Читаем Искусство цифровой самозащиты полностью

Лучшим выбором для шифрования диска раньше был TrueCrypt, пока его не купила и не свернула разработку Microsoft в 2014 году. Верно, зачем нужен бесплатный инструмент шифрования, да еще и с открытым исходным кодом, без лазеек для спецслужб…

Но энтузиасты взяли код TrueCrypt и сделали несколько ответвлений от него, также с открытым исходным кодом. Я, к примеру, пользуюсь VeraCrypt.

Инструкция по шифрованию системного раздела

1. Запускаем VeraCrypt, выбираем Encrypt system partition/drive.

2. Далее – Type of system encryption – > Normal.

3. Encrypt the Windows system partition.

4. Number of Operation Systems – тут зависит от того, сколько у вас операционных систем стоит. У меня одна – основная.

5. Выбираем шифрование AES.

6. Вводим пароль и подтверждение. Пароль обязательно должен состоять из букв разных регистров, цифр, желательно – специальных символов и быть длинным.

7. Дальше энергично водим мышкой, пока VeraCrypt собирает ваши беспорядочные движения – как только линия снизу станет зеленой, можно двигаться дальше.

8. Создаем Rescue Disk. Архив нужно будет распаковать и положить на флешку и в бекап. Если вдруг какой-то кривой апдейт Windows перетрет загрузочную область, вы рискуете потерять все данные. А так вы всегда можете загрузить со спасательной флешки и восстановить загрузчик VeraCrypt’а.

9. Дальше выбираем Wipe Mode – количество перезаписей сектора мусорными данными. Дело в том, что даже после удаления данных с диска иx всё еще можно восстановить, но для этого требуется специальное дорогое оборудование. У западных лабораторий такое точно есть. Про наши ничего сказать не могу. Так что ставьте 3 перезаписи – этого будет вполне достаточно.

10. Дальше нажимаем Test. Система перезагрузится и попросит ввести пароль. Диск еще не зашифрован, просто это проверка того, что загрузчик и драйверы VeraCrypt’а встали нормально. Если что-то вдруг пойдет не так, то загрузчик ОС можно будет достаточно легко восстановить.

11. Загружаемся, в появившемся окне нажимаем Encrypt и ждем.

12. После окончания диск зашифрован.

Аналогичным образом можно зашифровать любой другой диск или флешку – например диск, на котором вы храните бекапы (об этoм ниже).

Правила

Все компьютеры, диски, флешки с беками шифруются любым софтом, производным от TrueCrypt’а (full disk encryption). Сам TrueCrypt ухреначил Microsoft, он больше не поддерживается. Софт обязательно должен быть с открытым кодом. Всё платное – сразу в топку.

PRISM (программа разведки)

Представьте такую ситуацию. Вы предприняли все меры к защите данные: зашифровали диск, установили длинный сложный пароль и ушли за кофе, не заблокировав компьютер.

В это время через окно в ваш кабинет проникает «злостный хакер» и копирует всю конфиденциальную информацию на флешку, после чего так же бесшумно исчезает через то же окно.

Мораль такова: нужно установить пароли на всё – на вход в систему, на вход в BIOS. Всегда, когда отходите от компьютера даже на минуту, блокируйте систему.

Пароли должны быть сложнее стандартных qwerty, password, «пароль» или 12345. Желательно, чтобы это были цифры и буквы разных регистров (большие и маленькие). К тому же пароль от VeraCrypt или подобного программного обеспечения должен быть длинным.

Настройте скринсейвер[51] на автоматическoе включение через 5 минут, а возврат в систему – только с вводом пароля.

Теперь можно пойти за кружечкой кофе. Если только вас не взяли в разработку американские спецслужбы…

Пока ваш компьютер включен, ключи шифрования от системного диска находятся в оперативной памяти ОЗУ[52]. Поэтому возникает резонный вопрос: а можно ли эти ключи оттуда достать? Оказывается, можно – для этого нужен физический доступ к вашему компьютеру.

Cold boot attack (platform reset attack, атака методом холодной перезагрузки) – в криптографии это класс атак, при которых злоумышленник, имеющий физический доступ к компьютеру, может извлечь из него ключи шифрования или ценные данные. Атака требует полной перезагрузки компьютера либо выключения и изъятия из него модулей памяти. В атаке используется эффект сохранения данных в ОЗУ типа DRAM и SRAM после выключения питания. Данные частично сохраняются в течение периода от нескольких секунд до нескольких минут. Если же охладить микросхемы памяти жидким азотом, то время сохранения данных возрастает многократно.