RaazNet

رازنتبتا

دانشنامه
در این صفحه

رمزنگاری، ذخیره‌سازی و نابودی داده‌ها

راهنمای جامع برای محافظت از داده‌های ساکن (Data at Rest) از طریق رمزنگاری، مدیریت نسخه‌های پشتیبان امن، پاکسازی متادیتا و امحای دائمی اطلاعات حساس برای جلوگیری از بازیابی‌های جرم‌شناسی (Forensic).

Time20 minutes

رمزنگاری، ذخیره‌سازی و امحای داده‌ها

در شرایطی که توقیف دستگاه در ایست‌های بازرسی، گذرگاه‌های مرزی یا در حین یورش نیروهای امنیتی یک تهدید ملموس محسوب می‌شود، محافظت از «داده‌های ساکن» (اطلاعات ذخیره‌شده روی دستگاه شما) به اندازه محافظت از «داده‌های در حال انتقال» (ترافیک اینترنت) حیاتی است.

این راهنما چرخه حیات داده‌های حساس را پوشش می‌دهد: چگونه آن را قفل کنید تا فقط خودتان بتوانید بخوانید (رمزنگاری)، چگونه نسخه‌های امن نگه دارید (ذخیره‌سازی و پشتیبان‌گیری)، چگونه جزئیات پنهان فایل‌ها را تمیز کنید (پاکسازی) و چگونه اطمینان حاصل کنید که هنگام حذف، برای همیشه از بین رفته‌اند (امحا).

۱. رمزنگاری داده‌ها (Data Encryption)

رمزنگاری اطلاعات شما را با استفاده از ریاضیات پیشرفته درهم می‌ریزد. بدون داشتن رمز عبور یا کلید صحیح، داده‌ها شبیه نویزهای تصادفی به نظر می‌رسند. اگر لپ‌تاپ یا گوشی شما توسط مقامات ضبط شود، این اصلی‌ترین خط دفاعی شماست.

رمزنگاری کامل دیسک (FDE)

این روش (Full-Disk Encryption) همه چیز را روی دستگاه شما رمزنگاری می‌کند. این قابلیت زمانی بهترین عملکرد را دارد که دستگاه کاملاً خاموش باشد (حالت BFU - قبل از اولین بازگشایی). اگر دستگاه شما در حالت خواب یا Sleep باشد (حالت AFU - بعد از اولین بازگشایی)، کلیدهای رمزنگاری در حافظه رم باقی می‌مانند و ممکن است توسط ابزارهای پیشرفته جرم‌شناسی (Forensic) که سازمان‌های امنیتی استفاده می‌کنند، استخراج شوند.

  • اندروید (Android): در دستگاه‌های مدرن (اندروید ۱۰ به بالا) به‌طور پیش‌فرض رمزنگاری شده است. اطمینان حاصل کنید که از یک عبارت عبور (Passphrase) قوی استفاده می‌کنید (نه پترن یا پین‌کد کوتاه).
  • آی‌اواس (iOS): به محض تنظیم رمز عبور، به‌طور پیش‌فرض رمزنگاری می‌شود. از یک پین ۶ رقمی یا ترجیحاً یک رمز عبور ترکیبی (حروف و اعداد) استفاده کنید. گزینه "Erase Data" (پاک کردن داده‌ها) بعد از ۱۰ تلاش ناموفق را فعال کنید (البته اگر نسخه پشتیبان امن دارید).
  • ویندوز (Windows): از BitLocker (در نسخه‌های Pro/Enterprise) یا Device Encryption (در نسخه Home) استفاده کنید. مطمئن شوید که چیپ TPM فعال است.
  • مک (macOS): قابلیت FileVault را در مسیر System Settings > Privacy & Security فعال کنید.
  • لینوکس (Linux): هنگام نصب توزیع خود (مثلاً اوبونتو)، گزینه رمزنگاری LUKS را فعال کنید.

بستر ایران: مقامات ممکن است شما را برای باز کردن قفل دستگاه تحت فشار قرار دهند. قفل‌های بیومتریک (FaceID/اثر انگشت) از نظر حقوقی امنیت کمتری نسبت به رمز عبور دارند، زیرا می‌توانند به اجبار فیزیکی باز شوند. قبل از ورود به مناطق پرخطر (اعتراضات، مرزها) بیومتریک را غیرفعال کنید.

کانتینرهای رمزنگاری شده و درایوهای اکسترنال

برای فایل‌های بسیار حساس، صرفاً به رمزنگاری کامل دیسک (FDE) اکتفا نکنید. از ابزارهای تخصصی برای ایجاد "گاوصندوق‌های" رمزنگاری شده یا رمزنگاری فلش درایوها استفاده کنید.

وراکریپت (VeraCrypt)

VeraCrypt استاندارد طلایی برای رمزنگاری در پلتفرم‌های مختلف (ویندوز، مک، لینوکس) است.

  • والیوم استاندارد (Standard Volume): یک فایل رمزنگاری شده ایجاد می‌کند که مانند یک درایو USB مجازی عمل می‌کند.
  • والیوم مخفی (Hidden Volume): برای مدل‌های تهدید پرخطر حیاتی است. این قابلیت یک درایو مخفی را داخل یک درایو استاندارد پنهان می‌کند. اگر مجبور به افشای رمز عبور خود شوید، می‌توانید رمز عبور داده‌های "فریبنده" (Decoy) را بدهید تا داده‌های حساس غیرقابل شناسایی باقی بمانند.
    • نحوه استفاده: داده‌های شخصی معمولی و قابل‌باور را در درایو بیرونی نگه دارید. محتوای حساس و فعالیت‌های مدنی را در درایو مخفی ذخیره کنید.

کریپتومیتور (Cryptomator)

Cryptomator برای رمزنگاری فایل‌ها قبل از آپلود در فضای ابری (Google Drive, Dropbox و غیره) ایده‌آل است. برخلاف VeraCrypt، این ابزار تک‌تک فایل‌ها را رمزنگاری می‌کند، به این معنی که با تغییر یک سند، نیازی نیست کل کانتینر حجیم را دوباره آپلود کنید.

۲. ذخیره‌سازی امن و نسخه‌های پشتیبان

از دست دادن اطلاعات می‌تواند به دلیل توقیف، خرابی سخت‌افزار یا بدافزار رخ دهد. داشتن یک استراتژی پشتیبان‌گیری قوی ضروری است، اما نسخه‌های پشتیبان باید به اندازه نسخه‌های اصلی امن باشند.

استراتژی پشتیبان‌گیری

از قانون تطبیق‌یافته ۱-۲-۳ پیروی کنید:

  • ۳ نسخه از داده‌های خود داشته باشید.
  • ۲ نوع رسانه مختلف (مثلاً هارد لپ‌تاپ + SSD اکسترنال).
  • ۱ مکان خارج از خانه (مثلاً فضای ابری امن یا درایوی که در خانه یک دوست مورد اعتماد نگهداری می‌شود).

حیاتی: تمام نسخه‌های پشتیبان حاوی داده‌های حساس باید رمزنگاری شوند.

فضای ابری امن (Secure Cloud Storage)

از ذخیره داده‌های حساس در فضاهای ابری رمزنگاری‌نشده مانند Google Drive، Dropbox یا iCloud استاندارد (مگر اینکه Advanced Data Protection روشن باشد) خودداری کنید، زیرا این ارائه‌دهندگان می‌توانند به داده‌های شما دسترسی داشته باشند یا آن‌ها را با درخواست قانونی به دولت‌ها تحویل دهند.

ارائه‌دهندگان پیشنهادی با رمزنگاری سرتاسری (E2EE):

  • Proton Drive: مستقر در سوئیس، متن‌باز، یکپارچه با Proton Mail.
  • Filen: رمزنگاری با دانش صفر (Zero-knowledge)، مستقر در آلمان.
  • Mega: فضای ذخیره‌سازی رایگان مناسب با رمزنگاری تحت کنترل کاربر.

بهداشت ذخیره‌سازی فیزیکی

  • نشانگرهای دستکاری (Tamper-Evidence): اگر درایوهای پشتیبان را به صورت فیزیکی نگهداری می‌کنید، از کیف‌های ضد دستکاری یا مهر و موم (حتی لاک ناخن اکلیلی روی پیچ‌ها) استفاده کنید تا متوجه شوید آیا کسی به آن‌ها دسترسی پیدا کرده است یا خیر.
  • تفكیک‌سازی (Compartmentalization): داده‌های کاری حساس را به جای کامپیوتر اصلی روزمره، روی یک درایو USB جداگانه و رمزنگاری شده (مانند سیستم‌عامل Tails با Persistent Storage) نگه دارید.

۳. پاکسازی و بهداشت داده‌ها

فایل‌ها اغلب حاوی اطلاعات پنهانی (متادیتا) هستند که می‌توانند هویت، موقعیت مکانی و جزئیات دستگاه شما را فاش کنند. قبل از انتشار عمومی فایل‌ها یا ارسال آن‌ها برای روزنامه‌نگاران، باید آن‌ها را پاکسازی کنید.

حذف متادیتا (Exif)

عکس‌ها اغلب حاوی مختصات GPS، مدل دوربین و زمان دقیق ثبت هستند.

  • اندروید: از Scrambled Exif (موجود در F-Droid) یا ExifEraser استفاده کنید. عکس را در این برنامه Share کنید تا یک کپی تمیز ذخیره کند.
  • دسکتاپ: از MAT2 (تولکیت ناشناس‌سازی متادیتا) یا ExifTool استفاده کنید.
    • خط فرمان: exiftool -all= filename.jpg
  • ویندوز/مک: قابلیت‌های داخلی "Remove Properties" اغلب همه داده‌ها را پاک نمی‌کنند. از ابزارهای اختصاصی مثل MAT2 استفاده کنید.

پاکسازی اسناد: Dangerzone

برنامه Dangerzone به شما امکان می‌دهد اسناد مشکوک (PDF، فایل‌های آفیس، تصاویر) را با اطمینان باز کنید. این برنامه سند را به پیکسل‌های خام تبدیل کرده و سپس دوباره به یک فایل PDF تمیز تبدیل می‌کند.

  • کاربرد ۱ (محافظت): باز کردن ایمن ضمیمه‌های مشکوک بدون خطر آلودگی به بدافزار.
  • کاربرد ۲ (سانسور): حذف تمام متادیتا، اسکریپت‌ها و لایه‌های پنهان از اسناد خودتان قبل از اشتراک‌گذاری.

سانسور بصری (Visual Redaction)

هرگز از افکت‌های "تار کردن" (Blur) یا "چرخش" (Swirl) برای مخفی کردن متن یا چهره استفاده نکنید؛ این موارد اغلب توسط ابزارهای هوش مصنوعی قابل بازگشت هستند.

  • روش صحیح: از کادرهای توپر و کدر (با شفافیت ۱۰۰٪) برای پوشاندن اطلاعات حساس استفاده کنید.
  • ابزارها: اپلیکیشن سیگنال (ابزار Blur داخلی)، یا ویرایشگرهای تصویر استاندارد با اشکال هندسی توپر.

۴. امحای امن داده‌ها

وقتی فایلی را "حذف" می‌کنید (Empty Recycle Bin)، سیستم‌عامل فقط ارجاع به آن فایل را پاک می‌کند. داده‌های واقعی روی دیسک باقی می‌مانند تا زمانی که بازنویسی شوند. ابزارهای فارنزیک می‌توانند به راحتی فایل‌های "حذف شده" را بازیابی کنند.

ابزارهای حذف ایمن

این ابزارها فضای فایل را با داده‌های تصادفی بازنویسی (Overwrite) می‌کنند تا بازیابی آن غیرممکن شود.

  • ویندوز:
    • BleachBit: از گزینه "File Shredder" استفاده کنید. همچنین فایل‌های موقت، کش و تاریخچه مرورگر را به طور امن پاک می‌کند.
    • Eraser: گزینه‌ای به منوی راست‌کلیک اضافه می‌کند تا فایل‌ها را به‌طور امن پاک کنید.
  • مک (macOS):
    • در مک‌های مدرن با حافظه SSD، حذف امن دشوار است (به دلیل تکنولوژی Wear Leveling). امن‌ترین روش، رمزنگاری کامل دیسک (FileVault) است. اگر کلید از بین برود (مثلاً با فرمت کردن درایو)، داده‌ها غیرقابل بازیابی می‌شوند.
    • برای درایوهای مکانیکی (HDD) اکسترنال، می‌توانید از دستور srm در ترمینال (در صورت نصب) یا "Security Options" در Disk Utility هنگام فرمت کردن استفاده کنید.
  • لینوکس:
    • BleachBit: برای لینوکس هم موجود است.
    • Shred: ابزار خط فرمان (shred -u filename).
    • Wipe: یک ابزار قدرتمند دیگر در خط فرمان.

پاکسازی فضای خالی (Wiping Free Space)

اگر در گذشته فایل‌هایی را به روش ناامن حذف کرده‌اید، از BleachBit برای "Wipe Free Space" استفاده کنید. این کار تمام فضای خالی هارد دیسک شما را بازنویسی می‌کند تا اطمینان حاصل شود که فایل‌های حذف‌شده‌ی قبلی غیرقابل بازیابی هستند.

نابودی فیزیکی

برای سناریوهای بسیار پرخطر که پاکسازی نرم‌افزاری کافی نیست یا زمان‌بر است:

  • HDD (درایو چرخان): دریل کردن سوراخ روی دیسک‌ها (پلاترها) یا باز کردن و خرد کردن/سنباده کشیدن آن‌ها.
  • SSD/حافظه فلش: خرد کردن یا دریل کردن چیپ‌های حافظه ضروری است. دیگوس کردن (آهنربای قوی) روی SSDها اثر ندارد.

چک‌لیست خلاصه برای کاربران ایرانی

  1. همه چیز را رمزنگاری کنید: مطمئن شوید FDE روی گوشی و لپ‌تاپ فعال است.
  2. داده‌های حساس را مخفی کنید: برای مواد حساس اکتیویستی از والیوم‌های مخفی VeraCrypt استفاده کنید.
  3. پشتیبان‌گیری امن: از فضای ابری E2EE (مانند Proton, Filen) یا درایوهای USB رمزنگاری شده در مکان‌های امن استفاده کنید.
  4. پاکسازی متادیتا: عکس‌ها را قبل از انتشار در شبکه‌های اجتماعی از Scrambled Exif یا MAT2 عبور دهید.
  5. خرد کنید، حذف نکنید: از BleachBit برای حذف دائمی فایل‌های حساس استفاده کنید.
  6. خاموش کردن: قبل از عبور از ایست‌های بازرسی، دستگاه‌ها را کاملاً خاموش (Shut down) کنید تا قدرت رمزنگاری به حداکثر برسد.
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.