Журнал LinuxFormat - перейти на главную

LXF151:Шифрование: Как хранить секреты

Материал из Linuxformat
(перенаправлено с «LXF151:tut1»)
Перейти к: навигация, поиск

Учебники начального уровня для новичков в Linux

47521.png
Вас осенила новая бизнес-идея, которую вы не хотели бы раскрывать своим конкурентам? Джонатан Робертс покажет, как запереть ваш компьютер.

Криптография – это искусство защиты информации от несанкционированного вмешательства третьих лиц. Это может означать сохранение конфиденциальности данных или обеспечение их целостности и подлинности. Благодаря фильмам про Джеймса Бонда и телесериалам наподобие Смерть шпионам, такие слова мигом вызывают в мыслях образы шпионов в темных комнатах, тайные общества и тайные правительственные учреждения с гигантскими банками компьютеров.

Криптография, безусловно, играет свою роль в таких ситуациях, но гораздо шире применяется в менее увлекательных сценариях – например, в онлайн-банкинге и в том, как компании защищают личную информацию своих клиентов.

Она также, благодаря ряду прекрасных свободных и открытых программ, обычно применяется частными лицами, желающими надежно хранить банковские реквизиты, пароли к учетным записям и любые другие виды цифровых данных.

На этом уроке мы собираемся показать вам три различных способа защиты данных в различных обстоятельствах, каждый из которых требует применения новых методов. Первый продемонстрирует, как обеспечить безопасность информации, хранящейся на ПК, если ПК потерян или украден.

Второй покажет, как защитить данные для личного пользования в портативном формате. Это идеальный вариант, если вам нужно носить конфиденциальные данные на USB-брелке, или, возможно, если вы хотите создать их резервную копию в Dropbox, но не доверяете предоставляемой безопасности.

Третий пояснит вам, как шифровать данные, которыми вы намерены поделиться с другими людьми. Используя те же инструменты, вы также сможете «подписать» цифровую информацию – и ее получатели смогут убедиться, что это именно от вас, а не от злоумышленника, притворившегося вами.

Содержание

Зашифруйте свой ПК

(thumbnail)
Установщик Fedora облегчает шифрование всей системы — просто поставьте соответ­ствующую птичку.
(thumbnail)
После установки Fedora с включен­ным шифрованием при загрузке у вас будут спрашивать пароль.

Говоря о защите информации, хранящейся на вашем компьютере – вы удивитесь, узнав, насколько осторожными вам следует быть.

Вы могли бы, например, просто держать все свои пароли в зашифрованном файле и воображать, что вы в безопасности. Но много ли ваших паролей имеют секретные вопросы для их сброса, ответами на которые являются такие вещи, как «Где вы родились» или «Девичья фамилия вашей жены»?

А сколько из вас, сознательно или нет, хранит ответы на подобные вопросы на своем компьютере или в истории браузера, в каких-нибудь временных папках в темных закоулках вашей системы?

Дело в том, что наши компьютеры содержат огромные объемы данных, и о содержании многих из них мы даже не знаем, так что единственный способ обеспечить, чтобы все они были в безопасности – это сделать все безопасно. То есть, зашифровать весь жесткий диск.

Fedora имеет на сегодняшний день лучшую поддержку для данного вида шифрования, поэтому мы будем использовать его в качестве примера. Чтобы следовать уроку, загрузите CD Fedora live с сайта и либо запишите его на компакт-диск, либо поместите на USB-брелок.

Для реализации данного вида шифрования нужно надежно стереть все существующие данные с жестких дисков, а затем переустановить систему.

Если вы не сделаете этого, вор или злоумышленник может получить возможность восстановить незашифрованные данные из старой установки, в обход новых мер безопасности.

Итак, первое, что нужно сделать – это резервные копии. Вы можете сделать это, как вам угодно, но одно из правильных решений – подключить внешний жесткий диск и использовать файловый менеджер для копирования папки home.

Проверьте резервную копию очень тщательно, поскольку удалено будет все, и ваша семья очень огорчится, если вы потеряете все свои рождественские фотографии.

Сделав копии, можно безопасно удалить все следы старых данных с текущих жестких дисков. Загрузите Fedora Live CD и запустите терминал. Сейчас мы введем в терминале команду, которая удалит все – без возможности отменить и вернуться назад – так что убедитесь, что вы все сохранили в резервной копии, прежде чем даже начать ее набирать:

su -c “dd if=/dev/random of=/dev/sda”

dd обозначает дамп диска, и все, что он делает – копию входного файла (if), байт за байтом, в выходной файл (of). Указав как вход /dev/random, специальный файл, который содержит бесконечное количество случайных данных, а вывод как /dev/sda, первый жесткий диск, мы перезапишем все, что на диске было, случайными данными. Это не только удалит его, но и сильно затруднит аналитикам данных восстановление их впоследствии. Надежно стерев все старые данные, вы можете начать работы по восстановлению системы с шифрованием того, что было до этого.

С диска Fedora Live CD запустите установку. Пройдя серию экранов установки, вы, в конечном итоге, дойдете до вопроса «Какой тип установки вам нужен?» В нижней части этого экрана вы увидите опцию для шифрования системы. Выберите ее, затем на следующем экране введите безопасный пароль, и продолжайте установку обычным порядком.

Вот и все, что нужно сделать. Установщик Fedora обработает все детали, и после перезагрузки вам будет предложено ввести пароль, прежде чем Fedora начнет ее загрузку. Все, что осталось сделать, это восстановить файлы из резервной копии, и вы будете работать, как и раньше, только гораздо более надежно.

Портативное шифрование

Несмотря на ту безопасность, которую обеспечивает шифрование для всего компьютера в целом, есть моменты, когда вы хотите сохранить что-либо особо важное на USB-брелке или, возможно, резервную копию этих данных в папке Dropbox. В таких случаях от шифрования жесткого диска проку мало.

Вместо этого, вам потребуется нечто вроде зашифрованной папки – то, что можно скопировать с одного компьютера на другой или прикрепить к электронным письмам. Есть масса способов сделать это в Linux, и многие из них встроены прямо в ОС. В этой статье, тем не менее, мы сосредоточимся на TrueCrypt, которая доступна на Windows, Mac и Linux, что делает ее самым портативным и гибким вариантом. TrueCrypt – свободное приложение с открытым исходным кодом, так что просто установите его на всех системах, которые вы используете. Оно не создает зашифрованную папку – вместо этого он создает виртуальный диск в файл и шифрует его. Всякий раз, когда вы используете TrueCrypt для расшифровки виртуального диска, он будет представлен в вашем файловом менеджере как обычный USB или жесткий диск.

Ключ: открытый или симметричный

Существуют два основных типа систем шифрования: открытый [open] ключ и симметричный [symmetric], каждый из которых подходят для разных сценариев.

Симметричный означает, что есть только один ключ шифрования – единственный пароль, используемыйя для шифрования и дешифрования данных. Это тип шифрования, который мы использовали для шифрования всего нашего компьютера, и он же применяется в TrueCrypt.

Если вы делаете шифрование данных только для себя, это подойдет отлично. Но если вы хотите обмениваться данными с другими, симметричное шифрование становится серьезной проблемой: вы должны иметь возможность обмениваться ключом или паролем надежно. Если кто-то завладеет им, шифрование данных станет бессмысленным. Шифрование с открытым ключом использует два ключа: один для шифрования данных, а другой – для их расшифровки. Идея в том, что если вы хотите отправить несколько конфиденциальных данных мне, вы шифруете их моим открытым ключом. Этот открытый ключ далее бесполезен для расшифровки данных: единственный способ сделать это – с моим закрытым ключом, который есть только у меня.

Таким образом, вы можете отправить информацию мне, и нам незачем искать безопасный способ совместного использования ключа. Это идеально для обмена зашифрованными данными и для аутентификации отправителя, так как можно «подписать» данные своим закрытым ключом, и это может быть подтверждено с помощью открытого ключа. Мы вернемся к этому типу шифрования в конце данной статьи и рассмотрим соответствующие приложения, GPG и Seahorse.

(thumbnail)
Мас­тер TrueCrypt да­ет про­стой спо­соб соз­дать за­шиф­ро­ван­ный вир­ту­аль­ный диск — но вы мо­же­те за­хо­теть до­пол­ни­тель­ные ком­мен­та­рии.
(thumbnail)
За­шиф­ро­ван­ные то­ма TrueCrypt — иде­аль­ное ме­сто для хра­не­ния фай­лов, ко­то­рые вы хо­ти­те но­сить с со­бой.

Это означает, что вы можете работать во всех ваших любимых приложениях, сохранять свою работу на этом «диске», как обычно, и наслаждаться преимуществами шифрования, даже не задумываясь об этом. Хотя диск зашифрован, он появляется в вашей файловой системе как обычный файл. Вы можете делать с ним что угодно, как и с обычным файлом: удалять, копировать на USB-брелок, вложить в электронную почту; разница только в том, что для прочтения его содержимого вам понадобится еще один экземпляр TrueCrypt и пароль.

Создать такой «зашифрованный виртуальный диск» с TrueCrypt очень просто, на самом деле. Запустите приложение и на первом появившемся экране нажмите кнопку Создать том. Тут же появится Мастер создания томов, который проведет вас через все необходимые шаги. Большинство из них довольно очевидны, но некоторые заслуживают пояснений.

Первое – это возможность выбрать Скрытый том TrueCrypt на первом экране мастера. Тогда зашифрованный том будет скрыт внутри другого зашифрованного тома. Это может показаться странным, зато вы защитите себя от шантажа: если кто-то попытается заставить вас раскрыть свой пароль, вы можете сказать им пароль для видимого тома, но они не смогут увидеть скрытый (или получить доступ к нему) – штука полезная. Другие экраны, достойные комментариев:

  • Параметры шифрования Если у вас есть весьма специфические требования, можете оставить их как они есть, и будьте уверены, ваши данные будут в безопасности.
  • Размер тома Поскольку TrueCrypt выглядит как физический диск, нужно задать ему фиксированный размер. Убедитесь, что вы отвели достаточно места для сохранения всех файлов.
  • Пароль тома Выберите безопасный пароль. Смотрите нашу врезку «Шифрование и пароли» для получения более подробных указаний.
  • Опции формата Выберите FAT, если вы хотите использовать его на Windows и Mac, а не только Linux.

По завершении работы мастера будет создан новый зашифрованный том; вопрос теперь в том, как его использовать.

Доступ к шифрованным файлам

Начав с главного экрана еще раз, нажмите кнопку Выбрать файл и выберите зашифрованный том, созданный Мастером создания томов. Затем вернитесь в главное окно, где вы можете нажать кнопку Подсоединить в нижней левой части окна. TrueCrypt запросит пароль, заданный в мастере, а также пароль администратора.

После ввода этой информации зашифрованный том появится в списке в центре главного экрана в TrueCrypt. Если теперь открыть ваш файловый менеджер, вы должны также увидеть его наряду с другими USB и жесткими дисками. Теперь вы можете использовать его так же, как и любой другой диск.

Покончив с томом, вернитесь к TrueCrypt и выберите Отмонтировать или выключите компьютер. Отмонтированный том будет выглядеть как обычный файл, с которым можно делать те же операции, что и с обычными файлами. Чтобы прочитать его содержимое еще раз, просто откройте его в другом экземпляре TrueCrypt.

Шифрование и пароли

Работая с этим уроком, вы могли заметить, что все зашифрованное нами зиждется на паролях для блокировки и разблокировки содержимого. А значит, даже шифрование высокого уровня будет абсолютно бесполезно, если пароль ненадежен. Чтобы преодолеть этот недостаток, дадим ряд советов по созданию надежных паролей.

1) Не используйте пароли, основанные на словах из словаря. Даже если вы считаете себя хитрецом, заменив некоторые буквы на знаки препинания и цифры, кракерам все равно легко его угадать.

2) Создайте максимально длинный пароль и используйте максимально возможное количество разных типов символов. Каждый дополнительный символ в длине на порядок увеличивает время, требуемое взломщику, чтобы подобрать его.

3) Сделайте его легко запоминаемым. Если вы запишете его и будете хранить в небезопасном месте, это бесполезный пароль.

Может показаться, что пункты 2 и 3 противоречат друг другу, но так как атакующий опасен, только когда получит точное соответствие, можно использовать простой, легко запоминающийся пароль, а затем разбавить его какими-нибудь специфическими, но легко запоминающимися символами.

Например, пароль J!n легко запоминается и использует хороший выбор символов, но слишком короток – его взлом займет меньше секунды. А вот ((((((J!N)))))) при современной технологии удастся взломать разве что за несколько сотен тысяч веков.

Важно придумать собственную схему для разбавления пароля и не использовать один и тот же пароль более одного раза. Подробную информацию см. на www.grc.com/haystack.htm (или xkcd.com/936).

Шифрование общих файлов

(thumbnail)
Ос­нов­ной эк­ран TrueCrypt ото­бра­жа­ет все при­сое­ди­нен­ные то­ма, об­лег­чая их управ­ле­ни­е.

Последний метод – как зашифровать файл для безопасного обмена с друзьями или коллегами, используя шифрование с открытым ключом. Мы будем использовать GPG и Seahorse, поэтому убедитесь, что у вас эти программы установлены. Вам также потребуется пакет модулей расширения для Seahorse, для интеграции с файловым менеджером. Пошаговая инструкция приведена во врезке внизу.

Это подводит нас к концу урока, и с полученными навыками вы должны уметь сохранять ваши данные в гораздо более надежной форме. Однако способов шифрования с использованием криптографии и безопасности файлов гораздо больше, чем мы описали здесь. Если вы серьезно относитесь к безопасности своих коммуникаций, то идите дальше и читайте дальше. Хорошей отправной точкой будет руководство GNU Privacy Handbook. Основное внимание там уделяется GPG и шифрованию с открытым ключом, но также представлены многие из тем, важных для применения симметричных систем шифрования, таких как длина ключа.


Шаг за ша­гом: Шиф­ро­ва­ние для со­вме­ст­ной ра­бо­ты

Персональные инструменты
купить
подписаться
Яндекс.Метрика