Alternatives à TrueCrypt. Programmes pour crypter des fichiers individuels ou des disques entiers. Programmes de cryptage de dossiers et de fichiers Cryptage d'un dossier à la volée

Le cryptage est le processus consistant à encoder des informations de telle manière que d’autres personnes ne puissent y accéder que si elles disposent de la clé nécessaire pour les décoder. Le cryptage est généralement utilisé pour protéger des documents importants, mais c'est également un bon moyen d'empêcher les personnes de tenter de voler vos informations personnelles.

Pourquoi utiliser des catégories ? Décomposer la grande variété de programmes de cryptage d'informations en ensembles de programmes plus simples et plus compréhensibles, c'est-à-dire structure. Cet article se limite à un ensemble d'utilitaires permettant de chiffrer des fichiers et des dossiers.

  1. Utilitaires de cryptage de fichiers et de dossiers - ces utilitaires sont abordés dans cet article. Ces utilitaires de chiffrement fonctionnent directement avec les fichiers et les dossiers, contrairement aux utilitaires qui chiffrent et stockent les fichiers dans des volumes (archives, c'est-à-dire conteneurs de fichiers). Ces utilitaires de chiffrement peuvent fonctionner en mode à la demande ou à la volée.
  2. Utilitaires de chiffrement de disque virtuel. Ces utilitaires fonctionnent en créant des volumes (conteneurs/archives cryptés), qui sont représentés dans le système de fichiers sous forme de lecteurs virtuels avec leur propre lettre, par exemple « L : ». Ces lecteurs peuvent contenir à la fois des fichiers et des dossiers. Le système de fichiers de l'ordinateur peut lire, écrire et créer des documents en temps réel, c'est-à-dire à l'air libre. Ces utilitaires fonctionnent en mode « à la volée ».
  3. Utilitaires de chiffrement complet du disque : chiffrez tous les périphériques de stockage de données, par exemple les disques durs eux-mêmes, les partitions de disque et les périphériques USB. Certains utilitaires de cette catégorie peuvent également chiffrer le lecteur sur lequel le système d'exploitation est installé.
  4. Utilitaires de chiffrement client dans le cloud : une nouvelle catégorie d'utilitaires de chiffrement. Ces utilitaires de chiffrement de fichiers sont utilisés avant le téléchargement ou la synchronisation sur le cloud. Les fichiers sont cryptés pendant la transmission et pendant leur stockage dans le cloud. Les utilitaires de chiffrement dans le cloud utilisent diverses formes de virtualisation pour fournir un accès côté client au code source. Dans ce cas, tout le travail s'effectue en mode « à la volée ».

Précautions

    Les systèmes d'exploitation sont vicieux : échos de vos données personnelles - fichiers d'échange, fichiers temporaires, fichiers en mode économie d'énergie ("veille du système"), fichiers supprimés, artefacts du navigateur, etc. - resteront probablement sur l'ordinateur que vous utilisez pour accéder aux données. Ce n’est pas une tâche anodine d’isoler cet écho de vos données personnelles. Si vous devez protéger les données du disque dur lorsqu'elles se déplacent ou proviennent de l'extérieur, c'est une tâche assez difficile. Par exemple, lorsque vous créez une archive cryptée de fichiers ou décompressez une telle archive, les versions originales des fichiers ou les copies des fichiers originaux de cette archive restent donc sur le disque dur. Ils peuvent également rester dans des emplacements de stockage de fichiers temporaires (alias dossiers Temp, etc.). Et il s’avère que la tâche de supprimer ces versions originales devient une tâche qui ne consiste pas simplement à supprimer ces fichiers à l’aide de la commande « delete ».

  1. Ce n’est pas parce qu’un programme de cryptage « fonctionne » qu’il est sécurisé. De nouveaux utilitaires de chiffrement apparaissent souvent après que « quelqu’un » ait lu la cryptographie appliquée, choisi un algorithme et se soit mis au travail pour le développer. Peut-être même que « quelqu’un » utilise du code open source éprouvé. Implémente l'interface utilisateur. Assurez-vous que cela fonctionne. Et il pensera que tout est fini. Mais ce n'est pas vrai. Un tel programme est probablement rempli de bugs fatals. "La fonctionnalité n'est pas synonyme de qualité, et aucun test bêta ne révélera des problèmes de sécurité. La plupart des produits sont un mot sophistiqué pour "conformité". Ils utilisent des algorithmes de cryptographie, mais ne sont pas eux-mêmes sécurisés." (Traduction gratuite) - Bruce Schneier, de Pièges de sécurité en cryptographie. (phrase originale : "La fonctionnalité n'est pas égale à la qualité, et aucun test bêta ne révélera jamais une faille de sécurité. Trop de produits sont simplement conformes aux mots à la mode ; ils utilisent une cryptographie sécurisée, mais ils ne sont pas sécurisés.").
  2. Le recours au cryptage n'est pas suffisant pour assurer la sécurité de vos données. Il existe de nombreuses façons de contourner la protection, donc si vos données sont « très sensibles », vous devez également penser à d'autres moyens de protection. Vous pouvez utiliser cet article comme « début » pour des recherches supplémentaires risques liés à l’utilisation de logiciels cryptographiques.

Présentation des programmes de chiffrement de fichiers et de dossiers

VraiCrypteétait autrefois le meilleur programme de cette catégorie. Et c'est toujours l'un des meilleurs, mais ne correspond plus à cette catégorie, puisqu'il repose sur le travail avec des disques virtuels.

La plupart, sinon la totalité, des programmes décrits ci-dessous exposent l'utilisateur à des menaces non évidentes, décrites ci-dessus au point n°1 de la liste.mises en garde . TrueCrypt, qui repose sur l'utilisation de partitions plutôt que sur l'utilisation de fichiers et de dossiers, n'expose pas les utilisateurs à cette vulnérabilité.

Cryptage gratuit Sophos- plus disponible.

Produits et liens connexes

Produits connexes:

Produits alternatifs :

  • SafeHouse Explorer est un programme simple et gratuit, suffisamment léger pour être facilement utilisé sur des clés USB. Vous pouvez également trouver des vidéos et des manuels d’utilisation bien préparés sur leur site Web.
  • Rohos Mini Drive est un programme portable qui crée une partition cachée et cryptée sur une clé USB.
  • FreeOTFE (issu de la revue des utilitaires de chiffrement de disque virtuel) est un programme permettant d'effectuer le chiffrement de disque à la volée. Il peut être adapté pour une utilisation portable.
  • FreeOTFE Explorer est une version plus simple de FreeOTFE. Il ne nécessite pas de droits d'administrateur.
  • Pismo File Mount Audit Package est une extension du système de fichiers qui donne accès à des fichiers cryptés spéciaux (via le menu contextuel de l'Explorateur Windows), qui à leur tour donnent accès aux dossiers cryptés. Les applications peuvent écrire directement dans ces dossiers, garantissant ainsi que les copies de texte du document original ne soient pas laissées sur votre disque dur.
  • 7-Zip est un puissant utilitaire d'archivage de fichiers qui fournit un cryptage AES 256 bits pour les formats *.7z et *.zip. Cependant, Pismo est une meilleure solution car elle évite le problème du stockage des versions non cryptées des fichiers.

Guide de sélection rapide (télécharger des programmes pour crypter des fichiers et des dossiers)

HacheCrypte

Intégration avec le menu contextuel de l'Explorateur Windows. AxCrypt facilite l'ouverture, la modification et l'enregistrement de fichiers cryptés comme vous le feriez avec des fichiers non cryptés. Utilisez ce produit si vous devez travailler fréquemment avec des fichiers cryptés.
Le programme utilise Open Candy (installé avec un logiciel tiers supplémentaire). Si vous le souhaitez, vous n’êtes pas obligé de l’installer, mais vous devez ensuite vous inscrire sur le site.
  • Sécurité des informations,
  • Cryptographie

    • L'utilisation généralisée des technologies de réseau (LAN, CAN, VPN) permet aux entreprises d'organiser un échange d'informations rapide et pratique sur différentes distances. Cependant, la protection des informations dans un environnement d'entreprise est une tâche qui reste d'actualité à ce jour et préoccupe les dirigeants de petites, moyennes et grandes entreprises dans des domaines d'activité très divers. De plus, quelle que soit la taille de l’entreprise, la direction doit presque toujours différencier les droits d’accès des salariés aux informations confidentielles en fonction de leur degré d’importance.

    Dans cet article, nous parlerons de cryptage transparent En tant que l'une des méthodes les plus courantes de protection des informations dans un environnement d'entreprise, nous examinerons les principes généraux du cryptage pour plusieurs utilisateurs (cryptographie à clé publique multiple), et expliquerons également comment configurer le cryptage transparent des dossiers réseau à l'aide de CyberSafe. Programme de cryptage de fichiers.

    Quel est l’avantage du cryptage transparent ?

    L'utilisation de disques cryptographiques virtuels ou de la fonction de chiffrement complet du disque est tout à fait justifiée sur l'ordinateur local de l'utilisateur, mais dans l'espace d'entreprise, une approche plus appropriée consiste à utiliser cryptage transparent, car cette fonction permet un travail rapide et pratique avec des fichiers classifiés pour plusieurs utilisateurs simultanément. Lors de la création et de la modification de fichiers, les processus de cryptage et de décryptage se produisent automatiquement, « à la volée ». Pour travailler avec des documents protégés, les employés de l'entreprise n'ont besoin d'aucune compétence dans le domaine de la cryptographie, ils n'ont pas besoin d'effectuer d'étapes supplémentaires pour décrypter ou crypter des fichiers secrets.

    Le travail avec des documents classifiés s'effectue comme d'habitude à l'aide d'applications système standard. Toutes les fonctions de configuration du cryptage et de délimitation des droits d'accès peuvent être attribuées à une seule personne, par exemple un administrateur système.

    Cryptographie à clé publique multiple et enveloppes numériques

    Le cryptage transparent fonctionne comme suit. Une clé de session symétrique générée aléatoirement est utilisée pour chiffrer le fichier, qui à son tour est protégé à l'aide de la clé asymétrique publique de l'utilisateur. Si un utilisateur accède à un fichier pour y apporter des modifications, le pilote de chiffrement transparent déchiffre la clé symétrique à l'aide de la clé privée de l'utilisateur, puis décrypte le fichier lui-même à l'aide de la clé symétrique. Nous avons décrit en détail le fonctionnement du chiffrement transparent dans la rubrique précédente.

    Mais que se passe-t-il s'il y a plusieurs utilisateurs et que les fichiers classifiés ne sont pas stockés sur le PC local, mais dans un dossier sur un serveur distant ? Après tout, le fichier crypté est le même, mais chaque utilisateur possède sa propre paire de clés unique.

    Dans ce cas, ce qu'on appelle enveloppes numériques.

    Comme vous pouvez le constater sur la figure, l'enveloppe numérique contient un fichier chiffré à l'aide d'une clé symétrique générée aléatoirement, ainsi que plusieurs copies de cette clé symétrique, protégées à l'aide des clés asymétriques publiques de chaque utilisateur. Il y aura autant de copies que les utilisateurs sont autorisés à accéder au dossier protégé.

    Le pilote de chiffrement transparent fonctionne selon le schéma suivant : lorsqu'un utilisateur accède à un fichier, il vérifie si son certificat (clé publique) est dans la liste des certificats autorisés. Si tel est le cas, la copie de la clé symétrique qui a été chiffrée à l’aide de sa clé publique est déchiffrée à l’aide de la clé privée de cet utilisateur. Si le certificat de l'utilisateur n'est pas répertorié, l'accès sera refusé.

    Cryptage des dossiers réseau à l'aide de CyberSafe

    Grâce à CyberSafe, l'administrateur système pourra configurer le cryptage transparent d'un dossier réseau sans utiliser de protocoles de protection des données supplémentaires, tels que IPSec ou WebDAV, et contrôler ensuite l'accès des utilisateurs à un dossier crypté particulier.

    Pour mettre en place un cryptage transparent, chaque utilisateur qui sera autorisé à accéder aux informations confidentielles doit avoir CyberSafe installé sur son ordinateur, un certificat personnel doit être créé et la clé publique doit être publiée sur le serveur de clé publique CyberSafe.

    Ensuite, l'administrateur système sur le serveur distant crée un nouveau dossier, l'ajoute à CyberSafe et attribue des clés aux utilisateurs qui pourront à l'avenir travailler avec les fichiers de ce dossier. Bien entendu, vous pouvez créer autant de dossiers que nécessaire, y stocker des informations confidentielles de différents degrés d'importance, et l'administrateur système peut à tout moment supprimer un utilisateur de ceux qui ont accès au dossier, ou en ajouter un nouveau.

    Regardons un exemple simple :

    Le serveur de fichiers de l'entreprise ABC stocke 3 bases de données contenant des informations confidentielles de différents degrés d'importance - DSP, Secret et Top Secret. Il est nécessaire de donner accès à : DB1 pour les utilisateurs Ivanov, Petrov, Nikiforov, DB2 pour Petrov et Smirnov, DB3 pour Smirnov et Ivanov.

    Pour ce faire, sur le serveur de fichiers, qui peut être n'importe quelle ressource réseau, vous devrez créer trois dossiers distincts pour chaque base de données et attribuer les certificats (clés) des utilisateurs correspondants à ces dossiers :

    Bien entendu, ce problème ou un autre problème similaire lié à la différenciation des droits d'accès peut être résolu à l'aide des ACL Windows. Mais cette méthode ne peut être efficace que pour délimiter les droits d’accès aux ordinateurs des collaborateurs au sein de l’entreprise. En soi, il ne protège pas les informations confidentielles en cas de connexion d'un tiers à un serveur de fichiers, et l'utilisation de la cryptographie pour protéger les données est tout simplement nécessaire.

    De plus, tous les paramètres de sécurité du système de fichiers peuvent être réinitialisés à l'aide de la ligne de commande. Sous Windows, il existe un outil spécial pour cela - « calcs », qui peut être utilisé pour afficher les autorisations sur les fichiers et les dossiers, ainsi que pour les réinitialiser. Sous Windows 7, cette commande s'appelle « icacls » et s'exécute comme suit :

    1. Dans la ligne de commande avec les droits d'administrateur, saisissez : cmd
    2. Accédez au disque ou à la partition, par exemple : CD /D D :
    3. Pour réinitialiser toutes les autorisations, saisissez : icacls * /T /Q /C /RESET

    Il est possible que les icacls ne fonctionnent pas du premier coup. Ensuite, avant l'étape 2, vous devez exécuter la commande suivante :
    Après cela, les autorisations précédemment définies sur les fichiers et dossiers seront réinitialisées.

    Vous pouvez créer un système basé sur cryptodisque virtuel et ACL(Plus de détails sur un tel système lors de l'utilisation de disques cryptographiques dans les organisations sont écrits.). Cependant, un tel système est également vulnérable, car afin de garantir un accès constant des employés aux données du cryptodisque, l'administrateur devra le maintenir connecté (monté) tout au long de la journée de travail, ce qui mettra en péril les informations confidentielles sur le cryptodisque même sans le savoir. le mot de passe, si un attaquant est en train de se connecter, pourra se connecter au serveur.

    Les lecteurs réseau avec cryptage intégré ne résolvent pas non plus le problème, car ils ne protègent les données que lorsque personne ne les utilise. Autrement dit, la fonction de cryptage intégrée peut protéger les données confidentielles contre toute compromission uniquement si le disque lui-même est volé.

    Dans CyberSafe, le cryptage/déchiffrement des fichiers n'est pas effectué sur le serveur de fichiers, mais du côté de l'utilisateur. Par conséquent, les fichiers confidentiels sont stockés sur le serveur uniquement sous forme cryptée, ce qui élimine la possibilité qu'ils soient compromis lorsqu'un attaquant se connecte directement au serveur de fichiers. Tous les fichiers du serveur, stockés dans un dossier protégé par un cryptage transparent, sont cryptés et protégés de manière sécurisée. Dans le même temps, les utilisateurs et les applications les voient comme des fichiers normaux : Bloc-notes, Word, Excel, HTML, etc. Les applications peuvent lire et écrire directement ces fichiers ; le fait qu’ils soient cryptés leur est transparent.

    Les utilisateurs sans accès peuvent également voir ces fichiers, mais ils ne peuvent ni les lire ni les modifier. Cela signifie que si l'administrateur système n'a pas accès aux documents présents dans l'un des dossiers, il peut toujours les sauvegarder. Bien entendu, toutes les sauvegardes de fichiers sont également cryptées.

    Cependant, lorsqu'un utilisateur ouvre l'un des fichiers pour travailler sur son ordinateur, il est possible que des applications indésirables y accèdent (si, bien sûr, l'ordinateur est infecté). Pour éviter cela, CyberSafe, comme mesure de sécurité supplémentaire, dispose d'un système d'applications de confiance, grâce auquel l'administrateur système peut définir une liste de programmes pouvant accéder aux fichiers d'un dossier protégé. Toutes les autres applications qui ne figurent pas dans la liste de confiance n'y auront pas accès, ce qui limitera l'accès aux informations confidentielles pour les logiciels espions, les rootkits et autres logiciels malveillants.

    Étant donné que tout travail avec des fichiers cryptés est effectué du côté de l'utilisateur, cela signifie que CyberSafe n'est pas installé sur un serveur de fichiers et, lorsque vous travaillez dans un espace d'entreprise, le programme peut être utilisé pour protéger les informations sur les périphériques de stockage réseau avec le fichier NTFS. système, tel que Windows Storage Server. Toutes les informations confidentielles sont cryptées dans un tel stockage et CyberSafe est installé uniquement sur les ordinateurs des utilisateurs à partir desquels ils accèdent aux fichiers cryptés.

    C'est l'avantage de CyberSafe par rapport à TrueCrypt et aux autres programmes de cryptage qui nécessitent une installation dans un endroit où les fichiers sont physiquement stockés, ce qui signifie que seul un ordinateur personnel peut être utilisé comme serveur, mais pas comme lecteur réseau. Bien entendu, l'utilisation du stockage en réseau dans les entreprises et les organisations est beaucoup plus pratique et justifiée que l'utilisation d'un ordinateur ordinaire.

    Ainsi, avec l'aide de CyberSafe, sans aucun outil supplémentaire, vous pouvez organiser une protection efficace des fichiers précieux, assurer un travail pratique avec des dossiers réseau cryptés et également différencier les droits d'accès des utilisateurs aux informations confidentielles.

    Les principales fonctionnalités du programme Folder Lock sont les suivantes :
    • Cryptage AES, longueur de clé 256 bits.
    • Cacher des fichiers et des dossiers.
    • Chiffrez les fichiers (en créant des disques virtuels – coffres-forts) à la volée.
    • Sauvegarde en ligne.
    • Création de disques USB/CD/DVD protégés.
    • Cryptage des pièces jointes des emails.
    • Création de « portefeuilles » cryptés stockant des informations sur les cartes de crédit, les comptes, etc.

    Il semblerait que le programme dispose de suffisamment de capacités, notamment pour un usage personnel. Examinons maintenant le programme en action. Lorsque vous lancez le programme pour la première fois, il vous est demandé de définir un mot de passe principal, qui est utilisé pour authentifier l'utilisateur dans le programme (Fig. 1). Imaginez cette situation : vous avez caché des fichiers et quelqu'un d'autre a lancé un programme, a vu quels fichiers étaient cachés et y a eu accès. D'accord, pas très bon. Mais si le programme demande un mot de passe, alors ce « quelqu'un » ne réussira pas - du moins jusqu'à ce qu'il devine ou découvre votre mot de passe.


    Riz. 1. Définir un mot de passe principal au premier démarrage

    Tout d'abord, regardons comment le programme cache les fichiers. Aller à la rubrique Verrouiller les fichiers, puis faites glisser les fichiers (Fig. 2) et les dossiers dans la zone principale du programme ou utilisez le bouton Ajouter. Comme le montre la fig. 3, le programme vous permet de masquer des fichiers, des dossiers et des lecteurs.


    Riz. 2. Faites glisser un fichier, sélectionnez-le et cliquez sur le bouton Verrouillage


    Riz. 3. Bouton Ajouter

    Voyons ce qui se passe lorsque nous appuyons sur le bouton Verrouillage. J'ai essayé de masquer le fichier C:\Users\Denis\Desktop\cs.zip. Le fichier a disparu de l'Explorateur, Total Commander et d'autres gestionnaires de fichiers, même si l'affichage des fichiers cachés est activé. Le bouton de masquage de fichiers s'appelle Verrouillage, et la section Verrouiller les fichiers. Cependant, ces éléments de l'interface utilisateur devraient être nommés respectivement Masquer et Masquer les fichiers. Car en fait, le programme ne bloque pas l'accès au fichier, mais le « cache » simplement. Regardez la fig. 4. Connaissant le nom exact du fichier, je l'ai copié dans le fichier cs2.zip. Le fichier a été copié sans problème, il n'y a eu aucune erreur d'accès, le fichier n'a pas été crypté - il a été décompressé comme d'habitude.


    Riz. 4. Copiez un fichier caché

    La fonction de masquage elle-même est stupide et inutile. Cependant, si vous l'utilisez conjointement avec la fonction de cryptage de fichiers - pour masquer les coffres-forts créés par le programme - l'efficacité de son utilisation augmentera.
    Au chapitre Chiffrer les fichiers vous pouvez créer des coffres-forts (Lockers). Un coffre-fort est un conteneur crypté qui, une fois monté, peut être utilisé comme un disque ordinaire : le cryptage n'est pas simple, mais transparent. La même technique est utilisée par de nombreux autres programmes de cryptage, notamment TrueCrypt, CyberSafe Top Secret et autres.


    Riz. 5. Section Chiffrer les fichiers

    Cliquez sur le bouton Créer un casier, dans la fenêtre qui apparaît, saisissez un nom et sélectionnez l'emplacement du coffre-fort (Fig. 6). Ensuite, vous devez saisir un mot de passe pour accéder au coffre-fort (Fig. 7). L'étape suivante consiste à sélectionner le système de fichiers et la taille sûre (Fig. 8). La taille sécurisée est dynamique, mais vous pouvez définir sa limite maximale. Cela vous permet d'économiser de l'espace disque si vous n'utilisez pas le coffre-fort au maximum. Si vous le souhaitez, vous pouvez créer un coffre-fort de taille fixe, comme indiqué dans la section Performances de cet article.


    Riz. 6. Nom et emplacement du coffre-fort


    Riz. 7. Mot de passe pour accéder au coffre-fort


    Riz. 8. Système de fichiers et taille sécurisée

    Après cela, vous verrez une fenêtre UAC (si elle est activée), dans laquelle vous devrez cliquer sur Oui, puis une fenêtre avec des informations sur le coffre-fort créé s'affichera. Dans celui-ci, vous devez cliquer sur le bouton Terminer, après quoi la fenêtre de l'Explorateur s'ouvrira, affichant le conteneur monté (média), voir Fig. 9.


    Riz. 9. Disque virtuel créé par le programme

    Retour à la rubrique Chiffrer les fichiers et sélectionnez le coffre-fort créé (Fig. 10). Bouton Ouvrir le casier permet d'ouvrir un coffre-fort fermé, Fermer le casier- fermer le bouton ouvert Modifier les options appelle un menu contenant des commandes pour supprimer/copier/renommer/modifier le mot de passe sécurisé. Bouton Sauvegarde en ligne vous permet de sauvegarder votre coffre-fort, et pas n'importe où, mais dans le cloud (Fig. 11). Mais il faut d'abord créer un compte Compte de sauvegarde sécurisé, après quoi vous obtiendrez jusqu'à 2 To d'espace de stockage et vos coffres-forts se synchroniseront automatiquement avec le stockage en ligne, ce qui est particulièrement utile si vous devez travailler avec le même coffre-fort sur différents ordinateurs.


    Riz. 10. Opérations sur le coffre-fort


    Riz. 11. Créez un compte de sauvegarde sécurisé

    Rien n'arrive pour rien. Les tarifs pour le stockage de vos coffres-forts sont disponibles sur secure.newsoftwares.net/signup?id=en. Pour 2 To, vous devrez payer 400 $ par mois. 500 Go coûteront 100 $ par mois. Pour être honnête, c'est très cher. Pour 50 à 60 $, vous pouvez louer un VPS complet avec 500 Go « à bord », que vous pouvez utiliser comme stockage pour vos coffres-forts et même y créer votre propre site Web.
    Attention : le programme peut créer des partitions chiffrées, mais contrairement à PGP Desktop, il ne peut pas chiffrer des disques entiers. Au chapitre Protéger l'USB/CD vous pouvez protéger vos lecteurs USB/CD/DVD, ainsi que les pièces jointes des e-mails (Fig. 12). Toutefois, cette protection s'effectue non pas par le cryptage du support lui-même, mais par l'enregistrement d'un coffre-fort à auto-déchiffrement sur le support correspondant. Autrement dit, une version portable allégée du programme sera enregistrée sur le support sélectionné, permettant ainsi « d'ouvrir » le coffre-fort. Ce programme ne prend pas non plus en charge les clients de messagerie. Vous pouvez crypter la pièce jointe et la joindre (déjà cryptée) à l'e-mail. Mais la pièce jointe est cryptée avec un mot de passe standard, et non avec une PKI. Je pense que cela ne sert à rien de parler de fiabilité.


    Riz. 12. Protéger la section USB/CD

    Chapitre Faire des portefeuilles vous permet de créer des portefeuilles contenant des informations sur vos cartes de crédit, vos comptes bancaires, etc. (Fig. 13). Bien entendu, toutes les informations sont stockées sous forme cryptée. En toute responsabilité, je peux dire que cette section est inutile, car il n'y a pas de fonction pour exporter les informations du portefeuille. Imaginez que vous possédez de nombreux comptes bancaires et que vous ayez saisi des informations sur chacun d'eux dans le programme - numéro de compte, nom de la banque, propriétaire du compte, code SWIFT, etc. Vous devez ensuite fournir les informations de votre compte à un tiers pour vous transférer l'argent. Vous devrez copier manuellement chaque champ et le coller dans le document ou l'e-mail. Avoir une fonction d’exportation rendrait cette tâche beaucoup plus facile. Quant à moi, il est beaucoup plus facile de stocker toutes ces informations dans un seul document commun, qui doit être placé sur un disque virtuel créé par le programme - un coffre-fort.


    Riz. 13. Portefeuilles

    Avantages du verrouillage des dossiers :

    • Interface attrayante et claire qui séduira les utilisateurs novices parlant anglais.
    • Chiffrement transparent à la volée, créant des disques virtuels chiffrés pouvant être utilisés comme des disques ordinaires.
    • Possibilité de sauvegarde en ligne et de synchronisation des conteneurs cryptés (coffres-forts).
    • Possibilité de créer des conteneurs à auto-déchiffrement sur des lecteurs USB/CD/DVD.

    Inconvénients du programme :

    • Il n'y a pas de support pour la langue russe, ce qui compliquera le travail avec le programme pour les utilisateurs qui ne connaissent pas la langue anglaise.
    • Fonctions douteuses Lock Files (qui cache simplement, plutôt que de « verrouiller » les fichiers) et Make Wallets (inefficace sans exporter des informations). Pour être honnête, je pensais que la fonction Verrouiller les fichiers fournirait un cryptage transparent d'un dossier/fichier sur un disque, comme le fait le programme CyberSafe Top Secret ou le système de fichiers.
    • Impossibilité de signer des fichiers ou de vérifier les signatures numériques.
    • Lors de l'ouverture d'un coffre-fort, il ne permet pas de sélectionner une lettre de lecteur qui sera attribuée au disque virtuel correspondant au coffre-fort. Dans les paramètres du programme, vous ne pouvez sélectionner que l'ordre dans lequel le programme attribuera la lettre de lecteur - croissant (de A à Z) ou décroissant (de Z à A).
    • Il n'y a pas d'intégration avec les clients de messagerie, il y a seulement la possibilité de crypter la pièce jointe.
    • Coût élevé de la sauvegarde cloud.

    Bureau PGP

    PGP Desktop de Symantec est une suite de logiciels de chiffrement qui fournit un chiffrement flexible à plusieurs niveaux. Le programme diffère de CyberSafe TopSecret et Folder Lock par son intégration étroite dans le shell du système. Le programme est intégré au shell (Explorateur) et ses fonctions sont accessibles via le menu contextuel de l'Explorateur (Fig. 14). Comme vous pouvez le voir, le menu contextuel comporte des fonctions de cryptage, de signature de fichiers, etc. La fonction de création d'une archive auto-décryptable est assez intéressante - sur le principe d'une archive auto-extractible, seulement au lieu de la décompresser, l'archive est également décryptée. Cependant, les programmes Folder Lock et CyberSafe ont également une fonction similaire.


    Riz. 14. Menu contextuel de PGP Desktop

    Vous pouvez également accéder aux fonctions du programme via la barre d'état système (Fig. 15). Équipe Ouvrir le bureau PGP ouvre la fenêtre principale du programme (Fig. 16).


    Riz. 15. Programme dans la barre d'état système


    Riz. 16. Fenêtre du bureau PGP

    Sections du programme :

    • Clés PGP- gestion des clés (les vôtres et celles importées de keyserver.pgp.com).
    • Messagerie PGP- gestion des services de messagerie. Une fois installé, le programme détecte automatiquement vos comptes et crypte automatiquement les communications AOL Instant Messenger.
    • Zip PGP- gestion des archives cryptées. Le programme prend en charge le cryptage transparent et opaque. Cette section implémente le cryptage opaque. Vous pouvez créer une archive Zip chiffrée (PGP Zip) ou une archive à auto-déchiffrement (Figure 17).
    • Disque PGP est une implémentation de la fonction de cryptage transparent. Le programme peut soit chiffrer une partition entière du disque dur (ou même le disque entier), soit créer un nouveau disque virtuel (conteneur). Il existe également une fonction appelée Shred Free Space, qui vous permet d'effacer l'espace libre sur le disque.
    • Visionneuse PGP- ici, vous pouvez décrypter les messages et les pièces jointes PGP.
    • PGP NetShare- un moyen de « partager » des dossiers, tandis que les « partages » sont cryptés grâce à PGP, et vous avez la possibilité d'ajouter/supprimer des utilisateurs (les utilisateurs sont identifiés à partir de certificats) qui ont accès au « partage ».


    Riz. 17. Archives à auto-décryptage

    Concernant les disques virtuels, j'ai particulièrement apprécié la possibilité de créer un disque virtuel de taille dynamique (Figure 18), ainsi que de sélectionner un algorithme autre qu'AES. Le programme vous permet de sélectionner la lettre de lecteur sur laquelle le disque virtuel sera monté, et vous permet également de monter automatiquement le disque au démarrage du système et de le démonter lorsqu'il est inactif (par défaut, après 15 minutes d'inactivité).


    Riz. 18. Créez un disque virtuel

    Le programme essaie de chiffrer tout et tout le monde. Il surveille les connexions POP/SMTP et propose de les sécuriser (Figure 19). Il en va de même pour les clients de messagerie instantanée (Figure 20). Il est également possible de protéger les connexions IMAP, mais cela doit être activé séparément dans les paramètres du programme.


    Riz. 19. Connexion SSL/TLS détectée


    Riz. 20. PGP IM en action

    Il est dommage que PGP Desktop ne prenne pas en charge les programmes modernes populaires tels que Skype et Viber. Qui utilise AOL IM maintenant ? Je pense qu'il y en a peu.
    De plus, lors de l'utilisation de PGP Desktop, il est difficile de configurer le chiffrement du courrier, qui ne fonctionne qu'en mode interception. Que se passe-t-il si le courrier chiffré a déjà été reçu et que PGP Desktop a été lancé après avoir reçu le message chiffré ? Comment le décrypter ? Vous pouvez bien sûr le faire, mais vous devrez le faire manuellement. De plus, les messages déjà déchiffrés ne sont plus protégés dans le client. Et si vous configurez le client pour les certificats, comme cela se fait dans le programme CyberSafe Top Secret, les lettres seront toujours cryptées.
    Le mode d'interception ne fonctionne pas très bien non plus, puisqu'un message sur la protection de la messagerie apparaît à chaque fois sur chaque nouveau serveur de messagerie, et Gmail en possède beaucoup. Vous vous lasserez très vite de la fenêtre de protection du courrier.
    Le programme n'est pas non plus stable (Fig. 21).


    Riz. 21. PGP Desktop s'est bloqué...

    De plus, après l’avoir installé, le système a fonctionné plus lentement (subjectivement)…

    Avantages de PGP Desktop :

    • Un programme à part entière utilisé pour le cryptage de fichiers, la signature de fichiers et la vérification des signatures électroniques, le cryptage transparent (disques virtuels et cryptage de partition entière), le cryptage des e-mails.
    • Le serveur de clés prend en charge keyserver.pgp.com.
    • Possibilité de chiffrer le disque dur du système.
    • Fonctionnalité PGP NetShare.
    • Possibilité d'écraser l'espace libre.
    • Intégration étroite avec Explorer.

    Inconvénients du programme :

    • Manque de prise en charge de la langue russe, ce qui compliquera le travail avec le programme pour les utilisateurs qui ne connaissent pas l'anglais.
    • Fonctionnement instable du programme.
    • Mauvaises performances du programme.
    • Il existe une prise en charge pour AOL IM, mais pas pour Skype et Viber.
    • Les messages déjà déchiffrés restent non protégés sur le client.
    • La protection du courrier ne fonctionne qu'en mode interception, dont vous vous lasserez vite, puisque la fenêtre de protection du courrier apparaîtra à chaque fois pour chaque nouveau serveur.

    CyberSécurité Top Secret

    Comme dans, il n'y aura pas de description détaillée du programme CyberSafe Top Secret, car beaucoup de choses ont déjà été écrites à ce sujet sur notre blog (Fig. 22).


    Riz. 22. Programme CyberSafe Top Secret

    Cependant, nous prêterons toujours attention à certains points, les plus importants. Le programme contient des outils de gestion des clés et des certificats, et la présence du propre serveur de clés de CyberSafe permet à l'utilisateur d'y publier sa clé publique, ainsi que d'obtenir les clés publiques des autres employés de l'entreprise (Fig. 23).


    Riz. 23. Gestion des clés

    Le programme peut être utilisé pour crypter des fichiers individuels, comme indiqué dans l'article. En ce qui concerne les algorithmes de cryptage, le programme CyberSafe Top Secret prend en charge les algorithmes GOST et le fournisseur de cryptage certifié CryptoPro, ce qui lui permet d'être utilisé dans les agences gouvernementales et les banques.
    Le programme peut également être utilisé pour chiffrer de manière transparente un dossier (Fig. 24), ce qui lui permet d'être utilisé en remplacement d'EFS. Et étant donné que le programme CyberSafe s'est avéré plus fiable et plus rapide (dans certains scénarios) qu'EFS, c'est non seulement possible, mais également nécessaire.


    Riz. 24. Cryptage transparent du dossier C:\CS-Crypted

    La fonctionnalité du programme CyberSafe Top Secret rappelle la fonctionnalité du programme PGP Desktop - si vous l'avez remarqué, le programme peut également être utilisé pour crypter des messages électroniques, ainsi que pour signer électroniquement des fichiers et vérifier cette signature (section E-mail signature numérique, voir fig. 25).


    Riz. 25. Section E-mail signature numérique

    Comme le programme PGP Desktop, CyberSafe Top Secret peut créer des disques virtuels chiffrés et les chiffrer entièrement. Il convient de noter que le programme CyberSafe Top Secret ne peut créer que des disques virtuels de taille fixe, contrairement aux programmes Folder Lock et PGP Desktop. Cependant, cet inconvénient est compensé par la possibilité de chiffrer le dossier de manière transparente, et la taille du dossier n'est limitée que par la quantité d'espace libre sur votre disque dur.
    Contrairement au programme PGP Desktop, le programme CyberSafe Top Secret ne peut pas chiffrer le disque dur du système ; il se limite uniquement au chiffrement des disques externes et internes non système.
    Mais CyberSafe Top Secret a la possibilité de sauvegarder dans le cloud et, contrairement à Folder Lock, cette option est absolument gratuite ; plus précisément, la fonction de sauvegarde dans le cloud peut être configurée pour n'importe quel service - à la fois payant et gratuit. Vous pouvez en savoir plus sur cette fonctionnalité dans l'article.
    Il convient également de noter deux fonctionnalités importantes du programme : l'authentification à deux facteurs et un système d'applications de confiance. Dans les paramètres du programme, vous pouvez définir soit une authentification par mot de passe, soit une authentification à deux facteurs (Fig. 26).


    Riz. 26. Paramètres du programme

    Sur l'onglet Autorisé. applications Vous pouvez définir des applications approuvées autorisées à travailler avec des fichiers cryptés. Par défaut, toutes les applications sont fiables. Mais pour plus de sécurité, vous pouvez définir des applications autorisées à fonctionner avec des fichiers cryptés (Fig. 27).


    Riz. 27. Applications de confiance

    Avantages du programme CyberSafe Top Secret :

    • Prise en charge des algorithmes de cryptage GOST et du fournisseur de cryptage certifié CryptoPro, qui permet au programme d'être utilisé non seulement par des particuliers et des organisations commerciales, mais également par des agences gouvernementales.
    • Prend en charge le cryptage transparent des dossiers, ce qui vous permet d'utiliser le programme en remplacement d'EFS. Compte tenu de ce que prévoit le programme, un tel remplacement est plus que justifié.
    • La possibilité de signer des fichiers avec une signature numérique électronique et la possibilité de vérifier la signature du fichier.
    • Serveur de clés intégré qui vous permet de publier des clés et d'accéder à d'autres clés publiées par d'autres employés de l'entreprise.
    • La possibilité de créer un disque virtuel chiffré et la possibilité de chiffrer la partition entière.
    • Possibilité de créer des archives auto-décryptables.
    • La possibilité d'une sauvegarde cloud gratuite, qui fonctionne avec n'importe quel service - payant et gratuit.
    • Authentification utilisateur à deux facteurs.
    • Un système d'applications de confiance qui permet uniquement à certaines applications d'accéder aux fichiers cryptés.
    • L'application CyberSafe prend en charge le jeu d'instructions AES-NI, ce qui a un effet positif sur les performances du programme (ce fait sera démontré plus tard).
    • Le pilote du programme CyberSafe permet de travailler en réseau, ce qui permet de s'organiser.
    • Interface du programme en russe. Pour les utilisateurs anglophones, il est possible de passer à l’anglais.

    Parlons maintenant des lacunes du programme. Le programme ne présente pas de défauts particuliers, mais comme la tâche a été fixée de comparer honnêtement les programmes, il faudra encore trouver des défauts. Pour être vraiment pointilleux, parfois (très, très rarement) des messages non localisés comme « Le mot de passe est faible » « se glissent » dans le programme. De plus, le programme ne sait pas encore comment crypter le disque système, mais un tel cryptage n'est pas toujours nécessaire et pas pour tout le monde. Mais ce ne sont que de petites choses comparées au gel de PGP Desktop et à son coût (mais vous ne le savez pas encore).

    Performance

    Lorsque je travaillais avec PGP Desktop, j'ai eu l'impression (immédiatement après l'installation du programme) que l'ordinateur commençait à fonctionner plus lentement. Sans ce « sixième sens », cette section n’aurait pas été présente dans cet article. Il a été décidé de mesurer les performances à l'aide de CrystalDiskMark. Tous les tests sont effectués sur une machine réelle – pas de machines virtuelles. La configuration de l'ordinateur portable est la suivante - Intel 1000M (1,8 GHz)/4 Go de RAM/WD WD5000LPVT (500 Go, SATA-300, 5400 tr/min, 8 Mo de mémoire tampon/Windows 7 64 bits). La voiture n'est pas très puissante, mais c'est ce qu'elle est.
    Le test sera effectué comme suit. Nous lançons l'un des programmes et créons un conteneur virtuel. Les paramètres du conteneur sont les suivants :
    • La taille du disque virtuel est de 2 048 Mo.
    • Système de fichiers - NTFS
    • Lettre de lecteur Z :
    Après cela, le programme se ferme (bien sûr, le disque virtuel est démonté) - afin que rien n'interfère avec le test du programme suivant. Le programme suivant est lancé, un conteneur similaire y est créé et le test est effectué à nouveau. Pour vous faciliter la lecture des résultats des tests, nous devons parler de la signification des résultats CrystalDiskMark :
    1. Seq - test d'écriture séquentielle/lecture séquentielle (taille du bloc = 1 024 Ko) ;
    2. 512 Ko - test d'écriture/lecture aléatoire (taille du bloc = 512 Ko) ;
    3. 4K est identique à 512K, mais la taille du bloc est de 4 Ko ;
    4. 4K QD32 - test d'écriture/lecture aléatoire (taille de bloc = 4 Ko, profondeur de file d'attente = 32) pour NCQ&AHCI.
    Pendant le test, tous les programmes à l'exception de CrystalDiskMark ont ​​été fermés. J'ai choisi une taille de test de 1000 Mo et je l'ai réglé sur 2 passes pour ne pas forcer à nouveau mon disque dur (à la suite de cette expérience, sa température est déjà passée de 37 à 40 degrés).

    Commençons par un disque dur ordinaire afin d'avoir quelque chose avec quoi comparer. Les performances du lecteur C: (qui est la seule partition de mon ordinateur) seront considérées comme référence. J'ai donc obtenu les résultats suivants (Fig. 28).


    Riz. 28. Performances du disque dur

    Commençons maintenant à tester le premier programme. Que ce soit Folder Lock. En figue. La figure 29 montre les paramètres du conteneur créé. Attention : j'utilise une taille fixe. Les résultats du programme sont présentés dans la Fig. 30. Comme vous pouvez le constater, il y a une réduction significative des performances par rapport à l'indice de référence. Mais c'est un phénomène normal : après tout, les données sont cryptées et déchiffrées à la volée. La productivité devrait être inférieure, la question est de savoir de combien.


    Riz. 29. Paramètres du conteneur Folder Lock


    Riz. 30. Résultats du verrouillage des dossiers

    Le programme suivant est PGP Desktop. En figue. 31 - paramètres du conteneur créé, et sur la Fig. 32 - résultats. Mes sentiments ont été confirmés - le programme fonctionne vraiment plus lentement, ce qui a été confirmé par le test. Mais lorsque ce programme était en cours d'exécution, non seulement le disque virtuel, mais même l'ensemble du système, « ralentissaient », ce qui n'était pas observé lorsque l'on travaillait avec d'autres programmes.


    Riz. 31. Paramètres du conteneur PGP Desktop


    Riz. 32. Résultats du programme PGP Desktop

    Il ne reste plus qu'à tester le programme CyberSafe Top Secret. Comme d'habitude, d'abord les paramètres du conteneur (Fig. 33), puis les résultats du programme (Fig. 34).


    Riz. 33. Paramètres du conteneur CyberSafe Top Secret


    Riz. 34. Résultats du programme CyberSafe Top Secret

    Je pense que les commentaires seront inutiles. Selon la productivité, les places étaient réparties comme suit :

    1. CyberSécurité Top Secret
    2. Verrouillage de dossier
    3. Bureau PGP

    Prix ​​et conclusions

    Depuis que nous avons testé des logiciels propriétaires, il y a un autre facteur important à prendre en compte : le prix. L'application Folder Lock coûtera 39,95 $ pour une installation et 259,70 $ pour 10 installations. D'une part, le prix n'est pas très élevé, mais la fonctionnalité du programme, à vrai dire, est faible. Comme indiqué, les fonctionnalités de masquage de fichiers et de portefeuilles sont de peu d’utilité. La fonction de sauvegarde sécurisée nécessite des frais supplémentaires. Par conséquent, payer près de 40 $ (si vous vous mettez à la place d'un utilisateur ordinaire, pas d'une entreprise) uniquement pour pouvoir crypter des fichiers et créer des coffres-forts à décryptage automatique coûte cher.
    Le programme PGP Desktop coûtera 97 $. Et notez qu'il ne s'agit que du prix de départ. La version complète avec un ensemble de tous les modules coûtera environ 180 à 250 $ et il ne s'agit que d'une licence de 12 mois. Autrement dit, chaque année, vous devrez débourser 250 $ pour utiliser le programme. À mon avis, c'est exagéré.
    Le programme CyberSafe Top Secret est le juste milieu, tant en termes de fonctionnalités que de prix. Pour un utilisateur ordinaire, le programme ne coûtera que 50 dollars (prix anti-crise spécial pour la Russie ; pour les autres pays, la version complète coûtera 90 dollars). Attention, c'est combien coûte la version la plus complète du programme Ultimate.
    Le tableau 1 contient un tableau comparatif des caractéristiques des trois produits, qui peut vous aider à choisir votre produit.

    Tableau 1. Programmes et fonctions

    Fonction Verrouillage de dossier Bureau PGP CyberSécurité Top Secret
    Disques virtuels chiffrés Oui Oui Oui
    Chiffrer toute la partition Non Oui Oui
    Chiffrement du disque système Non Oui Non
    Intégration pratique avec les clients de messagerie Non Non Oui
    Cryptage des messages électroniques Oui (limité) Oui Oui
    Cryptage de fichiers Non Oui Oui
    Signature numérique, signature Non Oui Oui
    EDS, vérification Non Oui Oui
    Cryptage transparent des dossiers Non Non Oui
    Archives à auto-décryptage Oui Oui Oui
    Sauvegarde sur le cloud Oui (payant) Non Oui (gratuit)
    Système d'application fiable Non Non Oui
    Assistance d'un fournisseur de crypto certifié Non Non Oui
    Prise en charge des jetons Non Non (plus pris en charge) Oui (lors de l'installation de CryptoPro)
    Propre serveur de clés Non Oui Oui
    Authentification à deux facteurs Non Non Oui
    Masquer des fichiers individuels Oui Non Non
    Cacher les partitions du disque dur Oui Non Oui
    Portefeuilles pour stocker les informations de paiement Oui Non Non
    Prise en charge du cryptage GOST Non Non Oui
    interface russe Non Non Oui
    Lecture/écriture séquentielle (DiskMark), Mo/s 47/42 35/27 62/58
    Prix 40$ 180-250$ 50$

    En prenant en compte tous les facteurs évoqués dans cet article (fonctionnalités, performances et prix), le gagnant de cette comparaison est le programme CyberSafe Top Secret. Si vous avez des questions, nous nous ferons un plaisir d'y répondre dans les commentaires.

    Mots clés:

    • cryptage des données
    • protection des données
    Ajouter des balises

    Nous vous rappelons que toute tentative de répétition des actions de l’auteur peut entraîner une perte de garantie sur le matériel, voire sa panne. Le matériel est fourni à titre informatif uniquement. Si vous envisagez de reproduire les étapes décrites ci-dessous, nous vous conseillons fortement de lire attentivement l'article jusqu'au bout au moins une fois. Édition 3DNews n'assume aucune responsabilité pour les conséquences possibles.

    ⇡ Présentation

    Presque toutes les solutions mentionnées dans le matériel précédent ont été discutées d'une manière ou d'une autre sur les pages de notre ressource. Cependant, le thème du chiffrement et de la destruction des données a été injustement ignoré. Corrigeons cette omission. Nous vous recommandons de relire l’article précédent avant de faire quoi que ce soit. Assurez-vous de sauvegarder toutes les données avant de les chiffrer ! Et aussi, réfléchissez dix fois aux informations que vous devrez emporter avec vous et s'il est possible d'en refuser au moins une partie. Si tout est prêt, commençons.

    ⇡ Cryptage utilisant les moyens standards de Windows 7, Mac OS X 10.7 et Ubuntu 12.04

    Tous les systèmes d'exploitation de bureau modernes disposent depuis longtemps d'utilitaires intégrés pour crypter des fichiers et des dossiers ou des disques entiers. Avant d'envisager des utilitaires tiers, il est préférable de se tourner vers eux, car ils sont assez simples à configurer et à utiliser, bien qu'ils ne disposent pas de diverses fonctions supplémentaires. Windows 7 Ultimate et Enterprise disposent d'une fonctionnalité de chiffrement de volume appelée BitLocker. Pour protéger le disque système, il nécessite un module TPM, qui n'est pas installé sur tous les PC ou ordinateurs portables, mais il n'est pas requis pour les autres volumes. Windows 7 dispose également d'une fonctionnalité BitLocker To Go pour protéger les lecteurs amovibles, qui peuvent également être utilisés sans module de chiffrement matériel, ce qui est largement suffisant pour la plupart des utilisateurs.

    Si une version appropriée de Windows 7 est installée, pour activer BitLocker (To Go), accédez à l'élément « BitLocker Drive Encryption » dans le Panneau de configuration. À côté du lecteur correspondant, cliquez sur le lien « Activer BitLocker ». Sélectionnez l'option de déverrouillage par mot de passe et enregistrez clé de récupération (c'est juste un fichier texte) dans un endroit sûr, par exemple sur une clé USB que vous n'emportez pas avec vous sur la route. Après un certain temps, et cela dépend de la capacité du disque et de la puissance du PC, le processus de cryptage sera terminé.

    Lorsque vous connectez un volume crypté, il vous sera demandé à chaque fois de saisir un mot de passe pour accéder aux données sauf si vous activez le déverrouillage automatique, ce qui n'est pas recommandé. Vous pouvez toujours gérer les paramètres d'un volume chiffré dans la même section « BitLocker Drive Encryption » du Panneau de configuration. Si vous avez soudainement oublié votre mot de passe BitLocker, vous devez alors utiliser une clé de récupération numérique à 48 chiffres pour le déchiffrer - après l'avoir saisi, le volume sera temporairement déverrouillé.

    Dans Windows 7, en plus de BitLocker, il existe une autre méthode de chiffrement des dossiers et des fichiers, et non des volumes, appelée Encrypting File System (EFS). Pris en charge dans toutes les éditions du système d'exploitation, mais dans Starter et Home (Premium), vous ne pouvez travailler qu'avec des dossiers et des fichiers déjà cryptés, mais pas les créer. Pour que EFS fonctionne, il est nécessaire d'utiliser NTFS avec l'option de compression des données désactivée. Si votre machine répond à ces exigences, vous pouvez alors commencer le réglage.

    Dans le panneau de configuration, accédez aux paramètres du compte et cliquez sur le lien « Gérer les certificats de cryptage des fichiers ». En suivant les invites de l'assistant, nous créons un nouveau certificat auto-signé pour le PC. Assurez-vous de le sauvegarder dans un endroit sûr et de le protéger avec un mot de passe. Cela peut être fait plus tard à l'aide du même assistant, mais il est préférable de ne pas tarder, car le fichier PFX exporté sera nécessaire pour la récupération d'urgence des données. Si vous aviez déjà des données cryptées sur le disque, vous devez alors mettre à jour les clés correspondantes.

    EFS est transparent pour l'utilisateur, ce qui signifie que vous pouvez travailler avec des fichiers et des dossiers comme d'habitude. Mais si vous essayez de les ouvrir dans un autre environnement (OS, PC), alors leur accès vous sera refusé. Pour crypter un fichier ou un dossier, cliquez simplement sur le bouton « Autre... » dans ses propriétés dans l'onglet « Général » et cochez la case « Chiffrer le contenu pour protéger les données ». Après avoir appliqué les modifications, la couleur par défaut du nom de l'élément crypté passe au vert pour une meilleure identification visuelle des données protégées.

    Pour décrypter, décochez simplement la case dans les propriétés du fichier/dossier. Si vous essayez de copier des données protégées vers des emplacements inappropriés - sur un lecteur FAT32, sur un stockage réseau, etc. - un avertissement apparaîtra indiquant que les données seront décryptées et y finiront sous une forme non protégée. Pour rendre le travail avec EFS plus pratique, vous pouvez ajouter les éléments appropriés au menu contextuel de l'Explorateur. Tout ce que vous avez à faire est de créer un paramètre DWORD Menu contextuel de chiffrement dans la branche du registre HKEY_LOCALE_MACHINE\\LOGICIEL\\Microsoft\\les fenêtres\\Version actuelle\\Explorateur\\Avancé\\ et définissez sa valeur sur 1.

    Pour décrypter les données sur un lecteur si la machine sur laquelle elles ont été chiffrées n'est pas disponible, vous avez besoin d'une copie de sauvegarde du certificat et d'un mot de passe pour celui-ci. Pour importer, double-cliquez simplement sur le fichier pfx et suivez les instructions de l'assistant. Si vous souhaitez exporter ce certificat ultérieurement pour travailler avec des données sur une autre machine, cochez cette option.

    Vous devez enregistrer le certificat importé dans votre stockage personnel. Une fois le processus terminé, l'accès aux fichiers et dossiers cryptés sera ouvert. Vous pouvez gérer les certificats personnels à l'aide du composant logiciel enfichable MMC - Win+R, certmgr.msc, Enter.

    Une autre option extrêmement utile, à savoir l'écrasement de l'espace disque libre, n'est disponible qu'en utilisant la ligne de commande. Clé /W - effacement de l'espace, /E - cryptage, /D - déchiffrement. Les descriptions d'autres paramètres sont disponibles dans l'aide intégrée - touche /?.

    Cipher /W X :\\chemin\\vers\\n'importe quel\\dossier\\sur\\le disque en cours de nettoyage

    Mac OS X

    Examinons brièvement les possibilités de protection des données sur les ordinateurs Apple. Mac OS X dispose depuis longtemps du système de cryptage FileVault intégré et, depuis la version 10.7, il vous permet de protéger non seulement votre répertoire personnel, mais également l'intégralité du disque à la fois. Vous pouvez l'activer dans les paramètres système dans la section « Protection et sécurité ». Il sera également utile de vérifier l'option de protection de la mémoire virtuelle. Lorsque vous activez le cryptage, vous devrez définir un mot de passe principal, s'il n'a pas déjà été défini, et également enregistrer la clé de récupération. Pour une configuration plus approfondie, suivez les instructions de l'assistant. Cependant, une méthode plus universelle consiste à utiliser des images disque chiffrées.


    Dans Utilitaire de disque, sélectionnez « Nouvelle image » et dans la boîte de dialogue qui apparaît, spécifiez le nom du fichier et son emplacement, spécifiez le nom du disque et sélectionnez la taille. Journaled Mac OS Extended convient tout à fait comme système de fichiers. Il est préférable de choisir le cryptage AES-256. Dans la liste « Partitions », laissez la sélection « Disque dur » et spécifiez un package d'images croissant comme format. Il ne reste plus qu'à trouver ou générer un mot de passe d'accès, mais ne pas le mémoriser dans le trousseau pour plus de sécurité, mais le saisir manuellement à chaque fois. Lorsque vous double-cliquez sur l'image, elle est montée et demande un mot de passe. Après avoir enregistré des données importantes dessus, n'oubliez pas de démonter l'image.


    Ubuntu propose de chiffrer le répertoire personnel de l'utilisateur lors de la phase d'installation. Dans le même temps, la partition de swap est également cryptée, ce qui rend impossible l'utilisation du mode veille. Si vous avez refusé le cryptage lors de l'installation, vous devrez tout configurer manuellement. Dans le même temps, vous pouvez refuser de protéger la partition de swap, ce qui réduit naturellement la sécurité. Une option plus pratique et sécurisée, mais également plus difficile à configurer, consiste à chiffrer l'intégralité du disque en une seule fois. Si vous souhaitez faire cela, utilisez ces instructions. Nous envisagerons une option simple avec protection de la maison et, si vous le souhaitez, échangeons. Tout d'abord, installons le logiciel nécessaire à l'aide du terminal :

    Sudo apt-get install ecryptfs-utils cryptsetup

    Il y a une mise en garde ici : afin de chiffrer le répertoire personnel d'un utilisateur, les fichiers de ce répertoire ne doivent être ouverts dans aucun programme, ce qui signifie que l'utilisateur doit se déconnecter du système. Pour ce faire, vous devrez créer un autre compte temporaire avec des droits d'administrateur. Après l'avoir créé, déconnectez-vous du système et connectez-vous avec un nouveau compte.


    Au nom du deuxième utilisateur, exécutez la commande suivante, dans laquelle nom d'utilisateur remplacez-le par le nom de l'utilisateur dont nous allons chiffrer le répertoire personnel. La conversion des fichiers prendra un certain temps, alors soyez patient.

    Sudo ecryptfs-migrate-home -u nom d'utilisateur

    Une fois l'opération terminée, déconnectez-vous du système et reconnectez-vous en utilisant le compte principal. Vous pouvez maintenant supprimer le compte temporaire et tous ses fichiers. Quelques minutes après la connexion, un avertissement apparaîtra indiquant que vous devez enregistrer le mot de passe généré aléatoirement pour accéder aux fichiers nouvellement cryptés dans un endroit sûr en cas de récupération d'urgence. N'oubliez pas de le faire.

    Finalement, il ne reste plus qu’à supprimer « l’ancien » répertoire personnel / domicile/nom d'utilisateur.XXXXXXXXX, Où XXXXXXXXX- un ensemble aléatoire de lettres.

    Sudo rm -rf /home/username.XXXXXXXX

    Pour chiffrer la partition de swap, exécutez simplement une seule commande, puis assurez-vous que / etc/fstab L'entrée sur l'ancienne partition de swap est commentée et la nouvelle est indiquée /dev/mapper/cryptswap1.

    Sudo ecryptfs-setup-swap

    ⇡ Cryptage à l'aide de TrueCrypt

    TrueCrypt est une application ouverte et multiplateforme permettant de créer et d'utiliser des volumes protégés avec un cryptage à la volée. En pratique, cela signifie que, premièrement, les données déchiffrées se trouvent uniquement dans la RAM. Deuxièmement, travailler avec des conteneurs cryptographiques est possible dans n'importe quel système d'exploitation. Et troisièmement, avec un degré de probabilité assez élevé, nous pouvons parler de l'absence de «signets». De plus, TrueCrypt prend en charge les instructions AES-NI pour accélérer le (dé)cryptage. En fait, les capacités du programme sont beaucoup plus larges et elles sont toutes bien décrites dans le manuel, disponible avec le package de localisation (décompressez le contenu de l'archive dans le répertoire avec le programme installé). Par conséquent, nous considérerons le cas le plus simple de création d'un conteneur cryptographique dans l'environnement Windows.



    Ainsi, après l'installation, exécutez l'utilitaire, cliquez sur le bouton « Créer un volume » et suivez les conseils de l'assistant, car les paramètres par défaut sont tout à fait sûrs. Il vous suffit de définir manuellement le volume du volume et son mot de passe. Après avoir monté le conteneur, il apparaîtra sur le système comme un volume physique normal, ce qui signifie qu'il peut être formaté, défragmenté, etc.



    La particularité des conteneurs TrueCrypt est que de l'extérieur, ils ressemblent à des ensembles de bits aléatoires, et il est théoriquement impossible de reconnaître qu'il s'agit d'un conteneur dans un fichier. Assurez-vous de suivre les conseils pour créer un mot de passe fort et enregistrez-le immédiatement dans un endroit sûr. Une protection supplémentaire consiste à utiliser des fichiers clés de tout type, pour lesquels vous devrez également effectuer une copie de sauvegarde.



    Il ne reste plus qu'à sélectionner le format FS (l'ensemble dépend du système d'exploitation), déplacer la souris à l'intérieur de la fenêtre et marquer le volume. Ceci termine la création du conteneur.


    Pour monter un volume, vous devez cliquer sur le bouton « Fichier… », sélectionner un conteneur et une lettre de lecteur, cliquer sur « Monter », saisir les mots de passe et, si nécessaire, sélectionner les fichiers clés, ainsi que spécifier d'autres paramètres. Vous pouvez désormais travailler avec les données de la même manière que si elles se trouvaient sur un disque logique ordinaire. Pour désactiver le conteneur cryptographique, cliquez simplement sur le bouton « Démonter ». Dans les paramètres du programme, vous pouvez également activer le démontage automatique par minuterie/déconnexion/économiseur d'écran de lancement, effacement des caches et autres fonctions utiles.

    Il s'agit d'une option assez simple et fiable pour stocker des informations importantes. Cependant, si vous avez besoin de plus de sécurité, alors TrueCrypt vous permet de créer des volumes cachés, de chiffrer des disques et des partitions, d'ajouter une partition cachée avec un autre système d'exploitation, de configurer un « pipeline » de plusieurs algorithmes de chiffrement, de protéger un disque portable, d'utiliser des jetons et des cartes à puce. pour autorisation, et bien plus encore. Il est fortement recommandé de lire le chapitre sur les exigences et précautions de sécurité dans la documentation.

    ⇡ Suppression en toute sécurité

    Le seul moyen fiable de garantir la suppression des données est de détruire physiquement le lecteur sur lequel elles se trouvent. A cet effet, des procédures spéciales ont même été développées, parfois d'un caractère sadique subtilement perverti. Et le « blâme » en revient à diverses technologies utilisées dans les entraînements modernes - magnétisation résiduelle, opérations TRIM, répartition uniforme de la charge, journalisation, etc. Leur essence réside généralement dans le fait que les données sont souvent marquées comme supprimées ou prêtes à être supprimées au lieu d'être réellement effacées. Par conséquent, des méthodes ont été développées pour supprimer en toute sécurité les informations résiduelles, qui ne sont pas aussi radicales que la destruction complète du support.

    La fonctionnalité Secure Disk Erase est présente dans de nombreux éditeurs de partitions. Il existe de nombreux utilitaires similaires pour Windows, mais nous nous concentrerons sur le classique SDelete. Vous pouvez travailler avec lui en mode ligne de commande. La syntaxe est assez simple. Le commutateur -p spécifie le nombre de passes de réécriture, avec le commutateur -s (ou -r), le programme détruit de manière récursive tout le contenu du dossier et le passage de la touche -c (ou -z) efface (remplit avec des zéros) gratuitement espace sur le volume spécifié. A la fin, le chemin d'accès au dossier ou au fichier est indiqué. Par exemple, pour effacer notre volume TrueCrypt et nettoyer le disque, nous exécuterons deux commandes :

    C:\\sdelete.exe -p 26 C:\\exampletc C:\\sdelete.exe -c C:\\

    La plupart des distributions Linux disposent d'un utilitaire shred qui remplit les mêmes fonctions que SDelete. Il possède également plusieurs paramètres, mais il nous suffit d’en connaître trois. Le commutateur -n définit le nombre de passes de réécriture, -u supprime le fichier et -z remplit l'espace utilisé avec des zéros à la fin. Exemple de travail :

    Sudo shred -u -z -n 26 /home/dest/exampletc2

    Le programme shred présente un certain nombre de limitations en termes de suppression sécurisée, dont l'utilisateur est honnêtement averti lorsqu'il est exécuté avec la touche --help. Un ensemble d'utilitaires plus efficaces est inclus dans le package Secure-Delete. Installons-le et examinons quelques programmes intégrés. L'utilitaire srm est similaire à shred, mais prend légèrement moins de paramètres. Nous nous intéressons aux commutateurs -r pour supprimer récursivement le répertoire spécifié et à l'omniprésent -z pour remplir l'espace avec des zéros. Le package contient également un utilitaire permettant d'effacer l'espace libre sur le disque avec le dossier spécifié.

    Sudo apt-get install secure-delete sudo srm -z /home/dest/exampletc3 sudo -z sfill /home/dest

    Pour Mac OS X, il existe le même CCleaner avec la fonction de libérer de l'espace libre, ainsi que l'utilitaire srm, qui fonctionne de la même manière que sous Linux. Nous vous recommandons d'activer Secure Empty Trash dans les paramètres de votre Finder. Il est également disponible dans le menu contextuel de la corbeille lorsque la touche CMD est enfoncée.

    Pour les disques SSD et les lecteurs flash, il est préférable d'utiliser un formatage de bas niveau (voir) ou la procédure Secure Erase, ce qui peut vous faire perdre la garantie du SDD. Pour ce dernier cas, une autre distribution Live pour travailler avec des partitions de disque convient - Parted Magic. Démarrez à partir de celui-ci et sélectionnez Outils système → Effacer le disque dans le menu principal. Pour les disques SSD, sélectionnez le dernier élément, Secure Erase, et pour les disques durs standards, utilisez la méthode nwipe, qui est essentiellement la même que DBAN.

    ⇡Conclusion

    La combinaison que nous avons envisagée du cryptage des données et de leur suppression sécurisée ultérieure est tout à fait suffisante pour protéger de manière fiable les informations confidentielles. Bien entendu, cela ne garantit en aucun cas une protection à 100 %, mais pour les utilisateurs ordinaires, les risques de fuite diminuent fortement. Et les services compétents prendront en charge les « mortels difficiles ». Encore une fois, nous vous rappelons l'importance de créer des copies de sauvegarde en général et avant le cryptage en particulier, ainsi que de minimiser la quantité de données transférées avec vous vers le camp d'un ennemi potentiel et la nécessité d'utiliser des mots de passe forts avec des clés avec leur sauvegarde. Eh bien, soyez toujours prudent. Bonne chance!

    Chacun de nous stocke une bonne quantité d’informations confidentielles sur son disque dur. Pour certains, ce ne sont que des mots de passe pour divers services réseau, d'autres sont chargés de stocker des documents importants et d'autres encore développent un programme innovant depuis plusieurs années. Dans tous les cas, les données doivent être protégées des étrangers, ce qui, dans notre monde mobile, est assez problématique sans l'utilisation de systèmes de cryptage.

    En examinant la liste des logiciels de chiffrement pour Linux et en analysant la popularité et la pertinence de chacun d'eux, nous arrivons à la conclusion qu'il n'existe que quatre systèmes de chiffrement sécurisés et pris en charge pour chiffrer les disques durs et autres supports de stockage à la volée :

    AVERTISSEMENT

    Pour des raisons de sécurité, il est préférable de désactiver l'indexation des partitions chiffrées en éditant le fichier de configuration /etc/updatedb.conf. Les fichiers chiffrés par EncFS ne peuvent pas avoir de liens physiques, puisque le système de chiffrement ne lie pas les données à l'inode, mais au nom du fichier.

    ARTICLES LIÉS