LXF151:Шифрование: Как хранить секреты

Версия 05:22, 13 января 2018

Ключевые навыки / Учебники начального уровня для новичков в Linux 

Шифрование

Как хранить секреты

Вас осенила новая бизнес-идея, которую вы не хотели бы раскрывать своим конкурентам? Джонатан Робертс покажет, как запереть ваш компьютер.

Криптография – это искусство защиты информации от несанкционированного вмешательства третьих лиц. Это может означать сохранение конфиденциальности данных или обеспечение их целостности и подлинности. Благодаря фильмам про Джеймса Бонда и телесериалам наподобие Смерть шпионам, такие слова мигом вызывают в мыслях образы шпионов в темных комнатах, тайные общества и тайные правительственные учреждения с гигантскими банками компьютеров.

Криптография, безусловно, играет свою роль в таких ситуациях, но гораздо шире применяется в менее увлекательных сценариях – например, в онлайн-банкинге и в том, как компании защищают личную информацию своих клиентов.

Она также, благодаря ряду прекрасных свободных и открытых программ, обычно применяется частными лицами, желающими надежно хранить банковские реквизиты, пароли к учетным записям и любые другие виды цифровых данных.

На этом уроке мы собираемся показать вам три различных способа защиты данных в различных обстоятельствах, каждый из которых требует применения новых методов. Первый продемонстрирует, как обеспечить безопасность информации, хранящейся на ПК, если ПК потерян или украден.

Второй покажет, как защитить данные для личного пользования в портативном формате. Это идеальный вариант, если вам нужно носить конфиденциальные данные на USB-брелке, или, возможно, если вы хотите создать их резервную копию в Dropbox, но не доверяете предоставляемой безопасности.

Третий пояснит вам, как шифровать данные, которыми вы намерены поделиться с другими людьми. Используя те же инструменты, вы также сможете «подписать» цифровую информацию – и ее получатели смогут убедиться, что это именно от вас, а не от злоумышленника, притворившегося вами.

Зашифруйте свой ПК

Установщик Fedora облегчает шифрование всей системы — просто поставьте соответ­ствующую птичку.

После установки Fedora с включен­ным шифрованием при загрузке у вас будут спрашивать пароль.

Говоря о защите информации, хранящейся на вашем компьютере – вы удивитесь, узнав, насколько осторожными вам следует быть.

Вы могли бы, например, просто держать все свои пароли в зашифрованном файле и воображать, что вы в безопасности. Но много ли ваших паролей имеют секретные вопросы для их сброса, ответами на которые являются такие вещи, как «Где вы родились» или «Девичья фамилия вашей жены»?

А сколько из вас, сознательно или нет, хранит ответы на подобные вопросы на своем компьютере или в истории браузера, в каких-нибудь временных папках в темных закоулках вашей системы?

Дело в том, что наши компьютеры содержат огромные объемы данных, и о содержании многих из них мы даже не знаем, так что единственный способ обеспечить, чтобы все они были в безопасности – это сделать все безопасно. То есть, зашифровать весь жесткий диск.

Fedora имеет на сегодняшний день лучшую поддержку для данного вида шифрования, поэтому мы будем использовать его в качестве примера. Чтобы следовать уроку, загрузите CD Fedora live с сайта и либо запишите его на компакт-диск, либо поместите на USB-брелок.

Для реализации данного вида шифрования нужно надежно стереть все существующие данные с жестких дисков, а затем переустановить систему.

Если вы не сделаете этого, вор или злоумышленник может получить возможность восстановить незашифрованные данные из старой установки, в обход новых мер безопасности.

Итак, первое, что нужно сделать – это резервные копии. Вы можете сделать это, как вам угодно, но одно из правильных решений – подключить внешний жесткий диск и использовать файловый менеджер для копирования папки home.

Проверьте резервную копию очень тщательно, поскольку удалено будет все, и ваша семья очень огорчится, если вы потеряете все свои рождественские фотографии.

Сделав копии, можно безопасно удалить все следы старых данных с текущих жестких дисков. Загрузите Fedora Live CD и запустите терминал. Сейчас мы введем в терминале команду, которая удалит все – без возможности отменить и вернуться назад – так что убедитесь, что вы все сохранили в резервной копии, прежде чем даже начать ее набирать:

su -c “dd if=/dev/random of=/dev/sda”

dd обозначает дамп диска, и все, что он делает – копию входного файла (if), байт за байтом, в выходной файл (of). Указав как вход /dev/random, специальный файл, который содержит бесконечное количество случайных данных, а вывод как /dev/sda, первый жесткий диск, мы перезапишем все, что на диске было, случайными данными. Это не только удалит его, но и сильно затруднит аналитикам данных восстановление их впоследствии. Надежно стерев все старые данные, вы можете начать работы по восстановлению системы с шифрованием того, что было до этого.

С диска Fedora Live CD запустите установку. Пройдя серию экранов установки, вы, в конечном итоге, дойдете до вопроса «Какой тип установки вам нужен?» В нижней части этого экрана вы увидите опцию для шифрования системы. Выберите ее, затем на следующем экране введите безопасный пароль, и продолжайте установку обычным порядком.

Вот и все, что нужно сделать. Установщик Fedora обработает все детали, и после перезагрузки вам будет предложено ввести пароль, прежде чем Fedora начнет ее загрузку. Все, что осталось сделать, это восстановить файлы из резервной копии, и вы будете работать, как и раньше, только гораздо более надежно.

Портативное шифрование

Несмотря на ту безопасность, которую обеспечивает шифрование для всего компьютера в целом, есть моменты, когда вы хотите сохранить что-либо особо важное на USB-брелке или, возможно, резервную копию этих данных в папке Dropbox. В таких случаях от шифрования жесткого диска проку мало.

Вместо этого, вам потребуется нечто вроде зашифрованной папки – то, что можно скопировать с одного компьютера на другой или прикрепить к электронным письмам. Есть масса способов сделать это в Linux, и многие из них встроены прямо в ОС. В этой статье, тем не менее, мы сосредоточимся на TrueCrypt, которая доступна на Windows, Mac и Linux, что делает ее самым портативным и гибким вариантом. TrueCrypt – свободное приложение с открытым исходным кодом, так что просто установите его на всех системах, которые вы используете. Оно не создает зашифрованную папку – вместо этого он создает виртуальный диск в файл и шифрует его. Всякий раз, когда вы используете TrueCrypt для расшифровки виртуального диска, он будет представлен в вашем файловом менеджере как обычный USB или жесткий диск.

• Метамодернизм в позднем творчестве В.Г. Сорокина
• ЛитРПГ - последняя отрыжка постмодерна
• "Ричард III и семиотика"
• 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
• Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
• Литература
• Метамодерн
• Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
• Как избавиться от комаров? Лучшие типы ловушек.
• Что делать если роблокс вылетает на windows
• Что делать, если ребенок смотрит порно?
• Почему собака прыгает на людей при встрече?
• Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
• О чем может рассказать хвост вашей кошки?
• Верветки
• Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
• Срок исковой давности как правильно рассчитать
• Дмитрий Патрушев минсельхоз будет ли преемником Путина
• Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
• Как правильно выбрать машинное масло в Димитровграде?
• Как стать богатым и знаменитым в России?
• Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
• Как стать мудрецом?
• Как правильно установить FreeBSD
• Как стать таким как Путин?
• Где лучше жить - в Димитровграде или в Ульяновске?
• Почему город Димитровград так называется?
• Что такое метамодерн?
• ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
• Тарифы на электроэнергию для майнеров предложено повысить

Это означает, что вы можете работать во всех ваших любимых приложениях, сохранять свою работу на этом «диске», как обычно, и наслаждаться преимуществами шифрования, даже не задумываясь об этом. Хотя диск зашифрован, он появляется в вашей файловой системе как обычный файл. Вы можете делать с ним что угодно, как и с обычным файлом: удалять, копировать на USB-брелок, вложить в электронную почту; разница только в том, что для прочтения его содержимого вам понадобится еще один экземпляр TrueCrypt и пароль.

Создать такой «зашифрованный виртуальный диск» с TrueCrypt очень просто, на самом деле. Запустите приложение и на первом появившемся экране нажмите кнопку Создать том. Тут же появится Мастер создания томов, который проведет вас через все необходимые шаги. Большинство из них довольно очевидны, но некоторые заслуживают пояснений.

Первое – это возможность выбрать Скрытый том TrueCrypt на первом экране мастера. Тогда зашифрованный том будет скрыт внутри другого зашифрованного тома. Это может показаться странным, зато вы защитите себя от шантажа: если кто-то попытается заставить вас раскрыть свой пароль, вы можете сказать им пароль для видимого тома, но они не смогут увидеть скрытый (или получить доступ к нему) – штука полезная. Другие экраны, достойные комментариев:

• Параметры шифрования Если у вас есть весьма специфические требования, можете оставить их как они есть, и будьте уверены, ваши данные будут в безопасности.
• Размер тома Поскольку TrueCrypt выглядит как физический диск, нужно задать ему фиксированный размер. Убедитесь, что вы отвели достаточно места для сохранения всех файлов.
• Пароль тома Выберите безопасный пароль. Смотрите нашу врезку «Шифрование и пароли» для получения более подробных указаний.
• Опции формата Выберите FAT, если вы хотите использовать его на Windows и Mac, а не только Linux.

По завершении работы мастера будет создан новый зашифрованный том; вопрос теперь в том, как его использовать.

Доступ к шифрованным файлам

Начав с главного экрана еще раз, нажмите кнопку Выбрать файл и выберите зашифрованный том, созданный Мастером создания томов. Затем вернитесь в главное окно, где вы можете нажать кнопку Подсоединить в нижней левой части окна. TrueCrypt запросит пароль, заданный в мастере, а также пароль администратора.

После ввода этой информации зашифрованный том появится в списке в центре главного экрана в TrueCrypt. Если теперь открыть ваш файловый менеджер, вы должны также увидеть его наряду с другими USB и жесткими дисками. Теперь вы можете использовать его так же, как и любой другой диск.

Покончив с томом, вернитесь к TrueCrypt и выберите Отмонтировать или выключите компьютер. Отмонтированный том будет выглядеть как обычный файл, с которым можно делать те же операции, что и с обычными файлами. Чтобы прочитать его содержимое еще раз, просто откройте его в другом экземпляре TrueCrypt.

Шифрование общих файлов

Последний метод – как зашифровать файл для безопасного обмена с друзьями или коллегами, используя шифрование с открытым ключом. Мы будем использовать GPG и Seahorse, поэтому убедитесь, что у вас эти программы установлены. Вам также потребуется пакет модулей расширения для Seahorse, для интеграции с файловым менеджером. Пошаговая инструкция приведена во врезке внизу.

Это подводит нас к концу урока, и с полученными навыками вы должны уметь сохранять ваши данные в гораздо более надежной форме. Однако способов шифрования с использованием криптографии и безопасности файлов гораздо больше, чем мы описали здесь. Если вы серьезно относитесь к безопасности своих коммуникаций, то идите дальше и читайте дальше. Хорошей отправной точкой будет руководство GNU Privacy Handbook. Основное внимание там уделяется GPG и шифрованию с открытым ключом, но также представлены многие из тем, важных для применения симметричных систем шифрования, таких как длина ключа.

/ / / / 

244965.png 244966.png LXF00.tut_int.jonathan.psd Наш эксперт Супер-скрытный Джонатан Робертс общается с Linux с ранней юности. Хотя – давно ли это было... 245104.png Установщик Fedora облегчает шифрование всей системы — просто поставьте соответствующую птичку. 243451.png Месяц назад Мы провели мастер-класс по предотвращению катастроф.

LXF151.tut_coreskills.fedora_1.jpg Ключ: открытый или симметричный Существуют два основных типа систем шифрования: открытый [open] ключ и симметричный [symmetric], каждый из которых подходят для разных сценариев. Симметричный означает, что есть только один ключ шифрования – единственный пароль, используемыйя для шифрования и дешифрования данных. Это тип шифрования, который мы использовали для шифрования всего нашего компьютера, и он же применяется в TrueCrypt. Если вы делаете шифрование данных только для себя, это подойдет отлично. Но если вы хотите обмениваться данными с другими, симметричное шифрование становится серьезной проблемой: вы должны иметь возможность обмениваться ключом или паролем надежно. Если кто-то завладеет им, шифрование данных станет бессмысленным. Шифрование с открытым ключом использует два ключа: один для шифрования данных, а другой – для их расшифровки. Идея в том, что если вы хотите отправить несколько конфиденциальных данных мне, вы шифруете их моим открытым ключом. Этот открытый ключ далее бесполезен для расшифровки данных: единственный способ сделать это – с моим закрытым ключом, который есть только у меня. Таким образом, вы можете отправить информацию мне, и нам незачем искать безопасный способ совместного использования ключа. Это идеально для обмена зашифрованными данными и для аутентификации отправителя, так как можно «подписать» данные своим закрытым ключом, и это может быть подтверждено с помощью открытого ключа. Мы вернемся к этому типу шифрования в конце данной статьи и рассмотрим соответствующие приложения, GPG и Seahorse. 227162.png Не хотите пропустить номер? Подпишитесь на www.linuxformat.ru/subscribe/!

«Перезапись данных на диске усложняет задачу восстановить их.» LXF151.tut_coreskills.fedora_3.jpg 244623.png После установки Fedora с включенным шифрованием при загрузке у вас будут спрашивать пароль. LXF151.tut_coreskills.true_1.jpg 239069.png Мастер TrueCrypt дает простой способ создать зашифрованный виртуальный диск — но вы можете захотеть дополнительные комментарии. Шифрование и пароли Работая с этим уроком, вы могли заметить, что все зашифрованное нами зиждется на паролях для блокировки и разблокировки содержимого. А значит, даже шифрование высокого уровня будет абсолютно бесполезно, если пароль ненадежен. Чтобы преодолеть этот недостаток, дадим ряд советов по созданию надежных паролей. 244840.png 1 Не используйте пароли, основанные на словах из словаря. Даже если вы считаете себя хитрецом, заменив некоторые буквы на знаки препинания и цифры, кракерам все равно легко его угадать. 244865.png 2 Создайте максимально длинный пароль и используйте максимально возможное количество разных типов символов. Каждый дополнительный символ в длине на порядок увеличивает время, требуемое взломщику, чтобы подобрать его. 244890.png 3 Сделайте его легко запоминаемым. Если вы запишете его и будете хранить в небезопасном месте, это бесполезный пароль. Может показаться, что пункты 2 и 3 противоречат друг другу, но так как атакующий опасен, только когда получит точное соответствие, можно использовать простой, легко запоминающийся пароль, а затем разбавить его какими-нибудь специфическими, но легко запоминающимися символами. Например, пароль J!n легко запоминается и использует хороший выбор символов, но слишком короток – его взлом займет меньше секунды. А вот ((((((J!N)))))) при современной технологии удастся взломать разве что за несколько сотен тысяч веков. Важно придумать собственную схему для разбавления пароля и не использовать один и тот же пароль более одного раза. Подробную информацию см. на www.grc.com/haystack.htm (или xkcd.com/936). 240093.png Пропустили номер? Узнайте на с. 104, как получить его прямо сейчас.

LXF151.tut_coreskills.true_2.jpg 241252.png Зашифрованные тома TrueCrypt — идеальное место для хранения файлов, которые вы хотите носить с собой. LXF00.tut.step.psd LXF151.tut_coreskills.gpg_1.jpg 244653.png 1 Создание ключей Вы и человек, с которым вы будете обмениваться зашифрованными файлами, должны создать пару ключей. В Seahorse перейдите в меню Файл > Создать и выберите ключ PGP. Далее следуйте указаниям появившегося мастера. 244678.png 2 Экспорт открытых ключей Вы и ваш друг должны экспортировать ваши открытые ключи, чтобы поделиться друг с другом. Выберите ключ, который хотите экспортировать, и перейдите в меню Файл > Экспортировать в Seahorse. Запишите, куда экспортируется ключ . 244703.png 3 Обмен открытыми ключами Следующий шаг – обмен открытыми ключами с вашими друзьями. Лучше всего сделать это лично, поэтому скопируйте экспортированный ключ на USB-брелок и возьмите его на встречу. Затем в Seahorse перейдите в меню Файл > Импорт и выберите ключ вашего друга. 244728.png 4 Зашифруйте файл Откройте файловый менеджер и правой кнопкой мыши нажмите на файл или папку, которую требуется зашифровать. Выберите пункт Шифровать в появившемся меню, а затем выберите ключ вашего друга. 244753.png 5 Отправьте файл Появится новый файл, с расширением .pgp. Это зашифрованный файл, который вы теперь можете смело отправлять другу с использованием любых средств на ваш выбор. 244778.png 6 Расшифровать файл Когда ваш друг получит его, он увидит его в файловом менеджере, нажмет правой кнопкой мыши и выберет Открыть с расшифрованием файла. Когда он введет свой пароль, файл станет доступен для просмотра. LXF151.tut_coreskills.gpg_4.jpg 245076.png Через месяц Направим мощь GIMP на рисование всяких глупостей.

Шаг за шагом: Шифрование для совместной работы LXF151.tut_coreskills.gpg_2.jpg LXF151.tut_coreskills.gpg_5.jpg LXF151.tut_coreskills.truecrypt.jpg LXF151.tut_coreskills.gpg_3.jpg LXF151.tut_coreskills.gpg_6.jpg 245022.png Основной экран TrueCrypt отображает все присоединенные тома, облегчая их управление.