Czy istnieje sposób, aby mój dysk twardy był niedostępny dla wszystkich oprócz mnie?

63

Pozwól, że najpierw przedstawię historię tworzenia kopii zapasowych: technik komputerowy wezwał mnie do oddania mu laptopa i poproszenia go o wszelkie informacje, które chciałbym „ukryć” na dysku twardym. Twierdził, że będzie w stanie odzyskać wszystko, bez względu na to, co zrobię, aby to ukryć.

Ponieważ nie doceniam absolutnych stwierdzeń takich jak: „i nic nie możesz na to poradzić”, zacząłem o tym myśleć w mojej głowie. Uświadomiłem sobie, że bardzo bezpieczny system operacyjny nie chciałby go wyciąć, ponieważ nie musi uruchamiać się z tego konkretnego dysku twardego, aby znaleźć rzeczy na moim dysku twardym.

Ogólne pytanie tutaj:

Czy istnieje sposób, aby całkowicie zabezpieczyć wszystkie dane na dysku twardym? (Nie potrzebuję szczegółowego wyjaśnienia, jak to zrobić, wystarczy, że wskażesz mi kierunek; sam mogę przeczytać więcej na ten temat)

Podejrzewam, że może być mi potrzebne:

  • System operacyjny, który jest bardzo bezpieczny i prawdopodobnie szyfruje wszystkie przechowywane dane (nie mam pojęcia, czy coś takiego w ogóle istnieje).

  • Jeśli powyższe nie istnieje, czy istnieje sposób ręcznego zaszyfrowania danych na moim dysku twardym i nadal można uruchomić z tego dysku twardego?

Ogólnie rzecz biorąc, chcę, aby dysk twardy był jak najmniej dostępny dla każdego, kto nie jest mną (= zna określone hasło / klucz), więc wszelkie rozwiązania są mile widziane.

hard-drive privacy-protection F1234k
źródło
35
Zaszyfruj go i potrzebujesz silnego hasła lub klucza szyfrującego, który masz na pamięci USB do odszyfrowania. Właśnie przegrał grę. Prawdopodobnie możesz po prostu utworzyć plik RAR chroniony hasłem z silnym hasłem. Przykro mi to mówić, ale z tego miejsca wyczuwam jego naiwne podejście do nastolatków.
Daniel Andersson
6
To jest trik! Jeśli warto go nazwać technikiem komputerowym, to prawdopodobnie po prostu chce przygotować figle
14
pl.wikipedia.org/wiki/Rubber_hose_cryptanalysis oraz xkcd.com/538
LawrenceC
3
wszczep go w swoje ciało i niech wibruje niewygodnie, gdy jest w użyciu ...
maniak zapadkowy
3
Daj mu laptopa z całkowicie losowymi danymi na dysku twardym i rzuć mu wyzwanie, aby znalazł ukrytą w nim tajną wiadomość. Jeśli możesz wyprowadzić wiadomość z tego strumienia bitów i jakiegoś tajnego klucza, jest to technicznie szyfrowane (wykonalne za pomocą OTP, jak również dowolnego szyfru strumieniowego) i ma tę zaletę, że jest nieco odporne na wezwanie do sądu, ponieważ możesz zachować fałszywy klucz, który odszyfruje do czegoś nieszkodliwego.
Thomas

Odpowiedzi:

66

Wystarczy zaszyfrować najbardziej wrażliwe pliki. Plik ZIP zaszyfrowany 256-bitowym AES i dobrym długim hasłem jest prawie niemożliwe do uzyskania bez hasła. (Unikaj używania starszego szyfrowania ZIP znanego jako szyfr strumieniowy PKZIP / ZipCrypto - wiadomo, że jest słaby.)

Możliwe jest również zaszyfrowanie całej partycji, ukrywając w niej wszystko. Truecrypt jest rodzajem de facto standardowego programu do szyfrowania partycji / obrazów w domu (i niektórych firmach). Prawdopodobnie najlepszą rzeczą w Truecrypt w porównaniu z narzędziami wbudowanymi w system operacyjny jest przenośność : istnieje wersja dla Windows, Mac OS X i Linux, która stanowi zdecydowaną większość systemów operacyjnych dla konsumentów.

Jeśli chcesz wszystko ukryć , możesz zaszyfrować każdą partycję w systemie, w tym tę, z której uruchamiasz system. Nie można odczytać danych z zaszyfrowanego dysku bez znajomości hasła / klucza. Rzecz w tym, że system operacyjny Windows nie zawsze obsługuje uruchamianie z zaszyfrowanego dysku twardego. * Truecrypt ma coś, co nazywa szyfrowaniem systemu . Całkiem dobrze to podsumowali:

Szyfrowanie systemu obejmuje uwierzytelnianie przed uruchomieniem, co oznacza, że ​​każdy, kto chce uzyskać dostęp i korzystać z zaszyfrowanego systemu, czytać i zapisywać pliki przechowywane na dysku systemowym itp., Będzie musiał wprowadzić poprawne hasło za każdym razem przed uruchomieniem systemu Windows (uruchamia się ). Uwierzytelnianie przed uruchomieniem jest obsługiwane przez moduł ładujący TrueCrypt, który znajduje się w pierwszej ścieżce dysku rozruchowego i na dysku ratunkowym TrueCrypt.

Program ładujący Truecrypt załaduje się więc przed systemem operacyjnym i poprosi o podanie hasła. Po wpisaniu poprawnego hasła załaduje on bootloader systemu operacyjnego. Dysk twardy jest cały czas szyfrowany, więc nawet rozruchowa płyta CD nie będzie w stanie odczytać z niego żadnych użytecznych danych.

Nie jest również trudne do zaszyfrowania / odszyfrowania istniejącego systemu:

Pamiętaj, że TrueCrypt może szyfrować istniejącą niezaszyfrowaną partycję / dysk systemowy w miejscu, gdy system operacyjny jest uruchomiony (podczas gdy system jest szyfrowany, możesz normalnie korzystać z komputera bez żadnych ograniczeń). Podobnie partycja / dysk systemowy zaszyfrowany TrueCrypt może zostać odszyfrowany w miejscu podczas działania systemu operacyjnego. W każdej chwili możesz przerwać proces szyfrowania lub deszyfrowania, pozostawić partycję / dysk częściowo niezaszyfrowaną, ponownie uruchomić lub zamknąć komputer, a następnie wznowić proces, który będzie kontynuowany od momentu zatrzymania.

* Różne inne systemy operacyjne obsługują szyfrowanie dysków systemowych. Na przykład jądro Linuksa 2.6 i nowsze mają dm-crypt , a Mac OS X 10.7 i nowsze mają FileVault 2 . Windows ma taką obsługę BitLocker , ale tylko w wersjach Enterprise / Business / Server i tylko w Vista i nowszych. Jak wspomniano powyżej, Truecrypt jest bardziej przenośny, ale często brakuje integracji niezbędnej do szyfrowania dysków systemowych, z wyjątkiem Windows.

Kok
źródło
4
Używam prawdziwej krypty i jestem z niej bardzo zadowolony
Rippo,
4
Jedno zastrzeżenie podczas szyfrowania istniejącego niezaszyfrowanego dysku: jeśli jest on w stanie stałym, może nie być ponownie zapisywany w tych samych sektorach, ponieważ zmienia je, aby wydłużyć żywotność dysku. Dane na dysku SSD są więc bezpieczne tylko wtedy, gdy zostały zaszyfrowane od samego początku.
Nathan Long,
13
„Rzecz w tym, że większość systemów operacyjnych natywnie nie obsługuje uruchamiania z zaszyfrowanego dysku twardego”. - to nawet nie jest prawdą. Windows ma BitLocker , Mac ma FileVault 2 .
josh3736
9
@Josh: Są to systemy operacyjne z największą liczbą użytkowników, a nie z większością systemów operacyjnych.
Ben Voigt,
6
@BenVoigt, to trochę absurdalny argument. „Jasne, systemy operacyjne używane na 3/4 komputerów stacjonarnych obsługują FDE, ale BeOS nie!”
josh3736
51

Jedna fraza - pełne szyfrowanie dysku, najlepiej z ładnym, długim kluczem bez słownika. Możesz także spojrzeć na systemy, które robią to z zewnętrznym plikiem klucza. Zasadniczo, ponieważ cały system inny niż bootloader jest zaszyfrowany, brakuje bezpośredniego dostępu do pamięci - to znaczy użyj firewire lub innego urządzenia, które ma DMA, aby uzyskać zawartość pamięci lub użyj ataku zimnego rozruchu, aby uzyskać informacje. Dwupunktowe jest proste - upewnij się, że system jest wyłączony, a bateria wyjęta tuż przed przekazaniem systemu. Jeśli to tylko dysk twardy, oba te ataki są nieprawdopodobne

Prawdopodobnie po prostu dałbym truecrypt, użyłem BARDZO długiego, losowego hasła (długość sprawia, że ​​brutalne zmuszanie jest trudniejsze, a losowość zapobiega atakowi słownikowemu) i pozwalam mu jechać z nim do miasta. Alternatywnie, niektóre wersje systemu Windows mają funkcję BitLocker - która jest silną opcją FDE wbudowaną w Windows. Podobnie istnieją rozwiązania dla systemu Linux, takie jak luks i dmcrypt.

Lub napełnij dysk losowymi danymi ... i zobacz, ile czasu minie, zanim się zorientuje;)

Journeyman Geek
źródło
70
+1 Lub zapełnij dysk losowymi danymi. o tak
Tog
1
Ach, losowe dane: D Tak jak ten bit w Cryptonomicon (nie zawiera bardziej szczegółowych odniesień, bo
zepsułoby
14

Nie daj się nabrać na takie sztuczki, jak: „podaj mi hasło, abym mógł sprawdzić wyniki”.

Na początku na konferencji bezpieczeństwa poprosiłem o hasło. W połowie, a prezenter powiedział, że największym zagrożeniem dla bezpieczeństwa jest TY, ponieważ większość osób podała hasło za opłatą.

(I tak, po prostu zaszyfruj odpowiednie dane.)

Nim Chimpsky
źródło
12

Możesz „ukryć” plik na obrazie? To może go odrzucić - a przynajmniej zająć mu trochę czasu, aby się zorientować. Możliwie.

http://lifehacker.com/282119/hide-files-inside-of-jpeg-images

bobknows
źródło
2
Lub nawet wewnątrz plików binarnych programu crazyboy.com/hydan
Dan D.
18
Jest to inaczej znane jako steganografia.
Chad Harrison
4
Czy bezpieczeństwo przez zaciemnienie?
vsz
9

Zgadzam się z drugą odpowiedzią TrueCrypt. Mam jednak jeszcze jedną ważną kwestię do dodania - wiarygodną funkcję zaprzeczania w programie TrueCrypt. Oznacza to, że TrueCrypt nie pozostawia żadnych identyfikowalnych podpisów na dyskach / plikach, które szyfruje. Nikt nie może więc udowodnić, czy zestaw bitów na dysku to bity losowe czy zaszyfrowane dane. Jest to tak ważne, że miało to wpływ na niedawną sprawę sądową.

slowpoison
źródło
Byłbym zainteresowany dowiedzieć się, co to była sprawa sądowa.
Chad Harrison
3
Oto link ca11.uscourts.gov/opinions/ops/201112268.pdf Gist: Użytkownicy TrueCrypt nie mogą być zmuszani do ujawnienia swoich haseł. Obowiązuje piąta poprawka.
slowpoison
7

Wiele opublikowanych odpowiedzi to dobre odpowiedzi.

Jako dodatek możesz przyjrzeć się asynchronicznyasymetryczne narzędzie szyfrujące, takie jak GnuPG . Jest to nieco bardziej skomplikowane niż szyfrowanie w pliku ZIP, ponieważ masz do czynienia z kluczami publicznymi i prywatnymi . Wydaje mi się, że słyszałem o pewnym uniwersytecie w Europie, który łamie tego rodzaju szyfrowanie w bardzo szczególnych okolicznościach. Nadal będziesz chciał umieścić hasła i klucze na dysku USB lub w innym miejscu niż dysk, który podasz pretendentowi.

Dodatkowo, kiedyś profesor powiedział mi, że jeśli chcesz coś absolutnie ukrytego, ponownie zaszyfruj zaszyfrowany plik za pomocą nowego zestawu kluczy. W ten sposób, jeśli szyfrowanie pierwszego poziomu zostanie w jakiś sposób rozszyfrowane, atakujący nie będzie o tym wiedział, ponieważ wszystko nadal będzie wyglądało na zaszyfrowane.

Mam nadzieję że to pomoże.

Chad Harrison
źródło
4
„Kiedyś profesor powiedział mi, że jeśli chcesz czegoś absolutnie ukrytego, ponownie zaszyfruj zaszyfrowany plik za pomocą nowego zestawu kluczy”. jest zły dla większości kryptosystemów. Rozważ ROTn. Szyfrowanie ROTn (ROTm (x)) = ROT {m + n} (X). Atakujący nawet nie zda sobie sprawy, że zrobiłeś ROTn (ROTm (x)), ale zamiast tego bezpośrednio spróbuj dowiedzieć się, czy m + n. Nie ma żadnych dodatkowych zabezpieczeń.
emory
1
@emory Ciekawe do odnotowania. Zgadnij, profesorowie też są ludźmi. Myślę, że rozumiem o co ci chodzi. Zajmę się tym.
Chad Harrison
GnuPG nie jest asynchroniczny, jest asymetryczny (w trybie domyślnym). Obsługuje także tradycyjne szyfrowanie (symetryczne, z tym samym kluczem).
CVn
3
Wyobrażam sobie również, że profesor odnosił się do algorytmów szyfrowania nieco bardziej wyrafinowanych niż proste szyfry zastępcze. Jeśli weźmiesz tekst jawny P, zaszyfruj go najpierw (powiedzmy) AES kluczem K1, a następnie zaszyfruj wynikowy tekst zaszyfrowany AES i innym kluczem K2 ( C = AES( AES(P,K1), K2 ), K1 ≠ K2) powstały tekst zaszyfrowany nie będzie przypominał, powiedzmy, wyjście AES (AES (P, K2), K1) (odwrócenie kolejności klawiszy). Ta właściwość nie dotyczy prostych szyfrów podstawiania, takich jak ROTn.
CVn
@ MichaelKjörling Dzięki za korektę na asymetryczny. Wiedziałem, że to… coś i czasami nie mogę sobie przypomnieć. ;)
Chad Harrison
6

Ciekawe, że słowo ukryć musi być cytowane przez wiele osób, ponieważ zdają się wiedzieć, że w ich sugestiach nic nie jest ukryte. Zastanawiam się, czy ten technik komputerowy trzymał ręce w powietrzu i wykonywał ruchy dłoni związane ze znakami cudzysłowu, kiedy powiedział również „ukryć się”.

Wątpię. Chociaż szyfrowanie rzeczy może uniemożliwić dostęp, zaszyfrowanie pliku zip siedzącego na pulpicie o nazwie „Nothing_to_see_here.zip” tak naprawdę niczego nie ukrywa.

Niektóre laptopy są wyposażone w funkcję ochrony dysku hasłem, gdzie po włączeniu go przez bios masz dwie opcje ... wprowadź hasło lub sformatuj dysk. Dell jest jedną z tych firm, które posiadają tę funkcję. Dobrze. Możesz również zadzwonić do firmy Dell po trzykrotnym wprowadzeniu nieprawidłowego hasła, możesz też podać kod wyzwania wyświetlany na ekranie, a on dostanie kod odpowiedzi umożliwiający obejście hasła ... ale pobierają również opłatę za tę usługę jeśli Twoja gwarancja wygasła. Znowu ... to niczego nie ukrywa.

Istnieje ogromna różnica między zezwalaniem komuś na dostęp do pokoju, aby mógł on szukać czegoś ukrytego (ukrywanie), a po prostu blokowaniem dostępu do niego (szyfrowanie).

Ponieważ nie doceniam stwierdzeń bezwzględnych, takich jak: „i nic nie możesz na to poradzić”

Nie. Nie podobało ci się to, że ten technik powiedział ci, że wiedział coś, czego ty nie wiedziałeś i / lub że był w czymś lepszy od ciebie. Właśnie dlatego od razu próbowałeś wymyślić, jak ulepszyć tego technika, zamiast uświadomić sobie, że to, co mówił, nic nie znaczy! Przynajmniej nie zaszkodziłoby ci, gdybyś przyznał się do tego, a wtedy może rzeczywiście mógłby ZNALEŹĆ każdy plik, który miałeś UKRYTY. Oczywiście musiałbyś poprosić go, aby zdefiniował, co oznacza ukrywanie w tym kontekście ... ponieważ (ponownie) wydaje się, że „ukryty” najwyraźniej oznacza różne rzeczy dla różnych ludzi. Niezależnie od tego, twój problem z jego wyzwaniem nie ma nic wspólnego z jego przechwalaniem się, a wszystko z twoją niezdolnością zaakceptowania możliwości, że może być lepszy od ciebie. Dlatego nie mogłeś zostawić wyzwania w spokoju. Dlatego nie doceniasz takich bezwzględnych stwierdzeń. Ponieważ prawda jest taka, że ​​są chwile, kiedy coś się wydarzy w twoim życiu i NIE BĘDZIE NIC MOŻNA ZROBIĆ.

Czy chcesz, aby nie można było znaleźć plików, do których regularnie uzyskujesz dostęp? Trzymaj je z dala od komputera. Co ty na to? Przechowuj je na dysku flash. Następnie możesz przechowywać pliki przez cały czas i nikt nie może uzyskać dostępu do Twojego laptopa, aby uzyskać je, gdy nie jesteś w pobliżu laptopa. Kto stworzył głupią zasadę, że wszystkie twoje pliki muszą pozostać na twoim laptopie przez cały czas? Nie mówię o dziecięcych przechwałkach techników i jakiejkolwiek grze, w którą to zamieniłeś. Gdy zaszyfrujesz plik, ukryjesz go w obrazie lub usuniesz z komputera na dysk flash, gra się skończy. Dlaczego? Ponieważ nie zdefiniowano parametrów tego wyzwania ... i zgaduję, jakie są.

  • Plik musi być gdzieś dostępny.
  • Musisz wcielić się w rolę ignoranta, który myśli, że po prostu umieszczenie pliku w jakimś katalogu poza utartą ścieżką jest zakresem możliwości ukrywania się.

Po odstąpieniu od jednego z nich gra się kończy i „nie zrozumiałeś, co miał na myśli”.

Bon Gart
źródło
4
Ale jeśli zgubisz dysk flash lub gdzieś go zostawisz? Och, kochanie ... Nawiasem mówiąc, ukrył informacje , a nie pliki ... subtelną różnicę, ponieważ zaszyfrowane informacje są zasadniczo ukryte. I teoretycznie możliwe jest złamanie dowolnego szyfrowania.
Bob
1
Ktoś mówi, że mogę cię znaleźć gdziekolwiek się ukryjesz, jeśli zagramy w Hide and Seek ... i to cię tak wkurza, że ​​musisz zmienić grę na TAG, gdzie trzeba cię dotknąć, aby wygrać. Co się stanie, jeśli Twój dysk twardy ulegnie awarii ... Ojej. Zaszyfrowane informacje są zamknięte, a nie ukryte. Jeśli potrzebujesz klucza, jest on zablokowany. Jeśli znalazł zaszyfrowany plik, czy to znaczy, że znalazł informacje? Czy kiedykolwiek powiedział, że musi ZOBACZYĆ informacje, czy po prostu ZNAJDŹ?
Bon Gart,
3
Informacja! = Plik. Informacje można uzyskać, czytając zawartość pliku. Posiadanie pliku, ale nie można go odczytać, oznacza, że ​​informacje w nim są nadal ukryte.
Yamikuronue
Rozumiem, że ty i Bob czujecie, że „informacja” nie równa się „plikowi”. Powiedz mi. Co dokładnie technik komputerowy w tym pytaniu uważał za informację? Czy chciał powiedzieć „plik”? Czy on zrównuje te dwa? Nie potrzebujesz super szyfrowania. Możesz po prostu podzielić te „informacje” na małe fragmenty, przekonwertować je na heksadecymalne i utworzyć katalogi w C: \ Windows o tych fragmentach heksadecymalnych. Jeśli utworzysz 32 znaki, będą one wyglądać jak zwykłe katalogi. Tylko ty wiesz, że jeśli przetłumaczysz te nazwiska, masz swoje informacje.
Bon Gart,
Ale ponieważ TYTUŁ pytania brzmi: „Czy istnieje sposób, aby mój dysk twardy był niedostępny dla wszystkich oprócz mnie?” następnie na potrzeby tej dyskusji informacje DOKUMENT RÓWNY .
Bon Gart,
3

Używam dysków wirtualnych TrueCrypt, które są zabezpieczone zarówno bardzo długimi hasłami, jak i plikami kluczy przechowywanymi na usb. Inicjuję również limity czasu na otwartych dyskach wirtualnych, gdy aktywność jest nieobecna przez określony czas. Używam tego rodzaju zabezpieczeń od lat. Przetwarzam bardzo duże bazy danych z tymi wirtualnymi dyskami bez żadnych problemów z wydajnością.

Piotr
źródło
Czy używasz procesora ze sprzętową obsługą AES, takiego jak Intel Sandy Bridge?
drxzcl
2

Ubuntu zapewnia szyfrowanie dysku domowego, które jest dość bezpieczne. Musiałem walczyć o odzyskanie własnych danych, mimo że znałem swój własny klucz. Informacje na temat szyfrowania dysku domowego można znaleźć tutaj :

Osama Javed
źródło
2

Szyfrowanie jest bezużyteczne w przypadku wezwań i / lub tortur. Wszystko, co musi zrobić technika komputerowa, to być może anonimowo twierdzić, że plik, który Nothing_to_see_here.zip jest pełen dziecięcego porno. FBI zajmie to ze swojego sklepu i zażąda hasła. Powie im, że to twój komputer.

Będzie pewne manewry prawne. Skończysz w więzieniu lub pozostaniesz wolny. Tak czy inaczej, informatyka nauczyła się czegoś ciekawego o twoim tajnym pliku.

Alternatywnie, może zarzucić jakiś problem z laptopem, który wymaga naprawy za $ x. Twoja autoryzacja lub brak autoryzacji naprawy powie ci coś o wartości ekonomicznej Nothing_to_see_here.zip.

emory
źródło
2
Wygląda na to, że piąta poprawka w USA może uchronić cię przed nieprzekazywaniem hasła outsidethebeltway.com/... ta konkretnie wspomina o TrueCrypt privacycast.com/...
Matthew Lock
2

Następnie podejmij wyzwanie, ktoś już ci powiedział, utwórz plik, umieść plik, który chcesz „ukryć” w pliku RAR lub 7-Zip , z pełnym szyfrowaniem, aby nie mógł sprawdzić, które pliki znajdują się w skompresowanym pliku. Użyj silnego hasła z cyframi, alfabetem i symbolami. Następnie usuń oryginalny plik za pomocą jakiegoś narzędzia, takiego jak Bezpieczne usuwanie (lub podobne narzędzie).

Zrobione, teraz nie może zrobić prawie nic.

MrShoy
źródło
2

Jeśli chcesz najwyższego poziomu bezpieczeństwa, coś, co nawet rządy nie mogą prawnie zmusić do rozwiązania problemu, spójrz na TrueCrypt . Dzięki TrueCrypt możesz faktycznie zamienić puste miejsce w zamontowaną partycję. Jako taki, jeśli system zostanie poddany inspekcji, powinien wyglądać jak stare nagłówki danych, coś, co można zobaczyć na każdym dysku twardym, który kiedykolwiek usunął dane. Ponieważ nie ma dowodów na to, że dane są użyteczne, czytelne lub możliwe do odzyskania, nie jesteś prawnie zobowiązany do zapewnienia dostępu do tych danych. Wykorzystuje również szyfrowane hasła wielu poziomów i znaczną wydajność.

Krwawy Żelazo
źródło