10 марта 2009 в 10:09

Рецепт: Как сделать зашифрованную USB флешку?

Информационная безопасность

У каждого человека есть секреты. Личный дневник, пароль от банковского счета в Швейцарии, фотки укреплений вероятного противника, чертежи вечного двигателя, список любовниц, да мало ли что еще. Данные удобно хранить на USB флешке. Она маленькая, дешевая, емкая. Ее легко носить в кармане, просто спрятать или передать другому человеку. Но так же просто флешку потерять.

Задача: мне нужен USB флеш диск вся информация на котором зашифрованна. Когда я вставляю флешку в компьютер – она должна спрашивать пароль и без правильного пароля не расшифровываться. Флешка должна работать автономно, без установки на компьютер какого либо софта.

Берем любой доступный нам флеш диск и приступаем.

Шаг 1.

Качаем TrueCrypt . Сейчас последняя версия – 6.1а . Есть русификация . TrueCrypt – бесплатная программа с открытым кодом для шифрования данных. Работает под Windows, Mac и Linux.

Устанавливаем TrueCrypt на компьютер. Установка TrueCrypt-a нам нужна только для создания флешки. Потом TrueCrypt можно удалить.

Шаг 2.

Подготовим флешку для работы. Для начала стираем оттуда все данные. Теперь запускаем TrueCrypt и выбираем пункт меню Tools --> Traveler Disk Setup…

В появившимся окне указываем букву диска куда смонтирована сейчас флешка и путь к [несуществующему пока] файлу с зашифрованными данными: e:\datafile.tc

Остальные опции рекомендую выставить как на скриншоте.

Нажимаем Create и TrueCrypt запишет на флешку все необходимые служебные файлы.

Шаг 3.

Теперь осталось создать на флешке зашифрованный файл с данными.

В меню TrueCrypt-a выбираем Tools --> Volume Creation Wizard

Указываем путь к тому же файлу, что вводили при создании флешки:

Выбираем алгоритмы шифрования и хэширования по вкусу. Рекомендуется оставить все как есть.

Выбираем размер файла с данными. Поскольку мы хотим чтобы все пространство флешки было зашифрованно, вводим максимально возможное число.

Придумываем и вводим пароль. Будте внимательны! Пароль должен быть длинный и сложный, чтобы его нельзя было сломать брут форсом. Но и запоминающимся. Потому как если забудете – то данные будут утерянны.

Теперь выбираем тип файловой системы и водим мышкой по области окна, чтобы True Crypt смог сгенерировать по настоящему случайное число. Жмем Format.

Через несколько минут на флешке будет создан большой зашифрованный файл.

Если вставить такую флешку в любой компьютер под Windows – появится окошко:

И если пароль введен верно – система смонтирует зашифрованный файл как еще один диск.

Несколько предостережений

Итак мы имеем флешку, которая зашифрованна надежным алгоритмом и готова к работе на любом, даже неподготовленном компьютере. Конечно, идеальной защиты не существует, но теперь потенциальному злоумышленнику потребуется на многие порядки больше времени, средств и опыта, чтобы добраться до ваших данных.

Перед тем как вынуть флешку, не забывайте размонтировать диск через иконку в панели задач.

Имейте в виду, что после редактирования или просмотра ваши секретные данные могут остаться во временных файлах или в файле подкачки операционной системы.

Сам факт использования шифрования не будет секретным. На компьютере могут остаться записи в логах или регистре. Содержимое флешки открыто указывает на применение технологии шифрования. Так что ректо-термальные методы взлома будут самыми эффективными.

Для сокрытия факта шифрования TrueCrypt предлагает технологии зашифрованного диска с двойным дном и со скрытой операционной системой. Но это уже совсем другая история.

Post-scriptum

Спасибо всем участникам обсуждения за интересные вопросы и критику.

В качестве послесловия хочу ответить на два наиболее популярных возражения.

Почему не использовать встроенную в Windows NTFS Encrypted File System, как порекомендовал ?
Зачем нужно условие автономности флешки, ведь на своем компьютере можно установить TrueCrypt стационарно? А подключая флешку в чужой компьютер мы рискуем поспастся на кейлогеры и прочие закладки.

Почитал я про эту Encrypted File System и поэксперементировал на компе. Возможно для некоторых случаев такой метод шифрования и подойдет. Но не для меня.

Самое главное. EFS шифрует только содержимое файлов. Список файлов, структура вложенных папок, их названия, размеры, даты редактирования остаются открытыми. Эта информация может компроментировать вас напрямую, а может являться причиной дальнейшей вашей разработки. Если в вашей папке найдут зашифрованный файл ДвижениеЧерногоНала.xls или ИзнасилованиеТринадцатилетнейДевственницы.avi то от шифрования самого файла вам будет не легче.

Второе. Зашифрованные файлы доступны все время, пока вы залогинены на вашем компьютере. Неважно работаете вы с секретной информацией или играете в сапера. Конечно, под своим логином за комп лучше никого не пускать. Но ситуации бывают разные. Кроме того, работая под виндой, даже на собственном компьютере никогда не знаешь какой процесс шарится у тебя по файловой системе. TrueCrypt обеспечивает простое и понятное управление сессией работы с зашифрованным томом. Смонтировал, поработал, размонтировал. Время доступности данных сокращается на порядки. А с ним и риск.

Ну и наконец про автономность и переносимость на произвольный компьютер. Вставляя флешку в чужой компьютер, мы рискуем и не следует этого делать регулярно. Но, опять же, разные бывают ситуации. Основной компьютер может выйти из строя, быть выброшен на помойку 3 года назад, остаться в другой стране. Конкретный сценарий - представте что вы уехали в командировку и забыли флешку на работе. И вам нужно по телефону обьяснить секретарю как добраться до нужного вам файла. Информация не только должна быть надежно защищена. Она должна быть еще и легко доступна. Все что нужно для доступа к файлам на флешке под TrueCrypt – это компьютер под XP в стандартной конфигурации, пароль и 10 секунд времени. C EFS тоже можно добиться переносимости флешки. Но процедура подключения будет гораздо сложнее. Нужно расшифровывать и импортировать ключ. А в конце сессии – удалять его из системы.

Безусловно, описанный рецепт обладает рядом недостатков и уязвимостей. Но, ИМХО, это наиболее практичный и сбалансированный способ хранить секреты на текущий момент.

Неважно, страдаете ли вы паранойей или просто цените свои данные, вы должны прекрасно понимать, какую опасность для данных несут съемные устройства памяти. Да-да, я про флешки и внешние жесткие диски. Потерять их проще простого, а вреда от этого может быть очень много. Именно для тех, кто вынужден работать с такими важными данными и созданы продукты iStorage. Среди них есть и внешние жесткие диски, и флешки, и именно о последних я и расскажу. Итак, USB-накопители datAshur.

Выглядит datAshur совсем так же? как обычная флешка (они выпускаются емкостью от 4 до 32 гигабайт, в России продаются две старшие модели на 16 и 32 Гб), совсем немного превосходя ее размерами: 80 х 20 х 10,5 мм, вес 25 грамм. Причем даже внешне флешка очень неплохая, в черном корпусе, покрытом пластиком софт тач и с дополнительным металлическим чехлом, в который ее можно убрать. В торец вставлено прочное кольцо-тросик. Из опознавательных знаков на ней есть надписи «datAshur» и «iStorage». Поставляется устройство в традиционном блистере, как водится плотно запаянное со всех сторон, так что для распаковки вам понадобятся надежные ножницы.

Но, разумеется, есть в этой флешке и особенности. От своих простых собратьев «Ашур» отличается 11-кнопочной клавиатурой и тремя светодиодами разных цветов, тогда как на обычных флешках обычно есть только один. Кнопки небольшие, но удобные - они прорезиненные, нажимаются с четким щелчком, помимо букв на них для удобства нанесены цифры.

В первую очередь данная флешка бережет ваши данные от физических воздействий. Прочный металлический корпус защитит от ударов, а пылевлагозащита по классу IP57 - защитит от досадных неприятностей, связанных с жидкостью. Разумеется, идти плавать в море с datAshur на шее не стоит, но от случайных попаданий в воду на короткое время - устройство не пострадает.

Работает вся защита паролем достаточно просто. Нажимаем кнопку с ключом, начинают моргать два светодиода, предлагая ввести пин-код (его можно задавать от 7 до 15 символов), вводим его, еще раз жмем «ключик» и если код введен правильно, плавно моргнут оба светодиода, подтверждая успех и устройство разблокируется. У вас есть 30 секунд пока моргает зеленый индикатор, в течение этого времени надо подключить устройство к нужному вам компьютеру/планшету/чему угодно с USB-портом, после этого им можно пользоваться. При отключении от устройства флешка автоматически блокируется.

Если пароль введен неудачно - загорится красный светодиод, и у вас будет на одну попытку меньше. После десяти неудачных попыток данные станут совершенно недоступны. Это необходимо учитывать, и не давать datAshur «поиграться» детям, сотрудникам, девушкам, в общем - никому.

Приятная особенность datAshur - это возможность назначить два пин-кода, «пользовательский» и «админский», если «пользовательский» код был введен неправильно 10 раз - можно использовать «админский» для его сброса, это позволит давать флешку кому-то на время с меньшим риском потерять данные.

Есть ряд дополнительных операций, которые проделываются с помощью клавиатуры, например смена ключа (все тщательно описано в инструкции).

На первый взгляд это выглядит очень просто, но на самом деле - внутри datAshur-а данные на лету шифруются с помощью алгоритма AES с 256-битным ключом (шифр Rijndael, который является стандартом шифрования правительства ). Именно поэтому даже сложные операции с выпаиванием микросхем памяти и прямой работой с ними ничего не дадут (тем более, что datAshur внутри залита эпоксидной смолой, что делает разборку без повреждения практически невозможной).

Технически это реализовано очень грамотно. В корпусе устройства установлена непосредственно флеш-память и специальный процессор для криптографии. Этот процессор генерирует случайный ключ, который используется для шифрования того, что записывается на флеш и сохраняет его в своей внутренней памяти, к которой нет доступа извне. Там же хранится пин-код. Если пин-код введен правильно, процессор получает доступ к ключу и использует его для расшифровки данных, если код введен неправильно 10 раз - ключ просто «забывается».

Стоит учитывать, что для питания процессора шифрования используется встроенный аккумулятор, поэтому данная флешка нуждается изредка в зарядке, это не составляет никаких проблем, так как заряжается она от USB, просто стоит учитывать, что если аккумулятор разрядился, надо сначала подключить к USB, а потом разблокировать.

Разумеется, организовать защищенное хранилище на флешке можно и бесплатно, например используя программу True Crypt, но аппаратное шифрование несет ряд преимуществ.

Во-первых, оно быстрее, я тестировал эту флешку, она работает практически без потерь в скорости по сравнению с обычной флешкой, показывая максимальные для USB 2.0 результаты.

Во-вторых, использование datAshur проще чем программами шифрования, особенно для неопытных пользователей.

В-третьих, за счет того, что шифрование «прозрачно» для системы, datAshur работает с любыми операционными системами и устройствами, начиная с OS X и заканчивая смартфонами, поддерживающими USB OTG и современными «умными» телевизорами.

В-четверых, бывают ситуации, когда не только установить, но даже просто запустить программу шифрования невозможно: чужой компьютер, строгие корпоративные политики и так далее.

В-пятых, программы шифрования подвержены разным сложным атакам, позволяющим получить пароль, например перехватом нажатий клавиатуры. Аппаратное шифрование datAshur исключает такую возможность.

Стоит учитывать, что datAshur не спасает от самого надежного метода взлома - терморектального, но от него не защищает ни одна криптосистема в мире. В остальных же случаях datAshur надежно защитит вас от неприятностей в случае утери или несанкционированного доступа.

Стоимость данных флешек составляет 5900 руб. за 16 ГБ и 7900 руб. за 32 ГБ, приобрести их можно . Разумеется, эта цена заметно выше стоимости простых флешек той же емкости, но когда на кону стоит риск потери важной информации - данная цена за надежную криптозащиту не кажется чрезмерной.

Доброго дня! Сегодня мы будем говорить о проблеме несанкционированного доступа к электронной информации. Причем попытаемся надежно защитить свою информацию, потому как уж если делать, то наверняка. И сделаем это с помощью freeware (бесплатно распространяемых) средств.

Есть, конечно, множество более простых и не требующих от исполнителя большого количества действий, программ, но все они имеют недостаток в присутствии оплаты за свою работу.

Также выбирая с каким программным продуктом связаться, рассматривался вариант использования не только Windows ОС но и *nix. Поэтому взвесив все за и против я решился написать про ПО TrueCrypt главной задачей которого и является шифрование носителей информации. ПО сие является бесплатным и opensource (с открытыми исходным кодом).

Задача простая, создать внешний носитель, который содержит на себе информацию в зашифрованном виде, и получить доступ к этой информации можно лишь набрав пароль. Флеш накопитель может быть использован на разных компьютерах.

Использовать мы будем с вами версию Версию 7.1a, как проверенную несколькими независимыми аудиторами и признанную безопасной. Скачать ее можно . Также чуть ниже самой программы есть список поддерживаемых языков, где следует выбрать русский и скачать русификатор тоже..

Скачав инсталятор, приступим. Запускаем файл TrueCrypt Setup 7.1a.exe.

Выбираем Extract, т.к мы устанавливаем программу для переносного устройства, то наличие ее далее на компьютере не обязательно. Выбираем место куда распаковать ее, пусть это будут Мои документы. Далее соглашаемся с тем, что необходимо всеже поставить в систему необходимые драйвера для первичного создания\шифрования. И завершаем установку проверив, что галочка Open the destination location when finished отмечена. По завершению установки нам откроется папка с установленной программой, запускаем файл TrueCrypt.exe.

Вообще в программе много разных возможностей, и мы с Вами в рамках статьи рассмотрим только одну. Как вы помните нам необходимо создать максимально мобильный «черный ящик».

Приготовьте носитель, уберите с него всю информацию или скопируйте на ваш HDD. Также необходимо его отформатировать штатными средствами Windows. Зайдите в Мой компьютер, ПКМ на флешку и выбираем форматировать.

Файловую систему ставим NTFS, т.к будем создавать файл размером на весь флеш накопитель, в системе FAT32 файлы более 4гб не создаются. В метке тома укажите название носителя, можете не указывать ничего.

Вернемся к нашей свежеустановленной программе Truecrypt. Для начала, давайте ее локализуем в нашем случае русифицируем. Помните мы качали с сайта файлик русификации ? Теперь идем к нему и распаковываем его, затем все содержимое кидаем в папку с TrueCrypt. Файл Language.ru.xml должен лежать в итоге в одной папке с TrueCrypt.exe. Должно получиться так:

После распаковки вернемся к программе TrueCrypt. В верхнем меню ищем раздел Settings -> Language выбираем в списке Русский и жмем Ок.

Теперь займемся собственно созданием шифрованного контейнера на флешке. Создадим на флешке пустой файл. В принципе не суть как вы его назовете и какое расширение выставите. Советую лишь ставить расширение файлов с большими объемами данных типа *.iso либо.mkv и называть соответственно. В нашем случае роль контейнера «черного ящика» будет выполнять файл The_Matrix_Reloaded.iso. Для создания пустого файла жмем ПКМ на любом пустом месте флешки и выбираем Создать -> Текстовый документ.txt, далее меняем у него называние и расширение. После того как файл создан сделаем ее переносной. Для этого идем в верхнее меню программы Сервис -> Настройка переносного носителя. В поле файловые параметры выбираем внимательно свою флешку. Выбираем чекбокс Автоматическое монтирование тома TrueCrypt и в поле ниже с помощью кнопки Обзор указываем созданный нами ранее файл на флеш носителе. В моем случае это The_Matrix_Reloaded.iso.

Жмем создать, потом Ок и Закрыть. Сейчас на флешке создались файл autorun.inf с прописанным сценарием подгрузки файла TrueCrypt.exe и монтировании контейнера. Но сразу хочу тут отметить, что при блокированном либо отключенном вовсе автозапуске со съемных носителей это все работать не будет. Для этого придется делать финт ушами, но о нем ниже. А пока собственно создаем шифрованный контейнер в нашем файле. Идем в Сервис -> Мастер создания тома .Выбираем верхний пункт: Создать зашифрованный файловый контейнер .

Далее в поле размещение тома жмем обзор и выбираем наш ранее созданный файл. В моем случае это The_Matrix_Reloaded.iso. Жмем далее, при желании крутим методы шифрования, если нет желания то жмем Далее. В разделе Размер тома необходимо выставить размер шифрованного контейнера. Тут вам решать, он может быть и на всю флешка, может быть и на половину и лежать так сказать вместе с открытыми данными. Вводим число в MB и двигаемся дальше.

Далее же нам необходимо будет создать пароль, причем TrueCrypt поддерживает как просто парольные фразы, так и ключевые файлы, и даже совместно ключевые файлы и фразы. Мы ограничимся простым паролем введя его в оба поля и перейдем дальше.

На последнем шаге Форматирование тома в разделе опции следует выбирать файловую систему NTFS. Нажать кнопку Разметить и пойти попить чайку. Время на шифрование TrueCrypt требует в зависимости от объема шифруемого контейнера, но в любом случае чай попить Вы успеете 🙂

В итоге мы имеем переносной носитель на котором расположены: Папка с TrueCrypt, файл для работы автозапуска autorun.inf и файл-контейнер собственно в котором лежат все наши данные. При подключении носителя к любому компьютеру начиная с Windows XP заканчивая Windows 10, вылетает окошко для ввода пароля и после его ввода монтируется еще один диск, на котором собственно и лежат наши зашифрованные данные. Но бывает так, что на некоторых компьютерах автозапуск отключен. Для этого я предлагаю вам воспользоваться созданным мною bat-файлом либо создать самим. Создаем на флешке файл. Для создания пустого файла жмем ПКМ на любом пустом месте флешки и выбираем Создать -> Текстовый документ.txt. Переименовываем его в start.bat или mount.bat как больше нравится и щелкнув ПКМ по нем выбираем пункт Изменить. В самом файле сохраняем строчку:

truecrypt\truecrypt.exe /q background /e /m rm /v "The_Matrix_Reloaded.iso"

Где The_Matrix_Reloaded.iso вы меняете на название своего файла-контейнера. Ну и для размонтирования можно создать также батник stop.bat или unmount.bat в теле которого вписать следующие:

truecrypt\truecrypt.exe /q /d

Процедура на самом деле очень простая, и возможностей у TrueCrypt много. И степень надежности шифрования вызывает уважение. Ниже я прикрепляю архив в котором содержится:

TrueCrypt Setup 7.1a.exe
langpack-ru-1.0.0-for-truecrypt-7.1a.zip
start.bat
stop.bat

Все важные данные надо хранить в зашифрованном виде. Флешки теряются чаще, поэтому рассмотрим наиболее простые и эффективные способы защитить информацию на USB-накопителях, передает Tech Today .

Воспользуйтесь флешкой с аппаратным шифрованием

Это самый простой и одновременно самый дорогой способ защиты. Такие накопители разработаны для надежного хранения корпоративных тайн и раскроют к ним доступ только владельцу и, возможно, спецслужбам. Устройства такого класса, например, DataTraveler 2000 Metal Security производства Kingston, поддерживает самые совершенные алгоритмы шифрования и имеют клавиши для введения пароля. Удобно то, что криптографическая защита обеспечивается силами самой флешки и не зависит от типа операционной системы на компьютере и установленных программ.

Достаточно ввести числовой код, и с файлами на флешке можно работать, как обычно. После отсоединения от компьютера доступ к данным будет закрыт. Недостаток защищенных флешек: если вы забудете пароль или введете его неправильно, например, 10 раз подряд, ключ шифрования и данные будут уничтожены и накопитель вернется к заводским настройкам.

BitLocker - встроенный шифровальщик Windows 7/8/10
Если вы пользуетесь максимальной версией Windows, к вашим услугам - штатная криптографическая защита BitLocker.

Чтобы зашифровать флешку, в окне «мой компьютер» правой кнопкой кликните по иконке диска и выберите из контекстного меню пункт «Шифрование». Запустится процедура шифрования диска.

Выберите шифрование с паролем и придумайте надежный пароль. В зависимости от объема флешки процедура шифрования длиться от десяти минут до нескольких часов. После завершения процесса шифрования флешка готова к использованию.

Подключая ее к компьютеру, каждый раз необходимо будет вводить пароль для доступа к данным. В настройках возможно отключить обязательное введение пароля для конкретного компьютера.

VeraTrueCrypt - бесплатное шифрование данных
Небольшая утилита VeraCrypt - потомок другого популярного инструмента для шифрования данных TrueCrypt, работа над которым была прекращена в прошлом году. Существуют версии VeraCrypt для операционных систем Windows, Mac OS X, Linux и даже Raspbian (ОС для микрокомпьютеров Raspberry Pi).

После установки не требует дополнительных настроек для начала работы. Для шифрования флешки в меню «Тома» выбираем «Создать новый том». Далее последовательно указываем «Зашифровать несистемный раздел/диск» - «Обычный том VeraCrypt», указываем путь к тому, что соответствует флешке. Дальше выбираем «Создать зашифрованный том и отформатировать».

Все файлы на флешке будут удалены, поэтому шифруйте накопитель до того, как начнете хранить на нем данные. После создания пароля начнется процесс шифрования.

Чтобы получить доступ к зашифрованной флешке, необходимо в главном окне VeraCrypt выбрать свободную букву диска, указать путь к поэтому (что-то вроде Device\Harddisk3\Partition1) и нажать кнопку «Смонтировать». Процесс продлится от нескольких секунд до минуты. Потом диск с выбранной буквой появится в системе, и с ним можно будет работать. Перед отключением флешки зашифрованный том необходимо размонтировать.

Недостатки метода: VeraCrypt должно быть установлено на всех компьютерах, где необходимо иметь доступ к зашифрованным данным. В системе флешка отображается как неотформатированная.