TrueCrypt — отличный инструмент для шифрации Ваших данных. С помощью этой программы Вы
формируете криптографический контейнер, который может выглядеть, как любой файл. Или как видео-файл огромных размеров или как файл подкачки. В любом случае, догадаться, что это крипто-контейнер может оказаться достаточно сложно. Вы подключаете с помощью программы True Crypt данный контейнер, вводите пароль и он подключается, как диск. Далее, работаете как с обычным винчестером ни о чем не задумываясь.
формируете криптографический контейнер, который может выглядеть, как любой файл. Или как видео-файл огромных размеров или как файл подкачки. В любом случае, догадаться, что это крипто-контейнер может оказаться достаточно сложно. Вы подключаете с помощью программы True Crypt данный контейнер, вводите пароль и он подключается, как диск. Далее, работаете как с обычным винчестером ни о чем не задумываясь.
Данная программа развивалась как свободно распространяемая с открытым исходным кодом.
Стала очень популярной, т.к. данная программа кросс-платформенная и работает в основных компьютерных операционных системах: Windows, Linux и MacOS. Но, в один прекрасный момент, разработчик удалил все экземпляры из репозитария. Якобы причиной этого стало то, что есть внутри данной программы уязвимость. Но, думаю, реальная причина — «наезд» правоохранительных органов. Т.к. данная программа работала настолько
отлично, что криминал начал её активно использовать… И как результат, спец-службам стало проблематично получать доступ к данным, изымая компьютеры или сервера.
Стала очень популярной, т.к. данная программа кросс-платформенная и работает в основных компьютерных операционных системах: Windows, Linux и MacOS. Но, в один прекрасный момент, разработчик удалил все экземпляры из репозитария. Якобы причиной этого стало то, что есть внутри данной программы уязвимость. Но, думаю, реальная причина — «наезд» правоохранительных органов. Т.к. данная программа работала настолько
отлично, что криминал начал её активно использовать… И как результат, спец-службам стало проблематично получать доступ к данным, изымая компьютеры или сервера.
Как бы то ни было. Скажу по своему опыту: программа эффективна и оправдывает свое существование. Более того — бесплтна! А если Вы уж так боитесь, что есть «заплатка», можете закачать последний доступный
исходный код, проанализировать его и сделать свою компиляцию «без заплаток»
исходный код, проанализировать его и сделать свою компиляцию «без заплаток»
Далее, приведу описание данной программы, взятое из свободных источников информации:
Описание TrueCrypt
TrueCrypt
— компьютерная программа для шифрования «на лету» (On-the-fly encryption) для 32- и 64-разрядных операционных систем семейств Microsoft Windows NT 5 и новее (GUI-интерфейс), Linux и Mac OS X. Она
позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жёсткого диска или иного носителя информации, такой как
флоппи-диск или USB флеш-память. Все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому
с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.
— компьютерная программа для шифрования «на лету» (On-the-fly encryption) для 32- и 64-разрядных операционных систем семейств Microsoft Windows NT 5 и новее (GUI-интерфейс), Linux и Mac OS X. Она
позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt также можно полностью шифровать раздел жёсткого диска или иного носителя информации, такой как
флоппи-диск или USB флеш-память. Все сохранённые данные в томе TrueCrypt полностью шифруются, включая имена файлов и каталогов. Смонтированный том TrueCrypt подобен обычному логическому диску, поэтому
с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы.
Лицензия программы считалась свободной, однако при её проверке для включения TrueCrypt в
Fedora в октябре 2008 года были обнаружены опасные и делающие её несвободной неоднозначности. К ноябрю в лицензию были внесены исправления.
Fedora в октябре 2008 года были обнаружены опасные и делающие её несвободной неоднозначности. К ноябрю в лицензию были внесены исправления.
28 мая 2014 проект был закрыт, разработка свёрнута. Все старые версии удалены, репозиторий
очищен. Обстоятельства закрытия проекта вызвали множество догадок и обсуждений в ИТ сообществе.
очищен. Обстоятельства закрытия проекта вызвали множество догадок и обсуждений в ИТ сообществе.
Закачка программы TrueCrypt
- Версия для Mac OS X (подпись)
- Версия для Linux 32-бит (подпись)
- Версия для Linux 64-бит (подпись)
- Консольная версия для Linux, 32-бит (подпись)
- Консольная версия для Linux, 64-бит (подпись)
- Исходный код (подпись)
- История версий (англ.)
- Открытый GPG-ключ TrueCrypt Foundation: копия на keys.mozilla.org и локальная копия. См. инструкцию по проверке подписи от проекта Tor.
Описание работы в Truecrypt
БАЗОВЫЙ УРОВЕНЬ
- О программе TrueCrypt. Немного теории
- Установка TrueCrypt, русификация и настройка. TrueCrypt Portable
- Создание простого тома и его монтирование (подключение) для последующей работы
- Защита флешки паролем при помощи TrueCrypt. Шифрование несистемного диска и внешних носителей
ПРОДВИНУТЫЙ УРОВЕНЬ (это вторая часть статьи)
- Создание скрытого тома TrueCrypt
- Шифрование системного диска и операционной системы (ОС)
- Создание скрытой ОС
- Немного о дешифрации
- TrueCrypt и виртуальные машины
- Правдоподобное отрицание причастности (Plausible Deniability)
- Требования безопасности, меры предосторожности, утечки данных
И начну я, как вы уже догадались из заголовка, с Базового уровня. Итак, поехали!
О программе TrueCrypt. Немного теории
TrueCrypt
– это бесплатное, кроссплатформенное криптографическое программное обеспечение (ПО) с открытым исходным кодом для шифрования данных «на лету» (On-the-fly encryption).
– это бесплатное, кроссплатформенное криптографическое программное обеспечение (ПО) с открытым исходным кодом для шифрования данных «на лету» (On-the-fly encryption).
Данное ПО позволяет создавать отдельные криптоконтейнеры, шифровать целые разделы дисков,
сами диски (в т.ч. и системные), а также съемные устройства хранения данных (USB-флешки, floppy-диски, внешние HDD).
сами диски (в т.ч. и системные), а также съемные устройства хранения данных (USB-флешки, floppy-диски, внешние HDD).
Шифрование «на лету» означает, что все данные шифруются и дешифруются перед непосредственным
обращением к ним (чтение или сохранение), и какого-либо участия пользователя в этом процессе не требуется. При всем при этом данные шифруются в полном объеме, включая заголовки файлов, их содержимое,
метаданные и т.п. Работает такое шифрование примерно так…
обращением к ним (чтение или сохранение), и какого-либо участия пользователя в этом процессе не требуется. При всем при этом данные шифруются в полном объеме, включая заголовки файлов, их содержимое,
метаданные и т.п. Работает такое шифрование примерно так…
Допустим, у вас имеется видео-файл (пусть это будет приватное хоум-видео =)), который хранится в
зашифрованном контейнере. Следовательно, сам файл тоже зашифрован. При обращении к этому файлу (т.е. вы клацнули на нем дважды, и запустили) будет запущена программа, которая ассоциирована с этим типом файлов
(напр., VLC Media Player, или любой другой проигрыватель). Естественно, речь идет о ситуации, когда том смонтирован.
зашифрованном контейнере. Следовательно, сам файл тоже зашифрован. При обращении к этому файлу (т.е. вы клацнули на нем дважды, и запустили) будет запущена программа, которая ассоциирована с этим типом файлов
(напр., VLC Media Player, или любой другой проигрыватель). Естественно, речь идет о ситуации, когда том смонтирован.
Так вот, при запуске файла через VLC Media Player, этот проигрыватель начинает загружать
небольшие порции данных из зашифрованного тома в ОЗУ (оперативную память), чтобы начать их воспроизводить. Пока часть этих данных загружается, TrueCrypt их расшифровывает в ОЗУ (не на HDD, как это
делают, например, архиваторы, создавая временные файлы, а именно в оперативной памяти). После того, как часть данных дешифруется, они воспроизводятся в проигрывателе, тем временем в ОЗУ поступает новая
порция зашифрованных данных. И так циклически, пока идет обращение к зашифрованному файлу.
небольшие порции данных из зашифрованного тома в ОЗУ (оперативную память), чтобы начать их воспроизводить. Пока часть этих данных загружается, TrueCrypt их расшифровывает в ОЗУ (не на HDD, как это
делают, например, архиваторы, создавая временные файлы, а именно в оперативной памяти). После того, как часть данных дешифруется, они воспроизводятся в проигрывателе, тем временем в ОЗУ поступает новая
порция зашифрованных данных. И так циклически, пока идет обращение к зашифрованному файлу.
Обратным примером шифрования «на лету» (и очень показательным), является то, например, как
работают архиваторы (WinRAR, 7-Zip и проч.). Как многие из вас знают, при запуске запароленного архива, после введения пароля, необходимо дождаться момента, когда искомый файл разархивируется (извлечется), и
только после этого он сможет быть прочитан (запустится). В зависимости от размера заархивированного файла и общего размера архива – это может занять очень длительное время. Кроме того, архиваторы создают временные локальные копии извлекаемых файлов, которые уже расшифрованы и хранятся
на жестком диске в открытом виде. О чем я уже упоминал, и что не есть хорошо, когда речь идет о чем-то конфиденциальном. Смонтированный же том, аналогичен обычному логическому диску или подключенному внешнему устройству (напр., флешке). И в этом плане с томом можно работать посредством всех стандартных средств, как-то, проводник Windows, файловый менеджер и т.д.. В том числе и скорость работы с этим
виртуальным диском (томом) чисто визуально аналогична тому, как если бы вы работали с обычным HDD или флешкой.
работают архиваторы (WinRAR, 7-Zip и проч.). Как многие из вас знают, при запуске запароленного архива, после введения пароля, необходимо дождаться момента, когда искомый файл разархивируется (извлечется), и
только после этого он сможет быть прочитан (запустится). В зависимости от размера заархивированного файла и общего размера архива – это может занять очень длительное время. Кроме того, архиваторы создают временные локальные копии извлекаемых файлов, которые уже расшифрованы и хранятся
на жестком диске в открытом виде. О чем я уже упоминал, и что не есть хорошо, когда речь идет о чем-то конфиденциальном. Смонтированный же том, аналогичен обычному логическому диску или подключенному внешнему устройству (напр., флешке). И в этом плане с томом можно работать посредством всех стандартных средств, как-то, проводник Windows, файловый менеджер и т.д.. В том числе и скорость работы с этим
виртуальным диском (томом) чисто визуально аналогична тому, как если бы вы работали с обычным HDD или флешкой.
И еще один момент — все данные, находящиеся в зашифрованном контейнере (разделе диска,
логическом диске, съемном носителе, etc.) могут быть расшифрованы только при введении соответствующего пароля или ключевого файла. Не зная пароль, или не имея key-файла, расшифровать данные практически не
представляется возможным. По крайней мере, в наш век и в ближайшие годы. Итак, подытожим ключевые особенности и возможности, а также преимущества TrueCrypt:
логическом диске, съемном носителе, etc.) могут быть расшифрованы только при введении соответствующего пароля или ключевого файла. Не зная пароль, или не имея key-файла, расшифровать данные практически не
представляется возможным. По крайней мере, в наш век и в ближайшие годы. Итак, подытожим ключевые особенности и возможности, а также преимущества TrueCrypt:
- открытый исходный код, свободное (бесплатное) распространение, а
также возможность портативного использования (portable truecrypt); - кроссплатформенность – на момент написания статьи, TrueCrypt
работает с ОС Windows, начиная с 2000/XP и выше (x32/x64), GNU/Linux
(32- и 64-разрядные версии, ядро 2.6 или совместимое) и Mac OS X (10.4
Tiger и выше); - стойкие алгоритмы шифрования — AES-256, Serpent и Twofish (в т.ч. и возможность их комбинирования);
- шифрование осуществляется «на лету» (в реальном времени), и совершенно не заметно для пользователя;
- возможность создания как отдельных файловых контейнеров (в том числе
и динамически расширяющихся), так и шифрования целых разделов жесткого
диска, включая системные (дозагрузочная аутентификация); - создание зашифрованных контейнеров, как на локальных дисках, так и на съемных, в том числе и в «облаке»;
- внешне криптоконтейнер может выглядеть как обычный файл с любым
расширением (или же без расширения), например, txt, doc(x), mp3, img,
iso, mpg, avi и т.д.; - полное шифрование содержимого устройств — жестких дисков, съемных носителей;
- создание скрытых томов, в т.ч. и скрытой ОС;
- различные вариации правдоподобного отрицания причастности, включая и
то, что в системе невозможно однозначно определить наличие томов
TrueCrypt – они представляют собой всего лишь набор случайных данных и
идентифицировать их с TrueCrypt не представляется возможным (не считая
метода termorectum cryptoanalysis); - и множество, множество других возможностей и функций….
Что касается открытого исходного кода…
Вообще, это считается гарантией того, что разработчик не «вшил» какие-то лазейки («закладки»,
«бэкдоры») в свой продукт. Ведь любой желающий (это, конечно, грубо сказано, т.к. для этого нужно обладать очень обширными знаниями, профессиональными навыками и некими аппаратными ресурсами, но факт остается фактом – код доступен для каждого) может проанализировать исходные коды, и поделиться своим исследованием с сообществом. И я целиком и полностью поддерживаю эту концепцию.
«бэкдоры») в свой продукт. Ведь любой желающий (это, конечно, грубо сказано, т.к. для этого нужно обладать очень обширными знаниями, профессиональными навыками и некими аппаратными ресурсами, но факт остается фактом – код доступен для каждого) может проанализировать исходные коды, и поделиться своим исследованием с сообществом. И я целиком и полностью поддерживаю эту концепцию.
Для сравнения возьмем другое криптографическое ПО, встроенное в некоторые версии Windows – BitLocker.
Исходные коды BitLocker закрыты, где тогда гарантия того, что в него не вшиты бэкдоры? Где гарантия того, что BitLocker не имеет общего мастер-ключа для дешифрации данных? Аналогичная ситуация складывается и с
прочим ПО с закрытыми исходниками.
Исходные коды BitLocker закрыты, где тогда гарантия того, что в него не вшиты бэкдоры? Где гарантия того, что BitLocker не имеет общего мастер-ключа для дешифрации данных? Аналогичная ситуация складывается и с
прочим ПО с закрытыми исходниками.
Это, конечно же, не значит, что тот же BitLocker наверняка имеет «закладки». Но и подтвердить обратное не представляется возможным.
Так что, гарантий никаких. А учитывая все те же разоблачения Сноудена, выбор в сторону свободного и открытого ПО становится очевидным. Особенно, когда речь идет о критических данных.
Так что, гарантий никаких. А учитывая все те же разоблачения Сноудена, выбор в сторону свободного и открытого ПО становится очевидным. Особенно, когда речь идет о критических данных.
Что касается TrueCrypt, то здесь есть занятный момент. Совсем недавно был создан проект IsTrueCryptAuditedYet, и начат сбор средств для оплаты независимого аудита TrueCrypt. Сам аудит предполагается провести по следующим направлениям:
- юридический анализ лицензии ТруКрипт на соответствие требованиям, к примеру, лицензии GNU GPL (т.е. действительно ли данное ПО может считаться свободным);
- проверка на идентичность исходных кодов и бинарных версий ТруКрипт – идентичность позволит уверенно заявлять, что в исполняемый exe-файл с офсайта не «вшиты» никакие бэкдоры;
- полный аудит исходников
Заявленная сумма уже набрана, но сбор еще продолжается (на момент написания статьи). И первые
результаты не заставили себя долго ждать. В конце октября были опубликованы результаты проверки на идентичность готовой сборки (exe-файла с официального сайта) сборке, созданной собственными
усилиями из исходников. Вердикт – официальная сборка (дистрибутив) не содержит каких-либо скрытых функций. Что ж, это радует. Осталось дождаться главного – проведения полного аудита.
результаты не заставили себя долго ждать. В конце октября были опубликованы результаты проверки на идентичность готовой сборки (exe-файла с официального сайта) сборке, созданной собственными
усилиями из исходников. Вердикт – официальная сборка (дистрибутив) не содержит каких-либо скрытых функций. Что ж, это радует. Осталось дождаться главного – проведения полного аудита.
Ну а мы плавно перейдем к практике…
Установка TrueCrypt, русификация и настройка. TrueCrypt Portable
Первым делом, конечно
же, нужно скачать TrueCrypt. Делаем это исключительно с официального
сайта http://www.truecrypt.org/downloads (официальный сайт закрыт! Читайте об этом по предупредительной ссылке в начале статьи). Текущая актуальная версия — 7.1a.
же, нужно скачать TrueCrypt. Делаем это исключительно с официального
сайта http://www.truecrypt.org/downloads (официальный сайт закрыт! Читайте об этом по предупредительной ссылке в начале статьи). Текущая актуальная версия — 7.1a.
Дальше запускаем
скачанный файл, соглашаемся с лицензий и жмем «Далее». В следующем окне
нам будет предложено два варианта на выбор: «Install» или «Extract».
скачанный файл, соглашаемся с лицензий и жмем «Далее». В следующем окне
нам будет предложено два варианта на выбор: «Install» или «Extract».
Если выбрать вариант «Extract», то на выходе вы получите версию TrueCrypt Portable. Во многих случаях портативная версия предпочтительней. Например, чтобы исключить признаки использования данной программы (для этого извлеките файлы, к примеру, на флешку, и программа всегда будет с вами). Но
следует помнить, что Portable версия TrueCrypt имеет ряд ограничений – в такой версии невозможно будет полностью зашифровать диски (в т.ч. и флешки) и системные разделы. Поэтому стоит выбирать используемую версию в зависимости от потребностей.
следует помнить, что Portable версия TrueCrypt имеет ряд ограничений – в такой версии невозможно будет полностью зашифровать диски (в т.ч. и флешки) и системные разделы. Поэтому стоит выбирать используемую версию в зависимости от потребностей.
В данной статье мы будем работать с установленным TrueCrypt .
После установки программа предложит вам внести donate (пожертвование), и, если такая возможность у вас имеется, не скупитесь =)
После нажатия на «Finish» появится небольшое окно, где вас уведомят о том, что если вы впервые пользуетесь ТруКриптом, то можете ознакомиться с краткой инструкцией (на английском). Можете согласиться или отказаться.
Теперь, для удобства, можно русифицировать наш TrueCrypt. Официальные локализации находятся
также на офсайте программы http://www.truecrypt.org/localizations.
Имеется и украинский перевод, и белорусский, и многие другие. Выбирайте какой вам ближе всего.
также на офсайте программы http://www.truecrypt.org/localizations.
Имеется и украинский перевод, и белорусский, и многие другие. Выбирайте какой вам ближе всего.
Стоит отметить, что в русификаторе находится еще и официальная инструкция TrueCrypt (TrueCrypt User Guide.ru.pdf), о которой я говорил ранее. Настоятельно рекомендую прочитать ее по мере свободного времени. Узнаете очень много нового и полезного! Если же вы поместите этот документ вместе с файлом русификации в директорию TrueCrypt, то русскоязычная справка будет в последующем доступна и из меню программы («Справка» – «Руководство пользователя»), что очень удобно.
Итак, чтобы русифицировать ТруКрипт, следует извлечь из скачанного архива файл Language.ru.xml в папку с установленной программой (по умолчанию – это C:\Program Files\TrueCrypt).
Затем запускаем TrueCrypt, и видим, наконец, рабочую область программы.
У меня ТруКрипт автоматически «подхватил» русский язык. Если же этого не произошло, то зайдите в «Settings» – «Language», и выберите из списка «Русский».
Теперь я рекомендую внести некоторые изменения в настройки («Настройки» – «Параметры…»), но все это не столь критично, кроме нескольких моментов, поэтому выбирайте по своему усмотрению.
Опишу только ключевые детали, и то, что нужно изменить:
- Ни в коем случае не отключаем работу TrueCrypt в фоновом режиме (должна стоять галочка «Включено»), иначе некоторый важный функционал будет недоступен.
- В разделе «Автоматическое размонтирование» можно активировать пункт, отвечающий за размонтирование при старте экранной заставки (а также при входе в энергосбережение). Также обязательно активируем возможность размонтирования при простое, и указываем время простоя (напр., 30 минут). Ни к чему держать смонтированные тома, когда они нам не нужны.
- И последнее – включим принудительную очистку кэша паролей (т.е. их запоминание) при выходе из программы.
Все остальное можно оставить по умолчанию.
Хотелось бы еще упомянуть об используемых в TrueCrypt горячих клавишах («Настройки» – «Горячие клавиши…»).
В принципе, достаточно будет назначить всего одну критическую комбинацию клавиш, которая позволит немедленно размонтировать все тома, очистить кэш и выйти из программы. В форс-мажорных ситуациях может
здорово выручить =)
В принципе, достаточно будет назначить всего одну критическую комбинацию клавиш, которая позволит немедленно размонтировать все тома, очистить кэш и выйти из программы. В форс-мажорных ситуациях может
здорово выручить =)
Мне, например, удобна
комбинация «Ctrl + Shift + Стрелка вниз», как показано на рисунке. Первые две находятся очень близко, и легко зажимаются одним пальцем, ну а «стрелка вниз» нажимается другой рукой – все происходит почти
мгновенно.
комбинация «Ctrl + Shift + Стрелка вниз», как показано на рисунке. Первые две находятся очень близко, и легко зажимаются одним пальцем, ну а «стрелка вниз» нажимается другой рукой – все происходит почти
мгновенно.
Так-с, TrueCrypt мы установили, русифицировали, немного поправили настройки, самое время теперь перейти непосредственно к работе с программой…
Создание простого тома и его монтирование (подключение) для последующей работы
В TrueCrypt томами называются любые криптоконтейнеры, будь-то файловые контейнеры, usb-флешки или целые разделы HDD. Простым (обычным) томом называется именно файловый контейнер. То есть, со стороны такой контейнер – это всего лишь обычный файл, с абсолютно любым расширением (или без него).
Когда же такой файл будет смонтирован, он будет выглядеть уже как съемный носитель, или отдельный раздел жесткого диска. Нажимаем кнопку «Создать том» в главном окне программы, после чего нас поприветствует «Мастер создания томов TrueCrypt»:
Когда же такой файл будет смонтирован, он будет выглядеть уже как съемный носитель, или отдельный раздел жесткого диска. Нажимаем кнопку «Создать том» в главном окне программы, после чего нас поприветствует «Мастер создания томов TrueCrypt»:
Выбираем самый первый пункт «Создать зашифрованный файловый контейнер», жмем «Далее». В следующем окне указываем «Обычный том», а дальше нужно будет указать файл, который и будет являться нашим зашифрованным контейнером.
В качестве файла-контейнера можно выбрать любой существующий файл (но помните, что сам файл будет удален, и заменен на новый, с таким же именем), а можно просто создать пустой файл с любым именем. В качестве выбора расширения файла можно руководствоваться примерно следующим принципом.
Если в контейнере планируется хранение множества зашифрованных данных большого размера, то
следует выбирать расширение, характерное для больших файлов. Это может быть, например, видеофайл с названием какого-нибудь фильма и указанием качества (DVDRip, BDRip и т.п.), или же, iso-образ какой-нибудь игры, или любой другой дистрибутив. В общем, чтобы скрыть наличие контейнера в системе, выбирайте для него то расширение, каких файлов в системе много. Таким образом, контейнер «затеряется» в общей массе.
следует выбирать расширение, характерное для больших файлов. Это может быть, например, видеофайл с названием какого-нибудь фильма и указанием качества (DVDRip, BDRip и т.п.), или же, iso-образ какой-нибудь игры, или любой другой дистрибутив. В общем, чтобы скрыть наличие контейнера в системе, выбирайте для него то расширение, каких файлов в системе много. Таким образом, контейнер «затеряется» в общей массе.
Если же в зашифрованном томе планируется хранить только небольшие файлы (документы, какую-то
базу и проч.), то можно в качестве расширения файла выбрать, напр., mp3 или jpg. Я думаю, принцип понятен.
базу и проч.), то можно в качестве расширения файла выбрать, напр., mp3 или jpg. Я думаю, принцип понятен.
Когда укажете файл, не забудьте в том же окне отметить пункт «Не сохранять историю».
Следующим этапом будет «Настройка шифрования»:
В принципе, здесь можно оставить все как есть, и не менять алгоритмы шифрования и хеширования.
Но, для большей стойкости, можно выбрать алгоритм «посильнее», или же их сочетание (в выпадающем списке алгоритмы расположены в порядке возрастания, а также к каждому из них дается краткое пояснение). Но
помните, чем более стойкий алгоритм, тем медленнее будет работать шифрация/дешифрация. На современных многопроцессорных компьютерах с большим кол-вом ОЗУ, по идее, это будет не особенно заметно. Но зачем
усложнять себе жизнь (только при условии, что шифруемые данные не столь критичны)? Алгоритм AES сам по себе более чем стойкий. Кстати, чтобы протестировать скорость алгоритмов конкретно на вашем компьютере, существует кнопка «Тест» (также эта функция всегда доступна из меню «Сервис» – «Тест скорости…»)
Но, для большей стойкости, можно выбрать алгоритм «посильнее», или же их сочетание (в выпадающем списке алгоритмы расположены в порядке возрастания, а также к каждому из них дается краткое пояснение). Но
помните, чем более стойкий алгоритм, тем медленнее будет работать шифрация/дешифрация. На современных многопроцессорных компьютерах с большим кол-вом ОЗУ, по идее, это будет не особенно заметно. Но зачем
усложнять себе жизнь (только при условии, что шифруемые данные не столь критичны)? Алгоритм AES сам по себе более чем стойкий. Кстати, чтобы протестировать скорость алгоритмов конкретно на вашем компьютере, существует кнопка «Тест» (также эта функция всегда доступна из меню «Сервис» – «Тест скорости…»)
Следующий этап — это указание размера тома. Размер можно указать в Кб, Мб или Гб. По потребностям.
Далее последует очень важный этап – создание пароля.
В TrueCrypt (как и в KeePass,
кстати) существует возможность использования не только пароля, но и ключевого файла (или даже нескольких key-файлов). Вариаций здесь всего
несколько:
кстати) существует возможность использования не только пароля, но и ключевого файла (или даже нескольких key-файлов). Вариаций здесь всего
несколько:
- только пароль;
- только ключевой файл (или несколько таких файлов);
- сочетание пароля и ключевого файла(ов)
Выбор остается за вами,
и зависит от критичности шифруемых данных. То есть, если вы просто
хотите спрятать какой-то контент, скажем от детей, то можно использовать
пароль попроще. Или выбрать вариант только с ключевым файлом.
и зависит от критичности шифруемых данных. То есть, если вы просто
хотите спрятать какой-то контент, скажем от детей, то можно использовать
пароль попроще. Или выбрать вариант только с ключевым файлом.
Если же шифруемые
данные – это какая-то очень важная БД (например, незашифрованные пароли в
формате txt, как многие любят хранить), или какая-то незаконная
информация (в том числе какое-то пиратское ПО) и т.п., то целесообразно
использовать сложный пароль (хороший генератор паролей имеется, опять
же, в KeePass, в 1Password и т.д.) или же сочетание сложного пароля и ключевых файлов.
данные – это какая-то очень важная БД (например, незашифрованные пароли в
формате txt, как многие любят хранить), или какая-то незаконная
информация (в том числе какое-то пиратское ПО) и т.п., то целесообразно
использовать сложный пароль (хороший генератор паролей имеется, опять
же, в KeePass, в 1Password и т.д.) или же сочетание сложного пароля и ключевых файлов.
Помните
одно очень важное правило! Если вы забудете пароль от контейнера или
ключевой файл к нему будет утерян (поврежден, изменен), то вы больше
никогда не сможете смонтировать этот том! Поэтому заранее позаботьтесь о
резервных копиях и паролей, и ключевых файлов. Резервных копий должно
быть несколько!
одно очень важное правило! Если вы забудете пароль от контейнера или
ключевой файл к нему будет утерян (поврежден, изменен), то вы больше
никогда не сможете смонтировать этот том! Поэтому заранее позаботьтесь о
резервных копиях и паролей, и ключевых файлов. Резервных копий должно
быть несколько!
Если вы выбрали вариант с обычным паролем, то просто введите его дважды и жмите далее. Можно воспользоваться чекбоксом «Показ пароля»,
чтобы видеть то, что вы вводите. Также TrueCrypt дает вам свои
рекомендации по выбору пароля. В случае если пароль будет очень простым,
то программа вас переспросит еще раз, действительно ли вы хотите
использовать такой пароль или нет.
чтобы видеть то, что вы вводите. Также TrueCrypt дает вам свои
рекомендации по выбору пароля. В случае если пароль будет очень простым,
то программа вас переспросит еще раз, действительно ли вы хотите
использовать такой пароль или нет.
Кстати, при выборе пароля можете воспользоваться моими рекомендациями из статьи «Как выбрать пароль. Ликбез по парольной защите». Очень рекомендую.
Дальше ТруКрипт
поинтересуется у вас, собираетесь ли вы хранить большие файлы в данном
томе, и, на основе вашего ответа, подберет файловую систему для него
(FAT или NTFS).
поинтересуется у вас, собираетесь ли вы хранить большие файлы в данном
томе, и, на основе вашего ответа, подберет файловую систему для него
(FAT или NTFS).
Впрочем, на следующем этапе («Форматирование тома»)
вы все равно сможете сами ее изменить. Но, помните, что FAT не
поддерживает файлы, размером больше 4 Гб. Также на этом этапе можно
указать, что вы хотите создать «Динамический том». Но этого не
рекомендует делать ни сам TrueCrypt, ни я =) Хотите узнать почему? Нет
ничего проще — отметьте галочкой этот пункт, и прочитайте
предупреждение. После чего с чистой совестью жмите «Нет».
вы все равно сможете сами ее изменить. Но, помните, что FAT не
поддерживает файлы, размером больше 4 Гб. Также на этом этапе можно
указать, что вы хотите создать «Динамический том». Но этого не
рекомендует делать ни сам TrueCrypt, ни я =) Хотите узнать почему? Нет
ничего проще — отметьте галочкой этот пункт, и прочитайте
предупреждение. После чего с чистой совестью жмите «Нет».
Итак, файловую систему
для тома выбрали, кластер оставляем по умолчанию, динамический том не
используем. Осталось хаотично поперемещать некоторое время мышкой для
увеличения криптостойкости ключей шифрования, нажать «Разметить» и дождаться окончания процедуры. Время форматирования будет зависеть, в первую очередь, от размера тома и мощности компьютера.
для тома выбрали, кластер оставляем по умолчанию, динамический том не
используем. Осталось хаотично поперемещать некоторое время мышкой для
увеличения криптостойкости ключей шифрования, нажать «Разметить» и дождаться окончания процедуры. Время форматирования будет зависеть, в первую очередь, от размера тома и мощности компьютера.
Все, файловый
криптоконтейнер (простой том) создан. Теперь его нужно смонтировать,
чтобы поместить туда наши сокровенные файлики =) Это делается из
главного окна программы:
криптоконтейнер (простой том) создан. Теперь его нужно смонтировать,
чтобы поместить туда наши сокровенные файлики =) Это делается из
главного окна программы:
- Первым делом указываем букву будущего виртуального диска. Выбираем
любую, которая заведомо не будет использоваться в дальнейшем другими
программами, например, локальным веб-сервером, чтобы не возникло
конфликтов - Нажимаем «Файл…», указываем созданный на предыдущем этапе файл, затем «Открыть»
- Жмем «Смонтировать»
В открывшемся окне
нужно будет ввести пароль для подключаемого тома. Если же для тома
назначен ключевой файл, его также нужно будет указать.
нужно будет ввести пароль для подключаемого тома. Если же для тома
назначен ключевой файл, его также нужно будет указать.
Вот и вся процедура
монтирования. Теперь, в главном окне TrueCrypt можно увидеть
смонтированный диск, двойной щелчок по которому откроет его.
монтирования. Теперь, в главном окне TrueCrypt можно увидеть
смонтированный диск, двойной щелчок по которому откроет его.
Попасть в этот
виртуальный диск можно и через «Мой компьютер», и через «Пуск» и т.д. То
есть абсолютно также, как и на обычный жесткий диск или его разделы.
виртуальный диск можно и через «Мой компьютер», и через «Пуск» и т.д. То
есть абсолютно также, как и на обычный жесткий диск или его разделы.
Теперь можете переместить на этот диск все конфиденциальные данные, и они будут надежно защищены.
Этот криптоконтейнер можно хранить где угодно – хоть на флешке, хоть на хостинге (Гигахост, например, выделяет всем по 33 Гб), хоть в облачных сервисах (все в том же Облаке@Mail.ru, если хотите), хоть пересылать его по почте (в зависимости от размера, конечно). А также делать его бэкапы путем простого копирования файла.
Удобно, не правда ли?
Удобно, не правда ли?
Похожим образом, но с некоторыми нюансами, можно «поставить пароль на флешку» или зашифровать весь диск.
Защита флешки паролем при помощи TrueCrypt. Шифрование несистемного диска и внешних носителей
Шифрование флешки, внешнего HDD и несистемного диска осуществляется одинаково. Поэтому я
буду показывать на примере несистемного раздела. Для примера возьмем компьютер, на котором установлен один жесткий диск. Тот, в свою очередь, разбит на два раздела – системный, имеющий метку «Локальный диск» и буквенное обозначение C, и несистемный — «Новый том» (E:)
буду показывать на примере несистемного раздела. Для примера возьмем компьютер, на котором установлен один жесткий диск. Тот, в свою очередь, разбит на два раздела – системный, имеющий метку «Локальный диск» и буквенное обозначение C, и несистемный — «Новый том» (E:)
Задача – полностью зашифровать диск E.
По большому счету, вся процедура очень похожа на создание файлового криптоконтейнера, поэтому
так подробно я уже описывать все не буду. Буду лишь делать акцент на каких-то важных деталях.
так подробно я уже описывать все не буду. Буду лишь делать акцент на каких-то важных деталях.
В главном окне TrueCrypt нажимаем «Создать том». Только на этот раз в «Мастере» выбираем второй пункт — «Зашифровать несистемный раздел/диск». Далее указываем «Обычный том» (о скрытых томах речь пойдет во второй части статьи).
В следующем окне нужно указать шифруемое устройство. Выбираем наш раздел:
Здесь важно не напутать диски и разделы. Как видно на скриншоте выше, каждое физическое
устройство (HDD или USB-флешка) имеют разделы (Partition). В моем примере жесткий диск имеет две партиции, флешка – одну. В общем, чтобы не спутать, ориентируйтесь на букву, присвоенную диску, которую вы
видите, войдя в «Мой компьютер» Выбирайте нужный раздел, диск, или съемный носитель, и жмите «ОК». TrueCrypt в очередной раз заботливо поинтересуется, уверены ли вы в своем выборе, и порекомендует вам (если вы новичок) воспользоваться файловыми контейнерами. Но ты, читатель, уже тёртый калач, и знаешь, как создавать криптоконтейнеры. Поэтому вежливо отказываешься от предложения и подтверждаешь свои намерения закриптовать весь раздел.
устройство (HDD или USB-флешка) имеют разделы (Partition). В моем примере жесткий диск имеет две партиции, флешка – одну. В общем, чтобы не спутать, ориентируйтесь на букву, присвоенную диску, которую вы
видите, войдя в «Мой компьютер» Выбирайте нужный раздел, диск, или съемный носитель, и жмите «ОК». TrueCrypt в очередной раз заботливо поинтересуется, уверены ли вы в своем выборе, и порекомендует вам (если вы новичок) воспользоваться файловыми контейнерами. Но ты, читатель, уже тёртый калач, и знаешь, как создавать криптоконтейнеры. Поэтому вежливо отказываешься от предложения и подтверждаешь свои намерения закриптовать весь раздел.
На следующем этапе следует определиться с выбором режима создания тома:
- При выборе первого варианта — «Создать и отформатировать зашифрованный том» — следует знать, что все данные на нем, если они имеются, будут уничтожены (перезаписаны случайными данными). Поэтому этот режим выбирайте только тогда, когда имеющиеся данные не нужны, или раздел/диск/флешка пустой.
- Если требуется сохранить все имеющиеся на диске данные – выбираем второй режим «Зашифровать раздел на месте». Создание тома в этом режиме будет протекать медленнее, чем в предыдущем. Но оно и понятно, ведь данные не удаляются, а шифруются.
В следующем окне нужно будет настроить шифрование. Об этом мы говорили в разделе о создании
простого тома (файлового контейнера). В абсолютном большинстве случаев достаточно будет оставить все по умолчанию.
простого тома (файлового контейнера). В абсолютном большинстве случаев достаточно будет оставить все по умолчанию.
Дальше тоже все аналогично, как и с криптоконтейнерами – выбираем пароль и/или ключевой файл(ы). В качестве файловой системы целесообразней будет выбрать NTFS, ведь это целый диск, и мало ли какие файлы по размеру вам придется на нем хранить. А FAT, как вы знаете, не поддерживает файлы > 4 Гб.
На последнем этапе вам нужно будет, как и раньше, хаотично подвигать мышкой в окне программы
(чем дольше, тем лучше), чтобы повысить криптостойкость ключей шифрования (энтропия). И создать, наконец, зашифрованный том (кнопка «Разметить»).
(чем дольше, тем лучше), чтобы повысить криптостойкость ключей шифрования (энтропия). И создать, наконец, зашифрованный том (кнопка «Разметить»).
Эта процедура может занять достаточное количество времени, особенно, если вы выбрали режим шифрования имеющихся файлов, а не их удаление и перезапись случайными данными. Также эта процедура зависит от мощности компьютера, и, конечно же, от размера создаваемого тома. В моем примере, учитывая весьма
урезанную в ресурсах виртуалку и объем раздела в 6 Гб, ушло приблизительно 15-20 минут. На реальном современном компьютере эта процедура, конечно, прошла бы в разы шустрее.
урезанную в ресурсах виртуалку и объем раздела в 6 Гб, ушло приблизительно 15-20 минут. На реальном современном компьютере эта процедура, конечно, прошла бы в разы шустрее.
Во время форматирования и создания тома, в принципе, вы можете использовать свой компьютер для
повседневных задач. Но я бы все-таки рекомендовал оставить его в покое, заняться другими делами, и дать ТруКрипту спокойно доделать свое дело.
повседневных задач. Но я бы все-таки рекомендовал оставить его в покое, заняться другими делами, и дать ТруКрипту спокойно доделать свое дело.
После создания тома прочтите последние рекомендации TrueCrypt в появившемся окне и запомните их. Ваш диск зашифрован.
Монтируется такой том абсолютно идентично тому, как монтируется простой том, и об этом мы уже
говорили. Только при указании тома нужно выбирать не «Файл…», а «Устройство…»
говорили. Только при указании тома нужно выбирать не «Файл…», а «Устройство…»
Выглядеть же такой раздел/диск/флешка будет как не отформатированный диск, а при монтировании, ему будет назначена новая буква. Предыдущий «диск» так и будет висеть в системе с той же буквой, и в том же «не
отформатированном» виде.
отформатированном» виде.
Теперь вы с легкостью сможете создать не только зашифрованный контейнер (как говорят в народе —
«поставить пароль на папку»), но и зашифровать всю флешку или несистемный диск.
«поставить пароль на папку»), но и зашифровать всю флешку или несистемный диск.
А в заключение первой части хотелось бы дать еще несколько наставлений, а где-то может и повториться.
TrueCrypt – довольно серьезное криптографическое ПО, им пользуются различные категории
пользователей, от самых обыкновенных (порнушку спрятать, например) до киберпреступников (с его помощью можно творить действительно удивительные вещи, и об этом мы поговорим во второй части). Поэтому,
несмотря на то, что описанные сегодня процедуры достаточно просты (да и ТруКрипт каждое действие сопровождает очень подробными комментариями и пояснениями), будьте предельно внимательны при создании томов. Особенно, когда речь идет о шифровании дисков с данными, которые вам нельзя
потерять.
пользователей, от самых обыкновенных (порнушку спрятать, например) до киберпреступников (с его помощью можно творить действительно удивительные вещи, и об этом мы поговорим во второй части). Поэтому,
несмотря на то, что описанные сегодня процедуры достаточно просты (да и ТруКрипт каждое действие сопровождает очень подробными комментариями и пояснениями), будьте предельно внимательны при создании томов. Особенно, когда речь идет о шифровании дисков с данными, которые вам нельзя
потерять.
Также очень трепетно и внимательно отнеситесь к вопросу выбора и создания паролей. Не забывайте
делать их резервные копии. Помните, потеряв пароль или ключевой файл – можете попрощаться со своими данными навсегда!
делать их резервные копии. Помните, потеряв пароль или ключевой файл – можете попрощаться со своими данными навсегда!
Клоны Truecrypt
Столкнувшись с закрытием проекта Truecrypt официальными разработчиками, многие разработчики задались целью создать свою программу шифрования, используя исходные коды последних версий данной программы. Таким образом, появилось большое количество свободно распространяемых продуктов шифрования. Например, CipherShed, VeraCrypt.
Программа VeraCrypt, в отличие от TrueCrypt поддерживается и обладает рядом преимуществ:
Для генерации ключа TrueCrypt использует относительно простую трансформацию пароля: 1000 или
2000 итераций функции PBKDF2-RIPEMD160. По нынешним временам, когда злоумышленники могут арендовать для брутфорса очень большие вычислительные мощности у облачного провайдера, это недостаточная
сложность. В VeraCrypt при генерации ключа используется 327 661 итерация PBKDF2-RIPEMD160 для системного раздела, а также 655 331 итераций PBKDF2-RIPEMD160 и 500 000 итераций SHA-2 и Whirlpool для остальных контейнеров. Таким образом, устойчивость перед брутфорсом улучшилась на порядок.
2000 итераций функции PBKDF2-RIPEMD160. По нынешним временам, когда злоумышленники могут арендовать для брутфорса очень большие вычислительные мощности у облачного провайдера, это недостаточная
сложность. В VeraCrypt при генерации ключа используется 327 661 итерация PBKDF2-RIPEMD160 для системного раздела, а также 655 331 итераций PBKDF2-RIPEMD160 и 500 000 итераций SHA-2 и Whirlpool для остальных контейнеров. Таким образом, устойчивость перед брутфорсом улучшилась на порядок.
Правда, форматы контейнеров VeraCrypt из-за этого стали несовместимы с TrueCrypt. Для сравнения, контейнеры CipherShed совместимы с TrueCrypt.
Кроме улучшенной защиты, автор исправил потенциальные уязвимости TrueCrypt в программных интерфейсах и драйверах. Появилась совместимость с UEFI, так что шифрование дисков можно использовать, например, на Windows 8 и 10.
Автор VeraCrypt Моунир Идрасси вполне нормально относится к тому, что анонимные авторы TrueCrypt забросили проект. «Если вы посмотрите на код, то складывается впечатление, что им было по 40+ лет ещё в 1995 году, — говорит он, имея в виду сложный и качественный код программы с первых версий. — Так что
сейчас им больше 60-ти. Они, вероятно, устали и отошли от дел».
сейчас им больше 60-ти. Они, вероятно, устали и отошли от дел».
Официальный сайт программы VeraCrypt: https://veracrypt.codeplex.com/
Leave a Reply