База знаний
Войти

Установка с использованием средств маскирования информации

Общие вопросы

В этом разделе будут рассмотрены только особенности установки ОС на компьютер пользователя с использованием средств маскирования информации на носителях. Так как термин "шифрование" используется в документации к защищенным ОС, только если это шифрование является сертифицированным для защиты информации, в данном документе для несертифицированных для применения в РФ алгоритмов и программ шифрования используется термин "маскирование информации". Такое маскирование не обеспечивает гарантированной защиты информации, но значительно затрудняет неавторизованный доступ к ней.

Разметка носителя с маскированием информации

Для повышения защищенности информации есть возможность установить Систему с использованием маскирования информации, при этом разметку носителя можно осуществить автоматически, включив флажок "Зашифровать данные" или вручную.

Для режима разметки вручную в окне "Место установки" нужно выбрать в разделе "Конфигурация устройств хранения" переключатель "По-своему" и нажать на кнопку Готово, а потом разметить носитель с отдельным незашифрованным /boot/boot/efi для efi-BIOS). Корневой раздел Системы, swap-раздел и пользовательский раздел /home нужно при этом зашифровать (замаскировать), установив соответствующий флажок в поле "Зашифровать данные", затем кнопки Применить и Готово (рисунок 9).

Следует обратить внимание, что замаскированные разделы обозначены как LUKS-разделы, рекомендуется использовать систему маскирования luks2.

Рисунок 9 – Ручная разметка диска для использования маскирования

После этого можно выполнить установку в обычном режиме. При каждой загрузке Системы, использующей замаскированные разделы, у пользователя запрашивается пароль для расшифровки. Без ввода правильного пароля доступ к информации на носителях будет блокирован, причем эта блокировка сохраняется и при переносе носителя информации на другой ПК.

Поддержка tpm2 для автоматического ввода паролей

Современные СВТ с архитектурой x86_64 примерно с 2016-го года оснащаются встроенным модулем хранения конфиденциальной информации tpm2, который можно использовать для разблокировки замаскированного раздела LUKS. Пароль расшифровки маскированных разделов при этом будет храниться в tpm2 и вводиться автоматически. Пользовательская информация на изъятом из компьютера с tpm2 носителе будет недоступна при монтировании этого носителя на другом компьютере.

Для использования tpm2 в Системе, использующей разделы с маскированием информации, нужно ввести команду:

sudo luksunlock

и следовать дальнейшим инструкциям. Для возврата к ручному вводу паролей используется команда:

sudo lukslock