TrueCrypt. Шифрование загрузочного диска

Иногда возникают ситуации, когда требуется зашифровать системный диск компьютера или ноутбука, для защиты данных. Эти ситуации случались в жизни у каждого. Конечно для централизованного шифрования данных в компании больше подойдут другие продукты (например Aladdin Secret Disk или ViPNet SafeDisk), которые имеют централизованное управление и прочие приятные вещи для корпоративных пользователей, но когда мы говорим о часном использовании или о экстренной необходимости,(ну не успеют в течении дня прийти лицензии и аппаратные ключи), то можно воспользоваться беспланых продуктом: TrueCrypt.
И временно зашифровать им локальные диски. Но в любом случае о шифровании стоит задуматься заранее, чтобы не было мучительно больно в последствии.

Для начала установим TrueCrypt. Установка проходит просто, поэтому описывать ее я не буду.

После этого займимся подготовительными работами:
Перед шифрованием диска нужно сначала проверить диск на битые сектора и ошибки, чтобы в дальнейшем это не привело к непоправимым последствиям.

Отключаем провод оптических дисков

truecrypt_os_1

Откроем Диспетчер устройств и отключим приводы оптических дисков (CD, DVD BD и т.д.), конечно, если он есть. В дальнейшем станет понятно зачем.

Проверка типа разбивки диска

truecrypt_os_2

Теперь проверим какая разбивка дисков используется на диске MBR или GPT
Для этого откроем свойства диска в Диспетчере устройств и во вкладке Тома найдем запись: Стиль раздела. Если в нем указано: Основная загрузочная запись (MBR) то все отлично. Двигаемся дальше. Если будет указано, что используется GPT, то увы. TrueCrypt на данный момент не поддерживает загрузку с GPT разделов. Тут остется либо преобразовывать диск в MBR (с полным форматированием) либо искать другое средство шифрования. Например встроенный в ОС Windows 8.1 ProBitLocker

Начинаем шифрование диска

truecrypt_os_3

Если все условия выполнены, то перейдем непосредственно к шифрованию диска. Для этого откроем TrueCrypt и в меню выберем System->Encrypt System Partition/Drive…

Тип шифрованной системы

truecrypt_os_4

Тут мы вибираем пункт Normal, который говорит что ОС будет просто зашифрованная, а не скрытая. Смысл скрытой ОС не сильно понятен. Все равно специалист обнаружит ее наличие.

Шифруем текущий системный раздел

truecrypt_os_5

Выбираем Encrypt the Windows system partition (шифровать текущий системный раздел).

Количество операционных систем

truecrypt_os_6

Предположим, что установленная всего одна операционная система и выберем Single-boot.

Алгоритм шифрования

truecrypt_os_7

Выбираем алгоритм шифрования. На данный момент самым быстрым является AES. В основном за счет аппаратной поддержки современными процессорами. Это хорошо видно, если нажать Benchmark и посмотреть результаты скорости шифрования и дешифрования. Можно выбрать любой. В зависимости от степени паранои.

Тест производительности

truecrypt_os_8

Как мы видим, скорость шифрования у каждого алгоритма (или каскада алгоритмов) разная. Зависит от наличия аппаратных модулей шифрования и от общей производительности системы.

Ввод пароля

truecrypt_os_9

В этом окне мы вводим пароль шифрования. Рекомендуемая длина пароля от 20 символов. максимальное количество символов — 64. Не забудте переключиться на английскую раскладку!

предупреждение о длине и сложности пароля

truecrypt_os_10

Если пароль слишком короткий или слишком простой, то получим предупреждение.

Произвольные данные для шифрования

truecrypt_os_11

В данном окне просто водим мышкой, чтобы собрать прозвольные данные для ключей шифрования и нажимаем Next

Ключи созданы

truecrypt_os_12

Показываются сгенерированные ключи шифрования.

Диск резервного восстановления

truecrypt_os_13

TrueCrypt предложит (в обязательном порядке) создать диск резервного восстановления. Нам остается только его сохранить. Желательно на внешнем носителе. Этот диск нельзя будет создать потом, в связи с тем, что он создается с уникальными ключами, которые были сгенерированны ранее, а ключи нигде не запоминаются.

Не удалось записать диск

truecrypt_os_14

Если мы в самом начале не отключили оптический привод, то будем постоянно упираться в ошибку проверки записанного диска. Остается либо отключить оптический привод и начать шифрование сначала, либо все-таки записать диск.

Отсутствие оптического привода

truecrypt_os_15

Если привода в системе нет (не было с самого начала или отключен), то TrueCrypt предложит продолжить процесс, но настоятельно попросит скопировать ISO диска восстановления на внешний носитель. Выбираем пункт I have no CD/DVD burner but i will store the Rescue Disk ISO on a removable drive (e.g. USB flash drive). Так же можно отказаться от шифрования (I will connect a CD/DVD burner to my computer later. Terminate the process now) или подключить внешний пишущий привод и все-таки записать диск (A CD/DVD burner is connected to my computer now. Continue and write Rescue Disk).

Копирование образа диска восстановления

truecrypt_os_16

Напоминание, о том что нужно скопировать диск восстановления. Можно пропустить копирование, если сразу сохранили образ диска на внешний носитель или просто любите рисковать.

Еще одно предупреждение

truecrypt_os_17

Нас еще раз предупреждают о том, что в последующем создать диск восстановления невозможно.

Затереть свободное пространство

truecrypt_os_18 Тут нам предложат затереть свободное пространство, чтобы остаточные данные точно нельзя было восстановить. Данные процесс увеличивает время шифрования, но если данные, с которыми работете действительно важное, то стоит стереть все неиспользуемое пространство.

Тестирование правильности установки загрузчика

truecrypt_os_19

TrueCrypt предложит перезагрузиться перед шифрованием и проверить правильность установки загрузчика и пароля.

Предупреждение

truecrypt_os_20

Читаем предупреждение о том, что если компьютер не сможет перезагрузиться, то следует воспользоваться диском резервного восстановления и нажимаем OK.

Перезагрузка

truecrypt_os_21

Соглашаемся с тем, что система будет перезагружена.

Новый загрузчик

truecrypt_os_22

При начале загрузки теперь будет сначала стартовать загрузчик TrueCrypt и предлагать ввести пароль для расшифровки диска. Вводим пароль и нажимаем Enter.

Завершение тестов

truecrypt_os_23

После перезагрузки нам скажут, что все предварительные тесты завершены и можно преступать к шифрованию. С чем мы соглашаемся и нажимаем Encrypt.

Предупреждение

truecrypt_os_24

Еще раз видим предупреждение о том, что если что-то пойдет не так, то загрузитесь с диска восстановления.

Началось шифрование

truecrypt_os_25

Началось само шифрование. Процесс не быстрый. Скорость зависит от типа шифрования, производительности системы и размера шифруемого диска.

Шифрование завершено

truecrypt_os_26

Сообщение о том, что шифрование успешно завершилось. Нажимаем OK.

truecrypt_os_27

Еще одно окно, о завершении шифрования. Нажимаем Finish.

Главное окно TrueCrypt после шифрования

truecrypt_os_28

Тут мы видим, что системный диск C: зашифрован и примонтирован, а так же, его размер и использованный алгоритм шифрования.

Теперь загрузочный диск полностью зашифрован. Остается только по максимуму защититься от снятия дампа оперативной памяти (от заморозки оперативной памяти жидким азотом и последующему чтению в лабораторных условиях защититься скорее всего не удастся) и поиску ключа шифрования в дампе памяти, которое делается специальными утилитами. Например Ubuntu Cyberpack. Для этого в обязательном порядке включаем в BIOSе POST тестирование оперативной памяти (с ее перезаписью), устанавливаем загрузку только с HDD и ставим пароль на BIOS. Данных действий будет достаточно, чтобы не удалось сохранить оперативную память для ее дальнейшего анализа.

Теперь процесс шифрования основного диска можно считать окончательно завершенным. Остается только задуматься о переходе на системы с отдельным модулем хранения ключей шифрования, которые имеют собственную микро-ОС с собственным криптоконтейнером, в котором хранится ключ (Например SecretDisk от Aladdin или SafeDisk от ViPNet), что делает невозможным поиск ключа в оперативной памяти. Может быть в дальнейшем TrueCrypt станет поддерживать использование аппаратных ключей для шифрования загрузочного диска, но пока таким образом можно зашифровать все, кроме системного диска.

Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктуры

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Для того, чтобы сделать заказ:

Заполните форму обратной связи и мы обязательно с вам свяжемся:
Форма обратной связи
Позвоните нам по телефону:
+7(909)952-44-33
Напишите нам на электронную почту:
order@blackdiver.net
Напишите нам в Telegram:
Telegram
Другие способы связи Вы сможете найти в разделе Контакты.