Если диск — будь то память смартфона/планшета или жесткий диск компьютера — не зашифрован, то злоумышленник может легко получить к нему доступ даже в том случае, если устройство защищено паролем. Можно просто взять и вытащить его, а затем подключить к другой системе, обойдя все пароли и считав всю информацию. Полное удаление данных (например, через интернет) тоже не помогает — во-первых, украденный гаджет могут никогда не включить после кражи, а во-вторых, есть масса решений, как восстановить уже удаленную информацию.
Шифрование является почти абсолютной защитой от того, что к данным получат доступ посторонние — технически обойти его почти невозможно, поэтому обходят чаще всего с помощью методов социальной инженерии, выманивая пароли. Или же методом "утюга и паяльника", против которого, увы и ах, защиты не существует. Но если устройство просто потеряно или украдено — данные будут в безопасности.
И вот как его включить в разных операционных системах.
Apple iOS
Пользователям этой ОС надо беспокоиться меньше других — если в смартфоне или планшете под управлением iOS 8+ настроен пасскод, все данные уже зашифрованы. Собственно, настройках пасскода — это и есть тот шаг, который надо предпринять для шифрования данных. Проще некуда!
Apple также утверждает, что в новейших смартфонах и планшетах встроен аппаратный процессор, отвечающий строго за шифрование с ключом AES 256. Это значит, что включенное в iOS шифрование минимально влияет на производительность самих устройств.
Apple OS X
В OS X 10.7 (Lion), вышедшей еще в 2011 году появилась поддержка полного шифрования диска с помощью FileVault 2. В современных ОС ее предлагает включить уже сразу на этапе установки, хотя по умолчанию эта опция пока не отмечена.
Чтобы включить шифрование в OS X, надо пройти в System Preferences —> Security & Privacy —> FileVault и включить функцию. После этого ОС предложит сохранить ключ в учетной записи iCloud или где-то на внешнем носителе. У каждого варианта есть свои плюсы и минусы. В первом случае надо дополнительно позаботиться о защите Apple ID, включив там двухфакторную авторизацию. Во втором случае есть риск, что если "флешка" или внешний диск с ключом будут потеряны или украдены, то шифрование будет скомпрометировано или диск вовсе станет недоступным даже для самого пользователя.
Шифрование диска с помощью FileVault 2 не сильно меняет то, как пользователь работает с OS X — придется лишь вводить пароль до того, как загружается ОС, вместо того, чтобы делать это после. Кроме того, надо указать, какие пользователи на машине имеют доступ к зашифрованному диску, в противном случае этот доступ будет иметь только тот аккаунт, что активировал функцию.
Что касается производительности, то никаких проблем с ней не будет в большинстве машин с процессорами Intel Core i5 и i7, где поддержка шифрования есть на аппаратном уровне. А вот в стареньких "маках" с Core 2 Duo возможны "тормоза".
Android
В отличие от iOS, шифрование в Android не включается автоматически даже после настройки паролей или пасскодов, поэтому пользователю надо приложить дополнительные усилия. К счастью, с процессом справится и ребенок.
Настройки шифрования у разных производителей находятся в разных местах, но в тоже время не так и много вариантов, чтобы не найти эти настройки. Например, в устройствах Samsung это будет Settings —> More —> Security —> Encrypt device (у других производителей наверняка примерно так же). Там устройство потребует настроить пасскод или пароль (Samsung требует строго шестизначный пароль) на разблокирование, а после этого выполняет шифрование.
Свежие версии Android (4.3+) также позволяют зашифровать содержимое SD-карты, что является хорошей идеей, особенно если там лежат фото, видео или документы, потеря которых очень неприятна. Ведь SD-карту вытащить и подключить к другому устройству в разы проще, чем "диск" смартфона или планшета!
К сожалению, в старых и маломощных смартфонах и планшетах при включении шифрования будет заметно падение производительности. Хотя если пользователь не играет в игры, вряд ли он его почувствует. Никаких проблем гарантированно не ощутят владельцы свежих high-end гаджетов с 64-разрядными чипами.
Ну и, конечно же, если пароль будет забыт, то расшифровать устройство (и SD-карту!!!) будет невозможно. Снова сделать их рабочими позволит только полный сброс/форматирование с тотальной потерей всех данных.
Linux
Сколько дистрибутивов Linux, столько и подходов к шифрованию. В некоторых, как например, в Ubuntu,полное шифрование диска можно включить прямо во время установки. Но большинство отдает этот момент на откуп пользователя, предлагая самостоятельно выбрать из целого сонма разных сторонних программ.
Windows Phone 8.1/10
Windows Phone 8.1 поддерживает шифрование, но только в корпоративных сетях с выделенным сервером, который отвечает за процесс централизовано. Обычный пользователь не может включить или выключить шифрование по своему желанию.
Windows 10 для мобильных устройств еще не вышла, а когда выйдет, там будет возможность шифрования с помощью BitLocker даже по запросу самого пользователя. Как это будет выглядеть — стоит говорить после выхода ОС.
Windows
Шифрование в Windows — самое сложное из всех, а все из-за того, что эта ОС создана для работы на очень широком спектре аппаратных платформ. В зависимости от того, насколько современен компьютер и насколько нова сама версия, меняется и подход к шифрованию. Если нет желания вникать в детали шифрования средствами самой Windows (или развита паранойя по отношению к тому, что делает Microsoft), существует огромный список сторонних программ.
Некоторые производители новых современных компьютеров под управлением Windows 8.1 и Windows 10 включают шифрование по умолчанию, особенно если это бизнес-ноутбуки или ультрабуки. Однако для такого шифрования машина должна управляться windows-аккаунтом (или аккаунтом Active Directory) и отвечать целому спектру требований:
- Поддержка Secure Boot;
- Наличие поддержки Trusted Platform Module (TPM) 2.0 на аппаратном уровне;
- Наличие поддержки Windows InstantGo, которая в свою очередь выдвигает целый ворох требований — от наличие SSD-диска до возможности работать без включенных вентиляторов у процессора и видеокарты.
Но счастливы те пользователи Windows, у которых все это есть — для них шифрование, это легкий, безболезненный и естественный процесс. Они даже могут и не знать, что их данные уже зашифрованы, когда утром вводят пароль при входе в Windows.
Плохие новости в том, что если "железо" не поддерживает всего этого, то такой метод шифрования просто недоступен. В этом случае надо обращаться к механизму BitLocker. Он доступен для пользователей Windows 10 Pro, Enterprise и Education; Windows 8.x Pro и Enterprise; Windows 7/Vista Ultimate и Enterprise. В Windows XP его нет, равно как и в Home-версиях свежих ОС.
Формально BitLocker требует наличия аппаратной поддержки TPM 1.2 и выше, но если ее нет (старая машина), требование можно обойти, проделав следующие шаги:
- Нажимаем клавишу Windows+R и набираем gpedit.msc;
- Проходим в Computer Configuration —> Administrative Templates —> Windows Components —>BitLocker Drive Encryption;
- Выбираем Operating System Drives;
- Дважды щелкаем мышью по Require additional authentication at startup;
- Выбираем "Enabled", а затем опцию "Allow BitLocker without a compatible TPM";
- Нажимаем Ок.
Саму опцию шифрования BitLocker надо искать в Control Panel, проще всего через поиск — BitLocker Drive Encryption. Там, так же как и в Apple OS X можно выбрать, где сохранять ключ — в аккаунте Microsoft или на внешних дисках (в том числе, кстати, и сетевых). Либо и вовсе ограничиться защитой паролем. Зашифровать можно или весь диск целиком, или только данные. Последняя опция окажет чуть меньшее влияние на производительность.
Впрочем, если в машине современный процессор Intel i5 или i7, то влияние на производительность от включенного шифрования будет минимальным.
Риски и неудобства шифрования
Конечно, у шифрования есть неудобства и риски. Первый и самый главный — в случае утери диска с ключом или пароля, данные окажутся потерянными навсегда. И нет, их не восстановят даже в специальных компаниях, которые специализируются на извлечении данных с разных носителей — настолько шифрование надежно защищает информацию. Поэтому неплохо бы позаботиться о резервных копиях (впрочем, о резервных копиях надо заботиться всегда).
Второй — если нет привычки вводить пароль каждый раз, когда хочется "разлочить" смартфон, то шифрование может быстро утомить. В основном это касается Android — многие производители требуют не пасскод, а полноценный пароль с минимум шестью знаками и с обязательным использованием и букв, и цифр. В случае с настольными компьютерами и ноутбуками, впрочем, это не минус — надеемся, среди читателей нет людей, у которых ноутбуки не защищены хотя бы паролем.
Третий — шифрование все же наносит удар по производительности, пусть даже и минимальный. Для 95% пользователей это не проблема (большая их часть вообще ничего не заметит), но гики на старых компьютерах, пытающиеся выжать из "железа" максимум, будут недовольны.
Перевешивают ли эти минусы один гигантский плюс — надежную и почти стопроцентную защиту информации даже в случае потери или кражи устройства — каждый должен решить для себя сам.