Вступление
Tails — не единственный дистрибутив Linux, который ставит защиту данных во главу угла
Но, на мой взгляд, это на сегодняшний день лучший выбор для человека, желающего сохранить конфиденциальность переписки, защищенность личных данных и сохранность важной информации от любопытных глаз. И раз уж я заговорил о принципах защиты данных в Tails, то нелишне будет их перечислить
Сохранение конфиденциальности информации. Здесь все просто, нам необходимо защитить нашу информацию от посторонних. Для этого мы будем шифровать всё, использовать криптостойкие алгоритмы и длинные ключи. Что-то даже будем шифровать по нескольку раз. Ничто не должно храниться в открытом виде, ничто не передается в открытом виде.
Сокрытие наличия информации (стеганографическая защита). Нам необходимо скрыть сам факт хранения или передачи данных. Мы будем использовать скрытые криптоконтейнеры, заполнять свободные места на дисках случайными данными, эвристически неотличимыми от зашифрованных данных.
Скрытие адресата передачи информации. Иногда может потребоваться скрыть от чужих глаз не только саму информацию, но и адресата. В этом нам поможет многослойное шифрование и «луковая» маршрутизация.
Правдоподобный отказ (plausible deniability). Может возникнуть необходимость направить настойчивых любопытствующих (к примеру, при досмотре) на ложный след. Поверх скрытых контейнеров с важными данными мы создадим ложные, но очень правдоподобные зашифрованные разделы, в которых будем хранить поваренную книгу и картинки с котами из интернета.
Возможность отказаться от факта передачи информации, отозвать свои цифровые подписи и так далее. В этом нам поможет протокол OTR и использование HMAC вместо ЭЦП.
Работа на компьютере без следов. Все, что может остаться в оперативной памяти, на жестком диске или даже в памяти видеокарты, необходимо тщательно зачистить
Все важное должно сохраниться только на надежно зашифрованном, скрытом и оберегаемом нами носителе, риск утечек должен быть сведен к минимуму.
Все эти принципы дополняют друг друга. Если ты действительно озабочен защитой своих данных и сохранением конфиденциальности, не пренебрегай ни одним из них.
Дополнительное ПО, сохранение файлов и настроек
По умолчанию Tails не рассчитана на сохранение установленного ПО, настроек и файлов после выключения компьютера. Однако создатели предусмотрели возможность хранить некоторые данные в персистентном разделе. Настроить, что именно будет храниться, можно в разделе Settings → Persistent.
Большинство пунктов меню очевидны, поэтому я остановлюсь на последних трех. Второй и третий с конца отвечают за хранение APT-пакетов. Tails основана на Debian, поэтому большинство нужного нам ПО можно установить при помощи apt-get. И хотя сами программы при отключении компьютера не сохранятся, пакеты APT при соответствующих настройках останутся в персистентном разделе. Это позволяет развертывать все нужное ПО в процессе загрузки системы.
Последний пункт меню Dotfiles позволяет создать в персистентном разделе папку с файлами, ссылки на которые будут создаваться в домашней папке Tails при загрузке. Выглядит это следующим образом.
Вот пример структуры файлов в постоянном разделе.
В домашней папке при таком раскладе будет следующая структура ссылок:
Послесловие
Итак мы имеем флешку, которая зашифрованна надежным алгоритмом и готова к работе на любом, даже неподготовленном компьютере. Конечно, идеальной защиты не существует, но теперь потенциальному злоумышленнику потребуется на многие порядки больше времени, средств и опыта, чтобы добраться до ваших данных.
Имейте в виду, что после редактирования или просмотра ваши секретные данные могут остаться во временных файлах или в файле подкачки операционной системы.
Сам факт использования шифрования не будет секретным. На компьютере могут остаться записи в логах или регистре. Содержимое флешки открыто указывает на применение технологии шифрования. Для сокрытия же факта шифрования TrueCrypt предлагает технологии зашифрованного диска с двойным дном и со скрытой операционной системой, но это уже совсем другая история.
Как и всегда, если есть какие-то вопросы, дополнения и прочие штуки, то комментарии к Вашим услугам.
Альтернативные средства по защите файлов
4.1 Создание архива с паролем + шифрование
Простейший метод обезопасить свои данные, особенно если их объем небольшой, — использовать запароленный архив. Учитывая, что для расшифровки rar и zip-архивов написано множество утилит, рекомендуется использовать бесплатный архиватор 7zip, а информацию зашифровывать в архивы собственного формата – 7z.
- Переходим по адресу: http://7-zip.org.ua/ru и загружаем актуальную версию архиватора.
- Запускаем программу и переходим на флешку.
- Выбираем информацию, которую необходимо зашифровать.
-
Жмем «Добавить».
- Задаем параметры архива:
- «Архив» – выбираем формат 7z;
- «Метод и уровень сжатия» выбираем по усмотрению;
- «Шифрование» – дважды вводим пароль, защищающий будущий архив. При необходимости, выбираем «Шифровать имена файлов».
-
Жмем «Ок».
Спустя некоторое время защищенный архив будет создан.
4.2 MyFolder
Утилита поможет защитить паролем каталог на любом диске. Максимальный размер шифруемого каталога равняется 100 Гб, работает приложение только под 32-хбитными версиями Windows.
Рассмотрим, как работать с программой.
Отныне при открытии данной флешки будет появляться окно для ввода пароля.
V. Шифрование диска
Иногда удобно зашифровать целый диск – например, флешку. Сделать это ничуть не сложнее, чем файл-контейнер.
Вы можете зашифровать диск с данными так, что все данные будут потеряны (быстрее) или сохранены (дольше). В нашем примере мы будем использовать пустую флешку. Процесс шифрования диска – однократный, но может понадобиться продолжительное время (в зависимости от объема диска).
1. Вставьте флешку в USB-порт компьютера. Если с флешкой все в порядке, система распознает ее как внешний носитель и присвоит ей букву.
2. Запустите VeraCrypt.
3. Нажмите кнопку «Создать том». Появится мастер создания томов.
4. Выберите пункт «Зашифровать несистемный раздел/диск». Нажмите кнопку «Далее».
5. Выберите «Обычный том VeraCrypt» и нажмите «Далее».
6. Нажмите кнопку «Устройство…». Появится список дисков.
Выберите диск, который соответствует нашей флешке
Будьте осторожны, не перепутайте (особенно важно, если к компьютеру подключены две и более флешки). Нажмите кнопку «ОК», затем кнопку «Далее».
7. На этом этапе нужно выбрать способ подготовки флешки. Первый вариант («Создать и отформатировать зашифрованный том») означает, что флешка будет отформатирована, а все данные на ней утрачены. Это более быстрый способ. Второй вариант («Зашифровать раздел на месте») подразумевает сохранение всех данных, но потребуется больше времени. Поскольку мы договорились, что флешка чистая, выберите первый вариант. Нажмите «Далее».
8. Знакомый этап – настройки шифрования. Оставляем все как есть и нажимаем «Далее».
9. Информация о размере тома (устройства). Здесь ничего не изменить – мы имеем дело с флешкой «как есть». Нажмите кнопку «Далее».
10. Придумывайте пароль и введите его в оба поля. Нажмите «Далее». Если VeraCrypt выразит недовольство насчет длины пароля, можете вернуться и рассмотреть более длинный вариант – или нажать кнопку «Да».
11. Планируете работать с файлами более 4 Гб? Вопрос связан с ограничением файловой системы FAT. Если оставите выбор по умолчанию («Нет»), то при подготовке флешки будет использована система FAT — с ограничением, но более совместимая с разными устройствами. Если выберете «Да», будет предложена система exFAT. На следующем экране вы можете скорректировать выбор. Нажмите «Далее».
12. Дальнейшие шаги по подготовке флешки аналогичны шагам по созданию файлового контейнера.
Как работать с подготовленной флешкой? Вставьте ее в USB-порт. Операционная система сообщит, что диск не отформатирован, и предложит его отформатировать. Будьте осторожнее, не соглашайтесь.
Нажмите кнопку «Отмена» и действуйте так же, как с зашифрованными файловыми контейнерами. Откройте VeraCrypt, в главном окне программы нажмите кнопку «Устройство…», выберите диск и нажмите «ОК». Затем нажмите кнопку «Смонтировать». Если пароль верный, в системе появится новый диск – так, словно мы смонтировали файловый контейнер. Если же пароль ошибочный, вы увидите окошко «Неверный пароль, либо это не том VeraCrypt».
Установка
Для установки Tails нам понадобится две флешки. Почему две? Чтобы понять, что такое рекурсия, нужно сначала понять, что такое рекурсия. А Tails можно установить, только используя Tails. Скачиваем ISO с официального сайта tails.boum.org. Образ рекомендуется сразу проверить с помощью OpenPGP, подробная инструкция о том, как это сделать, есть на сайте. Скачанный образ записываем на первую, промежуточную флешку с помощью Universal Usb Installer. После этого можно выключать компьютер и загружаться с флешки. Когда ОС загрузится, нужно будет вставить вторую (основную) флешку и выбрать Applications → Tails → Tails Installer Install by Cloning.
Если все получилось, то система готова к работе.
Подготовка зашифрованного контейнера.
Итак, флэшка готова. Теперь пришло время создать шифрованный контейнер, в котором и будут находится все наши важные и неважные данные. Запускаем TrueCrypt. Главное окно программы показано ниже:
Заходим в меню «Тома» и выбираем пункт «Создать новый том». Откроется мастер создания томов. Подробно все опции мастера я описывать не буду, это, возможно, будет темой для других статей. Опишу только то, что касается текущей нашей темы. Идем по порядку:
«Создать зашифрованный файловый контейнер» , «Далее >»
«Обычный том TrueCrypt» , «Далее >»
В окне «Размещение тома» жмем кнопку «Файл», выбираем место, где создать файл-контейнер, и его имя. Имя может быть любым. Расширение не обязательно. Для примера, я создам файл myflash на диске С. Зачем на диске C, если можно было прямо на флэшку? Можно, но я рекомендую создавать файл-контейнер сначала на жестком диске, т.к. процесс его создания непосредственно на флэшке в силу ее невысокой скорости записи/чтения будет очень долог.
Жмем «Далее >».
Алгоритмы шифрования и хэш алгоритмы, если вы не знаете о чем идет речь, лучше оставить без изменения. Чтобы узнать о них подробнее, можно кликнуть на ссылках, предлагаемых программой. Я оставил все без изменения.
Жмем «Далее >».
Размер тома. Здесь надо указать максимальный размер будущего файла-контейнера. Сделаем размер контейнера по объему нашей флэшки минус небольшой запас для файлов TrueCrypt, которые так же будут на флэшке. Файлы TrueCrypt займут около 4 Мб. Я ставил эксперименты на флэшке объемом 4 Гб, поэтому у меня размер файла-контейнера будет равен 3800 мегабайт. Реально, если потом посмотреть свойства файла, его объем будет составлять 3 984 457 728 байт, т.е. занимает почти весь объем флэшки. Останется небольшое количество свободного места, ну и пусть, это копейки. В общем, размер подбирается экспериментально-индивидуально, в зависимости от флэш-диска.
Жмем «Далее >».
Задаем пароль тома. Это тот пароль, который будете знать только вы, и только введя его человек сможет получить доступ к данным на вашей флэшке. Без него файл-контейнер не открыть. Не забудте введенный пароль. Другого пути доступа к зашифрованной информации не существует, взломать контейнер невозможно!
Галочку «Ключ. файлы» не ставим. Можно поставить галку «Показ пароля» чтобы видеть глазами то, что вы ввели. После этого жмем «Далее >».
В окне «Форматирование тома» настроек не трогаем. Файловая система внутри контейнера особой роли не играет. Единственное, что нужно — поводить в этом окне мышкой несколько раз для того, чтобы увеличить вероятность случайного генерирования ключей. Впрочем, там все написано. После этого жмем кнопку «Разметить» и ждем, когда программа подготовит контейнер. Время ожидания зависит от мощности компьютера и скорости обмена жесткого диска. По окончании TrueCrypt сообщит что «Том TrueCrypt успешно создан.», а нам того и надо. Жмем «Выход».
Итак, том создан. Переносим его на флэшку. Я рекомендую создать на ней папочку, куда и поместить наш шифрованный контейнер. Зачем — будет понятно в разделе «Рулим безопасностью». Я создал у себя на флэшке папку «MyFlash» куда и переместил свой файл «MyFlash», вот такой я оригинал
Как запаролить флешку при помощи программ
Нельзя сказать, чтобы выбор программных средств для защиты данных является скудным. Помимо независимых разработок каждый порядочный производитель флеш-накопителей предлагает своё решение. Общий принцип настройки присутствует если не во всех, то в большинстве подобных утилит. Как установить пароль на флешку рассмотрим на примере программы RohosMiniDrive.
- Скачайте с сайта производителя и установите программу.
- Подключите флешку к компьютеру.
- Запустите программу, выберите «Зашифровать USB диск».
- Придумайте хороший пароль и введите его в соответствующие поля.
- В разделе «Параметры диска» укажите необходимый размер защищаемого раздела. Особенность программы такова, что она шифрует не все данные, а создаёт для этих целей специальный раздел.
- После того как вводные заданы, можете нажать «Создать диск».
Теперь все данные будут надёжно защищены, а также скрыты от просмотра. Получить доступ к ним можно через главное меню программы или с помощью исполняемого файла, созданного на незащищённом разделе (Rohosmini.exe).
https://youtube.com/watch?v=3hDR2onbV6w
Лучшие программы для паролирования флеш карт памяти
Не все специализированные программы хороши для защиты данных. Некоторые имеют явные огрехи со стабильностью или надёжностью. Ниже будут указаны и кратко рассмотрены четыре программы, которые уже успели себя зарекомендовать с положительной стороны.
- RohosMiniDrive – бесплатная, защищает не весь диск, а только указанную его часть.
- TrueCrypt – очень популярная программа с обширными функциями. С весны 2014 года дальнейшая разработка, увы, прекращена.
- USBSafeguard – не требует установки, объём диска ограничен двумя гигабайтами для бесплатной версии.
- BitLocker – шифрует весь объём флешки, поставляется в комплекте с Windows, но не во всех редакциях.
Используйте в паролях не менее восьми символов с сочетанием цифр, прописных и строчных букв, специальных знаков. Не забывайте паролей, ибо рискуете потерять данные навсегда.
Установка VeraCrypt в Windows
Имеется мастер установки, поэтому процесс установки VeraCrypt схож с аналогичным процессом других программ. Разве что можно пояснить несколько моментов.
Установщик VeraCrypt предложит две опции:
- Install (Установить VeraCrypt в вашу систему)
- Extract (Извлечь. Если вы выберите эту опцию, все файлы из этого пакета будут извлечены, но в вашу систему ничего не будет установлено. Не выбирайте её если вы намереваетесь шифровать системный раздел или системный диск. Выбор этой опции может быть полезен, например, если вы хотите запускать VeraCrypt в так называемом портативном режиме. VeraCrypt не требует установки в операционную систему, в которой она будет запускаться. После извлечения всех файлов, вы можете запускать непосредственно извлечённый файл ‘VeraCrypt.exe’ (откроется VeraCrypt в портативном режиме))
Если вы выберите отмеченную опцию, т.е. ассоциацию с файлами .hc, то это добавит удобство. Поскольку если вы создадите контейнер с расширением .hc, то по двойному клику по данному файлу будет запускаться VeraCrypt. Но минус в том, что посторонние лица могут знать, что .hc являются зашифрованными контейнерами VeraCrypt.
Программа напоминает о донате:
Если вы не стеснены в средствах, конечно же, обязательно помогите автору этой программы (он один) не хотелось бы его потерять, как мы потеряли автора TrueCrypt…
Защита флешки с помощью VeraCrypt
Среди пользователей существует мнение, что BitLocker обеспечивает не столь эффективную защиту как специальные сторонние программы. Если вы тоже так считаете и хотите найти другой способ поставить пароль на флешку, воспользуйтесь VeraCrypt – мощной бесплатной программой для шифрования данных в Windows, созданной на базе прекратившего своё существование проекта TrueCrypt. Первым делом заходим на сайт разработчика, скачиваем программу и устанавливаем её на компьютер. По умолчанию в VeraCrypt используется английский язык, посему после запуска сразу заходим в настройки (Settings – Language) и меняем язык интерфейса на русский.
Теперь подключаем флешку и приступаем к делу. В меню VeraCrypt «Сервис» выбираем «Мастер создания томов».
В окне мастера вам будет предложено выбрать вариант защиты. Если флешку необходимо зашифровать полностью, следует выбрать опцию «Зашифровать несистемный раздел/диск». Можно также зашифровать часть флешки, выбрав «Создать зашифрованный файловый контейнер», что мы сейчас и продемонстрируем. Выбираем соответствующий пункт, а потом жмем «Далее».
В следующем окне устанавливаем переключатель в положение «Обычный том VeraCrypt».
Далее в окне «Размещение тома» указываем путь к файлу-контейнеру на флешке.
Понятно, что у нас его нет, но так и должно быть. Создаём его на месте в окне Проводника, имя и расширение файлу можно дать абсолютно любое. В нашем примере файл называется data.db.
Жмём «Далее».
Настройки шифрования оставляем по умолчанию, затем указываем желаемый размер контейнера и придумываем пароль.
Теперь, наконец, приступаем к форматированию и разметке тома, ознакомившись перед этим с пометкой «ВАЖНО» и выполнив все указанные в ней рекомендации
В результате на флешке будет создан файл, который невозможно прочитать ни одной программой.
Чтобы сохранить в него данные, его нужно смонтировать. Для этого возвращаемся в главное окно VeraCrypt, выделяем любую свободную букву, жмём «Файл», указываем путь к созданному ранее контейнеру и нажимаем кнопку «Смонтировать».
Программа тут же запросит пароль доступа.
После того как вы введете пароль и нажмёте «OK», в разделе «Этот компьютер» появится виртуальный том, а по сути – зашифрованная область файловой системы вашей флешки. Работать с ним можно как с любым другим разделом, когда же работа будет завершена, останется только размонтировать его нажатием одноимённой кнопки в главном окне VeraCrypt.
Воспользоваться флешкой с зашифрованным контейнером можно только на компьютерах с установленным VeraCrypt. Если вы хотите иметь возможность работать с накопителем на ПК без VeraCrypt, необходимо будет загрузить файлы программы на флешку с помощью функции настройки переносного диска.
Начало работы
После загрузки с рабочей флешки нам потребуется создать постоянный (persistent) защищенный раздел, своеобразный «жесткий диск на флешке». Это делается через Application → Tails → Configure Persistence.
Перезагружаем компьютер и на загрузочном экране выбираем Use Persistence и More Options, после чего вводим пароль для нашего хранилища.
Из меню внизу экрана выбираем регион
Это важно, поскольку от региона зависят входные узлы Tor. Здесь следует поэкспериментировать
В моем случае лучшим выбором оказалась Дания.
В меню расширенных настроек задаем пароль для программ, которым нужны права администратора. Можешь поставить любой, он работает в рамках сессии и ни на что больше не влияет.
Имей в виду, что загрузка занимает некоторое время, а потом Tails еще несколько минут будет подключаться к Tor. Отслеживать процесс можно, щелкнув по иконке Onion Circuits — луковичке в верхнем правом углу экрана.
Спустя некоторое время Tails проинформирует об успешном подключении к Tor. По умолчанию сеть сконфигурирована так, что весь трафик будет проходить через него. Теперь можно скачать все, что нам нужно для работы.
Шифрование флешки Linux
Теперь, когда утилита VeraCrypt установлена в системе, вы можете выполнять шифрование флешки linux или любых других носителей. Перед тем как начать отключите все USB накопители. Этот процесс сотрет все данные на флешке. Пусть нужный накопитель будет подключен но размонтирован.
Шаг 1. Создание раздела
Когда вы в первый раз запустите VeraCrypt, вы увидите простое окно со списком всех устройств, которые можно подключить. Это не реальные жесткие диски, это просто места, куда вы можете подключить зашифрованный раздел. Но это потом. Сейчас нажмите кнопку «Create Volume»:
Шаг 2. Выбор типа раздела
Здесь вы можете создать шифрованный контейнер в файле или же зашифровать целый раздел. Для шифрования флешки нам нужно выбрать второй пункт:
Шаг 3. Обычный или скрытый
В следующем окне мастера можно выбрать тип раздела, который будет размещен на флешке — обычный или скрытый. Скрытые разделы нельзя увидеть если вы не знаете, что они там есть. Такие разделы добавляют дополнительный уровень безопасности, но вам придется помнить где они расположены.
Шаг 4. Выбор USB
Дальше вам нужно выбрать USB устройство, которое вы хотите зашифровать. Выберите его из списка доступных устройств:
Также, вы можете шифровать все устройство или только один раздел на нем. Просто выбирайте на раздел на устройстве, а само устройство.
Шаг 5. Выберите метод шифрования
На следующем этапе нужно выбрать какой алгоритм будет использоваться для шифрования. Это очень важный шаг. На данный момент для максимальной безопасности достаточно выбрать AES и SHA512.
Шаг 6. Создание пароля
Пароль необходим чтобы только вы могли получить доступ к вашему диску. Вам нужно выбрать такой пароль, чтобы сохранить баланс между безопасностью и запоминаемостью. Идеальный — сложный пароль из букв, цифр и символов. Но если вы забудете этот пароль, ваши данные будут утеряны навсегда.
Выберите будет ли флешка использоваться только в Linux или ее можно будет подключать в других системах:
Шаг 8. Форматирование
Последний шаг — это выбрать файловую систему для шифрованного раздела и отформатировать его:
По умолчанию установщик предлагает использовать файловую систему FAT, но если вы хотите хранить большие файлы, более 4 Гб, то вам нужно выбрать Ext4 для Linux или NTFS для Windows.
Для получения большего количества случайных событий во время шифрования подвигайте мышкой в окне программы пока не заполниться синий индикатор.
Пароль без программ – BitLocker
Операционная система Windows, начиная с версии 7 наделена возможностью шифрования логических разделов и целых накопителей посредством встроенного средства BitLocker. Все копируемый на такой диск файлы буду шифроваться на лету.
Перед использование функции ее необходимо активировать.
- Идем в «Панель управления».
- Выбираем «Система и безопасность».
-
Кликаем «Шифрование диска «BitLocker».
-
Кликаем «Включить BitLocker» возле иконки съёмного накопителя.
- В окне с запросом выбрать метод снятия блокировки выбираем первый пункт: «Использовать пароль…».
-
Вводим пароль из 8-ми или более символов для защиты флешки и подтверждаем его. Жмем «Далее».
-
Кликаем «Сохранить ключ восстановления на Flash-накопителе».
- Указываем путь к файлу и сохраняет его. Жмем «Далее».
-
Подтверждаем шифрование диска, нажав «Начать шифрование».
-
Дожидаемся завершения процедуры.
По завершении операции на экране отобразится окно с сообщением о завершении процесса.
- Кликаем «Закрыть».
Защищенный раздел в Проводнике отображается значком с замком, как на скриншоте.
Выводы
Лично для меня программа CyberSafe Top Secret 2 стала заменой TrueCrypt. Хотя бы на время, пока эта программа будет поддерживаться разработчиками или пока не найду что-либо лучше. Необходимые мне функции для создания зашифрованного виртуального диска она вполне выполняет и вдобавок предоставляет дополнительные. Думаю, многим пользователям пригодятся функции по отправке зашифрованных файлов, по работе с сертификатами и электронными цифровыми подписями. Интерфейс программы прост и интуитивно понятен, поэтому не думаю, что у тебя возникнут проблемы с использованием остальных ее функций, хотя они и не рассмотрены в этой статье.
Итого
Итого… мы получили флэшку, информация на которой доступна только нам. Конечно, универсальный пароль (паяльник в анальном отверстии) никто не отменял, но без него никто не сможет получить доступ к вашим данным. Да, при утере флэшкой воспользоваться смогут. Но только как флэшкой. Данные останутся недоступными.
Я думаю, не стоит лишний раз напоминать, что чем проще пароль, тем проще его подобрать тупым перебором или по словарю. От этого никакое шифрование не спасет. Поэтому, избегайте простых паролей. Многие люди допускают одну и ту же ошибку — используют один пароль (пусть даже и сложный) везде, где он требуется. Это грубейшая ошибка, т.к. один раз узнав пароль (а способов узнать его великое множество) злоумышленник получает доступ ко всем запароленным данным пользователя. Но это уже на совести самого пользователя.
Берегите свою информацию, ибо, как известно, именно она правит миром.
Поделиться с друзьями: