Аппаратное шифрование жесткого диска

Обновлено: 07.07.2024

Конфиденциальность становится все более важным. Причина, по которой у телефонов есть пароль в течение многих лет. Но вы все еще не знали, что можно купить зашифрованные внешние жесткие диски . Мы говорим о моделях, которые имеют разные инструменты для повышения защиты хранимых вами данных.

Благодаря этому вы сможете хранить все виды данных, и никто не сможет увидеть их содержимое без вашего разрешения. Кроме того, существует множество решений, которые следует учитывать, чтобы вы могли выбрать модель, которая наилучшим образом соответствует вашим потребностям и вашему карману.

Какой тип защиты выбрать?

Среди различных доступных вариантов безопасности мы можем найти три основных типа. С одной стороны, модели, которые имеют какой-либо тип внутреннего шифрования, поэтому для доступа к их содержимому требуется пароль. Обычно это модели с 256-битное аппаратное шифрование AES стандартов, поэтому этот пароль действительно сложно обойти.

Еще один из наиболее распространенных вариантов - использование биометрические датчики встроены в состав переносного жесткого диска. Сказать, что мы сталкиваемся с системой, очень похожей на ту, которую мы годами видели на мобильных телефонах. Таким образом, вам нужно только приложить палец к считывателю отпечатков пальцев, чтобы разблокировать устройство и использовать его по своему усмотрению.

Наконец, у нас есть числовая система. В этом случае вы увидите, что это внешние жесткие диски, в корпус которых встроена цифровая клавиатура. Если вы не напишете правильный код, вы не сможете получить доступ к его содержимому.

Преимущества зашифрованных жестких дисков

Очевидно, что преимущества, предлагаемые устройством этого типа, делают его стоящим, если вам нужно зашифровать вашу информацию так что никто не может получить к нему доступ. Идеально, если вы работаете в действительно конкурентной рабочей среде или просто хотите сохранить конфиденциальность информации, чтобы никто не мог проследить за содержимым вашего жесткого диска.

При этом стоит учитывать, что цена этих решений выше, чем у традиционных моделей, особенно тех, в которых встроена клавиатура или биометрический датчик. Но эта дополнительная безопасность, которую они предлагают, делает вашу покупку выгодной. Кроме того, существует действительно интересное разнообразие, поэтому мы выбрали разные устройства, чтобы вы могли найти модель, которая наилучшим образом соответствует вашим потребностям.

Samsung T7 Touch

Samsung T7 Touch

Мы начинаем эту компиляцию с одного из лучших решений, которые вы можете найти, если хотите купить внешний жесткий диск с паролем. В этом случае находим Samsung T7 Touch , высококлассная модель, которая, во-первых, может похвастаться считывателем отпечатков пальцев сверху.

Вам просто нужно приложить палец к считывателю отпечатков пальцев, чтобы разблокировать этот внешний жесткий диск и увидеть его содержимое. С другой стороны, следует выделить его 2 ТБ емкости. Кроме того, будучи SSD Модель предлагает скорости чтения и записи, которые вас нисколько не разочаруют.

Imation Defender H200 + Bio 320 ГБ

Imation Defender H200 + Bio 320 ГБ

Еще один отличный вариант, который следует учитывать, если вы ищете жесткий диск с шифрованием отпечатков пальцев, - это Imation Defender H200 , модель емкостью 320 ГБ, оснащенная биометрическим датчиком, чтобы никто не мог получить доступ к информации без вашего разрешения. Следует отметить, что его корпус имеет резиновые кромки, гарантирующие высокую устойчивость к ударам и падениям. Идеально, чтобы вы могли взять его с собой куда угодно!

iStorage diskAshur DT2 2ТБ

iStorage diskAshur DT2 2ТБ

Обращаемся к я Память , одна из отличных рекомендаций при покупке внешних жестких дисков с шифрованием. В этом случае, как вы можете видеть на изображении, которое возглавляет эти строки, мы находим модель, которая объединяет цифровую клавиатуру. Если вы не знаете пароль, вы также не сможете получить доступ к информации.

Добавьте к этому тот факт, что iStorage diskAshur DT2 имеет емкость хранилища 2 ТБ, ясно, что эта модель будет достаточно мощной, чтобы иметь возможность сохранять большое количество файлов, не беспокоясь о пространстве.

diskAshur iStorage IS-DA2

diskAshur iStorage IS-DA2

Если вы ищете внешний жесткий диск SSD, который объединяет Защита с помощью пароля системы, вы можете сделать ставку на эту другую модель IStorage. В этом случае мы сталкиваемся с версией на 256 ГБ, которая предлагает скорость чтения и записи, которая вас совсем не разочарует.

Toshiba Canvio Advance

Toshiba Canvio Advance

Мы обратимся к Toshiba, еще одному отличному справочнику, когда речь идет о покупке внешнего жесткого диска. В этом случае мы сталкиваемся с моделью, которая предлагает очень привлекательный дизайн, а также собственное программное обеспечение, чтобы вы могли создать пароль для защиты вашей информации от любопытных людей. Кроме того, он имеет емкость 2 ТБ, что более чем достаточно для подавляющего большинства пользователей.

Disco duro My Book Essential

Жесткий диск My Book Essential

Продолжая этот сборник лучших внешних жестких дисков с шифрованием, мы хотим порекомендовать My Book Essential от WD. Модель с 256-битным аппаратным шифрованием AES, встроенным в WD. Безопасность программного обеспечения, поэтому вам просто нужно включить его, установить пароль и начать безопасно хранить информацию.

Seagate Backup Plus

Seagate Backup Plus Ultra Touch

Компиляция такого типа не может быть без решения от Seagate . В этом случае мы рекомендуем Восстановление Plus Ultra Touch, модель, которая также имеет специальное программное обеспечение, так что вы можете очень легко добавить пароль.

Твердотельный накопитель Samsung MU-PA500R

Samsung MU-PA500R

Мы возвращаемся к Samsung порекомендовать модель, которая утверждает, что скрывается внутри жесткого диска SSD на 500 ГБ. Кроме того, чтобы повысить вашу конфиденциальность, вы можете создать пароль через его программное обеспечение. Вы даже можете создать разные разделы для каждого члена семьи с их собственным ключом.

Toshiba Canvio

Toshiba Canvio Premium

Последняя модель Toshiba, которую мы собираемся порекомендовать, - это модель Canvio Premium. Решение с емкостью 2 ТБ и системой шифрования, которая не позволит никому увидеть информацию, которую вы храните внутри. Кроме того, поскольку он является USB 3.1, скорость чтения и записи оправдывает ожидания.

Uso de un disco externo Western Digital

WD Мой паспорт

Последняя модель, которую мы хотим порекомендовать, - это жесткий диск WD My Passport. Модель имеет емкость 4 ТБ, а также защиту паролем и 256-битное аппаратное шифрование AES благодаря WD Recovery. Без сомнения, модель, которая вас совершенно не разочарует.


Это просто короткая подсказка, которую, я надеюсь, можно использовать и для других дисков со встроенным шифрованием (SED, self encrypting drives). Здесь нет глубокого разъяснения принципов и терминов.

Samsung EVO или PRO всегда хранит данные в зашифрованном (AES) виде, даже если вы ничего для этого не предпринимали. Просто, пока вы не включили защиту, он всегда эти данные возвращает расшифрованными. А когда включите защиту, потребует пароль для расшифровки. Это означает, что установка пароля не приведёт к тому, что скорость работы диска упадёт, всё шифровалось и без него. А также означает, что не придётся диск шифровать от начала до конца – он уже зашифрован.

Однако, нет никаких сведений о том, какой ключ шифрования используется. Возможно, он один и тот же для всех дисков модели, или, например, для тех, что поставляются к нам. И при серьёзных усилиях (например, перепаять кусок от диска-донора, в котором пароль не установлен) можно будет данные прочитать.

Но если вам просто, как и мне, неприятно, что кто-то может бесстыдно покопаться в данных украденного у вас или потерянного ноутбука, то предлагаемого метода вполне достаточно.
Закрыть данные на дисках Samsung EVO можно одним из трёх способов (не нужно пытаться их комбинировать, только сломаете всё):

1. установить пароль диска ATA в BIOS

Это самый простой способ, но, практически бесполезный. Кроме user-пароля, BIOS, как правило, прописывает ещё и master-пароль, который известен сервисной службе компании-производителя компьютера, и потом добрые люди могут помочь расшифровать данные любому обратившемуся за помощью. См., например, конференции iXBT, “Снять пароль с биоса (BIOS)”.

В сети описаны примеры некрасивой работы BIOS при установке пароля ATA, кеширования пароля в BIOS и чтения его оттуда, использования hdparm вместо BIOS для установки пароля, чтения диска с установленным паролем на компьютере той же модели и т.д. При желании можете сами почитать и оценить, но меня этот способ разочаровал.

2. включить функционал eDrive и использовать BitLocker

Неплохо, но годится только для дорогих версий Windows, и не годится для linux, если что.

3. использовать функции TCG OPAL через утилиту sedutil

Крупными мазками: идея этого метода в том, что при активизации защиты, после включения питания диск, вместо своего настоящего содержимого, показывает маленький служебный раздел. Туда можно записать что угодно, но обычно это утилита, которая спросит у вас пароль и попытается скормить его диску, чтобы он заработал по-настоящему.

Плюс этого метода в том, что пароль вводится до загрузки операционной системы, то есть ничего в операционной системе менять не нужно, и некому этот пароль перехватить.

  • Компьютер нельзя переводить в состояние standby. После возобновления подачи питания на диск он будет в заблокированном состоянии. Операционная система, проснувшаяся в оперативной памяти, резко свалится.
  • Лишняя перезагрузка — после ввода пароля, когда диск открыл своё истинное содержимое, машина перезагружается, чтобы BIOS заново определил, что это за диск.

Ну, данные потерять можно запросто, если неправильно задать пароль при закрытии диска, или тут же его забыть, например. Поэтому ОБЯЗАТЕЛЬНО выполнить резервное копирование перед всеми последующими действиями.

В случае же, когда диск не поддаётся расшифровке, его обычно можно сбросить в исходное (фабричное) состояние, правда, ценой полной потери данных.

Итого: кирпич можно вернуть к жизни, но данных можно лишиться.

Вернёмся к дискам Samsung.

Готовой утилиты на служебном разделе у дисков Samsung нет. Есть коммерческие программы, которые могут туда себя прописывать, но мы воспользуемся бесплатной утилитой с открытым исходным кодом – sedutil (в девичестве — msed).

Качаем файлы из раздела executable distributions (не забудьте раскрыть архивы .gz. ):

Архив sedutil_WIN.zip – то, чем мы будем оживлять шифрование на диске, если мы работаем под Windows. Далее идёт описание работы именно под Windows. Работа c linux-версией практически не отличается. Разве что названия дисков разные, например, вместо \\.\PhysicalDrive0 будет /dev/sda.

Архивы LINUXPBARelease.img.gz или UEFI64_Release.img.gz – содержат то, что будет загружаться с маленького раздела диска, когда основное его содержимое станет заблокировано после выключения питания. Разные варианты для машин с BIOS и UEFI.

Архив Rescue.img.gz – содержит образ утилиты восстановления – если что-то пойдёт не так и захочется всё вернуть назад, а компьютер не грузится.

Записываем на флешку утилиту восстановления на всякий случай (предложенной программой Win32DiskImager) и проверяем, что можем с неё загрузиться. Заодно увидим, что работает она из командной строки linux, и убедимся, что мы его не боимся.


Итак, из командной строки посмотрим, кто из дисков у нас способен к самошифрованию:


Закроем оба диска, но пароль для них будет один. Поскольку мы будем вводить его в командной строке, нужно, чтобы в нём не было символов, которые в командной строке имеют специальное значение, вроде всяких пробелов-слешей-кавычек-меньше-больше. Кроме того, символы, которые вы будете использовать, должны быть доступны при вводе с клавиатуры при загрузке компьютера (читай, символы QWERTY-клавиатуры). Наконец, забейте пароль в текстовый файл, сохраните его на флешку, и вставляйте его при помощи Copy-Paste в последующие команды.

Допустим, загрузочный диск у нас — PhysicalDrive1.

Пусть пароль у нас будет MyPassword.


Загружаем в служебный раздел образ загрузчика (здесь вы должны определить, какой вариант загрузчика вам нужен: BIOS или UEFI )


Тот самый момент, после которого диск начинает вести себя по-другому после выключения питания:


Зашифруем заодно и второй диск (не загрузочный). Всё то же самое, только загрузчик можно на него не записывать.


После выключения питания и включения вновь, увидим запрос пароля. Если ввели его неправильно – перезагрузка и повторный запрос. Если правильно – перезагрузка и запуск операционной системы с открывшегося раздела диска.


В случае успеха можете наблюдать, как в Windows изменились значки диcков – у них появились открытые жёлтые замочки:


В случае неудачи… Хм… Выходные длинные нынче. Начните с более подробного изучения утилиты sedutil, руководствуясь приведённой выше ссылкой.

Прежде всего, в разделе «Remove OPAL» говорится о том, как восстановить обычное поведение диска, чтобы он опять работал без подмены разделов при включении и без запроса пароля.

В разделе «PSID Revert» приводятся крайние меры, когда вы забыли/не знаете пароль, но хотите оживить диск ценой потери данных. При этом потребуется узнать уникальный номер диска (PSID), обычно написанный где-то у него на корпусе.

Шифрование жесткого диска в Windows 10: зачем это нужно и как сделать

Безопасность данных на компьютере — одна из главных прерогатив для многих пользователей. Комплексный подход — это защитить от стороннего вмешательства весь жесткий диск. Сделать это можно с помощью стандартного средства шифрования в Windows 10.

Чем эффективна такая защита

Зачем выполнять шифрование данных, если есть учетная запись пользователя с паролем? На самом деле это самая простая защита, которую могут сломать даже новички, четко выполняя действия определенной инструкции.

Проблема заключается в том, что злоумышленник может использовать загрузочную флешку и получить доступ к файлам и реестру операционной системы. Далее всего в несколько действий легко узнать введенный пароль или просто отключить его и получить доступ к рабочему столу.

Вопрос защиты файлов будет особенно важен для корпоративного сектора. Например, только в США ежегодно в аэропортах теряются больше 600 тысяч ноутбуков.


Стоит отметить, что с помощью встроенного средства BitLocker шифруются даже флеш-накопители, поскольку они распознаются системой как отдельные тома. При необходимости можно создать виртуальный диск VHD с важными данными и шифровать его, а сам файл хранить на обычной флешке.

Будет ли тормозить?

Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.


Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.


Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.

Использование BitLocker при наличии чипа TPM

Чип TPM (Trusted Platform Module) — это специальный модуль, в котором хранятся криптографические ключи для защиты информации. Обычно он располагается на материнской плате, но далеко не каждая модель оснащается TPM. Ключ для расшифровки логического тома выдается только в коде загрузчика ОС, поэтому злоумышленникине смогут достать его непосредственно из жесткого диска.

Чтобы проверить, есть ли на вашем компьютере или ноутбуке модуль TPM, в окне «Выполнить» введите команду «tpm.msc».


При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.


Перед использованием системы шифрования TPM модуль необходимо инициализировать по следующей инструкции:

1. В панели управления зайдите в раздел «Шифрование диска BitLocker».


2. Напротив системного диска кликните по строке «Включить BitLocker». Система начнет проверку на соответствие конфигурации компьютера.


3. В следующем окне система предупредит пользователя, что для продолжения процесса будут выполнены два действия: активация оборудования безопасности и последующий запуск шифрования. Необходимо нажать «Далее».


4. Для включения TPM система попросит перезагрузить компьютер, поэтому нажмите соответствующую кнопку.


5. При следующей загрузке перед пользователями появится окно активации чипа TPM. Нажмите соответствующую клавишу для подтверждения (в данном случае F1).


6. Как только Windows прогрузится, мастер шифрования продолжит свою работу и предложит следующее меню с выбором места сохранения ключа восстановления.


Данные логического тома будут зашифрованы, а для разблокировки вам придется ввести пароль от учетной записи. При попытке войти в систему через загрузочную флешку или путем перемещения HDD в другой компьютер посторонние не смогут получить доступ к вашим данным. Ключ доступа будет надежно спрятан в TPM модуле.


Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием.

Шифрование BitLocker без модуля TPM

Что делать, если при вводе команды «tpm.msc» TPM модуль не был найден? Использовать BitLocker вы сможете по-прежнему, но теперь ключ вам придется сохранять в другом месте.


Для активации BitLocker следуйте инструкции:

1. Перейдите в меню групповых политик. В окне выполнить введите «gpedit.msc» и нажмите Enter. Необходимо открыть раздел «Конфигурация компьютера», а в нем перейти по «Административные шаблоны» и далее открыть «Компоненты Windows».


2. В компонентах найдите папку «Шифрование диска» и выберите подпункт «Диски операционной системы». Перейдите на вкладку «Стандартный» и дважды кликните ЛКМ по строке «Этот параметр позволяет настроить требования дополнительной проверки подлинности» (выделен на скриншоте).


3. Параметр необходимо перевести в состояние «Включено», а также поставить галочку в строке «Использовать BitLocker без совместимого TPM». Для сохранения изменений нажмите кнопку «Применить» и OK.


На этом настройка групповой политики завершена, и пользователи могут защититься стандартным средством шифрования BitLocker. Как и в предыдущей инструкции, вам необходимо перейти в раздел шифрования и включить BitLocker для системного или другого диска, на котором вы собираетесь зашифровать данные.

Меню настройки будет немного отличаться от вышеописанного:

1. Уже на первом окне вас попросят выбрать способ разблокировки диска. Пароль аналогичен предыдущей защите, вам будет достаточно ввести его при входе в учетную запись. Более надежный способ — флешка + PIN. Для входа в систему вам придется также вставить накопитель в USB-порт, после чего ввести пароль.


2. Если вы указали flash-накопитель, то система предложит выбрать его. В случае с паролем вам достаточно дважды ввести его и перейти в следующее окно.


3. Пользователь должен выбрать, куда сохранить ключ восстановления. Поскольку на шифруемый диск его записать нельзя, то доступны 4 варианта: учетная запись Майкрософт, флеш-накопитель, в качестве отдельного файла на другом диске или просто распечатать.


4. Выберем «Сохранить в файл». В этом случае достаточно указать место и убедиться, что соответствующий txt файл появился по указанному пути.


5. Выберите, как будет шифроваться диск — полностью или только занятая информацией часть. Второй вариант оптимален для новых ПК, на которых только недавно был установлен весь необходимый софт.

6. Выбор режима шифрования. Для несъемных накопителей укажите «новый», но для флешек или переносимых HDD лучше выбрать «Режим совместимости», чтобы при необходимости получить доступ к файлам на другом компьютере.


7. После завершения настроек в трее появится иконка BitLocker. Кликните по ней и подтвердите перезагрузку компьютера.


8. После перезагрузки начнется процесс шифрования, а его прогресс можно узнать из соответствующего значка в трее.

Теперь диск зашифрован и при каждом включении Windows будет просить ввести пароль BitLocker. Это относится и к съемным накопителям, если они были зашифрованы таким способом.

В разделе шифрования также появятся подробные настройки, где вы сможете удалить или сменить пароль, приостановить защиту, архивировать ключ восстановления или отключить шифрование.


Неправильный ввод пароля несколько раз приведет к блокировке, и получить доступ к диску можно будет только с помощью ключа восстановления

Самыми надежными считаются специальные смарт-карты, которые визуально выглядят как обычные флешки. Однако они имеют специальные библиотеки и отображаются отдельными устройствами в диспетчере задач. Соответственно, воспроизвести смарт-карту намного сложнее в отличие от обычной флешки-ключа.


Альтернативы BitLocker

Если по каким-либо причинам стандартная система шифрования вас не устраивает или в вашей редакции Windows ее просто нет, то можно воспользоваться сторонним софтом.

Однако будьте осторожны. Во-первых, сторонние программы в отличие от системных средств могут ощутимо сказываться на производительности компьютера, особенно, если они не оптимизированы под конкретные ОС. Во-вторых, нет гарантий, что такой софт не имеет уязвимостей, которыми могут воспользоваться злоумышленники или даже разработчики.

BitLocker Anywhere

Популярный софт для шифрования дисков, работающий под операционными системами Windows 7/8/10 различных редакций. У софта есть пробная версия на 15 суток, однако в ней запрещено шифровать системный раздел, поэтому пользователи смогут защитить только флешки и другие логические тома жесткого диска.

Базовая версия стоит 14,99$, а профессиональная с возможностью шифровать тома больше 2 ТБ — 19,99$. В функционал BitLocker Anywhere входит шифрование и дешифрование дисков, создание ключей восстановления с их экспортом. По сути, это аналог стандартному BitLocker с технической поддержкой со стороны разработчиков. Очевидный минус — в качестве защиты доступен только пароль, никаких смарт-карт или USB Flash здесь нет.

Для шифрования достаточно выбрать диск, указать пароль, место для сохранения ключа восстановления и дождаться окончания процесса. Интерфейс на английском языке, но программой можно пользоваться даже с минимальными знаниями иностранного.


7 zip

Если вы предпочитаете создавать VHD-образы и при необходимости подключать их к системе, то для шифрования вполне подойдет обычный архиватор 7zip.

Выберите виртуальный образ жесткого диска (формат VHD/VHDX) и нажмите «Добавить в архив». Далее в окне настроек укажите имя, пароль для шифрования и метод (желательно, AES-256).


Теперь для дешифровки вам придется ввести пароль и только потом монтировать VHD файл.

Нюансы восстановления зашифрованного диска

Что делать, если Windows с зашифрованным логическим диском не запускается? Это не проблема, если у вас есть необходимые данные доступа. Чтобы снять блокировку BitLocker, вам следует иметь хотя бы один из следующих элементов:

  • пароль шифрования BitLocker, который вы вводили в самом начале;
  • ключ восстановления (его предлагали сохранить на флешке, в учетной записи или распечатать);
  • USB-ключ запуска системы, если вы использовали флешку.

Если ничего этого у вас нет, то про данные можно забыть и единственный способ вернуть диск — отформатировать его. Конечно, есть специфические способы «выловить» ключ среди метаданных или дампа оперативной памяти, но и они не дают стопроцентной гарантии успеха, не говоря о сложности реализации. К этим методикам могут прибегать специализированные сервисы.

Если Windows не прогружается, то вам необходимо запустить среду восстановления, или воспользоваться установочным диском. Если это возможно, запустите командную строку (для стандартных средств Windows это команда Shift+F10). Теперь выполните следующие действия:

  1. Проверьте состояние зашифрованных дисков командой «manage-bde –status». Если все хорошо, то должна появиться надпись с BitLocker Drive Encryption: Volume X, где вместо Х буква зашифрованного тома.
  2. Далее разблокируйте диск командой «manage-bde -unlock D: -pw». Вас попросят ввести пароль.
  3. После успешной дешифровки появится соответствующее окно и можно приступить к восстановлению.


Если пароль не известен, то можно использовать ключ восстановления, напечатав в командной строке:

repair-bde F: G: -rp 481385-559146-955173-133053-357710-316682-137633-983682 –Force

Для flash-ключа формата «.bek», который в данном примере находится на флешке I, используется следующая строка:

repair-bde F: G: -rk I:\3F449834-943D-5677-1596-62C36BA53564.BEK –Force

Перед открытием расшифрованного диска обязательно выполните проверку на ошибки стандартной командой Chkdsk.

Вид ноутбука сбоку, на фоне — человек, использующий мобильный телефон

Сегодня все люди во всем мире, от предприятий и правительств до частных лиц, разделяют одно: необходимость и желание защитить важную личную и конфиденциальную информацию. Независимо от того, хранятся ли данные или перемещаются, их защита абсолютно необходима. Финансовые и репутационные последствия утечки данных, взлома, утерянных или украденных ноутбуков/ ПК могут быть астрономическими.

Для защиты от хакеров и утечки данных в организации необходимо шифровать данные и во время их перемещения, и во время хранения. Шифрование обеспечивает усиленный уровень защиты на тот случай, если каким-либо образом будет получен несанкционированный доступ к компьютерной сети или устройству хранения. Если это произойдет, хакер не сможет получить доступ к данным. В этой статье мы сосредоточимся на программном шифровании, накопителях с самошифрованием (сокращенно SED) и общем объяснении того, как работает шифрование твердотельных накопителей.

Что такое шифрование?

Говоря упрощенно, шифрование преобразует информацию, введенную в цифровое устройство, в блоки данных, которые кажутся бессмысленными. Чем сложнее процесс шифрования, тем более неразборчивыми и не поддающимися расшифровке будут данные. И наоборот, дешифрование восстанавливает исходную форму зашифрованных данных, делая их снова доступными для чтения. Зашифрованная информация часто называется шифротекстом, а незашифрованная — обычным текстом.

Цифровое изображение печатной платы с замком.

Сравнение аппаратного и программного шифрования

Программное шифрование использует различные программы для шифрования данных в логическом томе. При первом шифровании накопителя создается уникальный ключ, который сохраняется в памяти компьютера. Этот ключ зашифрован парольной фразой, выбранной пользователем. Когда пользователь вводит парольную фразу, он разблокирует ключ и предоставляет доступ к незашифрованным данным на накопителе. Копия ключа также записывается на накопитель. Программное шифрование действует как посредник между считыванием/записью данных приложения на устройство; перед физическим сохранением данных на накопителе они шифруются с помощью ключа. При считывании с накопителя данные дешифруются с использованием того же ключа, прежде чем будут переданы программе.

Хотя программное шифрование является рентабельным, оно надежно ровно настолько, насколько надежно устройство, на котором оно используется. Если хакер взломает код или пароль, он получит доступ к вашим зашифрованным данным. Кроме того, поскольку шифрование и дешифрование выполняется процессором, замедляется работа всей системы. Еще одна уязвимость программного шифрования заключается в том, что при загрузке системы ключ шифрования сохраняется в оперативной памяти компьютера, что делает его целью для низкоуровневых атак.

В накопителях с самошифрованием (SED) используется аппаратное шифрование, предлагающее более целостный подход к шифрованию пользовательских данных. Накопители SED оснащаются встроенным крипточипом AES, который шифрует данные перед записью и расшифровывает их перед чтением непосредственно с носителя NAND. Аппаратное шифрование находится между ОС, установленной на накопителе, и BIOS системы. При первом шифровании накопителя создается ключ шифрования, который сохраняется во флеш-памяти NAND. При первой загрузке системы загружается настраиваемая система BIOS, которая запрашивает парольную фразу пользователя. После ввода парольной фразы содержимое накопителя расшифровывается, и предоставляется доступ к ОС и пользовательским данным.

Накопители с самошифрованием также шифруют/дешифруют данные «на лету» с помощью встроенного крипточипа, который отвечает за шифрование данных до их передачи во флеш-память NAND и дешифрует данные перед их чтением. Центральный процессор не участвует в процессе шифрования, что снижает потери производительности, связанные с программным шифрованием. В большинстве случаев при загрузке системы ключ шифрования сохраняется во встроенной памяти твердотельного накопителя, что усложняет его получение и делает менее уязвимым для низкоуровневых атак. Этот аппаратный метод шифрования обеспечивает высокий уровень безопасности данных, поскольку он невидим для пользователя. Его нельзя отключить, и он не влияет на производительность.

256-битное аппаратное шифрование по протоколу AES

Почему этот алгоритм не поддается расшифровке? Протокол AES включает алгоритмы AES-128, AES-192 и AES-256. Цифры представляют количество битов ключа в каждом блоке шифрования и дешифрования. Для каждого добавленного бита количество возможных ключей удваивается, то есть 256-битное шифрование равносильно двум в 256 степени! Это чрезвычайно большое количество возможных вариантов ключа. В свою очередь, каждый бит ключа имеет разное количество раундов. (Раунд — это процесс трансформации обычного текста в шифротекст.) Для 256 бит используется 14 раундов. 2 256 Не говоря уже о времени и вычислительной мощности, необходимых для выполнения этой операции.

Программное шифрование по протоколу TCG Opal 2.0

TCG — это международная группа по промышленным стандартам, которая определяет основанный на аппаратных средствах доверительный учет для совместимых доверенных вычислительных платформ. Этот протокол обеспечивает возможность инициализации, аутентификации и управления зашифрованными твердотельными накопителями с помощью независимых поставщиков программного обеспечения, использующих решения для управления безопасностью TCG Opal 2.0, таких как Symantec™, McAfee™, WinMagic® и другие.

Таким образом, хотя программное шифрование имеет свои преимущества, оно может не соответствовать понятию «всеобъемлющего». Программное шифрование добавляет дополнительные шаги, потому что данные должны быть зашифрованы, а затем дешифрованы, когда пользователю необходимо получить доступ к данным, тогда как аппаратное шифрование предлагает более надежное решение. Твердотельный накопитель с аппаратным шифрованием оптимизирован для работы с остальной частью накопителя без снижения производительности. В зависимости от приложения вы можете быть удивлены тем, что принимает участие в защите ваших данных. Не все средства шифрования одинаково, и понимание различий будет играть ключевую роль в том, насколько эффективна и действенна ваша безопасность.

Зашифрованный жесткий диск использует быстрое шифрование, которое обеспечивается шифрованием диска BitLocker для повышения безопасности и управления данными.

Путем передачи криптографических операций в оборудование функция "Зашифрованный жесткий диск" повышает производительность BitLocker и снижает потребление ресурсов ЦП и электроэнергии. Благодаря тому, что функция зашифрованных жестких дисков быстро шифрует данные, устройства организации могут расширять развертывания BitLocker с минимальным влиянием на производительность.

Зашифрованные жесткие диски — это новый класс жестких дисков, которые самостоятельно шифруются на уровне оборудования и позволяют полностью шифрование оборудования на диске. Вы можете установить Windows на зашифрованные жесткие диски без дополнительных изменений, начиная с Windows 8 и Windows Server 2012.

Зашифрованные жесткие диски обеспечивают:

  • Лучшая производительность: оборудование шифрования, интегрированное в контроллер диска, позволяет диску работать с полной скоростью данных без ухудшения производительности.
  • Сильная безопасность, основанная наоборудовании: шифрование всегда "на", а ключи шифрования никогда не покидают жесткий диск. Проверка подлинности пользователей выполняется диском, прежде чем он снимет блокировку (независимо от операционной системы).
  • Простотаиспользования. Шифрование является прозрачным для пользователя, и пользователю не нужно его включить. Зашифрованные жесткие диски легко удаляются с помощью встроенного ключа шифрования; нет необходимости повторно шифровать данные на диске.
  • Более низкая стоимостьвладения: нет необходимости в новой инфраструктуре для управления ключами шифрования, так как BitLocker использует существующую инфраструктуру для хранения данных восстановления. Устройство работает более эффективно, так как циклы процессора не требуют использования для процесса шифрования.

Зашифрованные жесткие диски поддерживаются в операционной системе с помощью следующих механизмов:

  • Идентификация. Операционная система может определить, что диск является типом зашифрованного жесткого диска
  • Активация. Утилита управления дисками операционной системы может активировать, создавать и соеди-
  • Конфигурация. Операционная система может создавать и соеди-
  • API: поддержка API для приложений для управления зашифрованными жесткими дисками независимо от шифрования дисков BitLocker (BDE)
  • Поддержка BitLocker. Интеграция с панелью управления BitLocker обеспечивает бесшовную возможность работы с конечным пользователем BitLocker.

Self-Encrypting жесткие диски и зашифрованные жесткие диски для Windows не являются одним и тем же типом устройства. Зашифрованные жесткие диски для Windows для определенных протоколов TCG, а также для соответствия требованиям IEEE 1667; Self-Encrypting жесткие диски не имеют этих требований. Важно подтвердить, что тип устройства — это зашифрованный жесткий диск для Windows при планировании развертывания.

Если вы поставщик устройств хранения, который ищет дополнительные сведения о том, как реализовать зашифрованный жесткий диск, см. в руководстве по зашифрованным устройствам жесткого диска.

Требования к системе

Для использования зашифрованных жестких дисков применяются следующие требования к системе:

Для зашифрованного жесткого диска, используемой в качестве диска данных:

  • Диск должен быть в неинициализированном состоянии.
  • Диск должен быть в неактивном состоянии безопасности.

Для зашифрованного жесткого диска, используемой в качестве диска запуска:

  • Диск должен быть в неинициализированном состоянии.
  • Диск должен быть в неактивном состоянии безопасности.
  • Компьютер должен быть на основе UEFI 2.3.1 и иметь определение EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. (Этот протокол используется для того, чтобы разрешить программам, работающим в среде служб загрузки EFI, отправлять команды протокола безопасности на диск).
  • На компьютере должен быть отключен модуль поддержки совместимости (CSM) в UEFI.
  • Компьютер всегда должен загрузиться из UEFI.

Для правильной работы все зашифрованные жесткие диски должны быть присоединены к контроллерам без RAID.

Технический обзор

Быстрое шифрование в BitLocker непосредственно решает потребности предприятий в области безопасности, предлагая при этом значительно улучшенную производительность. В версиях Windows раньше Windows Server 2012, BitLocker требовал двухшагового процесса для выполнения запросов на чтение и написание. В Windows Server 2012, Windows 8 или позже зашифрованные жесткие диски сгружают криптографические операции с контроллером диска для повышения эффективности. Когда операционная система определяет зашифрованный жесткий диск, он активирует режим безопасности. Эта активация позволяет контроллеру диска создавать клавишу мультимедиа для каждого тома, который создает хост-компьютер. Этот ключ мультимедиа, который никогда не подвергается воздействию за пределами диска, используется для быстрого шифрования или расшифровки всех byte данных, отосланных или полученных с диска.

Настройка зашифрованных жестких дисков в качестве дисков запуска

Конфигурация зашифрованных жестких дисков в качестве дисков запуска делается с помощью тех же методов, что и стандартные жесткие диски. Эти методы включают в себя:

  • Развертывание из мультимедиа. Настройка зашифрованных жестких дисков происходит автоматически в процессе установки.
  • Развертываниеиз сети. Этот метод развертывания включает загрузку среды Windows pe и использование средств визуализации для применения Windows изображения из сетевой доли. С помощью этого метода дополнительный служба хранилища дополнительный компонент должен быть включен в Windows PE. Этот компонент можно включить с помощью диспетчера сервера, Windows PowerShell или средства командной строки DISM. Если этого компонента нет, конфигурация зашифрованных жестких дисков не будет работать.
  • Развертывание с сервера. Этот метод развертывания включает загрузку PXE клиента с зашифрованными жесткими дисками. Конфигурация зашифрованных жестких дисков происходит автоматически в этой среде, когда компонент Enhanced служба хранилища добавляется в изображение загрузки PXE. Во время развертывания параметр TCGSecurityActivationDisabled в unattend.xml управляет поведением шифрования зашифрованных жестких дисков.
  • Дублированиедиска. Этот метод развертывания включает использование ранее настроенных средств дублирования устройств и дисков для применения Windows изображения к зашифрованному жесткому диску. Диски необходимо разделять, используя по крайней мере Windows 8 или Windows Server 2012 для работы этой конфигурации. Изображения, сделанные с помощью дубликатов дисков, не будут работать.

Настройка шифрования на основе оборудования с помощью групповой политики

Существует три связанных параметра групповой политики, которые помогают управлять использованием bitLocker аппаратного шифрования и алгоритмами шифрования. Если эти параметры не настроены или отключены в системах, оснащенных зашифрованными дисками, BitLocker использует шифрование на основе программного обеспечения:

Зашифрованная архитектура жесткого диска

Зашифрованные жесткие диски используют два ключа шифрования на устройстве для управления блокировкой и разблокировки данных на диске. Это ключ шифрования данных (DEK) и ключ проверки подлинности (AK).

Ключ шифрования данных — это ключ, используемый для шифрования всех данных на диске. Диск создает deK и никогда не покидает устройство. Он хранится в зашифрованном формате в случайном расположении на диске. Если deK изменен или стерт, данные, зашифрованные с помощью DEK, невозвратны.

Ключ проверки подлинности — это ключ, используемый для разблокировки данных на диске. Хаш ключа хранится на диске и требует подтверждения для расшифровки DEK.

Когда компьютер с зашифрованным жестким диском находится в отключенном состоянии, диск блокируется автоматически. Как компьютер работает, устройство остается в заблокированном состоянии и разблокировано только после расшифровки ключа проверки подлинности ключ шифрования данных. После расшифровки ключа проверки подлинности ключ шифрования данных на устройстве могут происходить операции с чтением.

При записи данных на диск он передается через механизм шифрования до завершения операции записи. Кроме того, для считывания данных с диска требуется, чтобы механизм шифрования расшифровыл данные перед передачей этих данных пользователю. В случае необходимости изменения или стирки deK данные на диске не должны повторно шифроваться. Необходимо создать новый ключ проверки подлинности, который будет повторно шифровать DEK. После завершения, DEK теперь можно разблокировать с помощью нового АК и читать-записи в том можно продолжить.

Перенастройка зашифрованных жестких дисков

Многие зашифрованные устройства жесткого диска предварительно настроены для использования. Если требуется перенастройка диска, используйте следующую процедуру после удаления всех доступных томов и возвращания диска в единое состояние:

Читайте также: