RaazNet

رازنتبتا

دانشنامه
در این صفحه

رمزنگاری داده‌های ذخیره‌شده و امنیت ذخیره‌سازی

راهنمای جامع حفاظت از داده‌های دیجیتال ذخیره‌شده بر روی دستگاه‌ها در برابر توقیف فیزیکی و تحلیل فارنزیک، متناسب با فضای تهدید ایران.

Time15 minutes

رمزگذاری در حالت سکون و امنیت ذخیره‌سازی

تهدیدات امنیتی تنها محدود به شنود از راه دور داده‌ها در اینترنت نیست. توقیف فیزیکی دستگاه‌ها—چه در ایست‌های بازرسی خیابانی، چه در یورش نیروهای امنیتی به منازل، و چه ضبط وسایل در مرزها—یک خطر اصلی محسوب می‌شود.

رمزگذاری در حالت سکون (Encryption at Rest) تضمین می‌کند که حتی اگر لپ‌تاپ، تلفن همراه یا هارد دیسک شما به صورت فیزیکی دزدیده شود یا توسط پلیس فتا و سایر مأموران توقیف گردد، داده‌ها بدون داشتن کلید رمزگشایی (عبارت عبور) غیرقابل خواندن باقی بمانند.

مفهوم اصلی: داده در حالت سکون در مقابل داده در حال انتقال

  • داده‌های در حال انتقال (Data in Transit): اطلاعاتی که در حال جابجایی در بستر اینترنت هستند (مانند ارسال یک پیام در سیگنال). این داده‌ها توسط پروتکل‌های TLS/SSL و رمزگذاری سرتاسری (E2EE) محافظت می‌شوند.
  • داده‌های در حالت سکون (Data at Rest): اطلاعاتی که روی هارد دیسک، حافظه فلش یا سرور ابری ذخیره شده‌اند. این داده‌ها توسط رمزگذاری دیسک و فایل محافظت می‌شوند.

هشدار حیاتی برای کاربران ایرانی: رمزگذاری از داده‌های شما به صورت ریاضی محافظت می‌کند. با این حال، شما را در برابر "تحلیل رمزنگاری با شلنگ لاستیکی" (Rubber-hose cryptanalysis - اصطلاحی برای اجبار یا شکنجه جهت افشای رمز عبور) محافظت نمی‌کند. در صورت امکان، از انکارپذیری موجه (Plausible Deniability) (مانند پارتیشن‌های مخفی) و رمزهای عبور شرایط اجبار (Duress Passwords) استفاده کنید.

۱. رمزگذاری کامل دیسک (FDE)

در روش FDE، کل درایو ذخیره‌سازی رمزگذاری می‌شود. بدون رمز عبور، سیستم‌عامل حتی بوت (راه‌اندازی) نمی‌شود و با اتصال درایو به رایانه‌ای دیگر نیز امکان دسترسی به فایل‌ها وجود نخواهد داشت.

ویندوز: VeraCrypt (پیشنهادی) در مقابل BitLocker

اگرچه نسخه‌های Pro/Enterprise ویندوز شامل BitLocker هستند، اما این ابزار منبع‌بسته (Closed-source) است و در نسخه‌های "Home"، اغلب کلیدهای بازیابی را به صورت خودکار در سرورهای مایکروسافت آپلود می‌کند (که یک ریسک حریم خصوصی است).

توصیه رازنت: برای حداکثر امنیت از VeraCrypt استفاده کنید.

  • نوع: متن‌باز (Open Source).
  • وضعیت بازرسی: به صورت مستقل بازرسی امنیتی (Audit) شده است.
  • ویژگی کلیدی: پشتیبانی از سیستم‌عامل‌های مخفی (انکارپذیری موجه).

نحوه استفاده از VeraCrypt برای رمزگذاری سیستم:

  1. برنامه را از وب‌سایت رسمی دانلود کنید.
  2. گزینه "Encrypt the System Partition/Drive" را انتخاب کنید.
  3. الگوریتم هش (Hash Algorithm): گزینه SHA-512 را انتخاب کنید.
  4. رمزگذاری (Encryption): گزینه AES را انتخاب کنید.
  5. PIM (ضریب تکرار شخصی): مقدار این گزینه را افزایش دهید تا حملات بروت‌فورس (Brute-force) دشوارتر شود، اگرچه این کار زمان بوت شدن را کمی طولانی‌تر می‌کند.

مک (macOS): FileVault

کاربران مک باید بلافاصله FileVault را فعال کنند.

  • مسیر: System Settings > Privacy & Security > FileVault.
  • مدیریت کلید: اجازه ندهید حساب iCloud شما دیسک را باز کند. گزینه ایجاد "Local Recovery Key" (کلید بازیابی محلی) را انتخاب کرده و آن را در مکانی فیزیکی و امن (جدا از دستگاه) نگهداری کنید.

لینوکس: LUKS

سیستم یکپارچه کلید لینوکس (LUKS) استاندارد توزیع‌های لینوکس است.

  • راه‌اندازی: بهترین حالت این است که در هنگام نصب سیستم‌عامل (مانند Ubuntu، Fedora، Debian) پیکربندی شود.
  • امنیت: اطمینان حاصل کنید که پارتیشن /boot شما نیز ایمن شده باشد یا نسبت به بردارهای حمله "خدمتکار شرور" (Evil Maid) آگاه باشید، هرچند FDE برای اکثر سناریوهای توقیف کافی است.

۲. امنیت دستگاه‌های موبایل

گوشی‌های هوشمند رایج‌ترین دستگاه‌هایی هستند که در ایران توقیف می‌شوند. دستگاه‌های مدرن اندروید و iOS به‌طور پیش‌فرض رمزگذاری شده‌اند، اما قدرت این رمزگذاری تنها به اندازه قدرت رمز عبور و تنظیمات شماست.

امن‌سازی قفل صفحه

  • غیرفعال‌سازی بیومتریک: قفل‌های تشخیص چهره (FaceID) و اثر انگشت می‌توانند با اجبار فیزیکی مأموران (نگه داشتن گوشی جلوی صورت یا فشار دادن انگشت روی حسگر) باز شوند. به جای آن از یک عبارت عبور (Passphrase) قوی شامل حروف و اعداد استفاده کنید.
  • غیرفعال‌سازی قفل هوشمند (Smart Lock در اندروید): اطمینان حاصل کنید که گوشی شما هنگام اتصال به یک دستگاه بلوتوث "قابل اعتماد" یا در مکان‌های خاص، باز نمی‌ماند.

اندروید: پیکربندی‌های تخصصی

  • BFU (قبل از اولین بازگشایی): وقتی یک گوشی اندرویدی ریبوت (خاموش و روشن) می‌شود، در حالت "BFU" قرار دارد. داده‌ها به شدت رمزگذاری شده‌اند. به محض اینکه یک بار آن را باز کنید (AFU - بعد از اولین بازگشایی)، کلیدها در حافظه بارگذاری می‌شوند.
    • توصیه امنیت عملیاتی (OpSec): اگر به یک منطقه پرخطر (منطقه اعتراضات، ایست بازرسی) نزدیک می‌شوید، گوشی خود را کاملاً خاموش کنید.
  • مالی (Molly - انشعاب سیگنال):
    • در حالی که سیگنال پیام‌ها را در حال انتقال رمزگذاری می‌کند، دیتابیس روی گوشی شما در صورت باز بودن قفل گوشی، اغلب قابل دسترسی است.
    • Molly (یک انشعاب متن‌باز از سیگنال) به شما امکان می‌دهد دیتابیس محلی را با یک عبارت عبور جداگانه رمزگذاری کنید. این یعنی حتی اگر قفل گوشی شما باز باشد، پیام‌های شما رمزگذاری شده باقی می‌مانند.

آی‌اواس (iOS): حالت قرنطینه (Lockdown Mode)

  • اگر یک هدف پرخطر (روزنامه‌نگار، فعال مدنی) هستید، Lockdown Mode (در iOS 16 به بالا) را فعال کنید. این حالت سطح حمله را برای جاسوس‌افزارهای پیچیده مانند پگاسوس (Pegasus) کاهش می‌دهد.

۳. رمزگذاری کانتینر و فضای ابری

اگر مجبور به استفاده از فضای ابری (Google Drive, Dropbox) یا انتقال فایل با USB هستید، هرگز فایل‌های "برهنه" (بدون رمزگذاری) را آپلود یا منتقل نکنید.

کریپتومیتور (Cryptomator) - برای فضای ابری

ارائه‌دهندگان فضای ابری (گوگل، مایکروسافت) به داده‌های شما دسترسی دارند. برای جلوگیری از این موضوع:

  1. برنامه Cryptomator (متن‌باز) را نصب کنید.
  2. یک "گاوصندوق" (Vault) داخل پوشه سینک (Sync) فضای ابری خود بسازید.
  3. کریپتومیتور فایل‌ها را قبل از سینک شدن با فضای ابری رمزگذاری می‌کند.
  4. نتیجه: ارائه‌دهنده فضای ابری تنها کدهای نامفهوم رمزگذاری شده را می‌بیند. آن‌ها نمی‌توانند محتوای فایل‌ها یا نام آن‌ها را ببینند.

کانتینرهای VeraCrypt (برای USB/ذخیره‌سازی)

به جای رمزگذاری کل درایو، می‌توانید یک کانتینر فایل (File Container) ایجاد کنید.

  • این فایل شبیه به یک فایل معمولی (مثلاً movie.mp4 یا data.dat) به نظر می‌رسد، اما وقتی در VeraCrypt "مانت" (Mount) شود، مانند یک دیسک مجازی رمزگذاری شده عمل می‌کند.
  • پارتیشن‌های مخفی (Hidden Volumes): شما می‌توانید یک کانتینر ویژه با دو رمز عبور بسازید.
    • رمز عبور A: یک پارتیشن "تله" (Decoy) را باز می‌کند (شامل فایل‌های امن و غیرحساس).
    • رمز عبور B: پارتیشن "مخفی" (Hidden) را باز می‌کند (شامل فایل‌های حساس).
    • سناریو: اگر مجبور به دادن رمز عبور شدید، رمز عبور A را بدهید. اثبات وجود پارتیشن مخفی از نظر ریاضی غیرممکن است.

۴. پشتیبان‌گیری رمزگذاری شده (Encrypted Backups)

از دست دادن دستگاه در حین توقیف اغلب به معنای از دست دادن دائمی داده‌هاست، مگر اینکه نسخه پشتیبان (بک‌آپ) داشته باشید. با این حال، اگر بک‌آپ‌ها رمزگذاری نشوند، خود یک آسیب‌پذیری امنیتی هستند.

پشتیبان‌گیری امن سیگنال

پیام‌های سیگنال به صورت محلی ذخیره می‌شوند.

  1. به مسیر Settings > Chats > Chat backups بروید.
  2. پشتیبان‌گیری را فعال کنید.
  3. عبارت عبور ۳۰ رقمی را یادداشت کنید.
  4. فایل پشتیبان را خارج از دستگاه (مثلاً روی کامپیوتر یا USB) ذخیره کنید.
  5. توجه: بدون این عبارت عبور، فایل پشتیبان بی‌استفاده است. سیگنال (سازمان) نمی‌تواند آن را برای شما بازیابی کند.

فضای ابری با دانش صفر (Zero-Knowledge)

برای اسناد حساس، از گوگل درایو فاصله بگیرید. از ارائه‌دهندگانی استفاده کنید که به‌طور پیش‌فرض رمزگذاری با دسترسی صفر (Zero-Access) ارائه می‌دهند:

  • پروتون درایو (Proton Drive): مستقر در سوئیس، رمزگذاری سرتاسری.
  • فایلن (Filen): بسیار امن، معماری متن‌باز.
  • Sync.com: ذخیره‌سازی با دانش صفر مستقر در کانادا.

۵. پاکسازی متادیتا و فایل

رمزگذاری محتوا را مخفی می‌کند، اما گاهی ساختار فایل یا متادیتا (داده‌نما) باقی می‌ماند.

  • متادیتا: اطلاعاتی درباره داده‌ها (نام نویسنده، موقعیت GPS در عکس‌ها، تاریخ ایجاد).
  • پاکسازی (Sanitization): قبل از ذخیره عکس‌ها یا اسناد حساس در آرشیو بلندمدت، متادیتا را حذف کنید.
    • ابزارها: ExifTool، اپلیکیشن Scrambled Exif (اندروید)، یا قابلیت "Remove Properties" در ویندوز.

۶. حذف ایمن (Secure Deletion)

حذف یک فایل (انتقال به سطل زباله) آن را از دیسک پاک نمی‌کند؛ فقط آن فضا را به عنوان "در دسترس" علامت‌گذاری می‌کند. ابزارهای جرم‌شناسی (Forensic) که توسط مقامات ایرانی استفاده می‌شوند، می‌توانند این فایل‌ها را بازیابی کنند.

  • حافظه‌های SSD و فلش: درایوهای SSD مدرن از قابلیت "TRIM" استفاده می‌کنند که پاکسازی ایمن (Wiping) را دشوار می‌سازد. تنها راه برای حذف ایمن داده‌ها در SSD، رمزگذاری کامل دیسک است. اگر درایو رمزگذاری شده باشد و شما کلید را "فراموش" کنید، داده‌ها عملاً پاک شده‌اند.
  • هارد دیسک‌های مکانیکی (HDD): از ابزارهایی مانند BleachBit یا دستور shred (لینوکس) برای بازنویسی داده‌ها استفاده کنید.
    • دستور: shred -u -z -n 3 filename (سه بار بازنویسی می‌کند، صفر می‌نویسد و فایل را حذف می‌کند).

چک‌لیست خلاصه برای کاربران ایرانی

اولویتاقدامابزار/روش
حیاتیرمزگذاری هارد دیسک کامپیوترVeraCrypt (ویندوز) / FileVault (مک) / LUKS (لینوکس)
حیاتیایمن‌سازی قفل صفحه گوشیغیرفعال‌سازی بیومتریک؛ استفاده از کد ۶+ رقمی/حروف و اعداد
بالارمزگذاری فایل‌های ابریCryptomator
بالاذخیره‌سازی امن پیام‌هااستفاده از Molly (اندروید) یا فعال‌سازی پیام‌های ناپدیدشونده (سیگنال)
بالاامنیت عملیاتی (OpSec) در سفرخاموش کردن کامل دستگاه‌ها قبل از ایست‌های بازرسی (حالت BFU)
پیشرفتهانکارپذیری موجهپارتیشن‌های مخفی VeraCrypt

سلب مسئولیت: امنیت یک هدف متحرک است. در حالی که این ابزارها حفاظت قوی ارائه می‌دهند، هیچ سیستمی ۱۰۰٪ آسیب‌ناپذیر نیست. سطح ریسک شخصی خود را ارزیابی کنید و از آخرین فناوری‌های دور زدن رمزنگاری که توسط بازیگران دولتی استفاده می‌شود، مطلع باشید.

منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.