что значит зашифровать сд карту
Вот почему стоит включить шифрование на телефоне
Шифрование карты памяти на смартфоне Android появилось с 5 версии этой операционной системы. Функция обеспечивает безопасность данных пользователя. Если злоумышленник достанет карточку из телефона, он не сможет прочитать файлы с неё на другом устройстве. Стоит ли включать шифрование карты на вашем телефоне — в этой статье.
Как включить шифрование SD
Откройте Настройки системы, раздел Биометрия и безопасность.
Выберите пункт Шифрование SD.
Процедура может занимать до часа и более, в зависимости от объема файлов на карточке и производительности телефона.
Что даёт шифрование карты на телефоне
Все файлы перед записью на карточку шифруются. Открыть их на другом компьютере или телефоне нельзя. Расшифровка возможна только на том же смартфоне, на котором они были зашифрованы.
Включение функции позволит обеспечить безопасность данных пользователя. Поскольку карточка съемная, то это критично.
Насколько шифрование SD замедляет телефон
В зависимости от модели процессора и скорости записи/чтения карточки, скорость работа телефона может замедляться при включении функции. Для оценки можно воспользоваться приложением A1 SD Bench. В условиях моего смартфона скорость чтения была около 56 Мб/с.
После включения снизилась до 52 Мб/с, что некритично.
На старых моделях телефонов замедление может проявляться сильнее.
Как расшифровать SD
Зайдите в Настройки, Биометрия и безопасность, Расшифровать карту.
Выполнить действие можно только на устройстве, на котором карточка была зашифрована.
Что это значит, когда ваша SD-карта зашифрована?
Шифрование данных на вашей карте microSD добавляет дополнительный уровень безопасности. Он блокирует информацию на вашей SD-карте на вашем устройстве в ее текущем состоянии. … Данные на вашей SD-карте нельзя будет прочитать или расшифровать после сброса или на другом устройстве.
Что происходит, когда вы шифруете свою SD-карту?
Шифрование SD-карты означает, что ваши данные на SD-карте защищены, и никто не сможет получить доступ к вашему файлу, хранящемуся на карте, до тех пор, пока вы не укажете правильный пароль для расшифровки SD-карты. … На телефоне выберите «Настройки»> «Блокировка экрана и безопасность»> «Нажмите« Зашифровать SD-карту ».
Как исправить зашифрованную SD-карту?
Как расшифровать зашифрованную SD-карту
Как отключить шифрование SD-карты?
Устройство можно расшифровать, только выполнив сброс настроек до заводских.
Можно ли расшифровать SD-карту?
Зайдите в Настройки → Безопасность → Шифрование, там есть опции «Расшифровать устройство» и «Расшифровать SD-карту». После того, как вы выберете «Расшифровать SD-карту», просто снимите все флажки на следующем экране (см. Снимок экрана ниже).
Как я могу узнать, зашифрована ли моя SD-карта?
ОС Android версии 9.0 (пирог)
Для устройств Galaxy, работающих на ОС Android версии 8.0 (Oreo) и ниже, перейдите в «Настройки»> «Экран блокировки и безопасность», чтобы зашифровать и расшифровать SD-карту. 5 Начнется шифрование. Вы можете продолжать использовать свое устройство в обычном режиме. Процесс шифрования отобразится на панели уведомлений.
Как узнать, зашифрована ли моя SD-карта?
Как проверить, зашифрована ли моя Android SD?
Можно ли расшифровать зашифрованные файлы?
Чтобы расшифровать файл или папку: … Щелкните правой кнопкой мыши файл или папку, которые нужно расшифровать, и выберите «Свойства». На вкладке «Общие» щелкните «Дополнительно». Снимите флажок «Зашифровать содержимое для защиты данных» и нажмите «ОК».
Как я узнаю, что мой телефон зашифрован?
Пользователи Android могут проверить статус шифрования устройства, открыв приложение «Настройки» и выбрав «Безопасность» из опций. Должен быть раздел под названием «Шифрование», в котором будет указано состояние шифрования вашего устройства. Если он зашифрован, он будет читаться как таковой.
Сброс заводских настроек удаляет шифрование?
2 ответа. Шифрование не приводит к полному удалению файлов, но процесс восстановления заводских настроек избавляется от ключа шифрования. В результате устройство не может расшифровать файлы и, следовательно, чрезвычайно затрудняет восстановление данных.
Следует ли мне зашифровать или расшифровать мою SD-карту?
Привет! После того, как карта Micro SD зашифрована, ее необходимо расшифровать на том же устройстве, прежде чем использовать ее с другим устройством. В противном случае сохраненные данные на карте будут потеряны. … С учетом сказанного, если вы правильно расшифруете с помощью того же устройства, данные не будут потеряны.
Как мне расшифровать мою SD-карту?
Как расшифровать SD-карту паролем на Android
Что это значит, если ваш телефон зашифрован?
Шифрование — это процесс кодирования всех пользовательских данных на устройстве Android с использованием симметричных ключей шифрования. … Шифрование гарантирует, что даже если неавторизованная сторона попытается получить доступ к данным, они не смогут их прочитать.
Как восстановить фотографии с зашифрованной SD-карты?
Действия по восстановлению данных с зашифрованной SD-карты после восстановления заводских настроек Android
Как я могу расшифровать свой телефон без потери данных?
Нашел способ расшифровать без потери всего
Как использовать SD-карту в качестве внутреннего хранилища?
Как использовать SD-карту в качестве внутреннего хранилища на Android?
Android: как зашифровать данные, звонки и сообщения?
Мы живем во времена, когда злоумышленник может взломать наши устройства в любой момент, поэтому стоит подумать о безопасности смартфона, а одним из самых эффективных способов сделать это является шифрование. В данной статье Вы узнаете, как зашифровать данные на android.
Смартфон на Android и шифрование всех данных
На смартфоне хранится разнообразная ценная информация — контакты, электронная почта, фотографии, видеоклипы, файлы и пароли. Чтобы защитить их от попадания в чужие руки, вы можете зашифровать все или только некоторые из них.
Многие производимые в настоящее время смартфоны с операционной системой Android имеют встроенные механизмы шифрования. Однако, если у вас смартфон с операционной системой Android 3.0 или выше, то вам необходимо активировать функцию шифрования вручную. Для этого откройте «Настройки» и войдите в раздел «Безопасность». Там вы найдете опцию «Шифровать телефон». Если вы не увидите ее, то можно предположить, что устройство было зашифровано производителем по умолчанию. Если предлагается ручное шифрование, убедитесь, что заряд аккумулятора устройства составляет не менее 80%. Будьте терпеливы — шифрование телефона займет много времени — даже несколько часов.
Прежде чем начать шифрование данных, на всякий случай создайте резервную копию, но не храните ее во внутренней памяти устройства. Для переноса ее на ноутбук или компьютер можно использовать программное обеспечение от производителя.
Если вы передумаете — например, обнаружите, что шифрование оказывает влияние на производительность смартфона, — то можете отказаться от него, сбросив до заводских настроек. Но помните, что при этом удаляются все данные с устройства, поэтому не забудьте сделать резервную копию.
Шифрование выбранных файлов
Если требуется шифрование не всего телефона, а только отдельных файлов, рекомендуется использовать File Protector Full Version. Это бесплатный файловый менеджер, который предоставляет доступ ко всем данным, хранящимся в памяти телефона. Рядом с каждым файлом появится «кружок» — выберите его, а затем коснитесь красного значка в виде «замка» и нажмите на опцию «Шифровать». Чтобы получить доступ к зашифрованному содержимому, необходимо нажать на зеленый значок замка, ввести пароль и выбрать функцию расшифровки (Decrypt). Можно шифровать/дешифровать один или несколько файлов одновременно.
Шифрование карт памяти Micro-SD
Пользователи смартфонов могут воспользоваться удобной функцией, которая позволяет шифровать свои карты SD, когда они вставлены в устройство с помощью опции «Шифровать телефон». Однако, обратите внимание, что для использования этой функции необходимо иметь пароль для телефона. Шифрование не сработает, если вы используете для этого PIN-код. После шифрования SD-карты вы сможете получить к ней доступ, введя пароль, который установили в процессе шифрования. Если SD-карта будет украдена и вор попытается получить доступ к ее содержимому с помощью устройства чтения карт памяти, он не сможет этого сделать.
Зашифрованная связь
Чтобы ваши телефонные звонки были действительно конфиденциальными, связь также должна быть зашифрована.
Telegram — одно из самых ценных приложений для шифрования разговоров и текстовых сообщений. Одним из его преимуществ является то, что на его серверах ничего не собирается — но только после выбора опции «Безопасный чат». Программа автоматически удаляет журнал вызовов как на устройстве отправителя, так и у получателя вызова. Вы можете установить время, когда это произойдет или полагаться на настройки по умолчанию. Преимущество заключается в том, что доступ к приложению Telegram может быть защищен двумя способами — четырехзначным PIN-кодом и паролем. Исходный код приложения является общедоступным, поэтому любой, кто разбирается в механизмах шифрования, может проверить его качество. Недостатком является то, что приложение требует доступ к контактам, мультимедиа и управления вызовами.
Зашифрованная электронная почта
Теоретически, любой желающий может перехватить сообщения третьих лиц. Самая большая проблема заключается в том, что в большинстве случаев сообщения отправляются в виде простого текстового файла. Но, не в случае с Proton Mail. Сообщения, отправляемые через этот сервис, зашифрованы и защищены, что предотвращает доступ к ним посторонних лиц. Для этого необходимо создать учетную запись пользователя, а также установить пароль к ней. Вы можете выбрать между надежным шифрованием (2048 бит) и экстремальным шифрованием (4096 бит).
Чтобы отправить зашифрованное сообщение, нажмите на символ «карандаша» в правом верхнем углу. Есть два варианта: отправить его другому пользователю приложения — это не требует никаких дополнительных действий — или отправить человеку, который не использует Proton. В последнем случае необходимо задать пароль, а получателю ввести его, чтобы прочитать сообщение.
Зашифрованные голосовые вызовы
Голосовые и видео звонки можно зашифровать с помощью App Wire. Однако это не мобильная связь, а VoIP. Программа предлагает сквозное шифрование для звонков, а также голоса, текста и графики. Шифрование основано на открытом исходном коде. Преимущество заключается в том, что с одной учетной записью вы можете использовать его одновременно на нескольких устройствах. Использование очень простое: вы устанавливаете его на смартфон, создаете учетную запись, используя свой номер телефона или почту. В списке контактов выберите пользователя, с которым вы хотите связаться. В открывшемся окне можно выбрать голосовой вызов, видеозвонок или текстовое сообщение.
Шифрование файлов в облаке
Если вы хотите защитить свои файлы на таких сервисах, как Dropbox, Google Drive или One-Drive, то можете использовать Boxcryptor. Оно заменяет приложение Dropbox на смартфоне. Чтобы защитить файлы в «облаке», установите Boxcryptor и создайте новую учетную запись. Нажмите на маленький знак «+» и появится окно выбора облачного сервиса. Вам необходимо войти в систему, чтобы приложение могло получить доступ к вашим файлам. Чтобы создать новую зашифрованную папку, нажмите на значок плюс в правом нижнем углу и выберите опцию для создания папки. Дайте ему имя и подтвердите выбор нажатием кнопки «OK». Затем выберите папку и нажмите «+» еще раз. Теперь вы можете добавлять туда файлы.
Чтобы ограничить доступ к приложению, откройте его меню. На вкладке «Account» перейдите к настройкам, где вы можете найти опцию «Save password». Нажмите на него и с этого момента вам будет необходимо вводить пароль, когда вы ее будете открывать. На вкладке «General» можно изменить его на PIN-код.
Защита от вирусов
Мобильных пользователей всегда ждет множество угроз — приложения и сайты, которые могут повредить систему, игры и программное обеспечение, требующие подозрительно большого количества разрешений и многое другое. Вероятность заражения вирусом очень велика. Даже если у вас установлена антивирусная программа, вам нужно быть осторожным в том, что вы делаете. Поэтому не нажимайте на подозрительные ссылки, не загружайте и не открывайте неизвестные файлы и не позволяйте приложениям получать доступ ко всем необходимым им ресурсам.
Просмотр веб-страниц анонимно
Когда вы просматриваете веб-страницы, то оставляете много следов — они хранятся в cookie-файлах. Чем больше вы пользуетесь интернетом, тем больше информации вы оставляете. Все это хранится и анализируется для персонализации рекламы. Если вы хотите избежать этого, используйте приватный режим просмотра (инкогнито) — все основные браузеры на ПК и их версии на Android имеют его. Обычно функцию перехода на анонимный просмотр можно найти в меню данного браузера.
Однако другой «угрозой» может быть ваш IP-адрес. Он отображается при просмотре веб-страниц, поэтому связанные с ними серверы знают, куда отправлять данные. Здесь нужно использовать браузер Tor, который хорошо справляется с шифрованием. Tor посылает пакеты через различные случайно выбранные узлы, прежде чем передать их на сайт, так никто не сможет узнать ваш настоящий IP-адрес.
Вы также можете использовать бесплатное прокси приложение Orbot — после установки вам нужно нажать кнопку «Start», а затем подождать, пока фон станет зеленым. Когда это произойдет, нажмите на логотип «Orfox» — вы получите уведомление о том, что можете безопасно просматривать веб-страницы.
Безопасные пароли
Идеальный пароль состоит из произвольной комбинации букв, цифр и символов. Даже суперкомпьютеру понадобятся годы, чтобы найти правильное сочетание всех возможных комбинаций. Тем не менее, эксперты рекомендуют никогда не применять один и тот же пароль для разных сервисов — если вы попадёте в руки хакера, он получит доступ к каждому из них. Но как запомнить десятки разных, сложных паролей к разным сайтам? Здесь поможет Password Safe and Repository — это приложение, которое хранит пароли, зашифровывает их ключом AES-256, также помогает при создании паролей и оценивает, не слишком ли он короткий.
Для создания базы паролей, скачайте и откройте приложение, задайте имя для базы данных, а затем выберите опцию «Пароль». Введите и подтвердите его. Откройте созданную базу данных. Нажав на иконку «+», сгенерируйте и создайте новый пароль, который можно использовать, где захотите. Интересно, что для каждой созданной базы паролей можно задать время действия: в определенный день из нее будут удалены все сохраненные пароли.
На видео: ТОП Приложения для Android: Анонимность и Безопасность
Криптостойкие андроиды. Как устроено шифрование данных на карте памяти в Android
Содержание статьи
WARNING
У каждого гаджета с ОС Android есть свои существенные отличия — как в прошивке, так и на аппаратном уровне. Даже разные версии одной модели могут сильно отличаться. Карты памяти тоже имеют свои особенности. Поэтому детальные руководства по использованию шифрования на одном устройстве часто не работают без модификаций на другом. Универсальных методов здесь не существует. Есть лишь общие подходы, которые и описаны в данной статье.
Особая роль карты памяти
Изначально разработчики Android предполагали использование карты памяти только как отдельного хранилища пользовательских файлов. Это был просто склад мультимедиа без каких-либо требований к его защите и надежности. Карточки microSD(HC) с FAT32 вполне справлялись с ролью простейшей хранилки, освобождая внутреннюю память от фоток, видеороликов и музыки.
Возможность переносить на карту памяти не только мультимедийные файлы, но и приложения впервые появилась в Android 2.2 Froyo. Реализована она была с помощью концепции зашифрованных контейнеров на каждое приложение, но защищало это исключительно от попадания не в те руки карты — но не смартфона.
К тому же это была полумера: многие программы переносились частично, оставляя часть данных во внутренней памяти, а некоторые (например, системные или содержащие виджеты) не переносились на карточку вовсе. Сама возможность переноса приложений зависела от их типа (предустановленное или стороннее) и внутренней структуры. У одних каталог с пользовательскими данными сразу располагался отдельно, а у других — в подкаталоге самой программы.
Интерфейс переноса данных на карту памяти
Xakep #216. Копаем BitLocker
Если приложения интенсивно использовали операции чтения/записи, то надежность и скорость работы карточек уже не могла удовлетворить разработчиков. Они намеренно делали так, что перенос программ штатными средствами становился невозможен. За счет такого ухищрения их творение гарантированно получало прописку во внутренней памяти с большим ресурсом перезаписи и высоким быстродействием.
С четвертой версии в Android появилась возможность выбрать, где разместить приложение. Можно было назначить карту памяти как диск для установки программ по умолчанию, но не все прошивки корректно поддерживали эту функцию. Как она работает в конкретном устройстве — удавалось выяснить лишь опытным путем.
В пятом Андроиде Google снова решила вернуть изначальную концепцию и сделала все, чтобы максимально затруднить перенос приложений на карту памяти. Крупные производители уловили сигнал и добавили в прошивки собственные функции мониторинга, определяющие попытки пользователя принудительно переместить приложения на карточку с использованием рута. Более-менее работал только вариант с созданием жестких или символьных ссылок. При этом приложение определялось по стандартному адресу во встроенной памяти, а фактически находилось на карточке. Однако путаницу вносили файловые менеджеры, многие из которых некорректно обрабатывали ссылки. Они показывали неверный объем свободного места, поскольку считали, что приложение якобы занимает место и во встроенной памяти, и на карточке одновременно.
Адаптируй это!
В Android Marshmallow появился компромисс под названием «Адаптируемое хранилище» — Adoptable Storage. Это попытка Google сделать так, чтобы и овцы остались целы, и солдаты удовлетворены.
Функция Adoptable Storage позволяет объединить пользовательский раздел во встроенной памяти с разделом на карточке в один логический том. Фактически она создает на карточке раздел ext4 или F2FS и добавляет его к пользовательскому разделу внутренней памяти. Это чисто логическая операция объединения, отдаленно напоминающая создание составного тома из нескольких физических дисков в Windows.
Меню включения Adoptable Storage
В процессе объединения с внутренней памятью карточка переформатируется. По умолчанию весь ее объем будет использован в объединенном томе. В таком случае файлы на карточке уже нельзя будет прочитать на другом устройстве — они будут зашифрованы уникальным ключом устройства, который хранится внутри доверенной среды исполнения.
В качестве альтернативы можно зарезервировать на карточке место под второй раздел с FAT32. Хранимые на нем файлы будут видны на всех устройствах, как прежде.
Способ разделения карточки задается либо через меню Adoptable Storage, либо через отладочный мост для Android (Android Debug Bridge — ADB). Последний вариант используется в тех случаях, когда производитель скрыл Adoptable Storage из меню, но не удалил эту функцию из прошивки. Например, она скрыта в Samsung Galaxy S7 и топовых смартфонах LG. В последнее время вообще появилась тенденция убирать Adoptable Storage из флагманских устройств. Она считается костылями для бюджетных смартфонов и планшетов, которые не комплектуются достаточным объемом встроенной Flash-памяти.
Впрочем, не маркетологам решать, как нам использовать свои устройства. Через ADB на компьютере с Windows функция Adoptable Storage включается следующим образом.
где x:y — номер карты памяти.
где nn — остаток объема в процентах для тома FAT32.
Например, команда sm partition disk:179:32 mixed 20 добавит к встроенной памяти 80% объема карточки и оставит на ней том FAT32 в 1/5 ее объема.
На некоторых смартфонах этот метод в варианте «как есть» уже не работает и требует дополнительных ухищрений. Производители делают все, чтобы искусственно разделить свою продукцию по рыночным нишам. Топовые модели выпускаются с разным объемом встроенной памяти, и желающих переплачивать за него находится все меньше.
Некоторые смартфоны не имеют слота для карты памяти (например, серия Nexus), но поддерживают подключение USB-Flash-носителей в режиме OTG. В таком случае флешку также можно использовать для расширения объема встроенной памяти. Делается это следующей командой:
По умолчанию возможность использовать USB-OTG для создания адаптированного хранилища отключена, поскольку его неожиданное извлечение может привести к потере данных. Вероятность внезапного отключения карты памяти гораздо ниже из-за ее физического размещения внутри устройства.
Сама процедура шифрования при создании адаптированного хранилища выполняется с помощью dm-crypt — того же модуля ядра Linux, которым производится полнодисковое шифрование встроенной памяти смартфона (см. предыдущую статью «Криптостойкие андроиды. Как работает полнодисковое и пофайловое шифрование в Android»). Используется алгоритм AES в режиме сцепления блоков шифртекста (CBC). Для каждого сектора генерируется отдельный вектор инициализации с солью (ESSIV). Длина свертки хеш-функции SHA составляет 256 бит, а самого ключа — 128 бит.
Такая реализация, хотя и уступает в надежности AES-XTS-256, работает гораздо быстрее и считается достаточно надежной для пользовательских устройств. Любопытный сосед вряд ли вскроет зашифрованное адаптированное хранилище за разумное время, а вот спецслужбы давно научились использовать недостатки схемы CBC. К тому же реально не все 128 бит ключа оказываются совершенно случайными. Невольное или намеренное ослабление встроенного генератора псевдослучайных чисел — самая часто встречающаяся проблема криптографии. Она затрагивает не столько гаджеты с Android, сколько все потребительские устройства в целом. Поэтому самый надежный способ обеспечения приватности — вообще не хранить конфиденциальные данные на смартфоне.
Если после объединения памяти с помощью Adoptable Storage выполнить сброс до заводских настроек, то данные на карточке также пропадут. Поэтому предварительно стоит сделать их бэкап, а лучше — сразу назначить облачную синхронизацию.
Альтернативное шифрование данных на карте памяти
Теперь, когда мы разобрались с особенностями хранения файлов на карте памяти в разных версиях Android, перейдем непосредственно к их шифрованию. Если у тебя девайс с шестым Андроидом и новее, то с большой вероятностью в нем так или иначе можно активировать функцию Adoptable Storage. Тогда все данные на карточке будут зашифрованы, как и во встроенной памяти. Открытыми останутся лишь файлы на дополнительном разделе FAT32, если ты захотел его создать при переформатировании карточки.
В более ранних выпусках Android все гораздо сложнее, поскольку до версии 5.0 криптографическая защита не затрагивала карты памяти вообще (за исключением данных перенесенных приложений, разумеется). «Обычные» файлы на карточке оставались открытыми. Чтобы закрыть их от посторонних глаз, понадобятся сторонние утилиты (которые часто оказываются лишь графической оболочкой для встроенных средств). При всем разнообразии существующих способов принципиально разных получается четыре:
Первый вариант хорошо знаком всем, кто пользуется TrueCrypt или одним из его форков на компьютере. Для Android есть приложения с поддержкой контейнеров TrueCrypt, но ограничения у них разные.
Второй вариант позволяет организовать «прозрачное шифрование», то есть хранить все данные зашифрованными и расшифровывать их при обращении из любого приложения. Для этого все данные из выбранного каталога представляются как содержимое виртуальной файловой системы с поддержкой шифрования на лету. Обычно используется EncFS, подробнее о которой мы поговорим ниже.
Третий вариант — встроенный dm-crypt. Использовать его можно, к примеру, через LUKS Manager. Приложению требуется рут и установленный BusyBox. Интерфейс у него — на любителя.
LUKS Manager создает на карточке криптоконтейнер в виде файла. Этот контейнер можно подключить к произвольному каталогу и работать с ним, как с обычным. Плюс в том, что у этого решения есть кросс-платформенная поддержка. Работать с контейнером можно не только на гаджете с Android, но и на десктопе: в Linux — через cryptsetup, а в Windows — через программу FreeOTFE или ее форк LibreCrypt. Минус — неудобство использования совместно с облачными сервисами. Каждый раз в облаке приходится повторно сохранять весь контейнер, даже если изменился один байт.
Четвертый вариант в целом малоинтересен, поскольку сильно ограничивает сценарии использования зашифрованных файлов. Их можно будет открыть только каким-то специализированным приложением и уповать на то, что его разработчик преуспел в изучении криптографии. К сожалению, большинство таких приложений не выдерживает никакой критики. Многие из них вообще не имеют никакого отношения к криптографии, поскольку просто маскируют файлы вместо того, чтобы шифровать их. При этом в описании могут упоминаться стойкие алгоритмы (AES, 3DES. ) и приводиться цитаты из «Прикладной криптографии» Шнайера. В лучшем случае у таких программ будет очень плохая реализация шифрования, а в худшем его не будет вовсе.
Рассмотрим для примера Private Photo Vault. Приложение для сокрытия приватных фоток позволяет ограничивать к ним доступ только с использованием четырехзначных пинов.
«Сейф» Photo Vault с кодовым замком
Можно поступить еще проще и банально загуглить хранимый в настройках хеш. Таких таблиц в интернете полно, и многие из них проиндексированы поисковиками — см. статью «Большой парольный коллайдер» в #194 номере. Например, по запросу C4B5C86BD577DA3D93FEA7C89CBA61C78B48E589 ты увидишь десятки ссылок с исходным значением 0123 — это и будет пин-код в Private Photo Vault.
Пин-код Private Photo Vault вскрывается за секунды
Отсутствие шифрования лучше иллюзии криптозащиты. Подобных программ очень много, и доверять им вслепую нет никаких оснований. Внешний аудит они не проходили, поэтому фактически у нас остаются три перечисленных выше варианта: контейнер (TrueCrypt/VeraCrypt), EncFS и dm-crypt.
Криптоконтейнеры
Бесплатный менеджер криптоконтейнеров TrueCrypt подвергался проверке независимых специалистов много раз. Последний аудит не выявил в нем программных закладок — лишь пару уязвимостей: реализация AES оказалась восприимчива к атаке по времени за счет обращений к кешу, а функция CryptAcquireContext (используемая в вызовах CryptoAPI для получения дескриптора определенного ключевого контейнера) возвращает необрабатываемое ошибочное значение в некоторых нестандартных ситуациях. Обе уязвимости представляют скорее академический, нежели практический интерес. Однако проект заброшен, поэтому есть смысл посмотреть на другие форки, основанные на коде TrueCrypt v.7.1a, в частности VeraCrypt.
Официального клиента под Android для VeraCrypt нет и не планируется, однако его авторы рекомендуют использовать приложение EDS (Encrypted Data Store). Это российская разработка, существующая в полнофункциональном и облегченном варианте. Полная версия EDS стоит 329 рублей. Она поддерживает криптоконтейнеры формата TrueCrypt, VeraCrypt, CyberSafe, а также LUKS и EncFS. Умеет работать с локальными, сетевыми и облачными хранилищами, обеспечивая другим приложениям прозрачное шифрование. Шифрование на лету требует поддержки ядром ОС фреймворка FUSE и прав рут. Обычная работа с криптоконтейнерами возможна на любых прошивках.
EDS поддерживает пять форматов криптоконтейнеров
Версия EDS Lite распространяется бесплатно и имеет функциональные ограничения. Например, она может работать исключительно с контейнерами, содержащими внутри том с файловой системой FAT, зашифрованной по алгоритму AES c длиной ключа 256 бит и с использованием хеш-функции SHA-512. Другие варианты ею не поддерживаются. Поэтому стоит ориентироваться на платную версию.
Криптоконтейнер — самый надежный и универсальный способ. Его можно хранить в любой файловой системе (хоть FAT32) и использовать на любом устройстве. Все данные, которые ты зашифровал на десктопе, станут доступными на смартфоне, и наоборот.
EncFS
В 2003 году Валиент Гоф (Valient Gough — инженер-программист из Сиэтла, писавший софт для NASA, а позже работавший на Google и Amazon) выпустил первый релиз свободной файловой системы со встроенным механизмом прозрачного шифрования — EncFS. Она взаимодействует с ядром ОС благодаря слою обратного вызова, получая запросы через интерфейс libfuse фреймворка FUSE. По выбору пользователя EncFS использует один из симметричных алгоритмов, реализованных в библиотеке OpenSSL, — AES и Blowfish.
Поскольку в EncFS используется принцип создания виртуальной файловой системы, для нее не потребуется отдельного раздела. В ОС Android достаточно установить приложение с поддержкой EncFS и просто указать ему пару каталогов. Один из них будет хранить зашифрованное содержимое (пусть он называется vault), а второй — временно расшифрованные файлы (назовем его open).
После ввода пароля файлы считываются из каталога vault и сохраняются расшифрованными в open (как в новой точке монтирования), где доступны всем приложениям. После окончания работы жмем в приложении кнопку Forget Decryption (или ее аналог). Каталог open размонтируется, а все расшифрованные файлы из него исчезнут.
Недостатки: EncFS не поддерживает жесткие ссылки, так как данные имеют привязку не к inode, а к имени файла. По этой же причине поддерживаются имена файлов длиной до 190 байт. В каталоге vault будут скрыты имена файлов и их содержимое, но останутся доступными метаданные. Можно узнать число зашифрованных файлов, их разрешения, последнее время доступа или модификации. Также существует явный признак использования EncFS — это файл настроек с префиксом encfs и указанием номера версии в его названии. Внутри файла записаны параметры шифрования, включая алгоритм, длину ключа и размер блоков.
Зашифрованные файлы в Dropbox и метка EncFS
Платный аудит EncFS был выполнен в феврале 2014 года. В его заключении говорится, что «EncFS, вероятно, надежна до тех пор, пока атакующая сторона имеет только один набор зашифрованных файлов и ничего более». Если же атакующему доступно больше данных (например, два снапшота файловой системы, снятые в разное время), то EncFS не может считаться надежной.
После установки EncFS будет видна как отдельная файловая система пространства пользователя через драйвер FUSE. Доступ к ней будет реализован через какое-то стороннее приложение — например, файловый менеджер Encdroid или Cryptonite. Последний базируется на исходном коде EncFS, поэтому остановимся на нем.
Cryptonite
Последняя версия приложения Cryptonite — 0.7.17 бета от 15 марта 2015 года. Ее можно установить на любое устройство с Android 4.1 и выше, однако часть функций работает более стабильно в Android 4.3 и более свежих версиях.
Криптонит для суперменов
Большинство операций в Cryptonite не требуют root и каких-то специфических компонентов. Создание томов EncFS и синхронизация с Dropbox может выполняться как на официальных, так и на кастомных прошивках.
Облачная синхронизация зашифрованных файлов
Однако для ряда операций потребуется монтирование томов EncFS, для чего нужны права root и поддержка фреймворка FUSE ядром ОС. Использование FUSE необходимо для организации «прозрачного шифрования», то есть для того, чтобы другие приложения имели возможность обращаться к зашифрованным данным и получать их уже расшифрованными. В большинстве старых прошивок поддержка FUSE отсутствует, но она есть в CyanogenMod, MIUI, AOKP и других кастомных. Начиная с Android 4.4 FUSE штатно используется для эмуляции SD-карты во встроенной памяти.
Недостатки: при нажатии «Расшифровать» и успешном вводе пароля Cryptonite создает временную копию дешифрованного файла в /data/data/csh.cryptonite/app_open/. Копия файла помечается как world readable (читаемая и исполняемая для всех). Удалить расшифрованные файлы можно нажатием кнопки Forget Decryption.
Выводы
Способ шифрования данных на карте памяти стоит выбирать, исходя из двух основных критериев: сценария использования и версии Android. На современных гаджетах с Android 6.0 и выше самый простой вариант — воспользоваться Adoptable Storage, присоединить карточку к внутренней памяти и выполнить прозрачное шифрование всего логического тома. Если надо сделать файлы доступными на других устройствах или добавить шифрование данных на карточке в старых девайсах — подойдут криптоконтейнеры проверенных форматов. Сторонних утилит по типу «вещь в себе» лучше избегать вовсе, поскольку вместо реальной защиты данных они часто лишь имитируют ее.