ 14 แสดงความเร็วในการคัดลอกไฟล์เดียวกันจากพาร์ติชั่นปกติไปยังพาร์ติชั่นที่เข้ารหัส โดยมีค่าเท่ากับ 11.1 MB/s ความแตกต่างมีขนาดเล็กและอยู่ภายในขีดจำกัดข้อผิดพลาด (ความเร็วยังคงเปลี่ยนแปลงเล็กน้อยเมื่อการดำเนินการคัดลอกดำเนินไป) เพื่อความสนุก ฉันจะบอกคุณถึงความเร็วในการคัดลอกไฟล์เดียวกันจากแฟลชไดรฟ์ (ไม่ใช่ USB 3.0) ไปยังฮาร์ดไดรฟ์ - ประมาณ 8 MB/s (ไม่มีภาพหน้าจอ แต่เชื่อฉันเถอะ)

ข้าว. 13. ความเร็วในการคัดลอกไฟล์ขนาดใหญ่

ข้าว. 14. ความเร็วในการคัดลอกไฟล์ขนาดใหญ่ไปยังพาร์ติชันที่เข้ารหัส

การทดสอบนี้อาจไม่แม่นยำทั้งหมด แต่ก็ยังช่วยให้คุณทราบถึงประสิทธิภาพได้
นั่นคือทั้งหมดที่ ฉันขอแนะนำให้คุณอ่านบทความด้วย

มีเหตุผลหลายประการในการเข้ารหัสข้อมูลในฮาร์ดไดรฟ์ของคุณ แต่ราคาสำหรับความปลอดภัยของข้อมูลคือความเร็วของระบบลดลง วัตถุประสงค์ของบทความนี้คือเพื่อเปรียบเทียบประสิทธิภาพเมื่อทำงานกับดิสก์ที่เข้ารหัสด้วยวิธีต่างๆ

เพื่อสร้างความแตกต่างให้น่าทึ่งยิ่งขึ้น เราจึงเลือกไม่ใช่รถที่ล้ำสมัย แต่เป็นรถธรรมดาๆ ฮาร์ดไดรฟ์เชิงกลปกติ 500 GB, เอเอ็มดีดูอัลคอร์ที่ 2.2 GHz, RAM 4 GB, Windows 7 SP 1 64 บิต จะไม่มีการเปิดตัวโปรแกรมป้องกันไวรัสหรือโปรแกรมอื่น ๆ ในระหว่างการทดสอบดังนั้นจึงไม่มีสิ่งใดส่งผลกระทบต่อผลลัพธ์

ฉันเลือก CrystalDiskMark เพื่อประเมินประสิทธิภาพ สำหรับเครื่องมือเข้ารหัสที่กำลังทดสอบ ฉันเลือกรายการต่อไปนี้: BitLocker, TrueCrypt, VeraCrypt, CipherShed, จุดสิ้นสุดของไซแมนเทคการเข้ารหัสและความลับสุดยอดของ CyberSafe

BitLocker

นี้ การรักษามาตรฐานการเข้ารหัสดิสก์ในตัว ไมโครซอฟต์ วินโดวส์- หลายคนใช้มันโดยไม่ต้องติดตั้ง โปรแกรมของบุคคลที่สาม- แน่นอนทำไมถ้าทุกอย่างอยู่ในระบบแล้ว? ในด้านหนึ่งก็ถูกต้อง ในทางกลับกัน รหัสนี้ถูกปิด และไม่มีความแน่นอนว่าไม่มีประตูหลังสำหรับ FBI และผู้มีส่วนได้เสียอื่นๆ

การเข้ารหัสดิสก์ดำเนินการโดยใช้อัลกอริทึม AES ที่มีความยาวคีย์ 128 หรือ 256 บิต สามารถจัดเก็บไว้ใน Trusted Platform Module บนคอมพิวเตอร์หรือในแฟลชไดรฟ์ได้

หากใช้ TPM เมื่อคอมพิวเตอร์บู๊ต สามารถรับรหัสได้ทันทีหรือหลังจากการตรวจสอบสิทธิ์ คุณสามารถเข้าสู่ระบบโดยใช้คีย์บนแฟลชไดรฟ์หรือโดยการป้อนรหัส PIN จากแป้นพิมพ์ การรวมกันของวิธีการเหล่านี้ทำให้มีตัวเลือกมากมายในการจำกัดการเข้าถึง: เพียง TPM, TPM และ USB, TPM และ PIN หรือทั้งสามอย่างพร้อมกัน

BitLocker มีข้อดีสองประการที่ไม่อาจปฏิเสธได้ ประการแรก สามารถจัดการผ่านนโยบายกลุ่มได้ ประการที่สอง เข้ารหัสโวลุ่ม ไม่ใช่ฟิสิคัลดิสก์ ซึ่งจะทำให้คุณสามารถเข้ารหัสอาเรย์ของไดรฟ์หลายตัวได้ ซึ่งเป็นสิ่งที่เครื่องมือเข้ารหัสอื่นๆ ไม่สามารถทำได้ BitLocker ยังรองรับ GUID Partition Table (GPT) ซึ่งแม้แต่ Trucrypt fork ที่ทันสมัยที่สุดอย่าง VeraCrypt ก็ไม่สามารถอวดได้ หากต้องการเข้ารหัสดิสก์ GPT ของระบบ คุณจะต้องแปลงเป็นรูปแบบ MBR ก่อน สิ่งนี้ไม่จำเป็นกับ BitLocker

โดยทั่วไปมีข้อเสียเปรียบเพียงประการเดียวคือแหล่งปิด หากคุณเก็บความลับจากคนในครอบครัว BitLocker ก็สมบูรณ์แบบ หากดิสก์ของคุณเต็มไปด้วยเอกสารที่มีความสำคัญระดับชาติ ควรหาอย่างอื่นจะดีกว่า

เป็นไปได้หรือไม่ที่จะถอดรหัส BitLocker และ TrueCrypt

ถ้าถามกูเกิ้ลก็จะเจอ โปรแกรมที่น่าสนใจ Elcomsoft Forensic Disk Decryptor เหมาะสำหรับการถอดรหัสไดรฟ์ BitLocker, TrueCrypt และ PGP ในส่วนหนึ่งของบทความนี้ ฉันจะไม่ทดสอบ แต่ฉันจะแบ่งปันความประทับใจเกี่ยวกับยูทิลิตี้อื่นจาก Elcomsoft นั่นคือ Advanced EFS การกู้คืนข้อมูล- มันถอดรหัสโฟลเดอร์ EFS ได้อย่างสมบูรณ์แบบ แต่หากไม่ได้ตั้งรหัสผ่านผู้ใช้ หากคุณตั้งรหัสผ่านเป็น 1234 แสดงว่าโปรแกรมไม่มีอำนาจ ไม่ว่าในกรณีใด ฉันไม่สามารถถอดรหัสโฟลเดอร์ EFS ที่เข้ารหัสที่เป็นของผู้ใช้ที่มีรหัสผ่าน 111 ได้ ฉันคิดว่าสถานการณ์จะเหมือนกันกับผลิตภัณฑ์ Forensic Disk Decryptor

ทรูคริปต์

นี้ โปรแกรมระดับตำนานการเข้ารหัสดิสก์ซึ่งถูกยกเลิกในปี 2555 เรื่องราวที่เกิดขึ้นกับ TrueCrypt ยังคงถูกปกคลุมไปด้วยความมืดมิด และไม่มีใครรู้จริงๆ ว่าทำไมผู้พัฒนาจึงตัดสินใจปฏิเสธการสนับสนุนการผลิตผลงานของเขา

มีเพียงข้อมูลเพียงเล็กน้อยที่ไม่อนุญาตให้เรารวบรวมปริศนาเข้าด้วยกัน ดังนั้นในปี 2013 การระดมทุนจึงเริ่มดำเนินการตรวจสอบ TrueCrypt โดยอิสระ เหตุผลก็คือข้อมูลที่ได้รับจาก Edward Snowden เกี่ยวกับการลดประสิทธิภาพของเครื่องมือเข้ารหัส TrueCrypt โดยเจตนา มีการเก็บรวบรวมเงินกว่า 60,000 ดอลลาร์สำหรับการตรวจสอบ เมื่อต้นเดือนเมษายน 2558 งานแล้วเสร็จ แต่ไม่มีข้อผิดพลาดร้ายแรง จุดอ่อน หรืออื่นๆ ข้อบกพร่องที่สำคัญไม่ได้ระบุในสถาปัตยกรรมแอปพลิเคชัน

ทันทีที่การตรวจสอบเสร็จสิ้น TrueCrypt ก็พบว่าตัวเองเป็นศูนย์กลางของเรื่องอื้อฉาวอีกครั้ง ผู้เชี่ยวชาญของ ESET เผยแพร่รายงานว่า TrueCrypt 7.1a เวอร์ชันรัสเซีย ซึ่งดาวน์โหลดจาก truecrypt.ru มีมัลแวร์ ยิ่งไปกว่านั้น เว็บไซต์ truecrypt.ru เองก็ถูกใช้เป็นศูนย์สั่งการ - คำสั่งถูกส่งไปยังคอมพิวเตอร์ที่ติดไวรัส โดยทั่วไปควรระมัดระวังและอย่าดาวน์โหลดโปรแกรมจากที่อื่น

ข้อดีของ TrueCrypt ได้แก่ โอเพ่นซอร์ส ซึ่งขณะนี้มีความน่าเชื่อถือซึ่งได้รับการสนับสนุนโดยการตรวจสอบอิสระและการสนับสนุน ไดรฟ์ข้อมูลแบบไดนามิกหน้าต่าง ข้อเสีย: โปรแกรมไม่ได้รับการพัฒนาอีกต่อไป และนักพัฒนาไม่มีเวลาที่จะใช้การสนับสนุน UEFI/GPT แต่หากเป้าหมายคือการเข้ารหัสอย่างหนึ่ง ดิสก์ที่ไม่ใช่ระบบแล้วมันไม่สำคัญ

ต่างจาก BitLocker ซึ่งรองรับเฉพาะ AES เท่านั้น TrueCrypt ยังมี Serpent และ Twofish อีกด้วย ในการสร้างคีย์เข้ารหัส เกลือ และคีย์ส่วนหัว โปรแกรมอนุญาตให้คุณเลือกหนึ่งในสามฟังก์ชันแฮช: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512 อย่างไรก็ตาม มีการเขียนเกี่ยวกับ TrueCrypt มากมายแล้ว ดังนั้นเราจะไม่ทำซ้ำ

เวราคริปต์

โคลน TrueCrypt ที่ทันสมัยที่สุด เขามี รูปแบบของตัวเองแม้ว่าจะเป็นไปได้ที่จะทำงานในโหมด TrueCrypt ซึ่งรองรับดิสก์ที่เข้ารหัสและเสมือนในรูปแบบ TrueCrypt ต่างจาก CipherShed ตรงที่ VeraCrypt สามารถติดตั้งบนคอมพิวเตอร์เครื่องเดียวกันพร้อมกับ TrueCrypt

ข้อมูล

เมื่อเกษียณแล้ว TrueCrypt ได้ทิ้งมรดกอันยาวนาน: มีทางแยกมากมาย เริ่มต้นด้วย VeraCrypt, CipherShed และ DiskCryptor

TrueCrypt ใช้การวนซ้ำ 1,000 ครั้งเพื่อสร้างคีย์ที่จะเข้ารหัสพาร์ติชันระบบ ในขณะที่ VeraCrypt ใช้การวนซ้ำ 327,661 ครั้ง สำหรับพาร์ติชั่นมาตรฐาน (ไม่ใช่ระบบ) เวราคริปต์จะใช้การวนซ้ำ 655,331 ครั้งสำหรับฟังก์ชันแฮช RIPEMD-160 และ 500,000 ครั้งสำหรับ SHA-2 และ Whirlpool สิ่งนี้ทำให้พาร์ติชั่นที่เข้ารหัสมีความทนทานต่อการโจมตีแบบ bruteforce มากขึ้นอย่างมาก แต่ยังลดประสิทธิภาพการทำงานกับพาร์ติชั่นดังกล่าวลงอย่างมากอีกด้วย สำคัญแค่ไหนเราจะค้นพบในไม่ช้า

ข้อดีของ VeraCrypt ก็คือโค้ดโอเพ่นซอร์ส รวมถึงรูปแบบดิสก์เสมือนและเข้ารหัสที่ปลอดภัยกว่าของตัวเองเมื่อเทียบกับ TrueCrypt ข้อเสียเหมือนกับในกรณีของต้นกำเนิด - ขาดการรองรับ UEFI/GPT ยังคงเป็นไปไม่ได้ที่จะเข้ารหัสดิสก์ GPT ของระบบ แต่นักพัฒนาอ้างว่าพวกเขากำลังแก้ไขปัญหานี้อยู่และการเข้ารหัสดังกล่าวจะพร้อมใช้งานในไม่ช้า แต่พวกเขากำลังดำเนินการเรื่องนี้มาเป็นเวลาสองปีแล้ว (ตั้งแต่ปี 2014) และจะมีการเผยแพร่ที่รองรับ GPT เมื่อใด และยังไม่ทราบว่าจะมีหรือไม่

ไซเฟอร์เชด

โคลน TrueCrypt อีกอัน ต่างจาก VeraCrypt ตรงที่ใช้รูปแบบ TrueCrypt ดั้งเดิม ดังนั้นคุณจึงสามารถคาดหวังได้ว่าประสิทธิภาพจะใกล้เคียงกับ TrueCrypt

ข้อดีและข้อเสียยังคงเหมือนเดิมแม้ว่าคุณจะสามารถเพิ่มข้อเสียของการไม่สามารถติดตั้ง TrueCrypt และ CipherShed บนคอมพิวเตอร์เครื่องเดียวกันได้ นอกจากนี้ หากคุณพยายามติดตั้ง CipherShed บนเครื่องที่ติดตั้ง TrueCrypt ไว้แล้ว โปรแกรมติดตั้งจะแจ้งให้คุณลบออก โปรแกรมก่อนหน้าแต่ไม่สามารถรับมือกับงานได้

การเข้ารหัสปลายทางของไซแมนเทค

ในปี 2010 ไซแมนเทคซื้อสิทธิ์ในโปรแกรม PGPdisk ผลลัพธ์ที่ได้คือผลิตภัณฑ์ เช่น PGP Desktop และต่อมาคือ Endpoint Encryption นี่คือสิ่งที่เราจะพิจารณา แน่นอนว่าโปรแกรมนี้เป็นกรรมสิทธิ์ แหล่งที่มาถูกปิด และใบอนุญาตหนึ่งใบมีราคา 64 ยูโร แต่มีการรองรับ GPT แต่เริ่มต้นจาก Windows 8 เท่านั้น

กล่าวอีกนัยหนึ่ง หากคุณต้องการการสนับสนุน GPT และต้องการเข้ารหัสพาร์ติชันระบบ คุณจะต้องเลือกระหว่างโซลูชันที่เป็นกรรมสิทธิ์สองรายการ: BitLocker และ Endpoint Encryption แน่นอนว่ามันไม่น่าเป็นไปได้ ผู้ใช้ตามบ้านจะติดตั้ง Endpoint Encryption ปัญหาคือต้องใช้ Symantec Drive Encryption ซึ่งต้องใช้เอเจนต์และเซิร์ฟเวอร์การจัดการ Symantec Endpoint Encryption (SEE) เพื่อติดตั้ง และเซิร์ฟเวอร์ก็ต้องการติดตั้ง IIS 6.0 ด้วย โปรแกรมเข้ารหัสดิสก์โปรแกรมเดียวมีสิ่งดีๆ มากมายไม่ใช่หรือ? เราดำเนินการทั้งหมดนี้เพียงเพื่อวัดประสิทธิภาพ

ช่วงเวลาแห่งความจริง

มาดูส่วนที่สนุกกันดีกว่า นั่นก็คือการทดสอบ ขั้นตอนแรกคือการตรวจสอบประสิทธิภาพของดิสก์โดยไม่มีการเข้ารหัส “เหยื่อ” ของเราจะเป็นพาร์ติชั่นฮาร์ดไดรฟ์ขนาด 28 GB (ปกติ ไม่ใช่ SSD) ซึ่งจัดรูปแบบเป็น NTFS

เปิด CrystalDiskMark เลือกจำนวนรอบ ขนาดของไฟล์ชั่วคราว (เราจะใช้ 1 GB ในการทดสอบทั้งหมด) และตัวดิสก์เอง เป็นที่น่าสังเกตว่าจำนวนครั้งที่ผ่านแทบไม่มีผลกระทบต่อผลลัพธ์ ภาพหน้าจอแรกแสดงผลการวัดประสิทธิภาพของดิสก์โดยไม่มีการเข้ารหัสด้วยจำนวนรอบ 5 ส่วนภาพที่สอง - ด้วยจำนวนรอบ 3 อย่างที่คุณเห็นผลลัพธ์เกือบจะเหมือนกันดังนั้นเราจะมุ่งเน้นไปที่สามรอบ

ผลลัพธ์ของ CrystalDiskMark ควรได้รับการตีความดังนี้:

• Seq Q32T1 - การทดสอบการเขียน / อ่านตามลำดับ, จำนวนคิว - 32, เธรด - 1;
• 4K Q32T1 - ทดสอบ บันทึกแบบสุ่ม/ การอ่านแบบสุ่ม (ขนาดบล็อก 4 KB, จำนวนคิว - 32, เธรด - 1)
• Seq - การทดสอบการเขียน/การอ่านตามลำดับ;
• 4K - การทดสอบการเขียนแบบสุ่ม / การอ่านแบบสุ่ม (ขนาดบล็อก 4 KB)

เริ่มจาก BitLocker กันก่อน ใช้เวลา 19 นาทีในการเข้ารหัสพาร์ติชันขนาด 28 GB

ความต่อเนื่องมีให้เฉพาะสมาชิกเท่านั้น

ตัวเลือก 1. สมัครสมาชิก Hacker เพื่ออ่านเนื้อหาทั้งหมดบนเว็บไซต์

การสมัครสมาชิกจะช่วยให้คุณ ระยะเวลาที่กำหนดอ่านเนื้อหาที่ต้องชำระเงินทั้งหมดบนเว็บไซต์

เรารับชำระเงินด้วยบัตรธนาคาร เงินอิเล็กทรอนิกส์ และการโอนเงินจากบัญชีของผู้ให้บริการมือถือ สวัสดีเพื่อนๆ! ในบทความนี้ เราจะศึกษาระบบที่มีอยู่ใน Windows ที่ออกแบบมาเพื่อปรับปรุงความปลอดภัยของข้อมูลของเราต่อไป วันนี้มันเป็นระบบเข้ารหัสดิสก์ Bitlocker

- การเข้ารหัสข้อมูลเป็นสิ่งจำเป็นเพื่อป้องกันไม่ให้คนแปลกหน้าใช้ข้อมูลของคุณ เธอจะไปหาพวกเขาได้อย่างไรเป็นอีกคำถามหนึ่ง การเข้ารหัสเป็นกระบวนการในการแปลงข้อมูลเช่นนั้นเท่านั้นคนที่เหมาะสม

การเข้ารหัสไดรฟ์ทั้งหมดจะป้องกันการเข้าถึงข้อมูลเมื่อคุณเชื่อมต่อฮาร์ดไดรฟ์กับคอมพิวเตอร์เครื่องอื่น ระบบของผู้โจมตีอาจมีระบบปฏิบัติการอื่นติดตั้งอยู่เพื่อหลีกเลี่ยงการป้องกัน แต่วิธีนี้จะไม่ช่วยหากคุณใช้ BitLocker

เทคโนโลยี BitLocker ปรากฏขึ้นพร้อมกับการเปิดตัวระบบปฏิบัติการ Windows Vista และได้รับการปรับปรุงใน Windows 7 Bitlocker มีให้ใช้งานในเวอร์ชัน Windows 7 Ultimate และ Enterprise รวมถึงใน Windows 8 Pro เจ้าของเวอร์ชันอื่นจะต้องมองหาทางเลือกอื่น

โดยไม่ต้องลงรายละเอียดก็จะเป็นแบบนี้ ระบบเข้ารหัสดิสก์ทั้งหมดและให้คีย์แก่คุณ หากคุณเข้ารหัสดิสก์ระบบ คอมพิวเตอร์จะไม่สามารถบู๊ตได้หากไม่มีคีย์ของคุณ สิ่งเดียวกับกุญแจอพาร์ตเมนต์ คุณมีพวกเขาคุณจะเข้าไปในนั้น ลืมต้องใช้อันสำรอง (รหัสกู้คืน (ออกให้ระหว่างการเข้ารหัส)) และเปลี่ยนล็อค (ทำการเข้ารหัสอีกครั้งด้วยคีย์อื่น)

สำหรับ การป้องกันที่เชื่อถือได้ขอแนะนำให้มี TPM (Trusted Platform Module) บนคอมพิวเตอร์ หากมีอยู่และเป็นเวอร์ชัน 1.2 หรือสูงกว่า มันจะควบคุมกระบวนการและคุณจะมีวิธีการป้องกันที่แข็งแกร่งยิ่งขึ้น หากไม่มีก็จะสามารถใช้เฉพาะคีย์บนไดรฟ์ USB ได้

BitLocker ทำงานดังนี้ แต่ละเซกเตอร์ของดิสก์จะถูกเข้ารหัสแยกกันโดยใช้คีย์ (full-volume คีย์เข้ารหัส,ฟวีค) ใช้แล้ว อัลกอริทึม AESพร้อมคีย์ 128 บิตและดิฟฟิวเซอร์ คีย์สามารถเปลี่ยนเป็น 256 บิตในนโยบายความปลอดภัยของกลุ่ม

เมื่อการเข้ารหัสเสร็จสมบูรณ์ คุณจะเห็นภาพต่อไปนี้

ปิดหน้าต่างและตรวจสอบว่าคีย์เริ่มต้นและคีย์การกู้คืนอยู่ในที่ปลอดภัยหรือไม่

การเข้ารหัสแฟลชไดรฟ์ - BitLocker To Go

เหตุใดคุณจึงควรหยุดการเข้ารหัสชั่วคราว เพื่อให้ BitLocker ไม่บล็อกไดรฟ์ของคุณและไม่ต้องหันไปใช้ขั้นตอนการกู้คืน พารามิเตอร์ระบบ (เนื้อหา BIOS และพาร์ติชันสำหรับบูต) ได้รับการแก้ไขระหว่างการเข้ารหัส การป้องกันเพิ่มเติม- การเปลี่ยนแปลงอาจทำให้คอมพิวเตอร์ของคุณล็อค

หากคุณเลือกจัดการ BitLocker คุณสามารถบันทึกหรือพิมพ์คีย์การกู้คืนและทำซ้ำคีย์เริ่มต้นได้

หากคีย์ใดคีย์หนึ่ง (คีย์เริ่มต้นหรือคีย์กู้คืน) สูญหาย คุณสามารถกู้คืนได้ที่นี่

จัดการการเข้ารหัสของไดรฟ์ภายนอก

ฟังก์ชั่นต่อไปนี้มีไว้เพื่อจัดการการตั้งค่าการเข้ารหัสของแฟลชไดรฟ์:

คุณสามารถเปลี่ยนรหัสผ่านเพื่อปลดล็อคได้ คุณสามารถลบรหัสผ่านได้หากคุณใช้สมาร์ทการ์ดเพื่อปลดล็อคเท่านั้น คุณยังสามารถบันทึกหรือพิมพ์คีย์การกู้คืนและเปิดใช้งานการปลดล็อคดิสก์สำหรับคอมพิวเตอร์เครื่องนี้โดยอัตโนมัติ

การกู้คืนการเข้าถึงดิสก์

การคืนค่าการเข้าถึงดิสก์ระบบ

หากแฟลชไดรฟ์ที่มีคีย์อยู่นอกโซนการเข้าถึงคีย์การกู้คืนจะเริ่มทำงาน เมื่อคุณบูตเครื่องคอมพิวเตอร์ คุณจะเห็นสิ่งนี้:

เพื่อคืนค่าการเข้าถึงและ บูตวินโดวส์กด Enter

คุณจะเห็นหน้าจอขอให้คุณป้อนรหัสกู้คืน

ด้วยการป้อนข้อมูล หลักสุดท้ายหากรหัสกู้คืนถูกต้อง ระบบปฏิบัติการจะบู๊ตโดยอัตโนมัติ

การคืนค่าการเข้าถึงไดรฟ์แบบถอดได้

หากต้องการคืนค่าการเข้าถึงข้อมูลบนแฟลชไดรฟ์หรือ HDD ภายนอก ให้คลิกลืมรหัสผ่านใช่ไหม

เลือก ป้อนคีย์การกู้คืน

และกรอกรหัส 48 หลักอันแสนสาหัสนี้ คลิกถัดไป

หากคีย์การกู้คืนเหมาะสม ดิสก์จะถูกปลดล็อค

ลิงก์จะปรากฏขึ้นไปที่จัดการ BitLocker ซึ่งคุณสามารถเปลี่ยนรหัสผ่านเพื่อปลดล็อคไดรฟ์ได้

บทสรุป

ในบทความนี้ เราได้เรียนรู้วิธีปกป้องข้อมูลของเราโดยการเข้ารหัสโดยใช้เครื่องมือ BitLocker ในตัว เป็นเรื่องน่าผิดหวังที่เทคโนโลยีนี้มีเฉพาะใน Windows เวอร์ชันเก่าหรือขั้นสูงเท่านั้น เป็นที่ชัดเจนว่าเหตุใดจึงสร้างพาร์ติชันที่ซ่อนอยู่และพาร์ติชันสำหรับบูตขนาด 100 MB เมื่อตั้งค่าดิสก์ ใช้วินโดวส์.

บางทีฉันอาจจะใช้การเข้ารหัสแฟลชไดรฟ์หรือฮาร์ดไดรฟ์ภายนอก แต่ไม่น่าเป็นไปได้เนื่องจากมีตัวสำรองที่ดีอยู่ในฟอร์ม บริการคลาวด์การจัดเก็บข้อมูลเช่น DropBox, Google Drive, Yandex Drive และอื่น ๆ

บน Windows Vista, Windows 7 และ Windows 8 รุ่นโปรและเหนือผู้พัฒนาสร้างขึ้น เทคโนโลยีพิเศษเพื่อเข้ารหัสเนื้อหาของโลจิคัลพาร์ติชันทุกประเภท ไดรฟ์ภายนอกและแฟลชไดรฟ์ USB - BitLocker.
มีไว้เพื่ออะไร? หากคุณเรียกใช้ BitLocker ไฟล์ทั้งหมดในดิสก์จะถูกเข้ารหัส การเข้ารหัสเกิดขึ้นอย่างโปร่งใส นั่นคือคุณไม่จำเป็นต้องป้อนรหัสผ่านทุกครั้งที่บันทึกไฟล์ - ระบบจะทำทุกอย่างโดยอัตโนมัติและเงียบ ๆ อย่างไรก็ตาม เมื่อคุณยกเลิกการเชื่อมต่อไดรฟ์นี้ ในครั้งถัดไปที่คุณเปิดเครื่อง คุณจะต้องถอดออก กุญแจพิเศษ(สมาร์ทการ์ดพิเศษ แฟลชไดรฟ์ หรือรหัสผ่าน) เพื่อเข้าถึง นั่นคือหากคุณทำแล็ปท็อปหายโดยไม่ได้ตั้งใจ คุณจะไม่สามารถอ่านเนื้อหาของดิสก์ที่เข้ารหัสในนั้นได้ แม้ว่าคุณจะถอดฮาร์ดไดรฟ์ออกจากแล็ปท็อปเครื่องนี้แล้วลองอ่านบนคอมพิวเตอร์เครื่องอื่นก็ตาม คีย์เข้ารหัสมีความยาวมากจนต้องใช้เวลานานที่สุดในการลองใช้ชุดค่าผสมที่เป็นไปได้ทั้งหมดเพื่อเลือกตัวเลือกที่ถูกต้อง คอมพิวเตอร์ที่ทรงพลังจะคงอยู่นานหลายทศวรรษ แน่นอนว่ารหัสผ่านสามารถค้นพบได้จากการทรมานหรือถูกขโมยล่วงหน้า แต่หากแฟลชไดรฟ์สูญหายโดยบังเอิญหรือถูกขโมยโดยไม่รู้ว่าถูกเข้ารหัสก็จะไม่สามารถอ่านได้

กำลังตั้งค่าการเข้ารหัส BitLocker ตัวอย่างวินโดวส์ 8: การเข้ารหัส ดิสก์ระบบและการเข้ารหัสแฟลชไดรฟ์และไดรฟ์ USB ภายนอก
การเข้ารหัสดิสก์ระบบ
ข้อกำหนดสำหรับ BitLocker ในการทำงานสำหรับการเข้ารหัส ไดรฟ์แบบลอจิคัลซึ่งติดตั้งระบบปฏิบัติการ Windows ไว้ คือการมีอยู่ของพาร์ติชันสำหรับเริ่มระบบที่ไม่ได้เข้ารหัส: ระบบยังต้องเริ่มต้นจากที่ไหนสักแห่ง หากคุณติดตั้ง Windows 8/7 อย่างถูกต้อง จะมีการสร้างพาร์ติชันสองพาร์ติชันระหว่างการติดตั้ง - ส่วนที่มองไม่เห็นสำหรับ บูตเซกเตอร์และไฟล์การเริ่มต้นและพาร์ติชันหลักที่ใช้จัดเก็บไฟล์ทั้งหมด ส่วนแรกคือส่วนที่ไม่จำเป็นต้องเข้ารหัส แต่พาร์ติชันที่สองซึ่งมีไฟล์ทั้งหมดอยู่นั้นถูกเข้ารหัส

หากต้องการตรวจสอบว่าคุณมีพาร์ติชันเหล่านี้หรือไม่ ให้เปิด การจัดการคอมพิวเตอร์

ไปที่ส่วน อุปกรณ์จัดเก็บข้อมูล - การจัดการดิสก์.

ในภาพหน้าจอ พาร์ติชันที่สร้างขึ้นเพื่อบูตระบบจะถูกทำเครื่องหมายเป็น สงวนระบบ- หากเป็นเช่นนั้น คุณจะสามารถใช้ระบบ BitLocker เพื่อเข้ารหัสไดรฟ์แบบลอจิคัลที่ติดตั้ง Windows ได้อย่างปลอดภัย
ในการดำเนินการนี้ ให้เข้าสู่ระบบ Windows ด้วยสิทธิ์ผู้ดูแลระบบ แล้วเปิด แผงควบคุม

ไปที่ส่วน ระบบและความปลอดภัย

และเข้าสู่ส่วน การเข้ารหัสลับไดรฟ์ด้วย BitLocker.
คุณจะเห็นไดรฟ์ทั้งหมดที่สามารถเข้ารหัสได้ คลิกที่ลิงค์ เปิดใช้งาน BitLocker.

การตั้งค่าเทมเพลตนโยบายความปลอดภัย
ณ จุดนี้ คุณอาจได้รับข้อความแจ้งว่าการเข้ารหัสดิสก์ไม่สามารถทำได้จนกว่าจะกำหนดค่าเทมเพลตนโยบายความปลอดภัย

ความจริงก็คือเพื่อที่จะเรียกใช้ BitLocker ระบบจำเป็นต้องอนุญาตการดำเนินการนี้ - ผู้ดูแลระบบเท่านั้นที่สามารถทำได้และเท่านั้น ด้วยมือของฉันเอง- การทำเช่นนี้ง่ายกว่าที่คิดไว้มากหลังจากอ่านข้อความที่เข้าใจยาก

เปิด คอนดักเตอร์, กด วิน+อาร์- บรรทัดอินพุตจะเปิดขึ้น

ป้อนและดำเนินการ:

gpedit.msc

จะเปิด บรรณาธิการท้องถิ่น นโยบายกลุ่ม - ไปที่ส่วน

เทมเพลตการดูแลระบบ
- ส่วนประกอบของวินโดวส์
-- การตั้งค่านโยบายนี้อนุญาตให้คุณเลือกการเข้ารหัสไดรฟ์ด้วย BitLocker
--- ดิสก์ระบบปฏิบัติการ
---- การตั้งค่านโยบายนี้ช่วยให้คุณสามารถกำหนดค่าข้อกำหนดได้ ตรวจสอบเพิ่มเติมความถูกต้องเมื่อเริ่มต้น

ตั้งค่าพารามิเตอร์ รวมอยู่ด้วย.

หลังจากนั้นให้บันทึกค่าทั้งหมดแล้วกลับมาที่ แผงควบคุม- คุณสามารถเรียกใช้การเข้ารหัสไดรฟ์ด้วย BitLocker

การสร้างคีย์และบันทึก

ระบบจะเสนอตัวเลือกหลักสองตัวเลือกให้คุณเลือก: รหัสผ่านและแฟลชไดรฟ์

เมื่อใช้แฟลชไดรฟ์คุณสามารถใช้ ฮาร์ดไดรฟ์เฉพาะในกรณีที่คุณใส่แฟลชไดรฟ์นี้คีย์จะถูกเขียนในรูปแบบที่เข้ารหัส หากคุณใช้รหัสผ่าน คุณจะต้องป้อนรหัสผ่านทุกครั้งที่เข้าถึงพาร์ติชันที่เข้ารหัสบนดิสก์นี้ ในกรณีของไดรฟ์แบบลอจิคัลระบบของคอมพิวเตอร์ จะต้องใส่รหัสผ่านในระหว่างการบูตแบบเย็น (ตั้งแต่ต้น) หรือ รีสตาร์ทแบบเต็มหรือเมื่อพยายามอ่านเนื้อหาของไดรฟ์แบบลอจิคัลบนคอมพิวเตอร์เครื่องอื่น เพื่อหลีกเลี่ยงข้อผิดพลาดใดๆ ให้สร้างรหัสผ่านโดยใช้ ตัวอักษรภาษาอังกฤษและตัวเลข

หลังจากสร้างคีย์แล้ว คุณจะถูกขอให้บันทึกข้อมูลเพื่อกู้คืนการเข้าถึงหากสูญหาย: คุณสามารถบันทึกได้ รหัสพิเศษวี ไฟล์ข้อความ,บันทึกไว้ในแฟลชไดรฟ์,บันทึกไว้ในบัญชีของคุณ บันทึกของไมโครซอฟต์หรือพิมพ์

โปรดทราบว่าไม่ใช่คีย์ที่บันทึกไว้ แต่เป็นรหัสพิเศษที่จำเป็นสำหรับขั้นตอนการกู้คืนการเข้าถึง

การเข้ารหัสไดรฟ์ USB และแฟลชไดรฟ์
คุณยังสามารถเข้ารหัสไดรฟ์ USB ภายนอกและแฟลชไดรฟ์ได้ - คุณสมบัตินี้ปรากฏครั้งแรกใน Windows 7 ภายใต้ชื่อ BitLocker ที่จะไป- ขั้นตอนเหมือนกัน: คุณสร้างรหัสผ่านและบันทึกรหัสกู้คืน

เมื่อคุณติดตั้งไดรฟ์ USB (เชื่อมต่อกับคอมพิวเตอร์) หรือพยายามปลดล็อค ระบบจะถามรหัสผ่านจากคุณ

หากคุณไม่ต้องการป้อนรหัสผ่านทุกครั้งเพราะคุณมั่นใจในความปลอดภัยเมื่อทำงานกับคอมพิวเตอร์เครื่องนี้คุณก็สามารถทำได้ พารามิเตอร์เพิ่มเติมเมื่อปลดล็อค ให้ระบุว่าคุณเชื่อถือคอมพิวเตอร์เครื่องนี้ - ในกรณีนี้ รหัสผ่านจะถูกป้อนโดยอัตโนมัติเสมอจนกว่าคุณจะยกเลิกการตั้งค่าความเชื่อถือ โปรดทราบว่าในคอมพิวเตอร์เครื่องอื่น ระบบจะขอให้คุณป้อนรหัสผ่าน เนื่องจากการตั้งค่าความน่าเชื่อถือในคอมพิวเตอร์แต่ละเครื่องทำงานแยกกัน

เมื่อคุณทำงานกับไดรฟ์ USB แล้ว ให้ยกเลิกการต่อเชื่อม โดยเพียงแค่ถอดปลั๊กออกหรือผ่านเมนู การกำจัดที่ปลอดภัยและดิสก์ที่เข้ารหัสจะได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต

วิธีการเข้ารหัสสองวิธี

เมื่อทำการเข้ารหัส BitLocker เสนอสองวิธีที่ให้ผลลัพธ์เหมือนกัน แต่เวลาดำเนินการต่างกัน: คุณสามารถเข้ารหัสเฉพาะพื้นที่ที่ข้อมูลครอบครอง ข้ามการประมวลผลพื้นที่ว่าง หรือผ่านทั้งดิสก์ เข้ารหัสพื้นที่ทั้งหมด โลจิคัลพาร์ติชันรวมทั้งว่างด้วย ครั้งแรกเกิดขึ้นเร็วขึ้น แต่ยังคงสามารถกู้คืนข้อมูลได้ตั้งแต่เริ่มต้น ประเด็นก็คือด้วยความช่วยเหลือ โปรแกรมพิเศษคุณสามารถกู้คืนข้อมูลได้แม้ว่าจะถูกลบออกจากถังรีไซเคิลแล้วก็ตาม และแม้ว่าดิสก์จะถูกฟอร์แมตแล้วก็ตาม แน่นอนว่านี่เป็นเรื่องยากในทางปฏิบัติ แต่ความเป็นไปได้ทางทฤษฎียังคงมีอยู่หากคุณไม่ได้ใช้ยูทิลิตี้พิเศษสำหรับการลบที่จะลบข้อมูลอย่างถาวร เมื่อเข้ารหัสโลจิคัลดิสก์ทั้งหมด พื้นที่ที่ทำเครื่องหมายว่าว่างเปล่าจะถูกเข้ารหัส และจะสามารถกู้คืนข้อมูลจากพื้นที่นั้นได้แม้จะได้รับความช่วยเหลือจาก สาธารณูปโภคพิเศษมันจะไม่มีอีกต่อไป วิธีนี้เชื่อถือได้อย่างแน่นอน แต่ช้ากว่า

เมื่อเข้ารหัสดิสก์ ไม่แนะนำให้ปิดคอมพิวเตอร์ ฉันใช้เวลาประมาณ 40 นาทีในการเข้ารหัส 300 กิกะไบต์ จะเกิดอะไรขึ้นถ้าไฟฟ้าดับกะทันหัน? ฉันไม่รู้ ฉันยังไม่ได้ตรวจสอบ แต่บนอินเทอร์เน็ตพวกเขาเขียนว่าจะไม่มีอะไรเลวร้ายเกิดขึ้น - คุณเพียงแค่ต้องเริ่มการเข้ารหัสอีกครั้ง

บทสรุป

ดังนั้นหากคุณใช้แฟลชไดรฟ์เพื่อเก็บข้อมูลสำคัญอยู่ตลอดเวลา ด้วยความช่วยเหลือของ BitLocker คุณสามารถป้องกันตัวเองจากการถูกจับได้ ข้อมูลสำคัญตกอยู่ในมือของคนผิด คุณยังสามารถปกป้องข้อมูลบน ฮาร์ดไดรฟ์คอมพิวเตอร์รวมถึงระบบ - ก็เพียงพอที่จะปิดคอมพิวเตอร์โดยสมบูรณ์และข้อมูลบนดิสก์จะไม่สามารถเข้าถึงได้โดยบุคคลภายนอก การใช้ BitLockerหลังจากตั้งค่าเทมเพลตนโยบายความปลอดภัยแล้ว มันไม่ทำให้เกิดปัญหาใด ๆ แม้แต่กับผู้ใช้ที่ไม่ผ่านการฝึกอบรม ฉันไม่สังเกตเห็นการชะลอตัวใด ๆ เมื่อทำงานกับดิสก์ที่เข้ารหัส

ความปลอดภัยและความเป็นส่วนตัวมีความสำคัญมากสำหรับผู้ที่จัดเก็บข้อมูลสำคัญไว้ในคอมพิวเตอร์ ของคุณ คอมพิวเตอร์ที่บ้านปลอดภัย แต่สำหรับแล็ปท็อปหรืออุปกรณ์พกพาอื่นๆ สถานการณ์จะแตกต่างออกไปมาก หากคุณพกพาแล็ปท็อปติดตัวไปเกือบทุกที่และสามารถเข้าถึงได้ คนแปลกหน้าคำถามเกิดขึ้น - จะปกป้องข้อมูลของคุณจากการรบกวนของผู้อื่นได้อย่างไร มันมาจากการโจมตีทางกายภาพซึ่งใครก็ตามสามารถพยายามรับข้อมูลได้ ที่เก็บข้อมูลยูเอสบีหรือฮาร์ดไดรฟโน้ตบุ๊กเพียงแค่ถอดอุปกรณ์ออก หรือในกรณีโน้ตบุ๊ก ให้ดึงฮาร์ดไดรฟออกมาแล้วเชื่อมต่อกับระบบปฏิบัติการอื่น

องค์กรหลายแห่งและแม้แต่ผู้ใช้ทั่วไปก็ใช้การเข้ารหัสดิสก์ใน Linux เพื่อปกป้อง ข้อมูลที่เป็นความลับเช่น ข้อมูลลูกค้า ไฟล์ ข้อมูลการติดต่อและอีกมากมาย ระบบปฏิบัติการ Linux รองรับหลายระบบ วิธีการเข้ารหัสเพื่อปกป้องพาร์ติชัน แต่ละไดเร็กทอรี หรือฮาร์ดไดรฟ์ทั้งหมด ข้อมูลทั้งหมดในวิธีการเหล่านี้จะถูกเข้ารหัสและถอดรหัสโดยอัตโนมัติทันที

การเข้ารหัสระดับระบบไฟล์:

• 1. คริปโตเคอเรนซี- นี่คือไฟล์เข้ารหัส ระบบลินุกซ์- มันเก็บข้อมูลเมตาการเข้ารหัสสำหรับแต่ละไฟล์ใน แยกไฟล์เพื่อให้สามารถคัดลอกไฟล์ระหว่างคอมพิวเตอร์ได้ ไฟล์จะถูกถอดรหัสได้สำเร็จหากคุณมีกุญแจ โซลูชันนี้ใช้กันอย่างแพร่หลายในการดำเนินการเข้ารหัส โฮมไดเร็กทอรีตัวอย่างเช่นใน Ubuntu นอกจากนี้ ChromeOS ยังฝังอัลกอริทึมเหล่านี้อย่างโปร่งใสเมื่อใช้อีกด้วย อุปกรณ์เครือข่ายสำหรับการจัดเก็บข้อมูล (NAS)
• 2. EncFS- จัดเตรียมระบบไฟล์ที่เข้ารหัสในพื้นที่ผู้ใช้ มันทำงานโดยไม่มีสิทธิ์เพิ่มเติมใด ๆ และใช้ไลบรารีฟิวส์และโมดูลเคอร์เนลเพื่อจัดเตรียมอินเทอร์เฟซระบบไฟล์ EncFS เป็นซอฟต์แวร์ฟรีและได้รับอนุญาตภายใต้ GPL

การเข้ารหัสบล็อกระดับอุปกรณ์:

• ห่วง-AES- ระบบไฟล์ที่รวดเร็วและโปร่งใส รวมถึงแพ็คเกจสำหรับการเข้ารหัสพาร์ติชั่นสว็อปใน Linux ซอร์สโค้ดของโปรแกรมไม่มีการเปลี่ยนแปลงมาเป็นเวลานาน ใช้งานได้กับเคอร์เนล 4.x, 3.x, 2.2, 2.0
• ทรูคริปต์- นี้ โซลูชั่นฟรีด้วยการเปิด ซอร์สโค้ดสำหรับการเข้ารหัสดิสก์ในห้องผ่าตัด ระบบวินโดวส์ 7 / Vista / XP / Mac OS X รวมถึง Linux
• dm-crypt+LUKS- dm-crypt เป็นระบบย่อยที่โปร่งใสสำหรับการเข้ารหัสดิสก์ในเคอร์เนล 2.6 และใหม่กว่า รุ่นที่ใหม่กว่า- รองรับการเข้ารหัสทั้งดิสก์ สื่อแบบถอดได้ พาร์ติชั่น โวลุ่ม RAID ซอฟต์แวร์, โลจิคัลวอลุ่ม และไฟล์

ในบทช่วยสอนนี้ เราจะดูการเข้ารหัสฮาร์ดไดรฟ์บน Linux โดยใช้อัลกอริทึม Linux Unified Key Setup-on-disk-format (LUKS)

LUKS ทำงานอย่างไร?

LUKS (การตั้งค่าคีย์แบบรวม Linux เป็นโปรโตคอลการเข้ารหัสอุปกรณ์บล็อก แต่เราได้ก้าวไปไกลแล้วเพื่อทำความเข้าใจวิธีการทำงาน เราต้องเข้าใจเทคโนโลยีอื่น ๆ ที่ใช้ในวิธีนี้

เพื่อทำการเข้ารหัส ดิสก์ลินุกซ์ใช้โมดูลเคอร์เนล dm-crypt โมดูลนี้ช่วยให้คุณสร้างอุปกรณ์บล็อกเสมือนในไดเร็กทอรี /dev/mapper พร้อมการเข้ารหัสที่โปร่งใสสำหรับระบบไฟล์และผู้ใช้ ข้อมูลทั้งหมดอยู่บนฟิสิคัลพาร์ติชันที่เข้ารหัส หากผู้ใช้พยายามเขียนข้อมูลลงไป อุปกรณ์เสมือนพวกมันถูกเข้ารหัสทันทีและเขียนลงดิสก์ เมื่ออ่านจากอุปกรณ์เสมือน การดำเนินการย้อนกลับจะดำเนินการ - ข้อมูลจะถูกถอดรหัสด้วย ฟิสิคัลดิสก์และถูกส่งในรูปแบบข้อความที่ชัดเจนผ่านดิสก์เสมือนไปยังผู้ใช้ โดยปกติแล้ววิธี AES จะใช้สำหรับการเข้ารหัส เนื่องจากส่วนใหญ่ได้รับการปรับให้เหมาะสมที่สุด โปรเซสเซอร์ที่ทันสมัย- สิ่งสำคัญคือต้องทราบว่าคุณสามารถเข้ารหัสได้ไม่เพียงแต่พาร์ติชันและดิสก์เท่านั้น แต่ยังเข้ารหัสได้ด้วย ไฟล์ปกติสร้างระบบไฟล์ในตัวและเชื่อมต่อเป็นอุปกรณ์วนซ้ำ

อัลกอริธึม LUKS กำหนดว่าการกระทำใดและตามลำดับที่จะดำเนินการเมื่อทำงานกับสื่อที่เข้ารหัส หากต้องการทำงานกับ LUKS และโมดูล dm-crypt ให้ใช้ยูทิลิตี้ Cryptsetup เราจะพิจารณาเรื่องนี้ต่อไป

ยูทิลิตี้การเข้ารหัสลับ

ยูทิลิตี้ Cryptsetup จะทำให้การเข้ารหัสพาร์ติชัน Linux ง่ายขึ้นโดยใช้โมดูล dm-crypt มาติดตั้งกันก่อน

บน Debian หรือ Ubuntu ให้ใช้คำสั่งนี้:

apt-get ติดตั้ง cryptsetup

ในการแจกแจงตาม หมวกแดงมันจะมีลักษณะเช่นนี้:

ยำติดตั้ง cryptsetup-luks

ไวยากรณ์สำหรับการรันคำสั่งคือ:

$ การดำเนินการตัวเลือก cryptsetup options_operations

ลองดูการดำเนินการพื้นฐานที่สามารถทำได้โดยใช้ยูทิลิตี้นี้:

• luksFormat- สร้างพาร์ติชั่น luks linux ที่เข้ารหัส
• luksOpen- เชื่อมต่ออุปกรณ์เสมือน (ต้องใช้ดองเกิล)
• ลุคส์ปิด- ปิดอุปกรณ์เสมือน luks linux
• luksAddKey- เพิ่มคีย์เข้ารหัส
• luksRemoveKey- ลบคีย์เข้ารหัส
• luksUUID- แสดงพาร์ติชัน UUID
• luksDump- สร้างสำเนาสำรองของส่วนหัว LUKS

พารามิเตอร์ของการดำเนินการขึ้นอยู่กับการดำเนินการนั้น โดยปกติจะเป็นอุปกรณ์ทางกายภาพที่จำเป็นต้องดำเนินการ หรืออุปกรณ์เสมือน หรือทั้งสองอย่าง ทุกอย่างยังไม่ชัดเจน แต่ด้วยการฝึกฝน ฉันคิดว่าคุณจะเข้าใจได้

การเข้ารหัสดิสก์ Linux

ทฤษฏีเสร็จแล้ว อุปกรณ์พร้อมทุกอย่าง ตอนนี้เรามาดูการเข้ารหัสของพาร์ติชัน linux เรามาต่อกันที่ การตั้งค่ายากดิสก์. โปรดทราบว่าการดำเนินการนี้จะลบข้อมูลทั้งหมดออกจากไดรฟ์หรือพาร์ติชันที่คุณกำลังจะเข้ารหัส ดังนั้นหากมีข้อมูลสำคัญอยู่ที่นั่น ก็ควรคัดลอกไปยังตำแหน่งที่ปลอดภัยกว่านี้จะดีกว่า

การสร้างส่วน

ในตัวอย่างนี้ เราจะเข้ารหัสพาร์ติชัน /dev/sda6 แต่คุณสามารถใช้ฮาร์ดไดรฟ์ทั้งหมดแทน หรือเพียงไฟล์เดียวที่เต็มไปด้วยเลขศูนย์ สร้างพาร์ติชันที่เข้ารหัส:

cryptsetup -y -v luksFormat /dev/sda6

คำเตือน!
========
สิ่งนี้จะเขียนทับข้อมูลบน /dev/sda6 โดยไม่สามารถเพิกถอนได้

คุณแน่ใจเหรอ? (พิมพ์ตัวพิมพ์ใหญ่ใช่): ใช่
กรอกข้อความรหัสผ่าน LUKS:
ยืนยันข้อความรหัสผ่าน:
คำสั่งสำเร็จ

คำสั่งนี้จะเตรียมใช้งานพาร์ติชันและตั้งค่าคีย์และรหัสผ่านเริ่มต้น ระบุรหัสผ่านเพื่อที่คุณจะได้ไม่ลืมในภายหลัง

เรียกใช้คำสั่งต่อไปนี้เพื่อเปิดพาร์ติชันที่สร้างขึ้นใหม่โดยใช้โมดูล dm-crypt ใน /dev/mapper โดยคุณจะต้องป้อนรหัสผ่านที่ใช้เข้ารหัส luks linux:

ป้อนข้อความรหัสผ่านสำหรับ /dev/sda6

ตอนนี้คุณสามารถเห็นอุปกรณ์เสมือนใหม่ /dev/mapper/backup2 ที่สร้างขึ้นโดยใช้คำสั่ง luksFormat:

ls -l /dev/mapper/backup2

หากต้องการดูสถานะอุปกรณ์ ให้รัน:

cryptsetup -v การสำรองข้อมูลสถานะ 2

/dev/mapper/backup2 ทำงานอยู่
ประเภท: LUKS1
รหัส: aes-cbc-essiv:sha256
ขนาดคีย์: 256 บิต
อุปกรณ์: /dev/sda6
ชดเชย: 4096 ภาค
ขนาด: 419426304 ภาค
โหมด: อ่าน/เขียน
คำสั่งสำเร็จ

และด้วยคำสั่งต่อไปนี้ คุณสามารถสร้างสำเนาสำรองของส่วนหัว LUKS ได้ในกรณี:

การเข้ารหัสลับ luksDump /dev/sda6

เราสามารถพูดได้ว่าส่วนนี้พร้อมแล้ว และส่วนที่ดีที่สุดคือ ตอนนี้คุณสามารถใช้มันได้เหมือนกับพาร์ติชั่นปกติอื่นๆ ในไดเร็กทอรี /dev สามารถจัดรูปแบบโดยใช้ สาธารณูปโภคมาตรฐานเขียนข้อมูล เปลี่ยนแปลงหรือตรวจสอบระบบไฟล์ ฯลฯ คุณไม่สามารถเปลี่ยนขนาดได้เพียงอย่างเดียว นั่นคือทุกอย่างโปร่งใสตามที่ระบุไว้ในตอนต้นของบทความ

การจัดรูปแบบพาร์ติชัน

ก่อนอื่นมาฟอร์แมตดิสก์กันก่อน เพื่อความน่าเชื่อถือ เพื่อลบข้อมูลทั้งหมดที่เคยอยู่ในสถานที่นี้ก่อนหน้านี้ เราจะเขียนทับพาร์ติชันที่เข้ารหัสของเรา ลินุกซ์เป็นศูนย์- วิธีนี้จะช่วยลดโอกาสที่จะทำลายการเข้ารหัสโดยการเพิ่มจำนวนข้อมูลแบบสุ่ม เมื่อต้องการทำเช่นนี้ ให้รัน:

dd if=/dev/zero of=/dev/mapper/backup2.dd

ยูทิลิตี้อาจใช้เวลาหลายชั่วโมงในการทำงาน เพื่อให้สามารถตรวจสอบกระบวนการได้ ให้ใช้ pv:

pv -tpreb /dev/ศูนย์ | dd ของ=/dev/mapper/backup2 bs=128M

เมื่อกระบวนการเสร็จสิ้นเราสามารถฟอร์แมตอุปกรณ์เป็นระบบไฟล์ใดก็ได้ ตัวอย่างเช่น ลองจัดรูปแบบเป็น ext4:

mkfs.ext4 /dev/mapper/backup2

อย่างที่คุณเห็นคำสั่ง cryptsetup ทั้งหมดจะถูกนำไปใช้กับฟิสิคัลพาร์ติชันในขณะที่คำสั่งที่เหลือสำหรับการทำงานกับดิสก์จะถูกนำไปใช้กับเสมือนของเรา

การติดตั้งพาร์ติชัน

ตอนนี้คุณสามารถเมานต์เฉพาะระบบไฟล์ที่สร้างขึ้น:

$ เมานต์ /dev/mapper/backup2 /backup2

ปิดการใช้งานพาร์ทิชัน

ทุกอย่างใช้งานได้ แต่จะปิดการใช้งานอุปกรณ์และปกป้องข้อมูลได้อย่างไร เมื่อต้องการทำเช่นนี้ ให้รัน:

cryptsetup luksปิดการสำรองข้อมูล2

การติดตั้งใหม่

เพื่อให้สามารถทำงานกับพาร์ติชั่นที่เข้ารหัสได้อีกครั้งโดยใช้ LUKS Linux คุณต้องเปิดพาร์ติชั่นอีกครั้ง:

cryptsetup luksOpen /dev/sda6 การสำรองข้อมูล 2

ตอนนี้เราสามารถเมานต์:

เมานต์ /dev/mapper/backup2 /backup2

ตรวจสอบระบบไฟล์ luks

เนื่องจากหลังจากเปิดพาร์ติชันด้วย luks linux พาร์ติชันนี้จะได้รับการปฏิบัติโดยระบบเช่นเดียวกับส่วนอื่น ๆ ทั้งหมด คุณสามารถใช้ยูทิลิตี fsck:

sudo umount / สำรอง 2

$ fsck -vy /dev/mapper/backup2

$ เมานต์ /dev/mapper/backup2 /backu2

เปลี่ยนข้อความรหัสผ่าน luks

การเข้ารหัสดิสก์ Linux ดำเนินการด้วยข้อความรหัสผ่านเฉพาะ แต่คุณสามารถเปลี่ยนได้ ยิ่งไปกว่านั้น คุณสามารถสร้างข้อความรหัสผ่านที่แตกต่างกันได้ถึงแปดข้อความ หากต้องการเปลี่ยน ให้รันคำสั่งต่อไปนี้ ขั้นแรกให้สำรองส่วนหัวของ LUKS:

การเข้ารหัสลับ luksDump /dev/sda6

จากนั้นสร้างคีย์ใหม่:

การเข้ารหัสลับ luksAddKey /dev/sda6

ป้อนข้อความรหัสผ่าน:

ป้อนรหัสผ่านใหม่ สำหรับกุญแจช่อง:
ยืนยันข้อความรหัสผ่าน:

และลบอันเก่า:

การเข้ารหัสลับ luksRemoveKey /dev/sda6

ตอนนี้คุณจะต้องป้อนรหัสผ่านเก่า

ข้อสรุป

เพียงเท่านี้คุณก็รู้วิธีเข้ารหัสพาร์ติชันใน Linux แล้วและคุณก็เข้าใจวิธีการทำงานทั้งหมดด้วย นอกจากนี้ การเข้ารหัสดิสก์ใน Linux โดยใช้อัลกอริทึม LUKS จะเปิดขึ้น โอกาสที่เพียงพอเพื่อการเข้ารหัสที่สมบูรณ์ของระบบที่ติดตั้ง

ข้อดี:

• LUKS เข้ารหัสอุปกรณ์บล็อคทั้งหมด และดังนั้นจึงเหมาะอย่างยิ่งสำหรับการปกป้องเนื้อหาของอุปกรณ์พกพา เช่น โทรศัพท์มือถือ สื่อแบบถอดได้ หรือฮาร์ดไดรฟ์แล็ปท็อป
• คุณสามารถใช้บน เซิร์ฟเวอร์ NASเพื่อป้องกันการสำรองข้อมูล
• โปรเซสเซอร์ Intel และ AMD พร้อม AES-NI (มาตรฐานการเข้ารหัสขั้นสูง) มีชุดคำสั่งที่สามารถเพิ่มความเร็วกระบวนการเข้ารหัสที่ใช้ dm-crypt ใน เคอร์เนลลินุกซ์เริ่มตั้งแต่ 2.6.32 น.
• ใช้งานได้กับพาร์ติชั่นสลับ ดังนั้นแล็ปท็อปของคุณจึงสามารถใช้โหมดสลีปหรือฟังก์ชันไฮเบอร์เนตได้อย่างปลอดภัย