» TrueCrypt

Друзья, не хочу показаться назойливым... просто так как моё сообщение было последним на предыдущей страничке, боюсь что его просто не видно Продублирую..

Подскажите пожалуйста решение для моего случая:
Терминальный сервер, на нём есть TrueCrypt контейнер, и необходимо сделать так чтобы после перезагрузки этот контейнер надо было вручную подключить как диск и после этого все пользователи имели бы доступ к этому диску. Проблемы вот в чём:
1. Надо позволить это делать непривилегированному пользователю
2. Когда я (от администратора) монтирую контейнер к примеру в диск X: то у меня он виден, а вот в сеансах других пользователей почему то нет...
Подскажите пожалуйста как решить

Добрый день!
Ребята, помогите, пожалуйста, решить следующую проблему.
В связи с большой вероятностью проверки использования лицензионного софта, я решил поставить бесплатный Linux OpenSuse 10.3 с OpenOffice, а родную Windows XP зашифровать в TrueCrypt.
TrueCrypt я поставил под Windows, зашифровал системный раздел Windows. С горем пополам настроил взаимодействие загрузчика TrueCrypt и Grub (загрузчик Linux). Теперь после включения компа появляется поле для ввода пароля для загрузки Windows. При нажатии ESC перехожу в Grub, т.е. грузится Linux. В общем все работает. Для проверки дееспособности шифрования пробовал даже обойти TrueCrypt путем загрузки с Windows LiveCD и с дистрибутива Windows XP (в первом случае пишет "неизвестный формат", во втором - "ntldr is missing"). Т.е. шифрование работает правильно.

НО, каково было мое УДИВЛЕНИЕ, когда, загрузив Linux, я смог без проблем не только открыть свой раздел с Windows, но и редактировать его без ограничений!!!
Т.е. Linux даже не пытается скрыть мой зашифрованный раздел с Windows.
Вопрос: что нужно сделать, чтобы мой системный раздел не был виден в Linux, т.е. шифрование, которое функционирует в Windows, также работало и в Linux?
Ибо, какой тогда смысл в TrueCrypt, если Linux все равно дает возможность видеть раздел с Windows..?

Заранее спасибо!

asd1234 Ты случаем не на Rinetе сидиш?))

asd1234

Цитата:

НО, каково было мое УДИВЛЕНИЕ, когда, загрузив Linux, я смог без проблем не только открыть свой раздел с Windows, но и редактировать его без ограничений!!!
Т.е. Linux даже не пытается скрыть мой зашифрованный раздел с Windows.

Вы заинсталлировали TrueCrypt, но не зашифровали диск. Какой именно раздел видит линукс?

Я как раз то зашифровал системный раздел с Windows, поскольку он не виден с Windows LiveEdition. А Linux видит и этот зашифрованный и другие логические разделы с данными. Одним словом все разделы NTFS. Насколько я понимаю TrueCrypt деактивируется при запуске Linux.

asd1234

Цитата:

А Linux видит и этот зашифрованный и другие логические разделы с данными.

Что значит видит - вы можете спокойно открывать файлы и читать их?

Цитата:

Одним словом все разделы NTFS. Насколько я понимаю TrueCrypt деактивируется при запуске Linux.

Вы меня извините- но это похоже на бред. Инсталляция TrueCrypt - это еще не шифрование. Почитайте инструкцию, как это правильно делать и зашифруйте разделы.

1. Да, я могу спокойно открывать и читать файлы со всех разделов.
2. Что "инсталляция - еще не шифрование" я прекрасно понимаю. Я произвел шифрование первым делом как установил программу. И сейчас у меня системный раздел с Windows 100% зашифрован (о чем свидетельствует инф-ция из TrueCrypt Volume Properties).
Тем более при включении питания я ввожу пароль для загрузки Windows.

asd1234
Вообщем, если все так как Вы описываете, то это научная и технологическая сенсация. Если в Линуксе нет драйвера ТС который автоматически монтирует ТС раздел(интересно как без пароля?) , и раздел в виндовсе зашифрован, то я никак не могу себе представить такой ситуции.

Загрузитесь с какого-нибудь Live-CD для чистоты эксперимента и посмотрите(через hex-editor), как выглядит файловая система на зашифрованом системном разделе так сказать в натуральном виде. Могу поспорить что она все таки не зашифрована.
Возможно системный раздел у вас нестандартный? Как долго продолжалось шифрование и какой размер системного раздела?
Tолько системный раздел или и другие обычные зашифрованые разделы ведут себя подобным образом?

asd1234
Да нет, диск просто НЕ Шифрован. В зашифрованом виде, что диск, что контейнер, что файл - это просто набор бессмысленных символов. И только чудо может сотворить, то что Вы пишите: как terminat0r писал, если только в Линуксе прописат в автозагрузи батник с автомаунтом тома трукрипт с автоматическим вводом пароля. А это, извините, кроме Вас, никто бы не делал. А раз так - до диск просто не шифрован.

Идея появилась! Есть ли возможность организовать загрузку с флешки, чтобы покоцалась таблица разделов и загрузчик? То есть добиться того, чтобы нельзя было идентифицировать обычными средствами, что на диске вообще есть-то что-то осмысленное: разделы, загрузчик TC, тип файловой системы и т.п. вещи. Чтобы винт выглядел как железяка.

Подскажите как отключить кэширование подключенного тома?
Смысл такой - файлконтейер подмонтированного тома расположен на флешке. Хочется чтобы при удалении флешки (физически) данные на этом томе становились недоступными.
Как это сделать?

IFKruzenshtern
Странный вопрос. При физическом удалении флешки все итак захлопнется. Другое дело, если дергать флешку в момент вполнения файловых операция то можно угробить и флешку и сейф.
И в то же время, никто не мешает повесить операция отмонтирования диска с одновременной очисткой кеша на горячие клавиши (какой-нибудь удобный клавишный аккорд). Это штатная фишка трукрипта.

Ничего похожего - выдериргиваю флешку - том отстается - и данные тоже - даже закинуть файлы можно.
Насчет данных мне пофиг - есть копия - главное чтобы врагам не досталось.
Кнопками не удобно - так как может бть комп заблокирован - нужно физически

aar

Цитата:

Есть ли возможность организовать загрузку с флешки, чтобы покоцалась таблица разделов и загрузчик?

То есть организовать что-то вроде самоликвидации? А в какой момент и при каких обстоятельствах вы предполагаете использовать эту меру как защиту от оппонента?

makarei

Цитата:

А в какой момент и при каких обстоятельствах вы предполагаете использовать эту меру как защиту от оппонента?

В момент терморектального криптоанализа Давай по сути вопроса, если что есть.

aar
Суть в том, что если это ориентировано на конкретный случай когда это может помочь то это одно тело. А если в общем и серьезно, то это плохая идея, так как отсутствует возможность отрицать или не признавать наличие зашифрованного диска (plausible deniability), без сторонних операций, которые не всегда будет возможным задействовать с ожидаемым эффектом.

makarei

Понял.

Тогда поставлю задачу по-иному: при отсутствии флешки (или когда она повреждена) выдается надпись "Press any key to loading Microsoft Windows", и нажание клавиши эникей приводит к гроханию разделов. Нажатие заранее заданной клавиши отключает функцию удаления разделов.

Примерно так. Главное, суть — флешка и удаление разделов и загрузчика. Вокруг этого и плясать.

aar
Если о риске подобной меры известно, тогда можно попробовать что-то и придумать.


Цитата:

добиться того, чтобы нельзя было идентифицировать обычными средствами, что на диске вообще есть-то что-то осмысленное: разделы, загрузчик TC, тип файловой системы и т.п. вещи. Чтобы винт выглядел как железяка.

Поскольку форматы TC и DC совместимы то приведу следующую цитату:

Цитата:

Зашифрованный DiskCryptor раздел не содержит видимых сигнатур или иных идентификационных данных. Без знания пароля он неотличим от случайных чисел, и структура раздела может быть обнаружена лишь при наличии правильного пароля к нему.

Т.е. получается (насколько я это понимаю), что нужно затереть (обязательно многопроходно) только MBR. Пока что у меня нету на примете консольной утилиты для надежного затирания MBR, чтобы это все автоматически провернуть, но попробую поискать.

Подобная флэшка как я думаю должна быть лучше всего на основе DOS, для быстроты.

aar
А не пробовали ли вы грузить системный диск загрузчиком не от TC, а от DC, установленным на внешний носитель. С версии DC 0.4 добавлена поддержка режима шифрования XTS, который используется в новых TC, и теперь обе программы думаю должны уметь поднимать диски друг друга. Так что если бы такой трюк прошел, то это было бы хорошим решением у кого использование DC не проходит из-за ошибки 35 при шифровании.

makarei

Цитата:

Т.е. получается (насколько я это понимаю), что нужно затереть (обязательно многопроходно) только MBR. П

а причем здесь MBR??
он то как раз может быть любой
нужно затирать первые 512 байт раздела - так называемый header раздела, ну и таблицу разделов тоже заодно

IFKruzenshtern

Цитата:

Первый сектор (512 байт) раздела занимает заголовок тома (volume header). В нем хранится информация о разделе и ключи к всем пользовательским данным. Заголовок тома зашифрован AES-256 в режиме LRW ключом, полученным из пользовательского пароля.

Гуру!!
Кто может ответить на мой вопрос?
Просто срочно нужно!!
Как сделать чтобы при отключении флэшки на которой расположен файл-контейнер - примонтированый том становился недоступен??

Добавлено:
Ну вот и праивильно если затереть header - остальная часть раздела становиться бесполезным набором случайных цифр

IFKruzenshtern
Заголовок тома уже является бесполезным набором случайных данных, поскольку зашифрован, и не представляет ценности без пароля.

)))
ну вопрос то был: как противодействовать терморектальному криптоанализу
правильный ответ: затереть header - тогда можно со спокойной душой говорить правильный пароль под любыми детекторами


Добавлено:
Незабыть! ТС делает еще копию headera в конец раздела

IFKruzenshtern
Ах... если неразглашение данных превыше чего-либо иного, тогда да. Понятно

Странное дело : две флэшки по 8Гб - на компах без трукрипта файлы с них стираются и можно на них (на флешки) записать, а на компах с трукриптом - винда пишет, что диск (флешка) защищен от записи ...

Кто-нить сталкивался ? Или я чего не так настроил в трукрипте ?

P.S. Под компами с трукриптом я имею ввиду компы со скрытой ОС.

Для DOS флэшки я ничего найти не смог для безопасного затирания выбираемых пользователем областей. Покопался на форуме TC где нашел два возможных способа затирания заголовков:

No.1 --- С использованием nix программы dd, на каком нибудь меленько дистрибутиве, скажем grml-small (60MB) на флэшке:

dd if=/dev/random of=<TC'd hdd> bs=32256 count=1 (или то же самое --- dd if=/dev/random of=<TC'd hdd> bs=512 count=63)

И также нужно расчитать где затереть резервную копию заголовка. Команды затирания лучше повторить несколько раз. Думаю это возможно автоматизировать в скрипте.

No.2 --- Заместить заголовки заголовками другого тома (не знаю правда применимо ли это к системному диску или нет, так как тема старая):


Цитата:

To securely delete volume A headers:

Take or create volume B;
Backup volume B headers;
(Optionally get rid of volume B);
Restore volume B headers over volume A headers (this overwrite headers once. B headers allow to "mount" the volume, but not to access volume A contents)
(Optionally get rid of volume B header backup);
Change password, using volume B data (password, etc.)


During a password change, TrueCrypt overwrites the corresponding volume header 35 times with random data.

Unfortunately, as of today, this can not be triggered outside of a password change (so it takes time, and can not be used in case of emergency).

И как сказано это нужно сделать два раза:

Цитата:

Only one volume header can be restored at a time. To restore both headers, you need to use the function twice

Или может еще найти консольную утилиту для Windows, которая может безопасно перезаписать указанные области заголовков на диске. Потом выключаем комп, и все.

Статья про терморектальный криптоанализ - "Взлом" грубой силой: полиция получила пароль с помощью пыток.

Версия 6.1.
Windows 2003 SP2 Ent Rus.
Пытаюсь создать 200-Гб ntfs диск. Получаю: "Недостаточно системных ресурсов".
Core 2 Quad, 4 GB, 500 Гб.
В чем может быть дело?

valhalla
Зашифруй диск с помощью DiskCryptor, а потом монтируй его TC.

Обновлённый файл русского языка для версии 6.1 отправлен разработчикам.