Данные в компьютерах обычно хранятся в открытом виде, как в Windows, так и в Linux, что дает доступ к любой информации практически любому, на нее покушающемуся или так случайному прохожему или даже неслучайному. Если вы хотите что-то скрыть от посторонних глаз, то эта статья для вас - умеренных параноиков и пользователей. Особенно это касается владельцев ноутбуков (про массовые кражи все читали). Многие люди создают кучу подпапок в самых разнообразных местах со страшенными названиями и путями (дабы запутать менее опытных юзеров), или же запароливают скрываемую информацию в архиве. Но это далеко не самый лучший и удобный способ скрыть свои данные. Так что хочу представить вам на суд бесплатную (open source) программу TrueCrypt. На фоне раскрученных криптографических систем, действительно шикарные разработки нередко остаются незамеченными. Программа TrueCrypt, распространяемая с открытыми исходниками (что фактически гарантирует отсутствие троянов, отмычек и черных входов для спецслужб), - это как раз тот самый случай. Создатели гордо заявляют: проверяйте сколько захотите, все равно нам нечего от вас скрывать. Огромный плюс для такого рода проектов и лишний повод спать спокойно (привет спецслужбам . Становится вдвойне приятно, когда осознаешь, что этот продукт ничуть не уступает коммерческим и даже превосходит их во многом. TrueCrypt – настолько простая в использовании программа, что ею могут пользоваться даже неподготовленные пользователи. Есть русский интерфейс, работает в ОС семейства Microsoft Windows XP/2000/2003/Vista и Linux, а также 64 разрядных версий Windows и Linux, записывает и читает данные буквально «на лету». Помимо этого, TrueCrypt поддерживает работу через командную строку и имеет отличную документацию с популярным описанием алгоритмов шифрования. Оно позволяет создавать виртуальный зашифрованный диск (том TrueCrypt) в виде файла и затем подключать его как настоящий диск. TrueCrypt также может зашифровать полностью раздел жёсткого диска или иного носителя информации, такой как флоппи-диск или USB флеш-память. Всё сохранённое в томе TrueCrypt полностью шифруется, включая имена файлов и папок. Том TrueCrypt подобен физическому жёсткому диску, поэтому, к примеру, восстанавливать файловую систему на шифрованном диске можно с помощью утилиты CHKDSK и так же возможно проводить дефрагментацию присоединённого тома TrueCrypt и т. п. Что в сумме гарантирует потрясающую надежность сохранения и хранения данных. Но обо всем по порядку. Возможности TrueCrypt Создание виртуального зашифрованного диска (криптоконтейнера): - внутри файла (файловом контейнере) и монтирование его как настоящего диска, что позволяет легко работать с ним — переносить, копировать (в том числе на внешние устройства в виде файла), переименовывать или удалять; - в виде целого зашифрованного раздела диска, что делает работу более производительной; - полностью шифровать содержимое устройства, такого как флоппи-диск или USB флеш-память. В список поддерживаемых TrueCrypt алгоритмов шифрования входят: AES, Serpent и Twofish. Все три алгоритма очень надежны, и сейчас не существует даже теоретического способа взлома, кроме метода полного перебора. Вы можете выбрать любой из них, но я советую сначала протестировать их на скорость на вашем компьютере (эта функция встроена в программу). Также возможно использование каскадного шифрования различными шифрами, к примеру: AES+Twofish+Serpent и т.п. Все алгоритмы шифрования используют LRW-режим, который более безопасен, нежели CBC-режим для шифрования на-лету. Программа позволяет выбрать одну из трёх хеш-функций: RIPEMD-160, SHA-1, Whirlpool для генерации ключей шифрования, соли, и ключа заголовка. Немного о хеш-функциях: - SHA-1 - появилась теоретическая возможность взлома, и хотя это скорее относится к письмам и цифровым подписям, не рекомендуется к применению. - RIPEMD-160 - стоит по умолчанию. Для этого алгоритма даже теоретически взлом пока не возможен. Но вот его предшественник RIPEMD уже себя дискредитировал. - Whirlpool - теоретически самая медленная, некоторые источники утверждают, что медленнее в 2-3 раза, чем остальные. Хотя мои тесты показали, что в TrueCrypt это не так. Как в Linux, так и в Windows XP отставание не более 5% от предыдущих. На сегодняшний момент это самый стойкий и молодой алгоритм. Из всего выше изложеного видно, что лучше использовать RIPEMD-160 или Whirlpool. Для доступа к зашифрованным данным программа позволяет задавать использование: пароля (ключевой фразы), ключевого файла (одного или нескольких) или все вместе. В качестве ключевых файлов можно использовать любые доступные файлы на локальных, сетевых, съемных дисках (при этом используются первые 1024 бит) или генерировать свои собственные ключевые файлы. Одной из примечательных возможностей TrueCrypt является то, что он обеспечивает два уровня правдоподобной отказоспособности, полезной в случаях вынужденного открытия пароля пользователем (говоря по русски, предусмотрена защита против взломов методом паяльника и других телесных повреждений): 1. Создание скрытого тома, что позволяет задать второй пароль (и набор ключевых файлов) к обычному тому для доступа к данным, к которым невозможно получить доступ с основным паролем. При этом скрытый том может иметь любую файловую систему и располагается в неиспользованном пространстве основного тома (то есть другими словами внутри зашифрованного контейнера можно спрятать еще один). 2. Ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt, как с программой его создавшей, ни в какой форме и рамках)! Другие возможности TrueCrypt: - Переносимость, что позволяет запускать TrueCrypt без установки в операционной системе. - Версии TrueCrypt доступны под Windows и Linux (говоря проще, вы можете использовать один и тот же том, как по сети, так и из различных операционных систем). - Поддержка создания зашифрованного динамического файла на NTFS дисках. Такие тома TrueCrypt растут по мере накопления новых данных вплоть до указанного максимального размера. Однако, использование подобной возможности несколько уменьшает производительность и безопасность системы. - Изменение паролей и ключевых файлов для тома без потери зашифрованных данных. - Возможность резервного сохранения и восстановления заголовков томов (1024 байт). Это может быть использовано для восстановления заголовка повреждённого файла, позволяя подсоединить том после ошибки на аппаратном уровне, в результате которого повредился заголовок. - Восстановление старого заголовка также сбрасывает пароли тома на те, что действительны для прежнего заголовка. - Возможность назначать комбинации клавиш для монтирования/размонтирования разделов (в том числе и быстрого размонтирования со стиранием ключа в памяти, закрытием окна и очисткой истории), отображения и сокрытия окна (и значка) TrueCrypt. - Возможность использовать TrueCrypt на компьютере с правами обычного пользователя (в том числе создавать и работать с контейнерами в файлах), правда, первоначальную установку программы должен сделать администратор. И это далеко не все возможности TrueCrypt, я предлагаю в остальных тонкостях программы разобраться вам самим, а сейчас на примере показать, как пользоваться программой, если вы не знакомы с программами подобного типа. Инсталляция Алгоритм установки и настройки этой программы предельно аскетичен и прост. 1. Скачиваем дистрибутив с официального сайта программы (1,49 Мб; TrueCrypt-4.3a, последняя версия на момент написания статьи): truecrypt.org/downloads.php 2. Скачиваем русскую локализацию, от Дм. Ерохина (27 кб): truecrypt.org/localizations.php 3. Распаковываем zip – архив дистрибутива, после чего TrueCrypt можно или установить в систему с помощью файла-инсталлера, или же перейти в папку Setup Files и сразу запустить исполняемый файл - TrueCrypt.exe (разницы никакой нет). 4. Соглашаемся с лицензией, и устанавливаем программу (тут ничего сложного). 5. Во время установки инсталлятор создаст точку восстановления, и после установки запустит программу – мастер создания шифрованных дисков. 6. На этом этапе, я предлагаю отказаться от мастера и закрыть программу, для того чтобы TrueCrypt при создании столь важных штук разговаривал с нами на нашем родном языке. 7. Для локализации программы необходимо извлечь из архива и скопировать языковой файл в каталог программы True Crypt (обычно это Crogram FilesTrueCrypt). Создание зашифрованного диска 1. Теперь можно смело запускать программу, например из меню “Пуск”. 2. Процесс начинается с нажатия кнопки «Создать том» (или из меню: Тома – Создать новый том), которая вызывает специальный мастер создания контейнеров. 3. На первом этапе мастер предлагает выбрать тип контейнера: обычный или скрытый. Сперва вам нужно создать обычный том (скрытый том, вы можете создать позже в уже созданном обычном), жмёте «Далее». 4. Размещение тома - это следующий шаг. Если ты планируешь создать мобильный контейнер, который можно перенести на другой жесткий диск или компьютер, необходимо обозначить файл, в котором он будет находиться (нажимаем Файл). TrueCrypt также позволяет шифровать целые устройства. Криптовать логические диски не всегда рационально, но зато полностью зашифрованная USB-флешка наверняка будет полезна. 5. На следующем шаге мастер предложит выбрать алгоритм шифрования данных, а также хэш-агоритм, который будет использоваться как
Статья неплохая, особенно информация о стойкости алгоритмов шифрования и хеширования полезна. Но вот то, что не раскрыта полностью тема о том, как трукриптом пользоваться нашему брату (т.е. лучше использовать криптоконтейнер на флешке или криптовать весь системный раздел/жесткий диск, об опасностях своп файла, файлов отчетов, дампов памяти и гибернации и т.д. в том же духе) - для статьи минус. Слышал, что уже определяют наличие тома и то что том трукрипта. Точно не помню, если смогу выкроить время - поищу инфу об этом. Возможно, зависит от качества энтропии при создании ключей. Активно шевелить мышкой и нажимать на разные клавиши нужно до нажатия на кнопку Разметить. Причем чем дольше, тем лучше. В процессе разметки и при создании ключей будет использована случайная последовательность, которую вы нашевелите.
На одном тематическом форуме похожий вопрос задавался экспертам. -- Вопрос - а если диск зашифрован и эксперт не может получить доступ к его содержимому: 1) может ли эксперт сделать однозначный вывод о том, что диск зашифрован? В большинстве случаев да. В многих криптосистемах пытаются реализовать правдоподобное отрицание, но всё это выглядит слабо. Я проводил исследование на эту тему, и пришел к выводу, что правдоподобное отрицание наличия больших объемов зашифрованных данных в реальной среде обработки информации невозможно. Все существующие модели работают либо в случае малых объемов (стеганография), либо являются сферическим конем в вакууме, так как не учитывают многих факторов, появляющихся в процессе работы с информацией. 2) Насколько технически грамотно будет такое заключение? можно ли возражать, что это просто невидимая область в результате аппартного сбоя винча? Лучше не стоит. Грамотная экспертиза сходу опровергнет такое утверждение. --
а возможна работа этой программы из под dos-а? хочу чтобы перед загрузкой системы он предлогал ввести пароль, и тут если вводишь 1-й пароль то он грузит 1-ю винду, а если 2-й то линукс ? или какой другой программой с шифрованием это возмонжо реализовать?
INV, предзагрузочная авторизация доступна в TrueCrypt после шифрования системного раздела/диска. На счет возможности работы ПО с несколькими ОС, одна из которых является подложной, информации не встречал. Но есть другой софт, который позволяет достичь нужного результата. _http://www.softkey.ru/catalog/program.php?ID=22269CID=163 Продукт коммерческий, поэтому здесь нет никаких гарантий. На свой страх и риск, так сказать )
ну в принципе мне кажется если предзагрузочно будет спрашиваться пароль и в зависимости от ввода его будут доступны разные логические диски, то будут грузиться разные системы. на следующей неделе куплю новый ноутбук, на нём поэксперементирую.
закриптовал весь системный диск, пароль спрашивает до загрузки системы, но пишет что установлен трайкрипт, можно ли как-то изменить это? что бы писал хотябы что хард повреждён и т.д.?
INV, можно, легко, в новых версиях. См. в официальном факе: hxxp://www.truecrypt.org/faq Вопрос I use pre-boot authentication. Can I configure the TrueCrypt Boot Loader to display only a fake error message? Если кратко, заходи в Settings > System Encryption, включаешь опцию 'Do not show any texts in the pre-boot authentication screen'. Или указываешь свою мессагу. Но! Загрузчик трукрипта все равно останется на диске. Так что ты таким ходом обманешь разве что офисную бабку-уборщицу. Спецсофт обязательно проверяет загрузчики. Да и наличие зашифрованных данных на диске от грамотного специалиста скрыть очень сложно (см. обсуждение выше).
Поставил TC себе на ноут, при установке он сросил сколько раз перезаписывать файлы и нужно ли вообще. это он про те файлы что были, или в дальнейшем они тоже будут сначало не шифрованными, а только потом он их зашифрует? P,S, шифровал весь диск