Введение
Платёжные квитанции в формате PDF, электронная переписка с начальством и ваши личные регистрационные данные для целого ряда веб-сервисов – вот всего лишь несколько примеров информации, которой вы не захотите делиться ни с кем. Однако если она хранится на внешнем жёстком диске, ноутбуке или USB-накопителе без надлежащей защиты, то посторонние лица могут легко получить доступ к подобной информации. Представьте себе, даже такая крупная корпорация как Sony не может в своём же собственном центре обработки и хранения данных обеспечить защиту информации своих клиентов. Если злоумышленник поставит перед собой задачу проникнуть на ваш компьютер с постоянным подключением к интернету, то добьётся своего, использовав для этого какую-либо уязвимость в системе защиты. А если ваш ноутбук украдут или он будет утерян, то материальный ущерб от его пропажи окажется, вполне возможно, наименьшей из всех возникших проблем.
Очевидно, потеря данных не означает сама по себе, что кто-то собирается воспользоваться вашей информацией в корыстных целях. Но, в худшем случае, беспринципные люди могут её применить вам во вред. Например, новый владелец вашего ноутбука может с лёгкостью получить доступ к вашим учётным записям на Facebook или eBay и устроить в них беспорядок. А утрата ноутбука с важной информацией по работе может не только привести к потере конкурентоспособности, но и к полному краху вашей компании.
Удобство побеждает опасения по поводу сохранности личных данных
Недавно проведённые исследования показали, что, хотя пользователи и беспокоятся о сохранности своих личных данных, больших усилий для обеспечения защиты информации они не прилагают. Поставщик ИТ-услуг Unisys обнаружил следующее: 72% опрошенных пользователей боятся возможности кражи личной информации, но только 37% из них используют надёжные пароли и регулярно их меняют. Другими словами, перед лицом неопределённой угрозы пользователи предпочитают рисковать, но не предпринимать попытки обеспечить защиту своему оборудованию. Несомненно, вот истинное проявление природы человека.
Простые меры безопасности, как, например, использование пароля Windows, не являются серьёзным препятствием для кражи информации. Всё, что злоумышленникам придётся сделать, – это подключить жёсткий диск к другому компьютеру, с тем, чтобы получить доступ к данным. Единственный по-настоящему надёжный способ защиты данных – применение современных решений в области шифрования в сочетании с надёжными паролями – на самом деле не требует таких уж серьёзных усилий, как думают некоторые.
Компания Microsoft, осознавая недостаточный уровень защиты в современном ИТ-обществе, предлагает своё собственное программное обеспечение для шифрования данных для версий Enterprise и Ultimate операционной системы Windows 7, которое называется BitLocker. Программа с отрытым исходным кодом TrueCrypt является надёжной и эффективной альтернативой BitLocker. Большим преимуществом данной программы является то, что пользоваться ею может каждый, и в то же время TrueCrypt предлагает больше вариантов шифрования данных, а также поддержку бoльшего количества операционных систем. TrueCrypt легко устанавливается на существующие конфигурации системы Windows, и, также как и BitLocker, эта программа обеспечивает шифрование в режиме реального времени. Вы можете прочитать наши пошаговые инструкции о том, каким образом установить программу TrueCrypt 6.1 всего за несколько щелчков мышью. Также вас может заинтересовать сравнение производительности BitLocker и TrueCrypt.
Без пароля нет доступа
Это действительно так. Более 16 миллионов скачиваний только с официального сайта программы – настолько популярна TrueCrypt. Прежде чем вы начнёте пользоваться программой, убедитесь в том, что нельзя получить доступ к зашифрованному разделу в случае, если вы забыли пароль. Применение взлома “методом подбора” абсолютно бесполезно, поскольку в программе используется 256-битный алгоритм шифрования AES.
В ходе установки программа TrueCrypt создаёт диск восстановления CD/DVD, который предназначен только для восстановления системы в случае критических ошибок, таких как повреждение загрузчика. Пароль вам всё равно потребуется. Прошедшие проверку пользователи могут в любое время отменить шифрование раздела TrueCrypt и вернуться к незащищённому варианту системы, если потребуется.
TrueCrypt 7.0a: характеристики и нововведения
Программа TrueCrypt не ограничена шифрованием папок или отдельных файлов (в отличие от программ-архиваторов, таких как WinZip), она также может шифровать целые разделы, жёсткие диски или USB-накопители. Эти операции могут выполняться в реальном времени, позволяя пользователям загружаться или работать с конфигурацией Windows с полностью зашифрованного раздела. Программа TrueCrypt будет заметна только перед загрузкой операционной системы, когда она предложит пройти аутентификацию. Шифрование в реальном времени позволяет без каких-либо препятствий и ограничений обращаться к другим незашифрованным накопителям, обеспечивая эффективную работу системы. Шифрование скрытых или неидентифицированных разделов также поддерживается.
TrueCrypt использует несколько современных алгоритмов шифрования, но на первом месте находится стандарт AES (Advanced Encryption Standard – улучшенный стандарт шифрования) с длиной ключа 256 битов (AES-256). В трёх других алгоритмах шифрования – Serpent, Twofish и Cascades – задействована такая же длина ключа. При установке на максимальный уровень защиты программа даже может шифровать данные дважды в режиме многоуровнего (вложенного) шифрования, используя попарно любые из упомянутых выше алгоритмов.
Программу TrueCrypt версии 7.0a можно скачать для операционных систем Windows, Mac OS и нескольких дистрибутивов Linux. По сравнению с версией 6.1 программы, которую мы тестировали ранее, новая версия содержит ряд исправлений ошибок и улучшений. Например, Favorite Volumes Organizer позволяет вам выбирать разделы, которые вы хотите смонтировать во время загрузки Windows. Поскольку компания Microsoft выпустила API (Application Programming Interface – интерфейс прикладного программирования) для Windows Vista и Windows 7, то программа может также шифровать файлы режима “сна” и аварийного дампа. Однако такого API нет для Windows XP и Windows Server 2003, это означает что некоторые файлы остаются по прежнему незащищёнными. Конечно, самое быстрое и простое решение – это модернизация аппаратных средств и программного обеспечения.
Шифрование AES с аппаратным ускорением
Теперь TrueCrypt версии 7.0a поддерживает аппаратное ускорение при шифровании AES, наконец, догнав по данной возможности программу BitLocker, которая с самого начала использовала эту функцию. В TrueCrypt используются инструкции AES New Insctructions (AES-NI), которые поддерживаются современными процессорами от компании Intel, начиная с 32-нм моделей на основе ядра Clarkdale, затем идут 32-нм шестиядерные процессоры на основе ядра Gulftown и, наконец, новейшая архитектура Intel Sandy Bridge. Цель новых инструкций – ускорить производительность шифрования/дешифрования в четыре, восемь, а в некоторых случаях – и в большее количество раз. Обратите внимание на то, что 45-нм четырёхъядерный Bloomfield не поддерживает стандарт AES-NI, также как и Lynnfield.
Во время установки программа автоматически определит, оснащён ли ваш компьютер процессором, который поддерживает инструкции AES-NI, а затем включит аппаратное ускорение по умолчанию.
Мы решили дать оценку функции аппаратного ускорения AES программы TrueCrypt, при этом особое внимание уделили поиску ответа на вопрос, действительно ли шифрование AES с использованием инструкций центрального процессора выполняется намного быстрее, чем при применении испытанного стандартного метода.
Мы уже определили, что шифрование TrueCrypt влияет на производительность системы, в статье с обзором версии 6.1 программы. Но если вы используете только один алгоритм шифрования, то работу программы вряд ли заметите в повседневных условиях. Так как благодаря аппаратному обеспечению скорость шифрования TrueCrypt сильно возрастает, то теоретически, снижение производительности системы не будет заметно, даже при использовании двойного шифрования. Но насколько ускорение на практике соответствует теории?
Аппаратные средства и оценочные тесты
Для тестов мы использовали систему, оснащённую материнской платой Gigabyte H55M-USB3 и процессором Intel Core i5-661, что позволило нам оценить производительность AES программы TrueCrypt версии 7.0a. Процессор снабжён набором инструкций AES-NI, что обеспечивает повышение производительности при использовании шифрования. Для того чтобы определить, какой прирост производительности вы можете получить, мы использовали три различные конфигурации систем: систему без шифрования, систему шифрования AES без ускорения и систему шифрования AES с аппаратным ускорением AES-NI. Чтобы убедиться, что аппаратное ускорение в TrueCrypt активировано, зайдите в меню Performance Options (Опции производительности) и проверьте, отмечен ли галочкой пункт Accelerate AES encryption/decryption by using the AES instructions of the processor (if available) (Ускорить шифрование/расшифровку AES, используя инструкции AES процессора (если возможно)).
Также мы использовали в качестве системного диска 2,5-дюймовый OCZ Vertex SSD, чтобы производительность подсистемы хранения не была ограничивающим фактором, и зашифровали накопитель целиком. Сначала мы установили всё программное обеспечение на жёсткий диск, после чего клонировали его на SSD, чтобы гарантировать запуск каждого теста в равных условиях. Для тестов мы использовали Iometer 2008.08.18, PCMark Vantage и SYSmark 2007.
Тестовая конфигурация
Аппаратное обеспечение системы | |
Материнская плата | Gigabyte H55MA-USB3 (LGA 1156) (Rev. 1.0) Чипсет: H55 Express, BIOS: F8 (07/06/2010) |
Процессор | Intel Core i5-661 (Clarkdale), 32 нм, 3.33 ГГц, 4 x 256 кбайт кэша L2 и 8 Мбайт кэша L3, 95 Вт TDP |
Оперативная память | 2 x 2 Гбайт DDR3-1600 (OCZ OCZ3G2000LV4GK), DDR3-1333, 8-8-8-24 1T |
Жёсткий диск | OCZ Vertex 2, 120 Гбайт (OCZSSD2-2VTXE120G), SandForce SF-1200, SATA 3 Гбит/с |
Видеокарта | Intel HD Graphics |
Блок питания | PC Power & Cooling, Silencer 750EPS12V 750 Вт |
ОС и драйверы | |
Операционная система | Windows 7 Ultimate x64, обновление от 26.07.2010 г. |
Драйверы чипсета Intel | Chipset Installation Utility версия 9.1.1.1025 |
Графический драйвер | Intel версия 15.17.7.64.2141 |
Тесты и настройки | |
Синтетические тесты | SYSmark Preview 2007 1.05 PCMark Vantage 1.0.2.0 |
Производительность ввода/вывода | Iometer 2008.08.18 Fileserver-Benchmark Webserver-Benchmark Database-Benchmark Workstation-Benchmark Streaming Reads Streaming Writes 4k Random Reads 4k Random Writes |
PCMark Vantage
Тест PCMark Vantage показал последовательные результаты: производительность незашифрованного раздела оказалась самой высокой, что и следовало ожидать. Единственным исключением стал пакет Memories, в котором система с аппаратным ускорением оказалась в лидерах. Стандартный метод шифровки AES, в котором не было аппаратного ускорения, оказался на последнем месте. При поддержке проходящим тест процессором Intel инструкций AES-NI наблюдалось уменьшение падения производительности, по крайней мере, в два раза.
SYSmark
В SYSmark 2007 все системные конфигурации продемонстрировали практически одинаковую производительность, кроме теста Video Creation, который несколько выделяется из общих результатов. Но эта разница вряд ли будет оказывать значительное влияние на повседневную работу компьютера.
Iometer
Самые интересные результаты мы получили в тестах Iometer.
Если оценивать само шифрование, набор инструкций AES-NI обеспечивает постоянный прирост производительности. И даже если прирост производительности незначителен, нагрузка на ЦП оказывается в несколько раз ниже, чем у системы с традиционным шифрованием. Однако системы с шифрованием работают в значительной степени медленнее, чем без шифрования, как с поддержкой аппаратного ускорения, так и без него.
Заключение: поддержка AES-NI сохраняет системные ресурсы
Если оценивать работу программы TrueCrypt в целом, результаты тестов не играют значимой роли. Программа с открытым исходным кодом является хорошо продуманным и весьма рекомендуемым решением для защиты системы; она позволяет вам безо всяких усилий шифровать разделы и жёсткие диски, ограждая файлы и папки на вашем компьютере от несанкционированного доступа. Независимо от того, будете ли вы запускать TrueCrypt под операционными системами Windows, Mac OS или Linux, файлы, выбранные пользователем, будут зашифрованы с применением сильных алгоритмов, что означает постоянную защиту от несанкционированного доступа злоумышленниками.
Универсальность программы, заметная даже в предыдущей версии TrueCrypt, версии 6.1, позволила ей выделиться среди таких утилит, как BitLocker. Единственное, чего не было у TrueCrypt 6.1, – поддержки инструкций AES-NI. И данный вопрос был решён в TrueCrypt 7.0a, что позволило нам остановить свой выбор среди утилит для шифрования именно на ней. Мы даже распространяем свои рекомендации и на компьютеры без поддержки аппаратного ускорения AES. По сравнению с незашифрованной системой, шифровка TrueCrypt действительно влияет на производительность системы (что и следовало ожидать). Но шифрование ни в коей мере не мешает пользователю, а на обычном ПК оно не оказывает заметное влияние на производительность.
Тем не менее, не следует устанавливать программу TrueCrypt с настройками по умолчанию, если на вашем компьютере установлена система с интенсивной нагрузкой ввода/вывода (например, на сервер баз данных). Даже если TrueCrypt обеспечит шифрование в реальном времени, она не сможет достичь того же уровня производительности ввода/вывода и пропускной способности, как у системы без шифрования.
Поддержка инструкций AES-NI настоятельно рекомендуется, в случае если ваш компьютер оснащён процессором Intel, поддерживающим такую функцию. Сюда относятся 32-нм процессоры Clarkdale, шестиядерные процессоры Gulftown и чипы Core i5/i7 второго поколения на основе архитектуры Intel Sandy Bridge (к сожалению, процессоры Core i3 на основе архитектуры Sandy Bridge не поддерживают стандарт AES-NI).
Для простого шифрования прирост производительности вследствие поддержки AES-NI не такой и большой, по сравнению со стандартным шифрованием без ускорения AES. Однако нагрузка на процессор в случае поддержки данной функции значительно снижается, что позволяет компьютеру сохранить бoльшие резервы мощности и обеспечивает ещё более высокий уровень защиты, если потребуется. Системы с поддержкой стандарта AES-NI дают бoльшую гибкость во время настроек шифрования, а также могут справиться с двойным шифрованием без какого-либо заметного ущерба производительности.