Как правильно зашифровать диск Windows?

Question

[Horosh294]

Всем привет! С Новым годом!
Я только набираю информацию в этой теме. На компе стоят SSD и HDD. Есть у меня задача разрабатывать проект именно в среде windows. Слышал что его могут взламывать все кому не лень. Тем не менее хочу поинтересоваться у знающих людей, возможно ли обезопасить данные на диске таким образом, чтобы ни один технарь не смог бы расшифровать данные без необходимого пароля?
Какими средствами и как (если это возможно) это можно осуществить? Как видите вопрос задан неконкретно, извиняюсь. Был бы рад обсуждению под ним, чтобы можно было все таки разобраться что и как.

Comments

[Aelliari]

Чётче обозначьте модель угроз, от чего защищаемся. От всего и сразу - нельзя.
Закрыть жёсткий диск от расшифровки "оффлайн" - это одно, а непозволить утащить данные с запущенной системы, когда раздел "расшифрован" это другое

Answer 1

[rPman]

У вас 2 варианта шифрования - на уровне файлов и на блочном уровне.

Первый вариант - самый простой для реализации - в свойствах файла/каталога указываешь флаг шифрования (только для NTFS) и все, только ваш windows аккаунт будет иметь к нему доступ (осторожно, при сбросе пароля или переустановке системы, без резервного копирования ключей шифрования, доступ к данным будет потерян).
Этот способ образно защищает ваши данные от любого пользователя windows но администраторы могут установить приложение, которое сможет скопировать или изменить данные в момент, когда они доступны (администратора же можно создать, имея доступ к железу, загрузившись со специальной флешки).

Второй вариант (bitlocker, truecrypt) защищает весь диск от сторонних пользователей (которые имеют физический доступ к вашему диску), пароль (или ключ шифрования на usb или иной способ) будет запрашиваться при запуске системы (точнее монтировании диска, но не шифровать системный диск в этом случае не имеет смысла), сами данные будут доступны всем пользователям windows на общих основаниях, так будто шифрования нет (но возможны штатные права доступа).

Осторожно, второй вариант отключает использование TRIM у SSD дисков, это очень важная технология, позволяющая ускорить работу с диском и даже продлить его срок службы.

p.s. полная защита данных от тех кто имеет физический доступ к диску - это очень сложный вопрос, в конечном счете задача будет сводиться к технологиям шифрования загрузчика и подтверждения его целостности (например загрузкой своих ключей шифрования в биос материнской платы, такие технологии есть не на дешевых материнках) так как если к примеру вы шифруете диск в датацентре, администраторы этого датацентра могут при следующей перезагрузке подсунуть не настоящее железо, а свое собственное специальное или к примеру хост виртуальной машины, и это железо дождется ввода ключа шифрования и позволит украсть его или данные оперативной памяти а значит доступ к данным. Один из способов борьбы с этим - административный, включение/перезагрузка машины должна проводиться с физическим доступом к ней, с проверкой пломб (корпус не вскрыт, сейф) и личным загрузчиком на флешке/специальном устройстве.

Comments

[Horosh294]

Именно вопрос локальной защиты. Чувствуется, что вы хорошо знаете вопрос.
Вообще есть еще вариант, установить обычную винду. А на флешку установить необходимую портативную программу. И саму флешку зашифровать целиком.
Только тут вопрос оставляют ли в Винде портативные программы какие-то важные файлы, или она на то и есть портативная?
P.S. А в таком случаее вообще есть флешки с собственным шифрованием, можно и их использовать, верно?

[rPman]

Все да, но повторяю, в конечном счете все упирается в сам компьютер - материнскую плату (биос) и процессор, не важно на сколько у вас надежное хранилище, ведь можно подменить сам компьютер.

Пример, любое pci-e устройство имеет полный доступ ко всей оперативной памяти машины, возможно создание такого устройства (или даже програмирование уже имеющихся, например видеокарты, это вопрос исследования, вполне возможно что amd/nvidia такие бекдоры делаюбт в них) чтобы незаметно вставить его в машину и после того как вы введете пароль - получить его и доступ к данным (или к примеру внедрить трояна на лету).

Подобные вопросы должны задавать все кто к примеру работает с криптовалютами, ведь админстраторы хостинга смогут украть ее и вы ничего не докажете (помним, как админ linode украл криптовалюту)

[Horosh294]

rPman, Тогда, как мне кажется, если не флешка, то вариант такой:
Поставлю винду на SSD и зашифрую truecrypt-ом. А на HDD поставлю обычную винду и будет у меня мультизагрузка. Ведь можно так сделать?
В этом случае проблем быть ведь не должно с безопасностью, если компьютер локальный и физический?

[rPman]

Horosh294, я подробнейшим образом ответил тут и в коментариях ниже, а так же вам был задан вопрос сверху в уточнениях

Все зависит от того что вы понимаете под безопасностью.
Если цель - защитить ваши данные от чтения и модификации (второе кстати сильно сложнее) кем то кто имеет доступ к железу незаметно для вас, то вы должны как то гарантировать что компьютер и переферия (клавиатура например) надежные и не изменнены

Если это так - то достаточно как вы сказали зашифровать раздел и сделать мультизагрузку (с виндой будет сложно так сделать на одном диске, просто проще будет если каждая установка на своем диске)

Если же атакующий у вас не идиот, то самая простая атака - обмануть вас, подменив загрузчик
* к примеру запускается программа выводящая на экран то же что и при включении компьютера, и комп заводится в сон - вы нажимаете включить, он пробуждается, запрашивается пароль шифрования вашего диска а после ввода он отправляется по сети, затем вызывается настоящий BSOD, комп перезагружается по настоящему...
это может написать любой нуб или мид разработчик на любом языке программирования
* по сложнее - подсунуть кейлогер в клавиатуру, любой ардуринщик такое сможет, слушать usb (или еще проще, ps/2 если у вас старая клава) и записывать все нажатия с датой в лог на карту памяти, все это встроено в корпус клавиатуры или компьютера, вы не заметите как ваш пароль будет сохранен и позже прочитан
* форм атак может быть много, на любую вашу проверку можно придумать контрмеру

то вам придется как то это контролировать - принудительно перезагружать машину, использовать свой загрузчик, проверять биос и железо.., вплоть до ходить со своей клавиатурой (я серьезно)

Answer 2

[Руслан]

Не один технарь в мире никогда не сможет взломать даже шифрование битлокера да возможно у него и есть лазейки но доступны они очень немногим людям скорее всего доступ есть у спецслужб США да и то они им не пользуются они делают иначе там в рамках закона дают сразу максимальный срок 20 лет если человек сотрудничает и выдает пароль добровольно срок реально могут скостить до трех лет а те кто идет в отказ сидят реально по 20 лет так что большинство сами выдают пароль притом без пыток

Есть еще программа трукрипт она имеет открытый исходный код и прецедентов ее взлома еще не было хотя пытались многие

Comments

[Horosh294]

Я ведь правильно понимаю, если в работе используются не портативные программы, то их промежуточные файлы обязательно где-то частично остаются в С:\ в винде?
Исходя из этого, правильнее зашифровывать весь диск?
ТруСкрипт это может так понимаю?
Вообще нужно чтобы было 2 пользователя в системе, один зашифрованный, другой доступный всем. Оба работают на винде разумеется.
Как думаете, что делать?

[Руслан]

Horosh294, Почитайте про режимы шифрования они разные их много

[rPman]

Руслан, не будьте так уверены, все упирается в стоимость атаки
есть способы ее сделать сильно дорогой, но абсолютная защита очень сложна.

пароль truecrypt получается подменой загрузчика или аппаратного кейлогера в клавиатуре (его соберет любой средний спец в ардуинках), вы сами введете его!

[rPman]

Horosh294, все зависит от того, на сколько сильная вам нужна защита и на сколько высок уровень пользователя, доступные варианты я описал в своем ответе.

Например самый простой и дешевый способ, взлом которого потребует дорогое оборудование и специалистов (переписать биос) - носить флешку с загрузчиком или даже в виде отдельного устройства (например на основе малинки или перепрошитого роутера), который занимается выдачей загрузчика, на время загрузки вы подключаете свой компьютер ethernet проводом к этому устройству, загружаетесь по этой миниатюрной сети (устройство выступает одновременно сервером dhcp и раздает файлы загрузки), так же это устройство может выступать консолью ввода пароля шифрования диска (своя клавиатура, чтобы исключить кейлогер в клавиатуре компьютера) - а дальше вы работаете уже с зашифрованного диска на компьютере, во время загрузки системы отключаете свое устройство загрузки и носите с собой/храните в надежном сейфе.

При каждом включении необходимо заглядывать внутрь и проверять наличие лишних устройств (например установка промежуточного ethernet устройства со своим компьютером)

Само собой каждый пользователь - своя операционная система

[rrambo]

если в работе используются не портативные программы, то их промежуточные файлы обязательно где-то частично остаются в С:\ в винде?

Насчет этого. можно создать отдельно шифроконтейнер и подключать его как логический диск.
И там создавать папки для рабочих данных подобных не портативных приложений.
Для того что бы программы писали именно в эти папки, можно сделать directory junction ссылки из c:\users/[user]\appdata\routing (или local)\папкапрограммы На x:\appdata\папкапрограммы
где x:\ примонтированный контейнер.
Команда для создания директории-ссылки mklink -j
Пока диска нет в системе программы и никто другой не имеют доступа к данным. Это для случая если не шифровать системный диск. Тогда можно будет и другим пользователям юзать ПК, и TRIM работает.
Главное отслеживайте что куда ваши секретные программы пишут данные , отключайте это барахло, а где нужно перенаправляйте их рабочие папки на шифродиск как написано выше.