TrueCrypt. Шифрование загрузочного диска

Иногда возникают ситуации, когда требуется зашифровать системный диск компьютера или ноутбука, для защиты данных. Эти ситуации случались в жизни у каждого. Конечно для централизованного шифрования данных в компании больше подойдут другие продукты (например Aladdin Secret Disk или ViPNet SafeDisk), которые имеют централизованное управление и прочие приятные вещи для корпоративных пользователей, но когда мы говорим о часном использовании или о экстренной необходимости,(ну не успеют в течении дня прийти лицензии и аппаратные ключи), то можно воспользоваться беспланых продуктом: TrueCrypt.
И временно зашифровать им локальные диски. Но в любом случае о шифровании стоит задуматься заранее, чтобы не было мучительно больно в последствии.

Для начала установим TrueCrypt. Установка проходит просто, поэтому описывать ее я не буду.

После этого займимся подготовительными работами:
Перед шифрованием диска нужно сначала проверить диск на битые сектора и ошибки, чтобы в дальнейшем это не привело к непоправимым последствиям.

Отключаем провод оптических дисков

Откроем Диспетчер устройств и отключим приводы оптических дисков (CD, DVD BD и т.д.), конечно, если он есть. В дальнейшем станет понятно зачем.

Проверка типа разбивки диска

Теперь проверим какая разбивка дисков используется на диске MBR или GPT
Для этого откроем свойства диска в Диспетчере устройств и во вкладке Тома найдем запись: Стиль раздела. Если в нем указано: Основная загрузочная запись (MBR) то все отлично. Двигаемся дальше. Если будет указано, что используется GPT, то увы. TrueCrypt на данный момент не поддерживает загрузку с GPT разделов. Тут остется либо преобразовывать диск в MBR (с полным форматированием) либо искать другое средство шифрования. Например встроенный в ОС Windows 8.1 ProBitLocker

Начинаем шифрование диска

Если все условия выполнены, то перейдем непосредственно к шифрованию диска. Для этого откроем TrueCrypt и в меню выберем System->Encrypt System Partition/Drive…

Тип шифрованной системы

Тут мы вибираем пункт Normal, который говорит что ОС будет просто зашифрованная, а не скрытая. Смысл скрытой ОС не сильно понятен. Все равно специалист обнаружит ее наличие.

Шифруем текущий системный раздел

Выбираем Encrypt the Windows system partition (шифровать текущий системный раздел).

Количество операционных систем

Предположим, что установленная всего одна операционная система и выберем Single-boot.

Алгоритм шифрования

Выбираем алгоритм шифрования. На данный момент самым быстрым является AES. В основном за счет аппаратной поддержки современными процессорами. Это хорошо видно, если нажать Benchmark и посмотреть результаты скорости шифрования и дешифрования. Можно выбрать любой. В зависимости от степени паранои.

Тест производительности

Как мы видим, скорость шифрования у каждого алгоритма (или каскада алгоритмов) разная. Зависит от наличия аппаратных модулей шифрования и от общей производительности системы.

Ввод пароля

В этом окне мы вводим пароль шифрования. Рекомендуемая длина пароля от 20 символов. максимальное количество символов — 64. Не забудте переключиться на английскую раскладку!

предупреждение о длине и сложности пароля

Если пароль слишком короткий или слишком простой, то получим предупреждение.

Произвольные данные для шифрования

В данном окне просто водим мышкой, чтобы собрать прозвольные данные для ключей шифрования и нажимаем Next

Ключи созданы

Показываются сгенерированные ключи шифрования.

Диск резервного восстановления

TrueCrypt предложит (в обязательном порядке) создать диск резервного восстановления. Нам остается только его сохранить. Желательно на внешнем носителе. Этот диск нельзя будет создать потом, в связи с тем, что он создается с уникальными ключами, которые были сгенерированны ранее, а ключи нигде не запоминаются.

Не удалось записать диск

Если мы в самом начале не отключили оптический привод, то будем постоянно упираться в ошибку проверки записанного диска. Остается либо отключить оптический привод и начать шифрование сначала, либо все-таки записать диск.

Отсутствие оптического привода

Если привода в системе нет (не было с самого начала или отключен), то TrueCrypt предложит продолжить процесс, но настоятельно попросит скопировать ISO диска восстановления на внешний носитель. Выбираем пункт I have no CD/DVD burner but i will store the Rescue Disk ISO on a removable drive (e.g. USB flash drive). Так же можно отказаться от шифрования (I will connect a CD/DVD burner to my computer later. Terminate the process now) или подключить внешний пишущий привод и все-таки записать диск (A CD/DVD burner is connected to my computer now. Continue and write Rescue Disk).

Копирование образа диска восстановления

Напоминание, о том что нужно скопировать диск восстановления. Можно пропустить копирование, если сразу сохранили образ диска на внешний носитель или просто любите рисковать.

Еще одно предупреждение

Нас еще раз предупреждают о том, что в последующем создать диск восстановления невозможно.

Затереть свободное пространство

Тут нам предложат затереть свободное пространство, чтобы остаточные данные точно нельзя было восстановить. Данные процесс увеличивает время шифрования, но если данные, с которыми работете действительно важное, то стоит стереть все неиспользуемое пространство.

Тестирование правильности установки загрузчика

TrueCrypt предложит перезагрузиться перед шифрованием и проверить правильность установки загрузчика и пароля.

Предупреждение

Читаем предупреждение о том, что если компьютер не сможет перезагрузиться, то следует воспользоваться диском резервного восстановления и нажимаем OK.

Перезагрузка

Соглашаемся с тем, что система будет перезагружена.

Новый загрузчик

При начале загрузки теперь будет сначала стартовать загрузчик TrueCrypt и предлагать ввести пароль для расшифровки диска. Вводим пароль и нажимаем Enter.

Завершение тестов

После перезагрузки нам скажут, что все предварительные тесты завершены и можно преступать к шифрованию. С чем мы соглашаемся и нажимаем Encrypt.

Предупреждение

Еще раз видим предупреждение о том, что если что-то пойдет не так, то загрузитесь с диска восстановления.

Началось шифрование

Началось само шифрование. Процесс не быстрый. Скорость зависит от типа шифрования, производительности системы и размера шифруемого диска.

Шифрование завершено

Сообщение о том, что шифрование успешно завершилось. Нажимаем OK.

Еще одно окно, о завершении шифрования. Нажимаем Finish.

Главное окно TrueCrypt после шифрования

Тут мы видим, что системный диск C: зашифрован и примонтирован, а так же, его размер и использованный алгоритм шифрования.

Теперь загрузочный диск полностью зашифрован. Остается только по максимуму защититься от снятия дампа оперативной памяти (от заморозки оперативной памяти жидким азотом и последующему чтению в лабораторных условиях защититься скорее всего не удастся) и поиску ключа шифрования в дампе памяти, которое делается специальными утилитами. Например Ubuntu Cyberpack. Для этого в обязательном порядке включаем в BIOSе POST тестирование оперативной памяти (с ее перезаписью), устанавливаем загрузку только с HDD и ставим пароль на BIOS. Данных действий будет достаточно, чтобы не удалось сохранить оперативную память для ее дальнейшего анализа.

Теперь процесс шифрования основного диска можно считать окончательно завершенным. Остается только задуматься о переходе на системы с отдельным модулем хранения ключей шифрования, которые имеют собственную микро-ОС с собственным криптоконтейнером, в котором хранится ключ (Например SecretDisk от Aladdin или SafeDisk от ViPNet), что делает невозможным поиск ключа в оперативной памяти. Может быть в дальнейшем TrueCrypt станет поддерживать использование аппаратных ключей для шифрования загрузочного диска, но пока таким образом можно зашифровать все, кроме системного диска.

Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктуры

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Для того, чтобы сделать заказ:

Заполните форму обратной связи и мы обязательно с вам свяжемся:
Форма обратной связи
Позвоните нам по телефону:
+7(909)952-44-33
Напишите нам на электронную почту:
order@blackdiver.net
Напишите нам в Telegram:
Telegram
Другие способы связи Вы сможете найти в разделе Контакты.