Введение
VeraCrypt это программное обеспечение, предназначенное для создания томов (устройств хранения данных) и работы с ними с использованием шифрования на лету (on-the-fly encryption). Шифрование на лету означает, что данные автоматически зашифровываются непосредственно перед записью их на диск и расшифровываются сразу же после их считывания, то есть без какого-либо вмешательства пользователя. Никакие данные, хранящиеся в зашифрованном томе, невозможно прочитать (расшифровать) без правильного указания пароля/ключевых файлов или правильных ключей шифрования. Полностью шифруется вся файловая система (имена файлов и папок, содержимое каждого файла, свободное место, метаданные и др.).
Файлы можно копировать со смонтированного тома VeraCrypt и на него точно так же, как и при использовании любого обычного диска (например, с помощью перетаскивания). При чтении или копировании из зашифрованного тома VeraCrypt файлы автоматически на лету расшифровываются (в память/ОЗУ). Аналогично, файлы, записываемые или копируемые в том VeraCrypt, автоматически на лету зашифровываются в ОЗУ (непосредственно перед их сохранением на диск). Обратите внимание: это не означает, что перед шифрованием/дешифрованием в ОЗУ должен находиться весь обрабатываемый файл. Никакой дополнительной памяти (ОЗУ) для VeraCrypt не требуется. Пояснение, как всё это работает, приведено в следующем абзаце.
Предположим, у нас есть видеофайл формата .avi, хранящийся в томе VeraCrypt (следовательно, этот видеофайл полностью зашифрован). Пользователь указывает правильный пароль (и/или ключевой файл) и монтирует (открывает) том VeraCrypt. Когда пользователь дважды щёлкает мышью по значку этого видеофайла, операционная система запускает приложение, ассоциированное с файлами такого типа – в данном случае это, как правило, мультимедийный проигрыватель. Затем мультимедийный проигрыватель начинает загружать маленькую начальную часть видеофайла из зашифрованного тома VeraCrypt в ОЗУ (память), чтобы приступить к воспроизведению. Во время загрузки части файла VeraCrypt автоматически расшифровывает её (в ОЗУ), после чего расшифрованная часть видео (хранящаяся в ОЗУ) воспроизводится медиапроигрывателем. Пока эта часть воспроизводится, медиапроигрыватель начинает считывать другую небольшую часть видеофайла из зашифрованного тома VeraCrypt в ОЗУ (память), и процесс повторяется. Данная операция называется шифрованием/дешифрованием на лету, она работает для файлов любых типов (не только видео).
Обратите внимание: VeraCrypt никогда не сохраняет на диске никаких данных в незашифрованном виде – такие данные временно хранятся только в ОЗУ (оперативной памяти). Даже когда том смонтирован, хранящиеся в нём данные по-прежнему остаются зашифрованными. При перезагрузке Windows или выключении компьютера том будет размонтирован, а хранящиеся в нём файлы станут недоступными (и зашифрованными). Даже в случае непредвиденного перебоя питания (без правильного завершения работы системы), хранящиеся в томе файлы останутся недоступными (и зашифрованными). Чтобы получить к ним доступ вновь, нужно смонтировать том (и правильно указать пароль и/или ключевой файл).
Краткий учебник по началу работы см. в главе Руководство для начинающих.
Перевод «encryption» на русский
Asymmetric encryption is considered one level more secure than symmetric encryption, because the decryption key can be kept private.
Асимметричное шифрование является более безопасным, чем симметричное шифрование, потому что ключ дешифрования может быть сохранен в тайне.
All certificates work following the same encryption principle.
В любом случае, все сертификаты работают по одному и тому же принципу шифрования.
OpenVPN encryption has two elements: data channel encryption and control channel encryption.
Протокол шифрования OpenVPN включает в себя две составляющих: шифрование канала данных и шифрование канала управления.
Transparent encryption, also known as real-time encryption and on-the-fly encryption (OTFE), is a method used by some disk encryption software.
Прозрачное шифрование, также известный как в режиме реального времени шифрования и на лету шифрования (OTFE), является метод, используемый некоторыми программами шифрования диска.
At the same time, 69% of applications lack encryption or unreliable encryption algorithms.
При этом в 69% приложений отсутствует шифрование или реализованы ненадежные алгоритмы шифрования.
In this segment, I want to tell you about another form of encryption, called format preserving encryption.
В этом сегменте, я хочу рассказать вам об ещё одной форме шифрования, под названием шифрование с сохранением формата.
You may have already heard of these two terms — symmetric and asymmetric (aka public-key) encryption — when describing encryption algorithms.
Возможно, вы уже слышали об этих двух терминах — симметричном и асимметричном (иначе говоря, открытом ключе) шифровании — при описании алгоритмов шифрования.
All information in the casino is encrypted and transactions are processed using n encryption technology that is better than military grade encryption.
Вся информация в казино шифруются и транзакции обрабатываются с помощью технологии шифрования N, что лучше, чем шифрование военного уровня.
256-bit encryption refers to the key length of the symmetric encryption technology.
256-битное шифрование относится к длине ключа симметричной технологии шифрования.
Like most modern public-key encryption systems, the researchers chip uses a technique called elliptic-curve encryption.
Как и большинство современных систем шифрования с открытым ключом, чип исследователей использует метод, называемый шифрованием эллиптической кривой.
The documents acknowledge the importance of encryption, but effectively argue that end-to-end encryption should not be made routinely available for messaging.
Документы подтверждают важность шифрования, но эффективно утверждают, что сквозное шифрование не должно быть общедоступным для обмена сообщениями.
Asymmetric encryption takes relatively more time than the symmetric encryption.
Асимметричное шифрование требует больше времени по сравнению с симметричным шифрованием.
There are several factors that affect the choice of an encryption algorithm including encryption speed and security.
Есть несколько факторов, влияющих на выбор алгоритма шифрования, к этим факторам относятся: скорость и безопасность.
Examples include database encryption and file encryption.
Примеры включают шифрование базы данных и шифрование файлов.
Conversely, asymmetric encryption solves the problem of key distribution by using public keys for encryption and private keys for decryption.
В свою очередь, асимметричное шифрование решает проблему распределения ключей, используя открытые ключи для шифрования, а приватные для дешифрования.
Military-grade 256-bit encryption is favored over the less secure 128-bit encryption.
256-битное шифрование военного уровня предпочтительнее менее безопасного 128-битного шифрования.
Asymmetric encryption, also known as public key encryption, addresses these problems.
Асимметричное шифрование, также называемое шифрованием с открытым ключом, решает эти проблемы.
To be transparent to the end user, transparent encryption usually requires the use of device drivers to enable the encryption process.
Чтобы быть прозрачным для конечного пользователя, прозрачное шифрование обычно требует использования драйверов устройств для включения процесса шифрования.
Similarly, symmetric encryption techniques which rely on encryption and decryption of the same single secret key may be applied to such applications.
Аналогичным способом, симметричные методы шифрования, которые основываются на шифровании и дешифрировании с использованием одного того же единственного секретного ключа, могут быть применены к таким приложениям.
Возможно неприемлемое содержание
Примеры предназначены только для помощи в переводе искомых слов и выражений в различных контекстах. Мы не выбираем и не утверждаем примеры, и они могут содержать неприемлемые слова или идеи. Пожалуйста, сообщайте нам о примерах, которые, на Ваш взгляд, необходимо исправить или удалить. Грубые или разговорные переводы обычно отмечены красным или оранжевым цветом.
Прозрачное шифрование данных (TDE) для рабочей области проверок в Oracle
Вы можете принять некоторые меры предосторожности для защиты базы данных, такие как проектирование безопасной системы, шифрование конфиденциальных активов, а также создание брандмауэра вокруг серверов баз данных. Однако в случае, когда физические носители (такие как диски и ленты с резервными копиями) украдены, злоумышленник может восстановить или подключиться к базе данных и просматривать эти данные. Одним из решений является шифрование конфиденциальных данных в базе данных и защита ключей, используемых для шифрования данных с помощью сертификатов. Это предотвращает использования данных лицами без ключей, но этот вид защиты должен быть спланирован заранее.
Прозрачное шифрование данных (TDE) позволяет шифровать конфиденциальные данные, такие как номера кредитных карт, хранящиеся в таблицах и FileGroups. Зашифрованные данные явно расшифрованы для пользователя базы данных или приложения, которое имеет доступ к данным. TDE помогает защитить данные, хранящиеся на носителе, в случае кражи носителя или файла данных. SQL Server использует аутентификацию, авторизацию и механизмы проверки для защиты данных в базе данных, но не в файлах данных операционной системы, где хранятся данные. Для защиты этих файлов данных в SQL Server предусмотрено TDE. TDE шифрует конфиденциальные данные, хранящихся в файлах данных. Для предотвращения несанкционированной расшифровки, TDE хранит ключи шифрования в модуле защиты внешне по отношению к базе данных.
TDE выполняет в режиме реального времени I/O шифрование и дешифрование файлов данных и журналов. Шифрование использует ключ шифрования (DEK) базы данных, который хранится в базе данных загрузочной записи для доступа во время восстановления. DEK является симметричным ключом, закрепленным с помощью сертификата, хранящегося в базе данных главного сервера, или асимметричным ключом, защищенным модулем Encryption Key Manager (EKM). TDE защищает данные в состоянии покоя, т.е. файлы данных и журналов. Он предоставляет возможность соответствовать множеству законов, нормативных актов и руководящих принципов, разработанных в различных отраслях промышленности. Это позволяет разработчикам программного обеспечения шифровать данные с использованием AES, 3DES алгоритмов шифрования без изменения существующих приложений.
Шифрование файла базы данных выполняется на уровне страницы. Страницы в зашифрованной базе данных шифруются перед тем, как они записываются на диск, и расшифровываются при считывании в память. TDE не увеличивает размер зашифрованной базы данных.
- Как администратор по вопросам безопасности, вы можете быть уверены, что в случае кражи носителя для хранения данных или файла данных, любые конфиденциальные сведения будут в безопасности.
- Применение прозрачного шифрования данных (TDE) поможет вам решить вопросы, имеющие отношение к соблюдению мер безопасности.
- Вам не придется создавать некую схему или механизм, который обеспечивал бы запуск шифрования данных для авторизованного пользователя или приложения. Данные из таблиц прозрачно дешифруются для пользователя базы данных и для приложения.
- Пользователям баз данных, как и приложениям, не надо знать о том, что доступные им данные хранятся в зашифрованном виде. Данные прозрачно дешифруются для пользователей базы данных и для приложений.
- Приложениям не требуется какая-либо модификация для обработки зашифрованных данных. Шифрование и дешифрование данных управляется базой данных.
- Операции управления ключом шифрования автоматизированы. Ни пользователь, ни приложение не имеют никакого отношения к управлению ключами шифрования.
Дополнительные сведения о TDE см. в разделе справки Прозрачное шифрование данных (TDE) в библиотеке MSDN.
Для использования TDE, выполните следующие шаги в SQL Server Management Studio.
- Создайте мастер-ключ.
- Создайте или получите сертификат, защищенный мастер-ключом.
- Создайте ключ шифрования базы данных и защитите его сертификатом.
- Установите базу данных, чтобы использовать шифрование.
Пример TDE
Вы можете использовать команды, приведенные ниже, для настройки TDE. Вы можете выбрать пароль для мастер-ключа, и при резервном копировании главного ключа, вы можете выбрать папку и имя файла.
USE master GO /* Verify master key */ SELECT * FROM sys.symmetric_keys WHERE name LIKE '%MS_DatabaseMasterKey%' GO /* if there are no records found, then it means there was no predefined Master Key. To create a Master Key, you can execute the below mentioned TSQL code. */ /* Create master key */ CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'rev$$@admin'; GO /* Backup master key */ OPEN MASTER KEY DECRYPTION BY PASSWORD = 'rev$$@admin'; GO BACKUP MASTER KEY TO FILE = 'D:\mssqlbackup\master\masterkey.mk' ENCRYPTION BY PASSWORD = 'rev$$@admin'; GO /* Create Certificate */ CREATE CERTIFICATE rev_cert WITH SUBJECT = 'REV Server Certificate'; GO /* Verify Certificate */ SELECT * FROM sys.certificates where [name] = 'rev_cert' GO /* Backup certificate */ BACKUP CERTIFICATE rev_cert TO FILE = 'D:\mssqlbackup\master\rev.cer' WITH PRIVATE KEY ( FILE = 'D:\mssqlbackup\master\rev.pvk', ENCRYPTION BY PASSWORD = 'rev$$@admin'); GO --use rev database USE rev GO /* Create Encryption key */ CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE rev_cert; GO /* Encrypt database */ ALTER DATABASE revdb SET ENCRYPTION ON; GO /* Verify Encryption */ SELECT DB_NAME(database_id) AS DatabaseName ,Encryption_State AS EncryptionState ,key_algorithm AS Algorithm ,key_length AS KeyLength FROM sys.dm_database_encryption_keys GO SELECT NAME AS DatabaseName ,IS_ENCRYPTED AS IsEncrypted FROM sys.databases where name ='revdb' GO
Полное руководство по шифрованию файлов и шифрованию диска: какой из них лучше для вас?
Когда дело доходит до защиты конфиденциальных данных, шифрование является одним из очень немногих методов, гарантирующих надежную защиту при любых обстоятельствах. Существуют различные типы шифрования, инструменты и методы для различных нужд защиты данных. Среди них шифрование файлов и дисков выделяется как два наиболее широко признанных и используемых метода шифрования данных.
В этом сообщении в блоге мы углубимся в определение шифрования, рассмотрим ключевые различия между файловым и дисковым шифрованием, рассмотрим их наилучшие варианты использования и предоставим важную информацию, которая поможет вам определить, какой из них наиболее подходит для ваших конкретных нужд.
Что такое шифрование?
Шифрование — это криптографический процесс, который преобразует понятные данные в зашифрованную и нечитаемую форму, называемую зашифрованным текстом. Это достигается путем пропускания данных через алгоритм шифрования, подобный расширенный стандарт шифрования (AES), который случайным образом перестраивает и перемешивает информацию, делая ее непонятной и нечитаемой после завершения процесса.
Процесс перестановки и шифрования данных осуществляется с использованием сложных математических алгоритмов с использованием «криптографических ключей», состоящих из случайных и уникальных наборов букв, специально связанных с каждым зашифрованным файлом. Точно так же, как уникальные ключи от вашего дома или автомобиля, которые могут отпереть только указанную дверь дома или автомобиля. Те же математические вычисления также используются для расшифровки, которая переворачивает процесс шифрования, возвращая данные в исходный вид.
Давайте рассмотрим простой пример, чтобы лучше понять шифрование. Предположим, у вас есть фрагмент текста, в котором говорится: “Я люблю яблоки”, и вы хотите его зашифровать. Вы можете использовать программное обеспечение для шифрования данных, например AxCrypt, который использует 256-битный алгоритм шифрования AES для преобразования текста в зашифрованную форму. Полученный зашифрованный текст может выглядеть примерно так: “v5u8/F28kOazjwQXTxY84+qeweiMvQ=.” Как вы можете видеть, этот зашифрованный текст выглядит совершенно нечитаемым и непонятным, что делает его бесполезным в руках злоумышленника.
Чтобы получить исходный текст из зашифрованной версии, вам просто нужно отменить процесс шифрования, который называется расшифровкой. Расшифровка берет зашифрованный текст и применяет алгоритм расшифровки, используя соответствующий ключ, для преобразования зашифрованного текста обратно в исходный обычный текст. Точно так же, как вы открываете дверь своего закрытого дома или автомобиля уникальным ключом. В этом случае расшифровка зашифрованного текста “v5u8/F28kOazjwQXTxY84+qeweiMvQ=” снова дала бы исходный текст “Я люблю яблоки”.
Шифрование гарантирует, что даже если кто-то перехватит зашифрованный текст или получит несанкционированный доступ к нему, он не сможет понять его содержимое без соответствующего процесса расшифровки и ключа. Это демонстрирует, как шифрование защищает конфиденциальную информацию путем преобразования ее в формат, который не может быть прочитан и понят никем без необходимых знаний о расшифровке и ключа.
Что такое шифрование файлов?
Шифрование файлов или шифрование на основе файлов (FBE), как следует из названия, представляет собой метод индивидуального шифрования файлов в файловой системе. Это дает детальный контроль над мерами безопасности, поскольку позволяет шифровать отдельные файлы, используя другой ключ для каждого файла. Шифрование на основе файлов использует надежный алгоритм шифрования, такой как симметричный расширенный стандарт шифрования (AES), для шифрования файлов и данных.
Чтобы зашифровать файл, алгоритм делит его на блоки фиксированного размера, а затем заменяет и переупорядочивает каждый блок, используя сложные математические операции, включая подстановку (замену текста), перестановку (переупорядочение текста) и побитовые операции (логическая процедура), чтобы запутать исходные данные.
Например, в случае текста “Я люблю яблоки” алгоритм заменяет каждую букву рандомизированным соответствующим значением, произвольно меняет порядок символов и применяет побитовые операции. Зашифрованным результатом будет преобразованный шифртекст. Вот как это работает:
Подстановка: ‘I’ становится ’83’, ‘L’ становится ‘=x’, ‘i’ становится ’45’ и так далее.
Перестановка: Порядок символов перестраивается на основе математических преобразований. ‘83’ и ‘=x’ будут переставлены в нужном порядке и могут появиться после ‘45’ как ‘4583=x.’
Побитовые операции: Операции XOR и сдвига битов применяются для изменения структуры битов (расположения) данных.
Далее этот процесс повторяется для каждой буквы текста в течение нескольких «раундов», в зависимости от размера круглого ключа. Алгоритм AES поставляется с 10, 12 и 14 круглыми размерами ключей. Таким образом, после применения ключа 14 round к тексту “Я люблю яблоки”, результирующий текст к концу процесса может выглядеть следующим образом: “v5C2uD8FE27A8F5/1B2F9k0AD3zQw8QXTxY6C7D4F8+E6kC2D7F4i91M6v2e9Qi9AbB3” – совершенно непонятная строка символов.
Весь процесс обычно включает в себя генерацию сеансового ключа, который затем безопасно передается вместе с файлом во время передачи данных для расшифровки. Ключ содержит математическую модель для шифрования и дешифрования конкретного файла для данного конкретного сеанса, гарантируя, что только люди, имеющие доступ к этому ключу, смогут расшифровать данные. Шифрование на основе файлов обеспечивает высокий уровень безопасности, гарантируя, что конфиденциальная информация остается защищенной как в состоянии покоя, так и при передаче.
Что такое шифрование диска?
Шифрование диска или полное шифрование диска (FDE), как следует из названия, — это метод, при котором шифруется весь диск. Это отличается от шифрования файлов в том аспекте, что вместо отдельных файлов шифруется и расшифровывается сразу весь диск, включая операционную систему и связанные с ней файлы.
Думайте о полном шифровании диска как о запирании всего вашего дома с помощью входной двери, а о шифровании файлов как о запирании отдельных сейфов внутри вашего дома. Вы шифруете диски с помощью программного обеспечения для шифрования дисков, такого как Microsoft BitLocker или Apple FileVault.
Аналогично шифрованию файлов, процесс полного шифрования диска выполняется на уровне блоков, разделяя диск на блоки фиксированного размера и шифруя каждый блок с использованием алгоритма симметричного шифрования, такого как расширенный стандарт шифрования (AES). Это гарантирует, что все данные на диске преобразуются в нечитаемую форму, которую можно расшифровать только с помощью соответствующего ключа дешифрования.
Ключ шифрования, используемый при шифровании диска, обычно является производным от пароля пользователя или кодовой фразы. Когда система загрузится, пользователю будет предложено ввести пароль или кодовую фразу для разблокировки диска. После аутентификации ключ шифрования расшифровывается и используется для доступа к зашифрованному содержимому диска.
В процессе шифрования алгоритм работает каскадным образом, шифруя каждый сектор диска производным ключом. Этот процесс продолжается до тех пор, пока не будет зашифрован весь диск. Зашифрованные данные хранятся таким образом, чтобы сохранить структуру диска, позволяя операционной системе и приложениям беспрепятственно получать доступ к данным.
Сравнение шифрования файлов и дисков
Каждый тип шифрования имеет свои особенности, и при выборе метода шифрования данных важно понимать, чем отличаются шифрование файлов и полное шифрование диска. Знание этих различий может помочь вам выбрать правильный подход для ваших нужд в шифровании. Давайте рассмотрим ключевые отличия этих двух методов шифрования:
ОБЛАСТЬ ПРИМЕНЕНИЯ: