Υπάρχουν πολλοί λόγοι για να κρυπτογραφήσετε τα δεδομένα στον σκληρό σας δίσκο, αλλά το τίμημα για την ασφάλεια των δεδομένων θα είναι η μείωση της ταχύτητας του συστήματος. Ο σκοπός αυτού του άρθρου είναι να συγκρίνει την απόδοση κατά την εργασία με έναν δίσκο κρυπτογραφημένο με διαφορετικά μέσα.

Για να κάνουμε τη διαφορά πιο δραματική, επιλέξαμε όχι ένα υπερσύγχρονο αυτοκίνητο, αλλά ένα μέσο. Ένας κανονικός μηχανικός σκληρός δίσκος 500 GB, AMD διπλού πυρήνα στα 2,2 GHz, 4 gigs μνήμης RAM, 64-bit Windows 7 SP 1. Δεν θα εκκινηθούν προγράμματα προστασίας από ιούς ή άλλα προγράμματα κατά τη διάρκεια της δοκιμής, έτσι ώστε τίποτα να μην επηρεάσει τα αποτελέσματα.

Επέλεξα το CrystalDiskMark για να αξιολογήσω την απόδοση. Όσον αφορά τα εργαλεία κρυπτογράφησης που δοκίμασα, στάθηκα στην ακόλουθη λίστα: BitLocker, TrueCrypt, VeraCrypt, CipherShed, Symantec Endpoint Encryption και CyberSafe Top Secret.

BitLocker

Αυτή είναι μια τυπική δυνατότητα κρυπτογράφησης δίσκου ενσωματωμένη στα Microsoft Windows. Πολλοί άνθρωποι το χρησιμοποιούν απλά χωρίς να εγκαταστήσουν προγράμματα τρίτων. Πράγματι, γιατί, αν όλα είναι ήδη στο σύστημα; Από τη μια πλευρά, είναι σωστό. Από την άλλη, ο κώδικας είναι κλειστός και δεν υπάρχει βεβαιότητα ότι δεν περιείχε κερκόπορτες για το FBI και άλλα ενδιαφερόμενα μέρη.

Η κρυπτογράφηση δίσκου πραγματοποιείται χρησιμοποιώντας τον αλγόριθμο AES με μήκος κλειδιού 128 ή 256 bit. Το κλειδί μπορεί να αποθηκευτεί στη μονάδα Trusted Platform Module, στον ίδιο τον υπολογιστή ή σε μια μονάδα flash.

Εάν χρησιμοποιείται TPM, τότε κατά την εκκίνηση του υπολογιστή, το κλειδί μπορεί να ληφθεί αμέσως από αυτόν ή μετά τον έλεγχο ταυτότητας. Μπορείτε να συνδεθείτε χρησιμοποιώντας το κλειδί στη μονάδα flash ή εισάγοντας τον κωδικό PIN από το πληκτρολόγιο. Οι συνδυασμοί αυτών των μεθόδων παρέχουν πολλές επιλογές για τον περιορισμό της πρόσβασης: απλά TPM, TPM και USB, TPM και PIN ή και τα τρία ταυτόχρονα.

Το BitLocker έχει δύο αναμφισβήτητα πλεονεκτήματα: πρώτον, μπορεί να ελεγχθεί μέσω πολιτικές ομάδας; Δεύτερον, κρυπτογραφεί τόμους, όχι φυσικούς δίσκους. Αυτό σας επιτρέπει να κρυπτογραφήσετε μια σειρά από πολλές μονάδες δίσκου, κάτι που ορισμένα άλλα εργαλεία κρυπτογράφησης δεν μπορούν να κάνουν. Το BitLocker υποστηρίζει επίσης GUID Partition Table (GPT), για τον οποίο δεν μπορεί να καυχηθεί ούτε το πιο προηγμένο πιρούνι Trucrypt VeraCrypt. Για να κρυπτογραφήσετε έναν δίσκο GPT συστήματος με αυτόν, θα πρέπει πρώτα να τον μετατρέψετε σε μορφή MBR. Αυτό δεν απαιτείται με το BitLocker.

Γενικά, υπάρχει μόνο ένα μειονέκτημα - η κλειστή πηγή. Εάν κρατάτε μυστικά από άτομα του νοικοκυριού σας, το BitLocker είναι τέλειο. Εάν ο δίσκος σας είναι γεμάτος έγγραφα εθνικής σημασίας, καλύτερα να βρείτε κάτι άλλο.

Είναι δυνατή η αποκρυπτογράφηση του BitLocker και του TrueCrypt

Αν ρωτήσετε την Google, θα βρει ένα ενδιαφέρον πρόγραμμα που ονομάζεται Elcomsoft Forensic Disk Decryptor, κατάλληλο για την αποκρυπτογράφηση μονάδων BitLocker, TrueCrypt και PGP. Ως μέρος αυτού του άρθρου, δεν θα το δοκιμάσω, αλλά θα μοιραστώ τις εντυπώσεις μου για ένα άλλο βοηθητικό πρόγραμμα της Elcomsoft, δηλαδή το Advanced EFS Data Recovery. Αποκρυπτογραφούσε τέλεια τους φακέλους EFS, αλλά υπό την προϋπόθεση ότι δεν είχε οριστεί ο κωδικός πρόσβασης χρήστη. Εάν ορίσετε τον κωδικό πρόσβασης ακόμη και στο 1234, το πρόγραμμα ήταν αδύναμο. Σε κάθε περίπτωση, δεν μπόρεσα να αποκρυπτογραφήσω έναν κρυπτογραφημένο φάκελο EFS που ανήκει σε χρήστη με κωδικό πρόσβασης 111. Νομίζω ότι η κατάσταση θα είναι η ίδια με το προϊόν Forensic Disk Decryptor.

TrueCrypt

Αυτό είναι ένα θρυλικό πρόγραμμα κρυπτογράφησης δίσκου που διακόπηκε το 2012. Η ιστορία που συνέβη στο TrueCrypt εξακολουθεί να καλύπτεται στο σκοτάδι και κανείς δεν ξέρει πραγματικά γιατί ο προγραμματιστής αποφάσισε να αρνηθεί την υποστήριξη για το πνευματικό τέκνο του.

Υπάρχουν μόνο κόκκοι πληροφοριών που δεν μας επιτρέπουν να συνθέσουμε το παζλ. Έτσι, το 2013 άρχισε η συγκέντρωση χρημάτων για τη διεξαγωγή ανεξάρτητου ελέγχου του TrueCrypt. Ο λόγος ήταν οι πληροφορίες που ελήφθησαν από τον Έντουαρντ Σνόουντεν σχετικά με τη σκόπιμη αποδυνάμωση των εργαλείων κρυπτογράφησης TrueCrypt. Για τον έλεγχο συγκεντρώθηκαν πάνω από 60 χιλιάδες δολάρια. Στις αρχές Απριλίου 2015, οι εργασίες ολοκληρώθηκαν, αλλά δεν εντοπίστηκαν σοβαρά σφάλματα, τρωτά σημεία ή άλλα σημαντικά ελαττώματα στην αρχιτεκτονική της εφαρμογής.

Μόλις ολοκληρώθηκε ο έλεγχος, το TrueCrypt βρέθηκε ξανά στο επίκεντρο ενός σκανδάλου. Οι ειδικοί της ESET δημοσίευσαν μια αναφορά ότι η ρωσική έκδοση του TrueCrypt 7.1a, που λήφθηκε από το truecrypt.ru, περιείχε κακόβουλο λογισμικό. Επιπλέον, ο ίδιος ο ιστότοπος truecrypt.ru χρησιμοποιήθηκε ως κέντρο εντολών - εντολές στάλθηκαν από αυτόν σε μολυσμένους υπολογιστές. Γενικά, να είστε προσεκτικοί και να μην κατεβάζετε προγράμματα από πουθενά.

Τα πλεονεκτήματα του TrueCrypt περιλαμβάνουν ανοιχτό κώδικα, η αξιοπιστία του οποίου υποστηρίζεται πλέον από ανεξάρτητο έλεγχο και υποστήριξη για δυναμικούς τόμους Windows. Μειονεκτήματα: το πρόγραμμα δεν αναπτύσσεται πλέον και οι προγραμματιστές δεν είχαν χρόνο να εφαρμόσουν την υποστήριξη UEFI/GPT. Αλλά αν ο στόχος είναι να κρυπτογραφήσετε μια μονάδα δίσκου εκτός συστήματος, τότε δεν έχει σημασία.

Σε αντίθεση με το BitLocker, το οποίο υποστηρίζει μόνο AES, το TrueCrypt περιλαμβάνει επίσης τα Serpent και Twofish. Για να δημιουργήσετε κλειδιά κρυπτογράφησης, salt και κλειδί κεφαλίδας, το πρόγραμμα σας επιτρέπει να επιλέξετε μία από τις τρεις λειτουργίες κατακερματισμού: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512. Ωστόσο, έχουν ήδη γραφτεί πολλά για το TrueCrypt, οπότε δεν θα το επαναλάβουμε.

VeraCrypt

Ο πιο προηγμένος κλώνος TrueCrypt. Έχει τη δική του μορφή, αν και έχει τη δυνατότητα να λειτουργεί σε λειτουργία TrueCrypt, η οποία υποστηρίζει κρυπτογραφημένους και εικονικούς δίσκους σε μορφή TrueCrypt. Σε αντίθεση με το CipherShed, το VeraCrypt μπορεί να εγκατασταθεί στον ίδιο υπολογιστή ταυτόχρονα με το TrueCrypt.

ΠΛΗΡΟΦΟΡΙΕΣ

Έχοντας αποσυρθεί, το TrueCrypt άφησε μια πλούσια κληρονομιά: έχει πολλά forks, ξεκινώντας από τα VeraCrypt, CipherShed και DiskCryptor.

Το TrueCrypt χρησιμοποιεί 1000 επαναλήψεις για να δημιουργήσει το κλειδί που θα κρυπτογραφήσει το διαμέρισμα συστήματος, ενώ το VeraCrypt χρησιμοποιεί 327.661 επαναλήψεις. Για τυπικές κατατμήσεις (μη συστήματος), το VeraCrypt χρησιμοποιεί 655.331 επαναλήψεις για τη συνάρτηση κατακερματισμού RIPEMD-160 και 500.000 επαναλήψεις για SHA-2 και Whirlpool. Αυτό καθιστά τα κρυπτογραφημένα διαμερίσματα σημαντικά πιο ανθεκτικά σε επιθέσεις ωμής βίας, αλλά επίσης μειώνει σημαντικά την απόδοση της εργασίας με ένα τέτοιο διαμέρισμα. Πόσο σημαντικό θα μάθουμε σύντομα.

Μεταξύ των πλεονεκτημάτων του VeraCrypt είναι ο ανοιχτός κώδικας του, καθώς και η δική του και πιο ασφαλής μορφή εικονικών και κρυπτογραφημένων δίσκων σε σύγκριση με το TrueCrypt. Τα μειονεκτήματα είναι τα ίδια όπως και στην περίπτωση του προγονικού - έλλειψη υποστήριξης UEFI/GPT. Είναι ακόμα αδύνατο να κρυπτογραφηθεί ο δίσκος GPT του συστήματος, αλλά οι προγραμματιστές ισχυρίζονται ότι εργάζονται για αυτό το πρόβλημα και μια τέτοια κρυπτογράφηση θα είναι σύντομα διαθέσιμη. Αλλά εργάζονται σε αυτό εδώ και δύο χρόνια (από το 2014) και πότε θα κυκλοφορήσει με υποστήριξη GPT και αν θα υπάρξει καθόλου δεν είναι ακόμη γνωστό.

CipherShed

Ένας άλλος κλώνος TrueCrypt. Σε αντίθεση με το VeraCrypt, χρησιμοποιεί την εγγενή μορφή TrueCrypt, επομένως μπορείτε να περιμένετε την απόδοσή του να είναι κοντά σε αυτήν του TrueCrypt.

Τα πλεονεκτήματα και τα μειονεκτήματα εξακολουθούν να είναι τα ίδια, αν και μπορείτε να προσθέσετε την αδυναμία στα μειονεκτήματα Εγκαταστάσεις TrueCryptκαι το CipherShed στον ίδιο υπολογιστή. Επιπλέον, εάν προσπαθήσετε να εγκαταστήσετε το CipherShed σε ένα μηχάνημα με ήδη εγκατεστημένο το TrueCrypt, το πρόγραμμα εγκατάστασης προσφέρει την κατάργηση του προηγούμενου προγράμματος, αλλά αποτυγχάνει να αντιμετωπίσει την εργασία.

Symantec Endpoint Encryption

Το 2010, η Symantec αγόρασε τα δικαιώματα του προγράμματος PGPdisk. Το αποτέλεσμα ήταν προϊόντα όπως το PGP Desktop και, στη συνέχεια, το Endpoint Encryption. Αυτό θα εξετάσουμε. Το πρόγραμμα φυσικά είναι ιδιόκτητο, οι πηγές κλειστές, και μια άδεια κοστίζει 64 ευρώ. Υπάρχει όμως υποστήριξη για GPT, αλλά μόνο ξεκινώντας από τα Windows 8.

Με άλλα λόγια, εάν χρειάζεστε υποστήριξη GPT και θέλετε να κρυπτογραφήσετε κατάτμηση συστήματος, θα πρέπει να επιλέξετε ανάμεσα σε δύο αποκλειστικές λύσεις: BitLocker και Endpoint Encryption. Είναι απίθανο, φυσικά, ένας οικιακός χρήστης να εγκαταστήσει το Endpoint Encryption. Το πρόβλημα είναι ότι αυτό απαιτεί Symantec Drive Encryption, το οποίο απαιτεί έναν παράγοντα και έναν διακομιστή διαχείρισης Symantec Endpoint Encryption (SEE) για εγκατάσταση, και ο διακομιστής θέλει επίσης να εγκαταστήσει τις υπηρεσίες IIS 6.0. Δεν είναι πολλά καλά πράγματα για ένα πρόγραμμα κρυπτογράφησης δίσκου; Όλα αυτά τα περάσαμε μόνο για να μετρήσουμε την απόδοση.

Η στιγμή της αλήθειας

Λοιπόν, ας φτάσουμε στο διασκεδαστικό μέρος, δηλαδή τη δοκιμή. Το πρώτο βήμα είναι να ελέγξετε την απόδοση του δίσκου χωρίς κρυπτογράφηση. Το «θύμα» μας θα είναι ένα διαμέρισμα σκληρού δίσκου 28 GB (κανονικό, όχι SSD), μορφοποιημένο ως NTFS.

Ανοίξτε το CrystalDiskMark, επιλέξτε τον αριθμό των περασμάτων, το μέγεθος του προσωρινού αρχείου (θα χρησιμοποιήσουμε 1 GB σε όλες τις δοκιμές) και τον ίδιο τον δίσκο. Αξίζει να σημειωθεί ότι ο αριθμός των περασμάτων δεν έχει ουσιαστικά καμία επίδραση στα αποτελέσματα. Το πρώτο στιγμιότυπο οθόνης δείχνει τα αποτελέσματα της μέτρησης της απόδοσης του δίσκου χωρίς κρυπτογράφηση με τον αριθμό των περασμάτων 5, το δεύτερο - με τον αριθμό των περασμάτων 3. Όπως μπορείτε να δείτε, τα αποτελέσματα είναι σχεδόν πανομοιότυπα, επομένως θα επικεντρωθούμε σε τρία περάσματα.

Τα αποτελέσματα του CrystalDiskMark θα πρέπει να ερμηνεύονται ως εξής:

• Seq Q32T1 - διαδοχική εγγραφή / δοκιμή διαδοχικής ανάγνωσης, αριθμός ουρών - 32, νήματα - 1;
• 4K Q32T1 - δοκιμή τυχαίας εγγραφής / τυχαίας ανάγνωσης (μέγεθος μπλοκ 4 KB, αριθμός ουρών - 32, νήματα - 1).
• Seq - διαδοχική δοκιμή εγγραφής/διαδοχικής ανάγνωσης.
• 4K - δοκιμή τυχαίας εγγραφής / τυχαίας ανάγνωσης (μέγεθος μπλοκ 4 KB).

Ας ξεκινήσουμε με το BitLocker. Χρειάστηκαν 19 λεπτά για να κρυπτογραφηθεί ένα διαμέρισμα 28 GB.

Η συνέχεια του άρθρου είναι διαθέσιμη μόνο σε συνδρομητές

Επιλογή 1. Εγγραφείτε στο Hacker για να διαβάσετε όλα τα άρθρα στον ιστότοπο

Η συνδρομή θα σας επιτρέψει να διαβάσετε ΟΛΟ το υλικό επί πληρωμή στον ιστότοπο, συμπεριλαμβανομένου αυτού του άρθρου, για την καθορισμένη περίοδο. Δεχόμαστε πληρωμές με τραπεζικές κάρτες, ηλεκτρονικό χρήμα και μεταφορές από λογαριασμούς παρόχου κινητής τηλεφωνίας.

Οι απαιτήσεις απορρήτου και ασφάλειας ενός υπολογιστή καθορίζονται εξ ολοκλήρου από τη φύση των δεδομένων που είναι αποθηκευμένα σε αυτόν. Είναι άλλο πράγμα εάν ο υπολογιστής σας χρησιμεύει ως σταθμός ψυχαγωγίας και δεν υπάρχει τίποτα σε αυτόν εκτός από μερικά παιχνίδια και έναν μπαμπά με φωτογραφίες της αγαπημένης σας γάτας και εντελώς άλλο πράγμα εάν υπάρχουν δεδομένα στον σκληρό δίσκο που αποτελούν εμπορικό μυστικό, ενδεχομένως ενδιαφέρον για τους ανταγωνιστές.

Η πρώτη «γραμμή άμυνας» είναι ο κωδικός πρόσβασης σύνδεσης, ο οποίος ζητείται κάθε φορά που ανοίγετε τον υπολογιστή.

Το επόμενο επίπεδο προστασίας είναι τα δικαιώματα πρόσβασης σε επίπεδο συστήματος αρχείων. Ένας χρήστης που δεν έχει δικαιώματα άδειας θα λάβει ένα σφάλμα κατά την προσπάθεια πρόσβασης στα αρχεία.

Ωστόσο, οι περιγραφόμενες μέθοδοι έχουν ένα εξαιρετικά σημαντικό μειονέκτημα. Και οι δύο δουλεύουν στο ίδιο επίπεδο λειτουργικό σύστημακαι μπορούν να παρακαμφθούν σχετικά εύκολα εάν έχετε λίγο χρόνο και φυσική πρόσβαση στον υπολογιστή (για παράδειγμα, με εκκίνηση από μια μονάδα flash USB, μπορείτε να επαναφέρετε τον κωδικό πρόσβασης διαχειριστή ή να αλλάξετε τα δικαιώματα του αρχείου). Πλήρης εμπιστοσύνη στην ασφάλεια και την εμπιστευτικότητα των δεδομένων μπορεί να αποκτηθεί μόνο εάν χρησιμοποιείτε τα επιτεύγματα της κρυπτογραφίας και τα χρησιμοποιείτε με ασφάλεια. Παρακάτω θα δούμε δύο μεθόδους τέτοιας προστασίας.

Η πρώτη μέθοδος που εξετάζεται σήμερα θα είναι η ενσωματωμένη προστασία κρυπτογράφησης της Microsoft. Η κρυπτογράφηση, που ονομάζεται BitLocker, εμφανίστηκε για πρώτη φορά στα Windows 8. Δεν μπορεί να χρησιμοποιηθεί για την ασφάλεια ενός μεμονωμένου φακέλου ή αρχείου είναι διαθέσιμη μόνο η κρυπτογράφηση ολόκληρου του δίσκου. Ειδικότερα, αυτό συνεπάγεται το γεγονός ότι είναι αδύνατη η κρυπτογράφηση του δίσκου του συστήματος (το σύστημα δεν θα μπορεί να εκκινήσει) και είναι επίσης αδύνατη η αποθήκευση σημαντικών δεδομένων σε βιβλιοθήκες συστήματος όπως το "My Documents" (από προεπιλογή είναι που βρίσκεται στο διαμέρισμα συστήματος).
Για να ενεργοποιήσετε την ενσωματωμένη κρυπτογράφηση, κάντε τα εξής:

DiskCryptor

Το δεύτερο βοηθητικό πρόγραμμα κρυπτογράφησης που εξετάστηκε σήμερα είναι το DiskCryptor, μια λύση δωρεάν και ανοιχτού κώδικα. Για να το χρησιμοποιήσετε, χρησιμοποιήστε τις παρακάτω οδηγίες:

Το αναμφισβήτητο πλεονέκτημα αυτού του βοηθητικού προγράμματος σε σύγκριση με τον μηχανισμό BitLocker είναι ότι μπορεί να χρησιμοποιηθεί σε συστήματα που κυκλοφόρησαν πριν από τα Windows 8 (υποστηρίζονται ακόμη και τα Windows XP, τα οποία έχουν διακοπεί). Αλλά το DiskCryptor έχει επίσης πολλά σημαντικά μειονεκτήματα:

• δεν υπάρχουν τρόποι επαναφοράς της πρόσβασης σε κρυπτογραφημένες πληροφορίες (εάν ξεχάσετε τον κωδικό πρόσβασής σας, είναι σίγουρο ότι θα χάσετε τα δεδομένα σας).
• Υποστηρίζεται μόνο το ξεκλείδωμα με κωδικό πρόσβασης, η χρήση έξυπνων καρτών ή βιομετρικών αισθητήρων δεν είναι δυνατή.
• Ίσως το μεγαλύτερο μειονέκτημα της χρήσης του DiskCryptor είναι ότι ένας εισβολέας με πρόσβαση διαχειριστή στο σύστημα θα μπορεί να διαμορφώσει το δίσκο χρησιμοποιώντας τυπικά μέσα. Ναι, δεν θα αποκτήσει πρόσβαση στα δεδομένα, αλλά θα τα χάσετε και εσείς.

Συνοψίζοντας, μπορώ να πω ότι εάν ο υπολογιστής σας έχει εγκατεστημένο λειτουργικό σύστημα ξεκινώντας από τα Windows 8, τότε είναι καλύτερο να χρησιμοποιήσετε την ενσωματωμένη λειτουργία.

Αυτή η τεκμηρίωση έχει αρχειοθετηθεί και δεν διατηρείται πλέον.

Κατανόηση της κρυπτογράφησης μονάδας δίσκου BitLocker

Σκοπός: Windows Server 2008, Windows Server 2008 R2, Windows Vista

Η κρυπτογράφηση μονάδας BitLocker είναι μια δυνατότητα προστασίας δεδομένων που διατίθεται στον Windows Server 2008 R2 και σε ορισμένες εκδόσεις των Windows 7. Η ενσωμάτωση του BitLocker στο λειτουργικό σύστημα αντιμετωπίζει την απειλή κλοπής δεδομένων ή ευπάθειας, προστατεύοντας από χαμένους, κλεμμένους ή ακατάλληλα παροπλισμένους υπολογιστές.

Τα δεδομένα σε έναν υπολογιστή που έχει χαθεί ή κλαπεί είναι ευάλωτα σε μη εξουσιοδοτημένη πρόσβαση, είτε μέσω εργαλείου hacking είτε συνδέοντας τον σκληρό δίσκο του υπολογιστή σε άλλον υπολογιστή. Η κρυπτογράφηση BitLocker βοηθά στην αποτροπή μη εξουσιοδοτημένης πρόσβασης στα δεδομένα σας, αυξάνοντας την ασφάλεια των αρχείων και του συστήματος. Η κρυπτογράφηση BitLocker βοηθά επίσης να διατηρούνται τα δεδομένα απρόσιτα όταν οι υπολογιστές που προστατεύονται από το BitLocker παροπλίζονται ή επαναχρησιμοποιούνται.

Η κρυπτογράφηση BitLocker παρέχει μέγιστη προστασίαόταν χρησιμοποιείται με το Trusted Platform Module (TPM) έκδοση 1.2. Το TPM είναι ένα εξάρτημα υλικού που εγκαθίσταται σε πολλούς σύγχρονους υπολογιστές από τους κατασκευαστές τους. Λειτουργεί σε συνδυασμό με την κρυπτογράφηση BitLocker για να προστατεύει τα δεδομένα χρήστη και να διασφαλίζει ότι ο υπολογιστής δεν έχει παραβιαστεί ενώ το σύστημα είναι απενεργοποιημένο.

Σε υπολογιστές χωρίς εγκατεστημένο το TPM 1.2, η κρυπτογράφηση BitLocker μπορεί ακόμα να χρησιμοποιηθεί για την κρυπτογράφηση της μονάδας δίσκου του λειτουργικού συστήματος. συστήματα Windows. Ωστόσο, αυτή η υλοποίηση θα απαιτούσε από τον χρήστη να εισαγάγει ένα κλειδί εκκίνησης USB για να ξεκινήσει ο υπολογιστής ή να τον αφυπνίσει από την κατάσταση αναστολής λειτουργίας και δεν παρέχει τον έλεγχο ακεραιότητας του συστήματος πριν από την εκκίνηση που παρέχεται από την κρυπτογράφηση TPM BitLocker.

Εκτός από το TPM, η κρυπτογράφηση BitLocker παρέχει τη δυνατότητα αποκλεισμού της κανονικής διαδικασίας εκκίνησης έως ότου ο χρήστης εισαγάγει έναν προσωπικό αριθμό αναγνώρισης (PIN) ή εισάγει μια αφαιρούμενη συσκευή, όπως μια μονάδα flash USB, που περιέχει το κλειδί εκκίνησης. Αυτά τα πρόσθετα μέτρα ασφαλείας παρέχουν έλεγχο ταυτότητας πολλαπλών παραγόντων και διασφαλίζουν ότι ο υπολογιστής δεν θα ξεκινήσει ή θα αφυπνιστεί μέχρι να δοθεί το σωστό PIN ή κλειδί εκκίνησης.

Έλεγχος ακεραιότητας συστήματος

Η κρυπτογράφηση BitLocker μπορεί να χρησιμοποιήσει τη μονάδα αξιόπιστης πλατφόρμας για να επαληθεύσει την ακεραιότητα των στοιχείων εκκίνησης και των δεδομένων διαμόρφωσης εκκίνησης. Αυτό βοηθά να διασφαλιστεί ότι όταν χρησιμοποιείται κρυπτογράφηση BitLocker, η κρυπτογραφημένη μονάδα δίσκου είναι προσβάσιμη μόνο εάν αυτά τα στοιχεία δεν έχουν παραβιαστεί και η κρυπτογραφημένη μονάδα είναι εγκατεστημένη στον αρχικό υπολογιστή.

Η κρυπτογράφηση BitLocker βοηθά στη διασφάλιση της ακεραιότητας της διαδικασίας εκκίνησης κάνοντας τα εξής:

• Παρέχετε έναν τρόπο επαλήθευσης της ακεραιότητας του ριζικού αρχείου και των αρχείων που χρησιμοποιούνται στα πρώτα στάδια της εκκίνησης και βεβαιωθείτε ότι δεν υπάρχουν εχθρικές αλλαγές σε αυτά τα αρχεία που θα μπορούσαν να γίνουν, για παράδειγμα, από ιούς τομέα εκκίνησης ή εργαλεία επεξεργασίας στοιχείων εκκίνησης.
• Βελτιωμένη προστασία από επιθέσεις λογισμικού όταν ο υπολογιστής είναι εκτός σύνδεσης. Οποιοδήποτε εναλλακτικό λογισμικό που μπορεί να εκτελέσει το σύστημα δεν θα έχει πρόσβαση στα κλειδιά κρυπτογράφησης για το δίσκο του λειτουργικού συστήματος Windows.
• Το σύστημα κλειδώνει κατά την αντικατάσταση ενός αρχείου. Εάν κάποιο από τα αρχεία που παρακολουθούνται έχει αντικατασταθεί, το σύστημα δεν θα ξεκινήσει. Αυτό θα ειδοποιήσει τον χρήστη για την αντικατάσταση, καθώς το σύστημα δεν θα μπορεί να ξεκινήσει κανονικά. Εάν το σύστημά σας είναι κλειδωμένο, η κρυπτογράφηση BitLocker διασφαλίζει μια απλή διαδικασία ανάκτησης.

  Απαιτήσεις υλικού, υλικολογισμικού και λογισμικού

  Για να χρησιμοποιήσετε το BitLocker, ο υπολογιστής σας πρέπει να πληροί ορισμένες απαιτήσεις.

  • Για να χρησιμοποιήσει το BitLocker τη δυνατότητα επαλήθευσης ακεραιότητας συστήματος που παρέχεται από τη μονάδα αξιόπιστης πλατφόρμας, η έκδοση 1.2 της λειτουργικής μονάδας πρέπει να είναι εγκατεστημένη στον υπολογιστή. Εάν δεν έχετε εγκατεστημένο TPM στον υπολογιστή σας, θα χρειαστεί να αποθηκεύσετε το κλειδί εκκίνησης σε μια αφαιρούμενη συσκευή, όπως μια μονάδα flash USB, όταν ενεργοποιείτε την κρυπτογράφηση BitLocker.
  • Ο υπολογιστής με το TPM πρέπει επίσης να διαθέτει BIOS που να πληροί τις προδιαγραφές της Trusted Computing Group (TCG). Το BIOS δημιουργεί μια αλυσίδα αξιοπιστίας για ενέργειες πριν από την εκκίνηση του λειτουργικού συστήματος και πρέπει να περιλαμβάνει υποστήριξη για το στατικό αντικείμενο μέτρησης αξιοπιστίας ρίζας που ορίζεται από το TCG. Για έναν υπολογιστή χωρίς TPM, το BIOS δεν χρειάζεται να συμμορφώνεται με τις προδιαγραφές TCG.
  • Το BIOS του συστήματος (για υπολογιστές με ή χωρίς TPM) πρέπει να υποστηρίζει την κατηγορία συσκευών μαζικής αποθήκευσης USB, συμπεριλαμβανομένης της ανάγνωσης μικρών αρχείων από μια συσκευή μνήμης flash USB σε ένα περιβάλλον εκκίνησης πριν από το λειτουργικό σύστημα. Για περισσότερες πληροφορίες σχετικά με το USB, ανατρέξτε στις προδιαγραφές της συσκευής αποθήκευσης. συσκευές USBκαι εντολές συσκευής αποθήκευσης UFI στον ιστότοπο USB (http://go.microsoft.com/fwlink/?LinkId=83120).
  • Ο σκληρός δίσκος πρέπει να χωρίζεται σε τουλάχιστον δύο δίσκους.
    • Ο δίσκος του λειτουργικού συστήματος (ή ο δίσκος εκκίνησης) περιέχει το λειτουργικό σύστημα και τα αρχεία που απαιτούνται για την εκτέλεσή του και πρέπει να μορφοποιηθεί με το σύστημα αρχείων NTFS.
    • Η μονάδα δίσκου συστήματος περιέχει τα αρχεία που απαιτούνται για την εκκίνηση των Windows αφού το BIOS εκκινήσει την πλατφόρμα. Η κρυπτογράφηση BitLocker δεν είναι ενεργοποιημένη για αυτήν τη μονάδα δίσκου. Για να λειτουργήσει η κρυπτογράφηση BitLocker, η μονάδα δίσκου συστήματος δεν πρέπει να είναι κρυπτογραφημένη, δεν πρέπει να είναι τόμος λειτουργικού συστήματος και πρέπει να μορφοποιηθεί ως αρχείο Σύστημα NTFS. Η χωρητικότητα του δίσκου του συστήματος πρέπει να είναι τουλάχιστον 1,5 gigabyte (GB).

  Εγκατάσταση και αρχικοποίηση

  Η κρυπτογράφηση BitLocker εγκαθίσταται αυτόματα ως μέρος της εγκατάστασης του λειτουργικού συστήματος. Ωστόσο, η κρυπτογράφηση BitLocker δεν είναι διαθέσιμη μέχρι να ενεργοποιηθεί χρησιμοποιώντας τον Οδηγό εγκατάστασης BitLocker, ο οποίος μπορεί να εκκινηθεί είτε από τον Πίνακα Ελέγχου είτε κάνοντας δεξί κλικ στη μονάδα στην Εξερεύνηση αρχείων.

  Οποιαδήποτε στιγμή μετά την εγκατάσταση και την αρχική διαμόρφωση του λειτουργικού συστήματος, ένας διαχειριστής μπορεί να χρησιμοποιήσει τον Οδηγό εγκατάστασης BitLocker για να προετοιμάσει την κρυπτογράφηση BitLocker. Η διαδικασία αρχικοποίησης αποτελείται από δύο στάδια:

  1. Σε υπολογιστές με TPM, αρχικοποιήστε το τελευταίο χρησιμοποιώντας τον Οδηγό εγκατάστασης TPM, στοιχείο του Πίνακα Ελέγχου Κρυπτογράφηση μονάδας BitLocker, ή εκτελώντας ένα σενάριο σχεδιασμένο για την προετοιμασία της λειτουργικής μονάδας.
  2. Ρυθμίστε την κρυπτογράφηση BitLocker. Από τον Πίνακα Ελέγχου, ανοίξτε τον Οδηγό εγκατάστασης BitLocker, ο οποίος σας καθοδηγεί στη διαδικασία εγκατάστασης και σας δίνει την επιλογή να διαμορφώσετε πρόσθετες επιλογές ελέγχου ταυτότητας.

  Κατά την προετοιμασία της κρυπτογράφησης BitLocker, ο τοπικός διαχειριστής θα πρέπει επίσης να δημιουργήσει έναν κωδικό πρόσβασης και ένα κλειδί ανάκτησης. Χωρίς κωδικό πρόσβασης ή κλειδί ανάκτησης, όλα τα δεδομένα σε μια κρυπτογραφημένη μονάδα δίσκου ενδέχεται να μην είναι προσβάσιμα εάν υπάρχει πρόβλημα με τη μονάδα δίσκου που προστατεύεται από BitLocker.

  Για λεπτομερείς πληροφορίες σχετικά με τη διαμόρφωση και την ανάπτυξη της κρυπτογράφησης BitLocker, ανατρέξτε στην αναλυτική περιγραφή της κρυπτογράφησης μονάδας δίσκου Windows BitLocker (http://go.microsoft.com/fwlink/?LinkID=140225).

  Εταιρική υλοποίηση

  Η κρυπτογράφηση BitLocker μπορεί να αξιοποιήσει την υπάρχουσα υποδομή υπηρεσιών τομέα Active Directory (AD DS) ενός οργανισμού για την αποθήκευση κλειδιών ανάκτησης από απόσταση. Η κρυπτογράφηση BitLocker παρέχει έναν οδηγό για τη διαμόρφωση και τη διαχείριση, καθώς και δυνατότητες επέκτασης και διαχείρισης μέσω μιας διεπαφής WMI με δυνατότητα script. Επιπλέον, η κρυπτογράφηση BitLocker παρέχει μια κονσόλα ανάκτησης ενσωματωμένη στη διαδικασία εκκίνησης για να επιτρέπει στον χρήστη ή το προσωπικό υποστήριξης να αποκτήσει ξανά πρόσβαση σε έναν κλειδωμένο υπολογιστή.

  Για περισσότερες πληροφορίες σχετικά με τη σύνταξη σεναρίων για κρυπτογράφηση BitLocker, ανατρέξτε στο Win32_EncryptableVolume (http://go.microsoft.com/fwlink/?LinkId=85983).

  Παροπλισμός και επαναχρησιμοποίηση υπολογιστή

  σχόλιο

  Σε αντίθεση με τη δημοφιλή πεποίθηση, η μνήμη DRAM, που χρησιμοποιείται στους περισσότερους σύγχρονους υπολογιστές, αποθηκεύει δεδομένα ακόμα και μετά την απενεργοποίηση του ρεύματος για αρκετά δευτερόλεπτα ή λεπτά, και αυτό συμβαίνει σε θερμοκρασία δωματίου και ακόμη και αν αφαιρεθεί το τσιπ από τη μητρική πλακέτα. Αυτός ο χρόνος είναι αρκετά αρκετός για να κάνετε μια πλήρη χωματερή μνήμη τυχαίας προσπέλασης. Θα δείξουμε ότι αυτό το φαινόμενο επιτρέπει σε έναν εισβολέα με φυσική πρόσβαση στο σύστημα να παρακάμψει τις λειτουργίες του λειτουργικού συστήματος για την προστασία των δεδομένων κρυπτογραφικού κλειδιού. Θα δείξουμε πώς μπορεί να χρησιμοποιηθεί η επανεκκίνηση για την επιτυχή επίθεση σε γνωστά συστήματα κρυπτογράφησης σκληρού δίσκου χωρίς τη χρήση εξειδικευμένου υλικού ή υλικού. Θα προσδιορίσουμε πειραματικά τον βαθμό και την πιθανότητα διατήρησης της υπολειπόμενης μαγνήτισης και θα δείξουμε ότι ο χρόνος για τον οποίο μπορούν να ληφθούν δεδομένα μπορεί να αυξηθεί σημαντικά χρησιμοποιώντας απλές τεχνικές. Θα προταθούν επίσης νέες μέθοδοι για την αναζήτηση κρυπτογραφικών κλειδιών σε θέσεις αποθήκευσης μνήμης και τη διόρθωση σφαλμάτων που σχετίζονται με την απώλεια bit. Θα συζητηθούν επίσης διάφοροι τρόποι μείωσης αυτών των κινδύνων, αλλά δεν γνωρίζουμε μια απλή λύση.

  Εισαγωγή

  Οι περισσότεροι ειδικοί υποθέτουν ότι τα δεδομένα από τη μνήμη RAM ενός υπολογιστή διαγράφονται σχεδόν αμέσως μετά την απενεργοποίηση του ρεύματος ή πιστεύουν ότι τα υπολειπόμενα δεδομένα είναι εξαιρετικά δύσκολο να ανακτηθούν χωρίς τη χρήση ειδικού εξοπλισμού. Θα δείξουμε ότι αυτές οι υποθέσεις είναι εσφαλμένες. Η συμβατική μνήμη DRAM χάνει δεδομένα σταδιακά μέσα σε μερικά δευτερόλεπτα, ακόμη και σε κανονικές θερμοκρασίες, και ακόμη και αν αφαιρεθεί το τσιπ μνήμης από τη μητρική πλακέτα, τα δεδομένα θα παραμείνουν σε αυτήν για λεπτά ή και ώρες, υπό την προϋπόθεση ότι το τσιπ αποθηκεύεται σε χαμηλές θερμοκρασίες. Τα υπολειπόμενα δεδομένα μπορούν να ανακτηθούν χρησιμοποιώντας απλές μεθόδους που απαιτούν βραχυπρόθεσμη φυσική πρόσβαση στον υπολογιστή.

  Θα δείξουμε μια σειρά από επιθέσεις που, χρησιμοποιώντας τα εφέ παραμονής της DRAM, θα μας επιτρέψουν να ανακτήσουμε τα κλειδιά κρυπτογράφησης που είναι αποθηκευμένα στη μνήμη. Αυτό αποτελεί πραγματική απειλή για τους χρήστες φορητών υπολογιστών που βασίζονται σε συστήματα κρυπτογράφησης σκληρού δίσκου. Σε τελική ανάλυση, εάν ένας εισβολέας κλέψει ένα φορητό υπολογιστή ενώ ο κρυπτογραφημένος δίσκος είναι συνδεδεμένος, θα μπορεί να πραγματοποιήσει μία από τις επιθέσεις μας για να αποκτήσει πρόσβαση στο περιεχόμενο, ακόμα κι αν ο ίδιος ο φορητός υπολογιστής είναι κλειδωμένος ή σε κατάσταση αναστολής λειτουργίας. Αυτό θα το αποδείξουμε επιτιθέμενοι επιτυχώς σε πολλά δημοφιλή συστήματα κρυπτογράφησης, όπως το BitLocker, το TrueCrypt και το FileVault. Αυτές οι επιθέσεις θα πρέπει επίσης να είναι επιτυχείς έναντι άλλων συστημάτων κρυπτογράφησης.

  Αν και έχουμε επικεντρώσει τις προσπάθειές μας σε συστήματα κρυπτογράφησης σκληρού δίσκου, εάν ένας εισβολέας έχει φυσική πρόσβαση στον υπολογιστή, οποιαδήποτε σημαντική πληροφορία είναι αποθηκευμένη στη μνήμη RAM μπορεί να γίνει στόχος επίθεσης. Είναι πιθανό ότι πολλά άλλα συστήματα ασφαλείας είναι επίσης ευάλωτα. Για παράδειγμα, ανακαλύψαμε ότι το Mac OS X αφήνει κωδικούς πρόσβασης λογαριασμού στη μνήμη, από όπου μπορέσαμε να τους εξαγάγουμε, και πραγματοποιήσαμε επίσης επιθέσεις για να αποκτήσουμε τα ιδιωτικά κλειδιά RSA του διακομιστή ιστού Apache.

  Ενώ ορισμένοι στις κοινότητες της ασφάλειας των πληροφοριών και της φυσικής ημιαγωγών γνώριζαν ήδη το φαινόμενο παραμονής στο DRAM, υπήρχαν πολύ λίγες πληροφορίες σχετικά με αυτό. Ως αποτέλεσμα, πολλοί που σχεδιάζουν, αναπτύσσουν ή χρησιμοποιούν συστήματα ασφαλείας απλά δεν είναι εξοικειωμένοι με αυτό το φαινόμενο και πόσο εύκολα μπορεί να το εκμεταλλευτεί ένας εισβολέας. Από όσο γνωρίζουμε, αυτή είναι η πρώτη λεπτομερής εργασία που εξετάζει τις συνέπειες αυτών των φαινομένων ασφάλεια πληροφοριών.

  Επιθέσεις σε κρυπτογραφημένες μονάδες δίσκου

  Η κρυπτογράφηση σκληρών δίσκων είναι μια πολύ γνωστή μέθοδος προστασίας από κλοπή δεδομένων. Πολλοί πιστεύουν ότι τα συστήματα κρυπτογράφησης σκληρού δίσκου θα προστατεύσουν τα δεδομένα τους, ακόμα κι αν ένας εισβολέας έχει αποκτήσει φυσική πρόσβαση στον υπολογιστή (στην πραγματικότητα, γι' αυτό προορίζονται, σημείωση του συντάκτη). Ένας νόμος της πολιτείας της Καλιφόρνια που ψηφίστηκε το 2002 απαιτεί την αναφορά πιθανών αποκαλύψεων προσωπικών δεδομένων μόνο εάν τα δεδομένα δεν ήταν κρυπτογραφημένα, επειδή. Πιστεύεται ότι η κρυπτογράφηση δεδομένων είναι ένα επαρκές προστατευτικό μέτρο. Αν και ο νόμος δεν περιγράφει συγκεκριμένες τεχνικές λύσεις, πολλοί ειδικοί συνιστούν τη χρήση συστημάτων κρυπτογράφησης για σκληρούς δίσκους ή διαμερίσματα, τα οποία θα θεωρηθούν επαρκή μέτρα προστασίας. Τα αποτελέσματα της έρευνάς μας έδειξαν ότι η πίστη στην κρυπτογράφηση δίσκου είναι αβάσιμη. Ένας λιγότερο έμπειρος εισβολέας μπορεί να παρακάμψει πολλά συστήματα κρυπτογράφησης που χρησιμοποιούνται συνήθως εάν κλαπεί ένας φορητός υπολογιστής με δεδομένα ενώ είναι ενεργοποιημένος ή σε κατάσταση αναστολής λειτουργίας. Και τα δεδομένα σε φορητό υπολογιστή μπορούν να διαβαστούν ακόμη και αν βρίσκονται σε κρυπτογραφημένη μονάδα δίσκου, επομένως η χρήση συστημάτων κρυπτογράφησης σκληρού δίσκου δεν είναι επαρκής μέτρηση.

  Χρησιμοποιήσαμε διάφορους τύπους επιθέσεων σε γνωστά συστήματα κρυπτογράφησης σκληρού δίσκου. Αυτό που πήρε περισσότερο χρόνο ήταν η εγκατάσταση κρυπτογραφημένων δίσκων και ο έλεγχος της ορθότητας των κλειδιών κρυπτογράφησης που εντοπίστηκαν. Η λήψη εικόνας RAM και η αναζήτηση κλειδιών χρειάστηκαν μόνο λίγα λεπτά και ήταν πλήρως αυτοματοποιημένη. Υπάρχει λόγος να πιστεύουμε ότι τα περισσότερα συστήματα κρυπτογράφησης σκληρού δίσκου είναι επιρρεπή σε παρόμοιες επιθέσεις.

  BitLocker

  Το BitLocker είναι ένα σύστημα που περιλαμβάνεται σε ορισμένες εκδόσεις του λειτουργικού συστήματος Windows Vista. Λειτουργεί ως πρόγραμμα οδήγησης που τρέχει μεταξύ του συστήματος αρχείων και του προγράμματος οδήγησης του σκληρού δίσκου, κρυπτογραφώντας και αποκρυπτογραφώντας επιλεγμένους τομείς κατά παραγγελία. Τα κλειδιά που χρησιμοποιούνται για την κρυπτογράφηση παραμένουν στη μνήμη RAM για όσο διάστημα ο κρυπτογραφημένος δίσκος είναι κρυπτογραφημένος.

  Για την κρυπτογράφηση κάθε τομέα ενός σκληρού δίσκου, το BitLocker χρησιμοποιεί το ίδιο ζεύγος κλειδιών που δημιουργήθηκε από τον αλγόριθμο AES: ένα κλειδί κρυπτογράφησης τομέα και ένα κλειδί κρυπτογράφησης που λειτουργεί σε λειτουργία αλυσιδωτής μπλοκ κρυπτογράφησης (CBC). Αυτά τα δύο κλειδιά είναι με τη σειρά τους κρυπτογραφημένα με το κύριο κλειδί. Για την κρυπτογράφηση ενός τομέα, εκτελείται η διαδικασία δυαδική προσθήκηαπλό κείμενο με κλειδί συνεδρίας που δημιουργείται με κρυπτογράφηση του byte μετατόπισης τομέα με το κλειδί κρυπτογράφησης τομέα. Στη συνέχεια, τα δεδομένα που προκύπτουν υποβάλλονται σε επεξεργασία από δύο συναρτήσεις ανάμειξης που χρησιμοποιούν τον αλγόριθμο Elephant που αναπτύχθηκε από τη Microsoft. Αυτές οι λειτουργίες χωρίς κλειδί χρησιμοποιούνται για να αυξήσουν τον αριθμό των αλλαγών σε όλα τα bit κρυπτογράφησης και, κατά συνέπεια, να αυξήσουν την αβεβαιότητα των κρυπτογραφημένων δεδομένων τομέα. Στο τελευταίο στάδιο, τα δεδομένα κρυπτογραφούνται με τον αλγόριθμο AES σε λειτουργία CBC, χρησιμοποιώντας το κατάλληλο κλειδί κρυπτογράφησης. Το διάνυσμα αρχικοποίησης καθορίζεται κρυπτογραφώντας το byte μετατόπισης τομέα με το κλειδί κρυπτογράφησης που χρησιμοποιείται στη λειτουργία CBC.

  Έχουμε εφαρμόσει μια πλήρως αυτοματοποιημένη επίθεση επίδειξης που ονομάζεται BitUnlocker. Αυτό χρησιμοποιεί μια εξωτερική μονάδα USB με λειτουργικό σύστημα Linux και έναν τροποποιημένο bootloader που βασίζεται σε SYSLINUX και το πρόγραμμα οδήγησης FUSE, το οποίο σας επιτρέπει να συνδέσετε μονάδες κρυπτογραφημένες με BitLocker σε λειτουργικό σύστημα Linux. Σε έναν δοκιμαστικό υπολογιστή με Windows Vista, η τροφοδοσία απενεργοποιήθηκε, συνδέθηκε ένας σκληρός δίσκος USB και εκκινήθηκε από αυτόν. Μετά από αυτό, το BitUnlocker πέταξε αυτόματα τη μνήμη RAM σε μια εξωτερική μονάδα δίσκου, χρησιμοποίησε το πρόγραμμα keyfind για να αναζητήσει πιθανά κλειδιά, δοκίμασε όλες τις κατάλληλες επιλογές (ζεύγη κλειδιού κρυπτογράφησης τομέα και κλειδί λειτουργίας CBC) και, εάν ήταν επιτυχές, συνέδεσε την κρυπτογραφημένη μονάδα δίσκου. Μόλις συνδεθεί ο δίσκος, έγινε δυνατή η εργασία με αυτόν όπως κάθε άλλος δίσκος. Σε ένα σύγχρονο φορητό υπολογιστή με 2 gigabyte μνήμης RAM, η διαδικασία κράτησε περίπου 25 λεπτά.

  Αξίζει να σημειωθεί ότι αυτή η επίθεση κατέστη δυνατό να πραγματοποιηθεί χωρίς αντίστροφη μηχανική οποιουδήποτε λογισμικού. Στην τεκμηρίωση της Microsoft, το σύστημα BitLocker περιγράφεται επαρκώς για να κατανοήσετε τον ρόλο του κλειδιού κρυπτογράφησης τομέα και του κλειδιού λειτουργίας CBC και να δημιουργήσετε το δικό σας πρόγραμμα που υλοποιεί ολόκληρη τη διαδικασία.

  Η κύρια διαφορά μεταξύ του BitLocker και άλλων προγραμμάτων αυτής της κατηγορίας είναι ο τρόπος αποθήκευσης των κλειδιών όταν αποσυνδέεται η κρυπτογραφημένη μονάδα δίσκου. Από προεπιλογή, στη βασική λειτουργία, το BitLocker προστατεύει το κύριο κλειδί μόνο χρησιμοποιώντας τη μονάδα TPM, η οποία υπάρχει σε πολλούς σύγχρονους υπολογιστές. Αυτή η μέθοδος, η οποία φαίνεται να χρησιμοποιείται ευρέως, είναι ιδιαίτερα ευάλωτη στην επίθεσή μας επειδή επιτρέπει τη λήψη κλειδιών κρυπτογράφησης ακόμη και αν ο υπολογιστής είναι απενεργοποιημένος για μεγάλο χρονικό διάστημα, καθώς όταν εκκινείται ο υπολογιστής, τα κλειδιά φορτώνονται αυτόματα στο RAM (πριν από το παράθυρο σύνδεσης) χωρίς να εισάγετε πληροφορίες ελέγχου ταυτότητας.

  Προφανώς, οι ειδικοί της Microsoft είναι εξοικειωμένοι με αυτό το πρόβλημα και επομένως συνιστούν τη διαμόρφωση του BitLocker σε βελτιωμένη λειτουργία, όπου τα κλειδιά προστατεύονται όχι μόνο με τη χρήση TPM, αλλά και με κωδικό πρόσβασης ή κλειδί σε εξωτερική μονάδα USB. Αλλά, ακόμη και σε αυτήν τη λειτουργία, το σύστημα είναι ευάλωτο εάν ένας εισβολέας αποκτήσει φυσική πρόσβαση στον υπολογιστή τη στιγμή που λειτουργεί (μπορεί ακόμη και να κλειδωθεί ή σε κατάσταση αναστολής λειτουργίας (κατάσταση - απλώς απενεργοποιημένη ή αδρανοποίηση σε αυτήν την περίπτωση θεωρούνται δεν είναι επιρρεπής σε αυτή την επίθεση).

  FileVault

  Το σύστημα FileVault της Apple έχει διερευνηθεί εν μέρει και αναθεωρήθηκε. Στο Mac OS X 10.4, το FileVault χρησιμοποιεί ένα κλειδί AES 128-bit σε λειτουργία CBC. Όταν εισάγεται ο κωδικός πρόσβασης χρήστη, η κεφαλίδα αποκρυπτογραφείται, που περιέχει το κλειδί AES και το δεύτερο κλειδί K2, που χρησιμοποιείται για τον υπολογισμό των διανυσμάτων προετοιμασίας. Το διάνυσμα αρχικοποίησης για το μπλοκ δίσκου Ith υπολογίζεται ως HMAC-SHA1 K2(I).

  Χρησιμοποιήσαμε το πρόγραμμα απεικόνισης EFI RAM για να ανακτήσουμε δεδομένα από Mac που βασίζεται σε Intel με συνδεδεμένη μονάδα κρυπτογραφημένης με FileVault. Μετά από αυτό, το πρόγραμμα keyfind βρήκε αυτόματα τα κλειδιά FileVault AES χωρίς σφάλματα.

  Χωρίς διάνυσμα αρχικοποίησης, αλλά με το κλειδί AES που προκύπτει, καθίσταται δυνατή η αποκρυπτογράφηση 4080 από τα 4096 byte κάθε μπλοκ δίσκου (όλα εκτός από το πρώτο μπλοκ AES). Σιγουρευτήκαμε ότι το διάνυσμα αρχικοποίησης βρίσκεται επίσης στο dump. Υποθέτοντας ότι τα δεδομένα δεν έχουν ακόμη καταστραφεί, ένας εισβολέας μπορεί να προσδιορίσει το διάνυσμα δοκιμάζοντας όλες τις συμβολοσειρές 160 bit στο dump μία προς μία και ελέγχοντας εάν μπορούν να σχηματίσουν ένα πιθανό απλό κείμενο όταν προστεθεί δυαδικό στο αποκρυπτογραφημένο πρώτο μέρος του μπλοκ . Μαζί, η χρήση προγραμμάτων όπως το vilefault, τα κλειδιά AES και ένα διάνυσμα προετοιμασίας σάς επιτρέπουν να αποκρυπτογραφήσετε πλήρως έναν κρυπτογραφημένο δίσκο.

  Κατά τη διερεύνηση του FileVault, ανακαλύψαμε ότι τα Mac OS X 10.4 και 10.5 αφήνουν πολλά αντίγραφα του κωδικού πρόσβασης του χρήστη στη μνήμη, όπου είναι ευάλωτοι σε αυτήν την επίθεση. Κωδικοί πρόσβασης λογαριασμούςχρησιμοποιούνται συχνά για την προστασία κλειδιών, τα οποία με τη σειρά τους μπορούν να χρησιμοποιηθούν για την προστασία των φράσεων πρόσβασης σε κρυπτογραφημένες μονάδες δίσκου FileVault.

  TrueCrypt

  Το TrueCrypt είναι ένα δημοφιλές σύστημα κρυπτογράφησης ανοιχτού κώδικα που τρέχει σε Windows, MacOS και Linux. Υποστηρίζει πολλούς αλγόριθμους, συμπεριλαμβανομένων των AES, Serpent και Twofish. Στην έκδοση 4, όλοι οι αλγόριθμοι λειτουργούσαν σε λειτουργία LRW. στην τρέχουσα 5η έκδοση, χρησιμοποιούν τη λειτουργία XTS. Το TrueCrypt αποθηκεύει το κλειδί κρυπτογράφησης και τροποποιεί το κλειδί στην κεφαλίδα του διαμερίσματος σε κάθε μονάδα δίσκου, το οποίο είναι κρυπτογραφημένο με διαφορετικό κλειδί που προέρχεται από τον κωδικό πρόσβασης που έχει εισαχθεί από τον χρήστη.

  Δοκιμάσαμε τα TrueCrypt 4.3a και 5.0a που εκτελούνται με λειτουργικό Linux. Συνδέσαμε τη μονάδα δίσκου, κρυπτογραφημένη με ένα κλειδί AES 256-bit, στη συνέχεια αφαιρέσαμε την τροφοδοσία και χρησιμοποιήσαμε το δικό μας λογισμικό αποθήκευσης μνήμης για την εκκίνηση. Και στις δύο περιπτώσεις, το keyfind βρήκε ένα άθικτο κλειδί κρυπτογράφησης 256-bit. Επίσης, στην περίπτωση του TrueCrypt 5.0.a, το keyfind μπόρεσε να ανακτήσει το πλήκτρο tweak της λειτουργίας XTS.

  Για να αποκρυπτογραφήσετε δίσκους που δημιουργήθηκαν από το TrueCrypt 4, πρέπει να τροποποιήσετε το κλειδί λειτουργίας LRW. Βρήκαμε ότι το σύστημα το αποθηκεύει σε τέσσερις λέξεις πριν από το πρόγραμμα κλειδιών AES. Στην χωματερή μας, το κλειδί LRW δεν ήταν κατεστραμμένο. (Εάν προέκυπταν σφάλματα, θα μπορούσαμε να ανακτήσουμε το κλειδί).

  Dm-crypt

  Ο πυρήνας Linux, ξεκινώντας με την έκδοση 2.6, περιλαμβάνει ενσωματωμένη υποστήριξη για dm-crypt, ένα υποσύστημα κρυπτογράφησης δίσκου. Το Dm-crypt χρησιμοποιεί μια ποικιλία αλγορίθμων και τρόπων λειτουργίας, αλλά από προεπιλογή χρησιμοποιεί έναν κρυπτογράφηση AES 128-bit σε λειτουργία CBC με IV που δημιουργούνται που δεν βασίζονται σε βασικές πληροφορίες.

  Δοκιμάσαμε το διαμέρισμα που δημιουργήθηκε από το dm-crypt χρησιμοποιώντας τον κλάδο LUKS (Linux Unified Key Setup) του βοηθητικού προγράμματος cryptsetup και τον πυρήνα 2.6.20. Ο δίσκος κρυπτογραφήθηκε χρησιμοποιώντας AES σε λειτουργία CBC. Κλείσαμε για λίγο την τροφοδοσία και, χρησιμοποιώντας έναν τροποποιημένο bootloader PXE, αφαιρέσαμε τη μνήμη. Το πρόγραμμα keyfind εντόπισε ένα σωστό κλειδί AES 128-bit, το οποίο ανακτήθηκε χωρίς σφάλματα. Αφού αποκατασταθεί, ο εισβολέας μπορεί να αποκρυπτογραφήσει και να προσαρτήσει το κρυπτογραφημένο διαμέρισμα dm-crypt τροποποιώντας το βοηθητικό πρόγραμμα cryptsetup έτσι ώστε να δέχεται τα κλειδιά στην απαιτούμενη μορφή.

  Μέθοδοι προστασίας και περιορισμοί τους

  Η εφαρμογή προστασίας από επιθέσεις στη μνήμη RAM δεν είναι ασήμαντη, καθώς τα κρυπτογραφικά κλειδιά που χρησιμοποιούνται πρέπει να αποθηκευτούν κάπου. Προτείνουμε να εστιάσετε τις προσπάθειες για την καταστροφή ή την απόκρυψη κλειδιών προτού ένας εισβολέας αποκτήσει φυσική πρόσβαση στον υπολογιστή, αποτρέποντας την εκτέλεση του λογισμικού αποθήκευσης RAM, προστατεύοντας φυσικά τα τσιπ RAM και μειώνοντας τη διάρκεια ζωής των δεδομένων RAM όταν είναι δυνατόν.

  Μνήμη αντικατάστασης

  Πρώτα απ 'όλα, θα πρέπει όποτε είναι δυνατόν να αποφεύγετε την αποθήκευση κλειδιών στη μνήμη RAM. Πρέπει να αντικαταστήσετε τις βασικές πληροφορίες όταν δεν χρησιμοποιούνται πλέον και να αποτρέψετε την αντιγραφή δεδομένων σε αρχεία σελίδας. Η μνήμη πρέπει να εκκαθαριστεί εκ των προτέρων χρησιμοποιώντας εργαλεία λειτουργικού συστήματος ή πρόσθετες βιβλιοθήκες. Φυσικά, αυτά τα μέτρα δεν θα προστατεύσουν τα κλειδιά που χρησιμοποιούνται αυτήν τη στιγμή, καθώς πρέπει να αποθηκεύονται στη μνήμη, όπως τα κλειδιά που χρησιμοποιούνται για κρυπτογραφημένους δίσκους ή σε ασφαλείς διακομιστές Ιστού.

  Επίσης, η μνήμη RAM πρέπει να εκκαθαριστεί κατά τη διαδικασία εκκίνησης. Μερικοί υπολογιστές μπορούν να ρυθμιστούν ώστε να εκκαθαρίζουν τη μνήμη RAM κατά την εκκίνηση χρησιμοποιώντας ένα εργαλείο καθαρισμού. Αίτημα POST(Power-on Self-Test) πριν από τη φόρτωση του λειτουργικού συστήματος. Εάν ένας εισβολέας δεν μπορεί να αποτρέψει την εκτέλεση αυτού του αιτήματος, τότε σε αυτόν τον υπολογιστή δεν θα μπορεί να κάνει μια ένδειξη μνήμης με σημαντικές πληροφορίες. Ωστόσο, έχει ακόμα την ευκαιρία να αφαιρέσει τα τσιπ RAM και να τα τοποθετήσει σε άλλο υπολογιστή με τις ρυθμίσεις του BIOS που χρειάζεται.

  Περιορισμός λήψης από το δίκτυο ή από αφαιρούμενα μέσα

  Πολλές από τις επιθέσεις μας πραγματοποιήθηκαν χρησιμοποιώντας λήψεις μέσω του δικτύου ή από αφαιρούμενα μέσα. Ο υπολογιστής πρέπει να έχει ρυθμιστεί ώστε να απαιτεί κωδικό πρόσβασης διαχειριστή για εκκίνηση από αυτές τις πηγές. Ωστόσο, θα πρέπει να σημειωθεί ότι ακόμα κι αν το σύστημα έχει ρυθμιστεί να εκκινεί μόνο από τον κύριο σκληρό δίσκο, ένας εισβολέας μπορεί να αλλάξει τον ίδιο τον σκληρό δίσκο ή σε πολλές περιπτώσεις, να επαναφέρει τη NVRAM του υπολογιστή για να επιστρέψει στις αρχικές ρυθμίσεις του BIOS.

  Ασφαλής λειτουργία ύπνου

  Τα αποτελέσματα της μελέτης έδειξαν ότι το απλό κλείδωμα της επιφάνειας εργασίας του υπολογιστή (δηλαδή, το λειτουργικό σύστημα συνεχίζει να λειτουργεί, αλλά για να αρχίσετε να αλληλεπιδράτε μαζί του πρέπει να εισαγάγετε έναν κωδικό πρόσβασης) δεν προστατεύει τα περιεχόμενα της μνήμης RAM. Η κατάσταση αδρανοποίησης δεν είναι επίσης αποτελεσματική εάν ο υπολογιστής είναι κλειδωμένος όταν επιστρέφει από την κατάσταση αναστολής λειτουργίας, καθώς ένας εισβολέας μπορεί να ενεργοποιήσει την επιστροφή από την κατάσταση αναστολής λειτουργίας, στη συνέχεια να επανεκκινήσει τον φορητό υπολογιστή και να αφαιρέσει τη μνήμη. Η κατάσταση αδρανοποίησης (τα περιεχόμενα της μνήμης RAM αντιγράφονται στον σκληρό δίσκο) επίσης δεν θα βοηθήσει, εκτός από περιπτώσεις χρήσης βασικών πληροφοριών σε αλλοτριωμένα μέσα για την αποκατάσταση της κανονικής λειτουργίας.

  Στα περισσότερα συστήματα κρυπτογράφησης σκληρού δίσκου, οι χρήστες μπορούν να προστατευτούν απενεργοποιώντας τον υπολογιστή. (Το σύστημα Bitlocker στον βασικό τρόπο λειτουργίας της μονάδας TPM παραμένει ευάλωτο, αφού ο δίσκος θα συνδεθεί αυτόματα όταν ο υπολογιστής είναι ενεργοποιημένος). Τα περιεχόμενα της μνήμης ενδέχεται να παραμείνουν για ένα μικρό χρονικό διάστημα μετά την αποσύνδεση, επομένως συνιστάται να παρακολουθείτε τον σταθμό εργασίας σας για μερικά ακόμη λεπτά. Παρά την αποτελεσματικότητά του, αυτό το μέτρο είναι εξαιρετικά άβολο λόγω του μεγάλου χρόνου φόρτωσης των σταθμών εργασίας.

  Η μετάβαση σε κατάσταση αναστολής λειτουργίας μπορεί να διασφαλιστεί με τους ακόλουθους τρόπους: απαιτείται κωδικός πρόσβασης ή άλλο μυστικό για να «ξυπνήσει» ο σταθμός εργασίας και κρυπτογραφήστε τα περιεχόμενα της μνήμης με ένα κλειδί που προέρχεται από αυτόν τον κωδικό πρόσβασης. Ο κωδικός πρόσβασης πρέπει να είναι ισχυρός, καθώς ένας εισβολέας μπορεί να κάνει μια ένδειξη μνήμης και στη συνέχεια να προσπαθήσει να μαντέψει τον κωδικό πρόσβασης με ωμή βία. Εάν δεν είναι δυνατή η κρυπτογράφηση ολόκληρης της μνήμης, πρέπει να κρυπτογραφήσετε μόνο εκείνες τις περιοχές που περιέχουν βασικές πληροφορίες. Ορισμένα συστήματα ενδέχεται να έχουν ρυθμιστεί ώστε να εισέρχονται σε αυτόν τον τύπο προστατευμένης λειτουργίας ύπνου, αν και αυτή δεν είναι συνήθως η προεπιλεγμένη ρύθμιση.

  Αποφυγή προ-υπολογισμών

  Η έρευνά μας έδειξε ότι η χρήση προυπολογισμού για την επιτάχυνση των κρυπτογραφικών λειτουργιών καθιστά τις βασικές πληροφορίες πιο ευάλωτες. Οι προ-υπολογισμοί έχουν ως αποτέλεσμα περιττές πληροφορίες σχετικά με τα βασικά δεδομένα που εμφανίζονται στη μνήμη, γεγονός που επιτρέπει στον εισβολέα να ανακτήσει τα κλειδιά ακόμη και αν υπάρχουν σφάλματα. Για παράδειγμα, όπως περιγράφεται στην Ενότητα 5, οι πληροφορίες σχετικά με τα επαναληπτικά κλειδιά των αλγορίθμων AES και DES είναι εξαιρετικά περιττές και χρήσιμες για έναν εισβολέα.

  Το να μην κάνετε προ-υπολογισμούς θα μειώσει την απόδοση επειδή θα πρέπει να επαναληφθούν δυνητικά περίπλοκοι υπολογισμοί. Αλλά, για παράδειγμα, μπορείτε να αποθηκεύσετε τις προυπολογισμένες τιμές για μια ορισμένη χρονική περίοδο και να διαγράψετε τα δεδομένα που λάβατε εάν δεν χρησιμοποιηθούν κατά τη διάρκεια αυτού του διαστήματος. Αυτή η προσέγγιση αντιπροσωπεύει μια αντιστάθμιση μεταξύ ασφάλειας και απόδοσης συστήματος.

  Επέκταση κλειδιού

  Ένας άλλος τρόπος για να αποτρέψετε την ανάκτηση κλειδιού είναι να αλλάξετε τις βασικές πληροφορίες που είναι αποθηκευμένες στη μνήμη με τέτοιο τρόπο ώστε να καθίσταται πιο δύσκολη η ανάκτηση του κλειδιού λόγω διαφόρων σφαλμάτων. Αυτή η μέθοδος έχει συζητηθεί στη θεωρία, όπου έχει παρουσιαστεί μια συνάρτηση ανθεκτική στην ανακάλυψη, της οποίας οι είσοδοι παραμένουν κρυφές ακόμα κι αν έχουν ανακαλυφθεί σχεδόν όλες οι έξοδοι, όπως ακριβώς η λειτουργία των μονόδρομων συναρτήσεων.

  Στην πράξη, φανταστείτε ότι έχουμε ένα κλειδί AES 256-bit K που δεν χρησιμοποιείται αυτήν τη στιγμή αλλά θα χρειαστεί αργότερα. Δεν μπορούμε να το αντικαταστήσουμε, αλλά θέλουμε να το κάνουμε ανθεκτικό στις προσπάθειες ανάκτησης. Ένας τρόπος για να επιτευχθεί αυτό είναι να εκχωρήσετε μια μεγάλη περιοχή δεδομένων B-bit, να την γεμίσετε με τυχαία δεδομένα R και στη συνέχεια να αποθηκεύσετε στη μνήμη το αποτέλεσμα του ακόλουθου μετασχηματισμού K+H(R) (δυαδική άθροιση, σημείωση συντάκτη), όπου H είναι μια συνάρτηση κατακερματισμού, όπως το SHA-256.

  Τώρα φανταστείτε ότι η τροφοδοσία ήταν απενεργοποιημένη, αυτό θα είχε ως αποτέλεσμα την αλλαγή των d bits σε αυτήν την περιοχή. Εάν η συνάρτηση κατακερματισμού είναι ισχυρή, όταν προσπαθεί να ανακτήσει το κλειδί K, ο εισβολέας μπορεί να βασιστεί μόνο στο ότι θα μπορέσει να μαντέψει ποια κομμάτια της περιοχής Β άλλαξαν από τα περίπου μισά που θα μπορούσαν να έχουν αλλάξει. Εάν τα bit d έχουν αλλάξει, ο εισβολέας θα πρέπει να αναζητήσει μια περιοχή μεγέθους (B/2+d)/d για να βρει τις σωστές τιμές του R και στη συνέχεια να ανακτήσει το κλειδί K. Εάν η περιοχή Β είναι μεγάλη, π. μια αναζήτηση μπορεί να είναι πολύ μεγάλη, ακόμα κι αν το d είναι σχετικά μικρό

  Θεωρητικά, θα μπορούσαμε να αποθηκεύσουμε όλα τα κλειδιά με αυτόν τον τρόπο, υπολογίζοντας κάθε κλειδί μόνο όταν το χρειαζόμαστε και διαγράφοντας το όταν δεν το χρειαζόμαστε. Έτσι, χρησιμοποιώντας την παραπάνω μέθοδο, μπορούμε να αποθηκεύσουμε τα κλειδιά στη μνήμη.

  Φυσική προστασία

  Ορισμένες από τις επιθέσεις μας βασίστηκαν στη φυσική πρόσβαση σε τσιπ μνήμης. Τέτοιες επιθέσεις μπορούν να αποφευχθούν με προστασία φυσικής μνήμης. Για παράδειγμα, οι μονάδες μνήμης βρίσκονται σε κλειστή θήκη υπολογιστή ή είναι σφραγισμένες με εποξειδική κόλλα για να αποτρέπονται προσπάθειες αφαίρεσης ή πρόσβασης σε αυτές. Μπορείτε επίσης να εφαρμόσετε τη διαγραφή μνήμης ως απόκριση σε χαμηλές θερμοκρασίες ή προσπάθειες ανοίγματος της θήκης. Αυτή η μέθοδος θα απαιτήσει την εγκατάσταση αισθητήρων με ανεξάρτητο σύστημα τροφοδοσίας. Πολλές από αυτές τις μεθόδους περιλαμβάνουν υλικό ανθεκτικό σε παραβίαση (όπως ο συνεπεξεργαστής IBM 4758) και μπορούν να αυξήσουν σημαντικά το κόστος του σταθμού εργασίας. Από την άλλη πλευρά, η χρήση μνήμης που είναι συγκολλημένη στη μητρική πλακέτα θα είναι πολύ φθηνότερη.

  Αλλαγή αρχιτεκτονικής

  Μπορείτε να αλλάξετε την αρχιτεκτονική του υπολογιστή. Αυτό είναι αδύνατο για ήδη χρησιμοποιημένους υπολογιστές, αλλά θα σας επιτρέψει να εξασφαλίσετε νέους.

  Η πρώτη προσέγγιση είναι να σχεδιάσουμε μονάδες DRAM έτσι ώστε να διαγράφουν όλα τα δεδομένα πιο γρήγορα. Αυτό μπορεί να είναι δύσκολο επειδή ο στόχος της διαγραφής δεδομένων όσο το δυνατόν γρηγορότερα έρχεται σε σύγκρουση με τον άλλο στόχο της διατήρησης της απώλειας δεδομένων μεταξύ των περιόδων ανανέωσης μνήμης.

  Μια άλλη προσέγγιση είναι η προσθήκη υλικού αποθήκευσης βασικών πληροφοριών που είναι εγγυημένο ότι θα διαγράφει όλες τις πληροφορίες από την αποθήκευσή του κατά την εκκίνηση, την επανεκκίνηση και τον τερματισμό λειτουργίας. Με αυτόν τον τρόπο, θα έχουμε ένα ασφαλές μέρος για την αποθήκευση πολλών κλειδιών, αν και η ευπάθεια που σχετίζεται με τον προ-υπολογισμό τους θα παραμείνει.

  Άλλοι ειδικοί έχουν προτείνει μια αρχιτεκτονική στην οποία τα περιεχόμενα της μνήμης θα κρυπτογραφούνται μόνιμα. Εάν, εκτός από αυτό, εφαρμόσουμε διαγραφή κλειδιών κατά την επανεκκίνηση και διακοπή ρεύματος, τότε αυτή η μέθοδος θα παρέχει επαρκή προστασία από τις επιθέσεις που περιγράψαμε.

  Αξιόπιστη Υπολογιστική

  Υλικό που αντιστοιχεί στην έννοια του "αξιόπιστου υπολογισμού", για παράδειγμα, με τη μορφή μονάδων TPM, χρησιμοποιείται ήδη σε ορισμένους υπολογιστές. Αν και είναι χρήσιμος για την προστασία από ορισμένες επιθέσεις, στην τρέχουσα μορφή του, τέτοιος εξοπλισμός δεν βοηθά στην πρόληψη των επιθέσεων που περιγράφουμε.

  Οι λειτουργικές μονάδες TPM που χρησιμοποιούνται δεν εφαρμόζουν πλήρη κρυπτογράφηση. Αντίθετα, παρατηρούν τη διαδικασία εκκίνησης για να αποφασίσουν εάν είναι ασφαλές να φορτωθεί το κλειδί στη μνήμη RAM ή όχι. Εάν το λογισμικό χρειάζεται να χρησιμοποιήσει ένα κλειδί, τότε μπορεί να εφαρμοστεί η ακόλουθη τεχνολογία: το κλειδί, σε χρησιμοποιήσιμη μορφή, δεν θα αποθηκευτεί στη μνήμη RAM έως ότου η διαδικασία εκκίνησης προχωρήσει όπως αναμένεται. Μόλις όμως το κλειδί βρίσκεται στη μνήμη RAM, γίνεται αμέσως στόχος των επιθέσεων μας. Τα TPM μπορούν να αποτρέψουν τη φόρτωση ενός κλειδιού στη μνήμη, αλλά δεν εμποδίζουν την ανάγνωσή του από τη μνήμη.

  συμπεράσματα

  Σε αντίθεση με τη δημοφιλή πεποίθηση, οι μονάδες DRAM αποθηκεύουν δεδομένα για σχετικά μεγάλο χρονικό διάστημα όταν είναι απενεργοποιημένα. Τα πειράματά μας έχουν δείξει ότι αυτό το φαινόμενο επιτρέπει μια ολόκληρη κατηγορία επιθέσεων που μπορούν να λάβουν ευαίσθητα δεδομένα, όπως κλειδιά κρυπτογράφησης, από τη μνήμη RAM, παρά τις προσπάθειες του λειτουργικού συστήματος να προστατεύσει το περιεχόμενό της. Οι επιθέσεις που περιγράψαμε μπορούν να εφαρμοστούν στην πράξη και τα παραδείγματα επιθέσεων μας σε δημοφιλή συστήματα κρυπτογράφησης το αποδεικνύουν.

  Αλλά και άλλοι τύποι λογισμικού είναι επίσης ευάλωτοι. Τα συστήματα διαχείρισης ψηφιακών δικαιωμάτων (DRM) χρησιμοποιούν συχνά συμμετρικά κλειδιά που είναι αποθηκευμένα στη μνήμη και αυτά μπορούν επίσης να ληφθούν χρησιμοποιώντας τις μεθόδους που περιγράφονται. Όπως έχουμε δείξει, οι διακομιστές ιστού με δυνατότητα SSL είναι επίσης ευάλωτοι επειδή αποθηκεύονται στη μνήμη ιδιωτικά κλειδιάαπαραίτητο για τη δημιουργία συνεδριών SSL. Οι τεχνικές αναζήτησης βασικών πληροφοριών που διαθέτουμε είναι πιθανό να είναι αποτελεσματικές για την εύρεση κωδικών πρόσβασης, αριθμών λογαριασμού και οποιασδήποτε άλλης ευαίσθητης πληροφορίας που είναι αποθηκευμένη στη μνήμη RAM.

  Φαίνεται ότι δεν υπάρχει εύκολος τρόπος για να διορθώσετε τα τρωτά σημεία που βρέθηκαν. Η αλλαγή λογισμικού πιθανότατα δεν θα είναι αποτελεσματική. Οι αλλαγές υλικού θα βοηθήσουν, αλλά το κόστος χρόνου και πόρων θα είναι υψηλό. Η αξιόπιστη τεχνολογία υπολογιστών στην τρέχουσα μορφή της είναι επίσης αναποτελεσματική επειδή δεν μπορεί να προστατεύσει τα κλειδιά που βρίσκονται στη μνήμη.

  Κατά τη γνώμη μας, οι φορητοί υπολογιστές που βρίσκονται συχνά και λειτουργούν σε λειτουργίες ευάλωτες σε αυτές τις επιθέσεις είναι πιο επιρρεπείς σε αυτόν τον κίνδυνο. Η παρουσία τέτοιων κινδύνων δείχνει ότι η κρυπτογράφηση δίσκου προστατεύει σημαντικά δεδομένα σε μικρότερο βαθμό από ό,τι πιστεύεται συνήθως.

  Ως αποτέλεσμα, ίσως χρειαστεί να θεωρήσετε τη μνήμη DRAM ως μη αξιόπιστο στοιχείο ενός σύγχρονου υπολογιστή και να αποφύγετε την επεξεργασία σημαντικών εμπιστευτικών πληροφοριών

Αυτός είναι ο μόνος αξιόπιστος τρόπος προστασίας των πληροφοριών σε συνθήκες όπου η φυσική πρόσβαση στον υπολογιστή είναι δυνατή για μη εξουσιοδοτημένα άτομα. Ένας κωδικός πρόσβασης για την εκκίνηση οποιουδήποτε λειτουργικού συστήματος - Windows, Linux ή Mac OS - μπορεί να σας σώσει μόνο από παιδιά. Οποιοσδήποτε ειδικός μπορεί να παρακάμψει την προστασία με κωδικό πρόσβασης σε λίγα λεπτά - περίπου τον ίδιο χρόνο που χρειάζεται για να τοποθετήσετε μια μονάδα flash σε έναν υπολογιστή και να φορτώσετε το λειτουργικό σας σύστημα από αυτήν.

Αλλά τα κρυπτογραφημένα δεδομένα είναι πολύ πιο δύσκολο να ανοίξουν. Ή ακόμα και αδύνατο χωρίς ψηφιακό κλειδί ή φράση πρόσβασης. Φυσικά, υπάρχουν διαφορετικοί αλγόριθμοι κρυπτογράφησης και μέσα σε αυτούς τους αλγόριθμους υπάρχουν διαφορετικές παραμέτρους- όλα αυτά επηρεάζουν την αντίσταση στο hacking. Όταν χρησιμοποιείτε αδύναμους αλγόριθμους ή ευάλωτες παραμέτρους, μπορείτε να αποκτήσετε πρόσβαση σε κρυπτογραφημένα αρχεία και φακέλους. Αλλά γενικά, μπορούμε να υποθέσουμε ότι η κρυπτογράφηση είναι αξιόπιστη προστασία δεδομένων.

Ο πιο συνηθισμένος τρόπος προστασίας δεδομένων είναι η κρυπτογράφηση αρχείων. Ένας κρυπτογραφημένος φάκελος δημιουργείται στο δίσκο και εγγράφονται αρχεία σε αυτόν. Θεωρητικά, αυτό είναι αξιόπιστο εάν χρησιμοποιείται ο αλγόριθμος AES, τα κλειδιά είναι μεγάλα. Ωστόσο, παραμένει μια αφανής ευπάθεια των δεδομένων με αυτήν τη μέθοδο κρυπτογράφησης. Το γεγονός είναι ότι το λειτουργικό σύστημα παραμένει απροστάτευτο. Και αυτό δίνει στον εισβολέα την ευκαιρία να εγκαταστήσει ένα ειδικό πρόγραμμα στο σύστημα (keylogger, rootkit) το οποίο θα ξεκινήσει όταν ξεκινήσει το λειτουργικό σύστημα και θα παρακολουθεί τις ενέργειες του χρήστη και έτσι αργά ή γρήγορα ο εισβολέας θα λάβει έναν κωδικό πρόσβασης ή ένα αρχείο κλειδιού για πρόσβαση κρυπτογραφημένους φακέλους και αρχεία. Ή θα είναι σε θέση να αποκτήσει μόνο του αυτά τα δεδομένα αφού ο χρήστης ανοίξει το κρυπτογραφημένο αρχείο.

Αυτό σημαίνει ότι η πραγματικά ισχυρή προστασία δεδομένων σε έναν δίσκο περιλαμβάνει την κρυπτογράφηση όχι μεμονωμένων αρχείων και φακέλων, αλλά ολόκληρου του διαμερίσματος. Επιπλέον, για αξιόπιστη προστασία, είναι απαραίτητη η κρυπτογράφηση ολόκληρου του δίσκου. Τίποτα δεν πρέπει να παραμένει «στην επιφάνεια». Αυτό το άρθρο θα παρέχει οδηγίες για το πώς να δημιουργήσετε ένα κρυπτογραφημένο διαμέρισμα συστήματος και δίσκο στο Linux Ubuntu.

Το κρυπτογραφημένο σύστημα αρχείων στο Linux υποστηρίζεται σε επίπεδο πυρήνα λειτουργικού συστήματος. Δηλαδή, δεν χρειάζεται να αναζητήσετε φανταχτερά κρυπτογραφικά προγράμματα και, επιπλέον, η χρήση κρυπτογραφημένων κατατμήσεων Linux είναι διαφανής - ο χρήστης δεν χρειάζεται να γνωρίζει τίποτα για την κρυπτογράφηση και δεν χρειάζεται να κάνει τίποτα για να κρυπτογραφήσει τα αρχεία και τους φακέλους του .

Για να δημιουργήσετε ένα αξιόπιστο κρυπτογραφημένο σύστημα για Linux, πρέπει να κατανοήσετε ποια μέρη του συστήματος πρέπει να προστατεύονται. Υπάρχουν τέσσερα από αυτά:

• Περιοχή συστήματος - συμβολίζεται ως ρίζαή / .
• Περιοχή εκκίνησης - σημειώνεται ως /μπότα ρίζαμε τη μορφή φακέλου.
• Περιοχή δεδομένων χρήστη - σημειώνεται ως /Σπίτι. Μπορεί να βρίσκεται σε ξεχωριστό διαμέρισμα ή σε διαμέρισμα ρίζαμε τη μορφή φακέλου.
• Περιοχή εικονικής μνήμης - συμβολίζεται ως ανταλαγή. Τις περισσότερες φορές βρίσκεται σε ξεχωριστό διαμέρισμα, αλλά μπορεί να βρίσκεται σε ένα διαμέρισμα ρίζαως αρχείο.

Όλες αυτές οι περιοχές πρέπει να προστατευθούν.

Το άρθρο θα συζητήσει μια απλοποιημένη διαμόρφωση - ανταλαγήΚαι /μπότασε ξεχωριστές ενότητες και ρίζαΚαι /Σπίτισυνδυάζονται σε ένα τμήμα. Αλλά για πιο περίπλοκες περιπτώσεις, η τεχνολογία προστασίας θα είναι η ίδια.

Με κρυπτογράφηση περιοχής root, swapΚαι /Σπίτιδεν υπάρχουν δυσκολίες, αλλά με προστασία /μπόταΥπάρχει ένα πρόβλημα. Το γεγονός είναι ότι από αυτήν την περιοχή ο φορτωτής εκκίνησης συστήματος εκκινεί το initrd και τον πυρήνα Linux. Εάν αυτή η περιοχή είναι κρυπτογραφημένη, τότε ο bootloader δεν θα μπορεί να ξεκινήσει τον πυρήνα και, κατά συνέπεια, η εκκίνηση του λειτουργικού συστήματος θα είναι αδύνατη. Κρυπτογραφήστε δηλαδή /μπόταείναι αδύνατο, αλλά είναι επίσης αδύνατο να το αφήσετε ανοιχτό, γιατί σε αυτήν την περίπτωση θα είναι δυνατή η αντικατάσταση του πυρήνα με έναν άλλο που περιέχει κακόβουλο κώδικα που θα υποκλέψει τον κωδικό πρόσβασης για την αποκρυπτογράφηση του δίσκου..

Η λύση είναι να τοποθετήσετε ένα τμήμα /μπότασε αφαιρούμενα μέσα, σε μονάδα flash. Η μονάδα flash θα είναι ένα είδος ηλεκτρονικού κλειδιού στο σύστημα. Χωρίς αυτό, η εκτέλεση του λειτουργικού συστήματος από έναν κρυπτογραφημένο δίσκο θα είναι αδύνατη. Δηλαδή προστασία κατάτμησης /μπόταπραγματοποιείται σε φυσικό επίπεδο - αφαιρώντας το από τον υπολογιστή.

Έτσι, το γενικό σύστημα προστασίας έχει ως εξής:

• Ενότητες root, swapΚαι /Σπίτιβρίσκεται σε έναν πλήρως κρυπτογραφημένο σκληρό δίσκο.
• Κεφάλαιο /μπόταβρίσκεται σε αφαιρούμενα μέσα.

Η κρυπτογραφημένη εγκατάσταση του Ubuntu θα πραγματοποιηθεί χρησιμοποιώντας το Ubuntu Live. Γιατί Live; Εξάλλου, η εναλλακτική διανομή σας επιτρέπει να κάνετε το ίδιο χωρίς να χορεύετε με ντέφι, υπάρχουν επιλογές κρυπτογράφησης στο πρόγραμμα εγκατάστασης. Προσωπικά, δεν μου αρέσει το γεγονός ότι το Alternate είναι αποκλειστικά διανομή εγκατάστασης και δεν μπορεί να χρησιμοποιηθεί με κανέναν άλλο τρόπο - ούτε για διαγνωστικά ούτε για εργασία. Επιπλέον, το εναλλακτικό πρόγραμμα εγκατάστασης λειτουργεί στην κονσόλα, και αυτό είναι κάπως αρχαϊκό στον 21ο αιώνα. Λοιπόν, Live.

Αυτή η οδηγία ισχύει για δύο εκδόσεις LTS 10.04 και 12.04, και στις δύο περιπτώσεις όλα γίνονται με τον ίδιο τρόπο. Αν και έχει δοκιμαστεί στην πράξη μόνο σε αυτές τις δύο εκδόσεις, θα πρέπει να λειτουργεί και σε άλλες.

Μετά τη λήψη στο Live, θα χρειαστείτε σύνδεση στο Διαδίκτυο, επειδή οι εκδόσεις Live δεν διαθέτουν το πακέτο lvm2 - θα πρέπει να το κατεβάσετε και να το εγκαταστήσετε. Έτσι, οι οδηγίες είναι βήμα προς βήμα.

Εγκατάσταση LVM

Δημιουργήστε μια σύνδεση στο Διαδίκτυο. Στη συνέχεια εκτελέστε δύο εντολές:

ενημέρωση sudo apt-get
sudo apt-get εγκατάσταση lvm2

Μπορείτε να κάνετε λήψη εκ των προτέρων, να γράψετε σε μια μονάδα flash ή στο δίσκο τα πακέτα libdevmapper-event, lvm2, watershed και στη συνέχεια να τα εγκαταστήσετε με την εντολή dpkg. Αλλά το Διαδίκτυο θα εξακολουθεί να απαιτείται στο τελικό στάδιο.

Προετοιμασία του σκληρού δίσκου και της μονάδας flash

Πρέπει να δημιουργήσετε ένα κενό διαμέρισμα στον σκληρό σας δίσκο που δεν είναι χωρισμένο στο σύστημα αρχείων. Η μορφή του δίσκου μπορεί να είναι MS-DOS ή GPT - δεν έχει σημασία. Αυτή η ενότητα θα χρησιμεύσει ως κοντέινερ κρυπτογράφησης.

Πρέπει επίσης να δημιουργήσετε ένα διαμέρισμα στη μονάδα flash, αλλά με σύστημα αρχείων Ext3.

Κρυπτογράφηση του δίσκου συστήματος

Η κρυπτογράφηση ενός ολόκληρου διαμερίσματος σε έναν σκληρό δίσκο γίνεται με την εντολή:

sudo cryptsetup --cipher aes-xts-plain --key-size 512 --verify-passphrase luksFormat /dev/sda1

Σημαντική σημείωση.

Αυτή η εντολή θα εκδώσει ένα αίτημα και για να το επιβεβαιώσετε πρέπει να εισαγάγετε τη λέξη YES, ακριβώς έτσι, με κεφαλαία γράμματα. Αυτό το αίτημα υποβάλλεται για να βεβαιωθείτε ότι το πληκτρολόγιό σας είναι ενεργοποιημένο. αγγλική γλώσσα! Μετά από αυτό, θα χρειαστεί να εισαγάγετε τη φράση πρόσβασης δύο φορές. Αυτή η φράση πρέπει να είναι μεγάλη και δεν πρέπει να περιέχει χαρακτήρες που επαναλαμβάνονται συχνά. Στην ιδανική περίπτωση, αυτό θα πρέπει να είναι ένα τυχαίο σύνολο γραμμάτων και αριθμών. Είναι καλύτερα να καταλήξετε σε αυτήν τη φράση εκ των προτέρων, ακόμη και πριν ξεκινήσετε τις εργασίες για τη δημιουργία του συστήματος.

Όταν εισάγετε μια φράση κλειδί, δεν θα εμφανίζονται χαρακτήρες στο τερματικό, επομένως πρέπει να πληκτρολογήσετε προσεκτικά. Αλλά η φράση θα ζητηθεί δύο φορές, οπότε αν κάνετε λάθος, το πρόγραμμα θα το αναφέρει.

Αφού δημιουργήσετε με επιτυχία ένα κοντέινερ κρυπτογράφησης, για περαιτέρω εργασία πρέπει να συνδέσετε αυτόν τον κρυπτογραφημένο δίσκο:

sudo cryptsetup luksOpen /dev/sda1 κρυπτογραφημένο

Αυτή η εντολή θα σας ζητήσει τη φράση πρόσβασης που εισαγάγατε στην προηγούμενη εντολή.

Δημιουργία κρυπτογραφημένων κατατμήσεων

Το επόμενο στάδιο είναι η δημιουργία κρυπτογραφημένων τμημάτων μέσα στο κοντέινερ κρυπτογράφησης LUKS. Ο μηχανισμός LVM χρησιμοποιείται για τη δημιουργία αυτών των κατατμήσεων.

sudo pvcreate /dev/mapper/crypted
sudo vgcreate ubuntu /dev/mapper/crypted
sudo lvcreate -L 2600M -n swap ubuntu
ssudo lvcreate -l 100% ΔΩΡΕΑΝ -n root ubuntu
sudo mkswap /dev/mapper/ubuntu-swap
sudo mkfs.ext3 /dev/mapper/ubuntu-root

Σημείωση.

Το μέγεθος του διαμερίσματος swap θα πρέπει να είναι περίπου 30% μεγαλύτερο από το μέγεθος της μνήμης RAM. Το ριζικό διαμέρισμα είναι τουλάχιστον 5-7 Gigabyte.

Εγκατάσταση του Ubuntu σε κρυπτογραφημένη μονάδα δίσκου

Αφού δημιουργήσετε τα κρυπτογραφημένα διαμερίσματα, πρέπει να εκτελέσετε το πρόγραμμα εγκατάστασης, η συντόμευση του οποίου βρίσκεται στην επιφάνεια εργασίας. Η εγκατάσταση είναι κανονική, είναι σημαντικό μόνο να αποπροσαρτήσετε τη μονάδα flash όπου θα γραφτεί το /boot πριν εκτελέσετε το πρόγραμμα εγκατάστασης και να καθορίσετε σωστά τα διαμερίσματα για εγκατάσταση.

Πρέπει να απαντήσετε "Ναι" σε αυτό το αίτημα. Αυτή είναι μια μονάδα flash όπου θα χρειαστεί να εγκαταστήσετε το διαμέρισμα /boot. Αυτό το αίτημα θα εκδοθεί εάν ξεχάσετε να αποσυνδέσετε τη μονάδα flash πριν εκτελέσετε το πρόγραμμα εγκατάστασης.

Και συνδέστε τα τμήματα ως εξής:

Κρυπτογραφημένα διαμερίσματα για Εγκαταστάσεις Ubuntuαυτό είναι /dev/mapper/ubunu-root, /dev/mapper/ubunu-swap. Το διαμέρισμα /boot στη μονάδα flash (αυτό είναι sdb1).

Στο παράθυρο του προγράμματος εγκατάστασης, στο βήμα 8, πρέπει να κάνετε κλικ στο κουμπί "Για προχωρημένους" και να βεβαιωθείτε ότι ο φορτωτής εκκίνησης θα εγκατασταθεί στη μονάδα flash:

Στο Ubuntu 12.04, τόσο τα διαμερίσματα όσο και ο bootloader βρίσκονται σε ένα παράθυρο:

Μετά από αυτό, στο παράθυρο του βήματος 8, πρέπει να κάνετε κλικ στο κουμπί "Εγκατάσταση" και να περιμένετε να ολοκληρωθεί η εγκατάσταση. Μόλις ολοκληρωθεί η εγκατάσταση, το πρόγραμμα εγκατάστασης θα σας ζητήσει να επανεκκινήσετε τον υπολογιστή σας. Δεν μπορείτε να κάνετε επανεκκίνηση!Πρέπει να μείνετε στο Live Ubuntu. Το γεγονός είναι ότι στο εγκατεστημένο HDDΤο Ubuntu δεν διαθέτει το πακέτο lvm2, πράγμα που σημαίνει ότι το σύστημα δεν θα μπορεί να εκκινήσει από τον σκληρό δίσκο.

Εγκατάσταση LVM σε σκληρό δίσκο

Για να εγκαταστήσετε το lvm2 σε ένα πρόσφατα εγκατεστημένο Ubuntu στον σκληρό σας δίσκο, πρέπει να εκτελέσετε τις ακόλουθες εντολές:

sudo mount /dev/mapper/ubuntu-root /mnt
sudo mount /dev/sdb1 /mnt/boot
sudo mount -o δέσμευση /dev /mnt/dev
sudo mount -t proc proc /mnt/proc
sudo mount -t sysfs sys /mnt/sys

sudo cp /etc/resolv.conf /mnt/etc/resolv.conf
sudo chroot /mnt /bin/bash
echo "crypted UUID=$(ls -la /dev/disk/by-uuid | grep $(basename /dev/sda1) | cut -d " " -f 9) none luks" >> /etc/crypttab
apt-get ενημέρωση
apt-get εγκαταστήστε το cryptsetup lvm2
έξοδος

Σημείωση 1.Αντίθετα, στο Ubuntu 12.04 κόψτε -d " " -f 9χρειάζεται να γράψω κόψτε -d " " -f 11! Επιπλέον, προτείνω μετά την εντολή echo ... /etc/crypttab, να εκτελέσετε την εντολή cat /etc/crypttab για να ελέγξετε ότι η γραμμή γράφτηκε σωστά:

Σημείωση 2.Μετά την προτελευταία εντολή θα υπάρχουν μηνύματα σφάλματος, μπορείτε να τα αγνοήσετε.

Τώρα μπορείτε να επανεκκινήσετε τον υπολογιστή σας και να χρησιμοποιήσετε το εγκατεστημένο κρυπτογραφημένο Ubuntu. Φυσικά, στο BIOS πρέπει να καθορίσετε την εκκίνηση από τη μονάδα flash όπου είναι εγκατεστημένο το διαμέρισμα /boot!

Στο Ubuntu που είναι εγκατεστημένο με αυτόν τον τρόπο, μπορείτε ακόμη και να χρησιμοποιήσετε τη λειτουργία αδρανοποίησης, χωρίς φόβο ότι τα περιεχόμενα της μνήμης που έχει ξεπλυθεί στο δίσκο θα γίνουν προσβάσιμα σε έναν εισβολέα.

Σημείωση 1

Είναι σημαντικό να καταλάβουμε ότι ακόμη και με τέτοια συνολική κρυπτογράφηση, τα τρωτά σημεία παραμένουν.

• Πρώτα, πρέπει να κρατήσετε μυστική τη φράση-κλειδί. Εάν το γράψετε σε μια αυτοκόλλητη σημείωση και το κολλήσετε στην οθόνη, δεν είναι καλό. Εάν ένας εισβολέας λάβει τη φράση πρόσβασης, θα μπορεί να ανοίξει τον κρυπτογραφημένο δίσκο σας χρησιμοποιώντας οποιαδήποτε διανομή Live Linux.
• Δεύτερον, πρέπει να προστατεύσετε τη μονάδα flash USB με δυνατότητα εκκίνησης σε φυσικό επίπεδο. Μην την αφήνετε χωρίς επίβλεψη. Απενεργοποιήστε τον υπολογιστή - αφαιρέστε τη μονάδα flash και τοποθετήστε την σε ασφαλές μέρος.
• Τρίτον, δεν πρέπει να το αφήνετε χωρίς επίβλεψη. περιλαμβάνεταιυπολογιστή. Όταν ο υπολογιστής είναι ενεργοποιημένος, τόσο ο κρυπτογραφημένος δίσκος όσο και η μονάδα flash USB με δυνατότητα εκκίνησης είναι διαθέσιμα.

Πρέπει επίσης να καταλάβετε ότι η κρυπτογράφηση είναι προστασία για εκείνες τις στιγμές που ο υπολογιστής σας είναι απενεργοποιημένος και δεν είστε κοντά σας. Αλλά όταν εργάζεστε στον υπολογιστή σας, εξακολουθεί να είναι δυνατό κάποιος να μπει στον υπολογιστή σας. κακόβουλο λογισμικόαπό το διαδίκτυο. Τέτοια προγράμματα μπορούν να «κλέψουν» τις πληροφορίες σας ενώ χρησιμοποιείτε τον υπολογιστή σας και το Διαδίκτυο.

Ως εκ τούτου, είναι σημαντικό να ληφθούν γενικά προστατευτικά μέτρα. Μην περιπλανηθείτε πουθενά στο Διαδίκτυο. Μην εγκαθιστάτε μη επαληθευμένα προγράμματα. Χρησιμοποιήστε ένα τείχος προστασίας. Και για πιο σοβαρές απαιτήσεις ασφαλείας, πρέπει να χρησιμοποιήσετε tcbΚαι SELinux.

Σημείωση 2

Κάνε ένα αντίγραφο μονάδα flash με δυνατότητα εκκίνησης, ο πιο εύκολος τρόπος είναι με την εντολή δδ. Γράψτε αυτήν την εικόνα σε άλλη μονάδα flash ή δίσκο λέιζερ. Ένα αντίγραφο σε άλλη μονάδα flash είναι πιο βολικό γιατί, εάν είναι απαραίτητο, μπορείτε να το χρησιμοποιήσετε αμέσως. Αλλά σε κάθε περίπτωση, αυτό το αντίγραφο, ανεξάρτητα από το τι βρίσκεται, θα πρέπει να αποθηκευτεί σε ασφαλές μέρος. Και μετά την ενημέρωση του πυρήνα ή του bootloader, θα χρειαστεί να ενημερώσετε ένα αντίγραφο της μονάδας flash.

Ivan Sukhov, 2012

Κατά τη σύνταξη αυτού του άρθρου, χρησιμοποιήθηκαν πληροφορίες από μια δημοσίευση στο

Το TrueCrypt δεν υποστηρίζεται πλέον, αλλά το dm-crypt και το LUKS είναι εξαιρετικές επιλογές ανοιχτού κώδικα πηγαίος κώδικας, το οποίο σας επιτρέπει να κρυπτογραφείτε και να χρησιμοποιείτε κρυπτογραφημένα δεδομένα.

Η ασφάλεια των δεδομένων έχει γίνει μια από τις μεγαλύτερες ανησυχίες μεταξύ των χρηστών του Διαδικτύου. Οι ειδήσεις για κλοπή δεδομένων από ιστότοπους έχουν γίνει πολύ συνηθισμένες, αλλά η προστασία των δεδομένων σας δεν είναι ευθύνη μόνο των ιστότοπων, υπάρχουν πολλά που μπορούμε ως τελικοί χρήστες να κάνουμε για τη δική μας ασφάλεια. Για παράδειγμα, μόνο μερικά παραδείγματα - χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης, κρυπτογράφηση σκληροι ΔΙΣΚΟΙ, που βρίσκονται στους υπολογιστές μας και χρησιμοποιούν ασφαλείς συνδέσεις. Συγκεκριμένα, η κρυπτογράφηση σκληρού δίσκου είναι σε ένα καλό δρόμοασφάλεια - όχι μόνο θα σας προστατεύσει από τυχόν Trojans που προσπαθούν να υποκλέψουν τα δεδομένα σας μέσω του δικτύου, αλλά και από φυσικές επιθέσεις.

Τον Μάιο του τρέχοντος έτους, η ανάπτυξη του TrueCrypt, ενός πολύ γνωστού εργαλείου κρυπτογράφησης δίσκων ανοιχτού κώδικα, σταμάτησε την ανάπτυξη. Όπως πολλοί από εσάς γνωρίζετε, ήταν ένα από τα πολύ αξιόπιστα εργαλεία που σχεδιάστηκαν για κρυπτογράφηση δίσκου. Είναι λυπηρό να βλέπεις ένα εργαλείο αυτού του διαμετρήματος να εξαφανίζεται, αλλά είναι τέτοιο το μεγαλείο του κόσμου ανοιχτού κώδικα που υπάρχουν πολλά άλλα εργαλεία ανοιχτού κώδικα που μπορούν να σας βοηθήσουν να επιτύχετε ασφάλεια με κρυπτογράφηση δίσκου που έχουν επίσης πολλές επιλογές διαμόρφωσης. Θα εξετάσουμε δύο από αυτά - dm-crypt και LUKS - ως εναλλακτικές του TrueCrypt για την πλατφόρμα Linux. Ας ξεκινήσουμε με μια γρήγορη ματιά στο dm-crypt και μετά στο LUKS.

Αυτές είναι βασικές πληροφορίες σχετικά με μια συσκευή που χρησιμοποιεί LUKS, υποδεικνύοντας ποια κρυπτογράφηση χρησιμοποιείται, τη λειτουργία κρυπτογράφησης, τον αλγόριθμο κατακερματισμού και άλλα κρυπτογραφικά δεδομένα.

Πόροι

Βήμα 01:Λαμβάνοντας υπόψη το Dm-crypt

Το όνομα της εφαρμογής dm-crypt είναι σύντομο για το device mapper-crypt. Όπως υποδηλώνει το όνομα, βασίζεται στη χαρτογράφηση συσκευών, ένα πλαίσιο πυρήνα Linux που έχει σχεδιαστεί για να αντιστοιχίζει συσκευές μπλοκ σε συσκευές εικονικού μπλοκ υψηλότερου επιπέδου. Κατά τη χαρτογράφηση συσκευών, μπορείτε να χρησιμοποιήσετε διάφορες λειτουργίες πυρήνα, όπως dm-cache (δημιουργεί υβριδικούς τόμους), dm-verity (σχεδιασμένο για έλεγχο της ακεραιότητας μπλοκ, μέρος του Chrome OS) και επίσης το πολύ δημοφιλές Docker. Για κρυπτογραφικούς σκοπούς, το dm-crypt χρησιμοποιεί το πλαίσιο Crypto API του πυρήνα Linux.

Έτσι, για να συνοψίσουμε, η εφαρμογή dm-crypt είναι ένα υποσύστημα κρυπτογράφησης σε επίπεδο πυρήνα που προσφέρει διαφανή κρυπτογράφηση δίσκου: αυτό σημαίνει ότι τα αρχεία είναι προσβάσιμα αμέσως μετά την προσάρτηση του δίσκου - δεν υπάρχει ορατή καθυστέρηση στον τελικό χρήστη. Για να κρυπτογραφήσετε χρησιμοποιώντας dm-crypt, μπορείτε απλώς να καθορίσετε έναν από τους συμμετρικούς κρυπτογράφησης, τη λειτουργία κρυπτογράφησης, το κλειδί (οποιουδήποτε έγκυρου μεγέθους), τη λειτουργία παραγωγής IV και, στη συνέχεια, να δημιουργήσετε μια νέα συσκευή μπλοκ στο /dev. Τώρα, κάθε εγγραφή σε αυτήν τη συσκευή θα κρυπτογραφηθεί και οποιαδήποτε ανάγνωση θα αποκρυπτογραφηθεί. Μπορείτε να προσαρτήσετε ένα σύστημα αρχείων σε αυτήν τη συσκευή ως συνήθως ή μπορείτε να χρησιμοποιήσετε τη συσκευή dm-crypt για να δημιουργήσετε άλλα σχέδια, όπως έναν τόμο RAID ή LVM. Ο πίνακας αναζήτησης dm-crypt ορίζεται ως εξής:

Εδώ, ο τομέας έναρξης είναι συνήθως 0, το μέγεθος είναι το μέγεθος της συσκευής σε τομείς και το όνομα προορισμού είναι το όνομα που θέλετε να δώσετε στην κρυπτογραφημένη συσκευή. Ο πίνακας αντιστοίχισης στόχων αποτελείται από τις ακόλουθες ενότητες:

[<#opt_params> ]

Βήμα 02:Λαμβάνοντας υπόψη το LUKS

Όπως έχουμε ήδη δει στο προηγούμενο βήμα, η εφαρμογή dm-crypt μπορεί από μόνη της να κρυπτογραφήσει/αποκρυπτογραφήσει δεδομένα. Αλλά έχει μερικά μειονεκτήματα - εάν χρησιμοποιείτε απευθείας το dm-crypt, δεν θα δημιουργήσει μεταδεδομένα στο δίσκο και αυτό μπορεί να είναι σοβαρό πρόβλημα εάν θέλετε να διασφαλίσετε τη συμβατότητα μεταξύ διαφορετικών διανομών Linux. Επιπλέον, η εφαρμογή dm-crypt δεν υποστηρίζει τη χρήση πολλαπλών κλειδιών, ενώ σε πραγματικές καταστάσεις είναι πολύ σημαντική η χρήση πολλαπλών κλειδιών.

Για αυτούς τους λόγους γεννήθηκε η τεχνική LUKS (Linux Unified Key Setup). Το LUKS είναι το πρότυπο κρυπτογράφησης Linux σκληροι ΔΙΣΚΟΙκαι η τυποποίηση επιτρέπει τη συμβατότητα μεταξύ διαφορετικών διανομών. Υποστηρίζεται επίσης η χρήση πολλαπλών κλειδιών και φράσεων πρόσβασης. Ως μέρος αυτής της τυποποίησης, μια κεφαλίδα LUKS προστίθεται στα κρυπτογραφημένα δεδομένα και αυτή η κεφαλίδα περιέχει όλες τις απαραίτητες πληροφορίες για τη διαμόρφωση. Όταν υπάρχει μια τέτοια κεφαλίδα με δεδομένα, οι χρήστες μπορούν εύκολα να μεταβούν σε οποιαδήποτε άλλη διανομή. Το έργο dm-crypt συνιστά επί του παρόντος τη χρήση του LUKS ως τον προτιμώμενο τρόπο ρύθμισης παραμέτρων κρυπτογράφησης δίσκου. Ας δούμε πώς να εγκαταστήσετε το βοηθητικό πρόγραμμα cryptsetup και πώς να το χρησιμοποιήσετε για τη δημιουργία τόμων που βασίζονται στο LUKS.

Βήμα 03:Εγκατάσταση

Η λειτουργικότητα σε επίπεδο πυρήνα που χρησιμοποιείται στο dm-crypt είναι ήδη παρούσα σε όλα Διανομές Linux; χρειαζόμαστε μόνο μια διεπαφή μαζί τους. Θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα cryptsetup, με το οποίο μπορείτε να δημιουργήσετε τόμους χρησιμοποιώντας το dm-crypt, το πρότυπο LUKS, καθώς και την παλιά καλή εφαρμογή TrueCrypt. Για να εγκαταστήσετε το cryptsetup σε διανομές Debian/Ubuntu, μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές:

Ενημέρωση $ sudo apt-get $ sudo apt-get εγκατάσταση cryptsetup

Η πρώτη εντολή συγχρονίζει τα αρχεία ευρετηρίου πυραύλων με τα περιεχόμενα των αποθετηρίων τους: λαμβάνει πληροφορίες σχετικά με πιο πρόσφατες εκδόσειςόλα τα διαθέσιμα πακέτα. Η δεύτερη εντολή θα πραγματοποιήσει λήψη και εγκατάσταση του πακέτου cryptsetup στον υπολογιστή σας. Εάν χρησιμοποιείτε διανομή RHEL/Fedora/CentOS, μπορείτε να χρησιμοποιήσετε την εντολή yum για να εγκαταστήσετε το βοηθητικό πρόγραμμα cryptsetup.

$ yum εγκατάσταση cryptsetup-luks

Βήμα 04:Δημιουργία αρχείου στόχου

Τώρα που το βοηθητικό πρόγραμμα cryptsetup εγκαταστάθηκε με επιτυχία, πρέπει να δημιουργήσουμε ένα αρχείο προορισμού που θα αποθηκεύει το κοντέινερ LUKS. Αν και υπάρχουν πολλοί τρόποι δημιουργίας ενός τέτοιου αρχείου, υπάρχουν ορισμένες προϋποθέσεις που πρέπει να πληρούνται κατά τη δημιουργία του:

• Το αρχείο δεν πρέπει να αποτελείται από πολλά μέρη που βρίσκονται σε διαφορετικά σημεία του δίσκου, δηλαδή, κατά τη δημιουργία του, θα πρέπει να διαθέσετε αμέσως επαρκή ποσότητα μνήμης για αυτό.
• Ολόκληρο το αρχείο πρέπει να είναι γεμάτο με τυχαία δεδομένα, έτσι ώστε κανείς να μην μπορεί να πει πού θα βρίσκονται τα δεδομένα που χρησιμοποιούνται για την κρυπτογράφηση.

Η εντολή dd μπορεί να μας βοηθήσει να δημιουργήσουμε ένα αρχείο που να ικανοποιεί τις παραπάνω προϋποθέσεις, αν και θα είναι σχετικά αργό. Απλώς χρησιμοποιήστε το με ένα ειδικό αρχείο συσκευής /dev/random που ορίζεται ως είσοδος και ένα αρχείο προορισμού που έχει καθοριστεί ως έξοδο. Ένα παράδειγμα εντολής μοιάζει με αυτό:

$ dd if=/dev/random of=/home/nitish/basefile bs=1M count=128

Ως αποτέλεσμα, ένα αρχείο με το όνομα basefile με μέγεθος 128 MB θα δημιουργηθεί στον κατάλογο /home/nitish. Ωστόσο, σημειώστε ότι αυτή η εντολή μπορεί να πάρει αρκετό χρόνο για να ολοκληρωθεί. μεγάλη ώρα; στο σύστημα που χρησιμοποιούσε ο ειδικός μας, αυτό χρειάστηκε μία ώρα.

Βήμα 05:Δημιουργία dm-crypt LUKS

Αφού δημιουργήσετε το αρχείο προορισμού, πρέπει να δημιουργήσετε ένα διαμέρισμα LUKS σε αυτό το αρχείο. Αυτή η ενότητα χρησιμεύει ως το κύριο επίπεδο στο οποίο είναι χτισμένη όλη η κρυπτογράφηση δεδομένων. Επιπλέον, η κεφαλίδα αυτής της ενότητας (κεφαλίδα LUKS) περιέχει όλες τις πληροφορίες που απαιτούνται για τη συμβατότητα με άλλες συσκευές. Για να δημιουργήσετε ένα διαμέρισμα LUKS, χρησιμοποιήστε την εντολή cryptsetup:

$ cryptsetup -y luksFormat /home/nitish/basefile

Μόλις συμφωνήσετε ότι τα δεδομένα μέσα στο αρχείο βάσης θα διαγραφούν οριστικά, εισαγάγετε τη φράση πρόσβασης και, στη συνέχεια, την επιβεβαιώσετε, θα δημιουργηθεί το διαμέρισμα LUKS. Μπορείτε να το ελέγξετε με την ακόλουθη εντολή αρχείου:

$filebasefile

Λάβετε υπόψη ότι η φράση που εισάγετε εδώ θα χρησιμοποιηθεί για την αποκρυπτογράφηση των δεδομένων. Είναι πολύ σημαντικό να το θυμάστε αυτό και να το διατηρήσετε σε ασφαλές μέρος, γιατί αν το ξεχάσετε, σχεδόν σίγουρα θα χάσετε όλα τα δεδομένα στο κρυπτογραφημένο διαμέρισμα.

Βήμα 06:Δημιουργήστε και προσαρτήστε το σύστημα αρχείων

Το κοντέινερ LUKS που δημιουργήσαμε στο προηγούμενο βήμα είναι πλέον διαθέσιμο ως αρχείο. Στο παράδειγμά μας, αυτό είναι το /home/nitish/basefile. Το βοηθητικό πρόγραμμα cryptsetup σάς επιτρέπει να ανοίξετε το κοντέινερ LUKS ως ανεξάρτητη συσκευή. Για να το κάνετε αυτό, πρώτα αντιστοιχίστε το αρχείο κοντέινερ με το όνομα της συσκευής και, στη συνέχεια, προσαρτήστε τη συσκευή. Η εντολή εμφάνισης μοιάζει με αυτό:

Μόλις εισαγάγετε με επιτυχία τη φράση πρόσβασης που δημιουργήσατε στο προηγούμενο βήμα, το κοντέινερ LUKS θα αντιστοιχιστεί στον τόμο1. Αυτό που συμβαίνει στην πραγματικότητα είναι ότι το αρχείο ανοίγει ως τοπική συσκευή βρόχου, έτσι ώστε το υπόλοιπο σύστημα να μπορεί πλέον να αντιμετωπίζει το αρχείο σαν να ήταν μια πραγματική συσκευή.

Βήμα 07:Σύστημα αρχείων - συνέχεια

Το αρχείο κοντέινερ LUKS είναι πλέον διαθέσιμο στο σύστημα ως κανονική συσκευή. Για να μπορέσουμε να το χρησιμοποιήσουμε για κανονικές λειτουργίες, πρέπει να το μορφοποιήσουμε και να δημιουργήσουμε ένα σύστημα αρχείων σε αυτό. Μπορείτε να χρησιμοποιήσετε οποιοδήποτε σύστημα αρχείων που υποστηρίζεται στο σύστημά σας. Στο παράδειγμά μου, χρησιμοποιήσαμε το ext4 επειδή είναι το νεότερο σύστημα αρχείων για συστήματα Linux.

$ mkfs.ext4 -j /dev/mapper/volume1

Μόλις μορφοποιηθεί επιτυχώς η συσκευή, το επόμενο βήμα είναι να την τοποθετήσετε. Πρώτα θα πρέπει να δημιουργήσετε ένα σημείο προσάρτησης, κατά προτίμηση στο /mnt (με βάση την κοινή λογική).

$mkdir/mnt/files

Τώρα ας προσαρτήσουμε:

Για διασταύρωση, χρησιμοποιήστε την εντολή df –h - θα δείτε τη συσκευή "/dev/mapper/volume1" στο τέλος της λίστας των τοποθετημένων συσκευών. Μπορεί να φανεί ότι η κεφαλίδα LUKS καταλαμβάνει ήδη κάποιο χώρο στη συσκευή.

Χάρη σε αυτό το βήμα, μπορείτε πλέον να χρησιμοποιήσετε τη συσκευή LUKS με σύστημα αρχείων ext4. Απλώς χρησιμοποιήστε αυτήν τη συσκευή για να αποθηκεύσετε αρχεία - οτιδήποτε γράφετε σε αυτήν τη συσκευή θα κρυπτογραφηθεί και ό,τι διαβάζετε από αυτήν θα αποκρυπτογραφηθεί και θα εμφανιστεί σε εσάς.

Βήμα 08:Χρήση κρυπτογραφημένης μονάδας δίσκου

Ακολουθήσαμε πολλά βήματα για να επιτύχουμε αυτό το αποτέλεσμα και αν δεν είστε πολύ ξεκάθαροι για το πώς λειτουργούν όλα, πιθανότατα θα μπερδευτείτε σχετικά με το τι πρέπει να κάνετε μόνο μία φορά (απαιτείται για την εγκατάσταση) και τι πρέπει να κάνετε τακτικά όταν χρησιμοποιώντας κρυπτογράφηση. Ας εξετάσουμε το ακόλουθο σενάριο: Ολοκληρώσατε με επιτυχία όλα τα παραπάνω βήματα και, στη συνέχεια, τερματίσατε τη λειτουργία του υπολογιστή σας. Την επόμενη μέρα, όταν ξεκινάτε τον υπολογιστή σας, δεν μπορείτε να βρείτε την τοποθετημένη συσκευή - πού πήγε; Για να τα καταλάβετε όλα αυτά, πρέπει να έχετε κατά νου ότι μετά την εκκίνηση του συστήματος, πρέπει να προσαρτήσετε το κοντέινερ LUKS και πριν σταματήσετε τον υπολογιστή, να τον αποσυνδέσετε.

Για να αποκτήσετε πρόσβαση στο αρχείο LUKS, κάντε τα εξής κάθε φορά που ανοίγετε τον υπολογιστή σας και, στη συνέχεια, κλείστε με ασφάλεια το αρχείο προτού απενεργοποιήσετε τον υπολογιστή σας:

Ανοίξτε το αρχείο LUKS (δηλαδή /home/nitish/basefile) και πληκτρολογήστε τον κωδικό πρόσβασης. Η εντολή μοιάζει με αυτό:

$ cryptsetup luksOpen /home/nitish/basefile volume1

Μόλις ανοίξει το αρχείο, προσαρτήστε το (αν δεν προσαρτάται αυτόματα):

$ mount /dev/mapper/volume1 /mnt/files

Τώρα μπορείτε να χρησιμοποιήσετε την τοποθετημένη συσκευή ως κανονικό δίσκο και να διαβάσετε ή να γράψετε δεδομένα σε αυτήν.

Μόλις τελειώσετε, αποσυνδέστε τη συσκευή ως εξής:

$ umount /mnt/αρχεία

Μετά την επιτυχή αποπροσάρτηση, κλείστε το αρχείο LUKS:

$cryptsetup luksΚλείσιμο τόμου1

Βήμα 09:Αντιγράφων ασφαλείας

Οι περισσότερες απώλειες δεδομένων που είναι αποθηκευμένα σε ένα κοντέινερ LUKS οφείλονται σε καταστροφή της κεφαλίδας ή των θυρίδων κλειδιού LUKS. Εκτός από το γεγονός ότι ακόμη και λόγω τυχαίας επανεγγραφής μιας κεφαλίδας στη μνήμη, οι κεφαλίδες LUKS μπορεί να καταστραφούν, σε πραγματικές συνθήκες είναι επίσης δυνατή η πλήρης αστοχία του σκληρού δίσκου. Ο καλύτερος τρόποςη προστασία του εαυτού σας από τέτοια προβλήματα είναι αντιγράφων ασφαλείας. Ας δούμε ποιες επιλογές δημιουργίας αντιγράφων ασφαλείας είναι διαθέσιμες.

Για να δημιουργήσω Αντίγραφο ασφαλείαςΑρχείο κεφαλίδας LUKS, καθορίστε την παράμετρο luksHeaderBackup στην εντολή:

$ sudo cryptsetup luksHeaderBackup /home/nitish/basefile --header-backup-file /home/nitish/backupfile

Ή, εάν θέλετε να επαναφέρετε ένα αρχείο από ένα αντίγραφο ασφαλείας, τότε καθορίστε την παράμετρο luksHeaderRestore στην εντολή:

$ sudo cryptsetup luksHeaderRestore /home/nitish/basefile --header-backup-file /home/nitish/backupfile

Για να ελέγξετε το αρχείο κεφαλίδας LUKS και να βεβαιωθείτε ότι το αρχείο με το οποίο αντιμετωπίζετε αντιστοιχεί σε μια πραγματική συσκευή LUKS, μπορείτε να χρησιμοποιήσετε την παράμετρο isLuks.

$ sudo cryptsetup -v isLuks /home/nitish/basefile

Έχουμε ήδη δει τον τρόπο δημιουργίας αντιγράφων ασφαλείας των αρχείων κεφαλίδας LUKS, αλλά ένα αντίγραφο ασφαλείας κεφαλίδας LUKS δεν θα προστατεύσει στην πραγματικότητα από μια πλήρη αποτυχία του δίσκου, επομένως θα χρειαστεί να δημιουργήσετε αντίγραφα ασφαλείας ολόκληρου του διαμερίσματος χρησιμοποιώντας την ακόλουθη εντολή cat:

$ cat /home/nitish/basefile > basefile.img

Βήμα 10:Διάφορες ρυθμίσεις

Υπάρχουν πολλές άλλες ρυθμίσεις που μπορεί να είναι χρήσιμες όταν χρησιμοποιείτε κρυπτογράφηση dm-crypt LUKS. Ας τους δούμε.

Για την απόρριψη της κεφαλίδας LUKS, η εντολή cryptsetup έχει την επιλογή luksDump. Θα σας επιτρέψει να τραβήξετε ένα στιγμιότυπο του αρχείου κεφαλίδας LUKS της συσκευής που χρησιμοποιείτε. Ένα παράδειγμα εντολής μοιάζει με αυτό:

$ cryptsetup luksDump /home/nitish/basefile

Στην αρχή αυτού του άρθρου, αναφέραμε ότι το LUKS υποστηρίζει πολλαπλά κλειδιά. Ας το δούμε τώρα στην πράξη προσθέτοντας μια νέα υποδοχή κλειδιού ( Σημείωση μεταφραστή: υποδοχή κλειδιού - χώρος κλειδιού):

$ cryptsetup luksAddKey --Key-slot 1 /home/nitish/basefile

Αυτή η εντολή προσθέτει ένα κλειδί στην υποδοχή κλειδιού με αριθμό 1, αλλά μόνο αφού εισαγάγετε τον τρέχοντα κωδικό πρόσβασης (το κλειδί που υπάρχει στην υποδοχή κλειδιού 0). Υπάρχουν συνολικά οκτώ θέσεις κλειδιών και μπορείτε να αποκρυπτογραφήσετε δεδομένα χρησιμοποιώντας οποιοδήποτε κλειδί. Εάν απορρίψετε την κεφαλίδα αφού προσθέσετε το δεύτερο κλειδί, θα δείτε ότι η δεύτερη υποδοχή κλειδιού είναι κατειλημμένη.

Μπορείτε να αφαιρέσετε τις υποδοχές κλειδιών ως εξής:

$ cryptsetup luksRemoveKey /home/nitish/basefile

Αυτό θα αφαιρέσει την υποδοχή κλειδιού με τον μεγαλύτερο αριθμό υποδοχής. Προσέξτε να μην διαγράψετε όλα τα slots, διαφορετικά τα δεδομένα σας θα χαθούν για πάντα.

Δεν καταλαβαίνω το Canonical. Φαίνεται ότι στις 23 Αυγούστου περάσαμε το πάγωμα των νέων χαρακτηριστικών FeatureFreeze και στις 30 Αυγούστου περάσαμε το πάγωμα εμφάνιση UserInterfaceFreeze. Τι βλέπουμε στην πραγματικότητα; Στο πρόγραμμα εγκατάστασης Το Ubiquity έχει πλέον τη δυνατότητα να κρυπτογραφήσει ολόκληρο το σύστημακαι στο Το Unity Greeter προσθέτει ένδειξη δικτύου και δυνατότητα σύνδεσης δικτύου.

Κρυπτογράφηση ολόκληρου του Ubuntu κατά την εγκατάσταση.

Όπως μπορείτε να δείτε, η Canonical έχει εφαρμόσει κρυπτογράφηση δίσκου στο πρόγραμμα εγκατάστασης γραφικών Ubiquity για να ενισχύσει την ασφάλεια του Ubuntu 12.10 Quantal Quetzal. Αυτή η λειτουργικότητα ήταν προηγουμένως διαθέσιμη μόνο σε εναλλακτικό CD, αλλά όπως γνωρίζετε, η Canonical σχεδιάζει να εγκαταλείψει εναλλακτικούς δίσκους.

Εάν επιλέξετε "Κρυπτογράφηση νέα εγκατάσταση Ubuntu για ασφάλεια" ("Κρυπτογράφηση της νέας εγκατάστασης Ubuntu για ασφάλεια"), στη συνέχεια στο επόμενο βήμα θα πρέπει να εισαγάγετε τα κλειδιά κρυπτογράφησης.

Επιπλέον, για πρόσθετη ασφάλεια, υπάρχει μια επιλογή αντικατάστασης του κενού χώρου στο δίσκο, αλλά αυτό θα κάνει τη διαδικασία εγκατάστασης λίγο μεγαλύτερη.

Θυμηθείτε ότι τυχόν αρχεία εκτός της εγκατάστασης του Ubuntu δεν είναι κρυπτογραφημένα!Στο μέλλον, οι νέοι δίσκοι και τα νέα διαμερίσματα δεν θα κρυπτογραφούνται από προεπιλογή και πρέπει να το θυμάστε αυτό.

Και μην συγχέετε την κρυπτογράφηση όλων των κατατμήσεων του Ubuntu με την κρυπτογράφηση του φακέλου Home!

Δίκτυο Unity Greeter και οθόνη καλωσορίσματος.

Υπήρξαν κάποιες μικρές αισθητικές αλλαγές με το Unity Greeter. Το παράθυρο καλωσορίσματος έχει γίνει όλο και πιο κοντά στο κέντρο. Οι στρογγυλεμένες γωνίες έκαναν τη συνολική εμφάνιση οπτικά πιο απαλή. Η γραμματοσειρά που εμφανίζει το όνομα χρήστη έχει μειωθεί ελαφρώς. Διατηρώντας το συνολικό στυλ, το πεδίο εισαγωγής κωδικού πρόσβασης επισημάνθηκε με ένα λεπτό πορτοκαλί χρώμα. Η λίστα των περιόδων σύνδεσης που έχετε στη διάθεσή σας έχει αλλάξει, αντί για μια "απλή λίστα" υπάρχουν πλέον "κουμπιά".

Μαζί με τις παραπάνω αλλαγές, οι προγραμματιστές έχουν προσθέσει μια ένδειξη δικτύου.

Επομένως, όταν συνδέεστε, μπορείτε εύκολα να απενεργοποιήσετε δικτυακές συνδέσειςή δείτε την τρέχουσα κατάσταση δικτύου για να βεβαιωθείτε ότι είναι δυνατή η σύνδεση στο δίκτυο.

Κρίνοντας από τα επίσημα αρχεία καταγραφής αλλαγών, ετοιμαζόμαστε να εισαγάγουμε δυνατότητες σύνδεσης δικτύου στο Unity Greeter στο εγγύς μέλλον.

Η μαγική λυχνία είναι πλέον ενεργοποιημένη από προεπιλογή.

Ένα εφέ ανάκτησης παραθύρου γνωστό ως Genie ή Magic Lamp ήταν διαθέσιμο στο Compiz στο παρελθόν, αλλά στο Ubuntu 12.10 θα είναι ενεργοποιημένο από προεπιλογή.

Συγγραφέας: Nitish Tiwari
Ημερομηνία δημοσίευσης: 04 Φεβρουαρίου 2015
Μετάφραση: Ν. Ρομοντάνοφ
Ημερομηνία μετάφρασης: Μάρτιος 2015

Το TrueCrypt δεν υποστηρίζεται πλέον, αλλά το dm-crypt και το LUKS είναι εξαιρετικές επιλογές ανοιχτού κώδικα για κρυπτογράφηση και χρήση κρυπτογραφημένων δεδομένων.

Η ασφάλεια των δεδομένων έχει γίνει μια από τις μεγαλύτερες ανησυχίες μεταξύ των χρηστών του Διαδικτύου. Οι ειδήσεις για κλοπή δεδομένων από ιστότοπους έχουν γίνει πολύ συνηθισμένες, αλλά η προστασία των δεδομένων σας δεν είναι ευθύνη μόνο των ιστότοπων, υπάρχουν πολλά που μπορούμε ως τελικοί χρήστες να κάνουμε για τη δική μας ασφάλεια. Για παράδειγμα, μερικά μόνο παραδείγματα είναι η χρήση ισχυρών κωδικών πρόσβασης, η κρυπτογράφηση σκληρών δίσκων που βρίσκονται στους υπολογιστές μας και η χρήση ασφαλών συνδέσεων. Συγκεκριμένα, η κρυπτογράφηση του σκληρού σας δίσκου είναι ένας καλός τρόπος για να διασφαλίσετε την ασφάλεια - όχι μόνο θα σας προστατεύσει από τυχόν Trojans που προσπαθούν να υποκλέψουν τα δεδομένα σας μέσω του δικτύου, αλλά και από φυσικές επιθέσεις.

Τον Μάιο του τρέχοντος έτους, η ανάπτυξη του TrueCrypt, ενός πολύ γνωστού εργαλείου κρυπτογράφησης δίσκων ανοιχτού κώδικα, σταμάτησε την ανάπτυξη. Όπως πολλοί από εσάς γνωρίζετε, ήταν ένα από τα πολύ αξιόπιστα εργαλεία που σχεδιάστηκαν για κρυπτογράφηση δίσκου. Είναι λυπηρό να βλέπεις ένα εργαλείο αυτού του διαμετρήματος να εξαφανίζεται, αλλά είναι τέτοιο το μεγαλείο του κόσμου ανοιχτού κώδικα που υπάρχουν πολλά άλλα εργαλεία ανοιχτού κώδικα που μπορούν να σας βοηθήσουν να επιτύχετε ασφάλεια με κρυπτογράφηση δίσκου που έχουν επίσης πολλές επιλογές διαμόρφωσης. Θα εξετάσουμε δύο από αυτά - dm-crypt και LUKS - ως εναλλακτικές του TrueCrypt για την πλατφόρμα Linux. Ας ξεκινήσουμε με μια γρήγορη ματιά στο dm-crypt και μετά στο LUKS.

Αυτές είναι βασικές πληροφορίες σχετικά με μια συσκευή που χρησιμοποιεί LUKS, υποδεικνύοντας ποια κρυπτογράφηση χρησιμοποιείται, τη λειτουργία κρυπτογράφησης, τον αλγόριθμο κατακερματισμού και άλλα κρυπτογραφικά δεδομένα.

Πόροι

Βήμα 01:Λαμβάνοντας υπόψη το Dm-crypt

Το όνομα της εφαρμογής dm-crypt είναι σύντομο για το device mapper-crypt. Όπως υποδηλώνει το όνομα, βασίζεται στη χαρτογράφηση συσκευών, ένα πλαίσιο πυρήνα Linux που έχει σχεδιαστεί για να αντιστοιχίζει συσκευές μπλοκ σε συσκευές εικονικού μπλοκ υψηλότερου επιπέδου. Κατά τη χαρτογράφηση συσκευών, μπορείτε να χρησιμοποιήσετε διάφορες λειτουργίες πυρήνα, όπως dm-cache (δημιουργεί υβριδικούς τόμους), dm-verity (σχεδιασμένο για έλεγχο της ακεραιότητας μπλοκ, μέρος του Chrome OS) και επίσης το πολύ δημοφιλές Docker. Για κρυπτογραφικούς σκοπούς, το dm-crypt χρησιμοποιεί το πλαίσιο Crypto API του πυρήνα Linux.

Έτσι, για να συνοψίσουμε, η εφαρμογή dm-crypt είναι ένα υποσύστημα κρυπτογράφησης σε επίπεδο πυρήνα που προσφέρει διαφανή κρυπτογράφηση δίσκου: αυτό σημαίνει ότι τα αρχεία είναι προσβάσιμα αμέσως μετά την προσάρτηση του δίσκου - δεν υπάρχει ορατή καθυστέρηση στον τελικό χρήστη. Για να κρυπτογραφήσετε χρησιμοποιώντας dm-crypt, μπορείτε απλώς να καθορίσετε έναν από τους συμμετρικούς κρυπτογράφησης, τη λειτουργία κρυπτογράφησης, το κλειδί (οποιουδήποτε έγκυρου μεγέθους), τη λειτουργία παραγωγής IV και, στη συνέχεια, να δημιουργήσετε μια νέα συσκευή μπλοκ στο /dev. Τώρα, κάθε εγγραφή σε αυτήν τη συσκευή θα κρυπτογραφηθεί και οποιαδήποτε ανάγνωση θα αποκρυπτογραφηθεί. Μπορείτε να προσαρτήσετε ένα σύστημα αρχείων σε αυτήν τη συσκευή ως συνήθως ή μπορείτε να χρησιμοποιήσετε τη συσκευή dm-crypt για να δημιουργήσετε άλλα σχέδια, όπως έναν τόμο RAID ή LVM. Ο πίνακας αναζήτησης dm-crypt ορίζεται ως εξής:

Εδώ, ο τομέας έναρξης είναι συνήθως 0, το μέγεθος είναι το μέγεθος της συσκευής σε τομείς και το όνομα προορισμού είναι το όνομα που θέλετε να δώσετε στην κρυπτογραφημένη συσκευή. Ο πίνακας αντιστοίχισης στόχων αποτελείται από τις ακόλουθες ενότητες:

[<#opt_params> ]

Βήμα 02:Λαμβάνοντας υπόψη το LUKS

Όπως έχουμε ήδη δει στο προηγούμενο βήμα, η εφαρμογή dm-crypt μπορεί από μόνη της να κρυπτογραφήσει/αποκρυπτογραφήσει δεδομένα. Αλλά έχει μερικά μειονεκτήματα - εάν χρησιμοποιείτε απευθείας το dm-crypt, δεν θα δημιουργήσει μεταδεδομένα στο δίσκο και αυτό μπορεί να είναι σοβαρό πρόβλημα εάν θέλετε να διασφαλίσετε τη συμβατότητα μεταξύ διαφορετικών διανομών Linux. Επιπλέον, η εφαρμογή dm-crypt δεν υποστηρίζει τη χρήση πολλαπλών κλειδιών, ενώ σε πραγματικές καταστάσεις είναι πολύ σημαντική η χρήση πολλαπλών κλειδιών.

Για αυτούς τους λόγους γεννήθηκε η τεχνική LUKS (Linux Unified Key Setup). Το LUKS είναι το πρότυπο κρυπτογράφησης σκληρού δίσκου Linux και η τυποποίηση επιτρέπει τη συμβατότητα μεταξύ διαφορετικών διανομών. Υποστηρίζεται επίσης η χρήση πολλαπλών κλειδιών και φράσεων πρόσβασης. Ως μέρος αυτής της τυποποίησης, μια κεφαλίδα LUKS προστίθεται στα κρυπτογραφημένα δεδομένα και αυτή η κεφαλίδα περιέχει όλες τις απαραίτητες πληροφορίες για τη διαμόρφωση. Όταν υπάρχει μια τέτοια κεφαλίδα με δεδομένα, οι χρήστες μπορούν εύκολα να μεταβούν σε οποιαδήποτε άλλη διανομή. Το έργο dm-crypt συνιστά επί του παρόντος τη χρήση του LUKS ως τον προτιμώμενο τρόπο ρύθμισης παραμέτρων κρυπτογράφησης δίσκου. Ας δούμε πώς να εγκαταστήσετε το βοηθητικό πρόγραμμα cryptsetup και πώς να το χρησιμοποιήσετε για τη δημιουργία τόμων που βασίζονται στο LUKS.

Βήμα 03:Εγκατάσταση

Η λειτουργικότητα σε επίπεδο πυρήνα που χρησιμοποιείται στο dm-crypt είναι ήδη παρούσα σε όλες τις διανομές Linux. χρειαζόμαστε μόνο μια διεπαφή μαζί τους. Θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα cryptsetup, με το οποίο μπορείτε να δημιουργήσετε τόμους χρησιμοποιώντας το dm-crypt, το πρότυπο LUKS, καθώς και την παλιά καλή εφαρμογή TrueCrypt. Για να εγκαταστήσετε το cryptsetup σε διανομές Debian/Ubuntu, μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές:

Ενημέρωση $ sudo apt-get $ sudo apt-get εγκατάσταση cryptsetup

Η πρώτη εντολή συγχρονίζει τα αρχεία ευρετηρίου πυραύλων με τα περιεχόμενα των αποθετηρίων τους: λαμβάνει πληροφορίες για τις πιο πρόσφατες εκδόσεις όλων των διαθέσιμων πακέτων. Η δεύτερη εντολή θα πραγματοποιήσει λήψη και εγκατάσταση του πακέτου cryptsetup στον υπολογιστή σας. Εάν χρησιμοποιείτε διανομή RHEL/Fedora/CentOS, μπορείτε να χρησιμοποιήσετε την εντολή yum για να εγκαταστήσετε το βοηθητικό πρόγραμμα cryptsetup.

$ yum εγκατάσταση cryptsetup-luks

Βήμα 04:Δημιουργία αρχείου στόχου

Τώρα που το βοηθητικό πρόγραμμα cryptsetup εγκαταστάθηκε με επιτυχία, πρέπει να δημιουργήσουμε ένα αρχείο προορισμού που θα αποθηκεύει το κοντέινερ LUKS. Αν και υπάρχουν πολλοί τρόποι δημιουργίας ενός τέτοιου αρχείου, υπάρχουν ορισμένες προϋποθέσεις που πρέπει να πληρούνται κατά τη δημιουργία του:

• Το αρχείο δεν πρέπει να αποτελείται από πολλά μέρη που βρίσκονται σε διαφορετικά σημεία του δίσκου, δηλαδή, κατά τη δημιουργία του, θα πρέπει να διαθέσετε αμέσως επαρκή ποσότητα μνήμης για αυτό.
• Ολόκληρο το αρχείο πρέπει να είναι γεμάτο με τυχαία δεδομένα, έτσι ώστε κανείς να μην μπορεί να πει πού θα βρίσκονται τα δεδομένα που χρησιμοποιούνται για την κρυπτογράφηση.

Η εντολή dd μπορεί να μας βοηθήσει να δημιουργήσουμε ένα αρχείο που να ικανοποιεί τις παραπάνω προϋποθέσεις, αν και θα είναι σχετικά αργό. Απλώς χρησιμοποιήστε το με ένα ειδικό αρχείο συσκευής /dev/random που ορίζεται ως είσοδος και ένα αρχείο προορισμού που έχει καθοριστεί ως έξοδο. Ένα παράδειγμα εντολής μοιάζει με αυτό:

$ dd if=/dev/random of=/home/nitish/basefile bs=1M count=128

Ως αποτέλεσμα, ένα αρχείο με το όνομα basefile με μέγεθος 128 MB θα δημιουργηθεί στον κατάλογο /home/nitish. Ωστόσο, σημειώστε ότι αυτή η εντολή μπορεί να χρειαστεί πολύ χρόνο για να ολοκληρωθεί. στο σύστημα που χρησιμοποιούσε ο ειδικός μας, αυτό χρειάστηκε μία ώρα.

Βήμα 05:Δημιουργία dm-crypt LUKS

Αφού δημιουργήσετε το αρχείο προορισμού, πρέπει να δημιουργήσετε ένα διαμέρισμα LUKS σε αυτό το αρχείο. Αυτή η ενότητα χρησιμεύει ως το κύριο επίπεδο στο οποίο είναι χτισμένη όλη η κρυπτογράφηση δεδομένων. Επιπλέον, η κεφαλίδα αυτής της ενότητας (κεφαλίδα LUKS) περιέχει όλες τις πληροφορίες που απαιτούνται για τη συμβατότητα με άλλες συσκευές. Για να δημιουργήσετε ένα διαμέρισμα LUKS, χρησιμοποιήστε την εντολή cryptsetup:

$ cryptsetup -y luksFormat /home/nitish/basefile

Μόλις συμφωνήσετε ότι τα δεδομένα μέσα στο αρχείο βάσης θα διαγραφούν οριστικά, εισαγάγετε τη φράση πρόσβασης και, στη συνέχεια, την επιβεβαιώσετε, θα δημιουργηθεί το διαμέρισμα LUKS. Μπορείτε να το ελέγξετε με την ακόλουθη εντολή αρχείου:

$filebasefile

Λάβετε υπόψη ότι η φράση που εισάγετε εδώ θα χρησιμοποιηθεί για την αποκρυπτογράφηση των δεδομένων. Είναι πολύ σημαντικό να το θυμάστε αυτό και να το διατηρήσετε σε ασφαλές μέρος, γιατί αν το ξεχάσετε, σχεδόν σίγουρα θα χάσετε όλα τα δεδομένα στο κρυπτογραφημένο διαμέρισμα.

Βήμα 06:Δημιουργήστε και προσαρτήστε το σύστημα αρχείων

Το κοντέινερ LUKS που δημιουργήσαμε στο προηγούμενο βήμα είναι πλέον διαθέσιμο ως αρχείο. Στο παράδειγμά μας, αυτό είναι το /home/nitish/basefile. Το βοηθητικό πρόγραμμα cryptsetup σάς επιτρέπει να ανοίξετε το κοντέινερ LUKS ως ανεξάρτητη συσκευή. Για να το κάνετε αυτό, πρώτα αντιστοιχίστε το αρχείο κοντέινερ με το όνομα της συσκευής και, στη συνέχεια, προσαρτήστε τη συσκευή. Η εντολή εμφάνισης μοιάζει με αυτό:

Μόλις εισαγάγετε με επιτυχία τη φράση πρόσβασης που δημιουργήσατε στο προηγούμενο βήμα, το κοντέινερ LUKS θα αντιστοιχιστεί στον τόμο1. Αυτό που συμβαίνει στην πραγματικότητα είναι ότι το αρχείο ανοίγει ως τοπική συσκευή βρόχου, έτσι ώστε το υπόλοιπο σύστημα να μπορεί πλέον να αντιμετωπίζει το αρχείο σαν να ήταν μια πραγματική συσκευή.

Βήμα 07:Σύστημα αρχείων - συνέχεια

Το αρχείο κοντέινερ LUKS είναι πλέον διαθέσιμο στο σύστημα ως κανονική συσκευή. Για να μπορέσουμε να το χρησιμοποιήσουμε για κανονικές λειτουργίες, πρέπει να το μορφοποιήσουμε και να δημιουργήσουμε ένα σύστημα αρχείων σε αυτό. Μπορείτε να χρησιμοποιήσετε οποιοδήποτε σύστημα αρχείων που υποστηρίζεται στο σύστημά σας. Στο παράδειγμά μου, χρησιμοποιήσαμε το ext4 επειδή είναι το νεότερο σύστημα αρχείων για συστήματα Linux.

$ mkfs.ext4 -j /dev/mapper/volume1

Μόλις μορφοποιηθεί επιτυχώς η συσκευή, το επόμενο βήμα είναι να την τοποθετήσετε. Πρώτα θα πρέπει να δημιουργήσετε ένα σημείο προσάρτησης, κατά προτίμηση στο /mnt (με βάση την κοινή λογική).

$mkdir/mnt/files

Τώρα ας προσαρτήσουμε:

Για διασταύρωση, χρησιμοποιήστε την εντολή df –h - θα δείτε τη συσκευή "/dev/mapper/volume1" στο τέλος της λίστας των τοποθετημένων συσκευών. Μπορεί να φανεί ότι η κεφαλίδα LUKS καταλαμβάνει ήδη κάποιο χώρο στη συσκευή.

Χάρη σε αυτό το βήμα, μπορείτε πλέον να χρησιμοποιήσετε τη συσκευή LUKS με σύστημα αρχείων ext4. Απλώς χρησιμοποιήστε αυτήν τη συσκευή για να αποθηκεύσετε αρχεία - οτιδήποτε γράφετε σε αυτήν τη συσκευή θα κρυπτογραφηθεί και ό,τι διαβάζετε από αυτήν θα αποκρυπτογραφηθεί και θα εμφανιστεί σε εσάς.

Βήμα 08:Χρήση κρυπτογραφημένης μονάδας δίσκου

Ακολουθήσαμε πολλά βήματα για να επιτύχουμε αυτό το αποτέλεσμα και αν δεν είστε πολύ ξεκάθαροι για το πώς λειτουργούν όλα, πιθανότατα θα μπερδευτείτε σχετικά με το τι πρέπει να κάνετε μόνο μία φορά (απαιτείται για την εγκατάσταση) και τι πρέπει να κάνετε τακτικά όταν χρησιμοποιώντας κρυπτογράφηση. Ας εξετάσουμε το ακόλουθο σενάριο: Ολοκληρώσατε με επιτυχία όλα τα παραπάνω βήματα και, στη συνέχεια, τερματίσατε τη λειτουργία του υπολογιστή σας. Την επόμενη μέρα, όταν ξεκινάτε τον υπολογιστή σας, δεν μπορείτε να βρείτε την τοποθετημένη συσκευή - πού πήγε; Για να τα καταλάβετε όλα αυτά, πρέπει να έχετε κατά νου ότι μετά την εκκίνηση του συστήματος, πρέπει να προσαρτήσετε το κοντέινερ LUKS και πριν σταματήσετε τον υπολογιστή, να τον αποσυνδέσετε.

Για να αποκτήσετε πρόσβαση στο αρχείο LUKS, κάντε τα εξής κάθε φορά που ανοίγετε τον υπολογιστή σας και, στη συνέχεια, κλείστε με ασφάλεια το αρχείο προτού απενεργοποιήσετε τον υπολογιστή σας:

Ανοίξτε το αρχείο LUKS (δηλαδή /home/nitish/basefile) και πληκτρολογήστε τον κωδικό πρόσβασης. Η εντολή μοιάζει με αυτό:

$ cryptsetup luksOpen /home/nitish/basefile volume1

Μόλις ανοίξει το αρχείο, προσαρτήστε το (αν δεν προσαρτάται αυτόματα):

$ mount /dev/mapper/volume1 /mnt/files

Τώρα μπορείτε να χρησιμοποιήσετε την τοποθετημένη συσκευή ως κανονικό δίσκο και να διαβάσετε ή να γράψετε δεδομένα σε αυτήν.

Μόλις τελειώσετε, αποσυνδέστε τη συσκευή ως εξής:

$ umount /mnt/αρχεία

Μετά την επιτυχή αποπροσάρτηση, κλείστε το αρχείο LUKS:

$cryptsetup luksΚλείσιμο τόμου1

Βήμα 09:Αντιγράφων ασφαλείας

Οι περισσότερες απώλειες δεδομένων που είναι αποθηκευμένα σε ένα κοντέινερ LUKS οφείλονται σε καταστροφή της κεφαλίδας ή των θυρίδων κλειδιού LUKS. Εκτός από το γεγονός ότι ακόμη και λόγω τυχαίας επανεγγραφής μιας κεφαλίδας στη μνήμη, οι κεφαλίδες LUKS μπορεί να καταστραφούν, σε πραγματικές συνθήκες είναι επίσης δυνατή η πλήρης αστοχία του σκληρού δίσκου. Ο καλύτερος τρόπος για να προστατευτείτε από τέτοια προβλήματα είναι να έχετε αντίγραφα ασφαλείας. Ας δούμε ποιες επιλογές δημιουργίας αντιγράφων ασφαλείας είναι διαθέσιμες.

Για να δημιουργήσετε ένα αντίγραφο ασφαλείας του αρχείου κεφαλίδας LUKS, καθορίστε την παράμετρο luksHeaderBackup στην εντολή:

$ sudo cryptsetup luksHeaderBackup /home/nitish/basefile --header-backup-file /home/nitish/backupfile

Ή, εάν θέλετε να επαναφέρετε ένα αρχείο από ένα αντίγραφο ασφαλείας, τότε καθορίστε την παράμετρο luksHeaderRestore στην εντολή:

$ sudo cryptsetup luksHeaderRestore /home/nitish/basefile --header-backup-file /home/nitish/backupfile

Για να ελέγξετε το αρχείο κεφαλίδας LUKS και να βεβαιωθείτε ότι το αρχείο με το οποίο αντιμετωπίζετε αντιστοιχεί σε μια πραγματική συσκευή LUKS, μπορείτε να χρησιμοποιήσετε την παράμετρο isLuks.

$ sudo cryptsetup -v isLuks /home/nitish/basefile

Έχουμε ήδη δει τον τρόπο δημιουργίας αντιγράφων ασφαλείας των αρχείων κεφαλίδας LUKS, αλλά ένα αντίγραφο ασφαλείας κεφαλίδας LUKS δεν θα προστατεύσει στην πραγματικότητα από μια πλήρη αποτυχία του δίσκου, επομένως θα χρειαστεί να δημιουργήσετε αντίγραφα ασφαλείας ολόκληρου του διαμερίσματος χρησιμοποιώντας την ακόλουθη εντολή cat:

$ cat /home/nitish/basefile > basefile.img

Βήμα 10:Διάφορες ρυθμίσεις

Υπάρχουν πολλές άλλες ρυθμίσεις που μπορεί να είναι χρήσιμες όταν χρησιμοποιείτε κρυπτογράφηση dm-crypt LUKS. Ας τους δούμε.

Για την απόρριψη της κεφαλίδας LUKS, η εντολή cryptsetup έχει την επιλογή luksDump. Θα σας επιτρέψει να τραβήξετε ένα στιγμιότυπο του αρχείου κεφαλίδας LUKS της συσκευής που χρησιμοποιείτε. Ένα παράδειγμα εντολής μοιάζει με αυτό:

$ cryptsetup luksDump /home/nitish/basefile

Στην αρχή αυτού του άρθρου, αναφέραμε ότι το LUKS υποστηρίζει πολλαπλά κλειδιά. Ας το δούμε τώρα στην πράξη προσθέτοντας μια νέα υποδοχή κλειδιού ( Σημείωση μεταφραστή: υποδοχή κλειδιού - χώρος κλειδιού):

$ cryptsetup luksAddKey --Key-slot 1 /home/nitish/basefile

Αυτή η εντολή προσθέτει ένα κλειδί στην υποδοχή κλειδιού με αριθμό 1, αλλά μόνο αφού εισαγάγετε τον τρέχοντα κωδικό πρόσβασης (το κλειδί που υπάρχει στην υποδοχή κλειδιού 0). Υπάρχουν συνολικά οκτώ θέσεις κλειδιών και μπορείτε να αποκρυπτογραφήσετε δεδομένα χρησιμοποιώντας οποιοδήποτε κλειδί. Εάν απορρίψετε την κεφαλίδα αφού προσθέσετε το δεύτερο κλειδί, θα δείτε ότι η δεύτερη υποδοχή κλειδιού είναι κατειλημμένη.

Μπορείτε να αφαιρέσετε τις υποδοχές κλειδιών ως εξής:

$ cryptsetup luksRemoveKey /home/nitish/basefile

Αυτό θα αφαιρέσει την υποδοχή κλειδιού με τον μεγαλύτερο αριθμό υποδοχής. Προσέξτε να μην διαγράψετε όλα τα slots, διαφορετικά τα δεδομένα σας θα χαθούν για πάντα.