Remkomplekty.ru

IT Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Аппаратное шифрование жесткого диска

Обзор внешних жестких дисков diskAshur с аппаратным шифрованием

Безопасности данных — много не бывает. Если от утери данных спасут своевременно сделанные резервные копии, то вот с утечкой данных дела обстоят заметно хуже. Как надежно защититься от утери данных при использовании внешних накопителей? Использовать накопители с аппаратным шифрованием, такие, например, как diskAshur.

Как это работает «внешне»?

Очень просто, это практически обычный внешний HDD (выпускаются в объемах от ХХ до ХХ), с цифровой клавиатурой на корпусе. Пока вы не введете правильный пин-код, никакого доступа к данным вы не получите и система даже не увидит диск. После правильного ввода кода — диск подключается, и с ним можно работать как с обычным внешним HDD. После отключения от компьютера диск обратно блокируется. Можно также настроить автоматическую блокировку после задержки, если вы куда-то часто отлучаетесь и при этом не очень-то доверяете коллегам.

Как это работает «внутри»?

Есть простые схемы реализации «защиты», которые используют в дешевых решениях. Например, просто не подавать питание на диск до ввода пароля. Разумеется, этот способ обходится не просто, а очень просто: разбирается корпус, достается диск, и все данные как на ладони.

diskAshur работает по совсем другому принципу.

Внутри корпуса этого диска находится специальный процессор, который шифрует все данные, сохраняемые на диск с помощью алгоритма AES со 128 или 256-битным ключом (немного отличающиеся по цене версии) [https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard], также известным под именем Rijndael. Этот алгоритм шифрования является стандартом, который используется многими организациями и даже правительством США. Этот процессор генерирует случайный ключ, который используется для шифрования, шифрует с его помощью данные и сохраняет этот ключ внутри себя в специальной области памяти, доступ к которой можно получить только введя правильный пин-код. Если код введен правильно — процессор берет ключ и расшифровывает данные, давая к ним доступ. Если код введен неправильно 10 раз — ключ стирается и данные навсегда остаются недоступными. Таким образом, даже достав диск, злоумышленник без знания пин-кода не сможет получить ничего.

Есть у diskAshur и дополнительные возможности. Он поддерживает два типа аккаунтов: администратора и пользователей. Администратор может быть только один, а пользователей можно задать до десяти, каждого с отдельным пин-кодом, это позволит использовать диск в корпоративной среде: если кто-то из пользователей забудет пароль — администратор может заменить его.

Можно задать специальный «аварийный» код, после ввода которого данные будут «забыты», а доступ заблокирован. Есть также возможность полной «перезагрузки» диска со сбросом всех паролей и стиранием всех данных.

Умная электроника диска защитит содержимое от разнообразных атак: брутфорса, попыток считывания электромагнитных импульсов и других.

Диск использует USB 3 и за счет того, что шифрование работает на аппаратном уровне, скорость близка к скорости обычных дисков USB 3.

  • datAshur проще в использовании — достаточно ввести пин-код, а всю работу по генерации ключей, шифрованию и так далее он возьмет на себя.
  • datAshur выручит в ситуации, когда программу шифрования установить невозможно.
  • datAshur прозрачно работает со всеми устройствами, поддерживающими USB Mass Storage.
  • datAshur защищен от кейлоггеров и троянов.

Выводы

Понятно, что далеко не всем нужна такая исчерпывающе надежная защита и переплачивать за нее не всем нужно, но оценить ущерб от попадания ваших данных в чужие руки все-таки стоит. Если он больше цены диска — их цена начинается с 11 800 рублей (вот официальный интернет-магазин в России) — его покупка себя оправдает.

Читать еще:  Объем жесткого диска

Годовая
подписка
на
Хакер

Xakep #251. Укрепляем VeraCrypt

Xakep #250. Погружение в AD

Xakep #248. Checkm8

Xakep #247. Мобильная антислежка

Внешние жесткие диски Western Digital с функцией аппаратного шифрования

Xakep #251. Укрепляем VeraCrypt

Компания Western Digital представила новые внешние жесткие диски для
настольных компьютеров,

My Book Essential и

My Book for Mac, оснащенные функцией WD SmartWare, или, другими словами,
возможностью программного и аппаратного шифрования.

После того, как жесткий диск подключается впервые, сразу же запускается
автоматический процесс первого резервного копирования. После его завершения
данные резервируются автоматически после каждого изменения или добавления
файлов.

Помимо этого, новые жесткие диски предоставляют возможность защиты данных на
основе пользовательского пароля в комбинации с аппаратным шифрованием со
стойкостью ключа 256-бит, которое осуществляется перед сохранением файлов на
диск. Эта функция (она называется WD SmartWare) работает как на ПК, так и на
компьютерах Mac.

ПО WD SmartWare предоставляет следующие возможности:

• Визуальное оформления процесса резервного копирования с демонстрацией
содержимого категорий и хода выполнения процедуры копирования.

• Автоматическое, постоянное резервное копирование мгновенно сохраняет копию
данных при каждом добавлении или изменении файла.

• Важные данные после восстановления возвращаются в место прежнего
расположения, даже если они были перезаписаны.

• Настраиваемые опции резервного копирования данных позволяют пользователю
выбрать уровень безопасности, провести диагностику, настроить функции управления
питанием и установить прочие предпочтения через центр управления WD SmartWare.

Диски имеют следующий функционал:

• 256-битное аппаратное шифрование и защита паролем.

• Световая индикация доступной пользователю свободной емкости устройства.

• Интерфейс USB 2.0 – для обеспечения удобства и совместимости с разными
компьютерами.

• Технология WD GreenPower – снижает потребление электроэнергии на величину
до 30%.

• Plug-and-Play подключение к ПК на базе Windows.

• Двухлетняя ограниченная гарантия.

Диски My Book for Mac имеют plug-and-play совместимость с Mac и возможность
работы с Apple TimeMachine.

Диски My Book Essential имеют емкость 500 Гб, 1 Тб, 1,5 Тб и 2 Тб, а их цена
варьируется от 99,99 до 249,99 долларов США.

Шифрование внешнего диска (HDD, флешки) с помощью VeraCrypt

Зашифровать внешний (и системный) диск в Windows и MacOS очень просто можно с помощью утилиты VeraCrypt.

  1. Скачайте и установите VeraCrypt. В установке никаких особенностей нет.

2. Запустите VeraCrypt и откройте меню Volumes, затем выберите Create New Volume…:

3. Выберите пункт «Encrypt a non-system partition/drive»:

4. VeraCrypt позволяет сделать «обманку» для тех, кто может вымогать из вас пароль. Вы можете отдать им пароль от фейкового раздела, где нет ничего важного, таким образом злоумышленники будут удовлетворены, а ваш анус спасён от применения терморектального криптоанализатора. Для этого в следующем меню нужно выбрать «Hidden VeraCrypt volume».

Мы же рассмотрим шифрование без скрытого раздела, поэтому выбираем «Standart VeraCrypt volume»:

5. Необходимо выбрать устройство, которое вы хотите зашифровать. Нажимаем Select Device…

6. Выбираем устройство (проще ориентироваться по объёму, чтобы не зашифровать что-то не то):

7. VeraCrypt предлагает удалить все данные с носителя и отформатировать его, либо зашифровать существующий раздел. Рекомендуется именно первый вариант, но если вам важны данные и вы не можете их скопировать на время в другое место, то можно воспользоваться вторым:

Читать еще:  Биос как пользоваться

8. Выбираем алгоритм шифрования. Я бы рекомендовал остановиться на AES. Важно понимать, что шифрование снижает производительность и комфорт при работе с компьютером, а инструкции AES-NI, которые есть во всех современных процессорах, позволяют работать с шифрованием AES аппаратно и без снижения производительности:

9. Тут предлагается выбрать размер раздела, но мы же шифруем всю флешку, поэтому поменять ничего не можем:

10. Вводим пароль шифрования:

11. VeraCrypt спрашивает, будем ли мы хранить файлы больше 4 гигабайта. На всякий случай отмечаем, что да:

12. Единственный случай генерирования энтропии с пользой. Хаотично перемещаем мышкой в окне, пока нижний прогресс-бар не заполнится, затем нажимаем Format (для быстрого форматирования можно установить галочку Quick Format):

13. Всё, носитель зашифрован:

Подключение зашифрованного носителя:

  1. Нажимаем правой кнопкой на любой свободной букве диска и выбираем Select Device and Mount…:

2. Выбираем раздел зашифрованного устройства:

4. Вводим пароль и нажимаем OK:

5.Устройство подключено и его можно использовать:

6. Чтобы отключить устройство, просто нажмите на нём правой кнопкой и выберите Dismount:

Тем, кто дочитал до конца, мы дарим 20 дней бесплатного использования сервиса TgVPN -> получить.

Уязвимости во встроенном шифровании жёстких дисков

Действительно ли аппаратное шифрование дисков является достаточно надёжным? Верно ли, что в случае хищения закодированного диска нельзя получить доступ к информации на носителе? Попробуем разобраться.

В сентябре 2015 года, коллеги Гуннар Алендал (Норвегия) и Кристиан Кисон (Германия) опубликовали результаты своих исследований на тему “Используете аппаратное шифрование? О (не)безопасности жестких дисков с аппаратным шифрованием”. Для проведения исследований авторы купили несколько жёстких дисков с функцией аппаратного шифрования и по результатам произведённых над ними действий пришли к выводу о ненадёжности аппаратного кодирования в целом для дисков любого производителя. И вот почему.

В некоторых моделях дисков с функцией аппаратного шифрования для доступа к данным даже не запрашивался пароль (опция парольной защиты по умолчанию была отключена). Само допущение подобных настроек делает целесообразность наличия функции аппаратного шифрования весьма сомнительной: данные шифруются, но забрать их с диска может кто угодно без каких-либо сложностей.

При включенной опции парольной защиты пароль, как выяснили исследователи, в зашифрованном виде хранился либо в памяти контроллера диска, либо в его скрытых секторах. И всё бы хорошо, но и тот и другой способ хранения позволяют путём технически несложных действий заполучить этот пароль и расшифровать его простым перебором с помощью стандартных программных инструментов.

Контроллеры винчестеров с аппаратным кодированием заслуживают отдельного внимания. На испытуемых дисках были установлены контроллеры нескольких типов и некоторые из них оказались местом, потенциально уязвимым для взлома. Из одного типа контроллеров исследователям удалось получить зашифрованный пароль просто переведя контроллер в режим обновления прошивки. Другой тип контроллеров применял ключи шифрования со стойкостью 32 бита вместо заявленных 256 (взломать 32-битный ключ очень просто). В ещё одном типе контроллеров ключ шифрования хранился в открытом виде, благодаря чему доступ к информации удалось получить и вовсе без пароля.

В исследовании публикуется информация и о других уязвимостях аппаратного шифрования дисков, но и приведённых выше достаточно, чтобы сделать очевидный вывод: покупка диска со встроенной системой аппаратного шифрования — не повод быть абсолютно спокойным за безопасность своих данных и не повод имея аппаратную защиту пренебрегать программной. И такая защита есть, причём благодаря своей программной природе, она как минимум не хуже, а зачастую гораздо эффективнее и надёжнее чем аппаратная.

Читать еще:  Стал шуметь жесткий диск

Программные средства шифрования не хранят пароли на винчестере, позволяют шифровать лишь ту информацию на диске, которая требует шифрования (а не всю подряд), позволяют шифровать как физическое диски, так и виртуальные, то есть полностью заменяют собой жёсткий диск с аппаратной защитой. Один из примеров — современная профессиональная программа шифрования Cryptic Disk.

Скачать и установить Cryptic Disk можно абсолютно бесплатно на срок до 30 дней. Программа позволяет защитить не только локальные файлы пользователя, но и файлы, находящиеся в облачных хранилищах, например в Dropbox.

В заключение можно сказать, что если из ценной информации у вас на жёстком диске только фотографии с выпускного вечера – вам будет более чем достаточно и встроенного аппаратного шифрования. Но если речь идёт о сохранности действительно ценной информации, утрата которой может привести к непоправимым последствиям или ущербу – задумайтесь о том, кому доверять защиту информации: производителям жёстких дисков или производителям программного обеспечения.

Шифрование внешнего диска (HDD, флешки) с помощью VeraCrypt

Зашифровать внешний (и системный) диск в Windows и MacOS очень просто можно с помощью утилиты VeraCrypt.

  1. Скачайте и установите VeraCrypt. В установке никаких особенностей нет.

2. Запустите VeraCrypt и откройте меню Volumes, затем выберите Create New Volume…:

3. Выберите пункт «Encrypt a non-system partition/drive»:

4. VeraCrypt позволяет сделать «обманку» для тех, кто может вымогать из вас пароль. Вы можете отдать им пароль от фейкового раздела, где нет ничего важного, таким образом злоумышленники будут удовлетворены, а ваш анус спасён от применения терморектального криптоанализатора. Для этого в следующем меню нужно выбрать «Hidden VeraCrypt volume».

Мы же рассмотрим шифрование без скрытого раздела, поэтому выбираем «Standart VeraCrypt volume»:

5. Необходимо выбрать устройство, которое вы хотите зашифровать. Нажимаем Select Device…

6. Выбираем устройство (проще ориентироваться по объёму, чтобы не зашифровать что-то не то):

7. VeraCrypt предлагает удалить все данные с носителя и отформатировать его, либо зашифровать существующий раздел. Рекомендуется именно первый вариант, но если вам важны данные и вы не можете их скопировать на время в другое место, то можно воспользоваться вторым:

8. Выбираем алгоритм шифрования. Я бы рекомендовал остановиться на AES. Важно понимать, что шифрование снижает производительность и комфорт при работе с компьютером, а инструкции AES-NI, которые есть во всех современных процессорах, позволяют работать с шифрованием AES аппаратно и без снижения производительности:

9. Тут предлагается выбрать размер раздела, но мы же шифруем всю флешку, поэтому поменять ничего не можем:

10. Вводим пароль шифрования:

11. VeraCrypt спрашивает, будем ли мы хранить файлы больше 4 гигабайта. На всякий случай отмечаем, что да:

12. Единственный случай генерирования энтропии с пользой. Хаотично перемещаем мышкой в окне, пока нижний прогресс-бар не заполнится, затем нажимаем Format (для быстрого форматирования можно установить галочку Quick Format):

13. Всё, носитель зашифрован:

Подключение зашифрованного носителя:

  1. Нажимаем правой кнопкой на любой свободной букве диска и выбираем Select Device and Mount…:

2. Выбираем раздел зашифрованного устройства:

4. Вводим пароль и нажимаем OK:

5.Устройство подключено и его можно использовать:

6. Чтобы отключить устройство, просто нажмите на нём правой кнопкой и выберите Dismount:

Тем, кто дочитал до конца, мы дарим 20 дней бесплатного использования сервиса TgVPN -> получить.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
×
×