Скрытый шифрованный диск с защитой от терморектальной расшифровки

Information Security
В последнее время в блоге "Информационная безопасность" проскакивало несколько топиков про способы шифрования данных для защиты от маски-шоу. Но все эти способы, исходя из бурных обсуждений в комментариях, не проходят проверку паяльником.

Поэтому я хочу предложить свой способ защиты данных от особо интересующихся лиц в масках — шифрование данных на скрытом диске, который имеет дополнительный уровень в защите от паяльника.

Пока такую возможность нашёл только в программе truecrypt (opensource, win/linux/mac) — "hidden volume", поэтому буду рассказывать на её примере. Хотя возможно и в других шифровальшиках есть что-то подобное.

Работает это следующим образом:
  1. Создаётся файл с шифрованным диском, который шифруется первым паролем, например data.img, подключается как диск.
  2. На этот диск записываются какие-либо полу-палевные данные, которые после долгих уговоров в случае угрозы применения паяльника можно и показать недоброжелателям, набрав этот первый пароль. Ну т.е. чтобы они были похожи на данные, которые действительно вы хотели скрыть от глаз владельцев паяльника, но на самом деле не особо страшно если они их найдут.
    Этими данными нужно забить не весь диск под завязку, а только часть, оставив свободное место.
  3. Поверх оставшегося свободного места от данных первого диска в файле data.img создается ещё один диск, который шифруется вторым паролем. На этот диск уже записываются самые ценные данные, которые нельзя показывать даже после прямого контакта с паяльником.
В результате мы получаем один файл с двумя зашифрованными дисками.

Итого всё получившееся выглядит примерно так: image

Используя первый пароль, мы получаем доступ только к первому диску, а о наличии второго диска, как заявляют разработчики truecrypt (сам глубоко не вникал в тему, доверился их словам), никаким образом узнать нельзя, не зная второй пароль.

А, соответственно, зная второй пароль, можно без особых проблем получить доступ ко второму диску с основными данными.

Также в программе предусмотрен режим подключения первого диска с защитой от порчи данных второго диска (в этом случае спрашиваются оба пароля), иначе при записи на с первый диск в обычном режиме можно попортить данные второго скрытого диска.

Всё это делается с помощью GUI-интерфейса программы, особых сложностей в настройках вызвать не должно. Также поддерживается работа в консольном режиме, что позволяет работать с этими дисками через скрипты.
image
image

Итого, если к нам пришли маски-шоу, план действий следующий:
  1. Мы отдаём пришедшим специалистам на тщательное прощупывание свой сервер.
  2. Они находят на нём подозрительно большой файл, начинают приставать к нам с вопросами.
  3. Мы сначала отнекиваемся, говорим что это просто своп, бекапы, архив с проном, или ещё что-то, вобщем ломаем комедию.
  4. После того, как от них начинают сыпаться серьёзные угрозы, всё же что это признаемся шифрованный диск с данными, со слезами и соплями сообщаем им первый пароль.
  5. Они радуются, подключают с помощью этого пароля первый диск, получают данные, находят в них что-то неособо страшное, слегка дрючат вас за это и отпускают.
В итоге и волки сыты (они всё же заставили вас вскрыть шифрованный диск и нашли за что отдрючить, даже не догадываясь что за этим есть ещё что-то) и овцы целы (вы не показали им наиболее ценные данные и они даже не пытались у вас их вытрясти с применением паяльника, т.е. обделались лёгким испугом).

UPD: Я не предлагаю способ стопроцентной защиты от паяльника и решение всех проблем, я просто описал дополнительную возможность защитить свои данные вторым уровнем секретности, который со стороны никак не заметен даже после тщательного поиска.

И если недоброжелатели не догадываются о существовании у вас второго скрытого диска, то по внешним признакам никак не заметят его присутствие и, соответственно, не будут тратить лишнюю электроэнергию на паяльник. А уж как сделать так чтобы они об этом не догадались — задача для каждого индивидуальная, с применением смекалки и творчества.

И этот способ более надежен, чем рабочий сервер в фирме с якобы пустым винчестером без разделов (со скрытыми шифрованными разделами), который сразу вызовет подозрение. А тут файл вызвал подозрение, мы его расшифровали первым паролем, показали все данные и успокоились, подозрения что в этом же файле может быть ещё один шифрованный диск маловероятно что появятся без прямой наводки.
Tags:truecryptшифрование дисковшифрование данныхмаски-шоупаяльник
Hubs: Information Security
+4
51.1k 41
Comments 41

Popular right now

Администратор баз данных
from 45,000 to 120,000 ₽AMICUMКемерово
DBA / Администратор базы данных
from 80,000 ₽CarPriceМоскваRemote job
Администратор баз данных SQL
from 100,000 ₽Сима-лендЕкатеринбург
DBA / Администратор баз данных
from 100,000 ₽СтандартПроектМосква
Аналитик данных (data analyst)
from 160,000 ₽СберЛогистикаМосква