Windows 7
Шифрование диска FileVault Mac, есть ли смысл? FileVault — автоматическое шифрование домашней директории Как зашифровать файлы в macbook

Шифрование диска FileVault Mac, есть ли смысл? FileVault — автоматическое шифрование домашней директории Как зашифровать файлы в macbook

Вполне возможно, что ваш Мак хранит множество ценной и конфиденциальной информации, которой вы бы очень не хотели делиться с кем-то ещё. И вполне закономерно, что у вас возникнет желание защитить эту информацию от всех посторонних. Разумеется, одним лишь паролем на вход в учётную запись здесь отделаться не получится. Для решения подобной задачи необходимо применение шифрования информации. Именно шифрованию на Маках мы посвятим небольшой цикл статей, в котором рассмотрим различные платные и бесплатные решения для этой цели. Начнём мы с самого стандартного механизма шифрования — встроенной в Mac OS технологии FileVault.

Сразу скажем, что сфера применения FileVault узка — зашифровать можно только домашнюю папку пользователя. Для шифрования используется 128-битный ключ алгоритма AES , что обеспечивает весьма высокий уровень надёжности.

Всё устроено очень просто: FileVault создаёт специальный контейнер (зашифрованный образ диска ), копирует туда всю вашу папку пользователя, после чего удаляет оригинал. Вся информация, находящаяся в зашифрованном образе диска, становится доступной только тогда, когда пользователь входит в свой аккаунт . В остальное время она полностью защищена от посторонних глаз.

Отсюда следует первый и самый главный (для всего шифрования) вывод — ни в коем случае не забудьте пароль для шифрования , иначе все его достоинства обернутся против вас. Для защиты от амнезии в Mac OS X предусмотрен мастер-пароль, зная который, можно сбросить пароль у любой учётной записи, в т.ч. и от зашифрованной FileVault. Это спасёт вас от потери информации, если вы вдруг не сможете вспомнить пароль от своей учётной записи. Но если вы забудете и свой, и мастер-пароль, то со всеми зашифрованными данными можно смело прощаться раз и навсегда .

Перед включением FileVault обязательно учтите несколько важных особенностей:

1) Первичное шифрование идёт долго — оно может растянуться на несколько часов. Его продолжительность прямо зависит от количества и размера файлов в папке пользователя. Поэтому перед шифрованием постарайтесь перенести из папки пользователя всю музыку, все фильмы, все фотографии и всю остальную неконфиденциальную информацию в любое другое место на диске.

2) Привыкли к производительному шустрому Маку? Отвыкайте. FileVault заметно испортит быстродействие даже самого мощного Macintosh. Шифрование создаёт дополнительную постоянную нагрузку на процессор и жёсткий диск.

3) Многие новички удивляются, почему при удалении файлов место на диске не освобождается. Потом они обнаруживают, что нужно очистить Корзину. Если включён FileVault, то вы с удивлением обнаружите, что и после очистки Корзины свободное место на диске не появляется . Как уже говорилось, вся папка пользователя превращается в один образ. А его размер автоматически изменяется только в момент выхода из учётной записи, поэтому для возвращения свободного пространства вам придётся каждый раз завершать сеанс .

4) Опасность полной или частичной потери информации вырастает в разы . Поначалу это кажется абсурдным — ведь шифрование призвано защищать конфиденциальные сведения. Оно их действительно защищает — от взлома, но никак от сбоя диска . Подумайте сами — когда портится один из секторов диска, портится файл, частичка которого была записана на этом секторе. Вся ваша папка пользователя при включённом FileVault — это один файл. Представьте, что будет, если на дисковом пространстве, которое он занимает, произойдёт повреждение.

5) Привыкли пользоваться Time Machine ? После включения FileVault её возможности сильно поредеют. Например, вы больше не сможете восстановить через интерфейс Time Machine отдельный файл . А если вы попытаетесь восстановить всю систему, то готовьтесь к неприятным сюрпризам. Форумы Apple завалены жалобами пользователей, которые не могут войти в свой аккаунт после такой процедуры.

6) Включить FileVault легко, а вот выключить его обратно не всегда получается . Частенько система выдаёт ошибку при попытке отключить шифрование. И частенько эта ошибка приводит к невозможности зайти в свой аккаунт в дальнейшем.

Само собой, эти шесть пунктов вовсе не призваны вас отговорить от включения шифрования. Но, согласно закону Мёрфи, если какая-то гадость имеет шанс случиться, то она случится в самый неподходящий момент.

FileVault — не лучший вариант для шифрования. Его единственное достоинство — полная встроенность в систему.

Итак, если вы взвесили все «за» и «против», то приведем инструкцию по включению FileVault.

1) В Системных настройках выбираете пульт Безопасность . Переходите на вкладку FileFault и нажимаете кнопку Включить FileVault .

2) C вас спросят пароль администратора. После этого вам будет предложено создать мастер-пароль (если вы это не сделали ранее). Ещё раз напоминаем — если вы потеряете и мастер-пароль, и пароль от учётной записи, то расшифровать информацию будет невозможно.

3) Потом вас снова заставят ввести пароль администратора, после чего появится последнее предупреждающее окно:

Обратите внимание на имеющиеся настройки: Использовать надёжное стирание дополнительно увеличит время шифрования, а Использовать защищённую виртуальную память заставит FileVault шифровать не только ваши, но и временные системные файлы, временно скидываемые на диск. Как это скажется на производительности компьютера — объяснять смысла не имеет.

4) Если после всех этих вопросов и предупреждений вы не передумали, нажимайте Включить FileVault . Система завершит сеанс и начнётся шифрование, во время которого компьютер лучше не тревожить (и тем более не выключать!). Когда всё закончится, вы обнаружите, что значок вашей папки пользователя с привычного домика поменялся на стальной сейф. Больше никаких заметных изменений (ну кроме жутких тормозов системы по любому поводу;) вы не заметите.

Отключение FileVault происходит примерно так же, через вкладку FileVault пульта Безопасность.

P.S. Повторимся — мы бы не рекомендовали включать вам FileVault сразу. Для начала прочитайте остальные статьи нашего цикла, следующая из которых будет посвящена бесплатной программе TrueCrypt .

«Выживают только параноики»
- Эндрю Гроув, экс-глава Intel

Для тех пользователей, которые хранят на своем компьютере важные файлы, в Mac OS X существует функция FileVault, которая позволяет зашифровать все содержимое домашней директории (Macintosh HD -> Users -> Your_Name) стойким алгоритмом AES 128 (Advanced Encryption Standart с длинной ключа в 128 бит, он является государственным стандартом в США).

Не забывайте, что обычная установка пароля на вход в систему не шифрует данные, при желании, получить к ним доступ достаточно просто. Поэтому для реальной защиты самих файлов используйте FileVault, или другие криптографические решения.

Для активации FileVault, в панели System Preferences выберите пункт Security (как показано на скриншоте), установите необходимые параметры и создайте Master Password (если он еще не создан), с помощью которого вы сможете получить доступ к данным, если забудете пароль своего аккаунта (очень пригодится системным администраторам - в любой момент можно будет получить доступ к файлам, даже если сотрудник уже не работает в компании и отказывается сообщать пароль). После активации система будет перезагружена и все содержимое домашней директории будет зашифровано (процесс может занять довольно продолжительное время - в зависимости от объема информации).

После этого иконка вашей домашней директории будет изменена, и все ее содержимое будет храниться в зашифрованном виде - при обращении к какому-либо файлу, он будет дешифрован на время работы с ним и автоматически зашифрован по ее окончании. Все это Apple сделала со свойственной ей простотой и удобством. Работа пользователя с включенным FileVault практически никак не усложняет использование системы.

Тем не менее, вы можете столкнуться со следующими особенностями:

Дополнительная нагрузка на процессор. Постоянное шифрование и дешифрование файлов «на ходу» создает дополнительную нагрузку на процессор. В большинстве случаев она практически не заметна, вы обратите внимание на нее лишь при работе с файлами большого объема, требующими активной работы с жестким диском (например, при работе с видео). Поэтому особо крупные и не конфиденциальные файлы (например, фильмы), лучше хранить не в домашней директории, а в обычной папке на жестком диске (следующий пункт лишь подтвердит эту рекомендацию).
Необходимость восстановления свободного дискового пространства. При удалении файла из вашей домашней директории и очистки корзины место на диске не освободится. Дело в том, что зашифрованный образ вашей директории - это большой файл, который, по причинам криптографических особенностей, не может быть быстро уменьшен в размерах. При выходе из вашей учетной записи (или при полной перезагрузке системы), система предложит выполнить Disk Space Recovery, то есть реально освободить свободное место на диске за счет удаленных ранее файлов. Эта операция может занять не один десяток минут, поэтому, если вы используете ноутбук, не подключенный к сети питания, система не предложит вам Disk Space Recovery. Think Different.
Уязвимость в случае возникновения дисковых ошибок. Обязательно делайте резервное копирование данных, ведь зашифрованная директория представляет собой один большой файл, доступ к которому может быть невозможен при наличии испорченного кластера. Если вы не используете шифрование, то рискуете одним или несколькими файлами, а во время активированного FileVault - всей директорией сразу.
Невозможность восстановления данных. Не забывайте пароль. Вы можете восстановить данные либо паролем соответствующего аккаунта, либо с помощью Master Password. Если вы не помните ни тот, ни другой, то данные потеряны навсегда.
В Mac OS X 10.4 Tiger появилась новая возможность шифрования виртуальной памяти (своп-файла). Когда вы работаете с документами, часть из них хранится в этом файле, и получив доступ к вашему жесткому диску, возможно восстановить некоторые документы, с которыми недавно велась работа. Конечно, включение этой функции дополнительно увеличит нагрузку на процессор.

Для предотвращения несанкционированного доступа и просто любопытных глаз, в OS X, как и во всех современных ОС, используются пароли пользователя. Большинство маководов его, естественно, используют, обеспечивая тем самым безопасность своей учетной записи, вход в которую не будет осуществлен пока вы не введете пароль пользователя. Как это ни печально, но существуют различные способы, которые позволяют сбросить пароль администратора и получить доступ ко всей информации, хранящейся на вашем компьютере.

Пользователи, для которых безопасность данных стоит не на последнем месте, наверняка пожелают застраховать себя от таких вещей и предотвратить возможность несанкционированного доступа к личной информации. Это можно сделать с помощью встроенного механизма шифрования FileVault.

Суть этого метода состоит в том, что при включении FileVault пароль нужно будет вводить еще до загрузки учетной записи, а это в свою очередь сделает недоступным использование известных способов сброса пароля (Single User Mode, загрузка с внешнего диска и т.д.). Использование FileVault является пожалуй самым простым способом, обойти все эти попытки, поскольку помимо шифрования данных на диске, он в обязательном порядке требует ввода пароля на ранних этапах загрузки системы. А именно это нам и нужно!

Для наглядности упростим все вышесказанное и посмотрим как выглядит включение Mac’а до и после активации FileVault:

До . Загрузка > Single User Mode > Сброс пароля > Вход под root-пользователем
После . Загрузка > Запрос пароля FileVault для получения доступа

FileVault чрезвычайно прост в настройке и включается в системных настройках OS X:

1. Открываем Настройки и переходим в раздел Защита и безопасность , на вкладку FileVault .

2. Жмем на пиктограмму замка и вводим пароль, который требуется для включения шифрования.

3. Если у вас несколько учетных записей - выбираем которые из них будут использовать шифрование.

4. Надежно сохраняем ключ восстановления - если вы забудете пароль, без ключа невозможно будет получить доступ к вашим данным.

5. Выбираем хранить (в зашифрованом виде) ключ восстановления на серверах Apple или нет. Если да - то выбираем три вопроса и указываем ответы на них. По ним Apple идентифицирует вас, случае обращения к ним при утере ключа.

6. Перезагружаем компьютер для применения внесенных изменений и включения шифрования.

Однако, важно понимать риски и ограничения, которые повлечет за собой использование полного шифрования диска. Здесь имеется ввиду возможное падение скорости чтения диска и невозможность восстановления ваших данных кем бы то ни было, в случае утери пароля. Но думаю это не проблема, если вы решились на такой серьезный шаг, как включение шифрования диска – вы по определению должны быть осмотрительным пользователем и надежно хранить свои пароли. Поэтому, использование FileVault вряд ли можно порекомендовать среднестатистическому пользователю, в отличии от маководов, которые предъявляют особые требования к безопасности. Если вы относитесь к последним, то я бы посоветовал включить FileVault и воспользоваться всеми преимуществами шифрования. Кроме того, очень полезно выработать привычку всегда блокировать ваш Mac, даже если вы покидаете рабочее место на несколько минут.

Первичное шифрование моего SSD объемом 120 ГБ, заполненного чуть больше чем наполовину - заняло около 40 минут.

Из соображений производительности, шифрование FileVault лучше всего использовать на Mac’ах с твердотельными SSD-накопителями, хотя с обычными жесткими дисками он тоже работает довольно неплохо (но все же некоторые пользователи отмечают значительное падение скорости чтения/записи в этом случае).

Как видите, Apple в очередной раз подтверждает состоятельность своей операционной системы, в состав которой входят все необходимые инструменты. FileVault отличная служба шифрования данных, обеспечивающая к тому же дополнительные преимущества безопасности.

Если у вас остались какие-нибудь вопросы - не стесняйтесь спрашивать в комментариях. Всегда рад буду услышать ваше мнение!

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3 DNews не несет никакой ответственности за любые возможные последствия.

⇡ Введение

Почти обо всех решениях, упомянутых в предыдущем материале , так или иначе рассказывалось на страницах нашего ресурса. Однако тема шифрования и уничтожения данных незаслуженным образом была обойдена стороной. Исправим же это упущение. Рекомендуем ещё раз прочитать прошлую статью, перед тем как что-либо делать. Обязательно сделайте резервную копию всех данных перед их шифрованием! И ещё — десять раз подумайте, какую именно информацию вам придётся везти с собой и нет ли возможности отказаться хотя бы от её части. Если всё готово, приступаем.

⇡ Шифрование стандартными средствами Windows 7, Mac OS X 10.7 и Ubuntu 12.04

Все современные десктопные ОС уже давно обзавелись встроенными утилитами для шифрования файлов и папок или целых дисков. Перед тем как рассматривать сторонние утилиты, лучше обратиться именно к ним, ибо они довольно просты в настройке и использовании, хотя и не обладают различными дополнительными функциями. В Windows 7 Ultimate и Enterprise есть функция шифрования томов под названием BitLocker . Для защиты системного диска она требует наличия модуля TPM, который установлен далеко не во всех ПК или ноутбуках, но для прочих томов он не требуется. Также в Windows 7 есть функция BitLocker To Go для защиты съёмных накопителей, которой тоже можно воспользоваться без аппаратного криптомодуля, а этого вполне достаточно для большинства пользователей.

Если у вас установлена подходящая версия Windows 7, то для задействования BitLocker (To Go) перейдите в панели управления к пункту «Шифрование диска BitLocker». Напротив соответствующего накопителя кликните по ссылке «Включить BitLocker». Выберите опцию разблокировки с помощью пароля и сохраните ключ восстановления (это просто текстовый файл) в безопасное место, например на флешку, которую вы не берёте с собой в дорогу. Через некоторое время, а это зависит от объёма накопителя и мощности ПК, процесс шифрования будет завершён.

При подключении зашифрованного тома вас каждый раз будут просить ввести пароль для доступа к данным, если вы не включите автоматическую разблокировку, а делать это не рекомендуется. Управлять параметрами зашифрованного тома можно всё в том же разделе «Шифрование диска BitLocker» панели управления. Если вы вдруг забыли пароль от BitLocker, то для расшифровки надо использовать 48-значный цифровой ключ восстановления — после его ввода том будет временно разблокирован.

В Windows 7, помимо BitLocker, есть ещё метод шифрования папок и файлов, а не томов, — шифрованная файловая система (EFS). Поддерживается во всех редакциях ОС, но в Starter и Home (Premium) можно только работать с уже зашифрованными папками и файлами, но не создавать их. Для работы EFS обязательно использование NTFS с отключённой опцией сжатия данных. Если ваша машина удовлетворяет этим требованиям, то можно приступать к настройке.

В панели управления переходим к параметрам учётных записей и кликаем по ссылке «Управление сертификатами шифрования файлов». Следуя подсказкам мастера, создаём новый самозаверяющий сертификат для ПК. Обязательно сохраняем его в надёжном месте и защищаем паролем. Это можно сделать и потом с помощью этого же мастера, но лучше не тянуть, ибо экспортируемый PFX-файл понадобится для экстренного восстановления данных. Если у вас уже были зашифрованные данные на диске, то для них надо обновить ключи.

Система EFS прозрачна для пользователя, то есть с файлами и папками можно работать как обычно. Но если попытаться открыть их в другой среде (ОС, ПК), то доступ к ним будет закрыт. Чтобы зашифровать файл или папку, достаточно в их свойствах нажать кнопку «Другие…» на вкладке «Общие» и поставить галочку «Шифровать содержимое для защиты данных». После применения изменений цвет имени зашифрованного элемента по умолчанию меняется на зелёный для лучшей визуальной идентификации защищённых данных.

Для расшифровки достаточно снять галочку в свойствах файла/папки. При попытке скопировать защищённые данные в неподходящие для этого места — на диск c FAT32, в сетевое хранилище и так далее — появится предупреждение, что данные будут расшифрованы и попадут туда в незащищённом виде. Для удобства работы с EFS можно добавить в контекстное меню проводника соответствующие пункты. Достаточно создать DWORD-параметр EncryptionContextMenu в ветке реестра HKEY_ LOCAL_ MACHINE \\SOFTWARE \\Microsoft \\Windows \\CurrentVersion \\Explorer \\Advanced \\ и выставить его значение в 1.

Для расшифровки данных на накопителе в случае недоступности машины, на которой они шифровались, нужна резервная копия сертификата и пароль к ней. Для импорта достаточно дважды кликнуть по pfx-файлу и следовать указаниям мастера. Если вы хотите в дальнейшем экспортировать данный сертификат для работы с данными на ещё одной машине, то отметьте эту опцию галочкой.

Сохранить импортируемый сертификат нужно в личном хранилище. После окончания процесса доступ к зашифрованным файлам и папкам будет открыт. Управлять личными сертификатами можно с помощью оснастки MMC — Win+R, certmgr.msc, Enter.

Ещё одна крайне полезная опция, а именно затирание свободного места на диске, доступна только с помощью командной строки. Ключ /W — очистка места, /E — шифрование, /D — расшифровка. Описание остальных параметров доступно во встроенной справке — ключ /?.

Cipher /W X:\\путь\\до\\любой\\папки\\на\\очищаемом\\диске

Mac OS X

Кратенько остановимся на возможностях защиты данных в «яблочных» компьютерах. В Mac OS X уже давно имеется встроенная система шифрования FileVault , а с версии 10.7 она позволяет защищать не только домашний каталог, но и сразу весь диск. Включить её можно в настройках системы в разделе «Защита и безопасность». Там же полезно будет отметить галочкой опцию защиты виртуальной памяти. При включении шифрования придётся задать мастер-пароль, если он ещё не задан, а также сохранить ключ восстановления. Для дальнейшей настройки следуйте указаниям мастера. Впрочем, более универсальный метод — это использование зашифрованных образов диска.

В дисковой утилите выберите «Новый образ» и в появившемся диалоге укажите имя файла и его местоположение, задайте имя диску и выберите размер. В качестве ФС вполне подойдёт журналируемая Mac OS Extended. Шифрование лучше выбрать AES-256. В списке «Разделы» оставьте выбор «Жёсткий диск», а в качестве формата укажите растущий пакет-образ. Осталось придумать или сгенерировать пароль для доступа, но не запоминать его в связке ключей для пущей безопасности, а каждый раз вводить вручную. При двойном клике по образу он подмонтируется с запросом пароля. После сохранения на нём важных данных не забудьте отмонтировать образ.

Ubuntu ещё на этапе установки предлагает зашифровать домашний каталог пользователя. Одновременно с этим шифруется и раздел подкачки, что приводит к невозможности использования спящего режима. Если же вы отказались от шифрования при установке, то придётся настроить все вручную. При этом от защиты swap-раздела можно отказаться, что естественным образом снижает безопасность. Более удобный и защищённый, но и более сложный в настройке вариант — шифрование всего диска сразу. Если вы хотите сделать это, то воспользуйтесь вот этой инструкцией . Мы же рассмотрим простой вариант с защитой home и, по желанию, swap. Для начала установим с помощью терминала необходимое ПО:

Sudo apt-get install ecryptfs-utils cryptsetup

Здесь есть один нюанс — чтобы зашифровать домашний каталог какого-нибудь пользователя, файлы в этом каталоге не должны быть открыты в какой-либо программе, а значит, пользователь должен выйти из системы. Для этого придётся создать ещё одну временную учётную запись с правами администратора. После создания оной выходим из системы и логинимся с новым аккаунтом.

От имени второго пользователя выполняем следующую команду, в которой username заменяем именем пользователя, чей домашний каталог мы будем шифровать. Преобразование файлов займёт некоторое время, так что наберитесь терпения.

Sudo ecryptfs-migrate-home -u username

После завершения операции выходим из системы и снова входим в неё под основной учётной записью. Теперь можно удалить временный аккаунт и все его файлы. Через несколько минут после входа появится предупреждение о том, что надо бы сохранить в надёжном месте случайно сгенерированный пароль для доступа к только что зашифрованным файлам на случай экстренного восстановления. Не забудьте это сделать.

Наконец, осталось удалить «старый» домашний каталог / home/имя_пользователя. XXXXXXXX , где XXXXXXXX — случайный набор букв.

Sudo rm -rf /home/username.XXXXXXXX

Для шифрования раздела подкачки достаточно выполнить одну-единственную команду, затем убедиться, что в / etc/ fstab закомментирована запись о старом swap-разделе, а в качестве нового указан /dev/mapper/cryptswap1 .

Sudo ecryptfs-setup-swap

⇡ Шифрование с помощью TrueCrypt

TrueCrypt — это открытое кроссплатформенное приложение для создания защищённых томов и работы с ними с шифрованием на лету. На практике это означает, что, во-первых, в расшифрованном виде данные находятся только в оперативной памяти. Во-вторых, что работа с криптоконтейнерами возможна в любой ОС. И в-третьих, что с довольно высокой степенью вероятности можно говорить об отсутствии каких-либо «закладок». Помимо этого TrueCrypt поддерживает инструкции AES-NI для ускорения (де-)шифрования. На самом деле возможности программы гораздо шире и все они хорошо описаны в руководстве, которое доступно с пакетом локализации (распакуйте содержимое архива в каталог с установленной программой). Поэтому мы рассмотрим простейший случай создания криптоконтейнера в среде Windows.

Итак, после установки запускаем утилиту, нажимаем кнопку «Создать том» и следуем советам мастера, так как выбранные по умолчанию параметры достаточно безопасны. Вручную потребуется задать лишь объём тома и пароль к нему. После монтирования контейнера он будет выглядеть в системе как обычный физический том, а значит, его можно форматировать, дефрагментировать и так далее.

Особенностью контейнеров TrueCrypt является то, что со стороны они выглядят как наборы случайных битов, и распознать, что в файле именно контейнер, теоретически невозможно. Обязательно следуйте советам по созданию надёжного пароля и сразу же сохраните его в безопасном месте. Дополнительной защитой является использование ключевых файлов любого типа, для которых также надо будет сделать резервную копию.

Осталось выбрать формат ФС (набор зависит от ОС), поводить мышью внутри окна и разметить том. На этом создание контейнера завершено.

Чтобы смонтировать том, надо нажать кнопку «Файл…», выбрать контейнер и букву диска, нажать «Смонтировать», ввести пароли и, если необходимо, выбрать ключевые файлы, а также указать прочие параметры. Теперь можно работать с данными так же, как если бы они находились на обычном логическом диске. Для отключения криптоконтейнера достаточно нажать кнопку «Размонтировать». В настройках программы также можно включить автоматическое размонтирование по таймеру/выходу из системы/запуску хранителя экрана, очистку кешей и прочие полезные функции.

Это достаточно простой и надёжный вариант хранения важной информации. Однако если вам требуется большая безопасность, то TrueCrypt позволяет создавать скрытые тома, шифровать диски и разделы, добавлять скрытый раздел с ещё одной ОС, настраивать «конвейер» из нескольких алгоритмов шифрования, защищать переносной диск, использовать токены и смарт-карты для авторизации, а также многое другое. Крайне рекомендуется прочитать в документации главу о требованиях безопасности и мерах предосторожности.

⇡ Безопасное удаление

Единственный надёжный способ гарантированно удалить данные — это физическое уничтожение накопителя, на котором они находятся. Для этого даже разработаны специальные процедуры, порой утончённо-извращённого садистского характера. А «виноваты» в этом различные технологии, которые используются в современных накопителях, — остаточная намагниченность, TRIM-операции, равномерное распределение нагрузки, журналирование и так далее. Суть их в целом сводится к тому, что данные зачастую помечаются как удалённые или готовые к удалению вместо того, чтобы быть действительно стёртыми. Поэтому были разработаны методики достаточно безопасного удаления остаточной информации , которые не столь радикальны, как полное уничтожение носителя.

Функция безопасной очистки диска присутствует во многих редакторах разделов. Для Windows есть множество подобных утилит, но мы остановимся на классической SDelete . Работа с ней осуществляется в режиме командной строки. Синтаксис довольно простой. Ключом -p задаётся число проходов перезаписи, с ключом -s (или -r) программа рекурсивно уничтожает всё содержимое папки, а передача ключа -c (или -z) очищает (забивает нулями) свободное место на указанном томе. В конце указывается путь до папки или файла. Например, для стирания нашего тома TrueCrypt и очистки диска выполним две команды:

C:\\sdelete.exe -p 26 C:\\exampletc C:\\sdelete.exe -c C:\\

В большинстве Linux-дистрибутивов есть утилита shred, которая выполняет те же функции, что и SDelete . У неё также есть несколько параметров, но для нас вполне достаточно знать три из них. Ключ -n задаёт число проходов перезаписи, -u удаляет файл, а -z в конце забивает использовавшееся место нулями. Пример работы:

Sudo shred -u -z -n 26 /home/dest/exampletc2

Программа shred имеет ряд ограничений в плане безопасного удаления, о чём честно предупреждает пользователя при запуске с ключом --help. Более эффективный набор утилит входит в пакет Secure-Delete. Установим его и рассмотрим пару встроенных программ. Утилита srm аналогична shred, но принимает чуть меньше параметров. Нам интересны ключи -r для рекурсивного удаления указанного каталога и вездесущий -z для заполнения пространства нулями. Также в пакете имеется утилита для затирания свободного места на диске с указанной папкой.

Sudo apt-get install secure-delete sudo srm -z /home/dest/exampletc3 sudo -z sfill /home/dest

Для Mac OS X есть всё тот же CCleaner с функцией зачистки свободного места, а также утилита srm, которая работает так же, как в Linux. В настройках Finder рекомендуется включить функцию безопасной очистки корзины. Она же доступна в контекстном меню корзины при нажатой клавише CMD.

Для SSD-накопителей и флешек лучше использовать низкоуровневое форматирование (см. ) или же процедуру Secure Erase, что может привести вас к потере гарантии на SDD. Для последнего случая подойдёт другой Live-дистрибутив для работы с разделами на диске — Parted Magic . Загрузитесь с него и выберите в главном меню System tools → Erase Disk. Для твердотельных накопителей выберите последний пункт Secure Erase, а для обычных HDD используйте метод nwipe, который является по сути тем же DBAN.

⇡ Заключение

Рассмотренного нами сочетания шифрования данных с последующим их безопасным удалением вполне достаточно для того, чтобы надёжно защитить конфиденциальную информацию. Естественно, стопроцентной защиты это никоим образом не гарантирует, но для простых пользователей риски утечки резко падают. А о «непростых смертных» позаботятся соответствующие службы. Ещё раз напоминаем о важности создания резервных копий вообще и перед шифрованием в частности, а также о минимизации объёма перемещаемых вместе с вами данных в стан вероятного противника и необходимости использования надёжных паролей с ключами вкупе с их резервированием. Ну и просто будьте всегда внимательны. Удачи!