Je šifrovanie zariadenia predvolene zapnuté?

Moderné iPhony, iPady, Macy (séria M a mnohé Intel s T2), väčšina telefónov s Androidom od roku 2016, ChromeOS a Windows 11 Pro: áno. Windows 10/11 Home je nerovnomerný – niektoré zariadenia umožňujú šifrovanie zariadenia automaticky, iné nie. Overte v nastaveniach; zapnite ho, ak nie je.

Spomalí šifrovanie moje zariadenie?

Moderný hardvér má pokyny AES, vďaka ktorým je šifrovanie v podstate bezplatné. Rozdiel medzi šifrovaným a nešifrovaným diskom na modernom zariadení je pre bežné použitie nemerateľný. Staršie zariadenia bez AES-NI môžu zaznamenať malý vplyv.

Čo sa stane, ak zabudnem svoje heslo?

Bez kľúča na obnovenie sú údaje neobnoviteľné – taký je návrh. Z tohto dôvodu existujú kľúče na obnovenie, služby úschovy (iCloud spoločnosti Apple, účet spoločnosti Microsoft, vaša firemná reklama). Po zobrazení výzvy ich uložte; nemôžete ich vygenerovať dodatočne, ak ste zabudli.

Je biometrické odomknutie rovnako bezpečné ako prístupový kód?

Ekvivalent pohodlia, bezpečnosť podobná pre väčšinu modelov hrozieb. Špecifické rozdiely: biometrické údaje nie sú v USA zvyčajne chránené piatym dodatkom, zatiaľ čo prístupové kódy sú často chránené. V kontradiktórnych kontextoch vynútené reštartovanie vyžaduje prístupový kód (podržte bočné tlačidlo + hlasitosť).

Má cloud rovnaké šifrovanie?

Závisí od služby. iCloud a podobné používajú šifrovanie pri prenose a v pokoji, ale kľúče pre väčšinu údajov má poskytovateľ – možno ich predvolať. Pokročilá ochrana údajov od spoločnosti Apple (opt-in) vám poskytuje kľúče pre mnoho kategórií. End-to-end šifrované cloudové služby ako Proton Drive alebo Cryptomator na Dropboxe sú silnejšie.

Vysvetlenie šifrovania zariadenia: Šifrovanie celého disku na modernom hardvéri

Každý moderný telefón, laptop a Chromebook sa dodáva so zapnutým šifrovaním disku. Údaje v úložisku sú nečitateľné bez správneho kľúča – odvodeného od vášho prístupového kódu, PIN kódu alebo hardvérového faktora. Pochopenie toho, čo šifrovanie zariadenia robí a čo nie, objasňuje, prečo je to jediná najužitočnejšia predvolená bezpečnostná funkcia vo výpočtovej technike.

Celé telo článku je uvedené v angličtine nižšie.

Šifrovanie zariadenia (nazývané aj šifrovanie celého disku alebo FDE) chráni úložisko zariadenia šifrovaním všetkých údajov v pokoji. Bez dešifrovacieho kľúča – zvyčajne odvodeného z prístupového kódu používateľa plus hardvérových tajomstiev – je disk bezvýznamným šifrovaným textom. Stratiť zariadenie, predať ho, získať ho ukradnuté: údaje sú neobnoviteľné pre toho, kto ich má.

Čo chráni pred

Stratené alebo ukradnuté zariadenia. Zlodej má hardvér, ale nie poverenia. Disk číta návratový šifrový text.
Cold boot útoky proti vypnutým zariadeniam. Bez kľúča v pamäti sú dáta zapečatené.
Forenzná obnova dát po predaji alebo likvidácii. Vyhodenie disku alebo predaj kľúča je bezpečný zničené.
Prepadnutie cez hranice (čiastočne). Colné orgány môžu požadovať zariadenie; nedokáže prečítať jeho obsah bez toho, aby vás prinútil odomknúť.

Pred čím nechráni

Prečo je zariadenie odomknuté. Po prihlásení je kľúč v pamäti RAM a údaje sú čitateľné. Malvér spustený na odomknutom zariadení má úplný prístup.
Vynútené odomknutie. V jurisdikciách, kde môžu úrady vynútiť dešifrovanie (Spojené kráľovstvo, Francúzsko, India, niektoré kontexty USA), samotné šifrovanie nechráni pred právnym procesom. Disk atď. má svoj vlastný príbeh o šifrovaní (alebo jeho nedostatok). Šifrovanie zariadenia chráni to, čo je na zariadení.
Exfiltrácia siete. Malvér na odomknutom zariadení môže odoslať údaje skôr, ako bude dôležité akékoľvek šifrovanie úložiska.
Pozastavené stavy. Notebook je v režime spánku pri špecifických fyzických útokoch pri spustení kľúča RAM).

Ako sa implementuje moderné šifrovanie zariadení

iOS / iPadOS. Úplné šifrovanie jednotlivých súborov viazané na zabezpečenú enklávu. Kľúč každého súboru je odvodený od kľúčov triedy, UID zariadenia a prístupového kódu používateľa. Zakázanie prístupového kódu deaktivuje šifrovanie.
macOS (FileVault). Hardvérovo akcelerované AES-XTS, kľúče chránené čipom T2 alebo Secure Enclave série M. Obnova cez iCloud alebo lokálny kľúč obnovy.
Windows (BitLocker). Používa zapečatené kľúče TPM a voliteľný kód PIN pred spustením. Štandardná verzia Pro; Home Edition má Device Encryption (ľahší variant).
Android. File-Based Encryption (FBE) na moderných zariadeniach s hardvérom podporovaným úložiskom kľúčov na čipoch s TEE.
Linux. disk LUKS; Natívne šifrovanie ZFS pre fondy ZFS. Konfigurované v čase inštalácie na väčšine distribúcií.
ChromeOS. Domovské adresáre používateľov šifrované pomocou eCryptfs (staršie) alebo fscrypt; overené spustenie z oddielu operačného systému iba na čítanie.

Hardvérovo podporovaný kľúč

Moderné schémy šifrovania zariadení nepoužívajú iba priamo vaše heslo. Zmiešajú ho s hardvérovo špecifickým tajomstvom uloženým v Secure Enclave / TPM / TEE. Výsledok:

Útočník, ktorý klonuje úložisko, nemôže hrubo vynútiť heslo offline – nemá hardvérový kľúč.
Na samotnom zariadení musí dôjsť k hrubému vynúteniu, ktoré môže obmedziť pokusy a vymazať ho po príliš veľkom počte zlyhaní. extrakcia.

To je dôvod, prečo hrubé vynútenie PIN pre iPhone vyžaduje špecializované nástroje (Cellebrite, GrayKey) a dokonca aj tie sú obmedzené opatreniami spoločnosti Apple proti hrubou silou.

Výstraha pri studenom spustení

XPLZ92 je šifrovaný kľúč, zariadenie je odomknuté. RAM uchováva údaje niekoľko sekúnd až minút po výpadku napájania; výskumníci preukázali čítanie kľúčov z pamäte RAM po rýchlom ochladení a cyklovaní napájania. Zmiernenie:

Uzamknutie/rýchle uzamknutie pri opustení zariadenia
Úplné vypnutie pre vysokorizikové situácie (prekročenie hraníc, ponechanie zariadenia bez dozoru)
OS vymazanie RAM na úrovni pri vypnutí (väčšina moderných OS1 RAM to robí) (niektoréXPL1 serveryX1 Šifrované serveryX1 špecializované)

kľúč na obnovenie BitLocker — venujte pozornosť

BitLocker najobávanejší moment: systém vás vyzve na zadanie 48-miestneho kľúča na obnovenie. Stáva sa to po aktualizáciách systému BIOS, zmenách hardvéru, ktoré ovplyvňujú modul TPM, alebo po zjavnej manipulácii s reťazcom zavádzania. Ak nemáte uložený kľúč na obnovenie (účet Microsoft, AD, lokálny súbor), údaje sa natrvalo stratia.

Osvedčený postup: pri prvom šifrovaní uložte kľúč na obnovenie na viacero miest. Zabudnutie, kde to je, stálo skutočných ľudí skutočné údaje.

Šifrovanie a presadzovanie práva

Právne prostredie sa veľmi líši:

US Piaty dodatok tradične chráni pred nútením odhaliť prístupový kód (posudok), hoci súdy majú rôzne Biometria (odtlačok prsta, tvár) sa čoraz častejšie považuje za nesvedectvo.
UK RIPA si môže vynútiť zverejnenie s trestným postihom za odmietnutie.
Francúzsko, India, Austrália majú podobné zákony o vynútenom zverejnení987 trestnoprávne sankcie. krajiny sedia niekde medzi nimi.

Pre používateľov v jurisdikciách s núteným zverejnením: možnosť úplného vypnutia pred známymi zastávkami na hraniciach, hodnoverné objemy (skryté zväzky Veracrypt) a neprekračovanie hraníc citlivými zariadeniami. Každý má kompromisy.

Pre používateľov v roku 2026

Pragmatický recept:

Povoliť šifrovanie disku na každom zariadení. Väčšina moderných zariadení ho má predvolene zapnuté. Overte v nastaveniach.
Použite silný prístupový kód. Minimálne 6 číslic; 8+ alfanumerické je lepšie. Biometria pre pohodlie plus prístupový kód na spustenie.
Uložte si kľúče na obnovenie. Viac miest, ideálne offline a fyzicky.
Vypnite zariadenia, ktoré sa nebudú používať. Odolnosť proti studenému spusteniu je najlepšia, keď je kľúč preč RAM.
Kombinovať so zálohou. Šifrovanie chráni pred prístupom; záloha chráni pred stratou. Dopĺňajú sa.

Často kladené otázky

Je šifrovanie zariadenia predvolene zapnuté?: Moderné iPhony, iPady, Macy (séria M a mnohé Intel s T2), väčšina telefónov s Androidom od roku 2016, ChromeOS a Windows 11 Pro: áno. Windows 10/11 Home je nerovnomerný – niektoré zariadenia umožňujú šifrovanie zariadenia automaticky, iné nie. Overte v nastaveniach; zapnite ho, ak nie je.
Spomalí šifrovanie moje zariadenie?: Moderný hardvér má pokyny AES, vďaka ktorým je šifrovanie v podstate bezplatné. Rozdiel medzi šifrovaným a nešifrovaným diskom na modernom zariadení je pre bežné použitie nemerateľný. Staršie zariadenia bez AES-NI môžu zaznamenať malý vplyv.
Čo sa stane, ak zabudnem svoje heslo?: Bez kľúča na obnovenie sú údaje neobnoviteľné – taký je návrh. Z tohto dôvodu existujú kľúče na obnovenie, služby úschovy (iCloud spoločnosti Apple, účet spoločnosti Microsoft, vaša firemná reklama). Po zobrazení výzvy ich uložte; nemôžete ich vygenerovať dodatočne, ak ste zabudli.
Je biometrické odomknutie rovnako bezpečné ako prístupový kód?: Ekvivalent pohodlia, bezpečnosť podobná pre väčšinu modelov hrozieb. Špecifické rozdiely: biometrické údaje nie sú v USA zvyčajne chránené piatym dodatkom, zatiaľ čo prístupové kódy sú často chránené. V kontradiktórnych kontextoch vynútené reštartovanie vyžaduje prístupový kód (podržte bočné tlačidlo + hlasitosť).
Má cloud rovnaké šifrovanie?: Závisí od služby. iCloud a podobné používajú šifrovanie pri prenose a v pokoji, ale kľúče pre väčšinu údajov má poskytovateľ – možno ich predvolať. Pokročilá ochrana údajov od spoločnosti Apple (opt-in) vám poskytuje kľúče pre mnoho kategórií. End-to-end šifrované cloudové služby ako Proton Drive alebo Cryptomator na Dropboxe sú silnejšie.