私以外の人が私のハードドライブにアクセスできないようにする方法はありますか？

63

最初にバックアップの話をしましょう。コンピューター技術者が私のラップトップを渡して、ハードドライブに「隠したい」情報を尋ねてきました。彼は、私が何を隠そうとしても、何でも取り出せると主張した。

「そして、あなたがそれについてできることは何もない」のような絶対的な声明を認めないので、私は頭の中でこれについて考え始めました。私は、非常に安全なオペレーティングシステムがそれを削減しないことに気付きました。なぜなら、彼は私の特定のハードドライブからブートする必要がないからです。

ここでの一般的な質問は次のとおりです。

ハードディスク内のすべてのデータを完全に保護する方法はありますか？（私はそれを行う方法についての詳細な説明は必要ありません、私はあなたに私に方向を指し示すだけでよいです;私はそれについてもっと読むことができます）

具体的には、次のものが必要になると思われます。

非常に安全で、保存されているすべてのデータを暗号化する可能性のあるオペレーティングシステム（そのようなものが存在するかどうかはわかりません）。
上記が存在しない場合、ハードドライブのデータを手動で暗号化して、そのハードドライブから起動する方法はありますか？

一般に、私以外の人（=特定のパスワード/キーを知っている人）ができるだけハードドライブにアクセスできないようにしたいので、すべてのソリューションを歓迎します。

hard-drive privacy-protection

— F1234k
ソース

35

暗号化するには、USBスティックにある強力なパスワードまたは暗号化キーが必要です。彼はちょうどゲームに負けました。強力なパスワードを使用して、パスワードで保護されたRARファイルを作成することができます。申し訳ありませんが、ここから彼の素朴な思春期の態度を嗅ぐことができます。

— ダニエルアンダーソン

6

それはトリックです！彼がコンピューター技術者と呼ばれるに値するなら、彼はおそらくいくつかのいたずら

14

en.wikipedia.org/wiki/Rubber_hose_cryptanalysisおよびxkcd.com/538

— LawrenceC

3

あなたの体のインプラントそれを、それが使用中のとき、それは不快な振動している...

— フリークラチェット

3

完全にランダム化されたハードドライブデータを備えたラップトップを彼に与え、秘密のメッセージが隠されているのを見つけるように彼に挑戦します。このビットストリームと秘密キーからメッセージを取得できる場合、これは技術的に暗号化され（OTPおよび任意のストリーム暗号で実行可能）、ダミーキーを保持できるため、ある程度召喚状に強いという利点があります無害なものに解読されます。

— トーマス

66

ほとんどの機密ファイルを暗号化するのに十分です。AES 256ビットで暗号化されたZIPファイルと適切な長いパスワードは、パスワードなしで侵入することはほとんど不可能です。（PKZIPストリーム暗号/ ZipCryptoとして知られるレガシーZIP暗号化の使用は避けてください-弱いことが知られています。）

パーティション全体を暗号化して、その中のすべてを隠すことも可能です。Truecryptは、一種のホーム（およびいくつかのビジネス）パーティション/イメージ暗号化の事実上の標準プログラムです。おそらく、オペレーティングシステムに組み込まれているツールと比較してTruecryptの最も優れている点は、ポータブルであるということです。Windows、Mac OS X、およびLinux用のバージョンがあり、大部分のコンシューマオペレーティングシステムを構成しています。

すべてを非表示にする場合は、ブート元を含むシステムのすべてのパーティションを暗号化できます。パスワード/キーを知らない限り、暗号化されたドライブからデータを読み取ることはできません。つまり、Windowsオペレーティングシステムは、暗号化されたハードドライブからの起動を常にサポートしているわけではありません。* Truecryptには、システム暗号化と呼ばれるものがあります。彼らはそれをかなりうまくまとめています：

システムの暗号化には起動前認証が含まれます。つまり、暗号化されたシステムにアクセスして使用し、システムドライブに保存されたファイルを読み書きする場合は、Windowsが起動する前に毎回正しいパスワードを入力する必要があります）。起動前認証は、起動ドライブの最初のトラックとTrueCrypt Rescue DiskにあるTrueCryptブートローダーによって処理されます。

そのため、TruecryptブートローダーはOSの前にロードされ、パスワードの入力を求められます。正しいパスワードを入力すると、OSブートローダーがロードされます。ハードドライブは常に暗号化されているため、ブータブルCDでも有用なデータを読み取ることはできません。

また、既存のシステムを暗号化/復号化することも難しくありません。

TrueCryptは、オペレーティングシステムの実行中に、既存の暗号化されていないシステムパーティション/ドライブをその場で暗号化できることに注意してください（システムが暗号化されている間、制限なしに通常どおりコンピュータを使用できます）。同様に、TrueCryptで暗号化されたシステムパーティション/ドライブは、オペレーティングシステムの実行中にその場で復号化できます。暗号化または復号化のプロセスをいつでも中断し、パーティション/ドライブを部分的に暗号化せずに残し、コンピューターを再起動またはシャットダウンしてから、プロセスを再開することができます。

*他のさまざまなオペレーティングシステムがシステムドライブの暗号化をサポートしています。たとえば、Linuxカーネル2.6以降にはdm-cryptがあり、Mac OS X 10.7以降にはFileVault 2があります。WindowsはBitLockerでそのようなサポートを持っていますが、Enterprise / Business / Serverエディションでのみ、Vista以降でのみです。上記のように、Truecryptはよりポータブルですが、多くの場合、システムドライブを暗号化するために必要な統合が欠けています。Windowsは例外です。

— ボブ
ソース

4

真のクリプトは私が使用したものであり、非常に満足しています

— -Rippo

4

既存の暗号化されていないドライブを暗号化する場合の注意点：ソリッドステートの場合、ディスクの寿命を延ばすためにそれらが変化するため、同じセクターに再書き込みできない場合があります。したがって、ソリッドステートドライブ上のデータは、最初から暗号化されている場合にのみ安全です。

— ネイサンロング

13

「つまり、ほとんどのオペレーティングシステムは、暗号化されたハードドライブからの起動をネイティブにサポートしていません。」-それはリモートでも真実ではありません。WindowsにはBitLockerがあり、MacにはFileVault 2があります。

— josh3736

9

@Josh：これらは、ほとんどのオペレーティングシステムではなく、最もユーザーが多いオペレーティングシステムです。

— ベンフォークト

6

@BenVoigt、それは少し馬鹿げた議論です。「もちろん、デスクトップの3/4で使用されているOSはFDEをネイティブにサポートしていますが、BeOSはサポートしていません！」

— -josh3736

51

1つのフレーズ-フルディスク暗号化。できれば、長くて長い辞書キーではありません。また、外部キーファイルを使用してこれを行うシステムを検討することもできます。基本的に、ブートローダー以外のシステム全体が暗号化されているため、直接メモリアクセス攻撃はありません。つまり、ファイアワイヤまたはDMAを備えた他のデバイスを使用して、メモリの内容を取得したり、コールドブート攻撃を使用して情報を取得したりします。これを防ぐのは簡単です-システムの電源を切り、システムを引き渡す直前にバッテリーを取り外してください。ハードドライブだけの場合、これらの攻撃は両方ともあり得ない

たぶん、truecryptを試してみて、非常に長くランダムなパスワードを使用し（長さはブルートフォースを難しくし、ランダムさは辞書攻撃を防ぎます）、それで彼を町に行かせます。または、Windowsの一部のバージョンにはビットロック機能があります。これは、Windowsに組み込まれている強力なFDEオプションです。同様に、luksやdmcryptなどのLinux向けのソリューションもあります。

または、ディスクにランダムデータを入力します...そして、彼がそれを理解するまでの時間を確認します;）

— ジャーニーマンオタク
ソース

70

+1または、ランダムデータでディスクを満たします。そうそう

— -Tog

1

ああ、ランダムなデータ：D

— Cryptonomiconの

14

「パスワードを教えて結果を確認できるようにする」などのトリックにforしないでください。

私が行ったセキュリティ会議は最初にパスワードを要求しました。途中で、プレゼンターは、ほとんどの人がパスワードを手放したため、最大のセキュリティリスクはあなただと言いました。

（はい、関連するデータを暗号化するだけです。）

— ニムチンプスキー
ソース

12

画像内のファイルを「隠す」ことができますか？これは彼を追い払うかもしれない-または少なくとも彼を理解するために少し時間をかける。おそらく。

http://lifehacker.com/282119/hide-files-inside-of-jpeg-images

— ボブノウズ
ソース

2

あるいはプログラムバイナリの内部crazyboy.com/hydan

— ダン・D.

18

これは、別名ステガノグラフィとして知られています。

— チャドハリソン

4

または、あいまいさによるセキュリティ？

— -vsz

9

他のTrueCryptの回答に同意します。ただし、追加すべき重要な点が1つあります。TrueCryptのもっともらしい拒否機能です。つまり、TrueCryptは、暗号化するディスク/ファイルに明確に識別可能な署名を残さないということです。したがって、ディスク上のビットセットがランダムビットであるか、暗号化されたデータであるかを証明することはできません。これは非常に重要であるため、最近の裁判所の訴訟に影響を及ぼしました。

— 遅毒
ソース

私はそれがどのような訴訟であったかを知りたいと思います。

— チャドハリソン

3

ここにリンクがありますca11.uscourts.gov/opinions/ops/201112268.pdf要点：TrueCryptユーザーはパスワードを明かすことを強要できません。5番目の修正が適用されます。

— slowpoison

7

投稿された回答の多くは良い回答です。

追加として、あなたは見たいかもしれません ~~非同期~~GnuPGのような非対称暗号化ツール。公開鍵と秘密鍵を扱っているため、ZIPファイル内で暗号化するよりも少し複雑です。ヨーロッパの大学が非常に特殊な状況でこのタイプの暗号化を解読していることを聞いたことがあると思います。パスワードとキーをUSBドライブ、またはチャレンジャーに提供するドライブ以外の場所に配置する必要があります。

さらに、教授に、何かを完全に隠したい場合は、暗号化されたファイルを新しいキーセットで再暗号化するように言われました。 このように、第1レベルの暗号化が何らかの方法で解読された場合、すべてが暗号化されたままであるため、攻撃者はそれを知りません。

お役に立てれば。

— チャド・ハリソン
ソース

4

「かつて教授に、何かを完全に隠したい場合は、新しいキーセットで暗号化されたファイルを再暗号化するように言われたことがあります。」ほとんどの暗号システムでは間違っています。ROTnを検討してください。暗号化ROTn（ROTm（x））= ROT {m + n}（X）。攻撃者は、ROTn（ROTm（x））を実行したことに気付かないが、代わりにm + nを直接見つけようとします。追加のセキュリティはありません。

— エモリー

1

@emory注意してください。教授も人だと思います。私はあなたが何を得ているか理解していると思います。確認します。

— チャドハリソン

GnuPGは非同期ではなく、非対称です（デフォルトモード）。また、従来の（対称、同じキー）暗号化もサポートしています。

— CVn

3

また、教授は単純な置換暗号よりも少し洗練された暗号化アルゴリズムに言及していたと思います。プレーンテキストPを取得し、（たとえば）最初にキーK1でAESで暗号化し、次にAESおよび別のキーK2（C = AES( AES(P,K1), K2 )、K1≠K2）で結果の暗号化テキストを暗号化すると、結果の暗号化テキストは、たとえば、 AES（AES（P、K2）、K1）の出力（キー順反転）。このプロパティは、ROTnなどの単純な置換暗号には適用されません。

— CVn

@MichaelKjörling非対称の修正をありがとう。私はそれが何かであることを知っていました、そして時々私は私のリコールに苦労します。;）

— チャドハリソン

6

興味深いことに、多くの人が「非表示」という言葉を引用符で囲む必要があるのは、彼らの提案には実際には何も隠されていないことを知っているようだからです。そのコンピューター技術者が手をかざして、「隠す」と言ったときに引用符に関連する手の動きをしたのだろうか。

疑わしい。暗号化するとアクセスが妨げられる可能性がありますが、デスクトップに「Nothing_to_see_here.zip」という暗号化されたzipファイルを置いても、実際には何も隠されません。

一部のラップトップにはドライブをパスワードで保護する機能が備わっています。BIOSでドライブを有効にすると、パスワードを入力するかドライブをフォーマットするという2つのオプションがあります。デルは、この機能を備えた企業の1つです。OK。間違ったパスワードを3回入力した後、Dellに電話することもできます。画面に表示されるチャレンジコードを渡すと、パスワードをバイパスするための応答コードが渡されます...保証期限が切れている場合。繰り返しますが、これは何も隠していません。

誰かが部屋にアクセスできるようにして、見えない場所に隠れているものを検索できるようにすること（隠蔽）と、完全に入ることを禁止すること（暗号化）には、違いがあります。

私は次のような絶対的な声明に感謝していません。「そして、あなたがそれについてできることは何もない」

いいえ、あなたはこの技術者があなたが知らないことを知っていたこと、および/または彼があなたよりも優れていることを本質的に言っていることを好きではありませんでした。これは、彼が言っていることは何の意味もないことを実際に認識するのではなく、すぐにこの技術者を改善する方法を考えようとした理由です！すぐそこに認めたとしても、少なくともあなたを傷つけることはなかっただろうし、多分彼が実際にあなたが隠したファイルを見つけることができたかもしれない。もちろん、このコンテキストで非表示が何を意味するかを彼に定義してもらう必要があります...（再び）「隠された」とは明らかに、異なる人々にとって異なることを意味するように見えるからです。とにかく、彼の挑戦に関するあなたの問題は彼の自慢とは何の関係もなく、彼が実際にあなたよりも優れているかもしれないという可能性を受け入れることができないことに関係しています。これが、チャレンジを放っておくことができなかった理由です。これが、あなたがそのような絶対的な声明に感謝しない理由です。真実であるため、あなたの人生で何かが起こる時があり、あなたがそれについてできることは何もないでしょう。

定期的にアクセスするファイルが見つからないようにする方法が必要ですか？それらをコンピューターに近づけないでください。どのようにそのことについて？フラッシュドライブに保存します。そうすれば、ファイルをいつでも人に保存しておくことができ、ラップトップの近くにいなければ誰もラップトップにアクセスしてファイルを取得することはできません。すべてのファイルを常にラップトップに保持しなければならないという愚かなルールを作ったのは誰ですか？私はこの技術者の子供っぽい自慢と、これをあなたが変えたどんなゲームについても話していない。ファイルを暗号化するか、画像内で非表示にするか、コンピューターからフラッシュドライブに削除すると、ゲームは終了します。どうして？このチャレンジのパラメーターが定義されていないので...そして、それが何であるか推測できます。

ファイルはどこかからアクセス可能でなければなりません。
あるディレクトリ内のファイルをaられたパスから外すだけで、隠れる可能性があると考える無知な愚か者の役割を演じる必要があります。

これらのいずれかから離れると、ゲームオーバーになり、「彼が何を意味するのか理解できませんでした」。

— ボンガート
ソース

4

しかし、フラッシュドライブを紛失したり、どこかに置き忘れたりした場合はどうでしょうか。ところで、彼は、暗号化された情報は本質的に隠されているので、ファイルではなく情報を隠す..微妙な違いを言った。そして、暗号化を破ることは理論的には可能です。

— ボブ

1

Hide and Seekをプレイすれば、どこにいてもあなたを見つけることができると誰かが言います...そしてこれはあなたが勝つためにあなたに触れる必要があるTAGにゲームを変更しなければならないほどあなたを怒らせます。ハードドライブがクラッシュした場合...ああ、親愛なる。暗号化された情報は隠されず、ロックされます。キーが必要な場合、ロックされます。暗号化されたファイルを見つけた場合、その情報を見つけたということですか？彼は情報を見ることができなければならないと言ったのですか、それともただ見つけたのですか？

— ボンGART

3

情報の断片！=ファイル。情報は、ファイルの内容を読み取ることで得られます。ファイルはあるが、読み取れないということは、内部の情報がまだ隠されていることを意味します。

— ヤミクロヌエ

あなたとボブは、「情報」は「ファイル」に等しくないと感じていると思います。教えてください。何まさにこの問題のコンピュータ技術者は、情報が意図思いましたか？彼は「ファイル」と言うつもりでしたか？彼は2つを同一視していますか？スーパー暗号化は必要ありません。この「情報」を単純に小さなチャンクに分割し、16進数に変換し、C：\ Windowsにこれらの16進チャンクという名前のディレクトリを作成することができます。32文字の長さにすると、通常のディレクトリのように見えます。名前を元に戻すと情報が得られることを知っているのはあなただけです。

— ボンガート

しかし、質問のタイトルは「自分以外の人が自分のハードドライブにアクセスできないようにする方法はありますか？」次に、この議論の目的のために、情報は平等なファイルです。

— ボンガート

4

代替データストリームは、彼に投げかけるのが面白いものです。

— dc5553
ソース

また、ボリュームシャドウコピーforensicswiki.org/wiki/Windows_Shadow_Volumes

— dc5553

3

非常に長いパスワードと、USBに保存されているキーファイルの両方で保護されているTrueCrypt仮想ドライブを使用しています。また、一定時間アクティビティが存在しない場合、開いている仮想ドライブでタイムアウトを開始します。このタイプのセキュリティを長年使用しています。これらの仮想ドライブ内で非常に大きなデータベースを処理しますが、パフォーマンスの問題はありません。

— ピーター
ソース

Intel Sandy Bridgeなど、AESのハードウェアサポートを備えたCPUを使用していますか？

— -drxzcl

2

Ubuntuは、非常に安全なホームドライブ暗号化を提供します。自分のキーを知っていても、自分のデータを回復するのに苦労しなければなりませんでした。ホームドライブ暗号化に関する情報は、ここにあります。

— オサマ・ジャベド
ソース

2

暗号化は召喚状や拷問に対しては役に立ちません。コンピューター技術者がしなければならないことは、おそらくNothing_to_see_here.zipが児童ポルノで一杯であることを匿名で主張することです。FBIは彼の店からそれを押収し、パスワードを要求します。彼はあなたのコンピューターだと彼らに言うでしょう。

いくつかの法的機動があります。刑務所に収まるか、自由のままになります。いずれにせよ、コンピューター技術者はあなたの秘密ファイルについて興味深いことを学びました。

または、$ xの修理が必要なラップトップの問題を主張することもできます。修理の認可または認可の欠如は、Nothing_to_see_here.zipの経済的価値についてあなたに何かを伝えます。

— エモリー
ソース

2

パスワードを配っていないからあなたを保護するかもしれない米国での第五改正のように見えますoutsidethebeltway.com/...特別のTrueCrypt言及し、この1 privacycast.com/...を

— マシュー・ロック

2

次に、誰かが既に言った、ファイルを作成し、「非表示」にしたいファイルを完全な暗号化でRARまたは7-Zipファイルに入れて、どのファイルが圧縮ファイル内にあるかをチェックできないようにします。数字、アルファベット、記号を含む強力なパスワードを使用してください。次に、Secure Deleteなどのツール（または同様のツール）で元のファイルを消去します。

完了、今はほとんど何もすることができません。

— MrShoy
ソース

2

最高レベルのセキュリティが必要な場合は、政府でさえ法的に対処することを強制することはできません。TrueCryptをご覧ください。TrueCryptを使用すると、実際に空のスペースをマウントされたパーティションに変えることができます。そのため、システムを検査すると、古いデータヘッダーのように見えるはずです。これは、データを削除したことがあるすべてのハードドライブに表示されます。そこに使用可能、判読可能、または回復可能なデータの証拠がないので、あなたはそのデータへのアクセスを提供する法的義務を負いません。また、多くのレベルの暗号化されたパスワードと実質的なパフォーマンスも利用します。

— BloodyIron
ソース