xmr.club
EN 中文 ES RU
← весь #OPSEC52
#OPSEC52 · неделя 08 / 52 · Безопасность устройства и данных в покое

Любой отсек бесполезен, если устройство открывается — полнодисковое шифрование

Семь недель раздельных почт, телефонов, профилей браузера и хранилищ живут все на одном куске кремния. Если кто-то выключит ваш ноутбук, унесёт его, а диск не зашифрован — вся ваша компартментализация ничего не значит: они прочитают всё в покое, включая тот самый менеджер паролей, который вы так берегли. Полнодисковое шифрование — единственный контроль, превращающий изъятое устройство из «прочти всю мою жизнь» в «здесь только случайный шум». Оно бесплатно, встроено в каждую ОС, и большинство до сих пор оставляет его наполовину выключенным.

Безопасность устройства и данных в покое beginner $0 2026-07-13

OPSEC52 / Неделя 8 — Полнодисковое шифрование

Семь недель раздельных почт, телефонов, профилей браузера и хранилищ живут все на одном куске кремния. Если кто-то выключит ваш ноутбук, унесёт его, а диск не зашифрован — вся ваша компартментализация ничего не значит: они прочитают всё в покое, включая тот самый менеджер паролей, который вы так берегли. Полнодисковое шифрование — единственный контроль, превращающий изъятое устройство из «прочти всю мою жизнь» в «здесь только случайный шум». Оно бесплатно, встроено в каждую ОС, и большинство до сих пор оставляет его наполовину выключенным.

Модель угроз: физическое изъятие на границе, при остановке или аресте, когда машина выключена или в спящем режиме; кража; мастерская или противник в отеле, снимающий образ диска; форензик-восстановление с выброшенного или проданного устройства; незашифрованные swap, гибернация и облачные бэкапы, утекающие открытым текстом даже при зашифрованном основном томе; и cold-boot / DMA-атаки против включённой и разблокированной машины.

Шифрование в покое — это пол, а не потолок

Каждый другой столп этой серии защищает данные в движении: кто видит ваш трафик, вашу личность, ваши входы. Полнодисковое шифрование (FDE) защищает данные в покое: байты на диске, когда устройство выключено. Без него противник, получивший физическое обладание, пропускает все прочие построенные вами контроли. Ему не нужен мастер-пароль вашего менеджера — он читает файл хранилища, профили браузера, историю shell, кэш кошелька Monero прямо с диска. FDE — это пол, на котором стоит остальной ваш OPSEC. Нет пола — всё сверху лишь театр.

Различие «выключено против заблокировано», решающее всё

FDE защищает только устройство, полностью выключенное (или ушедшее в гибернацию на зашифрованный диск). Именно эту деталь почти все понимают неверно:

Практическое правило: если вы можете потерять контроль над устройством — выключайте его, а не просто закрывайте крышку. Задайте короткую автоблокировку и предпочитайте «гибернацию» или полное выключение «сну» на любом пороге, где машину могут забрать.

Включите — оно уже там

Утечки, переживающие «зашифрованный диск»

FDE основного тома — это не вся работа. Открытый текст ускользает по швам:

Практика этой недели

  1. Подтвердите, что FDE действительно включено — не «поддерживается», а включено — на каждом устройстве: ноутбук, телефон, планшет.
  2. Уберите ключ восстановления из облака вендора, если он депонирован в учётку на реальное имя; храните в менеджере паролей или на бумаге в сейфе.
  3. Задайте фразу до-загрузки / входа длинной и уникальной строкой. Заблокированный, но слабо-парольный диск — это лежачий полицейский, а не стена.
  4. Шифруйте бэкапы и USB-носители — самая слабая копия задаёт ваш реальный уровень безопасности.
  5. Отработайте пограничную привычку: полное выключение, а не сон, всякий раз, когда устройство может уйти из рук.

Полнодисковое шифрование не остановит работающую разблокированную машину и не победит гаечный ключ, вынуждающий вас набрать фразу. Но оно превращает самую частую в реальном мире атаку — «они получили устройство» — из полной компрометации в пожатие плечами. Всё остальное, построенное вами в этой серии, держится лишь при включённом этом.

Куратор — Cyber Satoshi

Поделиться в X: twitter.com/intent/tweet