원래 비대칭 키 암호화 관련 글 써볼까 했는데
어차피 일반인이랑은 연 없는 분야기도 해서
걍 베라크립트 관련 질문 올라와서 대충 씀
비트라커 안써서 모름
[내용 붙임] 옮긴이는 비트락커를 사용해보았으나 기본 설정으로 Pre-Boot BitLocker PIN on Windows가 적용되어 있지 않으며 AES-256이 아닌 128을 사용하고 이를 수동설정하는 것이 베라크립트 보다 어렵고 불안정하므로 옮긴이 의견으로는 베라크립트를 좀 더 권장한다.
그러나, 베라크립트를 문제없이 활용하려면 윈도우 업데이트를 끄는 것이 권장되다보니 비트락커가 이 경우에서는 비트락커가 좀 더 권장될 수 있다.
일단 컴퓨터가 이렇게 있다고 치고,
프로그램은 여러가지 파티션과 OS로 구성될 것이다.
그리고 여러 파티션의 파일이 OS를 거쳐서 동작하게 될 것이다.
이게 중요한 이유는 결국 다른 파티션에 있더라도 OS에 썸네일 등이 존재하기 때문
1. 암호화된 컨테이너 생성
파티션에 폴더처럼 암호화된 컨테이너를 만들고, 마치 비밀 폴더처럼 수행한다.
장점은 매우 간편하고 안전한(사실 모든 베라크립트가 적용된 부분의 안전성은 담보되는) 수준이지만
결점이 두가지 존재하는데.
첫번째는 위에서 말했듯이, OS가 암호화되었지 않다면, 파일 내부의 내용도 OS를 통해 간접적으로 들여다 볼 수 있다
대표적인게 썸네일이나, 작업 스케쥴러 등등.. 특히 썸네일의 경우는 무조건 OS폴더 안에 저장되는 경우가 많으므로 조심해야 한다.
[내용 붙임 TIP] 썸네일 캐싱의 경우 이를 비활성화 하는 방법이 존재하는데 하단의 내용을 메모장에 복붙 한뒤 .reg확장자명으로 레지스트리 만들어서 적용하면 됨. 대신 탐색기에서 이미지를 불러올때마다 탐색기 로딩속도가 저하되니 주의해서 사용해야한다.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Explorer]
"DisableThumbsDBOnNetworkFolders"=dword:00000001
TIP 원글: https://gall.dcinside.com/mgallery/board/view/?id=vpngate&no=25752
두번째는 공격자가 암호화된 컨테이너임을 알 수 있다는 것이다. 대놓고 "나 암호화 되있다" 이렇게 말하는 셈이므로.
물론 없으면 꺼져야하지만 사람이 하는 일인지라 암호화 컨테이너가 있다면 의심하는건 당연한 일이다.
2.비 시스템 파티션 암호화
파티션을 통째로 암호화 시키는 것이다. 아마 제일 추천되는 방법일 것인데,
공격자가 암호화된 파티션이라는걸 쉽게 알 수 없기 때문에 안정성 면에서 더 유리하다
파티션 암호화의 경우 두가지의 제약이 존재하는데,
물론 OS에 정보가 남는건 당연하지만,
컨테이너 생성의 경우, 영역이 작고, 생성중에도 다른 활동이 가능한 반면에,
파티션 암호화의 경우, 암호화하는동안 파티션을 건드릴수 없고, 빈 파티션이 아닌 경우 훨씬 오래 걸린다.
제일 좋은건 구매시에 바로 파티션 암호화를 해 두는것 이지만
OS부분이 아닌이상 두개를 적당히 취사선택하면 된다
편집증 환자라면 2일에 걸려서 파티션 암호화를 하면 되고
3. 시스템 파티션 암호화
시스템이 들어있는 드라이브를 깡그리 암호화한다. OS의 중요성을 말 했듯이, 제일 선행해야 하고,
제일 중요한 암호화 방법이다. 단, 유의점이 몇가지 존재하는데.
OS를 통해 암호를 해독하는데, 그 OS드라이브가 암호화 되어있다.
이 난제를 해결하기 위해, 파티션 앞부분에 평문으로 된 부트로더를 저장한다(당연하지만 키가 없으면 소용 x)
그 이후 부트로더로 암호화를 풀고
비로소 OS에 접근할 수 있게 된다.
이 부트로더가 맛이 가거나 뒤지는 경우, 부팅에 생각보다 곤란한 상황이 올 수 있으니,
응급 복구 디스크정도는 보관해두자
(다시 말하지만 디스크는 부트로더 = 키를 입력할수 있도록 하는 역할을 하는 것이므로, 키가 없다면 열 수 없다)
또 한가지의 사소한(?)결점이라면,
공격자가 부트로더의 존재로 베라크립트를 이용하여 시스템 파티션을 암호화한걸 알 수 있다.
물론 이 경우에는 OS가 통째로 암호화 되어있으므로 파일 컨테이너 시스템과는 다르게 할 수 있는건 별로 없다.
결론:
1. 시스템 파티션 암호화는 웬만하면 필수. 다른 모든것이 무용지물이 될 수 있다.
2. 복구 디스크만으론 못 푸니까(암호 필요) 이곳저곳 복사해놓아라
3. 새 하드 사면 미리 파티션 암호화 해놔라. 그래야 속도/안정성 면에서 정신건강에 좋다.
4. 컨테이너 암호화는 OS가 열려있다면 무용지물인데, 그 말인즉 시스템 파티션이 암호화되어있다면 본질적으로는 파티션 암호화와 다를게 없는 방어력을 자랑한다.
원글: https://gall.dcinside.com/mgallery/board/view/?id=vpngate&no=19351
다음글: https://arca.live/b/96privacy/81333465
관련글 더보기: https://arca.live/b/96privacy/71217975 - 간단하게 key disclosure에 대해 알아보자
