###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Criptați datele Mac. Cum să creați o unitate USB criptată în Mac OS. Ce este FileVault

    12.03.2020 Siguranță

    Este posibil ca Mac-ul dvs. să stocheze o mulțime de informații valoroase și confidențiale pe care nu ați dori să le împărtășiți cu nimeni altcineva. Și este destul de natural că veți dori să protejați aceste informații de toți cei din afară. Desigur, nu veți putea scăpa doar cu o parolă pentru a vă conecta la contul dvs. Pentru a rezolva o astfel de problemă, este necesar să folosiți criptarea informațiilor. Vom dedica o serie scurtă de articole criptării pe Mac-uri, în care vom avea în vedere diverse soluții plătite și gratuite în acest scop. Vom începe cu cel mai standard mecanism de criptare — tehnologia FileVault încorporată în Mac OS.

    Să spunem imediat că domeniul de aplicare al FileVault este restrâns - puteți cripta doar folderul de acasă utilizator. Folosit pentru criptare Cheie de algoritm AES pe 128 de biți, care oferă foarte nivel inalt fiabilitate.

    Totul este foarte simplu: FileVault creează un container special ( imagine de disc criptată), copiază acolo întregul folder de utilizator și apoi șterge originalul. Toate informațiile conținute în imaginea de disc criptată devin accesibile numai atunci când utilizatorul se conectează la contul dvs. În restul timpului este complet protejată de privirile indiscrete.

    Aceasta duce la prima și cea mai importantă concluzie (pentru toate criptările) - Nu uitați niciodată parola de criptare , altfel toate avantajele sale se vor întoarce împotriva ta. Pentru a proteja împotriva amneziei, Mac OS X oferă parola principala,știind care, puteți reseta parola pentru oricine cont, incl. și din FileVault criptat. Acest lucru vă va scuti de la pierderea informațiilor dacă brusc nu vă puteți aminti parola pentru contul dvs. Dar dacă uitați atât parola, cât și parola principală, atunci puteți în siguranță spune la revedere odată pentru totdeauna.

    Înainte de a activa FileVault, asigurați-vă că luați în considerare câteva caracteristici importante:

    1) Criptarea primară este în curs pentru o lungă perioadă de timp- poate dura câteva ore. Durata acestuia depinde direct de numărul și dimensiunea fișierelor din folderul utilizatorului. Prin urmare, înainte de a cripta, încercați mutați din folderul utilizatorului toată muzica, toate filmele, toate fotografiile și orice altceva informații confidențialeîn orice altă locație de pe disc.

    2) Ești obișnuit cu Mac-ul productiv și rapid? Iesi din obicei. FileVault este vizibil va strica performanța chiar și cel mai puternic Macintosh. Criptarea creează o încărcare suplimentară constantă pe procesor și pe hard disk.

    3) Mulți începători sunt surprinși de ce spațiul pe disc nu este eliberat la ștergerea fișierelor. Apoi descoperă că trebuie să golească Coșul de gunoi. Dacă FileVault este activat, veți fi surprins să descoperiți asta După golirea Coșului de reciclare, spațiul liber pe disc nu apare. După cum am menționat deja, întregul folder de utilizator se transformă într-o singură imagine. Și dimensiunea sa se schimbă automat numai atunci când vă deconectați de la cont, așa că pentru a recupera spațiul liber va trebui să faceți acest lucru încheie sesiunea.

    4) Pericol de pierdere totală sau parțială a informațiilor crește exponențial. La început, acest lucru pare absurd - la urma urmei, criptarea este concepută pentru a proteja informațiile confidențiale. Îi protejează cu adevărat - de hacking, dar nu de defecțiunea discului. Gândiți-vă singur - atunci când unul dintre sectoarele de disc se deteriorează, fișierul, din care o parte a fost scrisă pe acest sector, se deteriorează. Întregul folder de utilizator cu FileVault activat este un singur fișier. Imaginează-ți ce s-ar întâmpla dacă spațiul pe disc pe care îl ocupă ar fi deteriorat.

    5) M-am obișnuit să-l folosesc Mașina timpului ? După activarea FileVault, capacitățile sale vor fi mult reduse. De exemplu, nu veți mai putea restabili prin interfața Time Machine dosar separat. Și dacă încercați să restaurați întregul sistem, atunci pregătiți-vă pentru surprize neplăcute. Forumurile Apple sunt inundate de reclamații din partea utilizatorilor care nu se pot conecta la contul lor după această procedură.

    6) Este ușor să activați FileVault, dar dezactivați-l înapoi Nu merge întotdeauna. Sistemul afișează adesea o eroare atunci când încearcă să dezactiveze criptarea. Și adesea această eroare duce la imposibilitatea de a vă conecta în contul dvs. în viitor.

    Desigur, aceste șase puncte nu au scopul de a vă descuraja să activați criptarea. Dar, conform legii lui Murphy, dacă ceva rău are șanse să se întâmple, se va întâmpla în cel mai inoportun moment.

    FileVault nu este cea mai bună opțiune pentru criptare. Singurul său avantaj este că este complet integrat în sistem.

    Deci, dacă ați cântărit argumentele pro și contra, iată instrucțiunile pentru activarea FileVault.

    1) B Setarile sistemului alege telecomanda Siguranță. Accesați fila FileFaultși apăsați butonul Activați FileVault.

    2) Vi se va cere parola de administrator. După aceasta, vi se va solicita să creați parola principala(dacă nu ați făcut asta înainte). Vă reamintim încă o dată - Dacă pierdeți atât parola principală, cât și parola contului, va fi imposibil să decriptați informațiile.

    3) Apoi veți fi forțat să introduceți din nou parola de administrator, după care va apărea ultima fereastră de avertizare:

    Vă rugăm să rețineți setările disponibile: Utilizați ștergere sigură va crește suplimentar timpul de criptare și Utilizați memoria virtuală protejată va forța FileVault să-l cripteze nu numai pe al tău, ci și pe temporar fișiere de sistem, descărcat temporar pe disc. Nu are sens să explici cum va afecta acest lucru performanța computerului.

    4) Dacă după toate aceste întrebări și avertismente nu v-ați răzgândit, faceți clic Activați FileVault. Sistemul va încheia sesiunea și va începe criptarea, timp în care este mai bine să nu deranjați computerul (și mai ales să nu îl opriți!). Când totul s-a terminat, veți descoperi că pictograma folderului dvs. de utilizator s-a schimbat din casa obișnuită într-un seif de oțel. Nu veți mai observa modificări vizibile (bine, cu excepția frânelor teribile ale sistemului din orice motiv;).

    Dezactivarea FileVault are loc aproape în același mod, prin fila FileVault din panoul Securitate.

    P.S. Să repetăm ​​- nu vă recomandăm să activați imediat FileVault. În primul rând, citiți restul articolelor din seria noastră, dintre care următorul va fi dedicat program gratuit TrueCrypt.

    Vă reamintim că încercările de a repeta acțiunile autorului pot duce la pierderea garanției echipamentului și chiar la defecțiunea acestuia. Materialul este furnizat doar în scop informativ. Dacă aveți de gând să reproduceți pașii descriși mai jos, vă sfătuim insistent să citiți cu atenție articolul până la sfârșit cel puțin o dată. Ediția 3DNews nu își asumă nicio responsabilitate pentru eventualele consecințe.

    ⇡ Introducere

    Aproape toate soluțiile menționate în materialul anterior au fost discutate într-un fel sau altul pe paginile resursei noastre. Cu toate acestea, subiectul criptării și distrugerii datelor a fost ignorat pe nedrept. Să corectăm această omisiune. Vă recomandăm să citiți din nou articolul anterior înainte de a face ceva. Asigurați-vă că faceți copie de rezervă toate datele înainte de a le cripta! Și, de asemenea, gândiți-vă de zece ori la ce informații va trebui să luați cu dvs. și dacă este posibil să refuzați măcar o parte din ele. Dacă totul este gata, să începem.

    ⇡ Criptare folosind mijloace standard de Windows 7, Mac OS X 10.7 și Ubuntu 12.04

    Toate sistemele de operare desktop moderne au dobândit de mult timp utilitare încorporate pentru criptarea fișierelor și folderelor sau a discurilor întregi. Înainte de a lua în considerare utilitățile de la terți, este mai bine să apelați la acestea, deoarece sunt destul de ușor de configurat și utilizat, deși nu au diverse funcții suplimentare. Windows 7 Ultimate și Enterprise au o funcție de criptare a volumului numită BitLocker. Pentru pază disc de sistem necesită un modul TPM, care nu este instalat pe toate PC-urile sau laptopurile, dar nu este necesar pentru alte volume. Windows 7 are, de asemenea, o funcție BitLocker To Go pentru a proteja unitățile amovibile, care poate fi folosită și fără un modul criptografic hardware, iar acest lucru este suficient pentru majoritatea utilizatorilor.

    Dacă aveți un potrivit Versiunea Windows 7, apoi pentru a activa BitLocker (To Go), accesați elementul „BitLocker Drive Encryption” din Panoul de control. Lângă unitatea corespunzătoare, faceți clic pe linkul „Activați BitLocker”. Selectați opțiunea de deblocare cu parolă și salvați cheie de recuperare (este doar un fișier text)într-un loc sigur, de exemplu pe o unitate flash pe care nu o iei cu tine pe drum. După ceva timp, și asta depinde de capacitatea unității și de puterea computerului, procesul de criptare va fi finalizat.

    Când conectați un volum criptat, vi se va cere de fiecare dată să introduceți o parolă pentru a accesa datele, cu excepția cazului în care activați deblocarea automată, ceea ce nu este recomandat. Puteți gestiona în continuare parametrii unui volum criptat în aceeași secțiune „BitLocker Drive Encryption” a Panoului de control. Dacă ați uitat brusc parola BitLocker, atunci trebuie să utilizați o cheie de recuperare digitală de 48 de cifre pentru a o decripta - după ce o introduceți, volumul va fi deblocat temporar.

    În Windows 7, pe lângă BitLocker, există o altă metodă de criptare a folderelor și fișierelor, nu a volumelor - criptate Sistemul de fișiere(EFS). Acceptat în toate edițiile de sistem de operare, dar în Starter și Home (Premium) puteți lucra doar cu foldere și fișiere deja criptate, dar nu le creați. Pentru ca EFS să funcționeze, este necesar să utilizați NTFS cu opțiunea de compresie a datelor dezactivată. Dacă aparatul dvs. îndeplinește aceste cerințe, atunci puteți începe reglarea.

    În panoul de control, accesați setările contului și faceți clic pe linkul „Gestionați certificatele de criptare a fișierelor”. Urmând instrucțiunile vrăjitorului, creăm un nou certificat autosemnat pentru computer. Asigurați-vă că îl salvați într-un loc sigur și îl protejați cu o parolă. Acest lucru se poate face ulterior folosind același expert, dar este mai bine să nu întârziați, deoarece fișierul PFX exportat va fi necesar pentru recuperarea datelor de urgență. Dacă ați avut deja date criptate pe disc, atunci trebuie să actualizați cheile pentru acestea.

    EFS este transparent pentru utilizator, ceea ce înseamnă că puteți lucra cu fișiere și foldere ca de obicei. Dar dacă încercați să le deschideți într-un alt mediu (OS, PC), atunci accesul la ele va fi refuzat. Pentru a cripta un fișier sau un folder, faceți clic pe butonul „Altele...” din proprietățile acestuia din fila „General” și bifați caseta de selectare „Criptați conținutul pentru a proteja datele”. După aplicarea modificărilor, culoarea implicită a numelui elementului criptat se schimbă în verde pentru o mai bună identificare vizuală a datelor protejate.

    Pentru a decripta, debifați caseta din proprietățile fișierului/dosarului. Dacă încercați să copiați date protejate în locații nepotrivite - pe o unitate FAT32, pe o unitate de stocare în rețea și așa mai departe - va apărea un avertisment că datele vor fi decriptate și vor ajunge acolo într-o formă neprotejată. Pentru a face lucrul cu EFS mai convenabil, puteți adăuga elemente adecvate în meniul contextual Explorer. Tot ce trebuie să faceți este să creați un parametru DWORD EncryptionContextMenuîn filiala registrului HKEY_LOCAL_MAȘINĂRIE\\SOFTWARE\\Microsoft\\Windows\\Versiune curentă\\Explorator\\Avansat\\ și setați-i valoarea la 1.

    Pentru a decripta datele de pe o unitate dacă mașina pe care au fost criptate nu este disponibilă, aveți nevoie de o copie de rezervă a certificatului și de o parolă pentru acesta. Pentru a importa, faceți dublu clic pe fișierul pfx și urmați instrucțiunile vrăjitorului. Dacă doriți să exportați acest certificat în viitor pentru a lucra cu date pe o altă mașină, atunci bifați această opțiune.

    Trebuie să salvați certificatul importat în spațiul de stocare personal. După finalizarea procesului, accesul la fișierele și folderele criptate va fi deschis. Administra certificate personale Puteți utiliza snap-in-ul MMC - Win+R, certmgr.msc, Enter.

    O altă opțiune extrem de utilă și anume piure spatiu liber pe disc, accesibil numai folosind Linie de comanda. Cheia /W - ștergerea spațiului, /E - criptare, /D - decriptare. Descrierile altor parametri sunt disponibile în ajutorul încorporat - tasta /?.

    Cifrare /W X:\\cale\\la\\orice\\dosar\\pe\\discul care este curățat

    Mac OS X

    Să ne uităm pe scurt la posibilitățile de protecție a datelor în computerele Apple. Mac OS X are de multă vreme sistemul de criptare încorporat FileVault și, începând cu versiunea 10.7, vă permite să vă protejați nu numai directorul de acasă, ci și întregul disc simultan. Îl puteți activa în setările sistemului din secțiunea „Protecție și securitate”. De asemenea, va fi util să verificați acolo opțiunea de protecție. memorie virtuala. Când activați criptarea, va trebui să setați o parolă principală, dacă nu a fost deja setată, și să salvați și cheia de recuperare. Pentru o configurare ulterioară, urmați instrucțiunile vrăjitorului. Cu toate acestea, o metodă mai universală este utilizarea imaginilor de disc criptate.


    În Utilitar disc, selectați „Imagine nouă” și în dialogul care apare, specificați numele fișierului și locația acestuia, specificați numele discului și selectați dimensiunea. Journaled Mac OS Extended este destul de potrivit ca sistem de fișiere. Criptarea este mai bine să alegeți AES-256. În lista „Partiții”, lăsați selecția „ HDD", și specificați pachetul de imagini în creștere ca format. Rămâne doar să vii cu sau să generezi o parolă pentru acces, dar să nu o amintești în breloc pentru o mai mare securitate, ci să o introduci manual de fiecare dată. Când faci dublu clic pe imagine, aceasta este montată și îți cere o parolă. După ce salvați datele importante pe acesta, nu uitați să demontați imaginea.


    Ubuntu oferă să cripteze directorul principal al utilizatorului în timpul etapei de instalare. În același timp, partiția de swap este, de asemenea, criptată, ceea ce face imposibilă utilizarea modului de repaus. Dacă ați refuzat criptarea în timpul instalării, va trebui să configurați totul manual. În același timp, puteți refuza să protejați partiția de swap, ceea ce reduce în mod natural securitatea. O opțiune mai convenabilă și mai sigură, dar și mai dificil de configurat, este criptarea întregului disc deodată. Dacă doriți să faceți acest lucru, atunci utilizați aceste instrucțiuni. Vom lua în considerare o variantă simplă cu protecție acasă și, dacă se dorește, schimb. Mai întâi, să instalăm software-ul necesar folosind terminalul:

    Sudo apt-get install ecryptfs-utils cryptsetup

    Există o avertizare aici - pentru a cripta directorul de acasă al unui utilizator, fișierele din acest director nu trebuie să fie deschise în niciun program, ceea ce înseamnă că utilizatorul trebuie să se deconecteze din sistem. Pentru a face acest lucru, va trebui să creați un alt cont temporar cu drepturi de administrator. După ce l-ați creat, deconectați-vă din sistem și conectați-vă cu un cont nou.


    În numele celui de-al doilea utilizator, rulați următoarea comandă, în care nume de utilizatorînlocuiți-l cu numele utilizatorului al cărui director principal îl vom cripta. Convertirea fișierelor va dura ceva timp, așa că aveți răbdare.

    Sudo ecryptfs-migrate-home -u nume de utilizator

    După finalizarea operațiunii, deconectați-vă din sistem și conectați-vă din nou utilizând contul principal. Acum puteți șterge contul temporar și toate fișierele acestuia. La câteva minute după conectare, va apărea un avertisment care indică faptul că trebuie să salvați parola generată aleatoriu pentru a accesa fișierele nou criptate într-un loc sigur în caz de recuperare de urgență. Nu uita să faci asta.

    În cele din urmă, tot ce rămâne este să ștergeți „vechiul” director principal / acasă/nume de utilizator.XXXXXXXX, Unde XXXXXXXX- un set aleatoriu de litere.

    Sudo rm -rf /home/nume utilizator.XXXXXXXX

    Pentru a cripta partiția de swap, rulați o singură comandă, apoi asigurați-vă că / etc/fstab Intrarea despre vechea partiție de swap este comentată, iar cea nouă este indicată /dev/mapper/cryptswap1.

    Sudo ecryptfs-setup-swap

    ⇡ Criptare folosind TrueCrypt

    TrueCrypt este o aplicație deschisă, multiplatformă, pentru crearea și lucrul cu volume protejate cu criptare din mers. În practică, aceasta înseamnă că, în primul rând, datele sunt doar în formă decriptată memorie cu acces aleator. În al doilea rând, lucrul cu containere cripto este posibil în orice sistem de operare. Și în al treilea rând, cu un grad destul de mare de probabilitate putem vorbi despre absența oricăror „marcaje”. În plus, TrueCrypt acceptă instrucțiuni AES-NI pentru a accelera (de-)criptarea. De fapt, capacitățile programului sunt mult mai largi și toate sunt bine descrise în manual, care este disponibil împreună cu pachetul de localizare (despachetați conținutul arhivei într-un director cu programul instalat). Prin urmare, vom lua în considerare cel mai simplu caz de creare a unui container cripto în mediul Windows.



    Deci, după instalare, rulați utilitarul, faceți clic pe butonul „Creați volum” și urmați sfaturile expertului, deoarece setările implicite sunt destul de sigure. Trebuie doar să setați manual volumul volumului și parola acestuia. După montarea containerului, acesta va apărea pe sistem ca un volum fizic obișnuit, ceea ce înseamnă că poate fi formatat, defragmentat și așa mai departe.



    Particularitatea containerelor TrueCrypt este că din exterior arată ca seturi de biți aleatori și teoretic este imposibil să recunoști că este un container într-un fișier. Asigurați-vă că urmați sfaturile pentru crearea unei parole puternice și salvați-o imediat într-un loc sigur. Protecția suplimentară este utilizarea fișierelor cheie de orice tip, pentru care va trebui să faceți și o copie de rezervă.



    Tot ce rămâne este să selectați formatul FS (setul depinde de sistemul de operare), să mutați mouse-ul în interiorul ferestrei și să marcați volumul. Aceasta completează crearea containerului.


    Pentru a monta un volum, trebuie să faceți clic pe butonul „Fișier…”, să selectați un container și o literă de unitate, să faceți clic pe „Montare”, să introduceți parole și, dacă este necesar, să selectați fișierele cheie, precum și să specificați alți parametri. Acum puteți lucra cu date în același mod ca și cum ar fi pe un disc logic obișnuit. Pentru a dezactiva containerul cripto, faceți clic pe butonul „Demontați”. În setările programului, puteți activa și demontarea automată prin temporizator/logout/lansare screen saver, ștergerea cache-urilor și alte funcții utile.

    Aceasta este o opțiune de stocare destul de simplă și fiabilă. Informații importante. Cu toate acestea, dacă aveți nevoie de mai multă securitate, atunci TrueCrypt vă permite să creați volume ascunse, să criptați discuri și partiții, să adăugați o partiție ascunsă cu un alt sistem de operare, să configurați o „conductă” de mai mulți algoritmi de criptare, să protejați o unitate portabilă, să utilizați jetoane și carduri inteligente. pentru autorizare și, de asemenea, mult mai mult. Este foarte recomandat să citiți capitolul privind cerințele de siguranță și precauții din documentație.

    ⇡ Îndepărtarea în siguranță

    Singurul mod de încredere Se garantează că datele vor fi șterse - aceasta înseamnă distrugerea fizică a unității pe care se află. În acest scop, s-au dezvoltat chiar proceduri speciale, uneori de natură sadică subtil pervertită. Și „vina” pentru aceasta este diferitele tehnologii care sunt utilizate în unitățile moderne - magnetizare reziduală, operațiuni TRIM, distributie uniformaîncărcături, logare și așa mai departe. Esența acestora se rezumă, în general, la faptul că datele sunt adesea marcate ca șterse sau gata de a fi șterse în loc să fie efectiv șterse. Prin urmare, au fost dezvoltate metode pentru eliminarea destul de sigură a informațiilor reziduale, care nu sunt la fel de radicale precum distrugerea completă a mass-media.

    Caracteristica Secure Disk Erase este prezentă în multe editoare de partiții. Există multe utilități similare pentru Windows, dar ne vom concentra pe clasicul SDelete. Puteți lucra cu el în modul linie de comandă. Sintaxa este destul de simplă. Comutatorul -p specifică numărul de treceri de rescriere, cu comutatorul -s (sau -r), programul distruge recursiv întregul conținut al folderului, iar trecerea tastei -c (sau -z) șterge (se umple cu zerouri) liber. spațiu pe volumul specificat. La sfârșit, este indicată calea către folder sau fișier. De exemplu, pentru a șterge volumul TrueCrypt și a curăța discul, vom rula două comenzi:

    C:\\sdelete.exe -p 26 C:\\examplec C:\\sdelete.exe -c C:\\

    Majoritatea distribuțiilor Linux au un utilitar shred care îndeplinește aceleași funcții ca SDelete. Are și mai mulți parametri, dar pentru noi este suficient să cunoaștem trei dintre ei. Comutatorul -n setează numărul de treceri de rescriere, -u șterge fișierul și -z umple spațiul folosit cu zerouri la sfârșit. Exemplu de lucru:

    Sudo shred -u -z -n 26 /home/dest/exampletc2

    Programul shred are o serie de limitări în ceea ce privește eliminarea în siguranță, despre care utilizatorul este avertizat sincer atunci când rulează cu tasta --help. Un set mai eficient de utilități este inclus în pachetul Secure-Delete. Să-l instalăm și să ne uităm la câteva programe încorporate. Utilitarul srm este similar cu shred, dar ia ceva mai puțini parametri. Suntem interesați de comutatoarele -r pentru ștergerea recursivă a directorului specificat și de -z omniprezent pentru umplerea spațiului cu zerouri. Pachetul conține și un utilitar pentru ștergerea spațiului liber de pe disc cu folderul specificat.

    Sudo apt-get install secure-delete sudo srm -z /home/dest/examplec3 sudo -z sfill /home/dest

    Pentru Mac OS X există același CCleaner cu funcția de golire a spațiului liber, precum și utilitarul srm, care funcționează la fel ca în Linux. Vă recomandăm să activați Golirea securizată a gunoiului în setările Finder. Este disponibil și în meniul contextual coș în timp ce apăsați tasta CMD.

    Pentru unitățile SSD și unitățile flash, este mai bine să utilizați formatarea la nivel scăzut (vezi) sau procedura Secure Erase, ceea ce vă poate duce la pierderea garanției pentru SDD. Pentru cel din urmă caz, este potrivită o altă distribuție Live pentru lucrul cu partițiile de disc - Parted Magic. Porniți de pe acesta și selectați Instrumente de sistem → Ștergeți discul din meniul principal. Pentru unități cu stare solidă selectați ultimul element Secure Erase și, pentru HDD-urile obișnuite, utilizați metoda nwipe, care este în esență același DBAN.

    ⇡ Concluzie

    Combinația de criptare a datelor și ulterioare ștergere sigură suficient pentru a proteja în mod fiabil informațiile confidențiale. Desigur, acest lucru nu garantează în niciun caz protecție 100%, ci pentru utilizatorii obișnuiți riscul de scurgere scade brusc. Și serviciile relevante se vor ocupa de „muritoare dificile”. Încă o dată, vă reamintim importanța creării de copii de rezervă în general și înainte de criptare în special, precum și a reducerii la minimum a cantității de date transferate cu dvs. în tabăra unui potențial inamic și necesitatea de a folosi parole puternice cu chei. cu rezerva lor. Ei bine, fii mereu atent. Noroc!

    Pe măsură ce capacitatea unităților flash crește constant, iar prețurile lor, dimpotrivă, scad, acestea câștigă popularitate. Deosebit de atractivă este capacitatea lor de a transfera cantități semnificative de date pe unități USB portabile. Cu toate acestea, portabilitatea lor are și un dezavantaj - sunt foarte ușor de pierdut. Această rețetă vă spune cum să vă protejați datele confidențiale de accesul neautorizat în cazul pierderii unei unități flash USB.Este puțin probabil ca cineva să contestă astăzi comoditatea transferului de date de la computer la computer pe unități flash USB portabile reinscriptibile. Cu toate acestea, această comoditate are și un dezavantaj - un risc pentru securitatea datelor confidențiale. Capacitatea suporturilor portabile este în creștere, iar ele înșiși devin din ce în ce mai miniaturale. Dar cu cât dispozitivul este mai mic, cu atât este mai ușor să-l pierzi. Dacă se întâmplă acest lucru, nu pierdeți doar dispozitivul în sine și datele stocate pe el. De fapt, dacă aceste date sunt valoroase pentru dvs. sau sunt confidențiale, permiteți ca informațiile să se scurgă.

    Adevărul este că, dacă pierzi o unitate flash USB, în cele mai multe cazuri, cine găsește această mică minune va fi mai puțin interesat de datele tale și mai interesat de dispozitivul în sine - pentru a-și stoca propriile date pe el. Și aici mai trebuie remarcat un punct. Utilizați unitatea flash USB pe un Mac, dar majoritatea utilizatorilor încă rulează Windows. Dacă vă conectați unitatea USB la un computer care rulează Control Windows, apoi Windows vă va solicita imediat să îl formatați, deci utilizatorii de Windows Este puțin probabil ca aceștia să vă poată citi fișierele, chiar dacă sunt interesați de ceea ce este stocat pe mediile pe care le-ați pierdut.

    Dar problema este dacă găsitorul este cu adevărat interesat de conținutul unității tale flash și, în același timp, are la dispoziție un Mac. Pe de altă parte, există, de asemenea, șansa să vă lăsați (uitați) unitatea literalmente lângă Mac - atunci orice utilizator aleatoriu care trece pe acolo va putea să-l conecteze la acest Mac și, de exemplu, chiar să vă ia și să vă copieze date pentru ei înșiși. Acesta este un scenariu foarte neplăcut și pentru a preveni dezvoltarea în acest fel a evenimentelor, nu este suficient să aveți grijă pur și simplu de unitatea USB. Cu toții suntem oameni, iar oamenii se caracterizează prin distragere și uitare. Cu alte cuvinte, nu ai nicio garanție că nu vei pierde media cu datele tale prețioase. Evident, în acest caz, datele ar trebui protejate împotriva accesului neautorizat cu o parolă. Puteți face acest lucru folosind aplicația Disk Utility.

    Criptarea unei unități USB

    Prima decizie pe care trebuie să o luați este să vă dați seama cât spațiu ar trebui să fie alocat pe unitatea dvs. USB pentru datele protejate prin parolă. De obicei, buna decizie este de a proteja toate datele. În acest caz, creați o copie de rezervă a unității dvs. USB pe desktop (pur și simplu trageți și plasați toate fișierele și folderele stocate pe ea într-un folder separat). Backup necesar deoarece pentru a vă atinge obiectivul va trebui să ștergeți toate datele de pe unitatea flash.

    După ce ați creat o copie de rezervă, rulați Disk Utility (situat în folderul /Applications/Utilities) și utilizați-l pentru a reformata unitatea USB. După reformatare, Mac OS X va crea automat un nou volum și îl va numi Untitled. Puteți lăsa acest nume neschimbat sau îi puteți atribui orice alt nume, la discreția dvs.

    Discul ar trebui acum să fie criptat. În acest pas, veți crea un fișier .dmg criptat pe el, care va arăta ca un disc stocat pe un disc (acest lucru poate părea puțin descurajan). Pentru a finaliza această sarcină, reveniți la fereastră Programe de disc Utilitar și faceți clic pe butonul Imagine nouă. Imediat după ce faceți clic pe butonul Imagine nouă, va apărea o casetă de dialog care vă permite să setați diferite opțiuni pentru fișierul .dmg creat. Primul lucru de care ar trebui să aveți grijă este să alegeți locația noului fișier .dmg. Puteți crea acest fișier pe desktop și apoi îl puteți muta pe o unitate USB, dar îl puteți crea și direct pe unitatea de destinație.

    Odată ce locația fișierului .dmg este setată, puteți seta dimensiunea acestuia. Deși Disk Utility oferă o serie de opțiuni pentru crearea fișierelor .dmg de dimensiuni predefinite, care se potrivesc capacităților standard ale mediilor obișnuite (CD, DVD etc.), există șanse mari să nu existe o opțiune care să se potrivească cu dimensiunea unitatea dvs. USB. Prin urmare, selectați opțiunea Personalizată din lista verticală Dimensiune volum. Evident, ar trebui să specificați o dimensiune mai mică decât dimensiunea reală disc fizic, dar pe lângă aceasta, ar trebui să luați în considerare și costul general de formatare a discului. De exemplu, pe o unitate flash USB de 2 GB, dimensiunea maximă a fișierului de imagine a fost de 1,7 GB.


    Odată ce locația și dimensiunea fișierului .dmg sunt setate, va trebui să specificați tipul de imagine de creat. În acest caz, imaginea trebuie să fie atât citibilă, cât și scrisă și, în același timp, să fie criptată. Un exemplu de opțiuni de setare pentru crearea unei imagini criptate este prezentat în Fig. 3.41.

    EVITA CONFUZIA: Când creați o imagine criptată, asigurați-vă mai întâi că atunci când faceți clic pe butonul Imagine nouă, niciuna dintre unități nu este evidențiată (adică nu este selectată). Dacă oricare dintre unități este selectată, Utilitarul de disc va încerca să creeze o imagine a unității selectate în loc să creeze o imagine nouă, neatinsă. Cu toate acestea, dacă faceți această greșeală, nu se va întâmpla nimic groaznic - cu excepția faptului că este posibil să primiți un mesaj de eroare Resource Busy.

    Faceți clic pe butonul Creați și sarcina dvs. este aproape gata. Mac OS X vă va solicita să introduceți și să confirmați parola, după care o nouă imagine de disc criptată va fi creată pe unitatea USB.

    BAZAȚI-VĂ PE MAC OS X PENTRU A ȚI CREEA PAROLELE: Mac OS X include un utilitar convenabil pentru generarea parolelor - Password Assistant (Fig. 3.42). Mac OS X nu poate doar să evalueze parola pe care o introduceți, ci și să genereze parole pentru dvs. cu diferite niveluri de rezistență la fisurare. Faceți clic pe butonul cheie din dreapta câmpului Parolă și Mac OS X vă va evalua parola. Faceți clic pe butonul cu imaginea a două săgeți triunghiulare din dreapta câmpului Tip. Se va deschide o listă de opțiuni din care puteți selecta un tip de parolă.


    Folosind noua imagine

    Deci, toată munca pregătitoare a fost deja făcută și tot ce vă mai rămâne acum este să începeți să utilizați noua unitate USB criptată. Fișierul dvs. .dmg este încorporat într-o unitate USB ca o păpușă de cuib, dar pe desktop apar ca două volume separate. Pentru a plasa un fișier pe o zonă criptată a discului, trageți-l acolo cu mouse-ul, după care puteți călători cu ușurință oriunde cu date criptate. Când trebuie să copiați date de pe un disc criptat, conectați o unitate USB la computer, deschideți fișierul .dmg atașat, introduceți parola (Fig. 3.43) și veți putea lucra cu fișiere criptate.


    Pentru a preveni accesul neautorizat și pur și simplu privirile indiscrete, OS X, ca toate sistemele de operare moderne, folosește parole de utilizator. Majoritatea utilizatorilor de Mac îl folosesc în mod natural, asigurând astfel securitatea contului lor, care nu va fi autentificat până când nu introduceți parola de utilizator. Oricât de trist ar fi, există diferite căi, care vă permit să vă resetați parola de administrator și să obțineți acces la toate informațiile stocate pe computer.

    Utilizatorii pentru care securitatea datelor este o prioritate de vârf vor dori cu siguranță să se asigure împotriva unor astfel de lucruri și să prevină posibilitatea accesului neautorizat la informațiile personale. Acest lucru se poate face folosind motorul de criptare încorporat al FileVault.

    Esența acestei metode este că, atunci când activați FileVault, parola va trebui să fie introdusă înainte ca contul să fie încărcat, iar acest lucru, la rândul său, va face imposibilă utilizarea metode cunoscute resetarea parolei (modul utilizator unic, boot de la unitate externă etc.). Utilizarea FileVault este poate cea mai mare într-un mod simplu, ocoliți toate aceste încercări, deoarece pe lângă criptarea datelor de pe disc, necesită neapărat introducerea unei parole în primele etape ale pornirii sistemului. Și exact de asta avem nevoie!

    Pentru claritate, să simplificăm toate cele de mai sus și să vedem cum arată pornirea unui Mac înainte și după activarea FileVault:

    • Inainte de. Boot > Single User Mode > Password Reset > Login as root user
    • După. Încărcare > Solicitați parola FileVault pentru a obține acces

    FileVault este extrem de ușor de configurat și vine cu setarile sistemului OS X:

    1. Deschide Setăriși mergi la secțiune Protectie si siguranta, la fila FileVault.

    2. Faceți clic pe pictograma de lacăt și introduceți parola necesară pentru a activa criptarea.

    3. Dacă aveți mai multe conturi, selectați care dintre ele va folosi criptarea.

    4. Stocăm în siguranță cheia de recuperare - dacă uitați parola, va fi imposibil să vă accesați datele fără cheie.

    5. Alegeți să stocați (criptat) cheia de recuperare pe serverele Apple sau nu. Dacă da, atunci selectați trei întrebări și indicați răspunsurile la acestea. Apple le folosește pentru a vă identifica dacă îi contactați dacă vă pierdeți cheia.

    6. Reporniți computerul pentru a aplica modificările efectuate și pentru a activa criptarea.

    Cu toate acestea, este important să înțelegeți riscurile și limitările asociate utilizării criptării complete a discului. Aceasta înseamnă o posibilă scădere a vitezei de citire a discului și imposibilitatea ca cineva să vă recupereze datele dacă vă pierdeți parola. Dar cred că aceasta nu este o problemă dacă decideți să faceți un pas atât de serios precum activarea criptării discului - ar trebui să fiți, prin definiție, un utilizator atent și să vă stocați parolele în siguranță. Prin urmare, utilizarea FileVault cu greu poate fi recomandată utilizatorului obișnuit, spre deosebire de driverele Mac, care au cerințe speciale de securitate. Dacă sunteți unul dintre cei din urmă, vă sugerez să activați FileVault și să profitați din plin de criptare. În plus, este foarte util să vă obișnuiți să vă blocați întotdeauna Mac-ul, chiar dacă plecați la locul de muncă pentru cateva minute.

    Criptarea inițială a SSD-ului meu de 120 GB, puțin mai mult de jumătate plin, a durat aproximativ 40 de minute.

    Din motive de performanță, criptarea FileVault este utilizată cel mai bine pe Mac-uri cu unități SSD cu stare solidă, deși cu obișnuit hard disk-uri de asemenea, funcționează destul de bine (dar totuși unii utilizatori notează o scădere semnificativă a vitezei de citire/scriere în acest caz).

    După cum puteți vedea, Apple confirmă încă o dată viabilitatea acestuia sistem de operare, care include toate instrumentele necesare. FileVault este un serviciu excelent de criptare a datelor care oferă, de asemenea, beneficii suplimentare de securitate.

    Dacă mai aveți întrebări, nu ezitați să le întrebați în comentarii. Voi fi mereu bucuros să vă aud părerea!

    Eu, ca mulți oameni implicați în administrarea sistemului, sunt puțin paranoic. Cred că cineva vrea să-mi fure datele. Chiar dacă de fapt nu este nevoie de nimeni în afară de mine („și mulți atacatori care dorm și văd cum să-mi fac fotografii, o selecție de muzică și filme și...” - acestea sunt cuvintele paranoicului meu interior), dar nu va strica să te protejezi.

    Ce se întâmplă dacă laptopul este furat?

    Cel mai simplu caz este că hoțul reformatează imediat discul și instalează versiune curata sistem de operare. Tot ce rămâne este să cumperi laptop nou, recuperați-vă de la Time Machine și continuați să lucrați cu calm. Acest scenariu este tipic pentru un hoț inteligent care cunoaște funcția „Găsește-mi Mac-ul meu” și sistemul Pray.

    Dar există un alt caz - hoțul este fie prost, fie curios. Dacă este prost, va începe să folosească laptopul fără să atingă sistemul. Istoria recentă a prinderii unui astfel de hoț este descrisă în articolul „De ce nu furi de la un hacker”. Totul s-a terminat prost pentru hoț și grozav pentru proprietarul laptopului.

    Dacă un hoț este curios și deștept, va dezactiva imediat interfețele de rețea, astfel încât sistemul să nu acceseze din greșeală internetul și va începe să studieze de ce poate profita.

    El va începe să studieze documentele, cheile de acces, să încerce să ajungă la Keychain, să se uite la istoricul comenzilor din shell și poate da peste o parolă (din experiența mea a existat un caz când un coleg foarte rapid a introdus parola de administrator în sesiune a unui utilizator prea curios, dar nu a introdus-o în câmpul de solicitare a parolei, ci doar în shell, iar parola de administrator a ajuns în .history). Într-un caz clinic, parola poate fi aceeași pentru sistem și pentru baza de date 1Password. Nu este nevoie să continui. Și apoi - fie pătrundere, fie șantaj.

    Sper că nu credeți că solicitarea unei parole atunci când vă conectați va opri pe cineva? Parola de firmware (cel puțin înainte) a fost resetată prin eliminarea unuia dintre mai multe stick-uri de memorie și apoi ștergerea PRAM-ului. Apoi - modul utilizator unic, câteva comenzi și parola este schimbată. Dacă nu doriți să vă deranjați cu Firmware Password, atunci discul este scos din laptop, conectat la alt computer și se obține accesul la toate datele.

    Pentru a proteja împotriva situațiilor descrise, a fost implementat FileVault. În prima versiune, directorul principal al utilizatorului a fost plasat într-un container criptat (imagine bundle sparse), a cărui cheie era parola utilizatorului. Fără a cunoaște parola, containerul nu a putut fi deschis. Nu este nevoie să excludem posibilitatea de a ghici parola, dar dacă parola era complexă, atunci datele erau complet sigure.

    Trebuie să plătești pentru securitate. Pentru a crea copii de rezervă ale datelor pe Time Machine, a trebuit să vă deconectați de la cont. Nu a fost posibil să se efectueze o restaurare selectivă prin interfața Time Machine. Activarea criptării a înrăutățit uneori performanța operațiunilor cu fișiere cu 50%. Au fost alte dificultăți minore.

    OS X Lion include o versiune îmbunătățită - FileVault 2, un sistem de criptare disc plin, folosind algoritmul XTS-AES 128.

    În procesul de studiu a problemei, am apelat la articolele MacFixIt „Despre FileVault 2 în OS X 10.7 Lion” și ArsTechnica „Modificări ale sistemului de fișiere în Lion”.

    Cei care doresc să înțeleagă modelele matematice pot citi documentul „IEEE P1619TM/D16 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices” și „Not so scary, XTS-AES”.

    Partiția cu EFI și Recovery HD rămâne necriptată:

    $ diskutil list /dev/disk0 #: TIP NUME IDENTIFICATOR DE DIMENSIUNE 0: GUID_partition_scheme *160,0 GB disk0 1: EFI 209,7 MB disk0s1 2: Apple_CoreStorage 159,2 GB disk0s2 3: Apple_Boot Recovery HD 65030 discuri.
    1. După inițializarea hardware-ului, EFI găsește Recovery HD și transferă controlul către bootloader-ul /System/Library/CoreServices/boot.efi situat pe această partiție.
    2. Bootloader-ul are două opțiuni - lansați EfiLoginUI de pe com.apple.boot.x și afișați ecranul de pornire care solicită o parolă de conectare sau, dacă a fost apăsată combinația Opțiune-R, shell-ul de recuperare a sistemului de la com.apple.recovery.boot .
    3. Cheile pentru decriptarea discului sunt stocate în fișierul EncryptedRoot.plist.wipekey din directorul /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Parola utilizatorului decriptează cheile de disc aflate în acest fișier. Apoi sunt stocate în memorie, iar conținutul discului este decriptat din mers. De fiecare dată când parola utilizatorului este schimbată, este adăugat un utilizator nou și operațiuni similare, EncryptedRoot.plist.wipekey este regenerat.

    FileVault funcționează și pentru utilizatorii care se conectează prin OpenDirectory - atributele lor de acces sunt stocate în cache în cazul în care nu există nicio conexiune la serverul de directoare.

    Performanța operațiunilor pe disc cu FileVault 2 activat, conform testelor Anandtech, se deteriorează cu cel mult 20-30%, ceea ce este destul de acceptabil. Cu toate acestea, merită luat în considerare faptul că există o dependență de procesor și disc. Nou procesoare Intel utilizați seturile de instrucțiuni AES-NI pentru a accelera AES Intel® Advanced Encryption Standard Instructions (AES-NI) și pentru a gestiona criptarea discului mai bine decât cele mai vechi Procesoare de bază 2 Duo. Fiecare ia propria decizie pe baza propriului hardware.

    Dacă Mac-ul tău este furat, va fi aproape imposibil să accesezi datele (sub rezerva unei parole complexe și a răspunsurilor neevidente la întrebările cheie de recuperare de la Apple). Va trebui doar să-l cumperi mac nouși nu vă faceți griji prea mult cu privire la compromisul parolelor și la utilizarea datelor.

    Time Machine funcționează acum fără a fi nevoie să vă deconectați de la contul dvs. Acum trebuie să vă protejați datele Time Machine și este mai bine să le plasați într-o partiție criptată (cum se face acest lucru este descris în articolul Mac OS X Lion FileVault 2 și Time Machine External Drive Encryption).

    Una dintre „funcțiile” pe care trebuie să le rețineți este că, atunci când porniți cu Opțiunea apăsată, secțiunea „Recuperare HD” va fi inaccesibilă; pentru a porni din ea, trebuie să țineți apăsată combinația de taste Command-R.

    Activare

    Activarea FileVault 2 este simplă. Preferințe de sistem/Securitate și confidențialitate/FileVault, Faceți clic pe lacăt pentru a face modificări, Activați FileVault. Este imperativ să salvați cheia și răspunsurile la întrebările de recuperare a cheii într-un loc sigur și criptat (dacă ați ales să o salvați pe Apple). Sistemul vă va solicita să reporniți. Imediat după încărcare, îți va fi solicitată parola și după autentificare vei putea lucra imediat. Nu este nevoie să așteptați ore întregi pentru ca partiția să fie criptată; această operație se efectuează în fundalîn timp ce lucrezi pe deplin:

    Odată cu lansarea iCloud, va apărea capacitatea de a „Găsi Mac-ul meu”, în care, prin analogie cu „Găsiți iPhone/iPad-ul meu”, atunci când apare un Mac în rețea, puteți afișa un mesaj cu redare semnal sonor, blocați Mac-ul sau chiar distrugeți conținutul discului criptat (pot presupune că cheile de criptare sunt șterse și discul devine o matrice inutilă de date).