C'è un modo per rendere il mio disco rigido inaccessibile a tutti tranne me?


63

Lascia che ti dia una prima storia di backup: un tecnico informatico mi ha sfidato a dargli il mio laptop e chiedergli qualsiasi informazione che volevo "nascondere" sul mio disco rigido. Ha affermato che sarebbe stato in grado di recuperare qualsiasi cosa, non importa cosa faccio per nasconderlo.

Dato che non apprezzo affermazioni assolute come: "e non c'è niente che tu possa fare al riguardo", ho iniziato a pensare a questo nella mia testa. Mi sono reso conto che un sistema operativo molto sicuro non lo avrebbe tagliato, dal momento che non ha bisogno di avviarsi da questo specifico disco rigido per trovare cose nel mio disco rigido.

La domanda generica qui è:

C'è un modo per proteggere completamente tutti i dati su un disco rigido? (Non ho bisogno di spiegazioni dettagliate su come farlo, ho solo bisogno che tu mi indichi una direzione; posso leggere di più su di me da solo)

In particolare, sospetto che potrei aver bisogno di:

  • Un sistema operativo che è molto sicuro e probabilmente crittografa tutti i dati che memorizza (non ho idea se tale cosa esiste).

  • Se quanto sopra non esiste, c'è un modo per crittografare manualmente i dati nel mio disco rigido ed essere ancora in grado di eseguire l'avvio da quel disco rigido?

In generale, voglio rendere il disco rigido il meno accessibile possibile a chiunque non sia io (= conosce una password / chiave specifica), quindi tutte le soluzioni sono benvenute.


35
Crittografalo e richiede una password complessa o una chiave di crittografia che hai su una chiavetta USB per decrittografare. Ha appena perso la partita. Probabilmente potresti semplicemente creare un file RAR protetto da password con una password complessa. Mi dispiace dirlo, ma da qui sento l'odore del suo ingenuo atteggiamento adolescenziale.
Daniel Andersson,

6
È un trucco! Se vale la pena essere chiamato un tecnico informatico, allora probabilmente vuole solo preparare alcuni scherzi


3
impiantarlo nel tuo corpo e farlo vibrare a disagio quando è in uso ...
maniaco del cricchetto

3
Dagli un laptop con un disco rigido completamente randomizzato e sfidalo a trovare il messaggio segreto nascosto all'interno. Se riesci a ricavare un messaggio da questo flusso di bit e da qualche chiave segreta, si tratta tecnicamente di crittografia (fattibile con OTP e qualsiasi cifratura di flusso) e ha il vantaggio di essere in qualche modo resistente alla citazione, poiché puoi tenere una chiave fittizia che decifrerà in qualcosa di innocuo.
Thomas,

Risposte:


66

È sufficiente per crittografare i file più sensibili. Un file ZIP crittografato con AES 256-bit e una buona password lunga è quasi impossibile da ottenere senza la password. (Evitare di utilizzare la crittografia ZIP legacy nota come crittografia di flusso PKZIP / ZipCrypto - è noto per essere debole.)

È anche possibile crittografare un'intera partizione, nascondendo tutto in essa. TrueCrypt è una specie di programma standard di fatto per la crittografia di partizioni / immagini domestiche (e di alcune aziende). Probabilmente la cosa migliore di Truecrypt rispetto agli strumenti integrati nel sistema operativo è che è portatile : esiste una versione per Windows, Mac OS X e Linux, che costituisce la stragrande maggioranza dei sistemi operativi di consumo.

Se vuoi nascondere tutto , puoi crittografare ogni partizione nel tuo sistema, inclusa quella da cui fai il boot. Non è possibile leggere i dati da un'unità crittografata senza conoscere la password / chiave. Il fatto è che il sistema operativo Windows non supporta sempre l'avvio da un disco rigido crittografato. * TrueCrypt ha ciò che chiama crittografia di sistema . Lo hanno riassunto abbastanza bene:

La crittografia di sistema comporta l'autenticazione pre-boot, il che significa che chiunque desideri ottenere l'accesso e utilizzare il sistema crittografato, leggere e scrivere file memorizzati sull'unità di sistema, ecc., Dovrà inserire la password corretta ogni volta prima dell'avvio di Windows (avvia ). L'autenticazione pre-boot è gestita dal caricatore di avvio TrueCrypt, che risiede nella prima traccia dell'unità di avvio e sul disco di salvataggio TrueCrypt.

Quindi il boot loader Truecrypt verrà caricato prima del sistema operativo e ti chiederà la password. Quando inserisci la password corretta, caricherà il bootloader del sistema operativo. Il disco rigido è sempre crittografato, quindi anche un CD avviabile non sarà in grado di leggere alcun dato utile.

Inoltre, non è così difficile crittografare / decrittografare un sistema esistente:

Si noti che TrueCrypt può crittografare una partizione / unità di sistema non crittografata esistente sul posto mentre il sistema operativo è in esecuzione (mentre il sistema viene crittografato, è possibile utilizzare il computer come al solito senza alcuna restrizione). Allo stesso modo, una partizione / unità di sistema crittografata con TrueCrypt può essere decrittografata sul posto mentre il sistema operativo è in esecuzione. È possibile interrompere il processo di crittografia o decrittografia in qualsiasi momento, lasciare la partizione / unità parzialmente non crittografata, riavviare o arrestare il computer, quindi riprendere il processo, che continuerà dal punto in cui è stato interrotto.


* Vari altri sistemi operativi supportano la crittografia dell'unità di sistema. Ad esempio, il kernel 2.6 e successivi di Linux hanno dm-crypt e Mac OS X 10.7 e successivi hanno FileVault 2 . Windows supporta tale supporto con BitLocker , ma solo nelle versioni Enterprise / Business / Server e solo in Vista e versioni successive. Come detto sopra, Truecrypt è più portatile, ma spesso manca dell'integrazione necessaria per crittografare le unità di sistema, con l'eccezione di Windows.


4
La vera cripta è ciò che ho usato e ne sono molto felice
Rippo,

4
Un avvertimento quando si crittografa un'unità esistente non crittografata: se è a stato solido, potrebbe non essere riscritto negli stessi settori, perché li varia per prolungare la durata del disco. Quindi i dati su un'unità a stato solido sono davvero sicuri solo se sono stati crittografati dall'inizio.
Nathan Long,

13
"Il fatto è che la maggior parte dei sistemi operativi non supporta in modo nativo l'avvio da un disco rigido crittografato." - questo non è neanche lontanamente vero. Windows ha BitLocker , Mac ha FileVault 2 .
josh3736,

9
@Josh: quelli sono i sistemi operativi con il maggior numero di utenti, non la maggior parte dei sistemi operativi.
Ben Voigt,

6
@BenVoigt, è un po 'un argomento ridicolo da fare. "Certo, i sistemi operativi utilizzati su 3/4 dei desktop supportano nativamente FDE, ma BeOS no!"
josh3736,

51

Una frase: crittografia completa del disco, preferibilmente con una chiave piacevole, lunga e non di dizionario. Potresti anche guardare i sistemi che lo fanno con un file di chiavi esterno. Fondamentalmente, poiché l'intero sistema diverso dal bootloader è crittografato, a corto di un attacco di accesso diretto alla memoria , vale a dire utilizzare un firewire o un altro dispositivo che ha DMA per ottenere contenuti di memoria o utilizzare un attacco di avvio a freddo per ottenere informazioni. La modifica è semplice: assicurati che il sistema sia spento e che la batteria sia rimossa poco prima di consegnare il sistema. Se è solo un disco rigido, entrambi questi attacchi sono improbabili

Probabilmente darei solo a TrueCrypt, userei una password MOLTO lunga e casuale (la lunghezza rende più difficile la forza bruta e la casualità impedisce un attacco del dizionario), e lo lascerei andare in città con esso. In alternativa, alcune versioni di Windows hanno BitLocker, che è una potente opzione FDE integrata in Windows. Allo stesso modo ci sono soluzioni per Linux come luks e dmcrypt.

Oppure riempi un disco con dati casuali ... e vedi quanto tempo prima che lo capisca;)


70
+1 O riempire un disco con dati casuali. eh si
Tog

1
Ah, dati casuali: D Proprio come quel bit in Cryptonomicon (riferimento più dettagliato non incluso perché rovinerebbe uno dei bit divertenti ..)
tanantish

14

Non cadere per trucchi come "dammi la password in modo che io possa controllare i risultati".

Una conferenza sulla sicurezza a cui sono andato per chiedere le password all'inizio. A metà strada e il presentatore ha dichiarato che il più grande rischio per la sicurezza è VOI, poiché la maggior parte delle persone ha comunicato la propria password in modo debolmente.

(E sì, basta crittografare i dati rilevanti.)



9

Sono d'accordo con l'altra risposta TrueCrypt. Tuttavia, ho un punto importante da aggiungere: la plausibile caratteristica di negabilità di TrueCrypt. Ciò significa che TrueCrypt non lascia firme identificabili positivamente sui dischi / file che crittografa. Pertanto, nessuno può dimostrare se un insieme di bit sul disco sono bit casuali o dati crittografati. Questo è così importante che ha avuto implicazioni in un recente caso giudiziario.


Sarei interessato a sapere quale caso giudiziario è stato.
Chad Harrison,

3
Ecco il link ca11.uscourts.gov/opinions/ops/201112268.pdf Gist: gli utenti TrueCrypt non possono essere costretti a divulgare le loro password. Si applica il 5o emendamento.
slowpoison,

7

Molte delle risposte pubblicate sono buone risposte.

Come aggiunta, potresti voler guardare un asincronostrumento di crittografia asimmetrica come GnuPG . È un po 'più complicato della crittografia all'interno di un file ZIP perché hai a che fare con chiavi pubbliche e private . Penso di aver sentito parlare di alcune università in Europa che violano questo tipo di crittografia in circostanze molto speciali. Vorresti comunque mettere le password e le chiavi su un'unità USB o in un posto diverso dall'unità che fornirai allo sfidante.

Inoltre, una volta un professore mi ha detto che se si desidera qualcosa di assolutamente nascosto, crittografare nuovamente il file crittografato con un nuovo set di chiavi. In questo modo, se la crittografia di primo livello viene in qualche modo decifrata, l'attaccante non lo saprebbe perché tutto sembrerebbe comunque crittografato.

Spero che sia di aiuto.


4
"Una volta un professore mi ha detto che se vuoi qualcosa di assolutamente nascosto, crittografa nuovamente il file crittografato con un nuovo set di chiavi." è sbagliato per la maggior parte dei cryptosystems. Considerare ROTn. Crittografia ROTn (ROTm (x)) = ROT {m + n} (X). L'attaccante non si accorgerà nemmeno che hai fatto ROTn (ROTm (x)) ma invece cerca direttamente di capire m + n. Non c'è sicurezza aggiuntiva.
emory

1
@emory Interessante da notare. Suppongo che anche i professori siano persone. Penso di capire a cosa stai arrivando. Ci penso io.
Chad Harrison,

GnuPG non è asincrono, è assimetrico (nella sua modalità predefinita). Supporta anche la crittografia convenzionale (simmetrica, stessa chiave).
un CVn il

3
Inoltre, immagino che il professore si riferisse agli algoritmi di crittografia un po 'più sofisticati delle semplici cifre di sostituzione. Se prendi un testo in chiaro P, quindi crittografalo con (ad esempio) AES prima con la chiave K1 e quindi crittografa il testo cifrato risultante con AES e una chiave diversa K2 ( C = AES( AES(P,K1), K2 ), K1 ≠ K2) il testo cifrato risultante non avrà alcuna somiglianza con, diciamo, l'uscita di AES (AES (P, K2), K1) (inversione dell'ordine dei tasti). Questa proprietà non è valida per i codici di sostituzione semplici come ROTn.
un CVn il

@ MichaelKjörling Grazie per la correzione su asimmetrica. Sapevo che era qualcosa , e a volte faccio fatica a ricordare. ;)
Chad Harrison,

6

È interessante notare che la parola nascondere deve essere messa tra virgolette da molte persone, poiché sembrano sapere che nulla è effettivamente nascosto nei loro suggerimenti. Mi chiedo se quel tecnico informatico abbia tenuto le mani in aria e abbia fatto i movimenti della mano associati alle virgolette quando ha detto "nascondi".

Ne dubito. Mentre la crittografia delle cose può impedire l'accesso, avere un file zip crittografato sul desktop chiamato "Nothing_to_see_here.zip" non nasconde nulla.

Alcuni laptop sono dotati della possibilità di proteggere con password l'unità, dove una volta abilitata tramite il BIOS hai due opzioni ... inserisci la password o formatta l'unità. Dell è una di quelle aziende che include questa funzione. Ok. Puoi anche chiamare Dell dopo aver inserito la password errata per 3 volte e puoi fornire loro il codice di sfida presentato sullo schermo e ti daranno il codice di risposta per bypassare la password ... ma fanno pagare anche per quel servizio se la garanzia è scaduta. Ancora una volta ... questo non nasconde nulla.

C'è un mondo di differenza tra consentire a qualcuno l'accesso a una stanza in modo che possano cercare qualcosa nascosto alla vista (nascondersi) e impedire loro di entrare del tutto (crittografia).

Dal momento che non apprezzo affermazioni assolute come: "e non c'è niente che tu possa fare al riguardo"

No. Non ti è piaciuto questo tecnico, essenzialmente per dirti che sapeva qualcosa che non sapevi e / o che era meglio di te in qualcosa. Questo è il motivo per cui hai immediatamente cercato di pensare a come migliorare questo tecnico, invece di rendersi conto che ciò che stava dicendo non significa nulla! Non ti avrebbe fatto minimamente ammettere che hai ammesso proprio lì e che forse avrebbe potuto effettivamente trovare qualsiasi file che avevi NASCOSTO. Certo, avresti avuto bisogno di fargli definire cosa significhi nascondere in questo contesto ... poiché (di nuovo) sembra che "nascosto" apparentemente significhi cose diverse per persone diverse. Indipendentemente da ciò, il tuo problema con la sua sfida non ha nulla a che fare con il suo vanto, e tutto ha a che fare con la tua incapacità di accettare la possibilità che potrebbe effettivamente essere migliore di te in qualcosa. Questo è il motivo per cui non potevi lasciare sola la sfida. Questo è il motivo per cui non apprezzi affermazioni assolute del genere. Perché la verità è che ci sono momenti in cui le cose accadranno nella tua vita e NON CI SARÀ NULLA CHE PUOI FARE.

Vuoi un modo per impedire che i file a cui accedi regolarmente vengano trovati? Tienili lontani dal tuo computer. Che ne dici di quello? Conservali su un'unità flash. Quindi, puoi tenere i file sulla tua persona in ogni momento e nessuno può accedere al tuo laptop per ottenerli quando non sei vicino al tuo laptop. Chi ha fatto la stupida regola che tutti i tuoi file debbano rimanere sul tuo laptop in ogni momento? Non sto parlando di questo vanto infantile dei tecnici e di qualunque gioco tu abbia trasformato questo. Dopo aver crittografato il file o nascosto in un'immagine o rimosso dal computer su un'unità flash, il gioco è finito. Perché? Perché non hai definito i parametri di questa sfida ... e posso indovinare quali sono.

  • Il file deve essere accessibile da qualche parte.
  • Devi interpretare il ruolo del folle ignorante che pensa che incollare un file in una directory fuori dai sentieri battuti sia la misura per poter essere nascosto.

Una volta che ti allontani da uno di questi, il gioco è finito e "non hai capito cosa intendesse dire".


4
Ma se perdi l'unità flash o la lasci dietro da qualche parte? Oh caro ... A proposito, ha detto di nascondere le informazioni , non i file ... differenza sottile, dal momento che le informazioni crittografate sono essenzialmente nascoste. Ed è teoricamente possibile interrompere qualsiasi crittografia.
Bob,

1
Qualcuno dice che posso trovarti ovunque tu nasconda se giochiamo a Nascondino ... e questo ti fa incazzare così tanto che devi cambiare il gioco in TAG dove devono toccarti per vincere. E se il tuo disco rigido si blocca ... Oh, caro. E le informazioni crittografate sono bloccate, non nascoste. Se hai bisogno di una chiave, è bloccata. Se ha trovato il file crittografato, significa che ha trovato le informazioni? Ha mai detto che doveva essere in grado di VISUALIZZARE le informazioni o cercarle?
Bon Gart,

3
Un'informazione! = Un file. Le informazioni sarebbero ottenute leggendo il contenuto di un file. Avere il file ma non essere in grado di leggerlo significa che le informazioni all'interno sono ancora nascoste.
Yamikuronue,

Ho capito che tu e Bob sentite che "informazione" non equivale a "file". Dimmi. Cosa pensavano esattamente le informazioni in merito al tecnico informatico in questa domanda? Intendeva dire "file"? Lui identifica i due? Non hai bisogno di una super crittografia. Potresti semplicemente suddividere queste "informazioni" in piccoli pezzi, convertirle in esadecimali e creare directory in C: \ Windows chiamate quei pezzi esadecimali. Se li rendi lunghi 32 caratteri, sembreranno normali directory. Solo tu sai che se traduci i nomi indietro hai le tue informazioni.
Bon Gart,

Ma poiché il TITOLO della domanda è "Esiste un modo per rendere il mio disco rigido inaccessibile a tutti tranne me?" quindi ai fini di questa discussione, le informazioni FANNO un file UGUALE .
Bon Gart,


3

Uso unità virtuali TrueCrypt protette da password molto lunghe e file di chiavi archiviati su un dispositivo USB. Inizio anche i timeout su unità virtuali aperte quando l'attività è assente per un determinato tempo. Uso questo tipo di sicurezza da anni. Elaboro database molto grandi con quelle unità virtuali senza problemi di prestazioni.


Stai usando una CPU con supporto hardware per AES, come Intel Bridge?
drxzcl,

2

Ubuntu fornisce la crittografia dell'unità domestica che è abbastanza sicura .. Ho dovuto lottare per recuperare i miei dati anche se conoscevo la mia chiave .. Le informazioni sulla crittografia dell'unità domestica possono essere trovate qui :


2

La crittografia è inutile contro citazioni e / o torture. Tutto ciò che la tecnologia informatica deve fare è affermare forse in modo anonimo che il file che Nothing_to_see_here.zip è pieno di porno per bambini. L'FBI lo sequestrerà dal suo negozio e richiederà la password. Dirà loro che è il tuo computer.

Ci saranno alcune manovre legali. O finirai in galera o rimarrai libero. Ad ogni modo, la tecnologia informatica ha imparato qualcosa di interessante sul tuo file segreto.

In alternativa, potrebbe accusare qualche problema con il laptop che necessita di una riparazione di $ x. La tua autorizzazione o mancanza di autorizzazione per la riparazione gli diranno qualcosa sul valore economico di Nothing_to_see_here.zip.


2
Sembra che il quinto emendamento negli Stati Uniti potrebbe proteggerti dal non dare la tua password outsidethebeltway.com/… questo menziona specificamente TrueCrypt privacycast.com/…
Matthew Lock,

2

Quindi accetta la sfida, qualcuno ti ha già detto, crea un file, inserisci il file che vuoi "nascondere" all'interno di un file RAR o 7-Zip , con la crittografia completa in modo che non possa controllare quali file sono all'interno del file compresso. Utilizzare una password complessa con numeri, alfabeto e simboli. Quindi cancella il file originale con alcuni strumenti come Cancellazione sicura (o uno strumento simile).

Fatto, ora non può fare quasi nulla da fare.


2

Se vuoi il massimo livello di sicurezza, qualcosa che nemmeno i governi non possono obbligarti legalmente ad affrontare, guarda TrueCrypt . Con TrueCrypt puoi effettivamente trasformare lo spazio vuoto in una partizione montata. Pertanto, se il sistema viene ispezionato, dovrebbe apparire solo come vecchie intestazioni di dati, qualcosa che vedresti su ogni disco rigido là fuori che abbia mai cancellato i dati. Poiché non vi sono prove di dati utilizzabili, leggibili o recuperabili, l'utente non è legalmente obbligato a fornire l'accesso a tali dati. Utilizza anche password crittografate di molti livelli e prestazioni sostanziali.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.