Защита (шифрование) данных на локальном диске
В контексте IT-безопасности хочу поднять тему защиты данных на локальном диске.
Если кратко, то вопрос звучит так: каким образом защитить данные на диске от несанкционированного доступа, напр., при краже или «изъятии» оборудования?
По старинке можно всё хранить в запароленных архивах, но работать с такими файлами не очень удобно — необходимы дополнительные телодвижения. Признаться, меня такой подход устраивал ... до тех пор, пока я не «подсел» на online-сервисы для хранения данных (Google Drive, OneDrive, ownCloud, etc.) — в основном я взаимодействую с локальным «зеркалом» (по сути, кешем), и оно расположено в файловой системе как есть: даже если полагаться на зищищённость «облака», его локальная копия подвержена классическим способам «изъятия».
Чтоб уж наверняка застраховаться, можно хранить в «облаке» лишь запароленные архивы, но удобства в этом случае остаются «на улице» :)
Для систем Windows (XP и новее) изначально предлагается встроенный подход с EFS (только для NTFS-дисков, для краткого ознакомления см., напр., статью Защита данных при помощи EFS).
Этот подход почти идеально вписывается в мою схему (прозрачный доступ, шифрование каталогов/файлов и т.п.), но зашифровав локальную копию Google Drive, я сразу же наткнулся не мелкие косяки:
- Файлы с атрибутом «системный» невозможно зашифровать под обычным пользователем
- Файлы с атрибутом «скрытый» тупо игнорируются — мелочь, а неприятно
- Дата/время модификации некоторых файлов после шифрования были сброшены на текущие — WTF?!
Все эти негаразды всплыли в один день, что поумерило мой энтузиазм пользоваться EFS.
В Windows (Enterprise and Ultimate editions of Windows Vista and Windows 7; Pro and Enterprise editions of Windows 8 and 8.1) есть ещё BitLocker, но он оперирует дисками, зато не ограничен только NTFS.
В качестве бесплатных аналогов я смотрел ещё на TrueCrypt (VeraCrypt) и его подобия, но они все оперируют или на уровне дисков, или предлагают «диск в файле».
Последний вариант — это по сути подход с запароленным архивом, который монтируется как виртуальный диск.
Такая схема имеет право на существование, и её я планирую испытать, если с EFS совсем не сработаемся.
Есть ещё аппаратные подходы, но с ними цена повыше и/или оборудование нужно специфическое и/или трудоёмкость запуска иная. Мне кажется, для защиты «домохозяйств» они избыточно :)
В общем, вопрос тот же: кто чем шифруется? :)
----------------
Бонус:
86 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів