RaazNet

رازنتبتا

دانشنامه
در این صفحه

رمزنگاری داده‌های ذخیره‌شده

راهنمای جامع برای محافظت از داده‌های ذخیره‌شده در برابر توقیف فیزیکی و دسترسی غیرمجاز با استفاده از ابزارهای رمزنگاری مانند VeraCrypt، Cryptomator و قابلیت‌های قفل‌گذاری موبایل.

Time15 minutes

رمزنگاری داده‌های در حالت استراحت (Data at Rest)

داده‌های در حالت استراحت به اطلاعاتی اشاره دارد که روی یک رسانه دیجیتال—مانند هارد دیسک، فلش مموری یا تلفن همراه—ذخیره شده‌اند و در حال انتقال از طریق شبکه نیستند. در شرایط کنونی ایران، محافظت از داده‌های ذخیره‌شده حیاتی است. یکی از بردارهای اصلی تهدید برای شهروندان ایرانی، توقیف فیزیکی دستگاه‌ها در ایست‌های بازرسی، در جریان اعتراضات، یا از طریق یورش به منازل است.

اگر دستگاه شما توقیف شود، رمزنگاری (Encryption) تنها مانع بین اطلاعات خصوصی شما و مقامات امنیتی است. بدون رمزنگاری، یک لپ‌تاپ یا گوشی توقیف‌شده مانند یک کتاب باز است. اما با رمزنگاری قوی، آن دستگاه عملاً به یک آجر بی‌مصرف تبدیل می‌شود.

استراتژی: دفاع در عمق (Defense in Depth)

برای محافظت مؤثر از داده‌های ذخیره‌شده، باید رمزنگاری را در چندین لایه اعمال کنید:

  1. رمزنگاری کامل دیسک (FDE): از کل سیستم عامل و تمام فایل‌ها محافظت می‌کند.
  2. رمزنگاری کانتینری (Container): «گاوصندوق‌های» امنی برای فایل‌های حساس خاص ایجاد می‌کند (اغلب با قابلیت انکار قابل‌باور).
  3. رمزنگاری ابری: از فایل‌ها پیش از آپلود شدن در سرویس‌هایی مانند گوگل درایو محافظت می‌کند.

۱. رمزنگاری کامل دیسک (FDE)

در این روش، همه چیز روی درایو ذخیره‌سازی شما رمزنگاری می‌شود. شما باید پیش از آنکه سیستم عامل حتی بوت شود (بالا بیاید)، رمز عبور را وارد کنید.

ویندوز: VeraCrypt (توصیه شده) در برابر BitLocker

اگرچه نسخه‌های حرفه‌ای (Pro) ویندوز با BitLocker عرضه می‌شوند، اما این ابزار منبع‌بسته (Closed-source) است و به تراشه TPM متکی است که آسیب‌پذیری‌های شناخته‌سده‌ای دارد و با دسترسی فیزیکی قابل بهره‌برداری است. برای کاربران در معرض خطر بالا در ایران، ما استفاده از VeraCrypt را برای رمزنگاری سیستم توصیه می‌کنیم، زیرا متن‌باز است و قابلیت بازرسی امنیتی دارد.

  • رمزنگاری سیستم با VeraCrypt: جایگزین بوت‌لودر (Bootloader) ویندوز می‌شود. بلافاصله پس از روشن کردن دستگاه، نیاز به وارد کردن رمز عبور دارد.
  • سخت‌سازی BitLocker: اگر مجبور به استفاده از BitLocker هستید، به هیچ وجه به حالت پیش‌فرض "شفاف" (که به صورت خودکار قفل را باز می‌کند) اعتماد نکنید. باید از طریق Group Policy گزینه Pre-Boot PIN را فعال کنید تا دستگاه صرفاً با اتکا به تراشه TPM باز نشود.

مک (macOS): FileVault

کاربران مک باید بلافاصله FileVault را فعال کنند.

  • مسیر: System Settings > Privacy & Security > FileVault.
  • کلید بازیابی (Recovery Key): کلید بازیابی خود را نزد اپل ذخیره نکنید (یعنی از حساب iCloud برای باز کردن قفل استفاده نکنید). یک کلید بازیابی محلی (Local) تولید کنید و آن را در مکانی امن و فیزیکی یادداشت نمایید.

لینوکس: LUKS

LUKS (Linux Unified Key Setup) استاندارد رمزنگاری برای لینوکس است.

  • اکثر توزیع‌ها (مانند Ubuntu, Debian, Fedora) هنگام نصب پیشنهاد فعال‌سازی LUKS را می‌دهند. هنگام نصب سیستم عامل حتماً باید این گزینه را انتخاب کنید.
  • گزینه انهدام (پیشرفته): کاربرانی که از Kali Linux یا توزیع‌های تخصصی استفاده می‌کنند می‌توانند یک "رمز عبور انهدام" (Nuke Password) تنظیم کنند. اگر کاربر مجبور به وارد کردن رمز شود، با وارد کردن این رمز خاص، هدرهای رمزنگاری تخریب شده و بازیابی داده‌ها برای همیشه غیرممکن می‌شود.

۲. رمزنگاری کانتینری و انکار قابل‌باور

در ایران، ممکن است با "تحلیل رمز با شلنگ پلاستیکی" (Rubber-hose cryptanalysis) مواجه شوید—اصطلاحی که به وادار کردن شما به افشای رمز عبور از طریق اجبار یا تهدید اشاره دارد. انکار قابل‌باور (Plausible Deniability) دفاع شما در برابر این وضعیت است.

درایوهای مخفی VeraCrypt

نرم‌افزار VeraCrypt به شما اجازه می‌دهد یک "درایو مخفی" (Hidden Volume) درون یک درایو رمزنگاری‌شده استاندارد ایجاد کنید.

  1. درایو بیرونی (فریب/Decoy): این درایو حاوی داده‌های حساس "معمولی" است (مانند عکس‌های شخصی، اسناد غیرسیاسی). اگر تحت فشار قرار گرفتید، رمز این درایو را فاش می‌کنید.
  2. درایو داخلی (مخفی/Hidden): این درایو در "فضای خالی" درایو بیرونی قرار دارد. این بخش حاوی داده‌های حساس و حیاتی شماست (مانند اسناد حقوق بشری، هماهنگی‌های اعتراضات).

نحوه عملکرد:

  • وقتی فایل را باز (Mount) می‌کنید، از شما رمز عبور خواسته می‌شود.
  • اگر رمز فریب را وارد کنید، درایو بیرونی باز می‌شود.
  • اگر رمز مخفی را وارد کنید، درایو مخفی باز می‌شود.
  • از نظر ریاضی، اثبات وجود درایو مخفی غیرممکن است. برای یک بازجو یا متخصص فنی، فضای خالی درایو بیرونی صرفاً مانند نویزهای تصادفی (Random Noise) به نظر می‌رسد.

هشدار: برای حفظ انکار قابل‌باور، هنگام استفاده از درایو فریب نباید تصادفاً روی داده‌های مخفی بازنویسی کنید. VeraCrypt گزینه‌ای به نام "Protect Hidden Volume" دارد که هنگام باز کردن درایو بیرونی برای تعمیر و نگهداری، می‌توان آن را فعال کرد.

۳. رمزنگاری ابری (پیش از آپلود)

ارائه‌دهندگان فضای ابری (مانند گوگل درایو، دراپ‌باکس) می‌توانند فایل‌های شما را ببینند. در موارد حقوقی، ممکن است با احکام قضایی همکاری کنند یا حساب‌های کاربری آن‌ها هک شود.

Cryptomator

Cryptomator ابزار استاندارد برای رمزنگاری فایل‌ها پیش از همگام‌سازی آن‌ها با فضای ابری است. برخلاف VeraCrypt که یک فایل واحد و حجیم ایجاد می‌کند (که همگام‌سازی آن دشوار است)، Cryptomator هر فایل را به صورت جداگانه رمزنگاری می‌کند.

  • نحوه استفاده: یک "گاوصندوق" (Vault) در پوشه گوگل درایو یا دراپ‌باکس خود ایجاد کنید.
  • نتیجه: شما در درایو مجازی خود فایل‌های باز شده را می‌بینید، اما ارائه‌دهنده فضای ابری تنها نام‌های رمزنگاری شده و بی‌معنی (مانند d83ks92.c9r) را می‌بیند.
  • موبایل: Cryptomator اپلیکیشن‌های بسیار خوبی برای اندروید و iOS دارد که به شما امکان می‌دهد به این فایل‌های رمزنگاری شده ابری در گوشی خود دسترسی داشته باشید.

۴. امنیت دستگاه‌های موبایل

تلفن‌های هوشمند رایج‌ترین دستگاه‌هایی هستند که در ایران توقیف می‌شوند.

غیرفعال کردن بیومتریک (حالت Lockdown)

باز کردن قفل با اثر انگشت و تشخیص چهره راحت است اما خطرناک. یک مأمور می‌تواند به زور انگشت شما را روی سنسور فشار دهد یا گوشی را مقابل صورتتان نگه دارد.

  • اندروید: گزینه "Show Lockdown Option" را در تنظیمات فعال کنید. هنگام نزدیک شدن به ایست بازرسی، دکمه پاور را نگه دارید و Lockdown را بزنید. این کار بیومتریک را غیرفعال کرده و ورود پین/الگو را اجباری می‌کند.
  • iOS (آیفون): دکمه پاور + افزایش صدا را همزمان به مدت ۲ ثانیه نگه دارید (تا زمانی که اسلایدر ظاهر شود)، سپس لغو (Cancel) کنید. این کار FaceID/TouchID را تا ورود بعدی رمز عبور غیرفعال می‌کند.

اندروید: فضای خصوصی / پوشه امن (Private Space / Secure Folder)

نسخه‌های مدرن اندروید (اندروید ۱۵+ با "Private Space" یا سامسونگ با "Secure Folder") یک محیط ایزوله و رمزنگاری شده ایجاد می‌کنند.

  • برنامه‌ها و داده‌های داخل این فضا از سیستم عامل اصلی جدا هستند.
  • می‌توانید یک پین متفاوت برای این فضا تنظیم کنید.
  • نکته رازنت: برنامه‌های حساس (سیگنال، VPNها) را داخل این فضا نگه دارید. در برخی پیاده‌سازی‌ها، می‌توانید وجود این فضا را کاملاً "پنهان" کنید، به طوری که برای آشکار کردن آن نیاز به وارد کردن کد خاصی در شماره‌گیر تلفن یا نوار جستجو باشد.

۵. چک‌لیست‌های امنیتی

بهداشت سخت‌افزار

  • خاموش کردن: هنگام عبور از مرزها یا ایست‌های بازرسی، دستگاه خود را کاملاً خاموش کنید. کلیدهای رمزنگاری تا زمانی که دستگاه روشن است در حافظه موقت (RAM) باقی می‌مانند. خاموش کردن دستگاه باعث پاک شدن RAM می‌شود (دفاع Cold Boot).
  • حساب‌های کاربری جداگانه: اگر نمی‌توانید از دستگاه جداگانه استفاده کنید، برای کارهای حساس از یک پروفایل کاربری جداگانه در سیستم عامل استفاده کنید.

معیارهای انتخاب ابزار

ما فقط ابزارهایی را توصیه می‌کنیم که این استانداردها را داشته باشند:

  • متن‌باز (Open Source): کد برنامه باید قابل بازرسی باشد (مانند VeraCrypt, Cryptomator).
  • رمزنگاری سرتاسری (E2EE): کلیدها باید روی دستگاه شما باشند، نه روی سرور.
  • سابقه بازرسی: نرم‌افزار باید تحت بازرسی‌های امنیتی مستقل قرار گرفته باشد.

خلاصه ابزارهای پیشنهادی

هدفابزارپلتفرمتوضیحات
رمزنگاری دیسکVeraCryptویندوز/لینوکسبهترین گزینه برای انکار قابل‌باور.
رمزنگاری ابریCryptomatorهمهبهترین گزینه برای گوگل درایو/دراپ‌باکس.
دیسک مکFileVaultمک (macOS)از کلید بازیابی محلی (Local) استفاده کنید.
پشتیبان‌گیری موبایلSignalاندروید/iOSگزینه "Chat Backups" را با عبارت عبور ۳۰ رقمی فعال کنید.
حذف فایلBleachBitویندوز/لینوکسفضای خالی را به صورت امن پاکسازی می‌کند (بخش "حذف امن داده‌ها" را ببینید).

موضوعات مرتبط:

  • [[استراتژی‌های_پشتیبان‌گیری_و_بازیابی]]
  • [[ذخیره‌سازی_و_اشتراک‌گذاری_امن_ابری]]
  • [[حذف_امن_داده‌ها]]
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.