Программы для шифрования

Программы для шифрования

Chipollino Onion Club

Шифрование данных – единственный способ контролировать, кто может получить к ним доступ. Если в настоящее время вы не используете программное обеспечение для шифрования жесткого диска, электронной почты или файлов, прочитайте эту статью и выберите подходящее для вас ПО.

Критерии

Минимальные требования

  • Кросс-платформенные приложения для шифрования должны быть с открытым исходным кодом.
  • Программы для шифрования файлов должны поддерживать расшифровку в Linux, macOS и Windows.
  • Приложения для шифрования внешних дисков должны поддерживать расшифровку в Linux, macOS и Windows.
  • Приложения для шифрования внутренних дисков (ОС) должны быть кроссплатформенными или встроенными в операционную систему.

Идеал

  • Приложения для шифрования операционной системы (FDE) должны использовать аппаратную защиту, такую как TPM или Secure Enclave.
  • Приложения для шифрования файлов должны иметь поддержку мобильных платформ.

Мультиплатформенные

Cryptomator (Облако)

Cryptomator – это решение, предназначенное для конфиденциального сохранения зашифрованных файлов у любого облачного провайдера. Оно позволяет создавать хранилища на виртуальном диске, содержимое которого шифруется и синхронизируется с провайдером облачного хранения.

Cryptomator использует AES-256 для шифрования как файлов, так и имен файлов. Cryptomator не может шифровать метаданные, такие как метки доступа, модификации и создания, а также количество и размер файлов и папок.

Некоторые криптографические библиотеки Cryptomator были проверены компанией Cure53. В число проверенных библиотек вошли: cryptolibcryptofssiv-mode и cryptomator-objc-cryptor. Аудит не распространялся на cryptolib-swift, которая является библиотекой, используемой Cryptomator для iOS.

В документации Cryptomator подробно описаны его предполагаемая цель безопасности, архитектура безопасности и лучшие примеры использования.

Picoctypt

Picocrypt – это небольшой и простой инструмент, обеспечивающий современное шифрование. Picocrypt использует шифр XChaCha20 и функцию деривации ключей Argon2id для обеспечения высокого уровня безопасности. Для функций шифрования он использует стандартные модули Go x/crypto.

VeraCrypt (Disk)

VeraCrypt – это бесплатная утилита с исходным кодом, используемая для шифрования "на лету". Она может создать виртуальный зашифрованный диск внутри файла, зашифровать раздел или зашифровать все устройство хранения данных с аутентификацией перед загрузкой.

VeraCrypt является форком прекратившего свое существование проекта TrueCrypt. По словам разработчиков, в нем были реализованы улучшения безопасности и решены проблемы, поднятые в ходе первоначального аудита кода TrueCrypt.

При шифровании с помощью VeraCrypt у вас есть возможность выбрать одну из различных хэш-функций. Рекомендуем вам выбирать только SHA-512 и придерживаться блочного шифра AES.

Truecrypt проверялся несколько раз, VeraCrypt также проверялся отдельно.

Полнодисковое шифрование ОС

Все современные операционные системы включают в себя функции FDE и имеют защищенный криптопроцессор.

BitLocker

BitLocker – это решение для шифрования всего диска, поставляемое в комплекте с Microsoft Windows. Основная причина рекомендации этой программы заключается в использовании TPM. Компания ElcomSoft, специализирующаяся на судебной экспертизе, написала об этом в статье Understanding BitLocker TPM Protection.

BitLocker поддерживается только в редакциях Windows Pro, Enterprise и Education. Он может быть включен в редакциях Home при условии, что они отвечают необходимым требованиям.

Включение BitLocker в Windows Home

Чтобы включить BitLocker в "домашних" редакциях Windows, необходимо, чтобы разделы были отформатированы с помощью GUID Partition Table и имели выделенный модуль TPM (v1.2, 2.0+).

1. Откройте командную строку и проверьте формат таблицы разделов диска с помощью следующей команды. Вы должны увидеть "GPT" в списке "Стиль разделов":

powershell Get-Disk

2. Выполните эту команду (в командной строке администратора), чтобы проверить версию вашего TPM. Вы должны увидеть 2.0 или 1.2 в списке рядом со SpecVersion:

powershell Get-WmiObject -Namespace "root/cimv2/security/microsofttpm" -Class WIN32_tpm

3. Зайдите в Дополнительные параметры запуска. Необходимо перезагрузиться, нажав клавишу F8 до запуска Windows, и войти в командную строку в разделе. Troubleshoot → Advanced Options → Command Prompt.

4. Войдите в систему под учетной записью администратора и введите следующее в командной строке для запуска шифрования:

manage-bde -on c: -used

5. Закройте командную строку и продолжите загрузку в обычную Windows.

6. Откройте командную строку администратора и выполните следующие команды:

manage-bde c: -protectors -add -rp -tpm
manage-bde -protectors -enable c:
manage-bde -protectors -get c: > %UserProfile%\Desktop\BitLocker-Recovery-Key.txt
Совет. Создайте резервную копию файла BitLocker-Recovery-Key.txt на рабочем столе на отдельное устройство хранения данных. Потеря этого кода восстановления может привести к потере данных.

FileVault

FileVault – это решение для шифрования томов "на лету", встроенное в macOS. FileVault рекомендуется использовать, поскольку он использует возможности аппаратной защиты, присутствующие в SoC или чипе T2 Security Chip компании Apple.

Рекомендуем хранить локальный ключ восстановления в надежном месте, а не использовать для восстановления учетную запись iCloud.

Linux Unified Key Setup (LUKS)

LUKS – это метод FDE по умолчанию для Linux. Его можно использовать для шифрования полных томов, разделов или создания зашифрованных контейнеров.

Создание и монтирование зашифрованных контейнеров

dd if=/dev/urandom of=/path-to-file bs=1M count=1024 status=progress

sudo cryptsetup luksFormat /path-to-file

Первая команда создает зашифрованный раздел, вторая открывает его. Path-to-file – путь до файла.

Открытие зашифрованных контейнеров

Рекомендуем открывать контейнеры и тома с помощью udisksctl, поскольку в этом случае используется Polkit. Большинство файловых менеджеров, например, входящих в состав популярных сред рабочего стола, могут разблокировать зашифрованные файлы. Такие инструменты, как udiskie, могут запускаться в системном трее и предоставлять полезный пользовательский интерфейс.

udisksctl loop-setup -f /path-to-file
udisksctl unlock -b /dev/loop0

Не забывайте создавать резервные копии заголовков томов. Рекомендуем вам всегда создавать резервные копии заголовков томов LUKS на случай частичного отказа диска. Это можно сделать с помощью:

cryptsetup luksHeaderBackup /dev/device --header-backup-file /mnt/backup/file.img

Браузерные

Шифрование на основе браузера может быть полезно, когда вам нужно зашифровать файл, но вы не можете установить программное обеспечение или приложения на свое устройство (например, на корпоративном компьютере).

hat.sh

Hat.sh – это веб-приложение, обеспечивающее безопасное шифрование файлов на стороне клиента в вашем браузере. Оно также может быть размещено самостоятельно и полезно, если вам нужно зашифровать файл, но вы не можете установить какое-либо программное обеспечение на свое устройство из-за политики организации.

Текстовые (в командной строке)

Инструменты с интерфейсом командной строки полезны для интеграции сценариев оболочки.

Kryptor

Kryptor – это бесплатный инструмент шифрования и подписания файлов с открытым исходным кодом, использующий современные и безопасные криптографические алгоритмы. Его цель – стать лучшей версией age и Minisign, чтобы обеспечить простую и легкую альтернативу GPG.

Tomb

Tomb – это оболочка командной строки для LUKS. Она поддерживает стеганографию с помощью инструментов сторонних разработчиков.

OpenPGP

OpenPGP иногда необходим для решения специфических задач, таких как цифровая подпись и шифрование электронной почты. PGP имеет множество функций и является достаточно сложным, поскольку существует уже давно. Для таких задач, как подписание или шифрование файлов, проще всего использовать вышеуказанные варианты.

При шифровании с помощью PGP у вас есть возможность настроить различные параметры в файле gpg.conf. Рекомендуем придерживаться стандартных опций, указанных в FAQ пользователя GnuPG.

При генерации ключей мы рекомендуем использовать команду future-default, так как это позволит GnuPG использовать современную криптографию, такую как Curve25519 и Ed25519:

gpg --quick-gen-key alice@example.com future-default

GNU Privacy Guard

GnuPG – это альтернатива криптографическому пакету PGP под лицензией GPL. GnuPG совместим с RFC 4880, который является текущей спецификацией IETF OpenPGP. Проект GnuPG работает над обновленным проектом в попытке модернизировать OpenPGP. GnuPG является частью программного проекта GNU Фонда свободного программного обеспечения и получил значительное финансирование от правительства Германии.

GPG4win

GPG4win – это пакет для Windows от компаний Intevation и g10 Code. Он включает в себя различные инструменты, которые могут помочь вам в использовании GPG в Microsoft Windows. Проект был инициирован и первоначально финансировался Федеральным управлением по информационной безопасности Германии (BSI) в 2005 году.

GPG Suite

Примечание. Рекомендуем Canary Mail для использования PGP с электронной почтой на устройствах iOS.

GPG Suite обеспечивает поддержку OpenPGP для Apple Mail и macOS.

Мы рекомендуем ознакомиться с их "Первыми шагами" и базой знаний для получения поддержки.

OpenKeychain

OpenKeychain – это реализация GnuPG для Android. Она обычно требуется почтовым клиентам, таким как K-9 Mail и FairEmail, и другим приложениям Android для обеспечения поддержки шифрования. Cure53 завершила аудит безопасности OpenKeychain 3.6 в октябре 2015 года. Технические подробности об аудите и решениях OpenKeychain можно найти здесь.

Адаптировано Vergil специально для Chipollino Onion Club


Onion Market – свободный р2р-обменник в Telegram.

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org