###
  • Програми
  • Безпека
  • Новини
  • Цікаве
  • Поради
  • Новини
  • Огляди

    • Шифрування даних mac. Як у Mac OS створити зашифрований диск USB. Що таке FileVault

    12.03.2020 Безпека

    Цілком можливо, що ваш Мак зберігає безліч цінної та конфіденційної інформації, якої ви дуже не хотіли б ділитися з кимось ще. І цілком закономірно, що у вас виникне бажання захистити цю інформацію від усіх сторонніх. Зрозуміло, одним лише паролем на вхід до облікового запису тут відбутися не вийде. Для вирішення подібного завдання необхідно застосування шифрування інформації. Саме шифрування на Маках ми присвятимо невеликий цикл статей, в якому розглянемо різні платні та безкоштовні рішення для цієї мети. Почнемо ми з стандартного механізму шифрування — вбудованої в Mac OS технології FileVault.

    Відразу скажемо, що сфера застосування FileVault вузька - можна зашифрувати тільки домашню папкукористувача. Для шифрування використовується 128-бітний ключ алгоритму AES, Що забезпечує дуже високий рівеньнадійності.

    Все влаштовано дуже просто: FileVault створює спеціальний контейнер ( зашифрований образ диска), копіює туди всю вашу папку користувача, після чого видаляє оригінал. Вся інформація, що знаходиться в зашифрованому образі диска, стає доступною лише тоді, коли користувач входить до свого облікового запису. В решту часу вона повністю захищена від сторонніх очей.

    Звідси випливає перший і найголовніший (для всього шифрування) висновок. ні в якому разі не забудьте пароль для шифрування , інакше всі його переваги обернуться проти вас. Для захисту від амнезії в Mac OS X передбачено майстер-пароль,знаючи який, можна скинути пароль у будь-якої облікового запису, в т.ч. та від зашифрованої FileVault. Це врятує вас від втрати інформації, якщо ви не зможете згадати пароль від свого облікового запису. Але якщо ви забудете і свій, і майстер-пароль, то зі всіма зашифрованими даними можна сміливо прощатися раз і назавжди.

    Перед увімкненням FileVault обов'язково врахуйте кілька важливих особливостей:

    1) Первинне шифрування йде довго— може розтягнутися на кілька годин. Його тривалість прямо залежить від кількості та розміру файлів у папці користувача. Тому перед шифруванням постарайтеся перенести з папки користувачавсю музику, усі фільми, усі фотографії та решту не конфіденційну інформаціюу будь-яке інше місце на диску.

    2) Звикли до продуктивного спритного Мака? Відвикайте. FileVault помітно зіпсує швидкодіюнавіть найпотужнішого Macintosh. Шифрування створює додаткове навантаження на процесор і жорсткий диск.

    3) Багато новачків дивуються, чому при видаленні файлів місце на диску не звільняється. Потім вони виявляють, що потрібно очистити Кошик. Якщо увімкнено FileVault, то ви з подивом виявите, що і після очищення Кошика вільне місце на диску не з'являється. Як уже говорилося, вся папка користувача перетворюється на один образ. А його розмір автоматично змінюється тільки в момент виходу з облікового запису, тому для повернення вільного простору вам доведеться кожного разу. завершувати сеанс.

    4) Небезпека повної чи часткової втрати інформації зростає в рази. Спочатку це здається абсурдним — адже шифрування покликане захищати конфіденційну інформацію. Воно їх справді захищає - від злому, але ніяк від збою диска. Подумайте самі - коли псується один із секторів диска, псується файл, частинка якого була записана на цьому секторі. Вся ваша папка користувача при включеному FileVault – це один файл. Уявіть, що буде, якщо на дисковому просторі, який він займає, буде пошкоджено.

    5) Звикли користуватися Time Machine ? Після включення FileVault її можливості сильно порідіють. Наприклад, ви більше не зможете відновити через інтерфейс Time Machine окремий файл. А якщо ви спробуєте відновити всю систему, то готуйтеся до неприємних сюрпризів. Форуми Apple завалені скаргами користувачів, які не можуть увійти до свого облікового запису після такої процедури.

    6) Включити FileVault легко, а ось вимкнути його назад не завжди вдається. Часто система видає помилку під час спроби вимкнути шифрування. І часто ця помилка призводить до неможливості зайти на свій акаунт надалі.

    Зрозуміло, ці шість пунктів зовсім не покликані вас відмовити від включення шифрування. Але, відповідно до закону Мерфі, якщо якась гидота має шанс статися, то вона станеться в самий невідповідний момент.

    FileVault - не найкращий варіант для шифрування. Його єдина перевага — повна вбудованість у систему.

    Отже, якщо ви зважили всі "за" і "проти", то наведемо інструкцію щодо включення FileVault.

    1) У Системні налаштуваннявибираєте пульт Безпека. Перейдіть на вкладку FileFaultта натискаєте кнопку Увімкнути FileVault.

    2) З вас запитають пароль адміністратора. Після цього вам буде запропоновано створити майстер-пароль(якщо ви цього не зробили раніше). Ще раз нагадуємо якщо ви втратите і майстер-пароль, і пароль від облікового запису, розшифрувати інформацію буде неможливо.

    3) Потім вас знову змусять ввести пароль адміністратора, після чого з'явиться останнє вікно попередження:

    Зверніть увагу на наявні налаштування: Використовувати надійне стираннядодатково збільшить час шифрування, а Використати захищену віртуальну пам'ятьзмусить FileVault шифрувати не лише ваші, а й тимчасові системні файли, що тимчасово скидаються на диск. Як це позначиться на продуктивності комп'ютера, пояснювати сенсу не має.

    4) Якщо після всіх цих питань та попереджень ви не передумали, натискайте Увімкнути FileVault. Система завершить сеанс і розпочнеться шифрування, під час якого комп'ютер краще не турбувати (і тим більше не вимикати!). Коли все закінчиться, ви виявите, що значок вашої папки користувача зі звичного будиночка помінявся на сталевий сейф. Більше ніяких помітних змін (ну крім моторошних гальм системи з будь-якого приводу;) ви не помітите.

    Вимкнення FileVault відбувається приблизно так само через вкладку FileVault пульта Безпека.

    P.S. Повторимося - ми б не рекомендували вмикати вам FileVault відразу. Для початку прочитайте решту статей нашого циклу, наступна з яких буде присвячена безкоштовній програмі TrueCrypt.

    Нагадуємо, що спроби повторити дії автора можуть призвести до втрати гарантії на обладнання і навіть виходу його з ладу. Матеріал наведено виключно з ознайомлювальною метою. Якщо ж ви збираєтеся відтворювати дії, описані нижче, радимо уважно прочитати статтю до кінця хоча б один раз. Редакція 3DNews не несе жодної відповідальності за будь-які можливі наслідки.

    ⇡ Вступ

    Майже про всі рішення, згадані у попередньому матеріалі, так чи інакше розповідалося на сторінках нашого ресурсу. Однак тема шифрування та знищення даних незаслуженим чином була обійдена стороною. Виправимо ж це недогляд. Рекомендуємо ще раз прочитати минулу статтю, перш ніж щось робити. Обов'язково зробіть резервну копіювсіх даних перед їх шифруванням! І ще десять разів подумайте, яку саме інформацію вам доведеться везти з собою і чи немає можливості відмовитися хоча б від її частини. Якщо все готове, приступаємо.

    ⇡ Шифрування стандартними засобами Windows 7, Mac OS X 10.7 та Ubuntu 12.04

    Усі сучасні десктопні ОС вже давно обзавелися вбудованими утилітами для шифрування файлів та папок чи цілих дисків. Перед тим як розглядати сторонні утиліти, краще звернутися саме до них, бо вони досить прості в налаштуванні та використанні, хоча й не мають різних додатковими функціями. У Windows 7 Ultimate та Enterprise є функція шифрування томів під назвою BitLocker. Для захисту системного дискавона вимагає наявності модуля TPM, який встановлений далеко не у всіх ПК чи ноутбуках, але для інших томів він не потрібний. Також у Windows 7 є функція BitLocker To Go для захисту знімних накопичувачів, якою також можна скористатися без апаратного криптомодуля, а цього цілком достатньо для більшості користувачів.

    Якщо у вас встановлена ​​відповідна версія Windows 7, то для використання BitLocker (To Go) перейдіть в панелі керування до пункту «Шифрування диска BitLocker». Навпаки відповідного накопичувача натисніть на посилання «Включити BitLocker». Виберіть опцію розблокування за допомогою пароля та збережіть ключ відновлення (це просто текстовий файл)в безпечне місце, наприклад, на флешку, яку ви не берете з собою в дорогу. Через деякий час, а це залежить від обсягу накопичувача та потужності ПК, процес шифрування буде завершено.

    При підключенні зашифрованого тому вас щоразу будуть просити ввести пароль для доступу до даних, якщо ви не увімкнете автоматичне розблокування, а робити це не рекомендується. Керувати параметрами зашифрованого тома можна все в тому ж розділі "Шифрування диска BitLocker" панелі керування. Якщо ви раптом забули пароль від BitLocker, то для розшифровки треба використовувати 48-значний цифровий ключ відновлення - після введення том буде тимчасово розблокований.

    У Windows 7, окрім BitLocker, є ще метод шифрування папок та файлів, а не томів, - шифрована файлова система(EFS). Підтримується в усіх редакціях ОС, але Starter і Home (Premium) можна лише працювати з уже зашифрованими папками і файлами, але з створювати їх. Для роботи EFS обов'язкове використання NTFS з вимкненою опцією стиснення даних. Якщо ваша машина задовольняє цим вимогам, можна приступати до налаштування.

    На панелі керування переходимо до параметрів облікових записів і натискаємо на посилання «Керування сертифікатами шифрування файлів». Дотримуючись підказок майстра, створюємо новий сертифікат для ПК. Обов'язково зберігаємо його у надійному місці та захищаємо паролем. Це можна зробити і потім за допомогою цього ж майстра, але краще не тягнути, бо PFX-файл, що експортується, знадобиться для екстреного відновлення даних. Якщо у вас були зашифровані дані на диску, то для них треба оновити ключі.

    Система EFS прозора для користувача, тобто з файлами та папками можна працювати як завжди. Але якщо спробувати відкрити їх в іншому середовищі (ОС, ПК), доступ до них буде закритий. Щоб зашифрувати файл або папку, достатньо в їх властивостях натиснути кнопку «Інші…» на вкладці «Загальні» та поставити галочку «Шифрувати вміст для захисту даних». Після застосування змін, колір імені зашифрованого елемента за замовчуванням змінюється на зелений для кращої візуальної ідентифікації захищених даних.

    Для розшифровки достатньо зняти галочку у властивостях файлу/папки. При спробі скопіювати захищені дані в непридатні для цього місця на диск з FAT32, в мережеве сховище і так далі з'явиться попередження, що дані будуть розшифровані і потраплять туди в незахищеному вигляді. Для зручності роботи з EFS можна додати до контекстного меню провідника відповідні пункти. Достатньо створити DWORD-параметр EncryptionContextMenuу гілці реєстру HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ і виставити його значення в 1.

    Для розшифровування даних на накопичувачі у разі недоступності машини, на якій вони шифрувалися, потрібна резервна копія сертифіката та пароль до неї. Для імпорту достатньо двічі клікнути по pfx-файлу і дотримуватися вказівок майстра. Якщо ви хочете надалі експортувати цей сертифікат для роботи з даними на ще одній машині, позначте цю опцію галочкою.

    Зберегти сертифікат, що імпортується, потрібно в особистому сховищі. Після завершення процесу доступ до зашифрованих файлів та папок буде відкритий. Керувати особистими сертифікатамиможна за допомогою оснастки MMC - Win + R, certmgr.msc, Enter.

    Ще одна вкрай корисна опція, а саме затирання вільного місцяна диску, доступна лише за допомогою командного рядка. Ключ / W – очищення місця, / E – шифрування, / D – розшифровка. Опис інших параметрів доступний у вбудованій довідці - ключ /?.

    Cipher /W X:\шлях\\до\\любий\\папки\\на\\диску, що очищається

    Mac OS X

    Стисло зупинимося на можливостях захисту даних в «яблучних» комп'ютерах. У Mac OS X вже давно є вбудована система шифрування FileVault, а з версії 10.7 вона дозволяє захищати не лише домашній каталог, а й одразу весь диск. Увімкнути її можна в налаштуваннях системи в розділі «Захист та безпека». Там же корисно буде відзначити галочкою опцію захисту віртуальної пам'яті. При включенні шифрування доведеться встановити майстер-пароль, якщо він ще не заданий, а також зберегти ключ відновлення. Для подальшого налаштування дотримуйтесь вказівок майстра. Втім, універсальніший метод — це використання зашифрованих образів диска.


    У дисковій утиліті виберіть «Новий образ» і в діалозі вкажіть ім'я файлу та його місцезнаходження, задайте ім'я диску і виберіть розмір. Як ФС цілком підійде журнальна Mac OS Extended. Шифрування краще вибрати AES-256. У списку "Розділи" залиште вибір " Жорсткий диск», а як формат вкажіть зростаючий пакет-образ. Залишилося придумати або згенерувати пароль для доступу, але не запам'ятовувати його у зв'язці ключів для безпеки, а щоразу вводити вручну. При подвійному кліку за образом він підмонтується із запитом пароля. Після збереження важливих даних не забудьте відмонтувати образ.


    Ubuntu ще на етапі встановлення пропонує зашифрувати домашній каталог користувача. Одночасно з цим шифрується і розділ підкачки, що призводить до неможливості використання режиму сну. Якщо ви відмовилися від шифрування під час встановлення, то доведеться налаштувати все вручну. При цьому від захисту swap-розділу можна відмовитися, що знижує безпеку. Більш зручний та захищений, але й складніший у налаштуванні варіант – шифрування всього диска відразу. Якщо ви хочете зробити це, то скористайтеся цією інструкцією. Ми розглянемо простий варіант із захистом home і, за бажанням, swap. Для початку встановимо за допомогою терміналу необхідне ПЗ:

    Sudo apt-get install ecryptfs-utils cryptsetup

    Тут є один нюанс — щоб зашифрувати домашній каталог якогось користувача, файли в цьому каталозі не повинні бути відкриті в будь-якій програмі, а значить, користувач повинен вийти із системи. Для цього доведеться створити ще один тимчасовий обліковий запис із правами адміністратора. Після створення оною виходимо із системи та логінімся з новим акаунтом.


    Від імені другого користувача виконуємо наступну команду, у якій usernameзамінюємо ім'ям користувача, чий домашній каталог ми шифруватимемо. Перетворення файлів займе деякий час, так що наберіться терпіння.

    Sudo ecryptfs-migrate-home -u username

    Після завершення операції виходимо із системи і знову входимо до неї під основним обліковим записом. Тепер можна видалити тимчасовий обліковий запис та всі його файли. Через кілька хвилин після входу з'явиться попередження про те, що треба зберегти в надійному місці випадково згенерований пароль для доступу до щойно зашифрованих файлів на випадок екстреного відновлення. Не забудьте це зробити.

    Зрештою, залишилося видалити «старий» домашній каталог / home/ім'я_користувача.XXXXXXXX, де XXXXXXXX- Випадковий набір літер.

    Sudo rm -rf /home/username.XXXXXXXX

    Для шифрування розділу підкачки достатньо виконати одну-єдину команду, потім переконатися, що в / etc/fstabзакоментований запис про старий swap-розділ, а як новий вказаний /dev/mapper/cryptswap1.

    Sudo ecryptfs-setup-swap

    ⇡ Шифрування за допомогою TrueCrypt

    TrueCrypt - це відкритий кросплатформовий додаток для створення захищених томів та роботи з ними з шифруванням на льоту. Насправді це означає, що, по-перше, у розшифрованому вигляді дані перебувають лише у оперативної пам'яті. По-друге, робота з криптоконтейнерами можлива в будь-якій ОС. І по-третє, що з досить високим ступенем ймовірності можна говорити про відсутність будь-яких закладок. Крім цього, TrueCrypt підтримує інструкції AES-NI для прискорення (де-)шифрування. Насправді можливості програми набагато ширші і всі вони добре описані в посібнику, який доступний з пакетом локалізації (розпакуйте вміст архіву в каталог з встановленою програмою). Тому ми розглянемо найпростіший випадок створення криптоконтейнера серед Windows.



    Отже, після встановлення запускаємо утиліту, натискаємо кнопку «Створити том» і дотримуємося порад майстра, оскільки вибрані за умовчанням параметри досить безпечні. Вручну потрібно задати лише обсяг тома та пароль до нього. Після монтування контейнера він виглядатиме в системі як звичайний фізичний том, а отже, його можна форматувати, дефрагментувати і таке інше.



    Особливістю контейнерів TrueCrypt є те, що вони виглядають як набори випадкових бітів, і розпізнати, що у файлі саме контейнер, теоретично неможливо. Обов'язково дотримуйтесь порад щодо створення надійного пароля і збережіть його в безпечному місці. Додатковим захистом є використання ключових файлів будь-якого типу, для яких також потрібно буде зробити резервну копію.



    Залишилося вибрати формат ФС (набір залежить від ОС), поводити мишею всередині вікна та розмітити том. У цьому створення контейнера завершено.


    Щоб змонтувати том, треба натиснути кнопку «Файл…», вибрати контейнер та букву диска, натиснути «Змонтувати», ввести паролі та, якщо необхідно, вибрати ключові файли, а також вказати інші параметри. Тепер можна працювати з даними так само, якби вони знаходилися на звичайному логічному диску. Для вимкнення криптоконтейнера достатньо натиснути кнопку «Розмонтувати». У налаштуваннях програми також можна ввімкнути автоматичне розмонтування за таймером/виходом із системи/запуску зберігача екрана, очищення кешів та інші корисні функції.

    Це досить простий та надійний варіант зберігання важливої ​​інформації. Однак якщо вам потрібна велика безпека, то TrueCrypt дозволяє створювати приховані томи, шифрувати диски та розділи, додавати прихований розділ з ще однієї ОС, налаштовувати конвеєр з декількох алгоритмів шифрування, захищати переносний диск, використовувати токени та смарт-карти для авторизації, а також багато іншого. Вкрай рекомендується прочитати в документації розділ про вимоги безпеки та запобіжні заходи.

    ⇡ Безпечне видалення

    Єдиний надійний спосібгарантовано видалити дані — це фізичне знищення накопичувача, де вони перебувають. Для цього навіть розроблені спеціальні процедури, часом витончено-збоченого садистського характеру. А «винні» у цьому різні технології, що використовуються в сучасних накопичувачах, — залишкова намагніченість, TRIM-операції, рівномірний розподілнавантаження, журналування тощо. Суть їх в цілому зводиться до того, що дані часто позначаються як віддалені або готові до видалення замість того, щоб бути справді стертими. Тому було розроблено методики досить безпечного видалення залишкової інформації , які настільки радикальні, як повне знищення носія.

    Функція безпечного очищення диска є у багатьох редакторах розділів. Для Windows є безліч подібних утиліт, але ми зупинимося на класичній SDelete. Робота з нею здійснюється у режимі командного рядка. Синтаксис досить простий. Ключем -p визначається кількість проходів перезапису, з ключем -s (або -r) програма рекурсивно знищує весь вміст папки, а передача ключа -c (або -z) очищає (забиває нулями) вільне місце на зазначеному томі. В кінці вказується шлях до папки чи файлу. Наприклад, для стирання нашого тому TrueCrypt та очищення диска виконаємо дві команди:

    C:\sdelete.exe -p 26 C:\exampletc C:\sdelete.exe -c C:\\

    У більшості Linux-дистрибутивів є утиліта shred, яка виконує ті ж функції, що і SDelete. Вона також має кілька параметрів, але для нас цілком достатньо знати три з них. Ключ -n задає число проходів перезапису, -u видаляє файл, а -z в кінці забиває місце, що використовувалося нулями. Приклад роботи:

    Sudo shred -u -z -n 26 /home/dest/exampletc2

    Програма shred має ряд обмежень щодо безпечного видалення, про що чесно попереджає користувача при запуску з ключем --help. Більш ефективний набір утиліт входить до пакету Secure-Delete. Встановимо його та розглянемо пару вбудованих програм. Утиліта srm аналогічна shred, але приймає трохи менше параметрів. Нам цікаві ключі -r для рекурсивного видалення вказаного каталогу та всюдисущий -z для заповнення простору нулями. Також у пакеті є утиліта для затирання вільного місця на диску із зазначеною папкою.

    Sudo apt-get install secure-delete sudo srm -z /home/dest/exampletc3 sudo -z sfill /home/dest

    Для Mac OS X є той самий CCleaner з функцією зачистки вільного місця, а також утиліта srm, яка працює так само, як у Linux. У налаштуваннях Finder рекомендується увімкнути функцію безпечного очищення кошика. Вона ж доступна в контекстному менюкошики при натиснутій клавіші CMD.

    Для SSD-накопичувачів і флешок краще використовувати низькорівневе форматування (див. ) або процедуру Secure Erase, що може призвести вас до втрати гарантії на SDD. Для останнього випадку підійде інший Live-дистрибутив для роботи з розділами на диску Parted Magic. Завантажтеся і виберіть у головному меню System tools → Erase Disk. Для твердотільних накопичувачіввиберіть останній пункт Secure Erase, а для звичайних HDD використовуйте метод nwipe, який є по суті тим самим DBAN.

    ⇡ Висновок

    Розглянутого нами поєднання шифрування даних з наступним їх безпечним видаленнямцілком достатньо для того, щоб надійно захистити конфіденційну інформацію. Звичайно, стовідсоткового захисту це жодним чином не гарантує, але для простих користувачівризики витоку різко падають. А про «непрості смертні» подбають відповідні служби. Ще раз нагадуємо про важливість створення резервних копій взагалі і перед шифруванням зокрема, а також про мінімізацію обсягу даних, що переміщуються разом з вами, в стан ймовірного противника і необхідності використання надійних паролів з ключами разом з їх резервуванням. Ну і просто будьте завжди уважні. Успіхів!

    У міру того, як ємність флеш-дисків постійно зростає, а ціни на них, навпаки, падають, вони набирають популярності. Особливо привабливою виявляється їхня можливість перенесення значних обсягів даних на портативних USB-накопичувачах. Проте їхня портативність має і зворотний бік - їх дуже легко втратити. Цей рецепт розповідає про те, як захистити ваші конфіденційні дані від стороннього доступу в разі втрати накопичувача флеш-USB. Проте ця зручність має і зворотний бік - ризик для безпеки конфіденційних даних. Місткість портативних носіїв все зростає, а самі вони стають все більш і більш мініатюрними. Адже чим мініатюрніший пристрій, тим простіше його втратити. Якщо це трапляється, то ви не просто втрачаєте сам пристрій і дані, що зберігаються на ньому. Фактично, якщо ці дані мають для вас цінність або конфіденційні, ви допускаєте витік інформації.

    Правду кажучи, якщо ви дійсно втратите носій флеш-USB, то в більшості випадків той, хто знайде це маленьке диво, буде зацікавлений не так у ваших даних, як у самому пристрої - для того, щоб зберігати на ньому власні дані. Причому тут слід зазначити ще один момент. Ви використовуєте свій накопичувач флеш-USB на Mac, а більшість користувачів таки працюють у Windows. Якщо ваш USB-диск підключити до комп'ютера, що працює під керуванням Windows, то Windows відразу ж запропонує відформатувати його, так що користувачі Windowsнавряд чи зможуть прочитати ваші файли, навіть якщо їм і цікаво, що зберігається на втраченому вами носії.

    Але біда, якщо той, хто знайшов, дійсно зацікавиться вмістом вашої флешки, і при цьому у нього є в розпорядженні Mac. З іншого боку, існує і шанс того, що ви залишите (забудете) свій накопичувач буквально поряд з Mac - тоді будь-який користувач, що випадково проходить повз нього, зможе підключити його до цього Mac і, наприклад, навіть взяти і скопіювати собі ваші дані. Це дуже неприємний сценарій, і щоб не допустити розвитку подій таким чином, недостатньо просто берегти свій USB-накопичувач. Всі ми люди, а людям властиві розсіяність і забудькуватість. Іншими словами, у вас немає жодної гарантії, що ви не втратите носій з вашими дорогоцінними даними. Очевидно, що в даному випадку дані слід захистити від доступу паролем. Зробити це можна, скориставшись програмою Disk Utility.

    Зашифровуємо диск USB

    Перше рішення, яке вам необхідно прийняти, - це з'ясувати, який обсяг простору на вашому носії USB слід виділити для даних, захищених паролем. Як правило, гарним рішеннямє захист всіх даних. У цьому випадку створіть резервну копію вашого USB-носія на робочому столі (просто перетягніть мишею всі файли та папки, що зберігаються на ньому, в окрему папку). Резервне копіюваннянеобхідно, тому що для досягнення поставленої мети вам потрібно буде стерти всі дані з флеш-накопичувача.

    Створивши резервну копію, запустіть програму Disk Utility (вона розташована в папці /Applications/Utilities) і переформатуйте USB-накопичувач. Після переформатування Mac OS X автоматично створить новий том і дасть ім'я Untitled. Ви можете залишити це ім'я без змін або привласнити будь-яке інше на ваш розсуд.

    Тепер диск слід зашифрувати. На цьому кроці ви створите на ньому зашифрований.dmg-файл, який буде виглядати як диск, що зберігається на диску (це може виглядати трохи бентежно). Щоб виконати це завдання, поверніться у вікно програми Disk Utility та клацніть по кнопці New Image. Відразу після того, як ви клацнете мишею по кнопці New Image, з'явиться діалогове вікно, що дозволяє встановити різні опції для створюваного.dmg-файлу. Перше, що слід подбати - це про вибір розташування вашого нового.dmg-файлу. Ви можете створити цей файл на робочому столі, а потім перемістити його на USB-носій, але можете створити його прямо на цільовому диску.

    Як тільки місце для.dmg-файлу буде задано, ви зможете задати і його розмір. Хоча Disk Utility надає ряд опцій для створення.dmg-файлів визначених розмірів, що відповідають стандартним ємностям типових носіїв (CD, DVD і т. д.), висока ймовірність того, що опції, що відповідає розміру вашого USB-носія, не виявиться. Тому виберіть зі списку Volume Size опцію Custom. Очевидно, що вам слід вказати менший розмір, ніж фактичний розмір фізичного диска, але, крім цього, слід врахувати і накладні витрати на форматування диска. Наприклад, на накопичувачі флеш-USB об'ємом 2 Гб максимальний розмір файлу образу склав 1.7 Гб.


    Як тільки розташування та розмір.dmg-файлу будуть задані, вам знадобиться вказати тип створюваного образу. У разі образ повинен допускати як читання, і запис і навіть бути зашифрованим. Приклад установки опцій створення зашифрованого образу показаний на рис. 3.41.

    Уникайте плутанини: Під час створення зашифрованого зображення попередньо переконайтеся, що коли ви натискаєте кнопку New Image, жоден з дисків не виділено підсвічуванням (тобто не вибрано). Якщо один із дисків виявиться виділеним, Disk Utility спробує створити образ вибраного диска замість того, щоб створювати новий, недоторканий образ. Втім, якщо ви припуститеся цієї помилки, нічого жахливого не трапиться - за винятком того, що ви можете отримати повідомлення про помилку Resource Busy.

    Натисніть кнопку Create і ваше завдання буде практично виконано. Mac OS X запропонує вам ввести та підтвердити пароль, після чого на вашому USB-носії буде створено новий зашифрований образ диска.

    ПОЛОЖИТЕСЯ НА ДОПОМОГУ MAC OS X ПРИ СТВОРЕННІ ПАРОЛІВ: До складу Mac OS X входить зручна утиліта для генерації паролів - Password Assistant (рис. 3.42). Mac OS X може не тільки оцінити введений вами пароль, але й згенерувати для вас паролі з різними ступенями стійкості до злому. Клацніть мишею по кнопці із зображенням ключа, розташованої праворуч від поля Password, і Mac OS X оцінить ваш пароль. Клацніть мишею по кнопці із зображенням двох трикутних стрілок праворуч від поля Type. Відкриється список опцій, з якого можна вибрати тип пароля.


    Використання нового образу

    Отже, вся підготовча робота вже виконана, і все, що вам тепер залишилося, - це почати користуватися вашим новим зашифрованим носієм USB. Ваш.dmg-файл вкладений у носій USB, як матрьошка, але на робочому столі вони виглядають як два окремі томи. Щоб помістити файл на зашифровану область диска, перетягніть його туди мишею, після чого ви можете спокійно подорожувати куди завгодно із зашифрованими даними. Коли вам потрібно скопіювати дані із зашифрованого диска, підключіть до комп'ютера USB-носій, відкрийте вкладений.dmg-файл, введіть пароль (мал. 3.43), і ви зможете працювати із зашифрованими файлами.


    Для запобігання несанкціонованому доступу та просто цікавим очам, в OS X, як і у всіх сучасних ОС, використовуються паролі користувача. Більшість маководів його, природно, використовують, забезпечуючи тим самим безпеку свого облікового запису, вхід до якого не буде здійснено доки ви не введете пароль користувача. Як це не сумно, але існують різні способи, які дозволяють скинути пароль адміністратора та отримати доступ до всієї інформації, що зберігається на вашому комп'ютері.

    Користувачі, для яких безпека даних стоїть не на останньому місці, напевно забажають застрахувати себе від таких речей та запобігти можливості несанкціонованого доступу до особистої інформації. Це можна зробити за допомогою вбудованого механізму шифрування FileVault.

    Суть цього методу полягає в тому, що при включенні FileVault пароль потрібно буде вводити ще до завантаження облікового запису, а це в свою чергу зробить недоступним використання відомих способівскидання пароля (Single User Mode, завантаження з зовнішнього дискаі т.д.). Використання FileVault є мабуть самим простим способом, обійти всі ці спроби, оскільки, крім шифрування даних на диску, він обов'язково вимагає введення пароля на ранніх етапах завантаження системи. А саме це нам і потрібне!

    Для наочності спростимо все сказане вище і подивимося як виглядає включення Mac'а до і після активації FileVault:

    • До. Завантаження > Single User Mode > Скинути пароль > Вхід під root-користувачем
    • Після. Завантаження > Запит пароля FileVault для отримання доступу

    FileVault надзвичайно простий у налаштуванні та включається в системних налаштуваннях OS X:

    1. Відкриваємо Налаштуванняі переходимо до розділу Захист та безпека, на вкладку FileVault.

    2. Тиснемо на піктограму замка та вводимо пароль, який потрібно для увімкнення шифрування.

    3. Якщо у вас кілька облікових записів - вибираємо які з них використовуватимуть шифрування.

    4. Надійно зберігаємо ключ відновлення – якщо ви забудете пароль, без ключа неможливо буде отримати доступ до ваших даних.

    5. Вибираємо зберігати (у зашифрованому вигляді) ключ відновлення на серверах Apple чи ні. Якщо так – то вибираємо три запитання та вказуємо відповіді на них. За ними Apple ідентифікує вас, у разі звернення до них при втраті ключа.

    6. Перезавантажуємо комп'ютер для застосування внесених змін та увімкнення шифрування.

    Проте, важливо розуміти ризики та обмеження, які спричинить використання повного шифрування диска. Тут мається на увазі можливе падіння швидкості читання диска і неможливість відновлення ваших даних будь-ким, у разі втрати пароля. Але думаю це не проблема, якщо ви зважилися на такий серйозний крок, як увімкнення шифрування диска - ви за визначенням повинні бути обачним користувачем і надійно зберігати свої паролі. Тому, використання FileVault навряд чи можна порекомендувати середньостатистичного користувача, на відміну від маководів, які висувають особливі вимоги до безпеки. Якщо ви ставитеся до останніх, то я порадив би включити FileVault і скористатися всіма перевагами шифрування. Крім того, дуже корисно виробити звичку завжди блокувати ваш Mac, навіть якщо ви залишаєте робоче місцена декілька хвилин.

    Первинне шифрування мого SSD об'ємом 120 ГБ, заповненого трохи більше ніж наполовину, зайняло близько 40 хвилин.

    З міркувань продуктивності, шифрування FileVault найкраще використовувати на Mac'ах з твердотільні SSD-накопичувачі, хоча зі звичайними жорсткими дискамивін теж працює досить непогано (але все ж таки деякі користувачі відзначають значне падіння швидкості читання/запису в цьому випадку).

    Як бачите, Apple вкотре підтверджує спроможність своєї операційної системи, до складу якої входять усі необхідні інструменти. FileVault чудова служба шифрування даних, що забезпечує до того ж додаткові переваги безпеки.

    Якщо у вас залишилися питання - не соромтеся запитувати в коментарях. Завжди радий почути вашу думку!

    Я, як і у багатьох людей, пов'язаних із системним адмініструванням, трохи параноїк. Я вважаю, що мої дані хочуть вкрасти. Нехай вони реально нікому, крім мене (“і безлічі зловмисників, які сплять і бачать, як отримати мої фотографії, добірку музики та фільмів, і…”, – це слова мого внутрішнього параноїка) і не потрібні, але захиститись не завадить.

    Що станеться, якщо ноутбук вкрадуть?

    Найпростіший випадок — злодій одразу ж переформатує диск та поставить чисту версіюопераційна система. Залишиться купити новий ноутбук, відновитися з Time Machine та спокійно продовжити роботу. Цей сценарій характерний для розумного злодія, який знає про функцію Find My Mac і про систему Pray.

    Але є інший випадок — злодій чи дурний, чи цікавий. Якщо дурний, то почне користуватися ноутбуком, не чіпаючи системи. Нещодавня історія затримання такого злодія описана у статті ”Why you don't steal from a hacker ”. Все закінчилося плачевно для злодія та відмінно для власника ноутбука.

    Якщо злодій цікавий і розумний, то відразу ж відключить мережеві інтерфейси, щоб навіть випадково система не вийшла в Інтернет і почне вивчати, чим можна поживитися.

    Почне вивчати документи, ключі доступу, спробує дістатися Keychain, подивиться історію команд у shell і можливо натрапить на пароль (у моїй практиці був випадок, коли дуже швидкий колега в сесії зайво цікавого користувача вбивав пароль адміністратора, але вбив не в полі запиту пароля, а просто в shell, і пароль адміністратора потрапив до.history). Пароль у клінічному випадку може бути єдиним для системи та для бази 1Password. Можна далі не продовжувати. А далі — чи проникнення, чи шантаж.

    Сподіваюся, ви не вважаєте, що запит пароля при вході в систему когось зупинить? Firmware Password (принаймні раніше) скидався фокусом з виймається однією з декількох планок пам'яті, а потім очищенням PRAM. Потім - single user mode, пара команд і пароль змінений. Якщо ж не хочеться возитися з Firmware Password, диск виймається з ноутбука, підключається до іншого комп'ютера і доступ до всіх даних отриманий.

    Для захисту від описаних ситуацій було реалізовано FileVault. У першій версії домашній каталог користувача поміщався в зашифрований контейнер (sparse bundle image), ключем до якого служив пароль користувача. Не знаючи пароля, контейнер було неможливо відкрити. Не потрібно виключати можливість вгадування пароля, але якщо пароль був складним, дані були в повній безпеці.

    За безпеку треба платити. Щоб зробити резервну копію даних у Time Machine, потрібно було вийти з облікового запису. Зробити вибіркове відновлення через інтерфейс Time Machine було неможливо. Увімкнення шифрування погіршувало продуктивність файлових операцій часом на 50%. Були й інші дрібні складнощі.

    У OS X Lion увійшла покращена версія - FileVault 2, система шифрування повного диска, що використовує алгоритм XTS-AES 128

    У процесі вивчення питання я звертався до статей MacFixIt "About FileVault 2 in OS X 10.7 Lion" та ArsTechnica "File system changes in Lion".

    Бажаючі розібратися з математичними моделями можуть прочитати документ "IEEE P1619TM/D16 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices" і "Не такий вже ти і страшний, XTS-AES".

    Незашифрованими залишаються розділ з EFI та Recovery HD:

    $ diskutil list /dev/disk0 #: TYPE NAME SIZE IDENTIFIER 0: GUID_partition_scheme *160.0 GB disk0 1: EFI 209.7 MB disk0s1 2: Apple_CoreStorage 159.2 GB disk0s2 3: Apple_Boot Recover.
    1. Після ініціалізації "заліза" EFI знаходить Recovery HD і передає керування завантажувачу /System/Library/CoreServices/boot.efi, що знаходиться на цьому розділі.
    2. Завантажувач має два варіанти — запустити EfiLoginUI з com.apple.boot.x і показати стартовий екран із запитом пароля входу, або, якщо була натиснута комбінація Option-R — оболонку відновлення системи з com.apple.recovery.boot.
    3. Ключі для розшифрування диска зберігаються у файлі EncryptedRoot.plist.wipekey у каталозі /com.apple.boot.x/System/Library/Caches/com.apple.corestorage. Пароль користувача розшифровує ключі до диска, що знаходиться в цьому файлі. Далі вони зберігаються у пам'яті, розшифровка вмісту диска проводиться “на лету”. Щоразу при зміні пароля користувача, додаванні нового користувача та подібних операціях EncryptedRoot.plist.wipekey перегенерується.

    FileVault працює і для користувачів, що входять через OpenDirectory - їх атрибути доступу кешуються у разі відсутності з'єднання з сервером каталогів.

    Продуктивність дискових операцій при включеному FileVault 2 згідно з тестами Anandtech погіршується не більше ніж на 20-30%, що цілком прийнятно. Однак варто враховувати, що є залежність від процесора та диска. Нові процесори Intelвикористовують набори інструкцій AES-NI для прискорення роботи з AES Intel® Advanced Encryption Standard Instructions (AES-NI) і з шифруванням диска справляються краще, ніж старі процесори Core 2 Duo. Рішення кожен приймає сам виходячи з власного заліза.

    За крадіжки Mac'а отримати доступ до даних буде практично неможливо (за умови складного пароля та неочевидних відповідей на питання відновлення ключа в Apple). Прийдеться просто купити новий Macі особливо не турбуватися про компрометацію паролів та використання даних.

    Time Machine працює без необхідності виходу з облікового запису. Тепер потрібно берегти дані Time Machine, а краще розміщувати їх у зашифрованому розділі (як це зробити, описано у статті Mac OS X Lion FileVault 2 та Time Machine External Drive Encryption).

    З "особливостей" слід пам'ятати, що при завантаженні із затиснутим Option розділ "Recovery HD" буде недоступний, для завантаження з нього потрібно утримувати комбінацію клавіш Command-R.

    Активація

    Активація FileVault 2 проста. System Preferences/Security & Privacy/FileVault. Обов'язково потрібно у надійному та обов'язково зашифрованому місці зберегти ключ та відповіді на питання відновлення ключа (якщо вибрали його збереження в Apple). Система запропонує перезавантажитись. Відразу ж при завантаженні буде запрошено ваш пароль і після входу ви відразу зможете працювати. Чекати годинами завершення шифрування розділу не потрібно, ця операція проводиться в фоновому режиміпоки ви повноцінно працюєте:

    З запуском iCloud з'явиться можливість Find My Mac, в якій за аналогією з Find My iPhone/iPad при появі Mac в мережі можна відобразити повідомлення з відтворенням звукового сигналу, заблокувати Mac або навіть знищити вміст зашифрованого диска (можу припустити, що видаляються ключі шифрування і диск стає марним масивом даних).