OPSEC52 / Неделя 8 — Полнодисковое шифрование
Семь недель раздельных почт, телефонов, профилей браузера и хранилищ живут все на одном куске кремния. Если кто-то выключит ваш ноутбук, унесёт его, а диск не зашифрован — вся ваша компартментализация ничего не значит: они прочитают всё в покое, включая тот самый менеджер паролей, который вы так берегли. Полнодисковое шифрование — единственный контроль, превращающий изъятое устройство из «прочти всю мою жизнь» в «здесь только случайный шум». Оно бесплатно, встроено в каждую ОС, и большинство до сих пор оставляет его наполовину выключенным.
Модель угроз: физическое изъятие на границе, при остановке или аресте, когда машина выключена или в спящем режиме; кража; мастерская или противник в отеле, снимающий образ диска; форензик-восстановление с выброшенного или проданного устройства; незашифрованные swap, гибернация и облачные бэкапы, утекающие открытым текстом даже при зашифрованном основном томе; и cold-boot / DMA-атаки против включённой и разблокированной машины.
Шифрование в покое — это пол, а не потолок
Каждый другой столп этой серии защищает данные в движении: кто видит ваш трафик, вашу личность, ваши входы. Полнодисковое шифрование (FDE) защищает данные в покое: байты на диске, когда устройство выключено. Без него противник, получивший физическое обладание, пропускает все прочие построенные вами контроли. Ему не нужен мастер-пароль вашего менеджера — он читает файл хранилища, профили браузера, историю shell, кэш кошелька Monero прямо с диска. FDE — это пол, на котором стоит остальной ваш OPSEC. Нет пола — всё сверху лишь театр.
Различие «выключено против заблокировано», решающее всё
FDE защищает только устройство, полностью выключенное (или ушедшее в гибернацию на зашифрованный диск). Именно эту деталь почти все понимают неверно:
- Выключено → ключа нет в памяти. Диск по-настоящему непрозрачен. Это то состояние, которое нужно на границе или всякий раз, когда устройство покидает ваш контроль.
- Заблокировано / приостановлено (сон) → ключ шифрования всё ещё в ОЗУ. Экран блокировки — это подсказка интерфейса, а не шифрование. Оснащённый противник может извлечь ключ из памяти (cold-boot, DMA через Thunderbolt/PCIe) или просто дождаться, пока вы разблокируете.
Практическое правило: если вы можете потерять контроль над устройством — выключайте его, а не просто закрывайте крышку. Задайте короткую автоблокировку и предпочитайте «гибернацию» или полное выключение «сну» на любом пороге, где машину могут забрать.
Включите — оно уже там
- Windows: BitLocker (Pro/Enterprise) или Шифрование устройства (Home). Убедитесь, что оно действительно включено и что ключ восстановления не депонируется автоматически в вашу учётную запись Microsoft, если она на реальное имя.
- macOS: FileVault. Один переключатель. Храните ключ восстановления сами, не в iCloud.
- Linux: LUKS, лучше выбранный при установке (полное шифрование корня + swap). Шифрование только
/homeоставляет логи, swap и временные файлы открытыми. - Android / iPhone: включено по умолчанию уже годы — но стойкость схлопывается до вашего экрана блокировки. 4-значный PIN перебираем; используйте длинную буквенно-цифровую фразу.
Утечки, переживающие «зашифрованный диск»
FDE основного тома — это не вся работа. Открытый текст ускользает по швам:
- Swap и гибернация — если они не внутри зашифрованного тома, секреты, выгруженные из ОЗУ, ложатся на диск открытым текстом. Шифруйте swap; шифруйте файл гибернации.
- Облачные бэкапы — зашифрованный ноутбук, автосинхронизирующийся в незашифрованный (или читаемый провайдером) бэкап, просто перенёс открытый текст в другое место. Проверьте, что бэкапится.
- Внешние диски и USB — зашифрованный ноутбук плюс незашифрованный бэкап-диск равно незашифрованному бэкап-диску. Шифруйте и съёмные носители (кроссплатформенно — VeraCrypt).
- Сама парольная фраза — FDE превращает всё устройство в единый секрет. Слабый пароль входа/загрузки его отменяет. Она должна быть длинной, уникальной и никогда не переиспользованной (см. Неделю 7).
Практика этой недели
- Подтвердите, что FDE действительно включено — не «поддерживается», а включено — на каждом устройстве: ноутбук, телефон, планшет.
- Уберите ключ восстановления из облака вендора, если он депонирован в учётку на реальное имя; храните в менеджере паролей или на бумаге в сейфе.
- Задайте фразу до-загрузки / входа длинной и уникальной строкой. Заблокированный, но слабо-парольный диск — это лежачий полицейский, а не стена.
- Шифруйте бэкапы и USB-носители — самая слабая копия задаёт ваш реальный уровень безопасности.
- Отработайте пограничную привычку: полное выключение, а не сон, всякий раз, когда устройство может уйти из рук.
Полнодисковое шифрование не остановит работающую разблокированную машину и не победит гаечный ключ, вынуждающий вас набрать фразу. Но оно превращает самую частую в реальном мире атаку — «они получили устройство» — из полной компрометации в пожатие плечами. Всё остальное, построенное вами в этой серии, держится лишь при включённом этом.
Куратор — Cyber Satoshi