Средства шифрования аппаратные: Приказ Федеральной службы безопасности Российской Федерации от 9 февраля 2005 г. N 66 г. Москва «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

Аппаратные шифраторы | Мир ПК

09.08.2002 Автор: С.П. Панасенко, В.В. Ракитин

Известно, что алгоритмы защиты информации (прежде всего шифрования) можно реализовать как программным, так и аппаратным методом. Рассмотрим аппаратные шифраторы: почему они считаются более надежными и обеспечивающими лучшую защиту.

Что такое аппаратный шифратор

Аппаратный шифратор по виду и по сути представляет собой обычное компьютерное «железо», чаще всего это плата расширения, вставляемая в разъем ISA или PCI системной платы ПК. Бывают и другие варианты, например в виде USB-ключа с криптографическими функциями, но мы здесь рассмотрим классический вариант — шифратор для шины PCI.

Использовать целую плату только для функций шифрования — непозволительная роскошь, поэтому производители аппаратных шифраторов обычно стараются насытить их различными дополнительными возможностями, среди которых:

1. Генерация случайных чисел. Это нужно прежде всего для получения криптографических ключей. Кроме того, многие алгоритмы защиты используют их и для других целей, например алгоритм электронной подписи ГОСТ Р 34.10 — 2001. При каждом вычислении подписи ему необходимо новое случайное число.
2. Контроль входа на компьютер. При включении ПК устройство требует от пользователя ввести персональную информацию (например, вставить дискету с ключами). Работа будет разрешена только после того, как устройство опознает предъявленные ключи и сочтет их «своими». В противном случае придется разбирать системный блок и вынимать оттуда шифратор, чтобы загрузиться (однако, как известно, информация на ПК тоже может быть зашифрована).
3. Контроль целостности файлов операционной системы. Это не позволит злоумышленнику в ваше отсутствие изменить какие-либо данные. Шифратор хранит в себе список всех важных файлов с заранее рассчитанными для каждого контрольными суммами (или хэш-значениями), и если при следующей загрузке не совпадет эталонная сумма хотя бы одного из них, компьютер будет блокирован.

Плата со всеми перечисленными возможностями называется устройством криптографической защиты данных — УКЗД.

Шифратор, выполняющий контроль входа на ПК и проверяющий целостность операционной системы, называют также «электронным замком». Ясно, что аналогия неполная — обычные замки существенно уступают этим интеллектуальным устройствам. Понятно, что последним не обойтись без программного обеспечения — необходима утилита, с помощью которой формируются ключи для пользователей и ведется их список для распознавания «свой/чужой». Кроме того, требуется приложение для выбора важных файлов и расчета их контрольных сумм. Эти программы обычно доступны только администратору по безопасности, который должен предварительно настроить все УКЗД для пользователей, а в случае возникновения проблем разбираться в их причинах.

Вообще, поставив на свой компьютер УКЗД, вы будете приятно удивлены уже при следующей загрузке: устройство проявится через несколько секунд после включения кнопки Power, как минимум сообщив о себе и попросив ключи.

Структура шифраторов

Рассмотрим теперь, из чего должно состоять УКЗД, чтобы выполнять эти непростые функции (рис. 1):

Аппаратный ключ шифрования за 3$ — возможно ли это? / Хабр

Повсеместное шифрование и, как следствие, обилие ключей заставляет задуматься об их надежном хранении. Хранение ключей на внешних устройствах, откуда они не могут быть скопированы, уже давно считается хорошей практикой. Я расскажу о том, как за 3$ и 2 часа сделать такой девайс.

Это из Гарри Поттера. На фото изображены крестражи. Цитата из фильма: «Крестраж — это предмет, в котором человек спрятал часть своей души… помещает её в предмет и он будет защищен, если на него нападут …». Личные данные, которые мы все пытаемся защитить, вполне заслуженно можно сравнить с частью души)

Кратко о принципах работы

• Сохранить в файлике на рабочем столе — старый и проверенный годами способ записать что-то. Проблема в том, что помимо самого пользователя еще куча других программ имеет доступ к файлам на вашем рабочем столе. И если вы совершенно уверены в том, что все они делают то, для чего они предназначены, не собирают о вас никакие данные и попросту не сливают их в сеть — эта статья не для вас.
• Менеджеры паролей — по-сути такое же хранение в файлике, просто он теперь зашифрован и чтобы получить доступ нужно знать пароль. Уже неплохо, но раз менеджер паролей запускается на вашем компьютере, то незашифрованные ключи попадают в оперативную память, откуда могут быть украдены из-за какой-нибудь уязвимости ОС
• Записать на бумажку — удивительно, но этот способ выглядит немного более безопасным. Ключи не хранятся на вашем компьютере, кишащем вирусами. Каждый раз, когда вам нужно использовать ключ вы просто вводите его с клавиатуры. Однако, если ваши ключи довольно длинные(как например ssh-ключи) это может стать проблемой. Да и кейлоггеры не дремлют

Необходимые компоненты

Как ни странно, программатор для микроконтроллеров STM32 собран на микроконтроллере STM32. Этот девайс внешне очень напоминает флешку, что нам как нельзя на руку. К тому, же его корпус изготовлен из алюминия, так что можно не переживать что он повредится. Стоит это чудо на алиэкспресс 1. 5-3 доллара. Нам потребуется две такие штуки. Одну мы переделаем под ключ, а вторую будем использовать чтобы залить прошивку на первую. Если у Вас уже есть программатор STM32 можно обойтись и одной штукой.

Итого, нам потребуется:

• Программатор ST-Link v2 — 2 штуки
• Паяльник
• Немного проводов — как правило подходящие провода уже идут в комплекте с ST-Link
• Linux, для того, чтобы скомпилировать и залить прошивку

Компилируем прошивку

$ cd src

• arm-none-eabi-gcc
• arm-none-eabi-newlib
• openocd

$ sudo pacman -S arm-none-eabi-gcc
$ sudo pacman -S arm-none-eabi-newlib
$ sudo pacman -S openocd

Напомню, что мы находимся в папке src проекта.
Запускаем configure скрипт

$ ./configure --vidpid=234b:0000

$ make

Загрузка прошивки на устройство

Итак, берем один из программаторов и стягиваем с него корпус. Выбранный программатор и будет нашим донором. Вот что мы найдем внутри

Обратите внимание на 4 контакта на плате. К ним нам нужно будет припаяться. Я рекомендую использовать для этого провода, которые идут в комплекте с ST-Link. Зачищаем провода с одного конца и припаиваем их к контактам. Если нам повезло, то на плате будут обозначения этих контактов.

«

Теперь, второй конец проводов подключаем к оставшемуся целым программатору. Если вам повезло, то просто подключаем провода в соответствии с надписями:

GND к GND
3.3V к 3.3V
SWDIO к SWDIO
SWCLK к SWCLK

Если надписей на плате не оказалось, то прийдется тыкать наугад воспользоваться тестером. С его помощью можно легко найти GND(он соединен с GND на выводах программатора-донора), аналогично 3.3V. Остальные два провода прийдется подключать наугад. Благо, вариантов всего 2. В итоге, получается что-то похожее на это

На этом фото синий девайс — программматор, который мы используем только как программатор. Пусть вас не смущает то, что на фото в начале статьи у итогового девайса синий цвет корпуса. Это не он. Будущий девайс находится справа.

Загружаем прошивку

Запускаем команду:

$ openocd -f interface/stlink-v2. cfg -f target/stm32f1x.cfg -c 'program build/gnuk.elf verify reset exit'

Для этого запускаем команду:

openocd -f interface/stlink-v2.cfg -f target/stm32f1x.cfg -c init -c "reset halt" -c "stm32f1x lock 0" -c reset -c exit   

Собираем все обратно

Разламываем крепление и выпаиваем контакты по одному.

Теперь надеваем обратно корпус, и заклеиваем заднюю стенку подходящим куском пластика.

Как можно использовать

• Подписывание git коммитов — вопрос безопасности уже поднимался тут
• Хранение SSH ключей
• Шифрование и подписывание электронной почты по стандарту S/MIME — не проверял, но пишут что работает
• Вход в ОС без пароля — хороший гайд уже есть на хабре

Пример использования для ssh

Есть два пути — сгенерировать новый ключ или импортировать уже имеющийся ключ на токен.

Посмотрим оба варианта. Вставляем токен в USB. В dmesg можно посмотреть информацию о подключенном устройстве.

$ dmesg
[11073.599862] usb 1-3: USB disconnect, device number 11
[11311.647551] usb 1-3: new full-speed USB device number 12 using xhci_hcd
[11311. 796881] usb 1-3: New USB device found, idVendor=234b, idProduct=0000, bcdDevice= 2.00
[11311.796884] usb 1-3: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[11311.796885] usb 1-3: Product: Gnuk Token
[11311.796887] usb 1-3: Manufacturer: Free Software Initiative of Japan

Генерация нового ssh ключа

Заходим в gpg:

$ gpg --card-edit

gpg/card> admin

gpg/card> generate

CARD PIN — 123456
ADMIN PIN — 12345678

В будущем их обязательно нужно поменять.

Ключ может генерироваться немного дольше, чем если бы он генерировался непосредственно на компьютере, поэтому запасаемся терпением.

Импорт уже имеющегося ключа

$ pem2openpgp temporary_id < id_rsa  | gpg --import

$ gpg -K

sec>  rsa2048 2020-02-05 [C]
      DFEFF02E226560B7F5A5F2CAB19534F88F8FE4EC
      Card serial no. = FFFE 87144751
uid           [ unknown] temporary_id

Заходим в интерактивный режим редактирования ключа gpg:

$ gpg --edit-key DFEFF02E226560B7F5A5F2CAB19534F88F8FE4EC

gpg> keytocard

Экспорт публичного ключа в ssh формате

$ pkcs15-tool --list-keys

Using reader with a card: Free Software Initiative of Japan Gnuk (FSIJ-1.2.15-87144751) 00 00
Private RSA Key [Signature key]
	Object Flags   : [0x03], private, modifiable
	Usage          : [0x20C], sign, signRecover, nonRepudiation
	Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
	ModLength      : 2048
	Key ref        : 0 (0x00)
	Native         : yes
	Auth ID        : 01
	ID             : 01
	MD:guid        : f3de5f55-d100-4973-d572-40d67e20f033

$ pkcs15-tool --read-public-key 01

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyzHQIWEApliWYaf0T8jb
Vh3nc5+LklKXeuJFTN3BW2VqdrTw1rpKXiANWpi+qbtZhZ2nP3CJX6qoGobXyCOd
/iAiygFlyW4BwTQpnAm81IE9lPzfasOK7SBuKJ+ZbB4WpuYJRozgtt/gpWzmnWnW
84/CU9Lqbhz95v/C/DImSf6LiwVdmiEj4CUNInl5pY4trguDsSfkw1u8gGqSPEsD
ZXtlVRx8iBGi0JR02g9KTL4dDGocUtcTK8W0eY+BDbQSXfTGCy93v8sEyhdQjHs8
oDiwkvFQ86gYqwL5DJ7U/rFSO3A5X6zmkFFV8nJZjxB2qfE5aommtXxow4iPml3x
YwIDAQAB
-----END PUBLIC KEY-----

$ ssh-keygen -f pub. key -i -mPKCS8 

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDLMdAhYQCmWJZhp/RPyNtWHadzn4uSUpd64kVM3cFbZWp2tPDWukpeIA1amL6pu1mFnac/cIlfqqgahtfII53+ICLKAWXJbgHBNCmcCbzUgT2U/N9qw4rtIG4on5lsHham5glGjOC23+ClbOadadbzj8JT0upuHP3m/8L8MiZJ/ouLBV2aISPgJQ0ieXmlji2uC4OxJ+TDW7yAapI8SwNle2VVHHyIEaLQlHTaD0pMvh0MahxS1xMrxbR5j4ENtBJd9MYLL3e/ywTKF1CMezygOLCS8VDzqBirAvkMntT+sVI7cDlfrOaQUVXyclmPEHap8Tlqiaa1fGjDiI+aXfFj

Конфигурирование ssh

$ ssh -I /usr/lib/opensc-pkcs11.so martin@remotehost

Host digitalOceanServer
        HostName 192.168.0.1
        User root
        PKCS11Provider /usr/lib/opensc-pkcs11.so

$ ssh digitalOceanServer

Как поменять стандартные пин-коды

• PIN-code — этот код используется при рутинных операциях со смарт картой — зашифровать что-то, подписать и т.д.
• Admin Pin-code — этот код нужен для того, чтобы изменять/удалять ключи и делать всякие подобные «админские» вещи
• Reset code — код, который позволит разблокировать токен, после трех неправильных попыток ввода PIN-кода. Его использование не обязательно, так что решать вам

Теперь приступим. Для этого опять заходим в интерактивный режим GPG:

$ gpg --card-edit

gpg/card> passwd

Теперь нужно поменять пин-код администратора. Для этого переходим в режим администратора:

gpg/card> admin

gpg/card> passwd

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Your selection?

О безопасности устройства

Теперь поговорим немного о том, что будет если Вы потеряете этот ключ. Сам ключ защищен пин-кодом. После нескольких неудачных попыток ключ блокируется. Память самого устройства защищена от чтения, так что считать записанные в него ключи напрямую не получится.
Существуют некоторые виды атак на сам чип(например препарирование и подключение к нему микроэлектородов, что позволит измерять напряжение в любом месте чипа, в том числе и памяти), но они довольно затратные.

Так что, повторюсь еще раз, это отличный вариант начального уровня, и даже с ним безопасность выйдет на принципиально новый уровень.

Ссылки на полезные материалы

Upd. В комментариях подсказали, что есть прошивки, которые позволяют использовать девайс для двухфакторной аутентификации. Код прошивки можно найти тут
Upd. 2 15.02.2020 В комментариях подсказали, что для конкретно этого чипа существует уязвимость, позволяющая слить содержимое памяти. Насколько я понял, пока он еще не опубликована, но о ней заявлено. Так что пока все не однозначно. Там же предложили хорошее решение — залить внутрь корпуса устройства эпоксидную смолу смешанную с порошком алюминия. Такой способ был описан в книге Кевина Митника «Исскуство обмана». Таким образом, для того чтобы получить доступ к чипу нужно будет расковырять клей, что при неосторожном обращении может необратимо повредить чип. Конечно, и этот способ можно обойти, на это повышает стоимость взлома еще больше. Конечно, если будет нужно Моссад сделает свои Моссадовские штучки и это его не остановит, а только задержит.
Upd. 3 В личку прилетело много сообщений о том, что у людей не получается прошить ST-Link. Разобравшись, выяснили, что сейчас китайские производители стали активно экономить на компонентах и использовать чипы с 64Кб памяти на борту. А для прошивки этого недостаточно, ищите с чипом 128Кб на борту. Поэтому, рекомендую при покупке проверять какой чип установлен (если есть возможность), либо уточнять у продавца/в отзывах.
Upd. 4 Оказывается, все-таки можно использовать китайские программаторы с 64 Кб чипом (правда при этом прийдется использовать не самую свежую версию прошивки) — на хабре появилась интересная статья об этом.

Обзор Zserver — программно-аппаратного комплекса для шифрования данных

Сегодня сервер любой компании является хранилищем важной коммерческой информации. Договора, бухгалтерия, данные по партнерам, персональные данные сотрудников и клиентов, все остальные документы… Перечислять информацию, которая может считаться конфиденциальной и хранится на сервере корпоративной сети, можно еще долго. Вся она нуждается в надежной защите. Ведь если какие-то данные окажутся скомпрометированными или попадут в руки конкурентов, то это не только нанесет компании определенный финансовый ущерб, но и существенно ухудшит ее имидж, подорвет доверие к ней как со стороны партнеров, так и со стороны клиентов. В мировой практике известны случаи, когда благополучные фирмы теряли всех партнеров или даже вообще уходили с рынка только из-за утечки важной коммерческой информации. Именно поэтому к защите конфиденциальных данных нужно подходить серьезно. И использовать для ее организации серьезные продукты. Например, программно-аппаратный комплекс Zserver, разработанный специалистами компании SecurIT, который обеспечивает надежную криптографическую защиту данных.

Программно-аппаратный комплекс Zserver состоит из трех программных и двух аппаратных модулей. К программным относятся «Сервер защиты данных» (ПО, устанавливаемое непосредственно на сервер корпоративной сети), «Консоль управления» (модуль, обеспечивающий удаленное управление системой с компьютера офицера безопасности) и «Тревога» (модуль для подачи тревожного сигнала, может быть инсталлирован на любых компьютерах локальной сети). К аппаратному обеспечению относятся входящие в комплект токены или смарт-карты для хранения ключей шифрования и «красная кнопка» — проводное или радиоустройство для мгновенной подачи тревожного сигнала.

Система Zserver реализует ставший сегодня весьма популярным принцип прозрачного шифрования. Это значит, что вся важная информация всегда находится на жестком диске только в закодированном виде. При обращении к ней данные расшифровываются специальным системным драйвером прямо на лету, после чего передаются пользователю уже в открытом виде. При попытке записи информации происходит обратный процесс. Вот только рассматриваемый продукт «заточен» для корпоративного использования, а поэтому имеет некоторые важные особенности. Так, например, в качестве виртуального диска в нем используются не отдельные файлы-контейнеры, как в большинстве других программ, а целые разделы винчестера. Это обеспечивает более высокую скорость работы с информацией, а также гораздо большую надежность. Ведь файл-контейнер может быть удален или испорчен вирусом, злоумышленником или случайно самим пользователем. Зашифрованный же раздел винчестера воспринимается операционными системами просто как неразмеченное место. А поэтому никакими стандартными средствами навредить ему нельзя.

Консоль управления системой Zserver

Интересной особенностью системы Zserver является то, что она не содержит встроенных криптографических средств. Она может использовать лишь внешние криптопровайдеры. Но этого не стоит пугаться. В Windows есть стандартные криптографические библиотеки, реализующие надежные алгоритмы шифрования. В большинстве случаев их будет вполне достаточно для защиты коммерческих данных. Однако некоторым государственным организациям закон разрешает использовать только сертифицированные ФСБ криптографические технологии. В этом случае в качестве криптопровайдера для системы Zserver может выступать плата для шифрования «Криптон» или ее программный аналог (они реализуют алгоритм ГОСТ 28147-89).

Для генерации ключей шифрования используются действия пользователя. Человеку предлагается хаотично подвигать мышкой по столу. На основании этих перемещений формируется массив случайных чисел, который и используется для создания ключа. Храниться ключ шифрования может только на защищенных носителях информации: смарт-картах и USB-токенах. Это обеспечивает его надежную защиту от компрометации. При работе системы ключ шифрования всегда находится в оперативной памяти сервера и никогда не записывается на жесткий диск.

Процесс работы с системой Zserver начинается с создания зашифрованного раздела. Сделать это можно двумя способами. Первый из них — шифрованное форматирование выбранного диска. Этот вариант очень быстрый (суть его заключается в форматировании раздела при включенном режиме шифрования), но при его использовании вся информация, содержащаяся в данном разделе, будет уничтожена. Второй способ заключается в шифровании исходной информации. Интересно, что этот процесс может проходить в фоновом режиме. То есть во время его работы пользователи могут не прерывать свою деятельность. Это обеспечивается параллельным выполнением шифрования и прочих операций чтения-записи.

Генерация ключа шифрования

Другой важной особенностью процесса шифрования является его атомарность. Это значит, что он состоит из множества «маленьких» транзакций. Такой подход позволяет вернуться в первоначальное состояние в том случае, если процесс шифрования будет прерван администратором или в результате какого-либо сбоя (например, отключения электропитания). Это весьма актуально, поскольку зачастую криптографические преобразования занимают много времени (речь идет, конечно же, о первоначальном шифровании), а любой сбой в них может привести к потере информации.

После того как защищенный раздел создан, система полностью готова к работе. Для того чтобы открыть пользователям доступ к хранилищу, администратор должен загрузить в память сервера ключ шифрования, который хранится на его смарт-карте или USB-токене. Кстати, здесь у системы Zserver есть еще одна уникальная возможность, отсутствующая у конкурентов. Речь идет о так называемом кворуме ключей. Суть этой технологии сводится к следующему. В процессе создания ключа шифрования он делится на несколько (это число задается администратором) частей. Все они записываются на разные носители, которые раздаются различным сотрудникам. В будущем для того, чтобы открыть защищенный диск, необходимо загрузить в память сервера определенное число этих частей, которое может быть меньше их общего количества. Такой подход обладает двумя преимуществами. Во-первых, он гарантирует защиту информации в случае компрометации любой части ключа. Ну а во-вторых, он существенно уменьшает подверженность системы защиты действиям инсайдеров. Ведь при его использовании ни один сотрудник компании не сможет в одиночку открыть доступ к информации.

После открытия защищенного диска работа с ним пользователей осуществляется как обычно. На их компьютерах не нужно устанавливать никакого дополнительного программного обеспечения. Права доступа к информации на зашифрованном разделе определяются стандартными средствами операционной системы. Таким образом, никто из сотрудников компании, за исключением доверенных лиц, не может даже подозревать о действующей на сервере системе защиты конфиденциальных данных.

Закрытие диска осуществляется путем удаления из оперативной памяти сервера ключа шифрования. Обычно это действие производится администратором или офицером безопасности. Однако иногда возникают такие случаи, когда сделать это нужно немедленно. Для этого предназначен специальный режим «Тревога». При его активации все загруженные в память сервера ключи будут удалены, а сама машина перезагружена. Подать сигнал на выполнение такого действия можно с любого компьютера, на котором установлен соответствующий модуль. Другим вариантом подачи сигнала «Тревога» является «красная кнопка» — специальное проводное или радиоустройство. Весьма любопытно, что интерфейс «общения» этого устройства с компьютером открытый. Это значит, что при желании можно «подключить» систему Zserver к любой сигнализации, датчикам движения, открытия дверей или окон и т. п. В этом случае система будет сама отключать все зашифрованные диски при наступлении любого потенциально опасного события.

Процесс первичного шифрования диска

Еще одним элементом защиты защищенного хранилища является возможность их подключения «под принуждением». В том случае, если кто-то угрозами заставляет сотрудника, обладающего ключом шифрования, подключить закрытый диск, последний может ввести PIN-код, необходимый для доступа к памяти смарт-карты, наоборот, то есть справа налево. При этом система сразу же сотрет все ключи шифрования, хранящиеся в защищенной памяти смарт-карты, после чего выдаст соответствующую ошибку.

Отдельного упоминания заслуживает удобство управления всей работой системы защиты Zserver. Осуществляется оно с помощью специальной консоли, которая может быть установлена на любом компьютере, связанном с сервером и по протоколу TCP/IP. Таким образом, речь идет о полноценном удаленном управлении защитой, когда офицеру безопасности не нужно предоставлять физический доступ в «святая святых» — серверную комнату. Примечательно, что с помощью консоли управления администратор может полностью контролировать защиту всех доступных серверов. Более того, эта утилита универсальна, с ее помощью можно управлять и некоторыми другими продуктами компании SecurIT, рассчитанными на корпоративное использование, например, программно-аппаратным комплексом Zbackup.

Нельзя также не сказать и об еще одном дополнительном модуле рассматриваемой системы. Речь идет о Zserver Script Pack. С его помощью администратор может существенно расширить функциональность Zserver, увеличить степень интеграции этого продукта в существующую инфраструктуру. Дело в том, что Script Pack предоставляет возможность вызова пользовательских сценариев при возникновении определенных событий на сервере: открытии или закрытии диска, появлении сигнала «Тревога». В него входит несколько уже готовых сценариев, написанных на языке JScript. Включив их вызовы, администратор сможет реализовать, например, отправку сообщения по электронной почте или подмену защищенного диска (размонтирование «настоящего» и монтирование «ложного») при возникновении тревоги. Помимо этого можно самостоятельно создавать любые сценарии и подключать их к Zserver Script Pack.

Редактирование прав пользователя

Ну и напоследок давайте хотя бы просто упомянем о паре дополнительных возможностей рассматриваемой системы. Первая из них — журналирование всех действий администратора. В некоторых случаях такой лог может оказать просто огромную помощь. Ну а вторая — возможность работы системы Zserver с кластерными системами. Правда, для этого необходимо использовать специальную редакцию этого продукта — Cluster Edition.

Итак, теперь можно подвести итоги. Система Zserver — очень серьезный программно-аппаратный комплекс, предназначенный для защиты конфиденциальной информации, хранящейся на сервере локальной сети. Она специально разработана для корпоративного использования, что видно из ее возможностей. Кроме того, в Zserver реализован ряд функций, увеличивающих надежность защиты и удобство ее использования, которые отсутствуют у подавляющего большинства конкурентов: кворум ключей шифрования, фоновое шифрование, применение атомарных криптографических преобразований и т. п.

5. Аппаратное и программное шифрование

Аппаратное и программное шифрование

Аппаратное шифрование

Большинство средств криптографической защиты данных реализовано в виде специализированных физических устройств. Эти устройства встраиваются в линию связи и осуществляют шифрование всей передаваемой но ней информации. Преобладание аппаратного шифрования над программным обусловлено несколькими причинами.

• Более высокая скорость. Криптографические алгоритмы состоят из огромного числа сложных операций, выполняемых над битами открытого текста. Современные универсальные компьютеры плохо приспособлены для эффективного выполнения этих операций. Специализированное оборудование умеет делать их гораздо быстрее.
• Аппаратуру легче физически защитить от проникновения извне. Программа. выполняемая на персональном компьютере, практически беззащитна. Вооружившись отладчиком, злоумышленник может внести в нее скрытые изменения, чтобы понизить стойкость используемого криптографического алгоритма, и никто ничего не заметит. Что же касается аппаратуры, то она обычно помещается в особые контейнеры, которые делают невозможным изменение схемы ее функционирования. Чип покрывается специальным химическим составом, и в результате любая попытка преодолеть защитный слой этого чипа приводит к самоуничтожению его внутренней логической структуры. И хотя иногда электромагнитное излучение может служить хорошим источником информации о том, что происходит внутри микросхемы, от этого излучения легко избавиться, заэкранировав микросхему. Аналогичным образом можно заэкранировать и компьютер, однако сделать это гораздо сложнее, чем миниатюрную микросхему.
• Аппаратура шифрования более проста в установке. Очень часто шифрование требуется там, где дополнительное компьютерное оборудование является совершенно излишним. Телефоны, факсимильные аппараты и модемы значительно дешевле оборудовать устройствами аппаратного шифрования, чем встраивать в них микрокомпьютеры с соответствующим программным обеспечением.

Даже в компьютерах установка специализированного шифровального оборудования создает меньше проблем, чем модернизация системного программного обеспечения с целью добавления в него функций шифрования данных. В идеале шифрование должно осуществляться незаметно для пользователя. Чтобы добиться этого при помощи программных средств, средства шифрования должны быть упрятаны глубоко в недра операционной системы. С готовой и отлаженной операционной системой проделать это безболезненно не так-то просто. Но даже любой непрофессионал сможет подсоединить шифровальный блок к персональному компьютеру, с одной стороны, и к внешнему модему, с другой.

Современный рынок аппаратных средств шифрования информации предлагает потенциальным покупателям 3 разновидности таких средств — самодостаточные шифровальные модули (они самостоятельно выполняют всю работу с ключами), блоки шифрования в каналах связи и шифровальные платы расширения для установки в персональные компьютеры. Большинство устройств первого и второго типов являются узко специализированными. и поэтому прежде, чем принимать окончательное решение об их приобретении, необходимо досконально изучить ограничения, которые при установке накладывают эти устройства на соответствующее «железо», операционные системы и прикладное программное обеспечение. А иначе можно выбросить деньги на ветер, ни на йоту не приблизившись к желанной цели. Правда, иногда выбор облегчается тем, что некоторые компании торгуют коммуникационным оборудованием, которое уже имеет предустановленную аппаратуру шифрования данных.

Платы расширения для персональных компьютеров являются более универсальным средством аппаратного шифрования и обычно могут быть легко сконфигурированы таким образом, чтобы шифровать всю информацию, которая записывается на жесткий диск компьютера, а также все данные, пересылаемые на дискеты и в последовательные порты. Как правило, зашита от электромагнитного излучения в шифровальных платах расширения отсутствует, поскольку нет смысла защищать эти платы, если аналогичные меры не предпринимаются в отношении всего компьютера.

Программное шифрование

Любой криптографический алгоритм может быть реализован в виде соответствующей программы. Преимущества такой реализации очевидны: программные средства шифрования легко копируются, они просты в использовании, их нетрудно модифицировать в соответствии с конкретными потребностями.

Во всех распространенных операционных системах имеются встроенные средства шифрования файлов. Обычно они предназначены для шифрования отдельных файлов, и работа с ключами целиком возлагается на пользователя. Поэтому применение этих средств требует особого внимания. Во-первых, ни в коем случае нельзя хранить ключи на диске вместе с зашифрованными с их помощью файлами, а во-вторых, незашифрованные копии файлов необходимо удалить сразу после шифрования.

Конечно, злоумышленник может добраться до компьютера и незаметно внести нежелательные изменения в программу шифрования. Однако основная проблема состоит отнюдь не в этом. Если злоумышленник в состоянии проникнуть в помещение, где установлен компьютер, он вряд ли будет возиться с программой, а просто установит скрытую камеру в стене, подслушивающее устройство — в телефон или датчик для ретрансляции электромагнитного излучения — в компьютер. В конце концов, если злоумышленник может беспрепятственно все это сделать, сражение с ним проиграно, даже еще не начавшись.

это что? Средства криптографической защиты информации

Термин «криптография» происходит от древнегреческих слов «скрытый» и «пишу». Словосочетание выражает основное назначение криптографии – это защита и сохранение тайны переданной информации. Защита информации может происходить различными способами. Например, путем ограничения физического доступа к данным, скрытия канала передачи, создания физических трудностей подключения к линиям связи и т. д.

Цель криптографии

В отличие от традиционных способов тайнописи, криптография предполагает полную доступность канала передачи для злоумышленников и обеспечивает конфиденциальность и подлинность информации с помощью алгоритмов шифрования, делающих информацию недоступной для постороннего прочтения. Современная система криптографической защиты информации (СКЗИ) – это программно-аппаратный компьютерный комплекс, обеспечивающий защиту информации по следующим основным параметрам.

• Конфиденциальность – невозможность прочтения информации лицами, не имеющими соответствующих прав доступа. Главным компонентом обеспечения конфиденциальности в СКЗИ является ключ (key), представляющий собой уникальную буквенно-числовую комбинацию для доступа пользователя в определенный блок СКЗИ.
• Целостность – невозможность несанкционированных изменений, таких как редактирование и удаление информации. Для этого к исходной информации добавляется избыточность в виде проверочной комбинации, вычисляемой по криптографическому алгоритму и зависящая от ключа. Таким образом, без знания ключа добавление или изменение информации становится невозможным.
• Аутентификация – подтверждение подлинности информации и сторон, ее отправляющих и получающих. Передаваемая по каналам связи информация должна быть однозначно аутентифицирована по содержанию, времени создания и передачи, источнику и получателю. Следует помнить, что источником угроз может быть не только злоумышленник, но и стороны, участвующие в обмене информацией при недостаточном взаимном доверии. Для предотвращения подобных ситуации СКЗИ использует систему меток времени для невозможности повторной или обратной отсылки информации и изменения порядка ее следования.

• Авторство – подтверждение и невозможность отказа от действий, совершенных пользователем информации. Самым распространенным способом подтверждения подлинности является электронная цифровая подпись (ЭЦП). Система ЭЦП состоит из двух алгоритмов: для создания подписи и для ее проверки. При интенсивной работе с ЭКЦ рекомендуется использование программных удостоверяющих центров для создания и управления подписями. Такие центры могут быть реализованы как полностью независимое от внутренней структуры средство СКЗИ. Что это означает для организации? Это означает, что все операции с электронными подписями обрабатываются независимыми сертифицированными организациями и подделка авторства практически невозможна.

Алгоритмы шифрования

На текущий момент среди СКЗИ преобладают открытые алгоритмы шифрования с использованием симметричных и асимметричных ключей с длиной, достаточной для обеспечения нужной криптографической сложности. Наиболее распространенные алгоритмы:

• симметричные ключи – российский Р-28147. 89, AES, DES, RC4;
• асимметричные ключи – RSA;
• с использованием хеш-функций — Р-34.11.94, MD4/5/6, SHA-1/2.

Многие страны имеют свои национальные стандарты алгоритмов шифрования. В США используется модифицированный алгоритм AES с ключом длиной 128-256 бит, а в РФ алгоритм электронных подписей Р-34.10.2001 и блочный криптографический алгоритм Р-28147.89 с 256-битным ключом. Некоторые элементы национальных криптографических систем запрещены для экспорта за пределы страны, деятельность по разработке СКЗИ требует лицензирования.

Системы аппаратной криптозащиты

Аппаратные СКЗИ — это физические устройства, содержащие в себе программное обеспечение для шифрования, записи и передачи информации. Аппараты шифрации могут быть выполнены в виде персональных устройств, таких как USB-шифраторы ruToken и флеш-диски IronKey, плат расширения для персональных компьютеров, специализированных сетевых коммутаторов и маршрутизаторов, на основе которых возможно построение полностью защищенных компьютерных сетей.

Аппаратные СКЗИ быстро устанавливаются и работают с высокой скоростью. Недостатки – высокая, по сравнению с программными и программно-аппаратными СКЗИ, стоимость и ограниченные возможности модернизации.

Также к аппаратным можно отнести блоки СКЗИ, встроенные в различные устройства регистрации и передачи данных, где требуется шифрование и ограничение доступа к информации. К таким устройствам относятся автомобильные тахометры, фиксирующие параметры автотранспорта, некоторые типы медицинского оборудования и т.д. Для полноценной работы таким систем требуется отдельная активация СКЗИ модуля специалистами поставщика.

Системы программной криптозащиты

Программные СКЗИ — это специальный программный комплекс для шифрования данных на носителях информации (жесткие и флеш-диски, карты памяти, CD/DVD) и при передаче через Интернет (электронные письма, файлы во вложениях, защищенные чаты и т.д.). Программ существует достаточно много, в т. ч. бесплатных, например, DiskCryptor. К программным СКЗИ можно также отнести защищенные виртуальные сети обмена информацией, работающие «поверх Интернет»(VPN), расширение Интернет протокола HTTP с поддержкой шифрования HTTPS и SSL – криптографический протокол передачи информации, широко использующийся в системах IP-телефонии и интернет-приложениях.

Программные СКЗИ в основном используются в сети Интернет, на домашних компьютерах и в других сферах, где требования к функциональности и стойкости системы не очень высоки. Или как в случае с Интернетом, когда приходится одновременно создавать множество разнообразных защищенных соединений.

Программно-аппаратная криптозащита

Сочетает в себе лучшие качества аппаратных и программных систем СКЗИ. Это самый надежный и функциональный способ создания защищенных систем и сетей передачи данных. Поддерживаются все варианты идентификации пользователей, как аппаратные (USB-накопитель или смарт-карта), так и «традиционные» — логин и пароль. Программно-аппаратные СКЗИ поддерживают все современные алгоритмы шифрования, обладают большим набором функций по созданию защищенного документооборота на основе ЭЦП , всеми требуемыми государственными сертификатами. Установка СКЗИ производится квалифицированным персоналом разработчика.

Компания «КРИПТО-ПРО»

Один из лидеров российского криптографического рынка. Компания разрабатывает весь спектр программ по защите информации с использованием ЭЦП на основе международных и российских криптографических алгоритмов.

Программы компании используются в электронном документообороте коммерческих и государственных организаций, для сдачи бухгалтерской и налоговой отчетности, в различных городских и бюджетных программах и т. д. Компанией выдано более 3 млн. лицензий для программы КриптоПРО CSP и 700 лицензий для удостоверяющих центров. «Крипто-ПРО» предоставляет разработчикам интерфейсы для встраивания элементов криптографической защиты в свои программные продукты и оказывает весь спектр консалтинговых услуг по созданию СКЗИ.

Криптопровайдер КриптоПро

При разработке СКЗИ КриптоПро CSP использовалась встроенная в операционную систему Windows криптографическая архитектура Cryptographic Service Providers. Архитектура позволяет подключать дополнительные независимые модули, реализующие требуемые алгоритмы шифрования. С помощью модулей, работающих через функции CryptoAPI, криптографическую защиту могут осуществлять как программные, так и аппаратные СКЗИ.

Носители ключей

В качестве личных ключей могут использоваться различные аппаратные средства, такие как:

• смарт-карты и считыватели;
• электронные замки и считыватели, работающие с устройствами Touch Memory;
• различные USB-ключи и сменные USB-накопители;
• файлы системного реестра Windows, Solaris, Linux.

Функции криптопровайдера

СКЗИ КриптоПро CSP полностью сертифицирована ФАПСИ и может использоваться для:

1. Обеспечения юридической силы и авторизации электронных документов с помощью создания и проверки ЭЦП в соответствии с российскими стандартами шифрования.

2. Полной конфиденциальности, аутентичности и целостности данных с помощью шифрования и имитационной защиты согласно российским стандартам шифрования и протокола TLS.

3. Проверки и контроля целостности программного кода для предотвращения несанкционированного изменения и доступа.

4. Создания регламента защиты системы.

Дисковое шифрование • ru.knowledgr.com

Дисковое шифрование — технология, которая защищает информацию, преобразовывая его в нечитабельный кодекс, который не может быть расшифрован легко лишенными полномочий людьми. Дисковое шифрование использует дисковое программное обеспечение шифрования или аппаратные средства, чтобы зашифровать каждую часть данных, которые идут на дисковый или дисковый объем. Дисковое шифрование предотвращает несанкционированный доступ к хранению данных.

Полное дисковое шифрование (FDE) выражений или целое дисковое шифрование часто показывают, что все на диске зашифровано – включая программы, которые могут зашифровать самозагружаемое разделение операционной системы – когда часть диска обязательно не зашифрована. FileVault 2 шифрует OS X объемов запуска полностью; информация уполномоченных пользователей FDE загружена от отдельного не зашифрованный объем ботинка (тип разделения/части Apple_Boot). На системах, которые используют основной отчет ботинка (MBR), та часть диска остается не зашифрованной. Некоторые основанные на аппаратных средствах полные дисковые системы шифрования могут действительно зашифровать весь загрузочный диск, включая MBR.

Прозрачное шифрование

Прозрачное шифрование, также известное как шифрование в реальном времени и непрерывное шифрование (OTFE), является методом, используемым некоторым дисковым программным обеспечением шифрования. «Прозрачный» относится к факту, что данные автоматически зашифрованы или расшифрованы, поскольку они загружены или спасены.

С прозрачным шифрованием файлы немедленно доступны после того, как ключ обеспечен, и весь объем, как правило, устанавливается, как будто это был физический двигатель, делая файлы столь же доступными как любые незашифрованные. Никакие данные, хранившие на зашифрованном объеме, не могут быть прочитаны (расшифрованные), не используя правильный password/keyfile (s) или правильные ключи шифрования. Вся файловая система в пределах объема зашифрована (включая имена файла, имена папки, содержание файла и другие метаданные).

Чтобы быть прозрачным конечному пользователю, прозрачное шифрование обычно требует, чтобы использование драйверов устройства позволило процесс шифрования. Хотя права доступа администратора обычно требуются, чтобы устанавливать таких водителей, зашифрованные объемы могут, как правило, использоваться нормальными пользователями без этих прав

.

В целом каждый метод, в котором данные прозрачно зашифрованы на, пишет, и расшифрованный на прочитанном может быть назван прозрачным шифрованием.

Дисковое шифрование против шифрования уровня файловой системы

Дисковое шифрование не заменяет шифрование файла во всех ситуациях. Дисковое шифрование иногда используется вместе с шифрованием уровня файловой системы с намерением обеспечить более безопасное внедрение. Так как дисковое шифрование обычно использует тот же самый ключ для шифровки целого объема, все данные decryptable, когда система бежит. Однако некоторые дисковые решения для шифрования используют многократные ключи для шифровки различного разделения. Если нападавший получает доступ к компьютеру во времени выполнения, у нападавшего есть доступ ко всем файлам. Обычное шифрование файла и папки вместо этого позволяет различные ключи для различных частей диска. Таким образом нападавший не может извлечь информацию из все еще зашифрованных файлов и папок.

В отличие от дискового шифрования, шифрование уровня файловой системы, как правило, не шифрует метаданные файловой системы, такие как структура каталогов, имена файла, метки времени модификации или размеры.

Дисковое шифрование и Модуль Платформы, Которому доверяют

Trusted Platform Module (TPM) — безопасный cryptoprocessor, включенный в материнскую плату, которая может использоваться, чтобы подтвердить подлинность устройства аппаратных средств. Так как каждый чип TPM уникален для особого устройства, это способно к выступающей идентификации платформы. Это может использоваться, чтобы проверить, что система, ища доступ является ожидаемой системой.

ограниченного числа дисковых решений для шифрования есть поддержка TPM. Эти внедрения могут обернуть ключ декодирования использование TPM, таким образом связав жесткий диск (HDD) с особым устройством. Если жесткий диск будет удален из того особого устройства и помещен в другого, то процесс декодирования потерпит неудачу. Восстановление возможно с паролем декодирования или символом.

Хотя у этого есть преимущество, что диск не может быть удален из устройства, это могло бы создать единственный пункт неудачи в шифровании. Например, если бы что-то происходит с TPM или материнской платой, пользователь не был бы в состоянии получить доступ к данным, соединяя жесткий диск с другим компьютером, если у того пользователя нет отдельного ключа восстановления.

Внедрения

Есть многократные инструменты, доступные на рынке, которые допускают дисковое шифрование. Однако они варьируются значительно по особенностям и безопасности. Они разделены на три главных категории: основанный на программном обеспечении, основанный на аппаратных средствах в пределах устройства хранения данных и основанный на аппаратных средствах в другом месте (такого как центральный процессор или адаптер системной шины). Основанное на аппаратных средствах полное дисковое шифрование в пределах устройства хранения данных называют, самошифруя двигатели и не оказывает влияния на работу вообще. Кроме того, ключ шифрования СМИ никогда не оставляет само устройство и поэтому не доступен любому вирусу в операционной системе.

Trusted Computing Group Опэл-Драйв обеспечивает промышленность, приняла стандартизацию для самошифровки двигателей. Внешние аппаратные средства значительно быстрее, чем основанные на программном обеспечении решения, хотя версии центрального процессора могут все еще оказать исполнительное влияние, и СМИ encyption ключи также не защищены.

Все решения для двигателя ботинка требуют компонента Идентификации Перед ботинком, который доступен для всех типов решений от многих продавцов. Важно во всех случаях, чтобы верительные грамоты идентификации обычно были главной потенциальной слабостью, так как симметричная криптография обычно сильна.

Механизм пароля/восстановления данных

Безопасные и безопасные механизмы восстановления важны для крупномасштабного развертывания любых дисковых решений для шифрования на предприятии. Решение должно обеспечить легкий, но безопасный способ возвратить пароли (самое главное данные) в случае, если пользователь покидает компанию без уведомления или забывает пароль.

Механизм восстановления пароля проблемы/ответа

Механизм восстановления пароля проблемы/Ответа позволяет паролю быть восстановленным безопасным способом. Это предлагается ограниченным числом дисковых решений для шифрования.

Некоторые выгоды восстановления пароля проблемы/ответа:

1. Никакая потребность в пользователе нести диск с ключом шифрования восстановления.
2. Никакие секретные данные не переданы во время процесса восстановления.
3. Никакая информация не может вдохнуться.
4. Не требует сетевой связи, т.е. она работает на пользователей, которые являются в отдаленном местоположении.

Механизм восстановления пароля файла Emergency Recovery Information (ERI)

Файл Emergency Recovery Information (ERI) обеспечивает альтернативу для восстановления, если механизм ответа проблемы невыполним из-за стоимости сотрудников службы поддержки для проблем внедрения или небольших компаний.

Некоторые выгоды восстановления файла ERI:

1. Небольшие компании могут использовать его без трудностей с внедрением
2. Никакие секретные данные не переданы во время процесса восстановления.
3. Никакая информация не может вдохнуться.
4. Не требует сетевой связи, т.е. она работает на пользователей, которые являются в отдаленном местоположении.

Проблемы безопасности

Самые полные дисковые схемы шифрования уязвимы для холодного нападения ботинка, посредством чего ключи шифрования могут быть украдены холодной загрузкой машина, уже управляющая операционной системой, затем свалив содержание памяти, прежде чем данные исчезнут. Нападение полагается на собственность остаточного магнетизма данных машинной памяти, посредством чего биты данных могут взять до нескольких минут, чтобы ухудшиться после того, как власть была удалена. Даже Trusted Platform Module (TPM) не эффективный против нападения, поскольку операционная система должна держаться, декодирование вводит память, чтобы получить доступ к диску.

Все основанные на программном обеспечении системы шифрования уязвимы для различных нападений канала стороны, таких как акустический криптоанализ и кейлоггеры аппаратных средств.

Напротив, самошифрующие двигатели не уязвимы для этих нападений, так как ключ шифрования аппаратных средств никогда не оставляет дискового диспетчера.

Полное дисковое шифрование

Преимущества

Полное дисковое шифрование обладает несколькими преимуществами по сравнению с регулярным файлом или шифрованием папки или зашифрованными хранилищами. Следующее — некоторые выгоды дискового шифрования:

1. Почти все включая область подкачки и временные файлы зашифровано. Шифровка этих файлов важна, поскольку они могут показать важные конфиденциальные данные. С внедрением программного обеспечения не может быть зашифрован кодекс самонастройки как бы то ни было. (Например, Шифрование Битлокер-Драйв оставляет незашифрованный объем, чтобы загрузить от, в то время как объем, содержащий операционную систему, полностью зашифрован. )
2. С полным дисковым шифрованием, решение которого отдельные файлы зашифровать не оставляют до усмотрения пользователей. Это важно для ситуаций, в которых пользователи не могли бы хотеть или могли бы забыть шифровать чувствительные файлы.
3. Непосредственное разрушение данных, такое как простое разрушение ключей криптографии, отдает содержавшие бесполезные данные. Однако, если безопасность к будущим нападениям — беспокойство, производя чистку, или физическое разрушение советуется.

Проблема ключа ботинка

Одна проблема, чтобы обратиться в полном дисковом шифровании — то, что блоки, где операционная система сохранена, должны быть расшифрованы, прежде чем OS может загрузить, означая, что ключ должен быть доступным, прежде чем будет пользовательский интерфейс, чтобы попросить пароль. Самые полные Дисковые Решения для шифрования используют Идентификацию Перед ботинком, загружая маленькую, очень безопасную операционную систему, которая строго запирается вниз и крошится против системных переменных, чтобы проверить на целостность ядра Перед ботинком. Некоторые внедрения, такие как Шифрование Битлокер-Драйв могут использовать аппаратные средства, такие как Модуль Платформы, Которому доверяют, чтобы гарантировать целостность окружающей среды ботинка, и таким образом разбить нападения, которые предназначаются для загрузчика операционной системы, заменяя его измененной версией. Это гарантирует, что идентификация может иметь место в окружающей среде, которой управляют, без возможности bootkit, используемого ниспровергать декодирование перед ботинком.

С окружающей средой Идентификации Перед ботинком не расшифрован ключ, используемый, чтобы зашифровать данные, пока внешний ключ не введен в систему.

Решения для хранения внешнего ключа включают:

• Имя пользователя / пароль
• Используя smartcard в сочетании с PIN
• Используя биометрический метод идентификации, такой как отпечаток пальца
• Используя защитную заглушку, чтобы сохранить ключ, предполагая, что пользователь не позволит защитной заглушке быть украденной с ноутбуком или что защитная заглушка зашифрована также.
• Используя водителя времени загрузки, который может попросить пароль от пользователя
• Используя сетевой обмен, чтобы возвратить ключ, например как часть PXE загружают
• Используя TPM, чтобы сохранить ключ декодирования, предотвращая несанкционированный доступ ключа декодирования или подрывную деятельность загрузчика операционной системы.
• Используйте комбинацию вышеупомянутого

всех этих возможностей есть различные степени безопасности, однако большинство лучше, чем незашифрованный диск.

См. также

• Дисковые аппаратные средства шифрования

• Основанное на аппаратных средствах полное дисковое шифрование

• Дисковое программное обеспечение шифрования

• Дисковая теория шифрования

• Шифрование уровня файла

• Цифровая судебная экспертиза

• Единственный знак — на

Дополнительные материалы для чтения

Внешние ссылки

• Президентский Мандат, требующий шифрования данных на американских ноутбуках правительственного учреждения

против программного шифрования: простое руководство

Шифрование — невероятно важный инструмент для обеспечения безопасности ваших данных. Когда ваши файлы зашифрованы, их невозможно прочитать без правильного ключа шифрования. Если кто-то украдет ваши зашифрованные файлы, он не сможет с ними ничего сделать.

Существует два типа шифрования: аппаратное и программное. Оба предлагают разные преимущества. Итак, что это за методы и почему они важны?

Программное обеспечение шифрования

Как следует из названия, программное шифрование использует программные инструменты для шифрования ваших данных.Некоторые примеры этих инструментов включают функцию шифрования диска BitLocker в Microsoft® Windows® и диспетчер паролей 1Password. Оба используют инструменты шифрования для защиты информации на вашем ПК, смартфоне или планшете.

Программное шифрование обычно основывается на пароле; введите правильный пароль, и ваши файлы будут расшифрованы, иначе они останутся заблокированными. При включенном шифровании он проходит через специальный алгоритм, который шифрует ваши данные при их записи на диск. Это же программное обеспечение затем расшифровывает данные при чтении с диска для аутентифицированного пользователя.

Плюсы

Программное шифрование обычно довольно дешево в реализации, что делает его очень популярным среди разработчиков. Кроме того, программные процедуры шифрования не требуют дополнительного оборудования.

Минусы

Программное обеспечение шифрования настолько же безопасно, как и остальная часть вашего компьютера или смартфона. Если хакер может взломать ваш пароль, шифрование немедленно отменяется.

также совместно используют ресурсы обработки вашего компьютера, что может вызвать замедление работы всей машины при шифровании / дешифровании данных.Вы также обнаружите, что открытие и закрытие зашифрованных файлов происходит намного медленнее, чем обычно, потому что этот процесс является относительно ресурсоемким, особенно для более высоких уровней шифрования.

Аппаратное шифрование В основе аппаратного шифрования лежит отдельный процессор, предназначенный для аутентификации и шифрования. Аппаратное шифрование становится все более распространенным на мобильных устройствах. Сканер отпечатков пальцев TouchID на Apple® iPhones® — хороший тому пример.

Технология по-прежнему полагается на специальный ключ для шифрования и дешифрования данных, но он генерируется случайным образом процессором шифрования.Часто устройства аппаратного шифрования заменяют традиционные пароли биометрическими входами (например, отпечатками пальцев) или PIN-кодом, который вводится на подключенной клавиатуре.

Плюсы

Аппаратное шифрование безопаснее программного шифрования, поскольку процесс шифрования выполняется отдельно от остальной части машины. Это значительно затрудняет перехват или взлом.

Использование выделенного процессора также снижает нагрузку на остальную часть вашего устройства, значительно ускоряя процесс шифрования и дешифрования.

Минусы

Обычно аппаратное зашифрованное хранилище стоит намного дороже, чем программный инструмент. Например, BitLocker бесплатно включен во все новые версии Microsoft Windows, но зашифрованный USB-накопитель стоит довольно дорого, особенно по сравнению с незашифрованной альтернативой.

Если аппаратный процессор дешифрования выходит из строя, доступ к вашей информации становится чрезвычайно трудным.

Задача восстановления данных

Зашифрованные данные сложно восстановить.Даже при восстановлении необработанных секторов с неисправного диска он по-прежнему зашифрован, что означает, что он по-прежнему не читается. Некоторые системы программного шифрования, такие как BitLocker, имеют встроенные механизмы восстановления, но вы должны заранее настроить параметры восстановления.

Устройства с аппаратным шифрованием обычно не имеют этих дополнительных параметров восстановления. Многие из них имеют конструкцию, предотвращающую расшифровку в случае отказа компонента, не позволяя хакерам разобрать их.

Самый быстрый и эффективный способ справиться с потерей данных на зашифрованном устройстве — это убедиться, что у вас есть полная резервная копия, хранящаяся в безопасном месте.Для вашего ПК это может означать копирование данных на другое зашифрованное устройство. Для других устройств, таких как ваш смартфон, резервное копирование в облако обеспечивает быструю и простую экономичную копию, с которой вы можете восстановить. В качестве дополнительного бонуса большинство облачных сервисов теперь также шифруют данные своих пользователей. Apple® использует облачное хранилище, но если вы не настроите его до выхода из строя устройства, вы можете воспользоваться преимуществами восстановления Apple, предлагаемыми многими компаниями по восстановлению данных.

Что делать, если у вас возникла проблема

В случае, если у вас нет текущей резервной копии, вам потребуется помощь специалиста.Наши инженеры могут дать советы и рекомендации, но в зависимости от сложности используемого алгоритма шифрования они могут не гарантировать успешного восстановления. Отсюда вы отправляете весь компьютер, поскольку на самом жестком диске могут быть аппаратные компоненты, которые имеют решающее значение для расшифровки данных.

Если у вас возникли проблемы с зашифрованным устройством и вы хотите обсудить возможные варианты, свяжитесь с одним из наших экспертов.

(Windows 10) — Microsoft 365 Security

• 02.04.2019
• 6 минут на чтение

В этой статье

Относится к

• Windows 10
• Windows Server 2019
• Windows Server 2016

Encrypted Hard Drive использует быстрое шифрование, обеспечиваемое BitLocker Drive Encryption, для повышения безопасности данных и управления ими.

Перегружая криптографические операции на оборудование, зашифрованные жесткие диски повышают производительность BitLocker и снижают использование ЦП и энергопотребление. Поскольку зашифрованные жесткие диски быстро шифруют данные, корпоративные устройства могут расширять развертывание BitLocker с минимальным влиянием на производительность.

— это новый класс жестких дисков, которые самошифруются на аппаратном уровне и допускают полное аппаратное шифрование диска. Вы можете установить Windows на зашифрованные жесткие диски без дополнительных изменений, начиная с Windows 8 и Windows Server 2012.

зашифрованных жестких дисков обеспечивают:

• Лучшая производительность : Аппаратное обеспечение шифрования, интегрированное в контроллер привода, позволяет диску работать с полной скоростью передачи данных без снижения производительности.
• Надежная аппаратная безопасность : Шифрование всегда включено, и ключи для шифрования никогда не покидают жесткий диск. Аутентификация пользователя выполняется накопителем до его разблокировки, независимо от операционной системы
• Простота использования : шифрование прозрачно для пользователя, и пользователю не нужно его включать.Зашифрованные жесткие диски легко стираются с помощью встроенного ключа шифрования; нет необходимости повторно шифровать данные на диске.
• Более низкая стоимость владения : Нет необходимости в новой инфраструктуре для управления ключами шифрования, поскольку BitLocker использует существующую инфраструктуру для хранения информации для восстановления. Ваше устройство работает более эффективно, потому что для процесса шифрования не нужно использовать такты процессора.

Зашифрованные жесткие диски изначально поддерживаются операционной системой с помощью следующих механизмов:

• Идентификация : операционная система может определить, что диск является зашифрованным жестким диском типа
• Активация : Утилита управления дисками операционной системы может активировать, создавать и отображать тома в диапазоны / диапазоны в зависимости от ситуации
• Конфигурация : Операционная система может создавать и отображать тома в диапазоны / диапазоны в зависимости от ситуации
• API : поддержка API для приложений для управления зашифрованными жесткими дисками независимо от шифрования диска BitLocker (BDE)
• Поддержка BitLocker : интеграция с панелью управления BitLocker обеспечивает удобство работы конечных пользователей с BitLocker.

Предупреждение

и зашифрованные жесткие диски для Windows — это разные устройства. Для зашифрованных жестких дисков для Windows требуется соответствие определенным протоколам TCG, а также соответствие IEEE 1667; Жесткие диски с самошифрованием не имеют этих требований. При планировании развертывания важно подтвердить, что тип устройства — зашифрованный жесткий диск для Windows.

Если вы поставщик устройства хранения и ищете дополнительную информацию о том, как реализовать зашифрованный жесткий диск, см. Руководство по зашифрованному жесткому диску.

Системные требования

Для использования зашифрованных жестких дисков действуют следующие системные требования:

Для зашифрованного жесткого диска, используемого как диск с данными :

• Диск должен быть в неинициализированном состоянии.
• Диск должен находиться в неактивном состоянии защиты.

Для зашифрованного жесткого диска, используемого в качестве загрузочного диска :

• Диск должен быть в неинициализированном состоянии.
• Диск должен находиться в неактивном состоянии защиты.
• Компьютер должен быть основан на UEFI 2.3.1 и иметь определенный EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется, чтобы позволить программам, работающим в среде загрузочных сервисов EFI, отправлять команды протокола безопасности на накопитель).
• На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
• Компьютер всегда должен загружаться изначально с UEFI.

Предупреждение

Для правильной работы все зашифрованные жесткие диски должны быть подключены к контроллерам без RAID.

Технический обзор

Быстрое шифрование в BitLocker напрямую отвечает требованиям безопасности предприятий, предлагая при этом значительно улучшенную производительность. В версиях Windows до Windows Server 2012 BitLocker требовал двухэтапного процесса для выполнения запросов на чтение / запись. В Windows Server 2012, Windows 8 или более поздних версиях зашифрованные жесткие диски переносят криптографические операции на контроллер диска для гораздо большей эффективности. Когда операционная система определяет зашифрованный жесткий диск, она активирует режим безопасности.Эта активация позволяет контроллеру накопителя генерировать ключ носителя для каждого тома, создаваемого главным компьютером. Этот ключ носителя, который никогда не отображается за пределами диска, используется для быстрого шифрования или дешифрования каждого байта данных, отправляемых или получаемых с диска.

Настройка зашифрованных жестких дисков в качестве загрузочных дисков

Настройка зашифрованных жестких дисков в качестве загрузочных дисков выполняется теми же методами, что и стандартные жесткие диски. Эти методы включают:

• Развертывание с носителя : Конфигурация зашифрованных жестких дисков происходит автоматически в процессе установки.
• Развертывание из сети : этот метод развертывания включает загрузку среды Windows PE и использование инструментов создания образов для применения образа Windows из общего сетевого ресурса. При использовании этого метода необязательный компонент Enhanced Storage необходимо включить в образ Windows PE. Вы можете включить этот компонент с помощью диспетчера сервера, Windows PowerShell или инструмента командной строки DISM. Если этот компонент отсутствует, настройка зашифрованных жестких дисков не будет работать.
• Развертывание с сервера : этот метод развертывания включает PXE-загрузку клиента с присутствующими зашифрованными жесткими дисками.Конфигурация зашифрованных жестких дисков происходит автоматически в этой среде, когда компонент Enhanced Storage добавляется в загрузочный образ PXE. Во время развертывания параметр TCGSecurityActivationDisabled в unattend.xml управляет поведением шифрования зашифрованных жестких дисков.
• Дублирование диска : этот метод развертывания включает использование предварительно настроенного устройства и инструментов дублирования диска для применения образа Windows на зашифрованном жестком диске. Чтобы эта конфигурация работала, диски должны быть разбиты на разделы как минимум с использованием Windows 8 или Windows Server 2012.Образы, созданные с помощью копировальных устройств, работать не будут.

Настройка аппаратного шифрования с помощью групповой политики

Существует три связанных параметра групповой политики, которые помогут вам управлять тем, как BitLocker использует аппаратное шифрование и какие алгоритмы шифрования использовать. Если эти параметры не настроены или отключены в системах, оборудованных зашифрованными дисками, BitLocker использует программное шифрование:

Архитектура зашифрованного жесткого диска

используют два ключа шифрования на устройстве для управления блокировкой и разблокировкой данных на диске.Это ключ шифрования данных (DEK) и ключ аутентификации (AK).

Ключ шифрования данных — это ключ, используемый для шифрования всех данных на диске. Накопитель генерирует DEK и никогда не покидает устройство. Он хранится в зашифрованном формате в произвольном месте на диске. Если DEK изменен или удален, данные, зашифрованные с помощью DEK, не подлежат восстановлению.

Ключ аутентификации — это ключ, используемый для разблокировки данных на диске. Хэш ключа хранится на диске и требует подтверждения для расшифровки DEK.

Когда компьютер с зашифрованным жестким диском выключен, диск автоматически блокируется. Когда компьютер включается, устройство остается в заблокированном состоянии и разблокируется только после того, как ключ аутентификации расшифровывает ключ шифрования данных. После того, как ключ аутентификации расшифровывает данные Ключ шифрования, на устройстве могут выполняться операции чтения-записи.

При записи данных на диск они проходят через механизм шифрования до завершения операции записи. Аналогичным образом, чтение данных с диска требует, чтобы механизм шифрования расшифровал данные перед передачей этих данных обратно пользователю.Если необходимо изменить или стереть DEK, данные на диске не нужно повторно шифровать. Необходимо создать новый ключ аутентификации, который повторно зашифрует DEK. После завершения DEK теперь можно разблокировать с помощью нового AK и продолжить чтение-запись в том.

Изменение конфигурации зашифрованных жестких дисков

Многие зашифрованные жесткие диски предварительно настроены для использования. Если требуется перенастройка диска, используйте следующую процедуру после удаления всех доступных томов и возврата диска в неинициализированное состояние:

1. Открытое управление дисками (diskmgmt.msc)
2. Инициализировать диск и выбрать подходящий стиль раздела (MBR или GPT)
3. Создайте один или несколько томов на диске.
4. Используйте мастер установки BitLocker, чтобы включить BitLocker на томе.

5 эффективных инструментов для шифрования ваших секретных файлов

Нам нужно уделять больше внимания, чем когда-либо прежде, инструментам шифрования и всему, что предназначено для защиты нашей конфиденциальности. С правильными инструментами легко сохранить наши данные в безопасности.

Сейчас мы живем в эпоху, когда все смотрят друг на друга, и все читают электронные письма друг друга и открывают файлы друг друга.Это означает, что вам нужно уделять больше внимания, чем когда-либо прежде, инструментам шифрования и всему, что предназначено для защиты вашей конфиденциальности. Мы зациклены на конфиденциальности в Интернете, особенно когда Эдди и Гленн решили раскрыть миру сверхсекретные файлы.

Мы видели, как работают инструменты шифрования, такие как Bitlocker, и инструменты безопасного архивирования, такие как 7-Zip.Итак, вот 5, которые мы еще не рассмотрели.

Вы когда-нибудь слышали эту цитату о попытке объяснить муравью, как работает телевизор? Я не называю вас муравьем, даже если вы трудолюбивы и наслаждаетесь случайными глотками тлейного молока.Я хочу сказать, что я собираюсь объяснить, как работает Windows BitLocker, без необходимости иметь степень в области информатики и криптографии.

Я здесь немного обманываю, потому что VeraCrypt — это форк хорошо известного, но сейчас не поддерживаемого Truecrypt.Итак, считаем ли мы это новым приложением или версией старого? В этой статье я остановлюсь на первом.

VeraCrypt просто великолепен.Он может открывать тома TrueCrypt и утверждает, что имеет алгоритм с «повышенной безопасностью», что затрудняет взлом томов. Существует также версия для Mac OS X и Linux для всех, кто не любит Windows.

Kleopatra — это «диспетчер сертификатов и унифицированный графический интерфейс криптографии», который можно получить из Git.Фактически, вы можете получить исходный код из Git, поэтому этот вариант предназначен только для тех смельчаков, которые готовы сражаться добрым сражением и помочь собрать Клеопатру.

Или вы можете быть похожим на меня, относиться к компьютеру как к Скайнету и убегать.

AES Crypt настолько прост, насколько это возможно.Он помещает параметр в окно контекстного меню проводника Windows, после чего вы можете зашифровать файл с помощью пароля. Затем AES Crypt предоставит вам зашифрованную версию файла, которую может открыть только тот, кто знает пароль. Затем вы можете отправить его по электронной почте, поместить в Dropbox, чтобы кто-нибудь загрузил и т. Д.

Это означает, что AES Crypt не удаляет исходный файл .Так что, если его нужно удалить, не забывайте об этом. И не забывайте пароль к своему зашифрованному файлу. Иначе у вас действительно проблемы.

MiniLock идет немного дальше, чем AES Crypt, в том, что для него требуется больше, чем пароль.Для создания идентификатора MiniLock ID вам потребуется ваш адрес электронной почты и секретная кодовая фраза. Затем, когда кто-то хочет отправить вам файл, он может использовать ваш MiniLock ID для его шифрования. Если вы хотите что-то зашифровать и отправить, у вас должен быть их MiniLock ID.

MiniLock также имеет расширение браузера Chrome для создания файлов на лету.

DMCrypt — это программа для шифрования дисков только для Linux, поэтому я плохо знаком с ней (мой опыт работы с Linux длился целых 10 минут).Но это похоже на надежную программу, и поэтому ее стоит упомянуть на Cool Websites & Apps.

На мой взгляд, DMCrypt очень похож на Truecrypt / Veracrypt.Вы создаете зашифрованную папку для хранения конфиденциальных файлов и получаете доступ к ней, монтируя папку как раздел. Вот отличное руководство по настройке зашифрованной папки с помощью DMCrypt.

Какую программу шифрования вы используете, чтобы указать пальцем на АНБ и GCHQ?

Apple также подверглась аналогичным искам по поводу запланированного устаревания своих iPhone в Бельгии, Португалии и Испании.

Марк О’Нил — журналист-фрилансер и библиофил, который публикует материалы с 1989 года. В течение 6 лет он был управляющим редактором MakeUseOf.Теперь он пишет, пьет слишком много чая, борется с собакой на руках и пишет еще.

Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Самошифрующиеся диски — ArchWiki

Для этой статьи или раздела требуются улучшения языка, синтаксиса вики или стиля. См. Справку: стиль.

Аппаратное шифрование всего диска (FDE) теперь доступно от многих поставщиков жестких дисков (HDD), становясь все более распространенным, особенно для твердотельных накопителей. Термин «диск с самошифрованием» (SED) теперь широко используется для обозначения жестких дисков или твердотельных накопителей со встроенным шифрованием всего диска.OPAL — это набор спецификаций для дисков с самошифрованием, разработанный Trusted Computing Group.

Обзор

Многие из доступных сегодня SSD / HDD с самошифрованием реализуют стандарты OPAL 2.0 и Enterprise, разработанные Trusted Computing Group (TCG). Корпоративные версии SAS стандарта TCG называются накопителями «TCG Enterprise». Оборудование, изготовленное в соответствии со стандартами, маркируется соответствующим образом.

Разблокировку диска можно выполнить во время работы операционной системы с помощью программных утилит, в среде предзагрузочной аутентификации или с помощью пароля ATA на основе #BIOS при включении.

Обратитесь к разделам # Преимущества и # Недостатки, чтобы лучше понять и решить, нужно ли вам аппаратное шифрование всего диска.

Техническая реализация управления ключами

Совет: Этот раздел важен для понимания основных концепций эффективного управления ключами и безопасного стирания диска.

Управление ключами происходит в контроллере диска, а ключи шифрования обычно имеют 128 или 256 бит Advanced Encryption Standard (AES).

Эту статью или раздел необходимо расширить.

Диски с самошифрованием, соответствующие TCG OPAL 2.0 (почти все современные диски с самошифрованием) реализуют управление ключами с помощью ключа аутентификации и ключа шифрования данных 2-го уровня. Ключ шифрования данных — это ключ, по которому данные фактически зашифровываются / дешифруются. Ключ аутентификации — это обращающийся к пользователю пароль 1-го уровня / кодовая фраза, которая расшифровывает ключ шифрования данных (который, в свою очередь, расшифровывает данные). У этого подхода есть определенные преимущества:

• Позволяет пользователю изменять парольную фразу без потери существующих зашифрованных данных на диске
  • Это повышает безопасность, так как позволяет быстро и легко реагировать на угрозы безопасности и отзывать скомпрометированный пароль.
• Облегчает практически мгновенное и криптографически безопасное полное стирание диска.

Для знакомых; эта концепция аналогична уровню управления ключами LUKS, который часто используется при развертывании dm-crypt. Используя LUKS, пользователь может эффективно иметь до 8 различных файлов ключей / парольных фраз для расшифровки ключа шифрования , который, в свою очередь, расшифровывает лежащие в основе данные. Этот подход позволяет пользователю отозвать / изменить эти ключевые файлы / парольные фразы по мере необходимости без необходимости повторного шифрования данных , поскольку ключ шифрования 2-го уровня не меняется (сам повторно шифруется новой парольной фразой) .

Фактически, в накопителях с полнодисковым шифрованием данные всегда зашифрованы ключом шифрования данных при сохранении на диск, даже если пароль не установлен (например, новый накопитель). Производители делают это, чтобы упростить пользователям, которые не могут или не хотят включать функции безопасности самошифрующегося диска. Это можно представить как то, что все диски по умолчанию имеют пароль нулевой длины, который прозрачно шифрует / дешифрует данные всегда (аналогично тому, как беспарольные ключи SSH обеспечивают (в некоторой степени) безопасный доступ без вмешательства пользователя).

Ключевым моментом примечания является то, что если на более позднем этапе пользователь хочет «включить» шифрование , он может настроить парольную фразу (ключ аутентификации), которая затем будет использоваться для шифрования существующего шифрования данных ключ (таким образом, запрашивая парольную фразу перед расшифровкой ключа шифрования данных в будущем). Однако, поскольку существующий ключ шифрования данных не будет изменен (регенерирован) , это, по сути, блокирует диск, сохраняя существующие зашифрованные данные на диске.

Преимущества

• Более простая настройка (по сравнению с программным шифрованием)
• Заметно прозрачен для пользователя, за исключением аутентификации при начальной загрузке
• Защита данных в состоянии покоя
• Повышенная производительность (ЦП освобожден от вычислений шифрования / дешифрования)
• Основной ЦП и ОЗУ исключены как возможные цели атаки
• Оптимально быстрое и # Безопасное стирание (санация) диска (независимо от размера диска)
• Защита от альтернативных методов загрузки за счет возможности шифрования MBR, что делает диск недоступным перед предзагрузочной аутентификацией

Недостатки

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание.Эта уязвимость может быть использована путем изменения внешней по отношению к накопителю среды без отключения электроэнергии, в результате чего накопитель остается в разблокированном состоянии. Например, было показано (исследователями из Университета Эрлангена-Нюрнберга), что можно перезагрузить компьютер в управляемую злоумышленником операционную систему без отключения питания накопителя. Исследователи также продемонстрировали перенос диска на другой компьютер без отключения электроэнергии. [1]

Когда система переводится в режим S3 («спящий»), накопитель выключается, но накопитель сохраняет доступ к ключу шифрования во внутренней памяти (NVRAM) для возобновления работы («пробуждения» ).Это необходимо, потому что для системы, загружаемой с произвольной операционной системой, нет стандартного механизма, предлагающего пользователю повторно ввести кодовую фразу для расшифровки перед загрузкой еще раз. Злоумышленник (имеющий физический доступ к диску) может использовать это для доступа к диску. Объединив известные эксплойты, исследователи резюмируют: «Мы смогли взломать аппаратное шифрование всего диска на одиннадцати [из двенадцати] этих систем, если они работали или находились в режиме ожидания» [2]. Обратите внимание, однако, что S3 («спящий») — это , а не , который в настоящее время поддерживается sedutil (текущий доступный набор инструментов для управления TCG OPAL 2.0 самошифрующиеся диски через Linux)

Встроенное ПО диска может быть скомпрометировано (бэкдор), и данные, отправленные на него, потенциально могут быть скомпрометированы (могут быть расшифрованы третьей стороной-злоумышленником при условии, что доступ к физическому диску возможен). В исследовании были продемонстрированы методы взлома прошивки устройства, а также применение недопустимых паролей для доступа к данным на устройствах OPAL. [3] Если данные зашифрованы операционной системой (например, dm-crypt), ключ шифрования неизвестен взломанному диску, что позволяет полностью обойти этот вектор атаки.

Поддержка Linux

Эту статью или раздел необходимо расширить.

msed и OpalTool , две известные базы с открытым исходным кодом, доступные для поддержки самошифрующихся дисков в Linux, были удалены, и их усилия по разработке официально объединились в sedutil под эгидой Drive Trust. Альянс (DTA). sedutil — это попытка с открытым исходным кодом (GPLv3) сделать технологию Self Encrypting Drive бесплатно доступной для всех. »

Установите пакет sedutil ^AUR , который содержит инструмент sedutil-cli и вспомогательные сценарии для создания пользовательского образа предзагрузочной авторизации (PBA) на основе используемой ОС (например, для настройки настраиваемая раскладка клавиатуры). Кроме того, вы можете установить sedutil исключительно для получения набора инструментов sedutil-cli , но загрузить и использовать предварительно скомпилированный образ PBA (для BIOS или UEFI), предоставленный Drive Trust Alliance.

Примечание. Для поддержки UEFI в настоящее время необходимо отключить безопасную загрузку.

libata.allow_tpm должно быть установлено значение на 1 (true), чтобы использовать sedutil. Либо добавьте libata.allow_tpm = 1 в параметры ядра, либо установив / sys / module / libata / parameters / allow_tpm на 1 в работающей системе.

Шифрование корневого (загрузочного) диска

Эта статья или раздел устарели.

 # sedutil-cli --scan
 

 Сканирование дисков, совместимых с Opal
/ dev / sda Нет LITEONIT LMT-256L9M-11 MSATA 256 ГБ HM8110B
 

 / dev / sda 12 SSD-накопитель Samsung 850 EVO 500 ГБ EMT02B6Q
 

 \\. \ PhysicalDrive0 12 Samsung SSD 850 PRO 512 ГБ EXM02B6Q
 

 # mklinuxpba-efi
 

 # mklinuxpba-bios
 

 $ gunzip pba.img.gz
 

 # sedutil-cli --initialsetup  пароль диск 
# sedutil-cli --loadPBAimage  пароль pba_file диск 
# sedutil-cli --setMBRE включить на  пароль, диск 
 

 # sedutil-cli --enableLockingRange 0  пароль   диск 
 

 # sedutil-cli --setlockingrange 0 rw  пароль диск 
# sedutil-cli --setmbrdone на диске  с паролями 
# partprobe  drive 
 

 # sedutil-cli --disableLockingRange 0  пароль диск 
# sedutil-cli --setMBREnable off  пароль диск 
 

 # sedutil-cli --enableLockingRange 0  пароль диск 
# sedutil-cli --setMBR Выполнено на диске  с паролем 
# sedutil-cli --setMBRE включить на  пароль, диск 
 

 # sedutil-cli --initialsetup  пароль диск 
 

 # sedutil-cli --setSIDPassword  пароль newpassword устройство 
# sedutil-cli --setAdmin1Pwd  пароль newpassword устройство 
 

 # sedutil-sleep --printPasswordHash  пароль / dev / device 
 

 / и т.д. / systemd / system / sedutil-sleep.сервис 

 [Единица]
Описание = sedutil-sleep

[Обслуживание]
Тип = oneshot
# Добавьте сюда столько строк ExecStart, сколько необходимо
ExecStart = - + / usr / bin / sedutil-sleep -n -x --prepareForS3Sleep 0  hash / dev / device 
#ExecStart = - + / usr / bin / sedutil-sleep -n -x --prepareForS3Sleep 0  hash3 / dev / device 
RemainAfterExit = true

[Установить]
WantedBy = multi-user.target