Programme de cryptage à la volée. Alternatives à TrueCrypt

TrueCrypt est système logiciel pour créer et utiliser un volume chiffré à la volée (périphérique de stockage de données). Le chiffrement à la volée signifie que les données sont automatiquement chiffrées ou déchiffrées pendant leur lecture ou leur écriture, sans interrompre l'utilisateur. Les données stockées sur un volume chiffré ne peuvent pas être lues (déchiffrées) sans utiliser le mot de passe/fichier de clé correct ou les clés de chiffrement correctes. Tout est crypté système de fichiers, y compris les noms de dossiers et de fichiers, le contenu des fichiers, les espaces, les métadonnées, etc.).

Les fichiers peuvent être copiés vers et depuis un volume TrueCrypt monté de la même manière qu'ils sont copiés depuis/vers n'importe quel lecteur normal (par exemple, en utilisant la technologie glisser-déposer). Les fichiers sont automatiquement déchiffrés à la volée (en mémoire) lorsqu'ils sont lus ou copiés à partir d'un volume crypté TrueCrypt. L'inverse est également vrai : les fichiers écrits ou copiés sur un volume TrueCrypt sont cryptés à la volée en mémoire juste avant d'être écrits sur le disque. Cependant, cela ne signifie pas que l'intégralité du fichier destiné au cryptage/déchiffrement doit être entièrement stockée en mémoire avant le cryptage/déchiffrement. TrueCrypt ne nécessite pas de mémoire supplémentaire.

Par exemple, il existe un fichier .avi stocké sur un volume TrueCrypt, et donc entièrement crypté. L'utilisateur, en utilisant le mot de passe (et/ou le fichier de clé) correct, monte (ouvre) le volume TrueCrypt. Lorsqu'un utilisateur double-clique sur l'icône d'un fichier vidéo, le système d'exploitation lance le programme associé à ce type de fichier, généralement un lecteur multimédia. Le lecteur multimédia commence à charger la petite partie initiale du fichier vidéo du volume crypté TrueCrypt en mémoire afin de le lire. Au fur et à mesure que cette petite partie est chargée, TrueCrypt la déchiffre automatiquement en mémoire. La partie décryptée de la vidéo, désormais stockée en mémoire, est lue par le lecteur multimédia. Après avoir joué cette partie, le lecteur multimédia commencera à charger la petite partie suivante du fichier vidéo du volume crypté TrueCrypt dans la mémoire et le processus se répétera. Ce processus est appelé cryptage/déchiffrement à la volée et fonctionne avec tous les types de fichiers, pas seulement la vidéo.

TrueCrypt ne stocke jamais de données non chiffrées sur le disque – il les stocke temporairement en mémoire. Même lorsque le volume est monté, les données qu'il contient sont stockées cryptées. Lorsque vous redémarrez Windows ou éteignez votre ordinateur, le volume est désactivé et les fichiers qui y sont stockés deviennent inaccessibles et restent cryptés. La même chose se produit en cas de panne de courant inattendue (sans arrêter correctement le système). Pour y accéder à nouveau, vous devez monter le volume en utilisant le mot de passe et/ou le fichier de clé correct.

Chiffrement et utilisation d'une partition de disque non système

Étape 1

Lancez TrueCrypt en double-cliquant sur le fichier TrueCrypt.exe ou en cliquant sur le raccourci TrueCrypt dans le menu Démarrer.

Étape 2 :

La fenêtre principale TrueCrypt devrait apparaître. Cliquez sur Créer un volume.

Étape 3 :

La fenêtre Assistant de création de partition TrueCrypt devrait apparaître.

A cette étape, vous choisissez où vous souhaitez créer la section TrueCrypt. Une partition TrueCrypt peut être située dans un fichier, également appelé conteneur, sur une partition de disque ou sur un périphérique de disque. Dans ce guide, nous choisirons la deuxième option et chiffrerons le périphérique de stockage USB.

Sélectionnez l'option « Crypter la partition/le disque non système » et cliquez sur le bouton « Suivant ».

Étape 4 :

À l'étape 4, nous devons choisir quel sera notre type de volume. Dans ce cas, il y a 2 options :

Volume TrueCrypt régulier ;

Volume caché TrueCrypt ;

À ce stade, sélectionnez l’option « Volume TrueCrypt régulier ». PS : nous traiterons de l'option « TrueCrypt Hidden Volume » plus tard (étape 12).

Étape 5 :

À l'étape 5, nous devons sélectionner l'appareil que nous allons chiffrer.

Sélectionnez le périphérique souhaité (dans ce cas, le lecteur F: est sélectionné).

Maintenant que vous avez sélectionné l'appareil à chiffrer, vous pouvez passer à l'étape suivante en cliquant sur le bouton « Suivant ».

Étape 6 :

A ce stade, vous devez choisir l'une des deux options suivantes :

ü créer un volume crypté et le formater

ü chiffrer la partition à sa place.

Si le périphérique sélectionné à l'étape 5 contient des informations importantes que vous souhaitez enregistrer et chiffrer, vous devez alors sélectionner l'option « Chiffrer la partition à sa place ». Sinon (si l'appareil sélectionné ne dispose pas informations importantes, ou il n'y a aucune information à ce sujet - sélectionnez "Créer un volume chiffré et formatez-le". Dans ce cas, toutes les informations stockées sur l'appareil sélectionné seront perdues.) Après avoir sélectionné l'option, cliquez sur le bouton « Suivant ».

Étape 7 :

Étape 8 :

Lors de la huitième étape, vous devez à nouveau vous assurer que vous avez choisi exactement l'appareil que vous souhaitez. Une fois que vous êtes sûr que votre choix est correct, cliquez sur le bouton « Suivant ».

Étape 9 :

C’est l’une des étapes les plus importantes. Ici, vous devez choisir un bon mot de passe pour la section. Lisez attentivement les informations affichées dans la fenêtre de l'assistant sur ce qui est considéré comme un bon mot de passe. Après sélection bon mot de passe, saisissez-le dans le premier champ de saisie. Saisissez-le ensuite à nouveau dans le deuxième champ et cliquez sur Suivant. Remarque : Le bouton « Suivant » sera inactif jusqu'à ce que les mots de passe dans les deux champs correspondent.

Étape 10 :

Déplacez votre souris de manière aussi aléatoire que possible dans la fenêtre de l'assistant de création de volume pendant au moins 30 secondes. Plus vous déplacez la souris longtemps, mieux c'est. Cela augmente considérablement la force cryptographique des clés de chiffrement (ce qui augmente la sécurité). Cliquez sur "Marquage".

Nous sommes d'accord avec le formatage de la section sélectionnée.

Nous attendons la fin du processus.

Nous lisons attentivement la notice expliquant comment utiliser le volume que nous avons créé et comment supprimer le cryptage de la partition/du périphérique.

Le volume est donc créé. Après avoir cliqué sur « OK », TrueCrypt vous demandera de créer 1 volume supplémentaire (bouton « Suivant »). Si vous souhaitez arrêter l'assistant de création de volume, cliquez sur le bouton « Quitter ».

Étape 11 :

Maintenant que le volume est créé, vous devez apprendre à l'utiliser. Notez que lors d'une tentative normale d'accès à notre appareil crypté (Poste de travail – Appareil crypté), Windows nous demandera de le formater (après le processus de formatage, l'appareil sera vide et non crypté). Pour accéder à notre volume, vous devez ouvrir TrueCrypt et sur le formulaire principal sélectionner l'appareil qui a été crypté (dans notre exemple, il s'agit du lecteur F :). Après avoir sélectionné le périphérique, nous devons sélectionner une lettre de lecteur non allouée (je choisirai Z :) et cliquer sur le bouton "Monter".

Entrez le mot de passe créé à l'étape 9.

TrueCrypt va maintenant essayer de monter la partition. Si le mot de passe est incorrect (par exemple, vous l'avez mal saisi), TrueCrypt vous en informera et vous devrez répéter l'étape précédente (ressaisissez le mot de passe et cliquez sur OK). Si le mot de passe est correct, la partition sera montée.

Nous venons de monter avec succès notre appareil crypté en tant que disque virtuel Z :

Le disque virtuel est entièrement crypté (y compris les noms de fichiers, les tables d'allocation, l'espace libre, etc.) et se comporte comme un vrai disque. Vous pouvez enregistrer (copier, déplacer, etc.) des fichiers sur ce disque virtuel, et ils seront chiffrés à la volée lors de leur écriture.

Si vous ouvrez un fichier stocké sur une partition TrueCrypt, par exemple dans un lecteur multimédia, le fichier sera automatiquement déchiffré dans la RAM (mémoire) à la volée lors de la lecture.

Important : Veuillez noter que lorsque vous ouvrez un fichier stocké sur une partition TrueCrypt (ou lorsque vous écrivez/copiez un fichier depuis/vers une partition TrueCrypt), il ne vous sera pas demandé de saisir à nouveau votre mot de passe. Vous devez saisir le mot de passe correct uniquement lors du montage de la partition.

Vous pouvez ouvrir la partition montée, par exemple, en double-cliquant sur le texte marqué d'un rectangle rouge, comme indiqué dans la capture d'écran ci-dessous.

Vous pouvez également rechercher et ouvrir la partition montée, comme vous le faites habituellement pour d'autres lecteurs. Par exemple, ouvrez simplement « Poste de travail » et double-cliquez sur le raccourci du lecteur (dans notre cas, le lecteur Z).

Sélectionnez la partition dans la liste des partitions montées dans la fenêtre principale de TrueCrypt (Z : dans l'image ci-dessus), puis cliquez sur Démonter.

Décryptage de l'appareil

Si vous devez décrypter votre appareil, procédez comme suit :

ü vérifier que le périphérique crypté est démonté ;

ü allez dans Poste de travail ;

ü trouver celui crypté dans la liste des disques (celui que l'on souhaite décrypter) ;

ü cliquez clic droit sur le disque sélectionné ;

ü sélectionnez l'élément « Format » dans la liste du menu contextuel ;

Une fois le formatage terminé, le disque sera déchiffré et accessible comme auparavant.

Étape 12 :

Pour créer un volume caché, répétez les étapes 1 à 3 et à la quatrième étape, sélectionnez l'option « TrueCrypt Hidden Volume ».

Vous pouvez en savoir plus sur ce qu'est un volume caché en cliquant sur le lien « Qu'est-ce qu'un « volume caché » ? Mais quelque chose peut être décrit ici :

ü un volume caché est créé à l'intérieur d'un volume régulier déjà existant

ü l'accès à un volume caché s'effectue de la même manière qu'à un volume régulier, uniquement lors du montage d'un courant régulier, vous devez saisir le mot de passe du volume caché contenu à l'intérieur du volume régulier

ü il n'y a aucun moyen de connaître l'existence d'un volume caché, ce qui offre une protection supplémentaire aux informations stockées sur ce volume

Étape 13 :

Étape 14 :

L'assistant de création de volume nous invite à choisir une méthode pour créer un volume caché. Il existe deux options pour créer un volume caché :

ü « Mode normal" - en sélectionnant cette option, l'assistant vous aidera d'abord à créer un volume normal, après quoi il sera possible de créer un volume caché à l'intérieur d'un volume normal ;

ü « Mode direct » - créer un volume caché sur un volume régulier déjà existant (que nous choisirons puisque nous avons déjà créé un volume régulier ci-dessus) ;

Étape 15 :

Dans cette étape, nous devons saisir le mot de passe utilisé dans le volume normal (externe). Ce mot de passe a été saisi à l'étape 9. Après avoir saisi le mot de passe, cliquez sur « Suivant ».

Étape 16 :

Notification sur le succès de l'étude de la carte du cluster, sur la taille maximale du volume caché.

Étape 17 :

Ici, vous pouvez sélectionner l'algorithme de cryptage et l'algorithme de hachage pour la partition. Si vous ne savez pas quoi choisir ici, vous pouvez utiliser les paramètres par défaut et cliquer sur « Suivant » (pour des informations plus détaillées, voir le chapitre Algorithmes de cryptage et algorithmes de hachage).

Étape 18 :

A ce stade, sélectionnez la taille du volume caché. Veuillez noter la taille maximale possible !

Étape 19 :

Cette étape est similaire à l'étape 9. MAIS !!! Le mot de passe du volume caché doit être différent du mot de passe du volume externe.

Étape 20 :

Déplacez votre souris de manière aussi aléatoire que possible dans la fenêtre de l'assistant de création de volume pendant au moins 30 secondes. Plus vous déplacez la souris longtemps, mieux c'est. Cela augmente considérablement la force cryptographique des clés de chiffrement (ce qui augmente la sécurité). Cliquez sur le bouton « Marquer ».

lisez attentivement la notice expliquant comment utiliser le volume que nous avons créé et comment supprimer le cryptage de la partition/du périphérique.

L'assistant nous avertit qu'en raison d'une mauvaise utilisation du volume extérieur, le volume caché peut être endommagé. Pour savoir comment protéger un volume caché, consultez la section « Précautions concernant les volumes cachés ».

Ça y est, le volume caché est prêt. Pour créer un autre volume, cliquez sur le bouton « Suivant ». Pour arrêter l'assistant de création de volume, cliquez sur « Quitter » (dans notre cas, 2 volumes nous suffisent ; ci-dessous nous expliquerons comment travailler avec un volume caché).

Étape 21 :

Travailler avec un volume caché est similaire à travailler avec un volume externe. La seule différence est que pour accéder au volume caché, vous devez saisir le mot de passe de l'étape 19 et non de l'étape 9.

Chiffrer :

1. pas un disque système ;

2. partie du disque ;

3. séparer les fichiers de différents formats

Créez des images virtuelles d'objets cryptés et testez leur fonctionnement.

Questions de sécurité

1. Que signifie le terme « cryptage à la volée » ?

2. Quels sont les modes de fonctionnement du programme TrueCrypt ?

3. Comment supprimer une partition chiffrée ?

4. Lister les avantages de ce logiciel ?

04/02/2016, jeu., 11h49, heure de Moscou , Texte : Pavel Pritula

Comme indiqué dans « Comment gérer le risque de fuite de données critiques », les entreprises sont obligées de réduire constamment le risque de fuite d'informations confidentielles. Le moyen le plus simple et relativement peu coûteux consiste à utiliser des systèmes de cryptage transparents. Le principal avantage du cryptage transparent est que l’utilisateur n’est pas obligé de participer aux processus ; arrière-plan"à la volée".

Cela dépend beaucoup de la définition des exigences du système

À première vue, les systèmes de cryptage transparents disponibles sur le marché ont de nombreux points communs : après tout, ils résolvent tous le même problème. Mais les entreprises ont toujours leurs propres exigences spécifiques. Vous trouverez ci-dessous une liste des plus pertinents.

Exigences pour les systèmes de cryptage transparents

Les deux premiers points, concernant la fiabilité et la solidité des algorithmes de chiffrement, imposent aux fournisseurs de services de cryptographie de respecter les exigences réglementaires pour leurs produits. Dans la Fédération de Russie, il s'agit de l'utilisation de GOST 28147-89 avec une longueur de clé de 256 bits dans les solutions des fournisseurs de cryptographie agréés par le FSB de Russie.

Comment se protéger contre administrateur du système?

Les attaquants intéressés par les données privées peuvent également se trouver au sein de l’entreprise. Une menace sérieuse contre laquelle la cryptographie ne peut pas sauver est posée par les spécialistes techniques et les administrateurs système de l'entreprise. Mais en même temps, de par leurs fonctions, ils sont tenus de surveiller les performances des systèmes qui assurent la sécurité sur chaque ordinateur.

Dans la situation économique difficile actuelle, un certain nombre d'employés, y compris des administrateurs système, souhaitent copier des informations sur l'entreprise pour les vendre sur le marché noir ou comme avantage supplémentaire par rapport aux candidats concurrents lorsqu'ils postulent à un nouvel emploi. Cela met à rude épreuve les relations entre la direction et le personnel de l’entreprise.

Cela signifie que le système de cryptage transparent sélectionné doit simplement disposer de mécanismes qui mettent en œuvre un ensemble d'exigences de protection de la part de l'administrateur système, qui ont trouvé leur place dans la liste des exigences de la solution.

Le système de fichiers virtuel est un composant de sécurité important

Alors, quel est le mécanisme sous-jacent aux meilleurs systèmes de chiffrement transparents capables de répondre à bon nombre des exigences présentées ci-dessus ? En pratique, cela s'exprime par une formule simple : le fichier est disponible pour le propriétaire de l'information sous forme déchiffrée, et pour tous les autres - uniquement sous forme cryptée sans accès aux clés. Les experts appellent cette fonctionnalité « accès simultané ».

«Mais si Windows est installé sur l'ordinateur de l'utilisateur, qui est pratiquement devenu un standard d'entreprise dans la Fédération de Russie, alors obtenir un «accès simultané» n'est pas une tâche facile. Cela est dû à l'effet de cohérence de Windows : un fichier qu'il contient peut avoir ses copies, en plus du système de fichiers, dans le gestionnaire de mémoire ou le cache. Nous devons donc résoudre le problème de « l’existence simultanée » des fichiers », dit Ilya Chchavinski, responsable du développement commercial chez Aladdin R.D. Et le problème est résolu de manière originale grâce au travail conjoint d'un « système de fichiers virtuel » (VFS) et d'un filtre de pilote de système de fichiers, dont le schéma de fonctionnement est donné ci-dessous.

Système de fichiers virtuel

Source : « Aladdin RD », 2016

Comme le montre le diagramme, le gestionnaire de cache « croit » qu'il travaille avec deux différents fichiers. À cette fin, VFS forme une structure de paires supplémentaire de descripteurs de fichiers. Un pilote de système de fichiers spécial fournit mise à jour constante fichier crypté dans le système de fichiers réel, après avoir modifié sa copie non cryptée dans le VFS. Ainsi, les données sur le disque sont toujours cryptées.

Pour restreindre l'accès aux fichiers, le pilote du système de fichiers charge les clés de cryptage dans la RAM lors de l'accès aux ressources protégées. Les informations clés elles-mêmes sont protégées par la paire de clés du certificat de l’utilisateur et sont stockées dans un stockage cryptographique.

En conséquence, un utilisateur autorisé voit un système de fichiers, un système virtuel avec des fichiers déchiffrés, tandis que les utilisateurs non autorisés verront en même temps un système de fichiers physique (réel), où les noms et le contenu des fichiers sont cryptés.

Les administrateurs système et autres spécialistes techniques qui n'ont pas la possibilité d'obtenir des clés de chiffrement déchiffrées travailleront avec un système de fichiers réel et chiffré de manière sécurisée. Dans le même temps, ils conservent la possibilité d'exercer correctement leurs fonctions officielles, par exemple de créer des copies de sauvegarde d'informations cryptées sans violer la confidentialité des informations elles-mêmes. Cela répondra à l’exigence importante de protéger les informations contre les initiés.

Sans authentification multifacteur, les risques ne peuvent pas être réduits

Pour l'authentification multifacteur des utilisateurs à télécharger système opérateur et pour accéder aux données cryptées, on utilise généralement un jeton ou une carte à puce - un appareil sur lequel sont stockés le certificat de clé publique de l'utilisateur et la clé privée correspondante.

Un système centralisé de gestion et de stockage des clés de cryptage protège contre la perte de ces clés : elles se trouvent sur un serveur sécurisé et ne sont transférées à l'utilisateur qu'en cas de besoin. L’entreprise contrôle également l’accès des salariés à leurs données et peut le refuser à tout moment. De plus, il est possible de surveiller les événements d'accès aux données protégées, ainsi que d'activer le mode de cryptage pour toutes les données envoyées aux lecteurs flash, etc.

Composition d'un système de cryptage transparent typique

• Cryptage AES, longueur de clé 256 bits.
• Cacher des fichiers et des dossiers.
• Chiffrez les fichiers (en créant des disques virtuels – coffres-forts) à la volée.
• Sauvegarde en ligne.
• Création de disques USB/CD/DVD protégés.
• Cryptage des pièces jointes e-mail.
• Création de « portefeuilles » cryptés stockant des informations sur cartes de crédit, comptes, etc.

Il semblerait que le programme dispose de suffisamment de capacités, notamment pour un usage personnel. Examinons maintenant le programme en action. Lorsque vous lancez le programme pour la première fois, il vous est demandé de définir un mot de passe principal, qui est utilisé pour authentifier l'utilisateur dans le programme (Fig. 1). Imaginez cette situation : vous avez caché des fichiers et quelqu'un d'autre a lancé un programme, a vu quels fichiers étaient cachés et y a eu accès. D'accord, pas très bon. Mais si le programme demande un mot de passe, alors ce « quelqu'un » ne réussira pas - du moins jusqu'à ce qu'il devine ou découvre votre mot de passe.

Riz. 1. Définir un mot de passe principal au premier démarrage

Tout d'abord, regardons comment le programme cache les fichiers. Aller à la rubrique Verrouiller les fichiers, puis faites glisser les fichiers (Fig. 2) et les dossiers dans la zone principale du programme ou utilisez le bouton Ajouter. Comme le montre la fig. 3, le programme vous permet de masquer des fichiers, des dossiers et des lecteurs.

Riz. 2. Faites glisser un fichier, sélectionnez-le et cliquez sur le bouton Verrouillage

Riz. 3. Bouton Ajouter

Voyons ce qui se passe lorsque nous appuyons sur le bouton Verrouillage. J'ai essayé de masquer le fichier C:\Users\Denis\Desktop\cs.zip. Le fichier a disparu de l'Explorateur, Commandant total et le reste gestionnaires de fichiers, même si l'affichage est activé fichiers cachés. Le bouton de masquage de fichiers s'appelle Verrouillage, et la section Verrouiller les fichiers. Cependant, ces éléments de l'interface utilisateur devraient être nommés respectivement Masquer et Masquer les fichiers. Car en fait, le programme ne bloque pas l'accès au fichier, mais le « cache » simplement. Regardez la fig. 4. Connaissant le nom exact du fichier, je l'ai copié dans le fichier cs2.zip. Le fichier a été copié sans problème, il n'y a eu aucune erreur d'accès, le fichier n'a pas été crypté - il a été décompressé comme d'habitude.

Riz. 4. Copiez un fichier caché

La fonction de masquage elle-même est stupide et inutile. Cependant, si vous l'utilisez conjointement avec la fonction de cryptage de fichiers - pour masquer les coffres-forts créés par le programme - l'efficacité de son utilisation augmentera.
Dans la rubrique Chiffrer les fichiers vous pouvez créer des coffres-forts (Lockers). Un coffre-fort est un conteneur crypté qui, une fois monté, peut être utilisé comme un disque ordinaire : le cryptage n'est pas simple, mais transparent. La même technique est utilisée par de nombreux autres programmes de cryptage, notamment TrueCrypt, CyberSafe Top Secret et autres.

Riz. 5. Section Chiffrer les fichiers

Cliquez sur le bouton Créer un casier, dans la fenêtre qui apparaît, saisissez un nom et sélectionnez l'emplacement du coffre-fort (Fig. 6). Ensuite, vous devez saisir un mot de passe pour accéder au coffre-fort (Fig. 7). L'étape suivante consiste à sélectionner le système de fichiers et la taille sûre (Fig. 8). La taille sécurisée est dynamique, mais vous pouvez définir sa limite maximale. Cela vous permet d'économiser de l'espace disque si vous n'utilisez pas le coffre-fort au maximum. Si vous le souhaitez, vous pouvez créer un coffre-fort de taille fixe, comme indiqué dans la section Performances de cet article.

Riz. 6. Nom et emplacement du coffre-fort

Riz. 7. Mot de passe pour accéder au coffre-fort

Riz. 8. Système de fichiers et taille sécurisée

Après cela, vous verrez une fenêtre UAC (si elle est activée), dans laquelle vous devrez cliquer sur Oui, puis une fenêtre avec des informations sur le coffre-fort créé s'affichera. Dans celui-ci, vous devez cliquer sur le bouton Terminer, après quoi la fenêtre de l'Explorateur s'ouvrira, affichant le conteneur monté (média), voir Fig. 9.

Riz. 9. Disque virtuel créé par le programme

Retour à la rubrique Chiffrer les fichiers et sélectionnez le coffre-fort créé (Fig. 10). Bouton Ouvrir le casier permet d'ouvrir un coffre-fort fermé, Fermer le casier- fermer le bouton ouvert Modifier les options appelle un menu contenant des commandes pour supprimer/copier/renommer/modifier le mot de passe sécurisé. Bouton Sauvegarde en ligne vous permet de sauvegarder votre coffre-fort, et pas n'importe où, mais dans le cloud (Fig. 11). Mais il faut d'abord créer un compte Compte de sauvegarde sécurisé, après quoi vous obtiendrez jusqu'à 2 To espace disque, et vos coffres-forts se synchroniseront automatiquement avec le stockage en ligne, ce qui est particulièrement utile si vous devez travailler avec le même coffre-fort sur différents ordinateurs.

Riz. 10. Opérations sur le coffre-fort

Riz. 11. Créez un compte de sauvegarde sécurisé

Rien n'arrive pour rien. Les tarifs pour le stockage de vos coffres-forts sont disponibles sur secure.newsoftwares.net/signup?id=en. Pour 2 To, vous devrez payer 400 $ par mois. 500 Go coûteront 100 $ par mois. Pour être honnête, c'est très cher. Pour 50 à 60 $, vous pouvez louer un VPS complet avec 500 Go « à bord », que vous pouvez utiliser comme stockage pour vos coffres-forts et même y créer votre propre site Web.
Attention : le programme peut créer des partitions chiffrées, mais contrairement à PGP Desktop, il ne peut pas chiffrer des disques entiers. Dans la rubrique Protéger l'USB/CD vous pouvez protéger vos lecteurs USB/CD/DVD, ainsi que les pièces jointes des e-mails (Fig. 12). Toutefois, cette protection s'effectue non pas par le cryptage du support lui-même, mais par l'enregistrement d'un coffre-fort à auto-déchiffrement sur le support correspondant. Autrement dit, une version portable allégée du programme sera enregistrée sur le support sélectionné, permettant ainsi « d'ouvrir » le coffre-fort. Ce programme ne prend pas non plus en charge les clients de messagerie. Vous pouvez crypter la pièce jointe et la joindre (déjà cryptée) à l'e-mail. Mais la pièce jointe est cryptée avec un mot de passe standard, et non avec une PKI. Je pense que cela ne sert à rien de parler de fiabilité.

Riz. 12. Protéger la section USB/CD

Chapitre Faire des portefeuilles vous permet de créer des portefeuilles contenant des informations sur vos cartes de crédit, vos comptes bancaires, etc. (Fig. 13). Bien entendu, toutes les informations sont stockées sous forme cryptée. En toute responsabilité, je peux dire que cette section est inutile, car il n'y a pas de fonction pour exporter les informations du portefeuille. Imaginez que vous possédez de nombreux comptes bancaires et que vous ayez saisi des informations sur chacun d'eux dans le programme - numéro de compte, nom de la banque, propriétaire du compte, code SWIFT, etc. Vous devez ensuite fournir les informations de votre compte à un tiers pour vous transférer l'argent. Vous devrez copier manuellement chaque champ, le coller dans le document, ou e-mail. Avoir une fonction d’exportation rendrait cette tâche beaucoup plus facile. Quant à moi, il est beaucoup plus facile de stocker toutes ces informations dans un seul document commun, qui doit être placé sur un disque virtuel créé par le programme - un coffre-fort.

Riz. 13. Portefeuilles

Avantages du verrouillage des dossiers :

• Attrayant et interface claire, qui séduira les utilisateurs novices parlant anglais.
• Chiffrement transparent à la volée, créant des disques virtuels chiffrés pouvant être utilisés comme des disques ordinaires.
• Possibilité de sauvegarde en ligne et de synchronisation des conteneurs cryptés (coffres-forts).
• Possibilité de créer des conteneurs à auto-déchiffrement sur des lecteurs USB/CD/DVD.

Inconvénients du programme :

• Il n'y a pas de support pour la langue russe, ce qui compliquera le travail du programme pour les utilisateurs qui ne connaissent pas la langue anglaise.
• Fonctions douteuses Lock Files (qui cache simplement, plutôt que de « verrouiller » les fichiers) et Make Wallets (inefficace sans exporter des informations). Pour être honnête, je pensais que la fonction Verrouiller les fichiers fournirait un cryptage transparent d'un dossier/fichier sur un disque, comme le fait le programme CyberSafe Top Secret ou le système de fichiers EFS.
• Impossibilité de signer des fichiers ou de vérifier les signatures numériques.
• Lors de l'ouverture d'un coffre-fort, il ne permet pas de sélectionner une lettre de lecteur qui sera attribuée au disque virtuel correspondant au coffre-fort. Dans les paramètres du programme, vous ne pouvez sélectionner que l'ordre dans lequel le programme attribuera la lettre de lecteur - croissant (de A à Z) ou décroissant (de Z à A).
• Aucune intégration avec clients de messagerie, il existe uniquement la possibilité de chiffrer la pièce jointe.
• Coût élevé du cloud sauvegarde.

Bureau PGP

Riz. 14. Menu contextuel de PGP Desktop

Vous pouvez également accéder aux fonctions du programme via la barre d'état système (Fig. 15). Équipe Ouvrir le bureau PGP ouvre la fenêtre principale du programme (Fig. 16).

Riz. 15. Programme dans la barre d'état système

Riz. 16. Fenêtre du bureau PGP

Sections du programme :

• Clés PGP- gestion des clés (les vôtres et celles importées de keyserver.pgp.com).
• Messagerie PGP- gestion des services de messagerie. Une fois installé, le programme détecte automatiquement vos comptes et crypte automatiquement les communications AOL Instant Messenger.
• Zip PGP- gestion des archives cryptées. Le programme prend en charge le cryptage transparent et opaque. Cette section implémente le cryptage opaque. Vous pouvez créer une archive Zip chiffrée (PGP Zip) ou une archive à auto-déchiffrement (Figure 17).
• Disque PGP est une implémentation de la fonction de cryptage transparent. Le programme peut, comment chiffrer la partition entière disque dur(ou même le disque entier) ou créez un nouveau disque virtuel (conteneur). Il existe également une fonction appelée Shred Free Space, qui vous permet d'effacer l'espace libre sur le disque.
• Visionneuse PGP- ici, vous pouvez décrypter les messages et les pièces jointes PGP.
• PGP NetShare- un moyen de « partager » des dossiers, tandis que les « partages » sont cryptés grâce à PGP, et vous avez la possibilité d'ajouter/supprimer des utilisateurs (les utilisateurs sont identifiés à partir de certificats) qui ont accès au « partage ».

Riz. 17. Archives à auto-décryptage

Concernant les disques virtuels, j'ai particulièrement apprécié la possibilité de créer un disque virtuel de taille dynamique (Figure 18), ainsi que de sélectionner un algorithme autre qu'AES. Le programme vous permet de sélectionner la lettre de lecteur sur laquelle le disque virtuel sera monté, et vous permet également de monter automatiquement le disque au démarrage du système et de le démonter lorsqu'il est inactif (par défaut, après 15 minutes d'inactivité).

Riz. 18. Créez un disque virtuel

Le programme essaie de chiffrer tout et tout le monde. Il surveille les connexions POP/SMTP et propose de les sécuriser (Figure 19). Il en va de même pour les clients de messagerie instantanée (Figure 20). Il est également possible de protéger les connexions IMAP, mais cela doit être activé séparément dans les paramètres du programme.

Riz. 19. Connexion SSL/TLS détectée

Riz. 20. PGP IM en action

Il est dommage que PGP Desktop ne prenne pas en charge les programmes modernes comme Skype et Viber. Qui utilise AOL IM maintenant ? Je pense qu'il y en a peu.
De plus, lors de l'utilisation de PGP Desktop, il est difficile de configurer le chiffrement du courrier, qui ne fonctionne qu'en mode interception. Que se passe-t-il si le courrier chiffré a déjà été reçu et que PGP Desktop a été lancé après avoir reçu le message chiffré ? Comment le décrypter ? Vous pouvez bien sûr le faire, mais vous devrez le faire manuellement. De plus, les messages déjà déchiffrés ne sont plus protégés dans le client. Et si vous configurez le client pour les certificats, comme cela se fait dans le programme CyberSafe Top Secret, les lettres seront toujours cryptées.
Le mode d'interception ne fonctionne pas non plus très bien, puisque le message sur la protection du courrier apparaît à chaque fois sur chaque nouveau serveur de messagerie, et Gmail en a beaucoup. Vous vous lasserez très vite de la fenêtre de protection du courrier.
Le programme n'est pas non plus stable (Fig. 21).

Riz. 21. PGP Desktop s'est bloqué...

De plus, après l’avoir installé, le système a fonctionné plus lentement (subjectivement)…

Avantages de PGP Desktop :

• Un programme complet utilisé pour le cryptage, la signature et la vérification des fichiers signature électronique, chiffrement transparent (chiffrement des disques virtuels et de toute la partition), chiffrement des e-mails.
• Le serveur de clés prend en charge keyserver.pgp.com.
• Possibilité de chiffrer le disque dur du système.
• Fonctionnalité PGP NetShare.
• Possibilité de brassage espace libre.
• Intégration étroite avec Explorer.

Inconvénients du programme :

• Manque de prise en charge de la langue russe, ce qui compliquera le travail avec le programme pour les utilisateurs qui ne connaissent pas l'anglais.
• Fonctionnement instable du programme.
• Mauvaises performances du programme.
• Il existe une prise en charge pour AOL IM, mais pas pour Skype et Viber.
• Les messages déjà déchiffrés restent non protégés sur le client.
• La protection du courrier ne fonctionne qu'en mode interception, dont vous vous lasserez vite, puisque la fenêtre de protection du courrier apparaîtra à chaque fois pour chaque nouveau serveur.

CyberSécurité Top Secret

Riz. 22. Programme CyberSafe Top Secret

Cependant, nous prêterons toujours attention à certains points, les plus importants. Le programme contient des outils de gestion de clés et de certificats, ainsi qu'une disponibilité dans CyberSafe. propre serveur key permet à l'utilisateur d'y publier sa clé publique, ainsi que d'obtenir les clés publiques des autres salariés de l'entreprise (Fig. 23).

Riz. 23. Gestion des clés

Le programme peut être utilisé pour le cryptage fichiers séparés, qui a été présenté dans l'article « Signature électronique : utilisation pratique du produit logiciel CyberSafe Enterprise dans une entreprise. Première partie." En ce qui concerne les algorithmes de cryptage, le programme CyberSafe Top Secret prend en charge les algorithmes GOST et le fournisseur de cryptage certifié CryptoPro, ce qui lui permet d'être utilisé dans les agences gouvernementales et les banques.
Le programme peut également être utilisé pour chiffrer de manière transparente un dossier (Fig. 24), ce qui lui permet d'être utilisé en remplacement d'EFS. Et étant donné que le programme CyberSafe s'est avéré plus fiable et plus rapide (dans certains scénarios) qu'EFS, c'est non seulement possible, mais également nécessaire.

Riz. 24. Cryptage transparent du dossier C:\CS-Crypted

La fonctionnalité du programme CyberSafe Top Secret rappelle la fonctionnalité du programme PGP Desktop - si vous l'avez remarqué, le programme peut également être utilisé pour crypter des messages électroniques, ainsi que pour signer électroniquement des fichiers et vérifier cette signature (section E-mail signature numérique, voir fig. 25).

Riz. 25. Section E-mail signature numérique

Comme le programme PGP Desktop, le programme CyberSafe Top Secret peut créer des disques virtuels chiffrés et chiffrer des partitions entières du disque dur. Il convient de noter que le programme CyberSafe Top Secret ne peut créer que des disques virtuels de taille fixe, contrairement aux programmes Folder Lock et PGP Desktop. Cependant, cet inconvénient est neutralisé par la possibilité de crypter le dossier de manière transparente, et la taille du dossier n'est limitée que par la taille espace libre sur votre disque dur.
Contrairement au programme PGP Desktop, le programme CyberSafe Top Secret ne peut pas chiffrer le disque dur du système ; il se limite uniquement au chiffrement des disques externes et internes non système.
Mais CyberSafe Top Secret a l'option de sauvegarde dans le cloud et, contrairement à Folder Lock, cette option est absolument gratuite, plus précisément, la fonction de sauvegarde dans le cloud peut être configurée pour n'importe quel service - à la fois payant et gratuit ; Vous pouvez en savoir plus sur cette fonctionnalité dans l'article « Chiffrement des sauvegardes sur les services cloud ».
Il convient également de noter deux fonctionnalités importantes du programme : l'authentification à deux facteurs et un système d'applications de confiance. Dans les paramètres du programme, vous pouvez définir soit une authentification par mot de passe, soit une authentification à deux facteurs (Fig. 26).

Riz. 26. Paramètres du programme

Sur l'onglet Autorisé. candidatures Vous pouvez définir des applications approuvées autorisées à travailler avec des fichiers cryptés. Par défaut, toutes les applications sont fiables. Mais pour plus de sécurité, vous pouvez définir des applications autorisées à fonctionner avec des fichiers cryptés (Fig. 27).

Riz. 27. Applications de confiance

Avantages du programme CyberSafe Top Secret :

• Prise en charge des algorithmes de cryptage GOST et du fournisseur de cryptage certifié CryptoPro, qui permet au programme d'être utilisé non seulement par des particuliers et des organisations commerciales, mais également par des agences gouvernementales.
• Prend en charge le cryptage transparent des dossiers, ce qui vous permet d'utiliser le programme en remplacement d'EFS. Considérant que le programme offre un meilleur niveau de performances et de sécurité, un tel remplacement est plus que justifié.
• La possibilité de signer des fichiers avec une signature numérique électronique et la possibilité de vérifier la signature du fichier.
• Serveur de clés intégré qui vous permet de publier des clés et d'accéder à d'autres clés publiées par d'autres employés de l'entreprise.
• La possibilité de créer un disque virtuel chiffré et la possibilité de chiffrer la partition entière.
• Possibilité de créer des archives auto-décryptables.
• La possibilité d'une sauvegarde cloud gratuite, qui fonctionne avec n'importe quel service - payant et gratuit.
• Authentification utilisateur à deux facteurs.
• Un système d'applications de confiance qui permet uniquement à certaines applications d'accéder aux fichiers cryptés.
• L'application CyberSafe prend en charge le jeu d'instructions AES-NI, ce qui a un effet positif sur les performances du programme (ce fait sera démontré plus tard).
• Le pilote du programme CyberSafe permet de travailler en réseau, ce qui permet d'organiser le cryptage d'entreprise.
• Interface du programme en russe. Pour les utilisateurs anglophones, il est possible de passer à l’anglais.

Parlons maintenant des lacunes du programme. Le programme ne présente pas de défauts particuliers, mais comme la tâche a été fixée de comparer honnêtement les programmes, il faudra encore trouver des défauts. Pour être vraiment pointilleux, parfois (très, très rarement) des messages non localisés comme « Le mot de passe est faible » « se glissent » dans le programme. De plus, le programme ne sait pas encore comment crypter le disque système, mais un tel cryptage n'est pas toujours nécessaire et pas pour tout le monde. Mais ce ne sont que de petites choses comparées au gel de PGP Desktop et à son coût (mais vous ne le savez pas encore).

Performance

• La taille du disque virtuel est de 2 048 Mo.
• Système de fichiers - NTFS
• Lettre de lecteur Z :

1. Seq - test d'écriture séquentielle/lecture séquentielle (taille du bloc = 1 024 Ko) ;
2. 512 Ko - test d'écriture/lecture aléatoire (taille du bloc = 512 Ko) ;
3. 4K est identique à 512K, mais la taille du bloc est de 4 Ko ;
4. 4K QD32 - test d'écriture/lecture aléatoire (taille de bloc = 4 Ko, profondeur de file d'attente = 32) pour NCQ&AHCI.

Commençons par un disque dur ordinaire afin d'avoir quelque chose avec quoi comparer. Les performances du lecteur C: (qui est la seule partition de mon ordinateur) seront considérées comme référence. J'ai donc obtenu les résultats suivants (Fig. 28).

Riz. 28. Performances du disque dur

Commençons maintenant à tester le premier programme. Que ce soit Folder Lock. Sur la fig. La figure 29 montre les paramètres du conteneur créé. Attention : j'utilise une taille fixe. Les résultats du programme sont présentés dans la Fig. 30. Comme vous pouvez le constater, il y a une réduction significative des performances par rapport à l'indice de référence. Mais c'est un phénomène normal : après tout, les données sont cryptées et déchiffrées à la volée. La productivité devrait être inférieure, la question est de savoir de combien.

Riz. 29. Paramètres du conteneur Folder Lock

Riz. 30. Résultats du verrouillage des dossiers

Le programme suivant est PGP Desktop. Sur la fig. 31 - paramètres du conteneur créé, et sur la Fig. 32 - résultats. Mes sentiments ont été confirmés - le programme fonctionne vraiment plus lentement, ce qui a été confirmé par le test. Mais lorsque ce programme était en cours d'exécution, non seulement le disque virtuel, mais même l'ensemble du système « ralentissait », ce qui n'était pas observé lorsque l'on travaillait avec d'autres programmes.

Riz. 31. Paramètres du conteneur PGP Desktop

Riz. 32. Résultats du programme PGP Desktop

Il ne reste plus qu'à tester le programme CyberSafe Top Secret. Comme d'habitude, d'abord les paramètres du conteneur (Fig. 33), puis les résultats du programme (Fig. 34).

Riz. 33. Paramètres du conteneur CyberSafe Top Secret

Riz. 34. Résultats du programme CyberSafe Top Secret

Je pense que les commentaires seront inutiles. Selon la productivité, les places étaient réparties comme suit :

1. CyberSécurité Top Secret
2. Verrouillage de dossier
3. Bureau PGP

Prix ​​et conclusions

Tableau 1. Programmes et fonctions

Balises : ajouter des balises

Avec ouvert code source est populaire depuis 10 ans en raison de son indépendance vis-à-vis des principaux fournisseurs. Les créateurs du programme sont publiquement inconnus. Parmi les utilisateurs les plus célèbres du programme figurent Edward Snowden et l'expert en sécurité Bruce Schneier. L'utilitaire vous permet de transformer un lecteur flash ou un disque dur en un stockage crypté sécurisé dans lequel les informations confidentielles sont cachées aux regards indiscrets.

Les mystérieux développeurs de l'utilitaire ont annoncé la clôture du projet mercredi 28 mai, expliquant que l'utilisation de TrueCrypt n'était pas sûre. "AVERTISSEMENT : il n'est pas sûr d'utiliser TrueCrypt car... le programme peut contenir des vulnérabilités non résolues » - ce message est visible sur la page produit du portail SourceForge. Ceci est suivi d'un autre message : "Vous devez migrer toutes les données chiffrées avec TrueCrypt vers des disques chiffrés ou des images de disque virtuel pris en charge sur votre plate-forme."

L'expert indépendant en sécurité Graham Cluley a logiquement commenté la situation actuelle : « Il est temps de trouver une solution alternative pour chiffrer les fichiers et les disques durs. »

Ce n'est pas une blague !

Initialement, certains suggéraient que le site Web du programme avait été piraté par des cybercriminels, mais il devient désormais clair qu'il ne s'agit pas d'un canular. SourceForge propose désormais une version mise à jour de TrueCrypt (qui est signée numériquement par les développeurs), qui vous invite à mettre à niveau vers BitLocker ou un autre outil alternatif lors de l'installation.

Matthew Green, professeur de cryptographie à l'Université John Hopkins, a déclaré : "Il est très improbable qu'un pirate informatique inconnu ait identifié les développeurs de TrueCrypt, volé leur signature numérique et piraté leur site Web."

Que faut-il utiliser maintenant ?

Le site et une alerte contextuelle dans le programme lui-même contiennent des instructions pour transférer des fichiers cryptés TrueCrypt vers le service BitLocker de Microsoft, fourni avec Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise et Windows 8 Pro/Enterprise. TrueCrypt 7.2 vous permet de décrypter des fichiers, mais ne vous permet pas de créer de nouvelles partitions cryptées.

L'alternative la plus évidente au programme est BitLocker, mais il existe d'autres options. Schneier a partagé qu'il reviendrait à utiliser PPGDisk de Symantec. (110 $ par licence utilisateur) utilise la méthode de cryptage PGP bien connue et éprouvée.

Il y en a d'autres alternatives gratuites pour Windows, tel que DiskCryptor. Chercheur sécurité informatique, connu sous le nom de The Grugq, a compilé l’année dernière un ensemble qui est toujours d’actualité aujourd’hui.

Johannes Ulrich, directeur scientifique du SANS Institute of Technology, recommande aux utilisateurs de Mac OS X de prêter attention à FileVault 2, qui est intégré à OS X 10.7 (Lion) et aux systèmes d'exploitation ultérieurs de cette famille. FileVault utilise le cryptage XTS-AES 128 bits, utilisé par la National Security Agency (NSA) des États-Unis. D'après Ulrich Utilisateurs Linux doit adhérer au système intégré Outil Linux Configuration de clé unifiée (LUKS). Si vous utilisez Ubuntu, le programme d'installation de ce système d'exploitation vous permet déjà d'activer le cryptage complet du disque dès le début.

Cependant, les utilisateurs auront besoin d'autres applications pour chiffrer les supports portables utilisés sur des ordinateurs exécutant différents systèmes d'exploitation. Ulrich dit que ce qui me vient à l'esprit dans ce cas est .

La société allemande Steganos propose d'utiliser ancienne version son utilitaire de chiffrement Steganos Safe ( version actuelle sur à l'heure actuelle- 15, mais il est proposé d'utiliser la version 14), qui est distribuée gratuitement.

Vulnérabilités inconnues

Le fait que TrueCrypt puisse présenter des failles de sécurité est une préoccupation majeure, d'autant plus qu'un audit du programme n'a pas révélé de tels problèmes. Les utilisateurs du programme ont collecté 70 000 $ pour l'audit suite à des rumeurs selon lesquelles la National Security Agency des États-Unis pourrait décoder d'importantes quantités de données cryptées. La première étape de l'étude, qui a analysé le chargeur TrueCrypt, a été réalisée le mois dernier. L’audit n’a révélé aucune porte dérobée ni vulnérabilité intentionnelle. La prochaine phase de l'étude, qui testerait les méthodes cryptographiques utilisées, était prévue pour cet été.

Green était l'un des experts impliqués dans l'audit. Il a déclaré qu'il ne disposait d'aucune information préliminaire selon laquelle les développeurs envisageaient de clôturer le projet. Green a déclaré : « La dernière fois que j'ai entendu les développeurs de TrueCrypt, c'était : « Nous attendons avec impatience les résultats de l'essai de phase 2. » Merci pour vos efforts ! A noter que l'audit se poursuivra comme prévu, malgré l'arrêt du projet TrueCrypt.

Peut-être que les créateurs du programme ont décidé de suspendre le développement parce que l'utilitaire est obsolète. Le développement s'est arrêté le 5 mai 2014, soit après la fin officielle du support Systèmes Windows XP. SoundForge mentionne : "Les systèmes Windows 8/7/Vista et versions ultérieures disposent d'outils intégrés pour chiffrer les disques et les images de disques virtuels." Ainsi, le cryptage des données est intégré à de nombreux systèmes d'exploitation et les développeurs ont peut-être trouvé que le programme n'était plus nécessaire.

Pour mettre de l’huile sur le feu, le 19 mai, TrueCrypt a été retiré du système sécurisé Tails (le système préféré de Snowden). La raison n’est pas tout à fait claire, mais le programme ne doit clairement pas être utilisé, a noté Cluley.

Cluley a également écrit : « Qu'il s'agisse d'une arnaque, d'un piratage ou de la fin logique du cycle de vie de TrueCrypt, il est clair que les utilisateurs consciencieux ne se sentiront pas à l'aise de confier leurs données au programme après ce fiasco. »

Vous avez trouvé une faute de frappe ? Mettez en surbrillance et appuyez sur Ctrl + Entrée

Nous vous rappelons que toute tentative de répétition des actions de l’auteur peut entraîner une perte de garantie sur le matériel, voire sa panne. Le matériel est fourni à titre informatif uniquement. Si vous envisagez de reproduire les étapes décrites ci-dessous, nous vous conseillons vivement de lire attentivement l'article jusqu'au bout au moins une fois. Édition 3DNews n'assume aucune responsabilité pour les conséquences possibles.

⇡ Présentation

Presque toutes les solutions mentionnées dans le matériel précédent ont été discutées d'une manière ou d'une autre sur les pages de notre ressource. Cependant, le thème du chiffrement et de la destruction des données a été injustement ignoré. Corrigeons cette omission. Nous vous recommandons de relire l’article précédent avant de faire quoi que ce soit. Assurez-vous de sauvegarder toutes les données avant de les chiffrer ! Et aussi, réfléchissez dix fois aux informations que vous devrez emporter avec vous et s'il est possible d'en refuser au moins une partie. Si tout est prêt, commençons.

⇡ Cryptage utilisant les moyens standards de Windows 7, Mac OS X 10.7 et Ubuntu 12.04

Tous les systèmes d'exploitation de bureau modernes disposent depuis longtemps d'utilitaires intégrés pour crypter des fichiers et des dossiers ou des disques entiers. Avant d'envisager des utilitaires tiers, il est préférable de se tourner vers eux, car ils sont assez simples à configurer et à utiliser, bien qu'ils ne disposent pas de diverses fonctions supplémentaires. Windows 7 Ultimate et Enterprise disposent d'une fonctionnalité de chiffrement de volume appelée BitLocker. Pour protéger le disque système, il nécessite un module TPM, qui n'est pas installé sur tous les PC ou ordinateurs portables, mais il n'est pas requis pour les autres volumes. Windows 7 dispose également d'une fonctionnalité BitLocker To Go pour protéger les lecteurs amovibles, qui peuvent également être utilisés sans module de chiffrement matériel, ce qui est largement suffisant pour la plupart des utilisateurs.

Si vous disposez d'un Version Windows 7, puis pour activer BitLocker (To Go), accédez à l'élément « BitLocker Drive Encryption » dans le Panneau de configuration. À côté du lecteur correspondant, cliquez sur le lien « Activer BitLocker ». Sélectionnez l'option de déverrouillage par mot de passe et enregistrez clé de récupération (c'est juste un fichier texte) dans un endroit sûr, par exemple sur une clé USB que vous n'emportez pas avec vous sur la route. Après un certain temps, et cela dépend de la capacité du disque et de la puissance du PC, le processus de cryptage sera terminé.

Lorsque vous connectez un volume crypté, il vous sera demandé à chaque fois de saisir un mot de passe pour accéder aux données sauf si vous activez le déverrouillage automatique, ce qui n'est pas recommandé. Vous pouvez toujours gérer les paramètres d'un volume chiffré dans la même section « BitLocker Drive Encryption » du Panneau de configuration. Si vous avez soudainement oublié votre mot de passe BitLocker, vous devez alors utiliser une clé de récupération numérique à 48 chiffres pour le déchiffrer - après l'avoir saisi, le volume sera temporairement déverrouillé.

Dans Windows 7, en plus de BitLocker, il existe une autre méthode de chiffrement des dossiers et des fichiers, et non des volumes, appelée Encrypting File System (EFS). Pris en charge dans toutes les éditions du système d'exploitation, mais dans Starter et Home (Premium), vous ne pouvez travailler qu'avec des dossiers et des fichiers déjà cryptés, mais pas les créer. Pour que EFS fonctionne, il est nécessaire d'utiliser NTFS avec l'option de compression des données désactivée. Si votre machine répond à ces exigences, vous pouvez alors commencer le réglage.

Dans le panneau de configuration, accédez aux paramètres du compte et cliquez sur le lien « Gérer les certificats de cryptage des fichiers ». En suivant les invites de l'assistant, nous créons un nouveau certificat auto-signé pour le PC. Assurez-vous de le sauvegarder dans un endroit sûr et de le protéger avec un mot de passe. Cela peut être fait plus tard à l'aide du même assistant, mais il est préférable de ne pas tarder, car le fichier PFX exporté sera nécessaire pour la récupération d'urgence des données. Si vous aviez déjà des données cryptées sur le disque, vous devez alors mettre à jour les clés correspondantes.

EFS est transparent pour l'utilisateur, ce qui signifie que vous pouvez travailler avec des fichiers et des dossiers comme d'habitude. Mais si vous essayez de les ouvrir dans un autre environnement (OS, PC), alors leur accès vous sera refusé. Pour chiffrer un fichier ou un dossier, cliquez simplement sur le bouton « Autre... » dans ses propriétés dans l'onglet « Général » et cochez la case « Chiffrer le contenu pour protéger les données ». Après avoir appliqué les modifications, la couleur par défaut du nom de l'élément crypté passe au vert pour une meilleure identification visuelle des données protégées.

Pour décrypter, décochez simplement la case dans les propriétés du fichier/dossier. Si vous essayez de copier des données protégées vers des emplacements inappropriés - sur un lecteur FAT32, sur un stockage réseau, etc. - un avertissement apparaîtra indiquant que les données seront décryptées et y finiront sous une forme non protégée. Pour rendre le travail avec EFS plus pratique, vous pouvez ajouter les éléments appropriés au menu contextuel de l'Explorateur. Tout ce que vous avez à faire est de créer un paramètre DWORD Menu contextuel de chiffrement dans la branche du registre HKEY_LOCALE_MACHINE\\LOGICIEL\\Microsoft\\Fenêtres\\Version actuelle\\Explorateur\\Avancé\\ et définissez sa valeur sur 1.

Pour décrypter les données sur un lecteur si la machine sur laquelle elles ont été chiffrées n'est pas disponible, vous avez besoin d'une copie de sauvegarde du certificat et d'un mot de passe pour celui-ci. Pour importer, double-cliquez simplement sur le fichier pfx et suivez les instructions de l'assistant. Si vous souhaitez exporter plus tard ce certificat pour travailler avec des données sur une autre machine, cochez cette option.

Vous devez enregistrer le certificat importé dans votre stockage personnel. Une fois le processus terminé, l'accès aux fichiers et dossiers cryptés sera ouvert. Gérer certificats personnels Vous pouvez utiliser le composant logiciel enfichable MMC - Win+R, certmgr.msc, Enter.

Une autre option extrêmement utile, à savoir l'écrasement de l'espace disque libre, n'est disponible qu'en utilisant ligne de commande. Clé /W - effacement de l'espace, /E - cryptage, /D - déchiffrement. Les descriptions d'autres paramètres sont disponibles dans l'aide intégrée - touche /?.

Cipher /W X :\\chemin\\vers\\n'importe quel\\dossier\\sur\\le disque en cours de nettoyage

MacOSX

Examinons brièvement les possibilités de protection des données sur les ordinateurs Apple. Mac OS X dispose depuis longtemps du système de cryptage FileVault intégré et, depuis la version 10.7, il vous permet de protéger non seulement votre répertoire personnel, mais également l'intégralité du disque à la fois. Vous pouvez l'activer dans les paramètres système dans la section « Protection et sécurité ». Il sera également utile d’y vérifier l’option de protection. mémoire virtuelle. Lorsque vous activez le cryptage, vous devrez définir un mot de passe principal, s'il n'est pas déjà défini, et également enregistrer la clé de récupération. Pour une configuration plus approfondie, suivez les instructions de l'assistant. Cependant, plus méthode universelle est l’utilisation d’images disque cryptées.

DANS utilitaire de disque sélectionnez « Nouvelle image » et dans la boîte de dialogue qui apparaît, spécifiez le nom du fichier et son emplacement, spécifiez le nom du disque et sélectionnez la taille. Journaled Mac OS Extended convient tout à fait comme système de fichiers. Il est préférable de choisir le cryptage AES-256. Dans la liste "Partitions", laissez la sélection " Disque dur", et spécifiez le package d'images en croissance comme format. Il ne reste plus qu'à trouver ou générer un mot de passe d'accès, mais ne pas le mémoriser dans le trousseau pour plus de sécurité, mais le saisir manuellement à chaque fois. Lorsque vous double-cliquez sur l'image, elle est montée et demande un mot de passe. Après avoir enregistré des données importantes dessus, n'oubliez pas de démonter l'image.

Ubuntu propose de chiffrer le répertoire personnel de l'utilisateur lors de la phase d'installation. Dans le même temps, la partition de swap est également cryptée, ce qui rend impossible l'utilisation du mode veille. Si vous avez refusé le cryptage lors de l'installation, vous devrez tout configurer manuellement. Dans le même temps, vous pouvez refuser de protéger la partition de swap, ce qui réduit naturellement la sécurité. Une option plus pratique et sécurisée, mais également plus difficile à configurer, consiste à chiffrer l'intégralité du disque en une seule fois. Si vous souhaitez faire cela, utilisez ces instructions. Nous envisagerons une option simple avec protection de la maison et, si vous le souhaitez, échangeons. Tout d'abord, installons le logiciel nécessaire à l'aide du terminal :

Sudo apt-get install ecryptfs-utils cryptsetup

Il y a une mise en garde ici : afin de chiffrer le répertoire personnel d'un utilisateur, les fichiers de ce répertoire ne doivent être ouverts dans aucun programme, ce qui signifie que l'utilisateur doit se déconnecter du système. Pour ce faire, vous devrez créer un autre compte temporaire avec des droits d'administrateur. Après l'avoir créé, déconnectez-vous du système et connectez-vous avec un nouveau compte.

Au nom du deuxième utilisateur, exécutez la commande suivante, dans laquelle nom d'utilisateur remplacez-le par le nom de l'utilisateur dont nous allons chiffrer le répertoire personnel. La conversion des fichiers prendra un certain temps, alors soyez patient.

Sudo ecryptfs-migrate-home -u nom d'utilisateur

Une fois l'opération terminée, déconnectez-vous du système et reconnectez-vous sous l'identifiant principal. compte. Vous pouvez maintenant supprimer le compte temporaire et tous ses fichiers. Quelques minutes après la connexion, un avertissement apparaîtra indiquant que vous devez enregistrer le mot de passe généré aléatoirement pour accéder aux fichiers nouvellement cryptés dans un endroit sûr en cas de récupération d'urgence. N'oubliez pas de le faire.

Finalement, il ne reste plus qu’à supprimer « l’ancien » répertoire personnel / domicile/nom d'utilisateur.XXXXXXXXX, Où XXXXXXXXX- un ensemble aléatoire de lettres.

Sudo rm -rf /home/username.XXXXXXXX

Pour chiffrer la partition de swap, exécutez simplement une seule commande, puis assurez-vous que / etc/fstab L'entrée sur l'ancienne partition de swap est commentée et la nouvelle est indiquée /dev/mapper/cryptswap1.

Sudo ecryptfs-setup-swap

⇡ Cryptage à l'aide de TrueCrypt

TrueCrypt est une application ouverte et multiplateforme permettant de créer et d'utiliser des volumes protégés avec un cryptage à la volée. En pratique, cela signifie que, premièrement, sous forme décryptée, les données ne sont disponibles que sous forme décryptée. BÉLIER. Deuxièmement, travailler avec des conteneurs cryptographiques est possible dans n'importe quel système d'exploitation. Et troisièmement, avec un degré de probabilité assez élevé, nous pouvons parler de l'absence de «signets». De plus, TrueCrypt prend en charge les instructions AES-NI pour accélérer le (dé)cryptage. En fait, les capacités du programme sont beaucoup plus larges et elles sont toutes bien décrites dans le manuel, disponible avec le package de localisation (décompressez le contenu de l'archive dans un répertoire avec programme installé). Nous considérerons donc cas le plus simple création d'un conteneur crypto dans l'environnement Windows.

Ainsi, après l'installation, lancez l'utilitaire, cliquez sur le bouton « Créer un volume » et suivez les conseils de l'assistant, car les paramètres par défaut sont tout à fait sûrs. Il vous suffit de définir manuellement le volume du volume et son mot de passe. Après avoir monté le conteneur, il apparaîtra sur le système comme un volume physique normal, ce qui signifie qu'il peut être formaté, défragmenté, etc.

La particularité des conteneurs TrueCrypt est que de l'extérieur, ils ressemblent à des ensembles de bits aléatoires, et il est théoriquement impossible de reconnaître qu'il s'agit d'un conteneur dans un fichier. Assurez-vous de suivre les conseils pour créer un mot de passe fort et enregistrez-le immédiatement dans un endroit sûr. Une protection supplémentaire consiste à utiliser des fichiers clés de tout type, pour lesquels vous devrez également effectuer une copie de sauvegarde.

Il ne reste plus qu'à sélectionner le format FS (l'ensemble dépend du système d'exploitation), déplacer la souris à l'intérieur de la fenêtre et marquer le volume. Ceci termine la création du conteneur.

Pour monter un volume, vous devez cliquer sur le bouton « Fichier… », sélectionner un conteneur et une lettre de lecteur, cliquer sur « Monter », saisir les mots de passe et, si nécessaire, sélectionner les fichiers clés, ainsi que spécifier d'autres paramètres. Vous pouvez désormais travailler avec les données de la même manière que s'il s'agissait d'un travail régulier. lecteur logique. Pour désactiver le conteneur cryptographique, cliquez simplement sur le bouton « Démonter ». Dans les paramètres du programme, vous pouvez également activer le démontage automatique par minuterie/déconnexion/économiseur d'écran de lancement, effacement des caches et autres fonctions utiles.

Il s'agit d'une option assez simple et fiable pour stocker des informations importantes. Cependant, si vous avez besoin d'une plus grande sécurité, TrueCrypt vous permet de créer des volumes cachés, de chiffrer des disques et des partitions, d'ajouter section cachée avec un autre système d'exploitation, configurez un « pipeline » de plusieurs algorithmes de chiffrement, protégez un lecteur portable, utilisez des jetons et des cartes à puce pour l'autorisation, et bien plus encore. Il est fortement recommandé de lire le chapitre sur les exigences et précautions de sécurité dans la documentation.

⇡ Suppression en toute sécurité

Le seul moyen fiable de garantir la suppression des données est de détruire physiquement le lecteur sur lequel elles se trouvent. A cet effet, des procédures spéciales ont même été développées, parfois d'un caractère sadique subtilement perverti. Et le « blâme » en revient à diverses technologies utilisées dans les entraînements modernes - magnétisation résiduelle, opérations TRIM, répartition uniforme de la charge, journalisation, etc. En gros, ils se résument au fait que les données sont souvent marquées comme supprimées ou prêtes à être supprimées au lieu d'être réellement effacées. Par conséquent, des méthodes ont été développées pour supprimer en toute sécurité les informations résiduelles, qui ne sont pas aussi radicales que la destruction complète du support.

La fonctionnalité Secure Disk Erase est présente dans de nombreux éditeurs de partitions. Il existe de nombreux utilitaires similaires pour Windows, mais nous nous concentrerons sur le classique SDelete. Vous pouvez travailler avec lui en mode ligne de commande. La syntaxe est assez simple. Le commutateur -p spécifie le nombre de passes de réécriture, avec le commutateur -s (ou -r), le programme détruit de manière récursive tout le contenu du dossier et le passage de la touche -c (ou -z) efface (remplit avec des zéros) gratuitement espace sur le volume spécifié. A la fin, le chemin d'accès au dossier ou au fichier est indiqué. Par exemple, pour effacer notre volume TrueCrypt et nettoyer le disque, nous exécuterons deux commandes :

C:\\sdelete.exe -p 26 C:\\exampletc C:\\sdelete.exe -c C:\\

La plupart des distributions Linux disposent d'un utilitaire shred qui remplit les mêmes fonctions que SDelete. Il possède également plusieurs paramètres, mais il nous suffit d’en connaître trois. Le commutateur -n définit le nombre de passes de réécriture, -u supprime le fichier et -z remplit l'espace utilisé avec des zéros à la fin. Exemple de travail :

Sudo shred -u -z -n 26 /home/dest/exampletc2

Le programme shred présente un certain nombre de limitations en termes de suppression sécurisée, dont l'utilisateur est honnêtement averti lorsqu'il est exécuté avec le commutateur --help. Un ensemble d'utilitaires plus efficaces est inclus dans le package Secure-Delete. Installons-le et examinons quelques programmes intégrés. L'utilitaire srm est similaire à shred, mais prend légèrement moins de paramètres. Nous nous intéressons aux commutateurs -r pour supprimer récursivement le répertoire spécifié et à l'omniprésent -z pour remplir l'espace avec des zéros. Le package contient également un utilitaire permettant d'effacer l'espace libre sur le disque avec le dossier spécifié.

Sudo apt-get install secure-delete sudo srm -z /home/dest/exampletc3 sudo -z sfill /home/dest

Pour Mac OS X, il existe le même CCleaner avec la fonction de libérer de l'espace libre, ainsi que l'utilitaire srm, qui fonctionne de la même manière que sous Linux. Nous vous recommandons d'activer Secure Empty Trash dans les paramètres de votre Finder. Il est également disponible dans le menu contextuel de la corbeille lorsque la touche CMD est enfoncée.

Pour les disques SSD et les lecteurs flash, il est préférable d'utiliser un formatage de bas niveau (voir) ou la procédure Secure Erase, ce qui peut vous faire perdre la garantie du SDD. Pour ce dernier cas, une autre distribution Live pour travailler avec des partitions de disque convient - Parted Magic. Démarrez à partir de celui-ci et sélectionnez Outils système → Effacer le disque dans le menu principal. Pour disques SSD sélectionnez le dernier élément Secure Erase et, pour les disques durs ordinaires, utilisez la méthode nwipe, qui est essentiellement le même DBAN.

⇡Conclusion

La combinaison du cryptage des données et de la suppression sécurisée ultérieure que nous avons envisagée est tout à fait suffisante pour protéger de manière fiable informations confidentielles. Bien entendu, cela ne garantit en aucun cas une protection à 100 %, mais pour les utilisateurs ordinaires, les risques de fuite diminuent fortement. Et les services compétents prendront en charge les « mortels difficiles ». Nous vous rappelons encore une fois l'importance de créer copies de sauvegarde en général et avant le cryptage en particulier, ainsi que sur la minimisation de la quantité de données transférées avec vous vers le camp d'un ennemi potentiel et la nécessité d'utiliser mots de passe forts avec clés accompagnées de leur réservation. Eh bien, soyez toujours prudent. Bonne chance!