материалы к экзамену / Создание виртуальных зашифрованных дисков
.docxСоздание виртуальных зашифрованных дисков
(программное средство DiskCryptor)
Шифрование дисков целиком выполняется с помощью программ DriveCrypt Plus Pack, SafeGuard Easy, PGP Whole Disk, BestCrypt Volume Encryption, DiskCryptor.
У шифрования диска целиком кроме достоинства более надежной защиты данных существуют и недостатки. Основным недостатком является возможность полной утраты информации в случае утери ключей и паролей..
Есть и опасность утери данных в результате программного сбоя вследствие действий пользователя. В частности, крайне не рекомендуется выполнять какие-либо работы с файлами до завершения расшифровки диска. Возможна некорректная работа программ шифрования диска, если на компьютере установлен нелицензионный софт. К сожалению, такие факты единичны и пока бессистемны, поэтому четких рекомендаций не выработано. Кроме того, программы, шифрующие диск, не предусматривают восстановление пароля. Если вы его забудете, можете спокойно форматировать диск и начинать все сначала – с установки операционной системы.
Рассмотрим программу DiskCryptor, которая предназначена для защиты ваших данных с помощью их шифрования (целым разделом или диском).
DiskCryptor позволяет создавать также зашифрованные CD/DVD:
· сначала необходимо создать ISO образ вашего оптического диска с помощью любой из соответствующих программ (UltraISO, SmallISOcreator и прочие…);
· затем указать расположение исходного ISO образа и расположение зашифрованного образа, который создаст DiskCryptor на основе обычного ISO. Выбрать алгоритм шифрования, пароль и/или ключевой файл;
· после этого нужно только дождаться конца шифрования и записать полученный образ на оптический диск.
Вот как это выглядит в скриншотах:
Шаг 1:
Шаг 2:
Шаг 3:
Шаг 4:
А теперь перейдем к тому, как программа шифрует разделы и диски.
Вот так выглядит основное окно программы:
В главном окне программы отображаются все подключенные носители и разделы на них.
Для того чтобы зашифровать какой-либо диск мы сначала должны его выбрать в главном окне. Выбранный диск отображается БЕЛОЙ полосой. Как видно на скриншоте, это системный раздел C:. Классика…
Теперь приступим шифрованию раздела.
Выбираем пункт меню Volumes ® Encrypt volume. Появится вот такое окно:
Здесь можно выбрать алгоритм шифрования (поддерживаются алгоритмы AES, Serpent и Twofish, а также их произвольные каскады до 3 уровней включительно):
Также здесь выбирается режим затирания данных. Дело в том, что эта функция предназначена для предотвращения возможности восстановить данные по остаточной намагниченности на специальном оборудовании. Когда эта функция включена, DiskCryptor считывает данные с сектора, вытирает этот сектор, а затем пишет в него зашифрованные данные. Поэтому абсолютно все данные которые присутствовали на диске до этого, включая удаленные файлы, вы сможете обнаружить на смонтированном зашифрованном диске. Доступны следующие режимы предварительного затирания данных:
После выбора всех необходимых опций в данном окне переходим к следующему окну по кнопке Next:
Это окно настройки загрузчика и в нем сокрыта самая главная и истинная ценность программы.
Опция Install to HDD обозначает установку загрузчика на жесткий диск, который присутствует в системе. Если их несколько, то нужный можно выбрать из списка под названием Device (ниже на картинке).
Вторая же опция в выпадающем списке гласит Use external bootloader – использовать внешний загрузчик. И если ее выбрать, то станет активной кнопка Create Bootloader. Если ее нажать то увидим следующее:
Bootloader place – определяет месторасположения создаваемого загрузчика:
HDD master boot record – загрузчик будет расположен в главной загрузочной записи жесткого диска.
Bootloader image for PXE network booting – создание образа загрузчика для сетевой загрузки. Полезно для удаленной загрузки защищенных дисков и разделов.
ISO Bootloader image – будет создан ISO образ загрузчика со всеми необходимыми опциями, который затем нужно записать на физический диск – на оптический или же флеш-диск. Этот диск вы потом будете использовать для загрузки зашифрованных разделов и целых дисков. Для этого вы должны будете используя средства BIOS (очередность загрузки) загрузиться с диска, на котором будет записан загрузчик DiskCryptor’а (прошу прощения за тавтологию). Затем загрузчик запросит пароль и т.д. – там все логично.
Далее описаны настройки, которые являются общими для загрузчика независимо от его месторасположения.
Для создания ISO образа необходимо указать путь куда его создавать – строка Select path to file.
Опция Small loader, only with AES обозначает использование маленького загрузчика, который умещается в первые сектора диска. Данная опция используется только если применяется один алгоритм шифрования AES, поскольку при использовании других алгоритмов или их каскадов размер загрузчика такой, что в первые сектора диска он точно не поместится. Это уже издержки, но для пользователя роли на 99,99% не играет – сколько секторов займет загрузчик – 10 или 15 (цифры условны).
После выбора пути нажимаем Create bootloader и через несколько секунд видим сообщение о том, что файл загрузчика успешно создан.
Кроме ISO образа загрузчика программа позволяет использовать загрузочный раздел, например расположенный на USB-диске (опция в выпадающем списке – Bootable partition, USB-stick etc.).
После этого станет доступна клавиша Change config – изменить конфигурацию загрузчика.
Жмем ее:
Приступим к описанию настроек загрузчика программы DiskCrypter.
Вот так выглядит окно настроек загрузчика:
В нем сосредоточены все настройки. Кроме того, все операции могут быть произведены из консоли программы. Список консольных команд очень подробно описан на сайте программы.
Во вкладке Main настраиваются следующие параметры:
Keyboard layout – раскладка клавиатуры. Доступны для выбора QWERTY, QWERTZ и AZERTY.
Booting Method – метод загрузки. Этот пункт отвечает за конфигурирование порядка загрузки зашифрованных или других операционных систем. Доступны следующие варианты:
First disk MBR – загрузка с использованием главной загрузочной записи первого жесткого диска.
First partition with appropriate password – загрузка с первого раздела, к которой подошел введенный пароль. Это удобно в том случае, если у вас несколько зашифрованных загрузочных разделов с разными операционными системами.
Specified partition – загрузка строго определенного раздела. Этот раздел определяется из списка, расположенного ниже.
Boot disk MBR – загрузить главную загрузочную запись диска.
Active partition – загрузиться с активного раздела.
кладка Authentication предназначена для определения правил и порядка входа в зашифрованную систему.
Authentication type – тип аутентификации. Доступны следующие варианты:
Password and bootauth keyfile – аутентификация выполняется только при введении правильного пароля и предоставлении корректного ключевого файла.
Password request – необходим ввод пароля.
Embedded bootauth keyfile – аутентификация по встроенному ключевому файлу. В данном случае ключевой файл встраивается в загрузчик и по нему предоставляется доступ к данным. Удобно при расположения загрузчика на usb-диске – вставил флешку и компьютер загрузил зашифрованные данные. Флешка работает как ключ.
При выборе пунктов, в которых используется ключевой файл становится активной кнопка Config Embedded keyfile (на скриншоте выше – она серого цвета, неактивна). Эта кнопка позволяет произвести настройку ключевого файла:
Это перечень доступных ключевых файлов. Пока он пуст. В качестве таковых можно использовать уже готовый файл, выбор которого происходит нажатием на кнопку Add File… Есть условие – файл должен быть длинной 64 бита. Если готового файла нет – модно его создать с помощью кнопки Generate Keyfile. Ключевой файл не имеет расширения. После его создания программа предложит внести его в список. Отвечаете положительно, видите изменения в списке файлов:
Вы можете выбрать этот файл (он будет отмечен белой строкой) и нажать ОК.
Опция Password prompt message – настройка сообщения, которое выводится загрузчиком при предложении ввести пароль. Можно вообще отключить предложение вводить пароль и тогда будет просто мигать курсор на черном фоне в ожидании ввода.
Show entered password – настройка отображения пароля. Можно выводить в виде символов «*» (пункт Display entered password as * ), а можно вообще скрывать вводимый пароль (опция Hide entered password) – вы вводите пароль, но на экране ничего не меняется.
Authentication timeout – настройка лимита времени, отведенного на аутентификацию. Если время превышено – происходит блокирование до перезагрузки. Лимит – от 3 секунд до 5 минут. При выборе определенного времени, можно настроить отключение таймера при нажатии любой кнопки – опция Cancel timeout if any key pressed.
Следующая вкладка Invalid password отвечает за настройку поведения загрузчика при введении неправильного пароля.
Первый чекбокс Use incorrect password action if no password entered обозначает в случае отсутствия пароля применение действия, которое выполняется при введении неправильного пароля.
Чекбокс Invalid password message – настройка вывода и вида сообщения о неправильном введенном пароле.
Выпадающий список Invalid password action позволяет задать определенное действие, которое будет выполняться при вводе неверного пароля. Доступны такие действия:
Если брать по порядку сверху вниз по приведенному выше скриншоту, то действия следующие:
Остановка системы;
Перезагрузка системы;
Загрузка с активного раздела;
Выход в БИОС компьютера;
Повторная попытка аутентификации;
Загрузка главной загрузочной записи загрузочного диска (опять тавтология, но ничего не поделать).
И последняя вкладке в окне настроек загрузчика DiskCrypter’a – это Other settings (прочие настройки):
Здесь только один пункт, который отвечает за использование специальных процессорных инструкций по ускорению криптографических алгоритмов. Поскольку в ряд современных процессоров (Intel Core i5, VIA) встроены такие алгоритмы, то на системах с подобными процессорами выполнение задач шифрования данных выполняются в разы быстрее при прочих равных условиях.