- Введение
- Установка DriveCrypt Plus Pack
- Настройка
- Тестирование производительности дисковой подсистемы
- Диск аварийного восстановления
- Заключение
Практически всем, кто активно использует компьютер в повседневной работе, приходится сталкиваться с проблемой обеспечения надежного хранения конфиденциальных данных. На рынке достаточно широко представлены различные криптографические пакеты, позволяющие хранить наборы файлов в контейнерах, зашифрованных с применением стойких к взлому алгоритмов шифрования. Использование контейнеров (по аналогии с архивами - контейнер, некий зашифрованный файл, содержащий в себе подмножество других файлов) имеет несколько недостатков, которые могут свести на нет все плюсы от использования криптозащиты. Например, в контейнере может храниться некая база данных, с которой пользователь периодически работает, открывая перед этим контейнер. Но для работы с этой базой может потребоваться некая оболочка, которая оставит следы в системе (реестр, библиотеки и т.д.), что даёт возможность взломщику идентифицировать приложение. Например, получив физический доступ к компьютеру пользователя, злоумышленник может загрузить ОС, проанализировать систему, выяснить, какое ПО используется и установить на компьютере пользователя, например, клавиатурный шпион, настроив его на сбор данных только во время работы пользователя с определённым приложением. При таком развитии событий, все данные, вводимые пользователем при работе с базой данных, будут записываться в лог-файл, который взломщик будет периодически снимать с машины-жертвы. Таким образом, взломщику не требуется взламывать криптозащиту, достаточно определить, какое ПО используется для работы с закриптованными данными и настроить клавиатурного шпиона на сбор данных только от этого приложения, что позволит практически без лишних усилий получать все данные, с которыми работает пользователь. Этап идентификации ПО, которое используется при работе с зашифрованными данными может быть пропущен - в этом случае взломщику достаточно установить на компьютере пользователя клавиатурный шпион, что может быть сделано им при получении физического доступа к компьютеру или даже удалённо. Сбор нефильтрованных данных значительно затрудняет их анализ и увеличивает размеры лог-файлов, делая процесс их незаметного сбора достаточно проблемным.
Еще один момент, который может вызвать сомнение в целесообразности использования контейнеров для хранения важных данных - создание приложениями, при помощи которых пользователь работает с зашифрованными данными, временных файлов. Например, некий редактор может создавать временный файл при работе с документом в папке Temp. Не смотря на то, что временный файл будет удален по завершении работы с документом, всегда есть вероятность успешного восстановления либо всего временного файла, либо его части. Помимо этого, взломщик может использовать уязвимость ОС на компьютере пользователя и вызвать крах операционной системы. После перезагрузки пользователь продолжит работу с компьютером, списав инцидент на проблемы с аппаратной или программной частью, а взломщику теперь будет достаточно скопировать временный файл, который не был удален приложением во время краха ОС.
Все это лишь малая часть возможностей, которыми располагает взломщик для «тихой» кражи важной информации. Контейнеры хранятся в виде файлов, что без труда позволяет обнаружить использование криптозащиты. Если рассмотреть крайний случай, когда захватывается компьютер вместе с пользователем, то при использовании физического давления, пароль на контейнер будет получен взломщиком достаточно быстро. Если есть угроза такого захвата, то можно использовать пару паролей, каждый из которых знает только один пользователь и для открытия контейнера потребуется присутствие их обоих. Но такой способ защиты весьма ненадежен и не исключена ситуация, когда оперативный доступ к данным не сможет получить сам пользователь.
Подводя некую черту под сказанным выше, можно сказать, что для надежного хранения важных данных и исключения любых инцидентов, должны выполняться следующие условия:
- Компьютер, на котором хранятся важные данные, не должен иметь подключения ни к каким сетям (локальным, глобальным).
- Зашифрованы должны быть не только важные данные (создан контейнер), а все содержимое жёсткого диска.
- Используемая система криптозащиты должна уметь создавать ложную операционную систему, доступ к которой будет предоставляться при вводе пользователем определённого пароля.
- Экран для ввода пароля не должен раскрывать факт использования системы криптозащиты. В идеале, он должен маскироваться под системное сообщение.
- Попытки подбора паролей по словарю должны пресекаться системой криптозащиты.
- Переустановка операционной системы, подключение винчестера к другой машине, работа в ложной операционной системе не должны выдавать факта использования системы криптозащиты.
- Продолжительная работа в ложной системе должна вызывать частичное уничтожение или разрушение структуры зашифрованных данных.
- Работа с криптосистемой должна быть максимально прозрачна для пользователя и не должна требовать от него каких-либо специальных знаний или выполнения каких-то действий с определённой периодичностью.
Всем этим требованиям отвечает комплекс DriveCrypt Plus Pack от немецкой компании SecurStar GmbH. В этом обзоре мы познакомимся с возможностями этого комплекса, зашифруем жёсткий диск вместе со всем содержимым, создадим ложную операционную систему и протестируем быстродействие файловых операций до и после установки системы криптозащиты данных.
К оглавлениюУстановка DriveCrypt Plus Pack
Порядок действий при установке DriveCrypt Plus Pack зависит от того, будет ли создаваться ложная операционная система или нет. В этой главе DriveCrypt Plus Pack будет установлен только для шифрования содержимого жесткого диска, без создания ложной ОС. Последовательность установки для создания ложной ОС будет описана в соответствующей главе этого обзора.
Установка DriveCrypt Plus Pack выполняется мастером и не требует каких-либо специальных знаний. После запуска инсталлятора, на экран будут поочередно выведены стандартные окна мастера установки. Нужно принять условия лицензионного соглашения, выбрать папку для установки программы, указать имя исполняемого файла, указать, где должны быть созданы ярлыки для запуска комплекса. На этом же экране мастера установки можно выбрать включение автоматического логина при загрузке ОС. На следующем экране можно отменить установку справочной системы и ассоциацию файлов некоторого типа с DriveCrypt Plus Pack (DCPP). На заключительном этапе установки необходимо перезагрузить компьютер.
К оглавлениюНастройка
После первого запуска DriveCrypt Plus Pack будет предложено либо зарегистрировать программу, либо использовать ее в ознакомительных целях.
Затем на экран будет выведено окно, которое показано на рисунке ниже.
В этом окне нужно нажать кнопку Create для создания хранилища ключей. Откроется окно мастера создания хранилища, показанное на рисунке ниже. При последующих сеансах работы с DCPP в этом окне необходимо выбрать хранилище и ввести пароли. Только после этого будет предоставлен доступ к настройкам программы.
В этом окне нужно выбрать тип файла, в котором будет размещено хранилище. Это может быть обычный файл, рисунок, звуковой файл, либо можно указать на необходимость использования Crypto Token. На следующем экране нужно выбрать папку, где будет размещено хранилище и указать имя файла. Если на предыдущем экране было выбрано создание хранилища в картинке или звуковом файле, то на этом этапе потребуется указать на существующий файл bmp или wav.
После того, как имя и путь к хранилищу указаны, нужно ввести пароли.
Существует два типа паролей: Мастер и Пользователь. Отличаются они доступом к настройкам DCPP - пользователь не имеет возможности что-то изменить, он может лишь просматривать заданные мастером настройки. Каждый тип (Мастер, Пользователь) может состоять из двух паролей. Эту особенность можно использовать для создания пары паролей, каждый из которых будет знать только один человек. Обратите внимание на то, что при создании пары паролей, есть небольшая особенность при их вводе в момент включения компьютера при защите загрузки, о чем будет рассказано дальше. Ни в коем случае не используйте пароли, содержащие кириллицу!
После того, как хранилище создано, на экран будет выведено окно, пример которого показан ниже.
В этом окне показаны ключи, которые находятся в текущем хранилище. Если хранилище только что создано, то ключей еще нет и их необходимо создать при помощи кнопки New Key. Ключи шифруются по алгоритму AES 256.
После того, как ключи созданы, можно приступить к защите загрузки.
Защита загрузки
В главном окне программы нажмите кнопку Drives. Откроется список дисков и разделов, пример которого показан ниже.
Выделите в списке загрузочный диск или раздел и нажмите кнопку Bootauth. Будет запущен мастер установки защиты загрузки.
На следующем этапе установки защиты будет предложено ограничить загрузку в зависимости от введённого пароля.
Обратите внимание на то, что доступ может быть предоставлен как по паролю Мастера, так и по паролю Пользователя. Если пароль пользователя не был указан на этапе создания хранилища, то часть опций в этом окне будет недоступна. В нашем случае, мы разрешим загрузку компьютера только по паролю Мастера.
На следующем шаге защиты загрузки нужно указать путь к новой MBR и выбрать тип экрана, на котором будет предложено ввести пароль еще до загрузки операционной системы. Примеры экранов будут показаны чуть ниже.
На заключительном этапе будет выведено информационное сообщение о том, что перед тем, как шифровать любые диски, нужно проверить корректность установки защиты загрузки. Если что-то пойдет не так (забыт Мастер-пароль, например), то на этом этапе можно будет очень просто восстановить загрузку операционной системы. Если не проверить корректность работы защиты загрузки и сразу же зашифровать диск, то восстановить его содержимое будет невозможно. Поэтому не следует пренебрегать рекомендацией и нужно проверить защиту загрузки, перезагрузив компьютер.
После перезагрузки компьютера, до загрузки ОС, на экран будет выведено приглашение к вводу пароля. В зависимости от того, какой тип экрана приглашения был выбран на этапе установки защиты, экран будет выглядеть так, как показано ниже.
Режим VESA:
Режим DOS:
Режим HDD fail:
Введите в поля соответствующие пароли. Для перехода от первого поля ко второму используйте клавишу Tab. Если выбран режим HDD fail, то вводимые пароли не отображаются символами. После того, как в этом режиме введен первый пароль, также нажмите Tab, введите второй пароль (если он был задан при создании хранилища) и нажмите Enter. Есть три попытки для ввода пароля. Если все три неудачны, то система останавливается и для повторного ввода пароля необходимо перезагрузить компьютер.
Если войти в систему не удаётся, то загрузитесь с любого загрузочного диска и выполните в командной строке команду fdisk /mbr. Эта команда запишет стандартную загрузочную запись вместо той, что была записана DCPP.
После того, как защита загрузки протестирована, можно переходить к шифрованию диска или раздела.
Защита загрузки снимается или настраивается повторным выбором загрузочного диска или раздела и нажатием кнопки Bootauth в окне Drives, пример которого был показан на рисунке выше.
Шифрование загрузочного диска или раздела
Шифрование загрузочного диска или раздела невозможно без установки защиты загрузки. Её следует предварительно установить и настроить так, как это было описано выше.
Чтобы зашифровать диск или раздел, выберите его в окне Disk Drives и нажмите кнопку Encrypt.
Мастер шифрования диска откроет окно, в котором будет предложено выбрать ключ из хранилища. Диск будет зашифрован этим ключом и этот же ключ потребуется для дальнейшей работы с диском.
После того, как ключ выбран, будет запущен процесс шифровки диска. Процесс достаточно долгий: в зависимости от объема шифруемого диска или раздела он может занимать до нескольких часов. 
После завершения шифрования загрузочного диска загрузка операционной системы будет возможна только после авторизации.
Обязательно следует отметить то, что производитель не гарантирует правильной работы DCPP на RAID. Мной была протестирована работа DCPP на «железном» зеркале. В такой конфигурации DriveCrypt Plus Pack был полностью работоспособен. Видимо, рекомендация разработчика относится к «софтовым» RAID. В любом случае, нужно быть предельно внимательным при использовании DCPP на RAID и обязательно проверять стабильность на тестовой системе перед её вводом в работу. Это же ограничение действует и на динамические диски.
После того, как загрузочный диск будет полностью зашифрован, мастер предложит создать аварийный диск. Отказываться от этого предложения крайне неразумно - диск лучше сразу создать и убрать в надёжное место. Его наличие поможет спасти данные в случае проблем с загрузкой операционной системы. Если аварийный диск не создан, то даже случайная перезапись главной загрузочной записи (MBR) приведёт к полной и безвозвратной потере всех данных, которые хранились на зашифрованном диске. Подробнее о создании и работе с диском аварийного восстановления будет рассказано в следующих главах этого обзора.
Создание ложной операционной системы
Создать ложную операционную систему достаточно просто. Для этого нужно сформировать раздел и отформатировать его в FAT32, установить и настроить Windows, установить DriveCrypt Plus Pack. Установленную операционную систему надо полностью настроить, скопировать какие-то файлы, например, на рабочий стол, установить какое-то программное обеспечение и так далее. То есть, создаваемая ложная операционная система должна выглядеть как рабочая, постоянно используемая. После того, как скрытая операционная система будет создана, загружаться и работать с ложной ОС крайне опасно, поскольку есть вероятность разрушить данные скрытой операционной системы.
После того, как ложная операционная система установлена и настроена, нужно создать новое хранилище, авторизоваться в DCPP, переключиться на вкладку Drives, выделить раздел, где установлена ложная операционная система (файловая система должна быть обязательно FAT32, иначе, создать ложную ОС будет невозможно) и нажать кнопку HiddenOS. Откроется окно настроек создания скрытой операционной системы, показанное на рисунке ниже.
Укажите путь к только что созданному хранилищу, пароли, метку скрытого диска, его файловую систему и укажите количество свободного места, которое будет отделять ложную операционную систему от скрытой. После нажатия кнопки Create Hidden OS будет запущен процесс создания скрытого раздела и всё содержимое системного раздела будет скопировано на скрытый раздел.
DriveCrypt Plus Pack создаст скрытый раздел, начало которого будет находиться через указанный при создании скрытого раздела промежуток свободного места от окончания ложного раздела. Если загрузиться и начать работу в ложной ОС, то после того, как указанное при создании скрытого раздела свободное место будет исчерпано, ложная операционная система начнет перезаписывать зашифрованные данные скрытой ОС, что приведёт к её неработоспособности.
После того, как процесс создания скрытого раздела будет завершён, нужно перезагрузить компьютер и авторизоваться, введя пароли, которые были указаны при создании скрытого раздела. Содержимое ложной операционной системы не будет видно при работе в скрытой ОС, и наоборот: при работе в ложной операционной системе не будет видно скрытой ОС. Таким образом, только введённый пароль при включении компьютера определяет то, какая операционная система будет загружена.
После окончания создания скрытой операционной системы в неё нужно войти и зашифровать системный раздел.
Шифрование разделов, дисков, сменных носителей
При помощи DriveCrypt Plus Pack можно зашифровать любой жесткий диск или сменный накопитель (за исключением CD и DVD) и использовать его для обмена данными между пользователями. Единственное, о чем следует позаботиться - это передача через надёжный канал ключа, которым будут шифроваться данные.
Несомненным плюсом обмена данными на полностью зашифрованном носителе является невозможность обнаружения на нём каких-либо файлов, носитель выглядит не отформатированным. Даже располагая информацией о том, что носитель зашифрован, при отсутствии ключа данные прочитать будет невозможно.
Если планируется обмениваться информацией на зашифрованных сменных носителях, то для этого лучше создать отдельный ключ, которым будет зашифрован носитель. Откройте главное окно DriveCrypt Plus Pack, авторизуйтесь, на вкладке Encryption Keys нажмите кнопку New Key. Откроется окно, показанное на рисунке ниже.
Введите понятное описание вновь создаваемого ключа и нажмите кнопку Generate.
После того, как новый ключ создан, подключите сменный носитель и переключитесь на вкладку Drives. Если в списке отсутствует только что подключенный накопитель, то обновите список при помощи кнопки Refresh. Выделите сменный накопитель и нажмите кнопку Encrypt. Откроется окно выбора ключа для шифрования, пример которого показан на рисунке ниже.
Выбрав только что созданный ключ, который предназначен только для шифрования сменного носителя для обмена информацией, нажмите кнопку Encrypt. Сменный носитель будет зашифрован.
Теперь нужно экспортировать в файл ключ, которым был зашифрован сменный носитель. Для этого вновь переключитесь на вкладку Encryption Keys , выделите только что созданный ключ и нажмите кнопку Export. В открывшемся окне выберите папку, где следует сохранить ключ, имя файла с ключом и пароль для защиты самого ключа. Теперь полученный файл нужно передать пользователю, с которым планируется обмениваться информацией на зашифрованных носителях, а также сообщить ему пароль, которым был защищён ключ во время экспорта. Когда этот пользователь получит файл, ему потребуется импортировать ключ в хранилище прежде, чем он сможет получить доступ к переданной Вами информации на зашифрованном диске.
Импорт выполняется по аналогии с экспортом, при помощи соответствующей кнопки на вкладке Encryption Keys. После того, как получатель зашифрованного диска импортировал ключ в хранилище, он может установить в привод или подключить к компьютеру сменный носитель и открыть его. Для этого пользователь должен переключиться на вкладку Drives, выделить в списке сменный накопитель и нажать кнопку Explore. Для последующей работы с зашифрованным сменным накопителем пользователь должен будет после каждой перезагрузки авторизоваться в DCPP. До тех пор, пока он этого не сделает, сменный накопитель будет закрыт, и система будет предлагать отформатировать его при каждом обращении.
Криптование сменных накопителей может использоваться не только для обмена данными через ненадёжные каналы, но и, например, для хранения бэкапов. Можно подключать для сохранения важных файлов еще один зашифрованный отдельным ключом жёсткий диск, импортировать ключ, сохранять на жёстком диске бэкап и удалять из DCPP ключ. Хранить бэкап можно отдельно от ключа, которым зашифрован жёсткий диск, его содержащий. Например, диск может храниться у одного человека, а ключ - у другого.
К оглавлениюТестирование производительности дисковой подсистемы
Для определения того, насколько DriveCrypt Plus Pack снижает производительность операций чтения-записи, еще до установки DCPP был выполнен тест скорости работы дисковой подсистемы (IBM DTLA-307015 в режиме UDMA5). Затем был установлен DCPP, включена защита загрузки, зашифрован системный диск, и тест был повторён вновь. Результаты тестирования приведены в таблице ниже.
Операция | До шифрования | После шифрования | Падение скорости |
| Буферизованное считывание | 89 MB/s | 16 MB/s | 82% |
| Последовательное считывание | 34 MB/s | 13 MB/s | 62% |
| Случайное считывание | 24 MB/s | 13 MB/s | 46% |
| Буферизованная запись | 56 MB/s | 15 MB/s | 73% |
| Последовательная запись | 33 MB/s | 15 MB/s | 55% |
| Случайная запись | 20 MB/s | 13 MB/s | 35% |
Результаты тестирования показывают, что падение скорости операций чтения-записи весьма существенно. Если на компьютере планируется работать с программным обеспечением, которое активно использует жесткий диск, то установка DCPP значительно снизит скорость работы и дисковая подсистема станет узким местом. По субъективной оценке, снижения производительности при обычной работе (офис, интернет, игры) незаметно.
К оглавлениюДиск аварийного восстановления
Когда установлена защита загрузки и зашифрован системный раздел, DriveCrypt Plus Pack автоматически предлагает создать аварийный диск, при помощи которого можно будет восстановить работу компьютера при возникновении внештатных ситуаций. Аварийный диск создаётся при помощи мастера и его создание не вызывает каких-либо затруднений.
Аварийный диск поможет авторизоваться в DCPP при проблемах с загрузкой с жёсткого диска, расшифровать зашифрованный диск в обычной или скрытой ОС.
К оглавлениюЗаключение
DriveCrypt Plus Pack даёт пользователю полную уверенность в том, что его данные не будут прочитаны даже в случае хищения компьютера или кражи сменного носителя. Возможность создания ложной системы, при работе в которой будут уничтожаться данные основной системы, поможет ввести дополнительный уровень защиты. Особенность DriveCrypt Plus Pack, связанная с тем, что шифруется целый диск или раздел, позволяет скрыть не только важные данные, но и всё содержимое диска или раздела, включая операционную систему. К сожалению, за такой уровень безопасности приходится расплачиваться значительным падением производительности файловой системы, что в некоторых случаях может стать серьезным препятствием в использовании DriveCrypt Plus Pack.
