Как зашифровать ssd диск

Обновлено: 03.05.2024

Принцип работы твердотельных накопителей (SSD) отличается от более привычных накопителей на жёстких магнитных дисках (HDD). А потому стандартные способы необратимого удаления данных наподобие заполнения нулями и единицами для SSD не подходят.

Способ 1. Шифрование диска

Один из самых удобных способов безвозвратного удаления данных с SSD без ущерба для дальнейшей работоспособности накопителя — это шифрование. Если посторонний человек без ключа дешифровки получит доступ к зашифрованному диску, он увидит там лишь бессмысленный набор единиц и нулей.

Шифрование диска в Windows

Стандартный инструмент шифрования BitLocker доступен не во всех версиях Windows, но вы можете воспользоваться его альтернативой под названием VeraCrypt.

VeraCrypt — это бесплатный инструмент шифрования с открытым исходным кодом для Windows, macOS и Linux.

  1. Скачайте, установите и запустите VeraCrypt. Выберите System → Encrypt System Partition / Drive → Normal encryption → Next → Encrypt the whole drive → Single-boot → Next.
  2. Encryption Options менять не нужно. Надёжность стандартных настроек (AES и SHA-256) более чем удовлетворительная.
  3. Придумайте и запишите где-нибудь пароль. Он вам понадобится в процессе шифрования.
  4. Дождитесь окончания процесса шифрования и нажмите Next. Согласитесь с предложением создать Rescue Disk, это обязательная опция.
  5. Выберите вариант 1-pass для Wipe Mode и нажмите Next. Затем нажмите Test для проверки успешности шифрования.
  6. После перезагрузки компьютера введите созданный пароль и следуйте дальнейшим инструкциям для завершения процесса шифрования.

Шифрование диска в macOS

На Лайфхакере есть отдельная статья о том, как зашифровать диск на «яблочном» компьютере.

Что делать с SSD после шифрования

Отформатировать, и больше ничего. Особо тревожные люди выполняют процедуру два раза, то есть шифруют SSD, затем форматируют его, после чего ещё раз шифруют и ещё раз форматируют. Просто чтобы наверняка.

Способ 2. Физическое уничтожение

Вы боитесь выбрасывать вышедший из строя диск, потому что какой-нибудь умелец его найдёт, починит и завладеет всеми вашими данными? В таком случае SSD перед отправкой на свалку нужно правильно уничтожить.

Особенность SSD в том, что данные в них хранятся не на больших дисках, а в довольно компактных модулях памяти. Посмотрите на фотографию внутренностей твердотельного накопителя.

Видите эти прямоугольные штучки? Информация находится именно в них. Соответственно, чтобы гарантированно уничтожить данные, нужно:

  1. Вскрыть SSD.
  2. Тщательно раскрошить тяжёлым тупым предметом каждый прямоугольничек на микросхеме.

Задача сама по себе нетривиальная. Существуют даже специальные шредеры для утилизации SSD, но у обычного человека нет доступа к такой технике.

Вам понадобится инструмент (маленькие отвёртки), чтобы вскрыть корпус, молоток и обязательно защитные очки, чтобы острые мелкие осколки не попали в глаза.

Данный способ поможет мнительным личностям и секретным агентам безвозвратно уничтожить данные особой важности при выходе SSD из строя. Самые отъявленные параноики могут дополнительно распылить по ветру крошку, в которую превратились модули памяти после работы молотком.

Инструменты шифрования SSD

Если вы работаете в среде, часто посещаемой многими людьми, вы не должны подвергаться риску попадания личных данных и конфиденциальной информации в чужие руки. Рассмотрим, например, файлы и папки, хранящиеся на съемном жестком диске, который утерян или украден.

Новое Общее положение о защите данных требует от компаний принятия ряда мер безопасности . Они должны применяться для шифрования данных, хранящихся на ноутбуках, внешних жестких дисках и других носителях.

Но как можно защитить файлы и папки, хранящиеся на жестких дисках, внешних жестких дисках или съемных дисках? Как вы можете убедиться, что данные, хранящиеся на этих устройствах, могут быть доступны только законному владельцу? Как заверить пользователей в том, что любая третья сторона не будет иметь доступа к данным?

В сегодняшней статье мы поговорим о VeraCrypt и Bitlocker. Это два из лучших инструментов, которые вы можете использовать для шифрования SSD.

Как защитить жесткий диск с помощью VeraCrypt и Bitlocker

veracrypt

VeraCrypt

VeraCrypt — это бесплатное программное обеспечение с открытым исходным кодом, которое считается прямым наследником историка TrueCrypt.

Как и Феникс, VeraCrypt воскрешает TrueCrypt из пепла после того, как его разработка была внезапно прервана.

VeraCrypt — это форк TrueCrypt, проекта, созданного на основе исходного кода исходного приложения. По сравнению с TrueCrypt, VeraCrypt использует некоторые улучшения, которые позволяют доверять еще более высокому уровню защиты.

В частности, авторы VeraCrypt утверждают, что шифровали системные разделы с использованием алгоритма PBKDF2-RIPEMD160 вместе с 327,661 итерациями, когда TrueCrypt выполнил 1000. Для создания зашифрованных томов (см. Ниже) и для шифрования обычных разделов VeraCrypt использует RIPEMD160 с 655,331 итерациями (вместо 2000 в случае TrueCrypt) и 500 000 в случае алгоритмов SHA-2 и Whirlpool.

Как работает VeraCrypt и как он защищает ваш SSD и отдельные папки

МО VeraCrypt в точности соответствует известному TrueCrypt. Интерфейс практически идентичен.

VeraCrypt позволяет создавать зашифрованные контейнеры («тома»), в которых вы можете сохранять личные файлы и конфиденциальные данные. Вы можете создавать зашифрованные тома на локальном жестком диске или на любом съемном жестком диске или USB-накопителе. Вам нужно будет только позаботиться о том, чтобы «установить» контейнер после подключения наружного блока и «разобрать» его, прежде чем снимать.

Таким образом, приложение позволяет защитить содержимое жесткого диска и съемных дисков, полностью зашифровав его.

Как зашифровать жесткий диск с помощью VeraCrypt

Чтобы зашифровать жесткий диск или съемный диск (флешки, внешние диски), выполните следующие простые действия:

установить Veracrypt

1. Установите VeraCrypt, выбрав опцию Установить .

Вы можете выбрать опцию Извлечь, если вы не собираетесь защищать системный раздел или системный диск. Помните, что системный раздел — это тот, на котором размещена операционная система.


Выбрав Extract, вы все равно можете создавать зашифрованные контейнеры и защищать несистемные разделы. В этом случае вы можете сохранить файлы, необходимые для работы VeraCrypt, в папку по вашему выбору. Затем вы будете использовать программу в качестве «портативного» программного обеспечения.

Если вы решите установить VeraCrypt в вашей системе, приложение создаст — по умолчанию — точку восстановления.

2. Подключите съемный диск или защищаемый жесткий диск.

3. Запустите VeraCrypt.


4. Нажмите на кнопку Создать громкость .


5. Нажмите Зашифровать на несистемный раздел / диск и следуйте инструкциям.

Таким образом, вы можете защитить содержимое внешнего жесткого диска, съемного диска или любого раздела , на котором не размещена операционная система.

6. На следующем экране вы можете выбрать между созданием тома VeraCrypt Standard и скрытого тома VeraCrypt.

Например, после того, как вы зашифровали съемный диск, при подключении его к компьютеру ничего не произойдет. Чтобы получить доступ к содержимому хранилища, вам нужно запустить VeraCrypt и «смонтировать» его, используя интерфейс.

Перед созданием зашифрованного тома в выбранном устройстве рекомендуется создать резервную копию содержимого устройства. По крайней мере, делайте это в первые несколько раз, когда вы используете VeraCrypt.

Вы можете подключить или отключить зашифрованные тома. Если вы выберете первый вариант, вы можете получить доступ к соответствующему контенту. Наоборот, вы делаете невозможным доступ посторонних лиц.

Вы должны выбрать алгоритм шифрования для данных и ключевое слово (фразу-пароль), которое вы будете ревностно хранить. Почему так? Создание зашифрованного тома «контейнер» (опция «Создать зашифрованный контейнер файлов») или защита съемного диска или внешнего жесткого диска.

Защитите системный раздел с помощью VeraCrypt

Вы можете использовать шифрование системного раздела или всей системы, только установив VeraCrypt. Он защищает содержимое жесткого диска, на котором установлена ​​операционная система, путем шифрования всех файлов и папок.

Зашифровывая системный раздел или весь жесткий диск, на котором установлена ​​операционная система, содержимое жесткого диска не будет доступно для чтения третьим лицам, которые не имеют личного пароля.

Эта процедура защиты позволяет защитить себя от любого риска, если, например, ноутбук попадет в руки посторонних лиц.

VeraCrypt автоматически и полностью зашифрует все файлы, включая временные файлы , файлы, используемые для управления процедурой гибернации (автоматическое включение и выключение компьютера), обмен файлами и так далее.

Использование шифрования на системном разделе или диске включает в себя активацию механизма предварительной загрузки.

Перед загрузкой операционной системы VeraCrypt просит указать пароль или персональное ключевое слово, выбранное при шифровании устройства.

Прежде чем продолжить, мы предлагаем — в качестве меры предосторожности — создать полный образ жесткого диска. Это можно сделать с помощью бесплатного программного обеспечения, такого как AOMEI Backupper (резервное копирование системы с помощью AOMEI Backupper Standard 2.0).

Мы также рекомендуем AOMEI Backupper Pro, так как он имеет больше функций и улучшенный движок. Если вы не хотите покупать лицензию, вы можете скачать ее бесплатную пробную версию по ссылке ниже. Если вам нужно часто делать резервные копии вашей системы, вы можете купить лицензию.

Вы должны хранить изображение на съемной подставке или в другой системе. Таким образом, вы можете легко восстановить все в случае возникновения проблем.

Далее вы можете нажать кнопку «Создать том» . Затем выберите «Зашифровать системный раздел или весь системный диск» и «Нормальный».

На следующем экране вы можете выбрать, следует ли шифровать только раздел, содержащий операционную систему или весь жесткий диск.

Следующие шаги позволят вам определить, хотите ли вы зашифровать область, если она есть, расположенную в конце жесткого диска, используемую системами RAID, инструментами для восстановления системы, для устранения неполадок, для диагностики и так далее.

Наконец, VeraCrypt обязует вас создать аварийный диск (Rescue Disk). Вы можете использовать этот диск для восстановления загрузки операционной системы, если вы забыли пароль или в случае неисправности.

  • Примечание редактора. Если вас интересует другое программное обеспечение для шифрования данных, ознакомьтесь с нашей обширной коллекцией руководств .

Используйте Bitlocker для защиты вашего SSD

рекомендации по безопасности на SSD

В выпусках Ultimate и Enterprise Windows Vista и Windows 7, в выпусках Pro и Enterprise Windows 8 и Windows 8.1, в серверных системах Windows Server 2008 и более поздних версиях операционная система предлагает вам возможность шифровать и защищать жесткий диск с помощью Битлокер .

Чтобы включить Bitlocker в системном разделе, щелкните его правой кнопкой мыши в интерфейсе Windows и выберите команду «Включить Bitlocker».

Вы должны знать, что Windows Vista и Windows 7 не позволяют запускать Bitlocker без чипа Trusted Platform Module (TPM).

На этапе настройки функции Bitlocker Windows спросит вас, хотите ли вы разблокировать систему, подключив USB-накопитель или введя пароль.

Следующие шаги вполне понятны. Они позволяют запрашивать шифрование данных, фактически записанных на диске, или даже шифрование свободного места.

Вывод

В этой статье рассказывается о 2 лучших доступных на рынке программных решениях для шифрования SSD. Дайте нам знать, какой вы установили почему.

СВЯЗАННЫЕ РУКОВОДСТВА, КОТОРЫЕ ВЫ ДОЛЖНЫ ПРОВЕРИТЬ:

Примечание редактора: этот пост был первоначально опубликован в январе 2019 года и с тех пор обновлен для свежести и точности.

Шифрование жесткого диска в Windows 10: зачем это нужно и как сделать

Безопасность данных на компьютере — одна из главных прерогатив для многих пользователей. Комплексный подход — это защитить от стороннего вмешательства весь жесткий диск. Сделать это можно с помощью стандартного средства шифрования в Windows 10.

Чем эффективна такая защита

Зачем выполнять шифрование данных, если есть учетная запись пользователя с паролем? На самом деле это самая простая защита, которую могут сломать даже новички, четко выполняя действия определенной инструкции.

Проблема заключается в том, что злоумышленник может использовать загрузочную флешку и получить доступ к файлам и реестру операционной системы. Далее всего в несколько действий легко узнать введенный пароль или просто отключить его и получить доступ к рабочему столу.

Вопрос защиты файлов будет особенно важен для корпоративного сектора. Например, только в США ежегодно в аэропортах теряются больше 600 тысяч ноутбуков.


Стоит отметить, что с помощью встроенного средства BitLocker шифруются даже флеш-накопители, поскольку они распознаются системой как отдельные тома. При необходимости можно создать виртуальный диск VHD с важными данными и шифровать его, а сам файл хранить на обычной флешке.

Будет ли тормозить?

Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.


Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.


Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.

Использование BitLocker при наличии чипа TPM

Чип TPM (Trusted Platform Module) — это специальный модуль, в котором хранятся криптографические ключи для защиты информации. Обычно он располагается на материнской плате, но далеко не каждая модель оснащается TPM. Ключ для расшифровки логического тома выдается только в коде загрузчика ОС, поэтому злоумышленникине смогут достать его непосредственно из жесткого диска.

Чтобы проверить, есть ли на вашем компьютере или ноутбуке модуль TPM, в окне «Выполнить» введите команду «tpm.msc».


При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.


Перед использованием системы шифрования TPM модуль необходимо инициализировать по следующей инструкции:

1. В панели управления зайдите в раздел «Шифрование диска BitLocker».


2. Напротив системного диска кликните по строке «Включить BitLocker». Система начнет проверку на соответствие конфигурации компьютера.


3. В следующем окне система предупредит пользователя, что для продолжения процесса будут выполнены два действия: активация оборудования безопасности и последующий запуск шифрования. Необходимо нажать «Далее».


4. Для включения TPM система попросит перезагрузить компьютер, поэтому нажмите соответствующую кнопку.


5. При следующей загрузке перед пользователями появится окно активации чипа TPM. Нажмите соответствующую клавишу для подтверждения (в данном случае F1).


6. Как только Windows прогрузится, мастер шифрования продолжит свою работу и предложит следующее меню с выбором места сохранения ключа восстановления.


Данные логического тома будут зашифрованы, а для разблокировки вам придется ввести пароль от учетной записи. При попытке войти в систему через загрузочную флешку или путем перемещения HDD в другой компьютер посторонние не смогут получить доступ к вашим данным. Ключ доступа будет надежно спрятан в TPM модуле.


Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием.

Шифрование BitLocker без модуля TPM

Что делать, если при вводе команды «tpm.msc» TPM модуль не был найден? Использовать BitLocker вы сможете по-прежнему, но теперь ключ вам придется сохранять в другом месте.


Для активации BitLocker следуйте инструкции:

1. Перейдите в меню групповых политик. В окне выполнить введите «gpedit.msc» и нажмите Enter. Необходимо открыть раздел «Конфигурация компьютера», а в нем перейти по «Административные шаблоны» и далее открыть «Компоненты Windows».


2. В компонентах найдите папку «Шифрование диска» и выберите подпункт «Диски операционной системы». Перейдите на вкладку «Стандартный» и дважды кликните ЛКМ по строке «Этот параметр позволяет настроить требования дополнительной проверки подлинности» (выделен на скриншоте).


3. Параметр необходимо перевести в состояние «Включено», а также поставить галочку в строке «Использовать BitLocker без совместимого TPM». Для сохранения изменений нажмите кнопку «Применить» и OK.


На этом настройка групповой политики завершена, и пользователи могут защититься стандартным средством шифрования BitLocker. Как и в предыдущей инструкции, вам необходимо перейти в раздел шифрования и включить BitLocker для системного или другого диска, на котором вы собираетесь зашифровать данные.

Меню настройки будет немного отличаться от вышеописанного:

1. Уже на первом окне вас попросят выбрать способ разблокировки диска. Пароль аналогичен предыдущей защите, вам будет достаточно ввести его при входе в учетную запись. Более надежный способ — флешка + PIN. Для входа в систему вам придется также вставить накопитель в USB-порт, после чего ввести пароль.


2. Если вы указали flash-накопитель, то система предложит выбрать его. В случае с паролем вам достаточно дважды ввести его и перейти в следующее окно.


3. Пользователь должен выбрать, куда сохранить ключ восстановления. Поскольку на шифруемый диск его записать нельзя, то доступны 4 варианта: учетная запись Майкрософт, флеш-накопитель, в качестве отдельного файла на другом диске или просто распечатать.


4. Выберем «Сохранить в файл». В этом случае достаточно указать место и убедиться, что соответствующий txt файл появился по указанному пути.


5. Выберите, как будет шифроваться диск — полностью или только занятая информацией часть. Второй вариант оптимален для новых ПК, на которых только недавно был установлен весь необходимый софт.

6. Выбор режима шифрования. Для несъемных накопителей укажите «новый», но для флешек или переносимых HDD лучше выбрать «Режим совместимости», чтобы при необходимости получить доступ к файлам на другом компьютере.


7. После завершения настроек в трее появится иконка BitLocker. Кликните по ней и подтвердите перезагрузку компьютера.


8. После перезагрузки начнется процесс шифрования, а его прогресс можно узнать из соответствующего значка в трее.

Теперь диск зашифрован и при каждом включении Windows будет просить ввести пароль BitLocker. Это относится и к съемным накопителям, если они были зашифрованы таким способом.

В разделе шифрования также появятся подробные настройки, где вы сможете удалить или сменить пароль, приостановить защиту, архивировать ключ восстановления или отключить шифрование.


Неправильный ввод пароля несколько раз приведет к блокировке, и получить доступ к диску можно будет только с помощью ключа восстановления

Самыми надежными считаются специальные смарт-карты, которые визуально выглядят как обычные флешки. Однако они имеют специальные библиотеки и отображаются отдельными устройствами в диспетчере задач. Соответственно, воспроизвести смарт-карту намного сложнее в отличие от обычной флешки-ключа.


Альтернативы BitLocker

Если по каким-либо причинам стандартная система шифрования вас не устраивает или в вашей редакции Windows ее просто нет, то можно воспользоваться сторонним софтом.

Однако будьте осторожны. Во-первых, сторонние программы в отличие от системных средств могут ощутимо сказываться на производительности компьютера, особенно, если они не оптимизированы под конкретные ОС. Во-вторых, нет гарантий, что такой софт не имеет уязвимостей, которыми могут воспользоваться злоумышленники или даже разработчики.

BitLocker Anywhere

Популярный софт для шифрования дисков, работающий под операционными системами Windows 7/8/10 различных редакций. У софта есть пробная версия на 15 суток, однако в ней запрещено шифровать системный раздел, поэтому пользователи смогут защитить только флешки и другие логические тома жесткого диска.

Базовая версия стоит 14,99$, а профессиональная с возможностью шифровать тома больше 2 ТБ — 19,99$. В функционал BitLocker Anywhere входит шифрование и дешифрование дисков, создание ключей восстановления с их экспортом. По сути, это аналог стандартному BitLocker с технической поддержкой со стороны разработчиков. Очевидный минус — в качестве защиты доступен только пароль, никаких смарт-карт или USB Flash здесь нет.

Для шифрования достаточно выбрать диск, указать пароль, место для сохранения ключа восстановления и дождаться окончания процесса. Интерфейс на английском языке, но программой можно пользоваться даже с минимальными знаниями иностранного.


7 zip

Если вы предпочитаете создавать VHD-образы и при необходимости подключать их к системе, то для шифрования вполне подойдет обычный архиватор 7zip.

Выберите виртуальный образ жесткого диска (формат VHD/VHDX) и нажмите «Добавить в архив». Далее в окне настроек укажите имя, пароль для шифрования и метод (желательно, AES-256).


Теперь для дешифровки вам придется ввести пароль и только потом монтировать VHD файл.

Нюансы восстановления зашифрованного диска

Что делать, если Windows с зашифрованным логическим диском не запускается? Это не проблема, если у вас есть необходимые данные доступа. Чтобы снять блокировку BitLocker, вам следует иметь хотя бы один из следующих элементов:

  • пароль шифрования BitLocker, который вы вводили в самом начале;
  • ключ восстановления (его предлагали сохранить на флешке, в учетной записи или распечатать);
  • USB-ключ запуска системы, если вы использовали флешку.

Если ничего этого у вас нет, то про данные можно забыть и единственный способ вернуть диск — отформатировать его. Конечно, есть специфические способы «выловить» ключ среди метаданных или дампа оперативной памяти, но и они не дают стопроцентной гарантии успеха, не говоря о сложности реализации. К этим методикам могут прибегать специализированные сервисы.

Если Windows не прогружается, то вам необходимо запустить среду восстановления, или воспользоваться установочным диском. Если это возможно, запустите командную строку (для стандартных средств Windows это команда Shift+F10). Теперь выполните следующие действия:

  1. Проверьте состояние зашифрованных дисков командой «manage-bde –status». Если все хорошо, то должна появиться надпись с BitLocker Drive Encryption: Volume X, где вместо Х буква зашифрованного тома.
  2. Далее разблокируйте диск командой «manage-bde -unlock D: -pw». Вас попросят ввести пароль.
  3. После успешной дешифровки появится соответствующее окно и можно приступить к восстановлению.


Если пароль не известен, то можно использовать ключ восстановления, напечатав в командной строке:

repair-bde F: G: -rp 481385-559146-955173-133053-357710-316682-137633-983682 –Force

Для flash-ключа формата «.bek», который в данном примере находится на флешке I, используется следующая строка:

repair-bde F: G: -rk I:\3F449834-943D-5677-1596-62C36BA53564.BEK –Force

Перед открытием расшифрованного диска обязательно выполните проверку на ошибки стандартной командой Chkdsk.

Вид ноутбука сбоку, на фоне — человек, использующий мобильный телефон

Сегодня все люди во всем мире, от предприятий и правительств до частных лиц, разделяют одно: необходимость и желание защитить важную личную и конфиденциальную информацию. Независимо от того, хранятся ли данные или перемещаются, их защита абсолютно необходима. Финансовые и репутационные последствия утечки данных, взлома, утерянных или украденных ноутбуков/ ПК могут быть астрономическими.

Для защиты от хакеров и утечки данных в организации необходимо шифровать данные и во время их перемещения, и во время хранения. Шифрование обеспечивает усиленный уровень защиты на тот случай, если каким-либо образом будет получен несанкционированный доступ к компьютерной сети или устройству хранения. Если это произойдет, хакер не сможет получить доступ к данным. В этой статье мы сосредоточимся на программном шифровании, накопителях с самошифрованием (сокращенно SED) и общем объяснении того, как работает шифрование твердотельных накопителей.

Что такое шифрование?

Говоря упрощенно, шифрование преобразует информацию, введенную в цифровое устройство, в блоки данных, которые кажутся бессмысленными. Чем сложнее процесс шифрования, тем более неразборчивыми и не поддающимися расшифровке будут данные. И наоборот, дешифрование восстанавливает исходную форму зашифрованных данных, делая их снова доступными для чтения. Зашифрованная информация часто называется шифротекстом, а незашифрованная — обычным текстом.

Цифровое изображение печатной платы с замком.

Сравнение аппаратного и программного шифрования

Программное шифрование использует различные программы для шифрования данных в логическом томе. При первом шифровании накопителя создается уникальный ключ, который сохраняется в памяти компьютера. Этот ключ зашифрован парольной фразой, выбранной пользователем. Когда пользователь вводит парольную фразу, он разблокирует ключ и предоставляет доступ к незашифрованным данным на накопителе. Копия ключа также записывается на накопитель. Программное шифрование действует как посредник между считыванием/записью данных приложения на устройство; перед физическим сохранением данных на накопителе они шифруются с помощью ключа. При считывании с накопителя данные дешифруются с использованием того же ключа, прежде чем будут переданы программе.

Хотя программное шифрование является рентабельным, оно надежно ровно настолько, насколько надежно устройство, на котором оно используется. Если хакер взломает код или пароль, он получит доступ к вашим зашифрованным данным. Кроме того, поскольку шифрование и дешифрование выполняется процессором, замедляется работа всей системы. Еще одна уязвимость программного шифрования заключается в том, что при загрузке системы ключ шифрования сохраняется в оперативной памяти компьютера, что делает его целью для низкоуровневых атак.

В накопителях с самошифрованием (SED) используется аппаратное шифрование, предлагающее более целостный подход к шифрованию пользовательских данных. Накопители SED оснащаются встроенным крипточипом AES, который шифрует данные перед записью и расшифровывает их перед чтением непосредственно с носителя NAND. Аппаратное шифрование находится между ОС, установленной на накопителе, и BIOS системы. При первом шифровании накопителя создается ключ шифрования, который сохраняется во флеш-памяти NAND. При первой загрузке системы загружается настраиваемая система BIOS, которая запрашивает парольную фразу пользователя. После ввода парольной фразы содержимое накопителя расшифровывается, и предоставляется доступ к ОС и пользовательским данным.

Накопители с самошифрованием также шифруют/дешифруют данные «на лету» с помощью встроенного крипточипа, который отвечает за шифрование данных до их передачи во флеш-память NAND и дешифрует данные перед их чтением. Центральный процессор не участвует в процессе шифрования, что снижает потери производительности, связанные с программным шифрованием. В большинстве случаев при загрузке системы ключ шифрования сохраняется во встроенной памяти твердотельного накопителя, что усложняет его получение и делает менее уязвимым для низкоуровневых атак. Этот аппаратный метод шифрования обеспечивает высокий уровень безопасности данных, поскольку он невидим для пользователя. Его нельзя отключить, и он не влияет на производительность.

256-битное аппаратное шифрование по протоколу AES

Почему этот алгоритм не поддается расшифровке? Протокол AES включает алгоритмы AES-128, AES-192 и AES-256. Цифры представляют количество битов ключа в каждом блоке шифрования и дешифрования. Для каждого добавленного бита количество возможных ключей удваивается, то есть 256-битное шифрование равносильно двум в 256 степени! Это чрезвычайно большое количество возможных вариантов ключа. В свою очередь, каждый бит ключа имеет разное количество раундов. (Раунд — это процесс трансформации обычного текста в шифротекст.) Для 256 бит используется 14 раундов. 2 256 Не говоря уже о времени и вычислительной мощности, необходимых для выполнения этой операции.

Программное шифрование по протоколу TCG Opal 2.0

TCG — это международная группа по промышленным стандартам, которая определяет основанный на аппаратных средствах доверительный учет для совместимых доверенных вычислительных платформ. Этот протокол обеспечивает возможность инициализации, аутентификации и управления зашифрованными твердотельными накопителями с помощью независимых поставщиков программного обеспечения, использующих решения для управления безопасностью TCG Opal 2.0, таких как Symantec™, McAfee™, WinMagic® и другие.

Таким образом, хотя программное шифрование имеет свои преимущества, оно может не соответствовать понятию «всеобъемлющего». Программное шифрование добавляет дополнительные шаги, потому что данные должны быть зашифрованы, а затем дешифрованы, когда пользователю необходимо получить доступ к данным, тогда как аппаратное шифрование предлагает более надежное решение. Твердотельный накопитель с аппаратным шифрованием оптимизирован для работы с остальной частью накопителя без снижения производительности. В зависимости от приложения вы можете быть удивлены тем, что принимает участие в защите ваших данных. Не все средства шифрования одинаково, и понимание различий будет играть ключевую роль в том, насколько эффективна и действенна ваша безопасность.

Читайте также: