###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Šifrirajte mac podatke. Kako stvoriti šifrirani USB disk u Mac OS-u. Što je FileVault

    12.03.2020 Sigurnost

    Moguće je da vaš Mac pohranjuje puno vrijednih i povjerljivih informacija koje ne biste htjeli podijeliti ni s kim drugim. Sasvim je prirodno da želite zaštititi ove podatke od svih stranaca. Naravno, nećete se moći izvući samo s lozinkom za prijavu na svoj račun. Za rješavanje takvog problema potrebno je koristiti enkripciju informacija. Enkripciji na Mac računalima posvetit ćemo kratku seriju članaka u kojima ćemo razmotriti različita plaćena i besplatna rješenja za tu svrhu. Počet ćemo s najstandardnijim mehanizmom šifriranja—tehnologijom FileVault ugrađenom u Mac OS.

    Recimo odmah da je opseg primjene FileVaulta uzak - možete šifrirati jedina početna mapa korisnik. Koristi se za šifriranje 128-bitni ključ AES algoritma, koji pruža vrlo visoka razina pouzdanost.

    Sve je vrlo jednostavno: FileVault stvara poseban spremnik ( šifrirana slika diska), tamo kopira cijelu vašu korisničku mapu, a zatim briše original. Sve informacije sadržane u kriptiranoj slici diska postaju dostupne samo kada korisnik prijavljuje se na vaš račun. Ostatak vremena potpuno je zaštićena od znatiželjnih očiju.

    Ovo vodi do prvog i najvažnijeg (za svu enkripciju) zaključka - Nikada ne zaboravite lozinku za šifriranje , inače će se sve njegove prednosti okrenuti protiv vas. Za zaštitu od amnezije, Mac OS X pruža glavna lozinka, znajući koji, možete resetirati lozinku za bilo koga račun, uklj. i iz šifriranog FileVaulta. To će vas spasiti od gubitka podataka ako se odjednom ne možete sjetiti lozinke za svoj račun. Ali ako zaboravite i lozinku i glavnu lozinku, možete sigurno reci zbogom jednom zauvijek.

    Prije nego što omogućite FileVault, svakako razmotrite nekoliko važnih značajki:

    1) U tijeku je primarna enkripcija dugo vremena- može trajati nekoliko sati. Njegovo trajanje izravno ovisi o broju i veličini datoteka u mapi korisnika. Stoga, prije šifriranja, pokušajte premjestiti iz korisničke mape sva glazba, svi filmovi, sve fotografije i sve ostalo povjerljive informacije na bilo koje drugo mjesto na disku.

    2) Jeste li navikli na produktivan, brz Mac? Odvikni se. FileVault je primjetan uništit će performansečak i najmoćniji Macintosh. Enkripcija stvara dodatno stalno opterećenje procesora i tvrdog diska.

    3) Mnogi početnici su iznenađeni zašto se prostor na disku ne oslobađa prilikom brisanja datoteka. Zatim otkriju da moraju isprazniti smeće. Ako je FileVault omogućen, iznenadit ćete se kada to otkrijete Nakon pražnjenja koša za smeće, slobodni prostor na disku se ne pojavljuje. Kao što je već spomenuto, cijela korisnička mapa pretvara se u jednu sliku. A njegova se veličina automatski mijenja tek kada se odjavite sa svog računa, tako da ćete morati vratiti slobodan prostor završiti sesiju.

    4) Opasnost od potpunog ili djelomičnog gubitka informacija eksponencijalno raste. Isprva se to čini apsurdnim - ipak je enkripcija dizajnirana za zaštitu povjerljivih informacija. Stvarno ih štiti – od hakiranja, ali ne i od kvar diska. Razmislite sami - kada se jedan od sektora diska pokvari, pokvari se i datoteka čiji je dio bio zapisan na tom sektoru. Cijela vaša korisnička mapa s omogućenim FileVaultom je jedna datoteka. Zamislite što bi se dogodilo da se ošteti prostor na disku koji zauzima.

    5) Navikla sam se koristiti Vremeplov ? Nakon što omogućite FileVault, njegove će mogućnosti biti znatno smanjene. Na primjer, više nećete moći vratiti putem sučelja Time Machine zasebna datoteka. A ako pokušate vratiti cijeli sustav, pripremite se za neugodna iznenađenja. Appleovi forumi preplavljeni su pritužbama korisnika koji se nakon ovog postupka ne mogu prijaviti na svoj račun.

    6) Lako je uključiti FileVault, ali ga ponovno isključite Ne uspijeva uvijek. Sustav često prikazuje pogrešku kada pokušava onemogućiti enkripciju. Često ova pogreška dovodi do nemogućnosti prijave na vaš račun u budućnosti.

    Naravno, ovih šest točaka nije namjera da vas odvrate od omogućavanja enkripcije. Ali, prema Murphyjevom zakonu, ako se nešto loše dogodi, dogodit će se u najnepovoljnijem trenutku.

    FileVault nije najbolja opcija za enkripciju. Njegova jedina prednost je što je potpuno integriran u sustav.

    Dakle, ako ste odvagnuli prednosti i nedostatke, evo uputa za omogućavanje FileVaulta.

    1) B Postavke sustava odaberite daljinski upravljač Sigurnost. Idi na karticu FileFault i pritisnite tipku Omogućite FileVault.

    2) Od vas će se tražiti administratorska lozinka. Nakon toga od vas će se tražiti da izradite glavna lozinka(ako to već niste učinili). Još jednom vas podsjećamo - Ako izgubite i glavnu lozinku i lozinku računa, bit će nemoguće dešifrirati podatke.

    3) Tada ćete biti prisiljeni ponovno unijeti administratorsku lozinku, nakon čega će se pojaviti zadnji prozor upozorenja:

    Imajte na umu dostupne postavke: Koristite sigurno brisanje dodatno će povećati vrijeme enkripcije i Koristite zaštićenu virtualnu memoriju prisilit će FileVault da šifrira ne samo vaše, već i privremene sistemske datoteke, privremeno bačen na disk. Nema smisla objašnjavati kako će to utjecati na performanse računala.

    4) Ako se nakon svih ovih pitanja i upozorenja niste predomislili kliknite Omogućite FileVault. Sustav će prekinuti sesiju i započet će enkripcija tijekom koje je bolje ne ometati računalo (a pogotovo ga ne gasiti!). Kada sve završi, vidjet ćete da se ikona vaše korisničke mape promijenila iz uobičajene kuće u čelični sef. Nećete primijetiti nikakve primjetnije promjene (dobro, osim užasnih kočnica sustava iz bilo kojeg razloga;).

    Onemogućavanje FileVaulta događa se na gotovo isti način, kroz karticu FileVault na Sigurnosnoj ploči.

    p.s. Ponovimo - ne bismo preporučili da odmah omogućite FileVault. Prvo pročitajte ostatak članaka u našoj seriji, od kojih će sljedeći biti posvećen besplatan program TrueCrypt.

    Podsjećamo vas da pokušaji ponavljanja radnji autora mogu dovesti do gubitka jamstva za opremu, pa čak i do njenog kvara. Materijal se daje samo u informativne svrhe. Ako namjeravate ponoviti dolje opisane korake, toplo vam savjetujemo da pažljivo pročitate članak do kraja barem jednom. Izdanje 3DNews ne snosi nikakvu odgovornost za eventualne posljedice.

    ⇡ Uvod

    Gotovo sva rješenja spomenuta u prethodnom materijalu na ovaj ili onaj način raspravljala su se na stranicama našeg resursa. No, tema enkripcije i uništavanja podataka nepravedno je zanemarena. Ispravimo ovaj propust. Preporučujemo da ponovno pročitate prethodni članak prije nego bilo što poduzmete. Obavezno učinite sigurnosna kopija sve podatke prije šifriranja! Također deset puta razmislite koje ćete informacije morati ponijeti sa sobom i je li moguće odbiti barem dio njih. Ako je sve spremno, počnimo.

    ⇡ Enkripcija korištenjem standardnih sredstava Windows 7, Mac OS X 10.7 i Ubuntu 12.04

    Svi moderni operacijski sustavi za stolna računala odavno imaju ugrađene uslužne programe za šifriranje datoteka i mapa ili cijelih diskova. Prije razmatranja uslužnih programa trećih strana, bolje je obratiti im se jer ih je prilično lako postaviti i koristiti, iako nemaju razne dodatne funkcije. Windows 7 Ultimate i Enterprise imaju značajku šifriranja volumena pod nazivom BitLocker. Za stražu sistemski disk zahtijeva TPM modul koji nije instaliran na svim osobnim ili prijenosnim računalima, ali nije potreban za druge jedinice. Windows 7 također ima značajku BitLocker To Go za zaštitu prijenosnih diskova, koja se također može koristiti bez hardverskog kripto modula, a to je većini korisnika sasvim dovoljno.

    Ako imate odgovarajući Windows verzija 7, zatim da biste omogućili BitLocker (To Go), idite na stavku "BitLocker Drive Encryption" na upravljačkoj ploči. Pokraj odgovarajućeg pogona kliknite vezu "Omogući BitLocker". Odaberite opciju za otključavanje lozinkom i spremite ključ za oporavak (to je samo tekstualna datoteka) na sigurno mjesto, primjerice na flash pogon koji ne nosite sa sobom na put. Nakon nekog vremena, a to ovisi o kapacitetu pogona i snazi ​​osobnog računala, proces enkripcije bit će dovršen.

    Kada povežete šifrirani volumen, od vas će se svaki put tražiti da unesete lozinku za pristup podacima osim ako ne omogućite automatsko otključavanje, što se ne preporučuje. Još uvijek možete upravljati parametrima šifriranog volumena u istom odjeljku "BitLocker Drive Encryption" na upravljačkoj ploči. Ako ste iznenada zaboravili lozinku za BitLocker, tada morate upotrijebiti 48-znamenkasti digitalni ključ za oporavak da biste je dešifrirali - nakon što ga unesete, volumen će biti privremeno otključan.

    U sustavu Windows 7, uz BitLocker, postoji još jedan način šifriranja mapa i datoteka, a ne volumena - šifrirani sustav datoteka(EFS). Podržano u svim izdanjima OS-a, ali u Starter i Home (Premium) možete samo raditi s već šifriranim mapama i datotekama, ali ne i stvarati ih. Za rad EFS-a potrebno je koristiti NTFS s isključenom opcijom kompresije podataka. Ako vaš stroj ispunjava ove zahtjeve, možete započeti s podešavanjem.

    Na upravljačkoj ploči idite na postavke računa i kliknite vezu "Upravljanje certifikatima za šifriranje datoteka". Slijedeći upute čarobnjaka, stvaramo novi samopotpisani certifikat za računalo. Svakako ga spremite na sigurno mjesto i zaštitite lozinkom. To se može učiniti kasnije pomoću istog čarobnjaka, ali bolje je ne odgađati jer će izvezena PFX datoteka biti potrebna za hitan oporavak podataka. Ako ste već imali šifrirane podatke na disku, tada morate ažurirati ključeve za njih.

    EFS je transparentan za korisnika, što znači da možete raditi s datotekama i mapama kao i obično. Ali ako ih pokušate otvoriti u drugom okruženju (OS, PC), pristup će im biti odbijen. Za šifriranje datoteke ili mape samo kliknite gumb "Ostalo..." u njezinim svojstvima na kartici "Općenito" i označite potvrdni okvir "Šifriraj sadržaj radi zaštite podataka". Nakon primjene promjena, zadana boja naziva šifriranog elementa mijenja se u zelenu za bolju vizualnu identifikaciju zaštićenih podataka.

    Za dešifriranje samo poništite okvir u svojstvima datoteke/mape. Ako pokušate kopirati zaštićene podatke na neprikladna mjesta - na FAT32 disk, u mrežnu pohranu i tako dalje - pojavit će se upozorenje da će podaci biti dešifrirani i tamo završiti u nezaštićenom obliku. Kako bi rad s EFS-om bio praktičniji, možete dodati odgovarajuće stavke u kontekstni izbornik Explorera. Sve što trebate učiniti je stvoriti DWORD parametar EncryptionContextMenu u matičnoj podružnici HKEY_LOKALNO_MAŠINA\\SOFTVER\\Microsoft\\Windows\\Trenutna verzija\\Istraživač\\Napredna\\ i postavite njegovu vrijednost na 1.

    Za dešifriranje podataka na disku ako je stroj na kojem su šifrirani nedostupan, potrebna vam je sigurnosna kopija certifikata i lozinka za njega. Za uvoz samo dvaput kliknite na pfx datoteku i slijedite upute čarobnjaka. Ako želite izvesti ovaj certifikat u budućnosti za rad s podacima na drugom računalu, označite ovu opciju.

    Morate spremiti uvezeni certifikat u svoju osobnu pohranu. Nakon završetka procesa otvorit će se pristup šifriranim datotekama i mapama. Upravljati osobni certifikati Možete koristiti MMC snap-in - Win+R, certmgr.msc, Enter.

    Još jedna izuzetno korisna opcija, naime gnječenje slobodan prostor na disku, dostupno samo korištenjem naredbeni redak. Ključ /W ​​- čišćenje prostora, /E - enkripcija, /D - dešifriranje. Opisi ostalih parametara dostupni su u ugrađenoj pomoći - ključ /?.

    Šifra /W X:\\put\\do\\bilo koje\\mape\\na\\disku koji se čisti

    Mac OS X

    Osvrnimo se ukratko na mogućnosti zaštite podataka u Apple računalima. Mac OS X već dugo ima ugrađeni sustav šifriranja FileVault, a od verzije 10.7 omogućuje zaštitu ne samo vašeg matičnog direktorija, već i cijelog diska odjednom. Možete ga omogućiti u postavkama sustava u odjeljku "Zaštita i sigurnost". Također će biti korisno tamo provjeriti opciju zaštite. virtualna memorija. Kada omogućite enkripciju, morat ćete postaviti glavnu lozinku, ako već nije postavljena, te također spremiti ključ za oporavak. Za daljnje postavljanje slijedite upute čarobnjaka. Međutim, univerzalnija metoda je korištenje šifriranih slika diska.


    U uslužnom programu za disk odaberite "Nova slika" iu dijaloškom okviru koji se pojavi odredite naziv datoteke i njezinu lokaciju, odredite naziv diska i odaberite veličinu. Journaled Mac OS Extended sasvim je prikladan kao datotečni sustav. Šifriranje je bolje odabrati AES-256. Na popisu "Particije" ostavite odabir " HDD", a kao format odredite rastući paket slike. Ostaje samo smisliti ili generirati lozinku za pristup, ali je nemojte pamtiti u privjesku za ključeve radi veće sigurnosti, već je svaki put unesite ručno. Kada dvaput kliknete na sliku, ona se montira i traži lozinku. Nakon što spremite važne podatke na njega, ne zaboravite demontirati sliku.


    Ubuntu nudi šifriranje korisničkog matičnog direktorija tijekom faze instalacije. U isto vrijeme, swap particija je također šifrirana, što onemogućuje korištenje načina mirovanja. Ako ste odbili enkripciju tijekom instalacije, morat ćete sve konfigurirati ručno. U isto vrijeme, možete odbiti zaštititi swap particiju, što prirodno smanjuje sigurnost. Praktičnija i sigurnija opcija, ali i teža za konfiguriranje, je šifriranje cijelog diska odjednom. Ako to želite učiniti, upotrijebite ove upute. Razmotrit ćemo jednostavnu opciju s kućnom zaštitom i, po želji, zamijeniti. Najprije instalirajmo potreban softver pomoću terminala:

    Sudo apt-get install ecryptfs-utils cryptsetup

    Ovdje postoji jedno upozorenje - da bi se šifrirao početni direktorij korisnika, datoteke u ovom direktoriju ne smiju se otvarati ni u jednom programu, što znači da se korisnik mora odjaviti sa sustava. Da biste to učinili, morat ćete stvoriti još jedan privremeni račun s administratorskim pravima. Nakon što ga izradite, odjavite se iz sustava i prijavite se s novim računom.


    U ime drugog korisnika pokrenite sljedeću naredbu u kojoj Korisničko ime zamijenite ga imenom korisnika čiji ćemo matični direktorij šifrirati. Pretvaranje datoteka će potrajati neko vrijeme, stoga budite strpljivi.

    Sudo ecryptfs-migrate-home -u korisničko ime

    Nakon završetka operacije odjavite se iz sustava i ponovno se prijavite koristeći glavni račun. Sada možete izbrisati privremeni račun i sve njegove datoteke. Nekoliko minuta nakon prijave pojavit će se upozorenje koje pokazuje da trebate spremiti nasumično generiranu lozinku za pristup novošifriranim datotekama na sigurno mjesto u slučaju hitnog oporavka. Ne zaboravite to učiniti.

    Konačno, sve što preostaje je izbrisati "stari" početni direktorij / početna/korisničko ime.XXXXXXXXX, Gdje XXXXXXXXX- slučajni skup slova.

    Sudo rm -rf /home/username.XXXXXXXX

    Za šifriranje swap particije, samo pokrenite jednu naredbu, a zatim provjerite / itd./fstab Unos o staroj swap particiji je komentiran, a nova je označena /dev/mapper/cryptswap1.

    Sudo ecryptfs-setup-swap

    ⇡ Enkripcija pomoću TrueCrypta

    TrueCrypt je otvorena, višeplatformska aplikacija za stvaranje i rad sa zaštićenim jedinicama s on-the-fly enkripcijom. U praksi to znači da su, prvo, podaci samo u dešifriranom obliku RAM memorija. Drugo, rad s kripto spremnicima moguć je u bilo kojem OS-u. I treće, s prilično visokim stupnjem vjerojatnosti možemo govoriti o nepostojanju bilo kakvih "oznaka". Osim toga, TrueCrypt podržava AES-NI upute za ubrzavanje (de-)kriptiranja. Zapravo, mogućnosti programa su mnogo šire i sve su dobro opisane u priručniku koji je dostupan uz lokalizacijski paket (raspakirajte sadržaj arhive u direktorij s instalirani program). Stoga ćemo razmotriti najjednostavniji slučaj stvaranja kripto spremnika u Windows okruženju.



    Dakle, nakon instalacije pokrenite uslužni program, kliknite gumb "Stvori glasnoću" i slijedite savjete čarobnjaka, budući da su zadane postavke prilično sigurne. Samo trebate ručno postaviti glasnoću i lozinku. Nakon montiranja spremnika, pojavit će se na sustavu kao obični fizički volumen, što znači da se može formatirati, defragmentirati i tako dalje.



    Posebnost TrueCrypt spremnika je da izvana izgledaju kao skupovi slučajnih bitova, te je teoretski nemoguće prepoznati da se radi o spremniku u datoteci. Svakako slijedite savjete za stvaranje snažne lozinke i odmah je spremite na sigurno mjesto. Dodatna zaštita je korištenje ključnih datoteka bilo koje vrste, za koje ćete također morati napraviti sigurnosnu kopiju.



    Ostaje samo odabrati FS format (set ovisi o OS-u), pomaknuti miš unutar prozora i označiti glasnoću. Time je izrada spremnika dovršena.


    Da biste montirali volumen, morate kliknuti gumb "Datoteka...", odabrati spremnik i slovo pogona, kliknuti "Montiraj", unijeti lozinke i, ako je potrebno, odabrati ključne datoteke, kao i odrediti druge parametre. Sada možete raditi s podacima na isti način kao da su na običnom logičkom disku. Da biste onemogućili kripto spremnik, samo kliknite gumb "Unmount". U postavkama programa također možete omogućiti automatsko demontažu mjeračem vremena/odjavom/pokretanjem čuvara zaslona, ​​brisanjem predmemorije i drugim korisnim funkcijama.

    Ovo je prilično jednostavna i pouzdana opcija skladištenja. važna informacija. Međutim, ako vam je potrebna veća sigurnost, onda vam TrueCrypt omogućuje stvaranje skrivenih jedinica, šifriranje diskova i particija, dodavanje skrivene particije s drugim OS-om, konfiguriranje "cjevovoda" nekoliko algoritama šifriranja, zaštitu prijenosnog pogona, korištenje tokena i pametnih kartica za autorizaciju, ali i mnogo više. Preporučljivo je pročitati poglavlje o sigurnosnim zahtjevima i mjerama opreza u dokumentaciji.

    ⇡ Sigurno uklanjanje

    Jedini pouzdan način Podaci će biti zajamčeno izbrisani - to znači fizičko uništenje pogona na kojem se nalaze. U tu svrhu čak su razvijeni i posebni postupci, ponekad suptilno izopačene sadističke prirode. A za to su "krive" razne tehnologije koje se koriste u modernim pogonima - rezidualna magnetizacija, TRIM operacije, jednolika raspodjela opterećenja, sječa i tako dalje. Suština se uglavnom svodi na to da su podaci često označeni kao obrisani ili spremni za brisanje umjesto da se stvarno izbrišu. Stoga su razvijene metode za prilično sigurno uklanjanje zaostalih informacija, koje nisu tako radikalne kao potpuno uništavanje medija.

    Značajka sigurnog brisanja diska prisutna je u mnogim uređivačima particija. Postoji mnogo sličnih uslužnih programa za Windows, ali mi ćemo se usredotočiti na klasični SDelete. Možete raditi s njim u načinu naredbenog retka. Sintaksa je vrlo jednostavna. Prekidač -p određuje broj prolaza ponovnog pisanja, s prekidačem -s (ili -r) program rekurzivno uništava cijeli sadržaj mape, a prenošenjem ključa -c (ili -z) briše (ispunjava nulama) slobodan prostora na navedenom volumenu. Na kraju je naznačen put do mape ili datoteke. Na primjer, da bismo izbrisali naš TrueCrypt volumen i očistili disk, pokrenut ćemo dvije naredbe:

    C:\\sdelete.exe -p 26 C:\\primjerc C:\\sdelete.exe -c C:\\

    Većina distribucija Linuxa ima uslužni program za uništavanje koji obavlja iste funkcije kao SDelete. Također ima nekoliko parametara, ali nama je dovoljno znati tri od njih. Prekidač -n postavlja broj prolaza prepisivanja, -u briše datoteku, a -z ispunjava iskorišteni prostor nulama na kraju. Primjer rada:

    Sudo shred -u -z -n 26 /home/dest/exampletc2

    Program shred ima brojna ograničenja u smislu sigurnog uklanjanja, na što je korisnik iskreno upozoren kada se pokreće s prekidačem --help. Učinkovitiji skup uslužnih programa uključen je u paket Secure-Delete. Instalirajmo ga i pogledajmo nekoliko ugrađenih programa. Uslužni program srm sličan je shredu, ali ima malo manje parametara. Zanimaju nas prekidači -r za rekurzivno brisanje navedenog imenika i sveprisutni -z za popunjavanje prostora nulama. Paket također sadrži uslužni program za brisanje slobodnog prostora na disku s navedenom mapom.

    Sudo apt-get install secure-delete sudo srm -z /home/dest/exampletc3 sudo -z sfill /home/dest

    Za Mac OS X postoji isti CCleaner s funkcijom čišćenja slobodnog prostora, kao i uslužni program srm, koji radi isto kao u Linuxu. Preporučujemo da uključite Sigurno pražnjenje smeća u postavkama Findera. Također je dostupan u kontekstni izbornik košaricu dok držite tipku CMD.

    Za SSD pogone i flash pogone bolje je koristiti formatiranje niske razine (vidi) ili postupak sigurnog brisanja, što može dovesti do gubitka jamstva na SDD. U potonjem slučaju prikladna je još jedna Live distribucija za rad s particijama diska - Parted Magic. Pokrenite sustav s njega i odaberite System tools → Erase Disk iz glavnog izbornika. Za solid state diskovi odaberite posljednju stavku Secure Erase, a za obične HDD-ove koristite metodu nwipe, koja je u biti ista DBAN.

    ⇡ Zaključak

    Kombinacija šifriranja podataka i naknadnog sigurno brisanje sasvim dovoljno za pouzdanu zaštitu povjerljivih podataka. Naravno, to ni na koji način ne jamči 100% zaštitu, ali za obični korisnici rizik od curenja naglo opada. A za “teške smrtnike” pobrinut će se nadležne službe. Još jednom vas podsjećamo na važnost stvaranja sigurnosnih kopija općenito, a posebno prije enkripcije, kao i na smanjenje količine podataka koji se prenose s vama u tabor potencijalnog neprijatelja i potrebu korištenja jakih lozinki s ključevima s njihovom sigurnosnom kopijom. Pa, samo uvijek budi oprezan. Sretno!

    Budući da se kapacitet flash pogona stalno povećava, a njihove cijene, naprotiv, padaju, oni postaju sve popularniji. Osobito je atraktivna njihova mogućnost prijenosa značajnih količina podataka na prijenosne USB pogone. Međutim, njihova prenosivost ima i lošu stranu - vrlo ih je lako izgubiti. Ovaj recept vam govori kako zaštititi svoje povjerljive podatke od neovlaštenog pristupa u slučaju gubitka USB flash pogona.Malo je vjerojatno da će itko danas osporiti pogodnost prijenosa podataka s računala na računalo na prepisivim prijenosnim USB flash pogonima. Međutim, ova pogodnost ima i lošu stranu - rizik za sigurnost povjerljivih podataka. Kapacitet prijenosnih medija raste, a oni sami postaju sve minijaturniji. Ali što je uređaj manji, lakše ga je izgubiti. Ako se to dogodi, ne gubite samo sam uređaj i podatke pohranjene na njemu. Zapravo, ako su vam ti podaci vrijedni ili su povjerljivi, dopuštate da informacije cure.

    Istina je, ako izgubite USB flash pogon, u većini slučajeva onaj tko pronađe ovo malo čudo bit će manje zainteresiran za vaše podatke, a više za sam uređaj - kako bi na njega pohranio vlastite podatke. I ovdje je potrebno napomenuti još jednu stvar. Koristite svoj USB flash pogon na Macu, ali većina korisnika još uvijek koristi Windows. Ako svoj USB pogon spojite na računalo koje radi Windows kontrola, tada će vas Windows odmah zatražiti da ga formatirate, dakle Windows korisnici Malo je vjerojatno da će moći pročitati vaše datoteke, čak i ako ih zanima što je pohranjeno na mediju koji ste izgubili.

    Ali problem je ako je nalaznik stvarno zainteresiran za sadržaj vašeg flash pogona, a pritom ima Mac na raspolaganju. S druge strane, također postoji šansa da ćete svoj disk ostaviti (zaboraviti) doslovno pored Maca - tada će ga svaki slučajni korisnik u prolazu moći spojiti na ovaj Mac i, primjerice, čak uzeti i kopirati vaš podataka za sebe. Ovo je vrlo neugodan scenarij, a kako biste spriječili razvoj događaja na ovaj način, nije dovoljno samo brinuti o svom USB pogonu. Svi smo mi ljudi, a ljude karakteriziraju rasejanost i zaboravnost. Drugim riječima, nemate jamstva da nećete izgubiti medij sa svojim dragocjenim podacima. Očito, u ovom slučaju podatke treba zaštititi od neovlaštenog pristupa lozinkom. To možete učiniti pomoću aplikacije Disk Utility.

    Šifriranje USB pogona

    Prva odluka koju trebate donijeti je utvrditi koliko prostora na vašem USB disku želite dodijeliti za podatke zaštićene lozinkom. Obično, dobra odluka je zaštititi sve podatke. U tom slučaju izradite sigurnosnu kopiju svog USB pogona na radnoj površini (jednostavno povucite i ispustite sve datoteke i mape pohranjene na njemu u zasebnu mapu). Sigurnosna kopija potrebno jer ćete za postizanje svog cilja morati izbrisati sve podatke s flash pogona.

    Nakon što ste izradili sigurnosnu kopiju, pokrenite Disk Utility (koji se nalazi u mapi /Applications/Utilities) i koristite ga za ponovno formatiranje USB pogona. Nakon ponovnog formatiranja, Mac OS X će automatski stvoriti novi volumen i nazvati ga Untitled. Ovo ime možete ostaviti nepromijenjeno ili mu dodijeliti bilo koje drugo ime po vlastitom nahođenju.

    Disk bi sada trebao biti šifriran. U ovom koraku ćete na njemu stvoriti šifriranu .dmg datoteku koja će izgledati kao disk pohranjen na disku (ovo može izgledati malo zastrašujuće). Da biste dovršili ovaj zadatak, vratite se na prozor Disk programi Utility i kliknite gumb Nova slika. Odmah nakon što kliknete na gumb Nova slika, pojavit će se dijaloški okvir u kojem možete postaviti različite opcije za kreiranu .dmg datoteku. Prvo o čemu biste trebali voditi računa je odabir lokacije vaše nove .dmg datoteke. Ovu datoteku možete izraditi na radnoj površini i zatim je premjestiti na USB disk, ali je možete stvoriti i izravno na odredišnom pogonu.

    Nakon što postavite mjesto za .dmg datoteku, možete postaviti njezinu veličinu. Iako Disk Utility nudi niz opcija za stvaranje .dmg datoteka unaprijed definiranih veličina koje odgovaraju standardnim kapacitetima tipičnih medija (CD, DVD, itd.), velika je vjerojatnost da neće postojati opcija koja odgovara veličini vaš USB pogon. Stoga odaberite opciju Custom s padajućeg popisa Volume Size. Očito biste trebali navesti manju veličinu od stvarne veličine fizički disk, ali osim toga, trebali biste također uzeti u obzir troškove formatiranja diska. Na primjer, na USB flash disku od 2 GB maksimalna veličina slikovne datoteke bila je 1,7 GB.


    Nakon što postavite mjesto i veličinu .dmg datoteke, morat ćete odrediti vrstu slike koju želite izraditi. U ovom slučaju, slika mora biti čitljiva i pisana, au isto vrijeme mora biti šifrirana. Primjer postavki opcija za stvaranje šifrirane slike prikazan je na sl. 3.41.

    IZBJEGAVAJTE ZABUNU: Kada stvarate šifriranu sliku, prvo provjerite da kada kliknete gumb Nova slika, niti jedan pogon nije označen (tj. nije odabran). Ako je bilo koji pogon odabran, Disk Utility će pokušati stvoriti sliku odabranog pogona umjesto stvaranja nove, nedirnute slike. Međutim, ako napravite ovu pogrešku, neće se dogoditi ništa strašno - osim što možete primiti poruku o pogrešci Resource Busy.

    Pritisnite gumb Kreiraj i vaš je zadatak skoro gotov. Mac OS X će od vas tražiti da unesete i potvrdite svoju lozinku, nakon čega će se na vašem USB pogonu stvoriti nova šifrirana slika diska.

    OSLONITE SE NA MAC OS X ZA IZRADU SVOJIH LOZINKI: Mac OS X uključuje praktičan uslužni program za generiranje lozinki - Password Assistant (Slika 3.42). Mac OS X ne samo da može procijeniti lozinku koju unesete, već i generirati lozinke za vas s različitim razinama otpornosti na pucanje. Pritisnite tipku desno od polja Password i Mac OS X će procijeniti vašu lozinku. Kliknite na gumb sa slikom dvije trokutaste strelice desno od polja Vrsta. Otvorit će se popis opcija s kojih možete odabrati vrstu lozinke.


    Korištenje nove slike

    Dakle, sve pripremne radnje su već obavljene, a vama preostaje samo da počnete koristiti svoj novi šifrirani USB pogon. Vaša .dmg datoteka ugrađena je u USB pogon poput lutke, ali na radnoj površini pojavljuju se kao dva odvojena volumena. Da biste datoteku smjestili na šifrirano područje diska, povucite je tamo mišem, nakon čega možete lako putovati bilo gdje s šifriranim podacima. Kada trebate kopirati podatke s kriptiranog diska, spojite USB pogon na računalo, otvorite priloženu .dmg datoteku, unesite lozinku (Sl. 3.43) i moći ćete raditi s kriptiranim datotekama.


    Kako bi spriječio neovlašteni pristup i jednostavno radoznale oči, OS X, kao i svi moderni operativni sustavi, koristi korisničke lozinke. Većina Mac korisnika prirodno ga koristi, čime osigurava sigurnost svog računa, na koji se neće prijaviti dok ne unesete korisničku lozinku. Koliko god to bilo tužno, ima ih razne načine, koji vam omogućuju da poništite svoju administratorsku lozinku i dobijete pristup svim informacijama pohranjenim na vašem računalu.

    Korisnici kojima je sigurnost podataka na prvom mjestu sigurno će se htjeti osigurati od takvih stvari i spriječiti mogućnost neovlaštenog pristupa osobnim podacima. To se može učiniti pomoću FileVaultovog ugrađenog mehanizma za šifriranje.

    Bit ove metode je da kada omogućite FileVault, prije učitavanja računa morat ćete unijeti lozinku, a to će onemogućiti korištenje poznate metode poništavanje lozinke (Single User Mode, boot from vanjski disk itd.). Korištenje FileVaulta je možda najviše na jednostavan način, zaobići sve te pokušaje, jer osim šifriranja podataka na disku, nužno zahtijeva unos lozinke u ranim fazama pokretanja sustava. A to je upravo ono što nam treba!

    Radi jasnoće, pojednostavimo sve gore navedeno i pogledajmo kako izgleda uključivanje Maca prije i nakon aktivacije FileVaulta:

    • Prije. Pokretanje > Single User Mode > Reset Password > Prijavite se kao root korisnik
    • Nakon. Učitavanje > Zatražite lozinku za FileVault za pristup

    FileVault je iznimno jednostavan za postavljanje i dolazi s njim Postavke sustava OS X:

    1. Otvorite postavke i idite na odjeljak Zaštita i sigurnost, na karticu FileVault.

    2. Kliknite na ikonu lokota i unesite lozinku potrebnu za omogućavanje enkripcije.

    3. Ako imate više računa, odaberite koji će od njih koristiti enkripciju.

    4. Sigurno pohranjujemo ključ za oporavak - ako zaboravite lozinku, bit će nemoguće pristupiti vašim podacima bez ključa.

    5. Odaberite želite li pohraniti (kriptirani) ključ za oporavak na Appleovim poslužiteljima ili ne. Ako da, odaberite tri pitanja i naznačite odgovore na njih. Apple ih koristi da vas identificira ako ih kontaktirate ako izgubite ključ.

    6. Ponovno pokrenite računalo kako biste primijenili promjene i omogućili enkripciju.

    Međutim, važno je razumjeti rizike i ograničenja koja dolaze s korištenjem pune enkripcije diska. To znači mogući pad brzine čitanja diska i nemogućnost povrata vaših podataka ako izgubite lozinku. Ali mislim da to nije problem ako se odlučite na tako ozbiljan korak kao što je omogućavanje šifriranja diska - vi, po definiciji, trebate biti pažljiv korisnik i čuvati svoje lozinke na sigurnom. Stoga se korištenje FileVaulta teško može preporučiti prosječnom korisniku, za razliku od drajvera za Mac koji imaju posebne sigurnosne zahtjeve. Ako ste jedan od potonjih, predlažem da uključite FileVault i u potpunosti iskoristite prednosti enkripcije. Osim toga, vrlo je korisno steći naviku uvijek zaključavati svoj Mac, čak i ako odete radno mjesto nekoliko minuta.

    Početna enkripcija mog SSD-a od 120 GB, malo više od pola punog, trajala je oko 40 minuta.

    Zbog performansi, šifriranje FileVault najbolje je koristiti na Mac računalima s solid state SSD diskovi, iako s običnim tvrdi diskovi također radi prilično dobro (ali ipak neki korisnici primjećuju značajan pad brzine čitanja/pisanja u ovom slučaju).

    Kao što vidite, Apple još jednom potvrđuje svoju održivost operacijski sustav, što uključuje sve potrebni alati. FileVault izvrsna je usluga šifriranja podataka koja također pruža dodatne sigurnosne prednosti.

    Ako još imate pitanja, slobodno ih postavite u komentarima. Uvijek će mi biti drago čuti vaše mišljenje!

    Ja sam, poput mnogih ljudi uključenih u administraciju sustava, pomalo paranoičan. Vjerujem da netko želi ukrasti moje podatke. Iako zapravo ne trebaju nikome osim meni (“i brojnim napadačima koji spavaju i gledaju kako doći do mojih fotografija, izbora glazbe i filmova, i...” – to su riječi mog unutarnjeg paranoika), ali neće škoditi zaštititi se.

    Što se događa ako se laptop ukrade?

    Najjednostavniji slučaj je da lopov odmah ponovno formatira disk i instalira čista verzija operacijski sustav. Ostaje samo kupiti novi laptop, oporaviti se od Vremeplova i mirno nastaviti s radom. Ovaj scenarij tipičan je za pametnog lopova koji zna za značajku "Pronađi moj Mac" i sustav Pray.

    Ali postoji još jedan slučaj - lopov je ili glup ili znatiželjan. Ako je glup, počet će koristiti laptop a da ne dira sustav. Nedavna povijest hvatanja takvog lopova opisana je u članku "Zašto ne kradete od hakera". Sve je završilo loše za lopova, a odlično za vlasnika laptopa.

    Ako je lopov znatiželjan i pametan, odmah će onemogućiti mrežna sučelja da sustav ni slučajno ne pristupi Internetu, te će početi proučavati od čega može profitirati.

    Počet će proučavati dokumente, pristupne ključeve, pokušati doći do Keychaina, pogledati povijest naredbi u ljusci i možda naletjeti na lozinku (po mom iskustvu bio je slučaj kada je vrlo brz kolega unio administratorsku lozinku u sesija pretjerano znatiželjnog korisnika, ali je nije upisao u polje za zahtjev za lozinku, već samo u ljusku, a administratorska lozinka je završila u .history). U kliničkom slučaju lozinka može biti ista za sustav i za bazu podataka 1Password. Nema potrebe nastaviti. A onda - ili prodor ili ucjena.

    Nadam se da ne mislite da će traženje lozinke prilikom prijave nekoga spriječiti? Lozinka firmvera (bar prije) poništena je uklanjanjem jedne od nekoliko memorijskih kartica i zatim brisanjem PRAM-a. Zatim - način rada za jednog korisnika, nekoliko naredbi i lozinka se mijenja. Ako se ne želite gnjaviti s Firmware Password, onda se disk izvadi iz prijenosnog računala, poveže s drugim računalom i dobije se pristup svim podacima.

    Za zaštitu od opisanih situacija implementiran je FileVault. U prvoj verziji korisnički matični direktorij bio je smješten u šifrirani spremnik (sparse bundle image), čiji je ključ bila korisnička lozinka. Bez poznavanja lozinke, kontejner se nije mogao otvoriti. Ne treba isključiti mogućnost pogađanja lozinke, ali ako je lozinka bila složena, onda su podaci bili potpuno sigurni.

    Sigurnost morate platiti. Kako biste sigurnosno kopirali svoje podatke na Time Machine, morali ste se odjaviti sa svog računa. Nije bilo moguće izvršiti selektivno vraćanje putem sučelja Time Machine. Omogućavanje enkripcije ponekad je pogoršalo rad s datotekama za 50%. Bilo je i drugih manjih poteškoća.

    OS X Lion uključuje poboljšanu verziju - FileVault 2, sustav šifriranja puni disk, koristeći algoritam XTS-AES 128.

    U procesu proučavanja problema obratio sam se člancima MacFixIt-a “O FileVault 2 u OS X 10.7 Lion” i ArsTechnica “Promjene datotečnog sustava u Lionu”.

    Oni koji žele razumjeti matematičke modele mogu pročitati dokument “IEEE P1619TM/D16 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices” i “Not so scary, XTS-AES”.

    Particija s EFI i Recovery HD ostaje nekriptirana:

    $ diskutil list /dev/disk0 #: VRSTA IME VELIČINA IDENTIFIKATOR 0: GUID_partition_scheme *160.0 GB disk0 1: EFI 209.7 MB disk0s1 2: Apple_CoreStorage 159.2 GB disk0s2 3: Apple_Boot Recovery HD 650.0 MB disk0s3
    1. Nakon inicijalizacije hardvera, EFI pronalazi Recovery HD i prenosi kontrolu na bootloader /System/Library/CoreServices/boot.efi koji se nalazi na ovoj particiji.
    2. Bootloader ima dvije opcije - pokrenite EfiLoginUI s com.apple.boot.x i pokažite početni zaslon s upitom za lozinku za prijavu ili, ako je pritisnuta kombinacija Option-R, ljusku za oporavak sustava s com.apple.recovery.boot .
    3. Ključevi za dekriptiranje diska pohranjeni su u datoteci EncryptedRoot.plist.wipekey u direktoriju /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Korisnička lozinka dekriptira ključeve diska koji se nalaze u ovoj datoteci. Zatim se pohranjuju u memoriju, a sadržaj diska se dešifrira u hodu. Svaki put kad se promijeni korisnička lozinka, dodaje se novi korisnik, a sličnim operacijama EncryptedRoot.plist.wipekey se ponovno generira.

    FileVault također radi za korisnike koji se prijavljuju putem OpenDirectoryja - njihovi pristupni atributi se pohranjuju u predmemoriju u slučaju da nema veze s imeničkim poslužiteljem.

    Učinkovitost diskovnih operacija s uključenim FileVault 2, prema Anandtech testovima, pogoršava se za najviše 20-30%, što je sasvim prihvatljivo. Međutim, vrijedi uzeti u obzir da postoji ovisnost o procesoru i disku. Novi Intel procesori koristite AES-NI skupove instrukcija za ubrzanje AES Intel® Advanced Encryption Standard Instructions (AES-NI) i rukovanje šifriranjem diska bolje od starijih Core procesori 2 Duo. Svatko donosi svoju odluku na temelju vlastitog hardvera.

    Ako vaš Mac bude ukraden, bit će gotovo nemoguće pristupiti podacima (podložno složenoj lozinci i neočitim odgovorima na ključna pitanja o vraćanju od Applea). Samo ćeš ga morati kupiti novi mac i ne brinite previše o ugroženosti lozinki i korištenju podataka.

    Time Machine sada radi bez potrebe da se odjavite sa svog računa. Sada morate zaštititi svoje podatke Time Machinea i bolje ih je smjestiti u kriptiranu particiju (kako to učiniti opisano je u članku Mac OS X Lion FileVault 2 i Time Machine External Drive Encryption).

    Jedna od "značajki" koju morate zapamtiti je da će prilikom pokretanja s pritisnutom Option odjeljak "Recovery HD" biti nedostupan; da biste se pokrenuli s njega, morate držati pritisnutu kombinaciju tipki Command-R.

    Aktivacija

    Aktivacija FileVault 2 je jednostavna. Postavke sustava/Sigurnost i privatnost/FileVault, kliknite na lokot za promjene, uključite FileVault. Neophodno je da ključ i odgovore na pitanja o vraćanju ključa spremite na sigurno i šifrirano mjesto (ako ste ga odlučili spremiti u Apple). Sustav će od vas tražiti da ponovno pokrenete sustav. Odmah po učitavanju tražit će se vaša lozinka i nakon prijave odmah ćete moći raditi. Nema potrebe čekati satima da se particija šifrira; ova se operacija izvodi u pozadina dok u potpunosti radite:

    Pokretanjem iClouda pojavit će se mogućnost "Pronađi moj Mac", u kojoj, analogno s "Pronađi moj iPhone/iPad", kada se Mac pojavi na mreži, možete prikazati poruku s reprodukcijom zvučni signal, zaključati Mac ili čak uništiti sadržaj šifriranog diska (mogu pretpostaviti da su ključevi za šifriranje izbrisani i disk postaje beskoristan niz podataka).