Створення віртуальних зашифрованих дисків
(Програмний засіб DiskCryptor)
Шифрування дисків цілком виконується за допомогою програм DriveCryptPlusPack, SafeGuardEasy, PGPWholeDisk, BestCryptVolumeEncryption, DiskCryptor.
У шифрування диска цілком крім гідності більш надійного захисту даних існують і недоліки. Основним недоліком є можливість повної втрати інформації в разі втрати ключів і паролів ..
Є й небезпека втрати даних в результаті програмного збою внаслідок дій користувача. Зокрема, вкрай не рекомендується виконувати будь-які роботи з файлами до завершення розшифровки диска. Можлива некоректна робота програм шифрування диска, якщо на комп'ютері встановлено неліцензійний софт. На жаль, такі факти непоодинокі і безсистемні, тому чітких рекомендацій не вироблено. Крім того, програми, шифрувальні диск, не передбачають відновлення пароля. Якщо ви його забудете, можете спокійно форматувати диск і починати все спочатку - з установки операційної системи.
Розглянемо програму DiskCryptor. яка призначена для захисту ваших даних за допомогою їх шифрування (цілим розділом або диском).
DiskCryptor дозволяє створювати також зашифровані CD / DVD:
· Спочатку необхідно створити ISO образ вашого оптичного диска за допомогою будь-якої з відповідних програм (UltraISO, SmallISOcreator та інші ...);
· Потім вказати розташування вихідного ISO образу і розташування зашифрованого образу, який створить DiskCryptor на основі звичайного ISO. Вибрати алгоритм шифрування, пароль і / або ключовий файл;
· Після цього потрібно тільки дочекатися кінця шифрування і записати отриманий образ на оптичний диск.
Ось як це виглядає в скріншотах:
А тепер перейдемо до того, як програма шифрує розділи і диски.
Ось так виглядає основне вікно програми:
У головному вікні програми відображаються всі підключені носії і розділи на них.
Для того щоб зашифрувати будь-якої диск ми спочатку повинні його вибрати в головному вікні. Обраний диск відображається БІЛІЙ смугою. Як видно на скріншоті, це системний розділ C. Класика ...
Тепер приступимо шифрування розділу.
Вибираємо пункт меню Volumes ®Encrypt volume. З'явиться ось таке вікно:
Тут можна вибрати алгоритм шифрування (підтримуються алгоритми AES, Serpent і Twofish, а також їх довільні каскади до 3 рівнів включно):
Також тут вибирається режим затирання даних. Справа в тому, що ця функція призначена для запобігання можливості відновити дані по залишкової намагніченості на спеціальному обладнанні. Коли ця функція включена, DiskCryptor зчитує дані з сектора, витирає цей сектор, а потім пише в нього зашифровані дані. Тому абсолютно всі дані які були присутні на диску до цього, включаючи видалені файли, ви зможете виявити на змонтованому зашифрованому диску. Можна налаштувати режим попереднього затирання даних:
Після вибору всіх необхідних опцій в даному вікні переходимо до наступного вікна по кнопці Next:
Це вікно налаштування завантажувача і в ньому прихована найголовніша і справжня цінність програми.
Опція Install to HDD позначає установку завантажувача на жорсткий диск, який присутній в системі. Якщо їх кілька, то потрібний можна вибрати зі списку під названіемDevice (нижче на зображенні).
Друга ж опція в випадаючому списку говорить Use external bootloader - використовувати зовнішній завантажувач. І якщо її вибрати, то стане активною кнопкаCreate Bootloader. Якщо її натиснути то побачимо наступне:
Bootloader place - визначає розташування створюваного завантажувача:
HDD master boot record - завантажувач буде розташований в головному завантажувальному запису жорсткого диска.
Bootloader image for PXE network booting - створення образу завантажувача для мережевого завантаження. Корисно для віддаленого завантаження захищених дисків і розділів.
ISO Bootloader image - буде створено ISO образ завантажувача з усіма необхідними опціями, який потім потрібно записати на фізичний диск - на оптичний або ж флеш-диск. Цей диск ви потім будете використовувати для завантаження зашифрованих розділів і цілих дисків. Для цього ви повинні будете використовуючи засоби BIOS (черговість завантаження) завантажитися з диска, на якому буде записаний завантажувач DiskCryptor'а (прошу вибачення за тавтологію). Потім завантажувач запросить пароль і т.д. - там все логічно.
Далі описані настройки, які є загальними для завантажувача незалежно від його місця розташування.
Для створення ISO образу необхідно вказати шлях куди його створювати - рядок Select path to file.
Опція Small loader, only with AES позначає використання маленького завантажувача, який вміщується в перші сектора диска. Дана опція використовується тільки якщо застосовується один алгоритм шифрування AES, оскільки при використанні інших алгоритмів або їх каскадів розмір завантажувача такий, що в перші сектора диска він точно не поміститься. Це вже витрати, але для користувача ролі на 99,99% не грає - скільки секторів займають завантажувач - 10 або 15 (цифри умовні).
Після вибору шляху натискаємо Create bootloader і через кілька секунд бачимо повідомлення про те, що файл завантажувача успішно створений.
Крім ISO образу завантажувача програма дозволяє використовувати завантажувальний розділ, наприклад розташований на USB-диску (опція в випадаючому списку - Bootable partition, USB-stick etc.).
Після цього стане доступна кнопка Change config - змінити конфігурацію завантажувача.
Приступимо до опису налаштувань завантажувача програми DiskCrypter.
Ось так виглядає вікно налаштувань завантажувача:
У ньому зосереджені всі налаштування. Крім того, всі операції можуть бути проведені з консолі програми. Список консольних команд дуже докладно описаний на сайті програми.
У вкладці Main налаштовуються наступні параметри:
Keyboard layout - розкладка клавіатури. Доступні для вибору QWERTY, QWERTZ і AZERTY.
Booting Method - метод завантаження. Цей пункт відповідає за конфігурування порядку завантаження зашифрованих або інших операційних систем. Доступними параметрами:
First disk MBR - завантаження з використанням головною завантажувального запису першого жорсткого диска.
First partition with appropriate password - завантаження з першого розділу, до якої підійшов введений пароль. Це зручно в тому випадку, якщо у вас кілька зашифрованих завантажувальних розділів з різними операційними системами.
Specified partition - завантаження строго певного розділу. Цей розділ визначається зі списку, розташованого нижче.
Boot disk MBR - завантажити головний завантажувальний запис диска.
Active partition - завантажитися з активного розділу.
кладка Authentication призначена для визначення правил і порядку входу в зашифровану систему.
Authentication type - тип аутентифікації. Доступними параметрами:
Password and bootauth keyfile - аутентифікація виконується тільки при введенні правильного пароля і надання коректного ключового файлу.
Password request - необхідно ввести пароль.
Embedded bootauth keyfile - аутентифікація по вбудованому ключового файлу. В даному випадку ключовою файл вбудовується в завантажувач і по ньому надається доступ до даних. Зручно при розташування завантажувача на usb-диску - вставив флешку і комп'ютер завантажив зашифровані дані. Флешка працює як ключ.
При виборі пунктів, в яких використовується ключовий файл стає активною кнопка ConfigEmbedded keyfile (на скріншоті вище - вона сірого кольору, неактивна). Ця кнопка дозволяє зробити налаштування ключового файлу:
Це перелік доступних ключових файлів. Поки він порожній. Серед таких можна використовувати вже готовий файл, вибір якого відбувається натисканням на кнопку Add File ... Є умова - файл повинен бути довгою 64 біта. Якщо готового файлу немає - модно його створити за допомогою кнопкіGenerate Keyfile. Ключовий файл не має розширення. Після його створення програма запропонує внести його в список. Відповідаєте позитивно, бачите зміни в списку файлів:
Ви можете вибрати цей файл (він буде відзначений білою рядком) і натиснути ОК.
Опція Password prompt message - настройка повідомлення, яке виводиться загрузчиком при пропозиції ввести пароль. Можна взагалі відключити пропозицію вводити пароль і тоді буде просто блимати курсор на чорному тлі в очікуванні введення.
Show entered password - Отримання пароля. Можна виводити з позначками «*» (пунктDisplay entered password as *), а можна взагалі приховувати вводиться пароль (опціяHideentered password) - ви вводите пароль, але на екрані нічого не змінюється.
Authentication timeout - налаштування ліміту часу, відведеного на аутентифікацію. Якщо час перевищено - відбувається блокування до перезавантаження. Ліміт - від 3 секунд до 5 хвилин. При виборі певного часу, можна налаштувати відключення таймера при натисканні будь-якої кнопки - опціяCancel timeout if any key pressed.
Наступна вкладка Invalid password відповідає за настройку поведінки завантажувача при введенні неправильного пароля.
Перший чекбокс Use incorrect password action if no password entered позначає в разі відсутності пароля застосування дії, яке виконується при введенні неправильного пароля.
Чекбокс Invalid password message - настройка виведення і виду повідомлення про неправильному введеному паролі.
Список, що випадає Invalid password action дозволяє задати певну дію, яка виконуватиметься при введенні неправильного пароля. Доступні такі дії:
Якщо брати по порядку зверху вниз по наведеним вище скриншоту, то дії наступні:
Завантаження з активного розділу;
Вихід в БІОС комп'ютера;
Повторна спроба аутентифікації;
Завантаження головного завантажувального запису завантажувального диска (знову тавтологія, але нічого не поробиш).
І остання вкладці у вікні налаштувань завантажувача DiskCrypter'a - це Other settings (інші настройки):
Тут тільки один пункт, який відповідає за використання спеціальних процесорних інструкцій щодо прискорення криптографічних алгоритмів. Оскільки в ряд сучасних процесорів (Intel Core i5, VIA) вбудовані такі алгоритми, то на системах з подібними процесорами виконання завдань шифрування даних виконуються в рази швидше за інших рівних умов.