Выбираем инструмент для криптографической защиты данных

NordLocker

Вместе с сервисами NordVPN и NordPass, NordLocker является еще одним продуктом компании, который является впечатляющим, как и другие. Вы можете начать с 2ГБ бесплатного шифрования ваших файлов, таких как:

• Фото
• Видео
• Личные заметки
• ID и пароли
• Финансовые документы
• Любые секретные файлы

Большинство из них предназначены для сохранения конфиденциальности и, зашифровав их с помощью NordLocker, вы предотвращаете их использование многими способами. Вы также можете зашифровать свои файлы перед загрузкой на облачные хранилища чтобы никто не мог получить к ним доступ.

В этом решении используются Argon2, AES256, ECC (с XChaCha20, EdDSA и Poly1305), которые являются самыми передовыми шифрами и принципами. Вы можете быть уверены, что ваши файлы хранятся на самом высоком уровне безопасности.

Как указано выше, вы получаете 2ГБ шифрования файлов и круглосуточную поддержку бесплатно. Если вы хотите неограниченное шифрование, вы можете выбрать премиум-план всего за 1 доллар в месяц.

Стоит ли переходить с TrueCrypt на VeraCrypt

Эталонной программой, которая много лет позволяет очень надёжно шифровать файлы является TrueCrypt. Эта программа до сих пор прекрасно работает. К сожалению, в настоящее время разработка программы прекращена.

Её лучшей наследницей стала программа VeraCrypt.

VeraCrypt – это бесплатное программное обеспечение для шифрование дисков, она базируется на TrueCrypt 7.1a.

VeraCrypt продолжает лучшие традиции TrueCrypt, но при этом добавляет повышенную безопасность алгоритмам, используемым для шифрования систем и разделов, что делает ваши зашифрованные файлы невосприимчивым к новым достижениям в атаках полного перебора паролей.

VeraCrypt также исправила многие уязвимости и проблемы безопасности, обнаруженные в TrueCrypt. Она может работать с томами TrueCrypt и предлагает возможность конвертировать контейнеры TrueCrypt и несистемные разделы в формат VeraCrypt.

Эта улучшенная безопасность добавляет некоторую задержку только к открытию зашифрованных разделов без какого-либо влияния на производительность в фазе использования зашифрованного диска. Для легитимного пользователя это практически незаметное неудобство, но для злоумышленника становится практически невозможным получить доступ к зашифрованным данным, несмотря на наличие любых вычислительных мощностей.

Это можно продемонстрировать наглядно следующими бенчмарками по взлому (перебору) паролей в Hashcat:

Для TrueCrypt:

Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit
 
Speed.Dev.#1.:    21957 H/s (96.78ms)
Speed.Dev.#2.:     1175 H/s (99.79ms)
Speed.Dev.#*.:    23131 H/s
 
Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit
 
Speed.Dev.#1.:     9222 H/s (74.13ms)
Speed.Dev.#2.:     4556 H/s (95.92ms)
Speed.Dev.#*.:    13778 H/s
 
Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit
 
Speed.Dev.#1.:     2429 H/s (95.69ms)
Speed.Dev.#2.:      891 H/s (98.61ms)
Speed.Dev.#*.:     3321 H/s
 
Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode
 
Speed.Dev.#1.:    43273 H/s (95.60ms)
Speed.Dev.#2.:     2330 H/s (95.97ms)
Speed.Dev.#*.:    45603 H/s

Для VeraCrypt:

Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit
 
Speed.Dev.#1.:       68 H/s (97.63ms)
Speed.Dev.#2.:        3 H/s (100.62ms)
Speed.Dev.#*.:       71 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit
 
Speed.Dev.#1.:       26 H/s (87.81ms)
Speed.Dev.#2.:        9 H/s (98.83ms)
Speed.Dev.#*.:       35 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit
 
Speed.Dev.#1.:        3 H/s (57.73ms)
Speed.Dev.#2.:        2 H/s (94.90ms)
Speed.Dev.#*.:        5 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode
 
Speed.Dev.#1.:      154 H/s (93.62ms)
Speed.Dev.#2.:        7 H/s (96.56ms)
Speed.Dev.#*.:      161 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit
 
Speed.Dev.#1.:      118 H/s (94.25ms)
Speed.Dev.#2.:        5 H/s (95.50ms)
Speed.Dev.#*.:      123 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit + boot-mode
 
Speed.Dev.#1.:      306 H/s (94.26ms)
Speed.Dev.#2.:       13 H/s (96.99ms)
Speed.Dev.#*.:      319 H/s

Как можно увидеть, взломать зашифрованные контейнеры VeraCrypt на несколько порядков сложнее, чем контейнеры TrueCrypt (которые тоже совсем не просты).

Полный бенчмарк и описание железа я публиковал в статье «hashcat + oclHashcat = hashcat».

Второй важный вопрос – надёжность. Никто не хочет, чтобы особо ценные и важные файлы и сведения были потеряны из-за ошибки в программе. Я знаю о VeraCrypt сразу после её появления. Я следил за её развитием и постоянно к ней присматривался. На протяжении последнего года я полностью перешёл с TrueCrypt на VeraCrypt. За год ежедневной работы VeraCrypt меня ни разу не подводила.

Таким образом, на мой взгляд, сейчас стоит переходить с TrueCrypt на VeraCrypt.

Полное шифрование диска

Для того, чтобы лучше защитить все данные (включая файлы операционной системы) на жестком диске вашего компьютера от несанкционированного доступа третьих лиц, лучше использовать шифрование всего диска.

Он заключается в обеспечении доступа к компьютеру с использованием ключа. Это может быть обычный пароль, который необходимо запомнить, модуль TPM, файл на флешке или биометрический считыватель.

Важно, что ключ шифрования должен быть введен еще до загрузки операционной системы, потому что файлы были закодированы и нечитаемы для загрузчика. Без знания пароля или ключа мы не получим доступа к компьютеру

Перенос диска на другой компьютер также ничего не даст, потому что весь диск зашифрован – кроме небольшого раздела, ответственного за принятие ключа и дешифрацию.

Это метод защищает не только данные пользователей, но и файл подкачки и временные коллекции, из которых можно было бы извлечь секретную информацию. Кроме того, мы скрываем структура каталогов, имена файлов, их размеры, метаданные. Благодаря методу полного шифрования дисков, мы защищаем все данные, а не только выбранные файлы.

Такой способ, однако, имеет недостатки. Для полного шифрования диска можно использовать бесплатный инструмент под названием VeraCrypt, разработанный на основе программы TrueCrypt. Но, к сожалению, в некоторых случаях применение только шифрования может представлять опасность, например, когда кто-то получит доступ к включенному компьютеру. Поэтому стоит наиболее ценные данные дополнительно шифровать на уровне файлов.

DriveCrypt

Если вы часто сталкиваетесь с какой-то высокочувствительной информацией, DriveCrypt может быть универсальным решением, гарантирующим безопасность файлов любыми способами.

DriveCrypt пригодится, когда вы хотите зашифровать USB и фиксированные диски, и кроме того, это даже позволяет вам шифровать файлы выборочно. Программное обеспечение маскирует зашифрованные файлы как музыкальные файлы или поддельные диски, без каких-либо ключевых слов или информации, указывающей на наличие какого-либо шифрования или защиты. Это можно рассматривать как цифровой камуфляж, и если этого недостаточно, программное обеспечение поставляется с функциями защиты от перехвата пароля, которые не позволяют троянским файлам или хакерам узнать ваш пароль DriveCrypt,

DriveCrypt имеет много опций, чтобы обеспечить максимальную безопасность зашифрованных USB или локальных дисков. Одной из таких функций является невидимый контейнер или раздел. Вы можете установить два разных пароля для зашифрованного хранилища или диска таким образом, чтобы один пароль давал вам доступ к файлам, которыми вы удобно делитесь с другими, а второй — к более защищенной части хранилища. Это позволяет вам поделиться зашифрованным USB-накопителем с другими, не передавая им свои секретные файлы.

Помимо защиты ваших данных паролем, вы можете использовать внешние устройства, такие как ключи безопасности USB или сканеры отпечатков пальцев, для аутентификации доступа. Наконец, DriveCrypt обещает 1344-битное военное шифрование.

Доступные платформы: Windows 10, 8.1, 8, 7, Windows Server 2012, 2008, 2003

Цена:  Лицензирование платной версии начинается с 69,95 € (~ 80 $), что в настоящее время составляет 39,95 € (~ 46 $); 30-дневная пробная версия

Как работают такие программы

Шифровка цифровых данных выполняется с использованием специальных алгоритмов, например, AES-256, Serpent, Twofish. Все они работают схожим образом: заменяют каждый символ (или двоичный код) на шифр. Ключ для него генерируется случайным образом, а иногда и для каждого символа раздельно. Расшифровать итоговые данные возможно, но алгоритм построен таким образом, что даже при использовании самых мощных процессоров на это уйдёт несколько месяцев, а то и лет.

А единственный способ получить исходные данные быстро – это ввести первоначальный ключ для шифра. А его будет знать только владелец файла. Кстати, аналогичный способ защиты используют и современные браузеры: пароли, cookie-файлы в них кодируют аналогичным образом. И если уж Google доверяет таким алгоритмам шифрования информации, то и рядовым пользователям переживать не стоит за сохранность конфиденциальных данных.

Рекомендуемые топ приложения для шифрования, которые сами пользователи часто упоминают на тематических форумах, следующие:

• Folder Lock;
• VeraCrypt;
• AxCrypt;
• DiskCryptor;
• LaCie Private-Public;
• PGP Desktop;
• WinRAR.

При использовании данных программ пользователю следует быть осторожным. Если файл зашифровать и в дальнейшем забыть пароль доступа, то с высокой долей вероятности данные не удастся восстановить.

Как зашифровать файлы и папки при помощи Encrypting File System (EFS)

Encrypting File System (EFS) есть в редакциях Professional и Enterprise. Это считается продвинутой возможностью Windows. Неопытные пользователи при работе с данной системой могут утратить доступ к файлам.

EFS шифрует файлы в фоновом режиме, включая автоматическое создание ключа File Encryption Key (FEK). Только тот аккаунт, в котором файл был зашифрован, может расшифровать его. Всё это происходит автоматически.

К сожалению, EFS обладает недостатками, которые делают этот вариант неидеальным.

• EFS работает только с дисками с форматированием NTFS
• Если перенести зашифрованный EFS файл на диск с форматированием FAT32 или exFAT, он расшифровывается
• Если перенести зашифрованный EFS файл через сеть или отправить по электронной почте, он расшифровывается

Если это вас не пугает, ниже описан процесс шифрования файлов и папок при помощи EFS:

1. Запустите проводник и откройте место расположения нужного файла или папки.
2. Нажмите на них правой кнопкой мыши.
3. В контекстном меню нажмите на команду «Свойства».
4. На вкладке общие нажмите на кнопку «Другие».
5. В окне «Дополнительные атрибуты» поставьте галочку напротив команды «Шифровать содержимое для защиты данных».

После этого файл или папка будут отображаться как зашифрованные для всех, кроме этого аккаунта.

Защита паролем папок и файлов в Microsoft Windows

В случае, если вы обладатель ​​Windows 10, то есть вариант создания скрытых папок. Они будут находиться под надежным паролем. К тому же не понадобиться скачивание и установки дополнительных программ.

Необходимо следовать нашим подсказкам:

• определитесь какая папка требует защиты;
• откройте ее «Свойства»;
• далее перейдите во вкладку «Безопасность» и активируйте кнопку «Изменить»;
• выберите имя пользователя или группу и кликните «Запретить доступ»;

После проделанных манипуляций одному конкретному пользователю или группе будет закрыт доступ к данной информации. Для разблокировки стоит учитывать, что вам будет необходим пароль администратора.

Что делать после шифрования 7-zip

В результате вы получите зашифрованный при помощи алгоритма AES-256 архив. Дальнейшие действия зависят от того, что вы собираетесь делать с зашифрованным файлом или папкой.

Если вы создали архив, чтобы поделиться копиями файла или папки, отправьте архив получателю. Если у них есть программа 7-zip или аналогичная и вы каким-то безопасным способом передали им пароль на доступ, они смогут распаковать архив, затем дважды кликнуть на файл для ввода пароля в диалоговое окно.

После ввода пароля операционная система должна открыть соответствующее файлу приложение. Получатель сможет просматривать его, сохранять, редактировать. Зашифрованный вариант файла также будет оставаться в системе.

Если вы создали архив для защиты файлов или папок на вашей системе, незашифрованные оригиналы следует удалить, чтобы они не попали в посторонние руки.

Как установить VeraCrypt в Windows

С TrueCrypt имела место полушпионская история – были созданы сайты для «скачать TrueCrypt», на них бинарный файл (ну естественно!) был заражён вирусом/трояном. Те, кто скачивал TrueCrypt с этих неофициальных сайтов заражали свои компьютеры, что позволяло злоумышленникам воровать персональную информацию и способствовать распространению вредоносного ПО.

Вообще-то, все программы нужно скачивать только с официальных сайтов. И уж тем более это касается программ, которые затрагивают вопросы безопасности.

Официальными местами размещения установочных файлов VeraCrypt являются:

• https://www.veracrypt.fr/en/Downloads.html
• https://sourceforge.net/projects/veracrypt/

PGP Desktop

Не имеет собственного графического интерфейса, полностью интегрируется в среду Windows. Для шифровки/дешифровки файла используется контекстное меню. Также она добавляет дополнительные функциональные строки в сам «Проводник». Используется протокол AES-256. Ключевая особенность программы – она умеет кодировать данные в форме независимого архива (exe-файла). То есть файл в дальнейшем можно скопировать на другой компьютер и открыть, даже если на него не установлен PGP Desktop. Для дешифровки же потребуется ввести пароль доступа.

Дополнительные возможности:

• наличие «сквозного» шифрования (все новые файлы будут защищены);
• создание виртуальных дисков, для доступа к которым требуется PGP-ключ;
• управление PGP­-ключами (добавление, просмотр имеющихся, импорт в архив).

Программы для установки пароля на папку

Easy File Locker

Easy File Locker — бесплатная утилита XOSLAB. Пользователи добавляют файлы и папки, которые они хотят защитить в списке, используя кнопку « Добавить файл» и просматривая их систему.

Настройки, такие как видимость и доступ, могут быть изменены «на лету» из чистого пользовательского интерфейса инструмента — это особенно полезно, если в вашей системе есть много файлов или папок, которые необходимо защитить.

Privacyroot

Разработанный PrivacyRoot, Secret Disk работает, создавая виртуальный диск, который можно защитить паролем или просто сделать невидимым для любопытных глаз .

SecretFolder

Вместо того, чтобы применять защиту паролем к отдельным файлам, SecretFolder просто делает их невидимыми, если пользователь не может войти в приложение с использованием указанного пароля.

Это хорошее решение, если вы скрываете подарок на день рождения или личный дневник , но он недостаточно строг, чтобы следить за действительно важным материалом. Рассмотрите этот инструмент, который лучше всего использовать для обеспечения конфиденциальности на общем компьютере, а не для обеспечения безопасности.

Мой замок

Мой Lockbox — это инструмент, который лучше всего работает, когда пользователь намеревается хранить весь свой защищенный паролем контент в одном месте. Вместо того, чтобы выбирать и выбирать отдельные файлы и папки для защиты, утилита выделяет одну конкретную папку в качестве «блокировки», где будет храниться конфиденциальный контент, аналогично процессу блокировки папки в начале этой статьи.

Это прекрасная альтернатива ручному хранилищу папок для всех, у кого нет уверенности в выполнении этой процедуры. Тем не менее, его ориентация на одну папку в отличие от гибкости чего-то вроде Easy File Locker делает ее менее полезной в рабочей среде. Кроме того, цена за 29,95 долл. В своем выпуске pro не обеспечивает отличное соотношение цены и качества.

TrueCrypt

По теме: Как поставить пароль на флешку?

Существует множество ПО для шифрования. Подобная им является TrueCrypt. Особенность в том, что она шифрует не только отдельные файлы, но и целые разделы, либо USB-флешки.

Не стоит беспокоиться, что при открытии зашифрованного диска файлы будут вам доступны не сразу, потому что бывает так, что файлы расшифровываются постепенно, да еще и медленно. В данном случае информация будет доступна вам сразу после ввода ключа.

Заметим, что главным фактором в шифровании данной программой является именно пароль, который должен иметь не менее 20 знаков.

Более полно разбирать использование программы я буду в этой статье.

EncryptStick

EncryptStick позволяет шифровать USB-накопители и создавать виртуальные хранилища или папки, защищенные паролем. EncryptStick обеспечивает один из самых надежных механизмов для шифрования флэш-накопителя или любого другого жесткого диска на компьютерах с Windows, Mac или Linux с возможностями взаимодействия.

Программное обеспечение поддерживает до 1024-битного шифрования AES, которое сложнее расшифровать, чем 256-битное шифрование, которое предлагает наиболее распространенное программное обеспечение, позволяющее шифровать USB-диски или диски.

Помимо обещания непроницаемого шифрования данных, программное обеспечение EncryptStick для USB-шифрования позволяет шифровать флэш-накопитель с помощью простого в использовании интерфейса. Интерфейс позволяет легко копировать-вставлять и перетаскивать, позволяя вам без труда выбирать файлы или USB-накопители, которые вы хотите предотвратить саботажем.

Кроме того, каждый раз, когда вы забыли после переключения окон, программа попросит вас ввести пароль, и десять неправильных попыток заблокировать злоумышленников.

Единственное предостережение в том, что для доступа к зашифрованным дискам или файлам с другого компьютера вам необходимо установить программное обеспечение. Но вы также можете установить его и запустить с самого диска, не устанавливая его отдельно в системе.

С EncryptStick, вы получите 14 дней пробного периода, после чего вам нужно будет заплатить $ 19,99 и вы можете использовать одну и ту же лицензию на трех устройствах. В течение ограниченного срока цена была снижена до 14,99 долл. США, что является хорошей покупкой, если вы хотите защитить USB-накопители с надежными функциями безопасности.

Доступные платформы:  Windows, Mac, Linux

Цена:  Лицензирование платной версии начинается с 19,99 долл. США, что в настоящее время составляет 14,99 долл. США; 14-дневная пробная версия с ограниченными возможностями.

Обеспечение сохранности оригиналов

После копирования файлов в защищенном хранилище или после того, как вы создали зашифрованную версию, вам совершенно необходимо стереть незашифрованный оригинал.

Просто удалить его недостаточно, даже если вы сделаете это в обход корзины, потому что данные остаются на диске, и программы, направленные на восстановление данных, часто могут вернуть его обратно.

Некоторые продукты шифрования дают возможность избежать этой проблемы путем шифрования файла, буквально переписывая его на жесткий диск с зашифрованной версии.

Этот метод более распространен, хотя можно предложить безопасное удаление как вариант.

Если вы выберете продукт, который не обеспечивает этой функции, вы должны найти бесплатный инструмент для безопасного удаления файлов.

Самыми надежными считаются «шреддеры». Но тут нужно быть предельно аккуратным, так как после использования этого типа программ шансы восстановить оригинал равны нулю.

Перезапись данных перед удалением — достаточно надежное программное средство против восстановления. Магнитные записи данных на жестком диске на самом деле не являются цифровыми.

Говоря простыми словами, этот процесс включает в себя обнуление тех данных, которые остались после удаления.

Если вы действительно думаете, что кто-то может использовать специализированную технику, чтобы восстановить ваши компрометирующие файлы, вы можете установить утилиту для безопасного удаления.

Тогда программа сделает несколько проходов перезаписи данных, так что даже специализированные методы восстановления не смогут вернуть ваши файлы.

Алгоритмы шифрования

Как шифруется

Алгоритм шифрования похож на черный ящик. Дамп документа, изображения или другой файл, который вы загружаете в него, вы получаете обратно. Но то, что вы видите, кажется бредом.

Превратить эту тарабарщину обратно в нормальный документ можно через окно с тем же паролем, который вы вводили при шифровании. Только так вы получите оригинал.

Правительство США признали Расширенный стандарт шифрования (AES) в качестве стандарта, и все продукты, которые здесь собраны, поддерживают стандарт шифрования AES.

Даже те, кто поддерживает другие алгоритмы, как правило, рекомендуют использовать AES.

Если вы эксперт шифрования, вы можете предпочесть другой алгоритм, Blowfish, и возможно, даже алгоритм Советского правительства по ГОСТу.

Но это уже совсем для любителей экстремальных развлечений. Для рядового пользователя AES — это просто отличное решение.

Общие сведения о программах шифрования

Шифрование — это процесс кодирования информации таким образом, что она не может быть доступной другим людям, если они не имеют необходимый ключ для декодирования. Шифрование, как правило, используется для защиты важных документов, но это также хороший способ остановить людей, которые пытаются украсть ваши личные данные.

Основные категории утилит шифрования

Зачем использовать категории? Чтобы разбить огромное множество программ шифрования информации на более простые и понятные наборы программ, т.е. структурировать. Данная статья ограничивается набором утилит для шифрования файлов и папок.

1. Утилиты шифрования файлов и папок — эти утилиты рассматриваются в данной статье. Эти утилиты шифрования работают напрямую с файлами и папками, в отличие от утилит, которые осуществляют шифрование и хранение файлов в томах (архивах, то есть в контейнерах файлов). Данные утилиты шифрования могут работать в режиме «по требованию» или в режиме «на лету».
2. Утилиты шифрования виртуальных дисков. Такие утилиты работают посредством создания томов (зашифрованных контейнеров/архивов), которые представляются в файловой системе в качестве виртуальных дисков, имеющих свою букву, например, «L:». Эти диски могут содержать как файлы, так и папки. Файловая система компьютера может читать, писать и создавать документы в режиме реального времени, т.е. в открытом виде. Такие утилиты работают в режиме «на лету».
3. Full-drive утилиты шифрования — шифруют все устройства хранения данных, например, сами жесткие диски, разделы диска и USB устройства. Некоторые из утилит в этой категории также могут зашифровать диск, на котором установлена операционная система. 
4. Клиентские утилиты шифрования в «облаке»: новая категория утилит шифрования. Эти утилиты шифрования файлов используются до загрузки или синхронизации с «облаком». Файлы находятся в зашифрованном виде при передаче и во время хранения в «облаке». Утилиты шифрования в «облаке» используют различные формы виртуализации, чтобы представить доступ к исходному тексту на стороне клиента. При этом вся работа происходит в режиме «на лету».

Предостережения

1. Операционные системы порочны: эхо ваших личных данных — файлы подкачки, временные файлы, файлы режима энергосбережения («сна системы»), удаленные файлы, артефакты браузеров, и т.д. — скорее всего, останутся на любом компьютере, который вы используете для доступа к данным. Это нетривиальная задача — выделить это эхо ваших личных данных. Если вам необходима защита данных жесткого диска во время их перемещения или поступления извне, то это достаточно сложная задача. Например, когда вы осуществляете создание зашифрованного архива файлов или разархивирование такого архива, то, соответственно, оригинальные версии файлов или копии оригинальных файлов из этого архива остаются на жестком диске. Они так же могут остаться в местах хранилища временных файлов (ака папки Temp и т.д.). И получается, что задача удаления этих оригинальных версий становится задачей не простого удаления этих файлов посредством команды «удалить». 
2. Тот факт, что программа шифрования «работает» не означает, что она является безопасной. Новые утилиты шифрования часто появляются после того, как «кто-то» прочитает прикладную криптографию, выберет алгоритм и возьмется за разработку. Может быть даже «кто-то» использует проверенный опенсурс код. Реализует пользовательский интерфейс. Убедится в том, что она работает. И подумает, что на этом все закончено. Но, это не так. Такая программа наверняка наполнена фатальными багами. «Функциональность не означает качество, и никакое бета-тестирование не раскроет проблемы безопасности. Большинство продуктов представляют собой красивое слово ‘соблюдается’. Они используют алгоритмы криптографии, но сами не являются безопасными.» (Вольный перевод) — Брюс Шнайер, из Security Pitfalls in Cryptography. (исходная фраза: «Functionality does not equal quality, and no amount of beta testing will ever reveal a security flaw. Too many products are merely buzzword compliant; they use secure cryptography, but they are not secure.»).
3. Использование шифрования — не является достаточным для обеспечения безопасности ваших данных. Существует множество способов обойти защиту, поэтому если ваши данные «очень секретные», то необходимо так же задумываться и о других путях защиты. Как «старт» для дополнительных поисков можно использовать статью риски использования криптографического ПО.

Портативная версия VeraCrypt в Windows

Начиная с версии 1.22 (которая на момент написания является бетой) для Windows был добавлен портативный вариант. Если вы прочитали раздел про установку, вы должны помнить, что программа и так является портативной и позволяет просто извлечь свои файлы. Тем не менее, отдельный портативный пакет имеет свои особенности: для запуска установщика вам нужны права администратора (даже если вы хотите просто распаковать архив), а портативная версия может быть распакована без прав администратора – отличие только в этом.

Официальные бета версии доступны только только здесь. В папке VeraCrypt Nightly Builds файлом с портативной версией является VeraCrypt Portable 1.22-BETA4.exe.

Файл с контейнером можно разместить на флешке. На эту же флешку можно скопировать портативную версию VeraCrypt – это позволит вам открывать зашифрованный раздел на любом компьютере, в том числе без установленной VeraCrypt. Но помните об опасности перехвата нажатия клавиш – вероятно, в этой ситуации может помочь экранная клавиатура.

Secret Disk 4 Lite

Разработчиком продукта Secret Disk 4 Lite является компания Aladdin – один из мировых лидеров, работающих в области информационной безопасности. Она обладает большим количеством сертификатов как от ФЭСТЭК, так и от ФСБ России. И хотя сам рассматриваемый продукт не является сертифицированным средством (у Secret Disk 4 есть отдельная сертифицированная версия), данный факт говорит о признании компании серьезным разработчиком криптографических средств.

Secret Disk 4 Lite может использоваться для шифрования отдельных разделов винчестера, любых съемных накопителей, а также для создания защищенных виртуальных дисков. Таким образом, с помощью этого инструмента можно решить большую часть задач, связанных с криптографией. Отдельно стоит отметить возможность шифрования системного раздела. При этом сама загрузка ОС неавторизированным пользователем становится невозможной. Причем эта защита несоизмеримо надежнее, нежели встроенные средства защиты Windows.

В продукте Secret Disk 4 Lite нет встроенных алгоритмов шифрования. Эта программа для своей работы использует внешние криптопровайдеры. По умолчанию применяется стандартный модуль, интегрированный в Windows. В нем реализованы алгоритмы DES и 3DES. Однако сегодня они считаются уже морально устаревшими. Поэтому для лучшей защиты можно загрузить с сайта Aladdin специальный Secret Disk Crypto Pack. Это криптопровайдер, в котором реализованы наиболее надежные на сегодняшний день криптографические технологии, включая AES и Twofish с длиной ключа до 256 бит. Кстати, в случае необходимости в сочетание с Secret Disk 4 Lite можно использовать сертифицированных поставщиков алгоритмов Signal-COM CSP и «КриптоПро CSP».

Отличительной особенностью Secret Disk 4 Lite является система аутентификации пользователей. Дело в том, что она построена на использовании цифровых сертификатов. Для этого в комплект поставки продукта включен аппаратный USB-токен eToken. Он представляет собой надежно защищенное хранилище для секретных ключей. Фактически, речь идет о полноценной двухфакторной аутентификации (наличие токена плюс знание его PIN-кода). В результате рассматриваемая система шифрования избавлена от такого «узкого» места, как использование обычной парольной защиты.

Из дополнительных функция Secret Disk 4 Lite можно отметить возможность многопользовательской работы (владелец зашифрованных дисков может предоставить доступ к ним другим людям) и фоновую работу процесса шифрования.

Интерфейс Secret Disk 4 Lite прост и понятен. Он выполнен на русском языке, точно так же, как и подробная справочная система, в которой расписаны все нюансы использования продукта.

Семь бед – один ответ

Угроз, как мы видим, существует много, и от каждой из них можно придумать свой способ защиты: изолировать компьютер в запертой спальне, поставить PIN-код на включение смартфона и так далее. Но если защитить информацию не путем физической изоляции, а так, чтобы ее мог прочитать только владелец, результат будет более надежным и всеобъемлющим. Абсолютно все перечисленные неурядицы – большие и малые – могли бы не случиться, если бы важная информация, предназначенная не для всех глаз, хранилась бы в зашифрованном виде.

Иногда вы сталкиваетесь с шифрованием, даже если не задумываетесь об этом, – например, заходя в Gmail или на сайт онлайн-банкинга по протоколу HTTPS, вы связываетесь с банком по зашифрованному каналу. Встроено шифрование и в самый популярный сегодня стандарт сотовой связи GSM. Но сегодня мы сосредоточимся на другом – шифровании данных, хранящихся на компьютере или смартфоне.

Шифрование данных на Андроид

На данный момент в Google Play доступны следующие программы для шифрования:

• LUKS Manager;
• EDS Lite;
• Cryptonite;
• CyberSafe Mobile.

Первая программа — LUKS Manager. Является старейшей программой шифрования файлов в Android. Программа использует алгоритм шифрования AES, а само шифрование происходит «на лету». При этом поддерживаются файловые системы ЕХТ2/4 и FAT32. Размер зашифрованного контейнера не ограничивается (разве что только размером памяти телефона).

Шифрование данных на Андроид:: LUKS Manager

К преимуществам программы можно отнести шифрование «на лету» и простоту использования (работа с зашифрованными контейнерами осуществляется как с обычными папками).

К недостаткам можно отнести тот факт, что программа требует прав root для своей работы. Также программа не поддерживает контейнеры TrueCrypt, которые стали сейчас практически стандартом де-факто. Очень удобно было бы создать на компьютере зашифрованный контейнер, поместить его на флешку, а затем при необходимости — на мобильный телефон, где можно было бы работать с ним как с обычной папкой.

Вторая программа, EDS Lite, хоть и молодая, но очень перспективная

Во-первых, для ее работы не нужны права root, что очень важно для многих пользователей. Во-вторых, программа поддерживает контейнеры TrueCrypt, а как мы знаем, программа TrueCrypt сейчас работает на всех основных настольных платформах

Шифрование данных на Андроид: EDS Lite

Но программа не идеальна. Шифрование осуществляется не «на лету» и с зашифрованным контейнером нельзя работать как с обычной папкой. Однако есть встроенный файловый менеджер, который поддерживает все операции над файлами. Например, вы можете создать зашифрованный контейнер в EDS Lite или в TrueCrypt, открыть его во встроенном файловом менеджере программы и скопировать в него все файлы, которые нужно зашифровать. Не очень удобно (нельзя использовать сторонние файловые менеджеры вроде ES Проводник), но работать можно. Плохо, что остальные программы не поддерживают эти контейнеры. Например, вы создаете документ в текстовом редакторе, и чтобы он был зашифрован, вам нужно явно поместить его в контейнер. Аналогично, чтобы прочитать его, его нужно явно скопировать на карту памяти. Шифрования/дешифрования «на
лету» очень не хватает этой программе. Зато поддерживаются два алгоритма шифрования — AES 256 и SHA-512.

Программа Cryptonite довольно молода и находится на стадии тестирования

Использовать ее на практике я бы пока не стал, зато она будет поддерживать облачные диски, что очень немаловажно сейчас, когда пошла мода на облачные технологии

Шифрование данных на Андроид: Cryptonite

Существенный недостаток этой программы — то, что она требует от ядра Android поддержки Kernel FUSE, а такая поддержка есть не в каждом телефоне.

Приложение CyberSafe Mobile существенно превосходит по функционалу EDS Lite, но обо всем по порядку. Конек приложения — это даже не сами криптоконтейнеры, а возможность их синхронизации с Google Drive, что позволяет работать с одним и тем же набором данных на разных устройствах. Подробно о шифровании облака этим приложением мы поговорим в следующей статье, пока не будем на этом останавливаться.

Шифрование файлов на Андроид: CyberSafe Mobile

Само приложение не требует для своей работы прав root, но до того момента, как вы не надумаете подмонтировать контейнер к какой-то папке. Помните, я говорил о возможности подмонтировать сейф к папке DCIM или папке приложения? Это возможно осуществить средствами CyberSafe Mobile, но вам понадобятся права root.

Кроме этого приложение позволяет обмениваться зашифрованными файлами с другими пользователями и позволяет шифровать произвольные папки на Google Drive. Впрочем, для каждой бочки меда можно найти ложку дегтя. Приложение платное. А его бесплатная версия ограничивает максимальную длину пароля всего в 2 символа, что, сами понимаете, очень мало. С другой стороны, приложение стоит совсем недорого (дешевле 3$) и оно ограничивает пароль не при открытии контейнера, а только при создании. То есть если вам нужно использовать приложение с одним и тем же набором данных на разных устройствах, то вы можете создать контейнер на одном устройстве и скопировать его на другое, а программу купить только на одном устройстве (на котором будете создавать контейнер).

Приложение для шифрование данных на Андроид

Ответ прост. Если вы на персональном компьютере используете TrueCrypt, то выбор очевиден — EDS Lite. Если вы хотите обеспечить шифрование облака, то, судя по всему, на компьютере придется перейти на CyberSafe.