Шифрование Flash-карт

Материал из ИНФОвики
Перейти к: навигация, поиск

Зачем шифровать Flash-карту

Основная причина для шифрования, точнее, для превращения Flash-накопителя в криптоконтейнер — безопасность. Flash-карты слишком легко теряются; если на них переносится информация, не предназначенная для всеобщего доступа, потеря карты может привести к серьёзным негативным последствиям.

Помимо шифрования индивидуальных файлов (средствами программ-архиваторов или такими инструментами, как PGP/GnuPG) есть более удобный и надёжный в общем случае путь: превратить карту целиком в шифрованное хранилище, и осуществлять операции копирования файлов привычным образом.

Ниже приводится инструкция для создания из Flash-накопителя криптоконтейнера при помощи известного инструмента TrueCrypt. Предполагается, что читатель умеет устанавливать это приложение.

Linux: командная строка

Операции, которые выполняются ниже, предполагают, что TrueCrypt установлен и доступен. Вставьте Flash-карту и узнайте, какое устройства ей назначено (в случае, если карта не монтируется автоматически) 

sudo dmesg | tail

или 

ls /dev/s*

(в предположении, что вы помните, каким был этот список до подключения карты)

Если карта автоматически смонтировалась, то команда df или mount обе покажут имя устройства.

Далее предполагается, что Flash-карта подключена как /dev/sdb — используйте правильный адрес в вашем конкретном случае.

Если карту не форматировали после приобретения, там, вероятнее всего, будет единственный раздел (помеченный как загрузочный). Форматируем его под раздел TrueCrypt, при этом не создаём на нём никакой файловой системы: 

sudo truecrypt -c -k "" --encryption=AES --hash=RIPEMD-160 --volume-type=normal \
  --random-source=/dev/urandom --filesystem=none /dev/sdb1

после чего предложат ввести пароль. Желательно выбирать пароль, который не слишком просто угадать. Как вариант, укажите просто 

sudo truecrypt -c /dev/sdb1

и ответьте на вопросы программы.

Создание защищённого раздела длится долго, в моём случае это занимало до полутора минут на гигабайт ёмкости карты.

Теперь монтируем полученный защищённый раздел без указания файловой системы: 

sudo truecrypt --filesystem=none /dev/sdb1

Теперь посмотрите на вывод dmesg, там будет указано, какому новому устройству соответствует смонтированный раздел. Далее я предполагаю, что это /dev/mapper/truecrypt1 — для уверенности можете вначале размонтировать все смонтированные устройства TrueCrypt, чтобы случайно не уничтожить их содержимое: 

sudo truecrypt -d

Форматируем устройство под удобную нам файловую систему. В случае Linux я использую ext4: 

sudo mkfs.ext4 /dev/mapper/truecrypt1

Всё. Теперь можете размонтировать и вновь смонтировать готовую к употреблению зашифрованную карту: 

sudo truecrypt -d
mkdir ~/flash
sudo truecrypt /dev/sdb1 ~/flash

не забудьте только, что по умолчанию все права на вновь созданную файловую систему имеет только суперпользователь. Проще всего создать каталог на шифрованной файловой системе и дать ему соответствующие права доступа: 

sudo mkdir ~/flash/`whoami`
sudo chown `whoami` ~/flash/`whoami`

Внимание: приведено самое общее, простейшее использование TrueCrypt. Не использовались ни скрытые разделы, ни ключевые файлы, ни прочие средства повышения уровня безопасности. Просьба обращаться к соответствующим рекомендациям по каждой из приведённых программ, чтобы настроить вновь создаваемую файловую систему под ваши конкретные нужды.

Скажем, чтобы уменьшить износ карты, можно при монтировании запретить записывать время доступа к файлам и каталогам: 

sudo truecrypt --fs-options='noatime,nodiratime' /dev/sdb1 ~/flash

Заключение

Любая система безопасности настолько прочна, насколько прочно её слабейшее звено. Если вы используете слабый пароль, если создавали защищённую карту на компьютере, безопасность которого под вопросом — не будет гарантии, что ваши данные в безопасности.

Преимущества использования шифрованной карты:

  • шифрованный раздел «кажется» неформатированным разделом; догадаться, что это TrueCrypt раздел, невозможно
  • если вы создадите скрытый том небольшого размера внутри основного шифрованного раздела, то возникает дополнительный фактор безопасности в ситуации, когда вы вынуждены открыть пароль к основному разделу

Таким образом, потеря такой карты после записи на неё важных файлов с намного меньшей вероятностью приведёт к попаданию этих файлов лицам, для которых они не предназначались.

Источник — «http://boyandin.info/w/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_Flash-%D0%BA%D0%B0%D1%80%D1%82»
комментарии поддерживаются Disqus