Есть ли способ сделать мой жесткий диск недоступным для всех, кроме меня?

63

Позвольте мне сначала рассказать вам кое-что о резервной копии: компьютерный техник попросил меня дать ему мой ноутбук и попросить у него любую информацию, которую я хотел «спрятать» на своем жестком диске. Он утверждал, что сможет найти что угодно, что бы я ни делал, чтобы скрыть это.

Поскольку я не ценю такие абсолютные высказывания, как «и с этим ничего не поделаешь», я начал думать об этом в своей голове. Я понял, что очень безопасная операционная система не сможет ее обрезать, так как ему не нужно загружаться с этого конкретного жесткого диска, чтобы найти вещи на моем жестком диске.

Общий вопрос здесь:

Есть ли способ полностью защитить все данные на жестком диске? (Мне не нужно подробное объяснение того, как это сделать, мне просто нужно, чтобы вы указали мне направление; я сам могу больше об этом прочитать)

В частности, я подозреваю, что мне может понадобиться:

  • Операционная система, которая очень безопасна и, возможно, шифрует все данные, которые она хранит (не знаю, существует ли такая вещь).

  • Если вышеперечисленное не существует, есть ли способ вручную зашифровать данные на моем жестком диске и все еще иметь возможность загружаться с этого жесткого диска?

В общем, я хочу сделать жесткий диск как можно менее доступным для всех, кто не является мной (= знает конкретный пароль / ключ), поэтому любые решения приветствуются.

F1234k
источник
35
Зашифруйте его и потребуйте надежный пароль или ключ шифрования, который у вас есть на USB-карте для расшифровки. Он только что проиграл игру. Возможно, вы могли бы просто создать защищенный паролем RAR-файл с надежным паролем. Извините, но отсюда я чувствую его наивное юношеское отношение.
Даниэль Андерссон
6
Это трюк! Если его стоит назвать компьютерным техником, то он, вероятно, просто хочет подготовить несколько розыгрышей
3
имплантируйте его в ваше тело и заставьте его вибрировать неловко, когда он используется ...
трещотка урод
3
Дайте ему ноутбук с полностью рандомизированными данными жесткого диска и попросите его найти секретное сообщение, спрятанное внутри. Если вы можете получить сообщение из этого потока битов и некоторого секретного ключа, это технически шифрование (возможно с OTP, а также с любым потоковым шифром), и имеет то преимущество, что оно несколько защищено от вызова в суд, поскольку вы можете сохранить фиктивный ключ, который расшифрует до чего-то безобидного.
Томас

Ответы:

66

Достаточно зашифровать самые важные файлы. ZIP-файл, зашифрованный 256-битным AES и хорошим длинным паролем, почти невозможно получить без пароля. (Избегайте использования устаревшего ZIP-шифрования, известного как потоковый шифр PKZIP / ZipCrypto - известно, что оно слабое.)

Также возможно зашифровать целый раздел, скрывая все в нем. Truecrypt является своего рода де-факто стандартной программой для домашнего (и некоторых бизнес) шифрования разделов / изображений. Вероятно, лучшая вещь в Truecrypt по сравнению со встроенными в операционную систему инструментами - это портативность : есть версия для Windows, Mac OS X и Linux, которая составляет подавляющее большинство потребительских операционных систем.

Если вы хотите скрыть все , вы можете зашифровать каждый раздел в вашей системе, включая тот, с которого вы загружаетесь. Невозможно прочитать данные с зашифрованного диска, не зная пароль / ключ. Дело в том, что операционная система Windows не всегда поддерживает загрузку с зашифрованного жесткого диска. * Truecrypt имеет то, что называется системным шифрованием . Они суммировали это довольно хорошо:

Системное шифрование включает в себя предзагрузочную аутентификацию, что означает, что любой, кто хочет получить доступ и использовать зашифрованную систему, читать и записывать файлы, хранящиеся на системном диске и т. Д., Должен будет вводить правильный пароль каждый раз перед загрузкой Windows (запускается ). Проверка подлинности перед загрузкой выполняется загрузчиком TrueCrypt, который находится на первой дорожке загрузочного диска и на диске аварийного восстановления TrueCrypt.

Таким образом, загрузчик Truecrypt загрузится до вашей ОС и запросит у вас пароль. Когда вы введете правильный пароль, он загрузит загрузчик ОС. Жесткий диск всегда зашифрован, поэтому даже загрузочный компакт-диск не сможет прочитать с него полезные данные.

Также не так сложно зашифровать / расшифровать существующую систему:

Обратите внимание, что TrueCrypt может зашифровать существующий незашифрованный системный раздел / диск на месте во время работы операционной системы (во время шифрования системы вы можете использовать компьютер как обычно без каких-либо ограничений). Аналогично, системный раздел / диск, зашифрованный TrueCrypt, можно дешифровать на месте во время работы операционной системы. Вы можете в любой момент прервать процесс шифрования или дешифрования, оставить раздел / диск частично незашифрованным, перезагрузить или завершить работу компьютера, а затем возобновить процесс, который будет продолжен с момента остановки.


* Различные другие операционные системы поддерживают шифрование системного диска. Например, ядро ​​Linux 2.6 и новее имеют dm-crypt , а Mac OS X 10.7 и новее имеют FileVault 2 . Windows имеет такую ​​поддержку с BitLocker , но только в выпусках Enterprise / Business / Server и только в Vista и новее. Как указывалось выше, Truecrypt более переносим, ​​но часто не хватает интеграции, необходимой для шифрования системных дисков, за исключением Windows.

боб
источник
4
Истинный склеп - это то, что я использовал и очень доволен им
Rippo
4
Одно предостережение при шифровании существующего незашифрованного диска: если он находится в твердотельном состоянии, он не может перезаписывать данные в одних и тех же секторах, поскольку он изменяет их, чтобы продлить срок службы диска. Таким образом, данные на твердотельном диске действительно безопасны, только если они были зашифрованы с самого начала.
Натан Лонг
13
«Дело в том, что большинство операционных систем изначально не поддерживают загрузку с зашифрованного жесткого диска». - это даже отдаленно не верно. Windows имеет BitLocker , Mac имеет FileVault 2 .
josh3736
9
@Josh: Это операционные системы с большинством пользователей, а не с большинством операционных систем.
Бен Фойгт
6
@BenVoigt, это немного нелепый аргумент. «Конечно, операционные системы, используемые на 3/4 рабочих столов, изначально поддерживают FDE, а BeOS - нет!»
josh3736
51

Одна фраза - Full Disk Encryption, желательно с хорошим, длинным, не словарным ключом. Вы также можете взглянуть на системы, которые делают это с помощью внешнего ключевого файла. По сути, поскольку вся система, кроме загрузчика, зашифрована, если не считать атаки с прямым доступом к памяти, то есть использовать firewire или другое устройство с DMA для получения содержимого памяти и / или холодную загрузку для получения информации. Зависать это просто - просто убедитесь, что система выключена и батарея извлечена непосредственно перед тем, как сдать систему. Если это просто жесткий диск, обе эти атаки маловероятны

Вероятно, я бы просто дал truecrypt шанс, использовал ОЧЕНЬ длинный, случайный пароль (длина делает грубое форсирование жестким, а случайность предотвращала атаку по словарю) и позволил бы ему отправиться в город с этим. С другой стороны, в некоторых версиях Windows есть битлокер - это сильная опция FDE, встроенная в окна. Также есть решения для Linux, такие как luks и dmcrypt.

Или заполнить диск случайными данными ... и посмотреть, как долго он это выяснит;)

Подмастерье Компьютерщик
источник
70
+1 Или заполнить диск случайными данными. о да
Тог
1
Ах, случайные данные: D Так же, как этот бит в Cryptonomicon (более подробные ссылки не включены, потому что это испортило бы одну из забавных бит ..)
tanantish
14

Не поддавайтесь на такие хитрости, как «дай мне пароль, чтобы я мог проверить результаты».

Конференция по безопасности, на которую я пошел, попросила пароли в начале. На полпути докладчик сказал, что самая большая угроза безопасности - это ВЫ, так как большинство людей с энтузиазмом сообщают свой пароль.

(И да, просто зашифруйте соответствующие данные.)

ним чимпский
источник
12

Вы могли бы «спрятать» файл внутри изображения? Это может сбить его с толку - или, по крайней мере, у него уйдет немного времени, чтобы разобраться. Возможно.

http://lifehacker.com/282119/hide-files-inside-of-jpeg-images

bobknows
источник
2
Или даже внутри двоичных файлов программы crazyboy.com/hydan
Дэн Д.
18
Это иначе известно как стеганография.
Чад Харрисон
4
Или безопасность через неизвестность?
вс
9

Я согласен с другим ответом TrueCrypt. Тем не менее, я хочу добавить еще один важный момент - правдоподобную функцию отрицания TrueCrypt. Это означает, что TrueCrypt не оставляет положительно идентифицируемых подписей на дисках / файлах, которые он шифрует. Таким образом, никто не может доказать, является ли набор битов на диске случайными битами или зашифрованными данными. Это настолько важно, что это имело последствия в недавнем судебном процессе.

slowpoison
источник
Мне было бы интересно узнать, что это за судебное дело.
Чад Харрисон
3
Вот ссылка ca11.uscourts.gov/opinions/ops/201112268.pdf Суть : пользователи TrueCrypt не могут быть вынуждены разглашать свои пароли. Пятая поправка применяется.
slowpoison
7

Многие из опубликованных ответов являются хорошими ответами.

Кроме того, вы можете посмотреть на асинхронныйинструмент асимметричного шифрования, такой как GnuPG . Это немного сложнее, чем шифрование в ZIP-файле, потому что вы имеете дело с открытыми и закрытыми ключами . Я думаю, что я мог слышать о каком-то европейском университете, взломавшем этот тип шифрования в очень особых обстоятельствах. Вы все равно хотите поместить пароли и ключи на USB-диск или в другое место, кроме диска, который вы дадите претенденту.

Кроме того, однажды профессор попросил меня сказать, что если вы хотите что-то абсолютно скрытое, повторно зашифруйте зашифрованный файл с новым набором ключей. Таким образом, если шифрование первого уровня каким-либо образом расшифровано, злоумышленник не узнает об этом, потому что все будет выглядеть зашифрованным.

Надеюсь это поможет.

Чад Харрисон
источник
4
«Однажды профессор попросил меня сказать, что если вы хотите что-то абсолютно скрытое, повторно зашифруйте зашифрованный файл с новым набором ключей». неправильно для большинства криптосистем. Рассмотрим ROTn. Шифрование ROTn (ROTm (x)) = ROT {m + n} (X). Атакующий даже не поймет, что вы сделали ROTn (ROTm (x)), но вместо этого попытается напрямую выяснить m + n. Там нет дополнительной безопасности.
Эмори
1
@emory Интересно отметить. Думаю, профессора тоже люди. Я думаю, что понимаю, к чему вы клоните. Я проверю это.
Чад Харрисон
GnuPG не асинхронный, он асимметричный (в режиме по умолчанию). Он также поддерживает обычное (симметричное, с тем же ключом) шифрование.
CVn
3
Кроме того, я полагаю, что профессор имел в виду алгоритмы шифрования, немного более сложные, чем простые шифры замещения. Если вы берете открытый текст P, а затем зашифруете его, скажем, с помощью AES, сначала ключом K1, а затем зашифруйте полученный зашифрованный текст с помощью AES и другого ключа K2 ( C = AES( AES(P,K1), K2 ), K1 ≠ K2), полученный результирующий зашифрованный текст не будет иметь никакого сходства, скажем, с выход AES (AES (P, K2), K1) (изменение порядка клавиш). Это свойство не распространяется на простые шифры замещения, такие как ROTn.
CVn
@ MichaelKjörling Спасибо за исправление асимметричного. Я знал, что это что-то , и иногда я борюсь со своим отзывом. ;)
Чад Харрисон
6

Интересно, что слово «прятать» нужно ставить в кавычки многими людьми, поскольку они, похоже, знают, что в их предложениях ничего не скрывается. Интересно, этот компьютерный техник держал руки в воздухе и делал движения рук, связанные с кавычками, когда он тоже сказал «спрятаться».

Я сомневаюсь. Хотя шифрование может препятствовать доступу, наличие зашифрованного zip-файла на рабочем столе с именем «Nothing_to_see_here.zip» на самом деле ничего не скрывает.

Некоторые ноутбуки поставляются с возможностью защиты диска паролем, когда после включения через биос у вас есть две возможности ... ввести пароль или отформатировать диск. Dell является одной из тех компаний, которая включает эту функцию. Хорошо. Вы также можете позвонить в Dell после того, как вы ввели неправильный пароль 3 раза, и вы можете дать им код вызова, показанный на вашем экране, и он даст вам код ответа для обхода пароля ... но они также взимают плату за эту услугу. если ваша гарантия истекла. Опять же ... это ничего не скрывает.

Существует огромная разница между тем, чтобы позволить кому-то войти в комнату, чтобы он мог искать что-то скрытое от глаз (скрытие), и просто запретить ему вообще входить (шифрование).

Поскольку я не ценю такие абсолютные высказывания, как: «и с этим ничего не поделаешь»

Нет. Вам не понравился этот техник, по сути говоря, говорящий вам, что он знал что-то, чего вы не знали, и / или что он был лучше вас в чем-то. Вот почему вы сразу же попытались придумать, как улучшить этого техника, вместо того, чтобы понять, что то, что он говорил, ничего не значит! Тебе не помешало бы сразу признать, что, возможно, он действительно сможет НАЙТИ любой файл, который ты скрыл. Конечно, вам нужно было бы, чтобы он определил, что значит скрытие в этом контексте ... поскольку (опять же) кажется, что "скрытый", по-видимому, означает разные вещи для разных людей. Независимо от этого, ваша проблема с его вызовом не имеет ничего общего с его хвастовством, и все, что связано с вашей неспособностью принять вероятность того, что он на самом деле может быть лучше вас в чем-то. Вот почему вы не могли оставить этот вызов в покое. Вот почему вы не цените такие абсолютные высказывания. Потому что правда в том, что бывают моменты, когда что-то случится в вашей жизни, и НИЧЕГО ВЫ НЕ МОЖЕТЕ СДЕЛАТЬ.

Вы хотите, чтобы файлы, к которым вы регулярно обращаетесь, не были найдены? Держите их подальше от компьютера. Как насчет этого? Храните их на флешке. Затем вы можете хранить файлы на своем лице в любое время, и никто не сможет получить доступ к вашему ноутбуку, чтобы получить их, когда вы не рядом с ноутбуком. Кто сделал глупое правило, что все ваши файлы должны всегда оставаться на вашем ноутбуке? Я не говорю об этом детском хвастовстве техников и любой игре, в которую вы превратили это. Как только вы зашифруете файл, или спрячете его в изображение, или удалите его со своего компьютера на флешку, его игра окончена. Почему? Потому что вы не определили параметры этой задачи ... и я могу догадаться, что они есть.

  • Файл должен быть где-то доступен.
  • Вам нужно сыграть роль невежественного дурака, который считает, что простое вложение файла в какой-то каталог по проторенному пути - это степень возможности быть скрытым.

Как только вы отойдете от одного из них, игра закончится, и вы «не поняли, что он имел в виду».

Бон Гарт
источник
4
Но если вы потеряете флешку или оставите ее где-нибудь? О, дорогой ... Кстати, он сказал скрыть информацию , а не файлы ... тонкая разница, поскольку зашифрованная информация по сути скрыта. И теоретически возможно сломать любое шифрование.
Боб
1
Кто-то говорит, что я могу найти тебя везде, где ты прячешься, если мы играем в прятки ... и это бесит тебя настолько, что тебе приходится менять игру на TAG, где им нужно прикасаться к тебе, чтобы выиграть. Что делать, если ваш жесткий диск выходит из строя ... О, дорогой. И зашифрованная информация заблокирована, а не скрыта. Если вам нужен ключ, он заблокирован. Если он нашел зашифрованный файл, значит ли это, что он нашел информацию? Он когда-нибудь говорил, что должен уметь просматривать информацию или просто НАЙТИ ее?
Bon Gart
3
Часть информации! = Файл. Информация будет получена путем чтения содержимого файла. Наличие файла, но не возможность его чтения означает, что информация внутри все еще скрыта.
Ямикурону
Я понял, что вы и Боб чувствуете, что «информация» не равна «файлу». Скажите мне. Что именно компьютерный техник в этом вопросе считает информацией? Он хотел сказать «файл»? Уравнивает ли он два? Вам не нужно супер шифрование. Вы можете просто разбить эту «информацию» на маленькие куски, преобразовать их в шестнадцатеричные и создать каталоги в C: \ Windows с именами этих шестнадцатеричных кусков. Если вы сделаете их длиной 32 символа, они будут выглядеть как обычные каталоги. Только вы знаете, что если вы переводите имена обратно, у вас есть информация.
Бон Гарт
Но поскольку НАЗВАНИЕ вопроса таково : «Есть ли способ сделать мой жесткий диск недоступным для всех, кроме меня?» затем для целей данного обсуждения информация имеет значение РАВНОГО файла.
Бон Гарт
3

Я использую виртуальные диски TrueCrypt, которые защищены как очень длинными паролями, так и ключевыми файлами, хранящимися на USB-диске. Я также инициирую тайм-ауты на открытых виртуальных дисках, когда активность отсутствует в течение определенного времени. Использую этот тип безопасности в течение многих лет. Я обрабатываю очень большие базы данных на этих виртуальных дисках без проблем с производительностью.

Питер
источник
Используете ли вы процессор с аппаратной поддержкой AES, например Intel Sandy Bridge?
drxzcl
2

Ubuntu обеспечивает шифрование домашнего диска, которое является довольно безопасным ... Мне пришлось изо всех сил пытаться восстановить мои собственные данные, хотя я знал свой собственный ключ ... информацию о шифровании домашнего диска можно найти здесь :

Усама Джавед
источник
2

Шифрование бесполезно против повесток и / или пыток. Все компьютерные технологии должен сделать, это утверждают, возможно, анонимно, что файл, который Nothing_to_see_here.zip полон детской порнографии. ФБР заберет его у себя в магазине и потребует пароль. Он скажет им, что это ваш компьютер.

Будет какое-то правовое маневрирование. Вы либо окажетесь в тюрьме, либо останетесь свободными. В любом случае, компьютерные технологии узнали кое-что интересное о вашем секретном файле.

В качестве альтернативы он мог бы заявить о некоторой проблеме с ноутбуком, который нуждается в ремонте за $ x. Ваше разрешение или отсутствие разрешения на ремонт скажет ему что-то об экономической ценности Nothing_to_see_here.zip для вас.

Эмери
источник
2
Похоже, что 5-я поправка в США может защитить вас от того, чтобы вы не выдавали свой пароль за пределамиthebeltway.com/…, в этом конкретно упоминается TrueCrypt privacycast.com/…
Мэтью Локк,
2

Затем примите вызов, кто-то уже сказал вам, создайте файл, поместите файл, который вы хотите «спрятать», в файл RAR или 7-Zip с полным шифрованием, чтобы он не мог проверить, какие файлы находятся внутри сжатого файла. Используйте надежный пароль с цифрами, алфавитом и символами. Затем удалите исходный файл с помощью какого-либо инструмента, например Secure Delete (или аналогичного инструмента).

Готово, теперь он почти ничего не может сделать.

MrShoy
источник
2

Если вы хотите наивысший уровень безопасности, то, что даже правительства не могут юридически заставить вас решить, посмотрите на TrueCrypt . С TrueCrypt вы можете превратить пустое пространство в смонтированный раздел. Таким образом, если система проверяется, она должна выглядеть как старые заголовки данных, что вы увидите на каждом жестком диске, который когда-либо удалял данные. Поскольку нет никаких данных о пригодных для использования, разборчивых или восстанавливаемых данных, вы не обязаны по закону предоставлять доступ к указанным данным. Это также использует зашифрованные пароли многих уровней и существенной производительности также.

BloodyIron
источник