Шифрование является важной частью цифровой безопасности и конфиденциальности. Существует немало приложений и сервисов для шифрования файлов и папок. Если вы всерьёз относитесь к защите своих данных, следует знать о лучшем программном обеспечении для шифрования.
Что такое программное обеспечение для шифрования?
Шифрование применяется на устройствах при передаче информации, которая в результате не может быть прочитана посторонними. В век компьютеров это весьма важно. Шифрование пропускает данные через очень сложный алгоритм с обеих сторон, при отправке и получении.
Это достигается за счёт программного обеспечения для шифрования. Оно задействует очень длинную строку чисел, которые работают как ключ для блокировки и разблокировки данных. Когда файл зашифровывается, информация кодируется очень сложной математической формулой с применением этого ключа.
Переданная информация не может быть прочитана, пока не будет расшифрована этим же устройством или другим, у которого есть этот ключ.
Программы шифрования применяются для отправки важных данных, которым нужен высокий уровень безопасности. Шифрование можно использовать и для безопасного хранения отдельных файлов или всего хранилища на устройстве, у которого есть вероятность попасть в чужие руки или быть украденным.
Существует немало бесплатных программ для шифрования. Они тоже дают высокий уровень защиты, так как хакерам потребуется расшифровать очень сложную цепь чисел, а не просто строку из 8-24 символов.
Зачем нужно программное обеспечение для шифрования
Утечки данных в наши дни случаются постоянно. По этой причине приходится искать методы защиты. Частные пользователи и предприятия должны учиться использовать программы шифрования для защиты важных данных.
Лучшие программы для шифрования могут защищать хранимую, получаемую и передаваемую информацию.
С ростом популярности облачных хранилищ нельзя оставлять свои файлы открытыми, иначе они могут быть украдены и прочитаны. Среди этих файлов могут быть конфиденциальные финансовые и другие личные данные, способные привести к краже денег.
Программы шифрования для персонального и делового применения позволят пользоваться всеми удобствами общения в интернете, не беспокоясь о брутфорс-атаках, хакерах и пытающихся увидеть ваши данные шпионах.
Может показаться, что программами для шифрования сложно пользоваться, но это не так. Ниже описаны лучшие из них.
AxCrypt
AxCrypt разработали для обычных пользователей и небольших компаний. Эта программа надёжная и очень мощная. Она предлагает все нужные для защиты файлов инструменты.
Файлы защищены 128-битным или 256-битным шифрованием AES, что должно остановить злоумышленников. Есть возможность облачного хранения данных.
Это программное обеспечение автоматически защищает файлы в хранилищах Google Drive и Dropbox. Это приятный бонус, так как даже файлы за пределами вашего компьютера будут защищены.
Программа многоязычная и работает с более чем дюжиной языков. Скоро их станет ещё больше.
Имеется управление паспортами и функциональное приложение, с помощью которого можно управлять своими файлами. Предлагается бесплатная версия AxCrypt, хотя её возможности достаточно ограниченные.
В целом же трудно будет найти приложение для шифрования лучше этого.
Плюсы:
- Серьёзное шифрование.
- Есть бесплатная версия.
- Простота пользования.
- Редактирование зашифрованных файлов.
- Безопасный обмен с применением криптографии с открытым ключом.
- Безопасное удаление файлов.
- Онлайн-хранилище паролей.
Может не понравиться:
- Это приложение главным образом для мобильных устройств.
- Рискованно использовать без обеспечения локальной безопасности ПК.
Скачать
CryptoExpert
Для безопасности настольных Windows-компьютеров нет программы шифрования лучше, чем CryptoExpert. Здесь предлагаются безопасные хранилища для всех данных и даётся гарантия их защиты.
CryptoExpert имеет наиболее сильное шифрование среди программ в этом списке. Приложение обеспечивает быструю защиту «на лету». Система позволяет создавать резервные копии разных файлов, включая сертификаты, файлы Word, Excel и PowerPoint, мультимедийные файлы и базы данных электронной почты.
Быть может, самое привлекательное в CryptoExpert то, что программа умеет защищать хранилища любого размера. Она использует алгоритмы шифрования Blowfish, Cast, 3DES и AES-256.
Приложение работает с 32-битными и 64-битными версиями Windows 7, 8 и 10.
Плюсы:
- Несколько алгоритмов шифрования.
- Надёжность шифрования.
- Простота применения.
- Двухфакторная аутентификация.
- Безопасное хранилище для конфиденциальных файлов.
Может не понравиться:
- Нет безопасного удаления.
- Бывают странные сообщения об ошибках.
Скачать
VeraCrypt
Если нужно качественное бесплатное ПО для шифрования, VeraCrypt заслуживает внимания. Это высококачественный сервис бесплатного шифрования для всех. Один из самых популярных инструментов безопасности обеспечивает шифрование корпоративного уровня для важных данных.
У VeraCrypt существует базовая версия, бесплатная и очень надёжная. Программу легко освоить и применять. Её задачей является добавление зашифрованных паролей к пользовательским данным и разделам.
Следует сообщить программе некоторые сведения о ваших данных, таких как размер и местоположение тома. Дальше она всё сделает сама.
Приложение неуязвимо перед брутфорсом, так что хакеры не расшифруют ваши пароли и конфиденциальные данные. Это программа для тех, кто хочет сэкономить.
Плюсы:
- Базовая версия бесплатная.
- Защита от атак методом брутфорса.
- Эффективное шифрование.
- Простота применения.
Может не понравиться:
- Запутанный интерфейс.
Скачать
Folder Lock
Folder Lock от NewSoftwares предлагает надёжное шифрование данных для частных лиц. Это же будет отличный выбор для шифрования на мобильных устройствах. Данный сервис позволит провести шифрование на любом устройстве с важными для вас данными.
Приложение защитит персональные файлы, фотографии, видео, контакты, кошельки, заметки и аудиозаписи на мобильном устройстве. Имеются и другие полезные функции безопасности.
Вы получите не только приложение для шифрования, но и сможете установить ложный пароль, средства защиты от хакеров, фиксировать попытки несанкционированного входа в систему, создавать резервные копии всех паролей и получать уведомления о потенциальных атаках типа брутфорс.
В итоге очевидно, что для защиты мобильных устройств и получения множества дополнительных функций безопасности Folder Lock обязателен. Попробуйте и убедитесь в этом сами.
Плюсы:
- Зашифрованные контейнеры защищают файлы и папки.
- Безопасное резервное копирование онлайн.
- Можно заблокировать файлы и папки и сделать их невидимыми.
- Дробление файлов.
- Саморасшифровывающиеся файлы.
- Множество дополнительных функций безопасности.
Может не понравиться:
- Серийный номер продукта по умолчанию является мастер-паролем.
- Заблокированные файлы не шифруются.
- Для безопасного резервного копирования нужна отдельная подписка.
Скачать
Boxcryptor
Ещё одна интересная программа для шифрования. Она даёт сквозное шифрование для облачных хранилищ. Если вы частный пользователь или у вас есть бизнес, где регулярно применяется облачное хранилище вместо локальных сервисов, на Boxcryptor стоит обратить внимание.
Boxcryptor, в отличие от конкурентов, предоставляет облачное ПО для шифрования в 30 самых популярных облачных сервисах. Среди них Dropbox, Google Drive и Microsoft OneDrive.
Это делается с применением комбинации 256-битного шифрования AES и шифрования RSA. Суть Boxcryptor состоит в том, чтобы максимально упростить шифрование в нескольких сервисах и на мобильных устройствах.
Пароли, ключи файлов и ключи паролей хранятся на пользовательских устройствах одновременно. Ключи бизнес-пользователей, групповые ключи и ключи компании шифруются и хранятся на сервере Boxcryptor.
Есть ограниченный бесплатный тариф для двух устройств. Это программа для тех, кому нужно защищать файлы в облачных хранилищах.
Плюсы:
- Облачное шифрование.
- 30 популярных облачных сервисов.
- Пароли и ключи хранятся локально на пользовательских устройствах.
- Есть бесплатный тариф.
- 256-битное шифрование AES и шифрование RSA.
Может не понравиться:
- Бесплатный тариф только для двух устройств.
- Провайдер с нулевым разглашением.
- Не годится для локальных сервисов.
Скачать
NordLocker
Вы могли слышать это название вместе с именами других сервисов. В частности, хорошо знакомо имя NordVPN. Инструмент шифрования разработчика этого сервиса VPN прост в применении. Пусть ему не хватает некоторых возможностей конкурентов, он входит в число лучших.
NordLocker предназначается для шифрования файлов на macOS и Windows. Предлагаются два наиболее надёжных на данный момент алгоритма шифрования: AES-256 и 4096-битный RSA. Продукт нетрудно освоить благодаря интуитивно понятному интерфейсу.
Приложение поддерживается на нескольких платформах и защищает информацию локально и в облаке.
Применяйте встроенную функцию перетаскивания для добавления или удаления файлов из зашифрованной папки NordLocker. Nord давно имеет хорошую репутацию в сфере информационной безопасности, что повышает привлекательность приложения для пользователей.
Плюсы:
- Простота применения.
- Пользователи смогут безопасно обмениваться зашифрованными файлами.
- Бесплатная версия с ограничениями.
- Интеграция с Dropbox.
Может не понравиться:
- Отсутствие безопасного удаления незашифрованных файлов.
- Нет двухфакторной аутентификации.
Скачать
CryptoForge
Сайт CryptoForge может выглядеть не слишком привлекательным, но на нём предлагается отличный продукт, заслуживающий внимания.
CryptoForge имеет простой подход к шифрованию и безопасному удалению через контекстное меню. Выполняется в том числе шифрование только текста. Это надёжный инструмент обеспечения безопасности файлов.
Программа устанавливается быстро и предлагает простой интерфейс с настройками. К функциям доступ даётся через контекстное меню по нажатию правой кнопки мыши.
Плюсы:
- Алгоритмы шифрования 1-4 уровня.
- Простота применения с контекстным меню.
- Можно хранить фразу-пароль в памяти.
- Безопасное удаление.
- Шифрование текста.
- Шифрование названий файлов.
Может не понравиться:
- Запоминание фразы-пароля может быть угрозой безопасности.
- Меньше функций по сравнению с некоторыми конкурентами.
Скачать
BitLocker
Доступно только для пользователей версий Windows. BitLocker предлагает полное шифрование диска со стандартами AES 128-бит или 256-бит (официальное описание). Для доступа к функционалу достаточно нажать правой кнопкой мыши на шифруемый диск и выбрать в контекстном меню «Включить BitLocker».
Заключение
Выбор подходящей программы шифрования не должен быть сложным. Не торопитесь и оцените плюсы, минусы и стоимость, а также наличие нужной вам функциональности. Представленный выше список может стать отправной точкой для этого. Выбор любой из описанных программ не станет ошибкой.
TrashExpert Staff
Над статьей работал не только один автор, но и другие члены команды TrashExpert: администратор, редакторы или коллектив авторов.
Время на прочтение
9 мин
Количество просмотров 31K
На самом-самом деле его секреты нафиг никому не нужны. И кстати, такой ключ за 5 баксов ещё надо поискать
Шифропанкам посвящается. Мы собрали тулкит из популярных программ (преимущественно с симметричным шифрованием), которые помогут защитить личные данные от несанкционированного доступа и попросили исследователя криптографии из компании «Криптонит» прокомментировать наш выбор.
Под катом безопасные решения для шифрования файлов при помощи браузера, для быстрой защиты, пересылки, загрузки в облако шифрованных данных, криптографические контейнеры с двойным дном, десяток консольных инструментов для криптографии и комбайн, объединяющий их под единым графическим интерфейсом. А еще ответы на животрепещущие вопросы, например: «Что лучше AES, Кузнечик, Serpent или Twofish»?
Штатное полнодисковое шифрование
Для начала коротко о стандартных решениях, интегрированных в операционные системы.
В современных смартфонах довольно надежная реализация полнодискового шифрования, по крайней мере, если судить по стоимости эксплоитов на черном рынке. Если вы используете пароль, а не пин-код, отключили биометрию, не трогали загрузчик, то рядовой злоумышленник вряд ли доберется до данных. С настольными операционными системами ситуация сложнее.
Apple использует в macOS технологию FileVault на базе алгоритма XTS-AES-128 с длиной ключа 256 бит и криптографический чип T2 для работы с ключами. Это решение близко по надежности к шифрованию IPhone. В то же время Windows предлагает BitLocker, который шифрует систему при помощи 128- или 256-битного алгоритма AES и Encrypting File System для шифрования отдельных файлов, однако эти функции недоступны в Windows 10/11 Home. Они работают в профессиональных редакциях операционной системы.
Для Linux существует общий «стандартный» метод шифрования LUKS, но его реализации отличаются от дистрибутива к дистрибутиву. Обычно используется шифрование AES с 256-битными ключами, но LUKS работает с разными шифрами (Serpent, Twofish, CAST-128, CAST-256) и хеш-функциями (SHA-1, SHA-256, SHA-512, RIPEMD160, WHIRLPOOL). В итоге получается зоопарк, которому нельзя дать единую однозначную оценку.
Так что наличие штатного шифрования не мешает существовать ряду альтернативных решений с открытым исходным кодом. Они предназначены для куда более разнообразных сценариев использования. Пойдем от простого к сложному.
Простое файловое шифрование
Hat.sh и Cloaker
Веб-приложения, которые обеспечивают локальное шифрование отдельных файлов в браузере с использованием известной библиотеки libsodium и криптографических алгоритмов:
- XChaCha20-Poly1305 — для симметричного шифрования.
- Argon2id — для получения ключа на основе пароля.
- X25519 — для обмена ключами.
XChaCha20-Poly1305 — ARX-шифр, который выполняет аутентифицированное шифрование, то есть помимо собственно шифрования обеспечивает целостность данных. Алгоритм достаточно быстр, надежен и проверен практикой.
Здесь и далее комментирует Степан Давыдов, старший специалист-исследователь лаборатории криптографии компании «Криптонит».
Hat.sh и Cloaker — простые решения, не требующие предварительной настройки. Hat.sh лучше подходит для шифрования больших файлов, а Cloaker оптимизирован для работы на мобильных устройствах и имеет десктопную версию. Из-за выбранного алгоритма шифрования и браузерного исполнения лучшее их применение — скорее защита файлов перед передачей по незащищенным каналам, чем долговременное хранение информации.
Picocrypt
Windows, macOS и Linux
Крошечная, весом 2MB, но функциональная утилита, которая не требует установки и прав администратора. Обычно использует XChaCha20 и функцию формирования ключа Argon2 для создания криптоконтейнеров. В «режиме паранойи» использует каскадное шифрование — последовательно шифрует данные при помощи XChaCha20 и Serpent, и использует HMAC-SHA3 вместо BLAKE2b для аутентификации. Все используемые в Picocrypt криптографические примитивы взяты из модуля golang.org/x/crypto.
С точки зрения криптографии использование одного алгоритма шифрования уже надежно защищает данные. Повторное шифрование другим алгоритмом не увеличит стойкость, но при этом возрастают используемые ресурсы и время работы.
Кроме того, Picocrypt может:
- защищать от повреждений шифрованные контейнеры ценой небольшого увеличения размера при помощи кодов Рида-Соломона, способных исправлять ошибки;
- разбивать контейнеры на части;
- сжимать файлы при упаковке;
- использовать ключевые файлы как дополнительный (или единственный) метод защиты криптоконтейнеров.
Шифрование файлов перед загрузкой в облако
Cryptomator
Windows, macOS, Linux, iOS, Android
Cryptomator не заменяет клиенты для облачных хранилищ, однако он предназначен специально для шифрования каталогов, которые будут синхронизированы с их помощью. Эта программа скрывает структуру каталогов, шифрует файлы и их имена с помощью AES и 256-битного ключа, генерируемого на основе пароля при помощи scrypt.
AES выбран на конкурсной основе в качестве, де-факто, международного стандарта. AES один из наиболее популярных и подробно исследованных шифров. Это не значит, что у него нет недостатков, например, разработан теоретический способ снизить стойкость AES на 2 бита ключа, однако с 1997 года не найдено ни одной практически полезной атаки.
Впрочем, алгоритм шифрования, это еще не все. Важно заметить, что Cryptomator не скрывает метаданные: метки времени доступа, модификации и создания файлов, а также количество, размер файлов и папок.
Документация Cryptomator подробно описывает архитектуру безопасности. Некоторые криптографические библиотеки Cryptomator (cryptolib, cryptofs, siv-mode и cryptomator-objc-cryptor) прошли аудит Cure53. Исключение составляет cryptolib-swift — библиотека, используемая в Cryptomator для iOS. К тому же, исходный код мобильных приложений не опубликован.
Duplicati
Windows, macOS, Linux
Специализированное решение для безопасного резервного копирования файлов в облачные хранилища. Оно использует AES-256 для защиты данных средствами SharpAESCrypt или GnuPG.
Duplicati поддерживает инкрементное резервное копирование, то есть сначала загружает полную резервную копию, а затем сохраняет небольшие добавочные обновления. Кроме того, эта утилита позволяет создавать резервные копии открытых или заблокированных файлов с помощью службы моментальных снимков тома (VSS) Windows или диспетчера логических томов (LVM) в Linux.
RClone
Windows, macOS, Linux, .deb, .rpm, FreeBSD, Plan9, Solaris
Это универсальный инструмент для управления данными в облаке, который может: перемещать, копировать, синхронизировать, монтировать, проверять, удалять, дедуплицировать и, конечно, шифровать.
Для криптографической защиты файлов в RClone используется 256-битный ключ и соль, создаваемые на основе пары разных пользовательских паролей.
Кстати, о паролях. Учитывая то, какие обширные словари и базы доступны злоумышленникам, наиболее безопасным вариантом и для криптоконтейнеров и любых других целей, будут пароли длиной от 16 символов. Либо полностью случайные, либо пароли, в которых часть случайная, а часть — ваша парольная фраза. Для их генерации и хранения можно пользоваться менеджерами, например, KeePass Password Safe.
В RClone шифрование выполняется с помощью NaCl SecretBox, при помощи алгоритмов XSalsa20 и Poly1305, которые также обеспечивают целостность файлов. Имена файлов и каталогов также по умолчанию шифруются. Структура и размер файлов и другие метаданные не шифруются.
В отличие от Cryptomator, RClone подключается к облакам напрямую. Он поддерживает двустороннюю синхронизацию (пока что в качестве экспериментальной функции), поэтому он подходит для автоматической синхронизации файлов между устройствами в сценарии, когда на файлы шифруются перед загрузкой в облако, а на компьютере хранятся в расшифрованном виде. Правда, для настройки такой конфигурации придется повозиться с консолью. RClone имеет лишь базовый веб-интерфейс, настройка шифрования производится при помощи текстовых команд.
Создание шифрованных архивов, контейнеров и томов
VeraCrypt
Windows, macOS, Linux, FreeBSD, Raspberry Pi
Известное решение для создания защищенных файловых контейнеров с длинной историей, репутацией, регулярными обновлениями и обширными функциями. VeraCrypt позволяет создавать скрытые тома и каскадное шифрование, обеспечивает правдоподобное отрицание. Поддерживает полнодисковое шифрование, составляя конкуренцию BitLocker.
По умолчанию эта утилита использует 256-битное шифрование AES, но поддерживает и другие шифры: Camellia, Кузнечик, Serpent и Twofish с 256-битным ключем и различные их сочетания.
Все эти алгоритмы являются блочными (подаваемые на вход данные обрабатываются блоками) и симметричными (для зашифрования и расшифрования сообщений используется один и тот же ключ). В них применяются идентичные линейные и нелинейные операции, различающиеся лишь длинами и значениями параметров. Криптостойкость блочных шифров принимается аксиоматически и подтверждается отсутствием найденных атак. Можно даже сказать, что количеством неудачных попыток их найти.
Наиболее надежными являются российский стандарт Кузнечик, а также международные стандарты ISO/IEC AES и Camellia при использовании с 256-битными ключами. Алгоритмы Serpent и Twofish не имеют известных уязвимостей, однако их анализу уделялось существенно меньше внимания.
zuluCrypt
Linux
Эта программа фактически является графическим интерфейсом для работы с cryptsetup. Она задействует возможности криптографического API ядра Linux для создания и монтирования томов PLAIN dm-crypt, LUKS, контейнеров TrueCrypt, VeraCrypt и BitLocker. Не позволяет создавать разделы BitLocker, только просматривать их содержимое, но в остальном универсальна.
Kryptor
Windows, macOS, Linux
Консольный инструмент для шифрования и подписи файлов, который разрабатывается, как замена age и Minisign, а также современная альтернатива GPG. Использует алгоритм XChaCha20-Poly1305 для защиты файлов, argon2id для получения ключа на основе пароля, BLAKE2b для хеширования, X25519 для обмена ключами и Ed25519 для цифровых подписей. Все они реализованы при помощи библиотеки libsodium. Хорошо документирован.
Kryptor скрывает метаданные и имена файлов и поддерживает асимметричные ключи, так что позволяет наладить обмен файлами с проверкой подлинности отправителя по заведомо небезопасным каналам.
Dexios
Linux, Windows, MacOS, FreeBSD (запускается на Android через Termux)
Еще один консольный инструмент шифрования. Написан на языке Rust и способен шифровать как отдельные файлы, так и каталоги. Как и Kryptor, снабжен подробной документацией.
Dexios поддерживает AES-256-GCM и ChaCha20-Poly1305 для шифрования файлов, а также BLAKE3-Balloon и argon2id для формирования ключа. Все криптографические примитивы взяты из набора RustCrypto. А еще, в 2022 году Dexios прошел проверку NCC без существенных замечаний (отчет по AES и отчет по ChaCha20-Poly1305).
Tomb
Linux
Командная оболочка для криптографического API ядра Linux. Tomb служит для управления cryptsetup и LUKS. По умолчанию применяет для защиты файлов и каталогов алгоритм AES-256 (XTS plain), однако может использовать все доступные в Linux криптографические примитивы.
По концепции эта утилита напоминает zuluCrypt, но Tomb позволяет хранить криптографические ключи отдельно, например, на флеш-накопителе, и поддерживает стеганографию (сокрытие ключей в текстах и JPEG-файлах).
Подобные аудиты — важная вещь.
Несмотря на все городские легенды о закладках в популярных алгоритмах шифрования, отечественных и зарубежных, ни одного такого свидетельства нет. Все перечисленные в статье алгоритмы известны криптографическому сообществу долгое время, по каждому из них проведен неоднократный анализ и ни одной атаки, сколько-нибудь близкой к практической, не найдено. Наилучший результат, полученный российскими криптоаналитиками для стандартизованных современных криптомеханизмов, относится к алгоритму генерации ключа MQ-DRBG. Авторам исследования удалось снизить криптостойкость с 256 до 153 бит, тем не менее практические атаки не найдены, а наличие закладки не доказано.
Однако, одно дело алгоритм сам по себе, другое — реализация шифрования в конкретной программе. На этом уровне многое может пойти не так. Периодические независимые проверки криптографических инструментов очень важны. Дальше будет описан хороший пример.
SiriKali
Windows, macOS, Linux
Решение в стиле «все в одном» — комбайн с графическим интерфейсом на Qt/C++, который управляет зашифрованными папками при помощи ряда инструментов.
В Linux в качестве бэкенда SiriKali выступают:
- Securefs,
- Gocryptfs,
- Cryfs,
- Encfs,
- Sshfs,
- Fscrypt,
- Ecryptfs,
- Cryptomator.
В Windows SiriKali работает с:
- Securefs,
- Cppcryptfs,
- Cryfs,
- Encfs,
- Sshfs.
В macOS к утилите подключаются:
- Securefs,
- Gocryptfs,
- Cryfs,
- Encfs.
Все это консольные инструменты, которые можно использовать и отдельно от SiriKali. Достаточно широкий выбор, однако, не все они одинаково полезны. Так, во время аудита в 2014 году в EncFS были найдены уязвимости, которые до сих пор не исправлены. Проект не обновлялся с 2018 года и прямо скажем, устарел.
В противовес выделим Gocryptfs (прошла аудит и была доработана по итогам), cppcryptfs, и Securefs, которые служат для создания и управления каталогами-контейнерами, основанными на файловой системе FUSE (Filesystem in Userspace) на базе AES256-GCM.
Эти решения концептуально занимают промежуточное место между криптографичекими контейнерами и пофайловым шифрованием. Утилиты для работы с FUSE на логическом уровне манипулируют контейнерами, но каждый файл в контейнере хранится отдельно. Такой подход лучше подходит для работы с облачными хранилищами — изменение одного файла не означает повторную загрузку всего контейнера, однако Filesystem in Userspace не скрывает структуру каталогов и размеры файлов.
Что касается CryFS, то эта консольная утилита создана для использования вместе с Dropbox или другими облачными сервисами. В ней для криптографии используется библиотека Crypto++. Ее архитектура описана в магистерской диссертации и научной статье, опубликованной на DBSec 2017. В основе шифр AES-256.
CryFS предоставляет зашифрованную файловую систему иного типа. Она дробит файлы на шифрованные блоки, которые хранятся в базовом каталоге с использованием случайного идентификатора в качестве имени файла. Таким образом, помимо сокрытия содержимого файла, CryFS скрывает метаданные и структуру каталогов.
У подхода есть минус — множество отдельных файлов, которые генерирует программа. В некоторых облачных сервисах можно быстро столкнуться с ограничением на максимальное число файлов. К тому же, при шифровании файлов, размером менее нескольких МБ, CryFS увеличивает занимаемое ими место, из-за фиксированного размера шифрованного блока. Но главный недостаток утилиты заключается в том, что она все еще находится в стадии бета-тестирования.
Как видите, Open Source-сообщество создало и поддерживает много интересных и полезных программ для шифрования, но, если говорить о решениях, которые используют в повседневной жизни эксперты-криптографы, то обычно это все-таки VeraCrypt.
Степан Давыдов, старший специалист-исследователь лаборатории криптографии компании «Криптонит».
Рейтинг: «Программы для шифрования жесткого диска»
-
Обновлено:
2021-02-26
-
Просмотры:
10k
-
Отзывы:
0
-
Рейтинг: 3.5
- 1
- 2
- 3
- 4
- 5
Важная информация – это не только пароли и реквизиты банковских карт. В защите могу нуждаться также видеофайлы и изображения, например, сканы ваших документов, важных договоров, личные фото и т.п. Принудительного ограничения доступа могут потребовать и другие типы файлов.
Ниже разберём лучшие программные решения для организации защищённых хранилищ.
Программы для шифрования дисков – это специальные программные комплексы, реализующие одну из стратегий по защите информации на локальных носителях или в удалённых хранилищах. Такие программы преобразуют хранимые данные в нечитаемый вид, так что даже при физическом доступе к файлам или к носителю злоумышленник не сможет их прочитать или воспользоваться ими.
В основе работы таких программ – шифрование. Шифроваться могут как отдельные файлы (документы, изображения, базы данных и т.п.), так и каталоги, специальные виртуальные контейнеры (хранилища), логические тома и даже жёсткие диски целиком.
При прямом доступе к зашифрованным данным злоумышленник получает просто бессистемный набор битов.
Лучшие программы для шифрования жёсткого диска – ТОП 5
- NordLocker – лучшая программа для шифрования жесткого диска
- AES Crypt – программа для шифрования в Linux
- FileVault – программа для шифрования диска в MAC OS
- Bitlocker – встроенное шифрование дисков в Windows
- TrueCrypt – популярный софт для старых версий Windows
- Как выбрать софт для шифрования данных
- Сравнительная таблица программ
- Выводы и рекомендации
1. NordLocker – лучшая программа для шифрования жесткого диска
| Официальный сайт: | nordlocker.com |
| Поддерживаемые ОС: | Windows, MacOS |
| Алгоритм шифрования: | AES256, Argon2, ECC |
| Размещение хранилища: | Оффлайн и в облаке |
| Бесплатный тариф: | Да |
| Стоимость подписки: | От $3,99 |
NordLocker — это узкопрофильное решение от именитой компании в сфере кибербезопасности, Nord Security. Ей же принадлежит крупный VPN-сервис NordVPN и менеджер паролей NordPass. Так как система авторизации единая для всех продуктов, вы получаете максимум удобства при управлении подписками.
NordLocker работает с оригинальной файловой системой NordLocker FS. Та, в свою очередь, основывается на открытом коде проекта GoCryptFS. Так как каждый файл шифруется отдельно, в облако отправляется минимум данных (программа очень эффективно расходует сетевой трафик, она не пересылает каждый раз на облачный диск всё защищённое хранилище целиком, проделывая это только с отдельными файлами, которые были изменены или добавлены).
Плюсы:
- Высокая степень защиты данных (ключ защищается мастер-паролем, файлы шифруются по алгоритму AES-256, который применяется в войсках и других ведомствах).
- Функциональный бесплатный тариф (до 3 Гб в облаке без каких-либо специальных требований и оговорок).
- Единый аккаунт для целого комплекса продуктов для обеспечения безопасности.
- Есть двухфакторная авторизация.
- Защищённое хранилище можно размещать локально или в облаке.
- При облачном размещении вы получаете автоматический бэкап и синхронизацию файлов между всеми вашими устройствами.
- Простой и понятный интерфейс.
- Поддерживается возможность безопасного обмена зашифрованными файлами.
- Очень экономное расходование трафика (в сетевое хранилище отправляются только отдельные файлы).
- Высокая степень конфиденциальности.
- В хранилище можно поместить как отдельные файлы, так и целые каталоги. Поддерживается функция Drag&Drop.
Минусы:
- Интерфейс пока не переведён на русский язык.
- Программа не умеет работать с аппаратными ключами.
- Защищённое хранилище доступно только из интерфейса программы (нет интеграции с проводником).
- Нет поддержки Linux-систем.
- Нет семейных подписок.
Стоимость
Бесплатный тариф не имеет никаких ограничений кроме дискового пространства в облаке – не более 3 Гб. Платный тариф только один – 500 Гб, от 3,99 USD/месяц, гарантия возврата средств – 30 дней.
2. AES Crypt – программа для шифрования в Linux
| Официальный сайт: | aescrypt.com |
| Поддерживаемые ОС: | Windows, MacOS, Linux |
| Алгоритм шифрования: | AES256 |
| Размещение хранилища: | Только локально |
| Бесплатный тариф: | Да |
| Стоимость подписки: | Бесплатно |
AES Crypt — это кроссплатформенное решение с открытым кодом, в основе которого лежит технология Advanced Encryption Standard (AES, промышленный стандарт шифрования высокой стойкости). На текущий момент AES Crypt поставляется как самостоятельное решение для операционных систем Windows, MacOS, Linux, как приложение для мобильных платформ iOS/Android и как готовая библиотека для разработчиков (C/C#, Go, Java, JavaScript, Python, PHP). Есть программы-клиенты с графическим интерфейсом и консольные утилиты (управляются командами из терминала).
Программы обеспечивают базовый функционал – возможно шифрование только выбранных файлов (в основном из контекстного меню файлового менеджера).
Плюсы:
- Программа занимает минимум места.
- Софт совместим со всеми известными платформами, есть решения для интеграции с собственными программами (готовые библиотеки для программистов).
- Имеется консольная версия и версия с графическим интерфейсом.
- Программа интегрируется в контекстное меню проводника.
- Полностью бесплатный софт с открытым исходным кодом.
- В основе надёжный стандарт шифрования.
Минусы:
- Нет возможности шифрования каталогов.
- Программа не умеет создавать монолитные защищённые хранилища / виртуальные тома (шифруются только отдельные файлы).
- Для загрузки в облако нужны сторонние сервисы или своё собственное хранилище.
- Пароль задаётся отдельно для каждого файла (их все нужно запоминать или хранить в менеджере паролей).
- Управление утилитой сводится фактически только к командам в контекстном меню.
- Программа давно не обновлялась.
Стоимость
Вы можете использовать AES Crypt совершенно бесплатно, вне зависимости от платформы или от целей (разработка своих программ, коммерческое применение и т.п.).
3. FileVault – программа для шифрования диска в MAC OS
| Официальный сайт: | apple.com |
| Поддерживаемые ОС: | MacOS |
| Алгоритм шифрования: | XTS-AES-128, PBKDF2 |
| Размещение хранилища: | Оффлайн |
| Бесплатный тариф: | Да |
| Стоимость подписки: | Бесплатно |
FileVault — это встроенное программное решение для организации защищённых носителей под управлением операционных систем MacOS. Впервые утилита FileVault была представлена вместе с релизом OS X 10.3 (Panther). Крупное обновление функционала программы произошло в 2011 году, с выпуском OS X Lion (10.7). Решение FileVault 2.0 стало производительнее, научилось работать с внешними носителями и шифровать весь жёсткий диск полностью.
Работа программы происходит для пользователя практически незаметно (шифрование осуществляется на лету, если опция включена в настройках). Из неудобств – только обязательный ввод пароля при входе в систему.
Плюсы:
- Встроенный системный софт (не нужно ничего дополнительно устанавливать и скачивать).
- Надёжный и производительный алгоритм шифрования.
- Простая настройка и активация.
- Пароль от ключа можно привязать к учётной записи iCloud или хранить локально.
- Шифрование данных происходит автоматически – в фоне.
Минусы:
- Если учётная запись iCloud и FileVault связаны, то, получив пароль от аккаунта, злоумышленник получит доступ ко всем зашифрованным данным.
- Если использовать свой ключ восстановления, то при его потере вы не сможете пользоваться компьютером (при переустановке системы зашифрованные данные будут удалены).
- Так как программа шифрует все данные на диске, то отключение/включение функции может занять много времени. Работа в фоне «съедает» определённые ресурсы процессора и диска.
- При активации FileVault отключается возможность автоматического входа в систему.
- Очень сложное развёртывание решений на базе FileVault для организаций.
- Поддерживается только одна платформа – MacOS.
Стоимость
FileVault – это системный функционал MacOS, предоставляется полностью бесплатно.
4. BitLocker – встроенное шифрование дисков в Windows
| Официальный сайт: | microsoft.com |
| Поддерживаемые ОС: | Windows |
| Алгоритм шифрования: | AES |
| Размещение хранилища: | Оффлайн |
| Бесплатный тариф: | Да |
| Стоимость подписки: | Бесплатно |
BitLocker — это системная утилита, обеспечивающая полное шифрование выбранного логического тома. Впервые решение было представлено в 2007 году вместе с релизом операционной системы Windows Vista. Помимо основной функции (шифрование), BitLocker используется для проверки целостности системных и загрузочных файлов. Мало кто знает, но первым названием программы на этапе разработки было Secure Startup.
Наличие функции шифрования в современных системах зависит от редакции, например, в версии «Windows 10 Home» BitLocker недоступен, он появляется только начиная с версии Pro и выше. Для работы BitLocker требуется как минимум 2 логических тома: один, который нужно зашифровать, и второй – который будет загружать операционную систему (он должен оставаться незашифрованным).
Для активации функции у системного диска (диска C:\) потребуется доверенный платформенный модуль (TPM).
Плюсы:
- Встроенное системное решение.
- Шифрование по военному стандарту AES-128 или AES-256.
- Данные защищаются на всех разделах или на выбранных томах (можно создать зашифрованные съёмные или виртуальные носители).
- Поддерживается двухфакторная авторизация, включая аппаратные ключи.
- Простая активация и настройка.
- Работа в фоне.
- Для организации защищённого облачного хранилища предоставляется встроенная функция OneDrive («Личный сейф»).
Минусы:
- Поддерживаются не все аппаратные платформы (сложные требования для организации защищённой архитектуры).
- Функционал доступен не во всех редакциях ОС Windows.
- Шифруется только раздел диска целиком (необходимо организовывать отдельный том для целей защиты).
- Увеличивается нагрузка на процессор и диск.
- При утере ключа шифрования или пароля от него вы потеряете все зашифрованные файлы.
- Решение имеет известные уязвимости и может быть взломано (атака с холодной загрузкой, буткит-атаки).
Стоимость
Полностью бесплатное решение.
5. TrueCrypt – популярный софт для старых версий Windows
| Официальный сайт: | truecrypt.org |
| Поддерживаемые ОС: | Windows, MacOS, Linux |
| Алгоритм шифрования: | AES, Serpent, Twofish |
| Размещение хранилища: | Только локально |
| Бесплатный тариф: | Да |
| Стоимость подписки: | Бесплатно |
TrueCrypt — это одна из самых именитых утилит для шифрования данных пользователей на ПК в прошлом. Благодаря создателям этого софта появился закрытый аналог (BitLocker) и API для шифрования файлов гибернации/подкачки в ОС Windows. Сейчас это программное обеспечение считается устаревшим. Проект официально закрыт в 2014 году (и до сих пор не ясно, по каким причинам это произошло), но TrueCrypt по-прежнему можно скачать с официального сайта и установить на ПК.
Утилита кроссплатформенная, поддерживаются все популярные операционные системы, включая Linux. Примечательно, что TrueCrypt стабильно работает на устаревших ОС, таких как Windows XP и Vista, вне зависимости от их редакции и разрядности.
Плюсы:
- Удобный графический интерфейс и наличие перевода на русский язык (устанавливается отдельно).
- Надёжное шифрование (исходный код и архитектура программы были проверены независимыми аудиторами).
- Поддерживаются разные платформы, код открыт.
- Программа интегрируется с проводником/файловым менеджером.
- Умеет работать с шифрованием системных разделов и виртуальных томов.
- Изолированный шифрованный контейнер наиболее прост в использовании (можно копировать на съёмные носители, загружать на удалённый сервер и т.п.).
- Виртуальные тома могут иметь вложенную структуру (для организации правдоподобного отрицания наличия шифрованных данных, даже при открытии контейнера под давлением, внутри будет оставаться ещё одна защищённая область).
- Есть возможность двухфакторной авторизации (пароль может быть усилен ключевыми файлами, которые можно хранить вне файловой системы ПК).
- Шифрование контейнеров и томов осуществляется на лету.
Минусы:
- Программа давно не обновлялась (с 2014 года).
- TrueCrypt не умеет работать с современными GPT-дисками (только MBR, это касается шифрования системных разделов).
- Русский язык интерфейса необходимо скачивать и устанавливать отдельно.
- Спустя год после отказа разработчиков от дальнейшей поддержки своего продукта выявилось несколько критических багов для Windows-версии TrueCrypt (в форках проблемы были устранены, а в исходной программе – нет).
- Для загрузки в облако нужны сторонние сервисы или своё собственное хранилище (файлы будут очень большими, так как загружаться будет всё хранилище целиком).
Стоимость
TrueCrypt распространяется бесплатно.
Как выбрать софт для шифрования данных
Ключевое преимущество программ шифрования дисков заключается в том, что они не чувствительны к типам и размерам ваших файлов (в противовес менеджерам паролей, которые фактически работают только с текстовым/символьным содержимым).
На рынке существует огромное множество программных, аппаратных и комплексных решений для обеспечения безопасности при работе с чувствительными данными. В их основе лежит криптография и шифрование.
И если алгоритм шифрования может быть надёжным, как тот же AES, который используется в государственных ведомствах, включая армию разных стран, то уязвимости могут крыться в других модулях: пароль при вводе могут перехватить кейлоггеры или взломать перебором (если парольная фраза простая), если расшифрованные данные хранятся в оперативной памяти, их можно оттуда считать и т.д.
Аппаратные решения очень дорогие и используются в основном на предприятиях. Программные решения обеспечивают достаточную надёжность, но имеют свои нюансы (работа только с локальным хранилищем или возможность переноса в облачную инфраструктуру, полное шифрование диска со всеми вытекающими последствиями или создание виртуальных контейнеров, шифрование только отдельных файлов или сразу целых каталогов/томов и т.п.).
Универсального продукта, лучшего во всех отношениях, не существует. Поэтому выбор должен опираться на исходные задачи. Например, если вам нужно надёжное хранилище, автоматически копируемое в облако – это одно решение, если нужна быстрая работа с отдельными файлами – это другой продукт, если нужно полное шифрование диска, включая системный раздел – третий и т.д.
Следует помнить, что публичные облака слабо защищены, а отправляя в них зашифрованные данные, вы можете нарушать правила использования, что в свою очередь может привести к блокировке аккаунта и потере резервных копий. Именно поэтому решение должно быть специализированным (облако изначально должно быть защищённым).
Сравнительная таблица (5 лучших)
| NordLocker | AES Crypt | FileVault | BitLocker | TrueCrypt | |
| Официальный сайт | nordlocker.com | aescrypt.com | apple.com | microsoft.com | truecrypt.org |
| Первый релиз | 2019 г. | 2006 г. | 2003 г. | 2007 г. | 2004 г. |
| Программный код | Закрытое ПО | Открытый (open-source) | Закрытое ПО | Закрытое ПО | Открытый (open-source) |
| Поддерживаемые ОС | Windows, MacOS | Windows, MacOS, Linux, iOS, Android | MacOS | Windows | Windows, MacOS, Linux |
| Алгоритм шифрования | AES256, Argon2, ECC | AES256 | XTS-AES-128, PBKDF2 | AES | AES, Serpent, Twofish |
| Размещение хранилища | Оффлайн и в облаке | Только локально | Оффлайн | Оффлайн (для облака – Личный сейф OneDrive) | Только локально |
| Файловая система защищённого хранилища | NordLocker FS (на базе GoCryptFS) | Нет (только отдельные файлы) | APFS, HFS+ | FAT, NTFS, exFAT, EFS, VHD | UDF, VHD |
| Двухфакторная авторизация | |||||
| Безопасный обмен файлами | |||||
| Бесплатный тариф | |||||
| Стоимость подписки | От $3,99 | Бесплатно | Бесплатно | Бесплатно | Бесплатно |
Выводы и рекомендации
Причины для шифрования отдельных или всех хранимых на ПК данных у каждого свои. Кто-то хранит на диске персональные данные клиентов, кто-то переживает за сохранность личных фотографий, кто-то не хочет, чтобы к его электронному кошельку получили доступ посторонние лица, и т.д. Решение всех этих проблем одно – защищённое хранилище. Мы не рекомендуем доверять свои секреты устаревшим и заброшенным проектам.
Особняком также должны стоять интегрированные решения от разработчиков операционных систем (их код закрыт, они имеют миллиардную аудиторию, кто даст гарантию, что в ПО для шифрования не встроен бэкдор для спецслужб?). Оптимальное решение – довериться платным сервисам, которые специализируются исключительно на кибербезопасности, таким как NordLocker.
-
Автор:
Windows 10 редакций Профессиональная и Корпоративная имеют встроенную утилиту BitLocker, позволяющую надежно зашифровать содержимое диска (в том числе системного) или внешнего накопителя (об этом в отдельной инструкции: Как поставить пароль на флешку и зашифровать её содержимое). Конечно, для этого можно использовать и сторонние средства, например, VeraCrypt, но в большинстве случаев можно рекомендовать встроенную утилиту шифрования.
В этой инструкции о том, как зашифровать диск с помощью BitLocker. Пример приводится для системного раздела диска, но суть остается неизменной и при необходимости шифрования других дисков. Вы также можете создать виртуальный жесткий диск и зашифровать его — таким образом вы получите защищенный файловый контейнер с возможностью его резервного копирования в облаке и на различных накопителях, переноса на другие компьютеры. Также может быть интересным: Шифрование BitLocker в Windows 10 Домашняя.
Процесс шифрования SSD или жесткого диска с помощью BitLocker
Процедура шифрования дисков с помощью BitLocker — не слишком сложная задача, потребуется выполнить следующие простые шаги:
- В проводнике выберите диск, который требуется зашифровать, нажмите по нему правой кнопкой мыши и выберите пункт «Включить BitLocker».
- Если вы увидите сообщение о том, что «Это устройство не может использовать доверенный платформенный модуль TPM», значит вы хотите зашифровать системный диск, а модуль TPM на компьютере отсутствует или отключен. Проблема решаема, об этом здесь: Как включить BitLocker без TPM.
- После короткой проверки дисков вы увидите предложение настроить тип разблокировки: вставить USB-устройство флэш-памяти (обычную флешку) или ввести пароль. Я в своей практике использую пункт «Введите пароль». Предложение с вводом пароля может не появиться, в этом случае обратите внимание на инструкцию Как включить пароль BitLocker на ноутбуках и компьютерах с TPM.
- Если вы также будете использовать разблокировку с помощью пароля, введите и подтвердите ваш пароль. Настоятельно рекомендую записать его, если есть вероятность забыть заданный пароль (в противном случае вы можете полностью потерять доступ к данным). Нажмите «Далее».
- Вам будет предложено сохранить ключ для восстановления доступа к диску, зашифрованному BitLocker. Вы можете сохранить ключ в различные расположения на своё усмотрение. Вне зависимости от того, какой вариант вы выберите, настоятельно рекомендую серьезно отнестись к этому шагу (и не сохранять ключ на тот же диск, который шифруется): сбои питания, ошибки файловой системы могут приводить к проблемам с доступом к зашифрованному диску просто по паролю и ключ восстановления действительно помогает получить доступ к данным. Я лично на своем основном компьютере столкнулся с таким дважды за последние 5 лет и был очень благодарен сам себе за то, что у меня есть ключ восстановления — оба раза он помог.
- Следующий этап — выбор, какую часть диска шифровать. Для большинства пользователей подойдет вариант «Шифровать только занятое место на диске» (в этом случае будут зашифрованы все файлы, которые уже есть на диске и автоматически будет шифроваться всё, что в дальнейшем на него записывается). Второй вариант шифрует и свободное пространство. Что это дает? Например, если у вас на этом диске ранее были очень секретные данные, а потом они были удалены, есть вероятность их восстановления с помощью соответствующих программ для восстановления данных. После шифрования свободного пространства восстановить удаленные данные не получится (во всяком случае без разблокировки доступа к диску).
- В последних версиях Windows 10 вам также предложат выбрать режим шифрования. Если вы планируете отключать диск и подключать его в других версиях Windows 10 и 8.1, выберите режим совместимости. Иначе можно оставить «Новый режим шифрования».
- В следующем окне оставьте включенным пункт «Запустить проверку BitLocker» и нажмите «Продолжить».
- Вы увидите уведомление о том, что шифрование диска будет выполнено после перезагрузки компьютера. Выполните перезагрузку.
- В случае, если вы шифровали системный диск, то перед запуском Windows 10 вам нужно будет ввести заданный пароль BitLocker для разблокировки диска (или подключить USB-накопитель, если ключ создавался на нем).
- После запуска Windows 10 будет выполнено шифрование накопителя в соответствии с заданными настройками (в области уведомлений появится соответствующий значок, а при его открытии — окно с прогрессом шифрования). Вы можете пользоваться компьютером пока идет шифрование пространства на диске.
- Если шифровался системный диск, то он сразу будет вам доступен (поскольку пароль был введен на предыдущем шаге). Если шифровался не системный раздел диска или внешний накопитель, при открытии этого диска в проводнике вас попросят ввести пароль для доступа к данным.
- По завершении процесса, продолжительность которого зависит от занятого места на диске и скорости его работы (на HDD медленнее, на SSD быстрее), вы получите зашифрованный диск.
Все данные, которые вы будете на него записывать, шифруются «на лету» и так же расшифровываются. Для не системных дисков вы в любой момент можете использовать контекстное меню для его блокировки (чтобы другой человек за этим же компьютером не мог открыть его содержимого).
Доступ к зашифрованному системному диску есть всегда, пока запущена система (иначе бы она не смогла работать).
Если остались какие-либо вопросы на тему шифрования с помощью BitLocker — спрашивайте в комментариях, я постараюсь ответить.
Безопасность данных на компьютере — одна из главных прерогатив для многих пользователей. Комплексный подход — это защитить от стороннего вмешательства весь жесткий диск. Сделать это можно с помощью стандартного средства шифрования в Windows 10.
Чем эффективна такая защита
Зачем выполнять шифрование данных, если есть учетная запись пользователя с паролем? На самом деле это самая простая защита, которую могут сломать даже новички, четко выполняя действия определенной инструкции.
Проблема заключается в том, что злоумышленник может использовать загрузочную флешку и получить доступ к файлам и реестру операционной системы. Далее всего в несколько действий легко узнать введенный пароль или просто отключить его и получить доступ к рабочему столу.
Вопрос защиты файлов будет особенно важен для корпоративного сектора. Например, только в США ежегодно в аэропортах теряются больше 600 тысяч ноутбуков.
Стоит отметить, что с помощью встроенного средства BitLocker шифруются даже флеш-накопители, поскольку они распознаются системой как отдельные тома. При необходимости можно создать виртуальный диск VHD с важными данными и шифровать его, а сам файл хранить на обычной флешке.
Будет ли тормозить?
Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.
Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.
Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.
Использование BitLocker при наличии чипа TPM
Чип TPM (Trusted Platform Module) — это специальный модуль, в котором хранятся криптографические ключи для защиты информации. Обычно он располагается на материнской плате, но далеко не каждая модель оснащается TPM. Ключ для расшифровки логического тома выдается только в коде загрузчика ОС, поэтому злоумышленникине смогут достать его непосредственно из жесткого диска.
Чтобы проверить, есть ли на вашем компьютере или ноутбуке модуль TPM, в окне «Выполнить» введите команду «tpm.msc».
При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.
Перед использованием системы шифрования TPM модуль необходимо инициализировать по следующей инструкции:
1. В панели управления зайдите в раздел «Шифрование диска BitLocker».
2. Напротив системного диска кликните по строке «Включить BitLocker». Система начнет проверку на соответствие конфигурации компьютера.
3. В следующем окне система предупредит пользователя, что для продолжения процесса будут выполнены два действия: активация оборудования безопасности и последующий запуск шифрования. Необходимо нажать «Далее».
4. Для включения TPM система попросит перезагрузить компьютер, поэтому нажмите соответствующую кнопку.
5. При следующей загрузке перед пользователями появится окно активации чипа TPM. Нажмите соответствующую клавишу для подтверждения (в данном случае F1).
6. Как только Windows прогрузится, мастер шифрования продолжит свою работу и предложит следующее меню с выбором места сохранения ключа восстановления.
Данные логического тома будут зашифрованы, а для разблокировки вам придется ввести пароль от учетной записи. При попытке войти в систему через загрузочную флешку или путем перемещения HDD в другой компьютер посторонние не смогут получить доступ к вашим данным. Ключ доступа будет надежно спрятан в TPM модуле.
Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием.
Шифрование BitLocker без модуля TPM
Что делать, если при вводе команды «tpm.msc» TPM модуль не был найден? Использовать BitLocker вы сможете по-прежнему, но теперь ключ вам придется сохранять в другом месте.
Для активации BitLocker следуйте инструкции:
1. Перейдите в меню групповых политик. В окне выполнить введите «gpedit.msc» и нажмите Enter. Необходимо открыть раздел «Конфигурация компьютера», а в нем перейти по «Административные шаблоны» и далее открыть «Компоненты Windows».
2. В компонентах найдите папку «Шифрование диска» и выберите подпункт «Диски операционной системы». Перейдите на вкладку «Стандартный» и дважды кликните ЛКМ по строке «Этот параметр позволяет настроить требования дополнительной проверки подлинности» (выделен на скриншоте).
3. Параметр необходимо перевести в состояние «Включено», а также поставить галочку в строке «Использовать BitLocker без совместимого TPM». Для сохранения изменений нажмите кнопку «Применить» и OK.
На этом настройка групповой политики завершена, и пользователи могут защититься стандартным средством шифрования BitLocker. Как и в предыдущей инструкции, вам необходимо перейти в раздел шифрования и включить BitLocker для системного или другого диска, на котором вы собираетесь зашифровать данные.
Меню настройки будет немного отличаться от вышеописанного:
1. Уже на первом окне вас попросят выбрать способ разблокировки диска. Пароль аналогичен предыдущей защите, вам будет достаточно ввести его при входе в учетную запись. Более надежный способ — флешка + PIN. Для входа в систему вам придется также вставить накопитель в USB-порт, после чего ввести пароль.
2. Если вы указали flash-накопитель, то система предложит выбрать его. В случае с паролем вам достаточно дважды ввести его и перейти в следующее окно.
3. Пользователь должен выбрать, куда сохранить ключ восстановления. Поскольку на шифруемый диск его записать нельзя, то доступны 4 варианта: учетная запись Майкрософт, флеш-накопитель, в качестве отдельного файла на другом диске или просто распечатать.
4. Выберем «Сохранить в файл». В этом случае достаточно указать место и убедиться, что соответствующий txt файл появился по указанному пути.
5. Выберите, как будет шифроваться диск — полностью или только занятая информацией часть. Второй вариант оптимален для новых ПК, на которых только недавно был установлен весь необходимый софт.
6. Выбор режима шифрования. Для несъемных накопителей укажите «новый», но для флешек или переносимых HDD лучше выбрать «Режим совместимости», чтобы при необходимости получить доступ к файлам на другом компьютере.
7. После завершения настроек в трее появится иконка BitLocker. Кликните по ней и подтвердите перезагрузку компьютера.
8. После перезагрузки начнется процесс шифрования, а его прогресс можно узнать из соответствующего значка в трее.
Теперь диск зашифрован и при каждом включении Windows будет просить ввести пароль BitLocker. Это относится и к съемным накопителям, если они были зашифрованы таким способом.
В разделе шифрования также появятся подробные настройки, где вы сможете удалить или сменить пароль, приостановить защиту, архивировать ключ восстановления или отключить шифрование.
Неправильный ввод пароля несколько раз приведет к блокировке, и получить доступ к диску можно будет только с помощью ключа восстановления
Самыми надежными считаются специальные смарт-карты, которые визуально выглядят как обычные флешки. Однако они имеют специальные библиотеки и отображаются отдельными устройствами в диспетчере задач. Соответственно, воспроизвести смарт-карту намного сложнее в отличие от обычной флешки-ключа.
Альтернативы BitLocker
Если по каким-либо причинам стандартная система шифрования вас не устраивает или в вашей редакции Windows ее просто нет, то можно воспользоваться сторонним софтом.
Однако будьте осторожны. Во-первых, сторонние программы в отличие от системных средств могут ощутимо сказываться на производительности компьютера, особенно, если они не оптимизированы под конкретные ОС. Во-вторых, нет гарантий, что такой софт не имеет уязвимостей, которыми могут воспользоваться злоумышленники или даже разработчики.
BitLocker Anywhere
Популярный софт для шифрования дисков, работающий под операционными системами Windows 7/8/10 различных редакций. У софта есть пробная версия на 15 суток, однако в ней запрещено шифровать системный раздел, поэтому пользователи смогут защитить только флешки и другие логические тома жесткого диска.
Базовая версия стоит 14,99$, а профессиональная с возможностью шифровать тома больше 2 ТБ — 19,99$. В функционал BitLocker Anywhere входит шифрование и дешифрование дисков, создание ключей восстановления с их экспортом. По сути, это аналог стандартному BitLocker с технической поддержкой со стороны разработчиков. Очевидный минус — в качестве защиты доступен только пароль, никаких смарт-карт или USB Flash здесь нет.
Для шифрования достаточно выбрать диск, указать пароль, место для сохранения ключа восстановления и дождаться окончания процесса. Интерфейс на английском языке, но программой можно пользоваться даже с минимальными знаниями иностранного.
7 zip
Если вы предпочитаете создавать VHD-образы и при необходимости подключать их к системе, то для шифрования вполне подойдет обычный архиватор 7zip.
Выберите виртуальный образ жесткого диска (формат VHD/VHDX) и нажмите «Добавить в архив». Далее в окне настроек укажите имя, пароль для шифрования и метод (желательно, AES-256).
Теперь для дешифровки вам придется ввести пароль и только потом монтировать VHD файл.
Нюансы восстановления зашифрованного диска
Что делать, если Windows с зашифрованным логическим диском не запускается? Это не проблема, если у вас есть необходимые данные доступа. Чтобы снять блокировку BitLocker, вам следует иметь хотя бы один из следующих элементов:
- пароль шифрования BitLocker, который вы вводили в самом начале;
- ключ восстановления (его предлагали сохранить на флешке, в учетной записи или распечатать);
- USB-ключ запуска системы, если вы использовали флешку.
Если ничего этого у вас нет, то про данные можно забыть и единственный способ вернуть диск — отформатировать его. Конечно, есть специфические способы «выловить» ключ среди метаданных или дампа оперативной памяти, но и они не дают стопроцентной гарантии успеха, не говоря о сложности реализации. К этим методикам могут прибегать специализированные сервисы.
Если Windows не прогружается, то вам необходимо запустить среду восстановления, или воспользоваться установочным диском. Если это возможно, запустите командную строку (для стандартных средств Windows это команда Shift+F10). Теперь выполните следующие действия:
- Проверьте состояние зашифрованных дисков командой «manage-bde –status». Если все хорошо, то должна появиться надпись с BitLocker Drive Encryption: Volume X, где вместо Х буква зашифрованного тома.
- Далее разблокируйте диск командой «manage-bde -unlock D: -pw». Вас попросят ввести пароль.
- После успешной дешифровки появится соответствующее окно и можно приступить к восстановлению.
Если пароль не известен, то можно использовать ключ восстановления, напечатав в командной строке:
repair-bde F: G: -rp 481385-559146-955173-133053-357710-316682-137633-983682 –Force
В этом случае поврежденные данные с диска F будут перекопированы на диск G, при этом последний должен быть по объему больше диска F. Ключ восстановления — это 48-цифровой код, который и печатается в этой команде.
Для flash-ключа формата «.bek», который в данном примере находится на флешке I, используется следующая строка:
repair-bde F: G: -rk I:\3F449834-943D-5677-1596-62C36BA53564.BEK –Force
Перед открытием расшифрованного диска обязательно выполните проверку на ошибки стандартной командой Chkdsk.