» TrueCrypt (часть 2)

WELL
Цитата:

Вряд ли. Кому он кроме РФ нужен?

позволю себе не согласиццо.. имхо, сам по себе алгоритм никак не привязан к стране..
в частности, в платном BestCrypt'е он присутствовал.. наряду с остальными..
и стойкость ГОСТовского шифрования уж точно ничуть не хуже, чем AES/DES..
другое дело, что стандарт не полностью открыт.. наши люди бдят.. :)

---

italyan
Цитата:

как можно восстановить

резервная копия заголовка тома есть?

Cytozine
МФТ-шка как раз вся наверное успела зашифроваться. Раздел видется как неотформатированный?
Тогда в путь с Power Data Recovery, R-Studio, Ontrack EasyRecovery Professional и прочим добром. Вытягивай как с отформатированного диска, если фрагментация невелика, вытаскиваться без особого труда будет

TheBarmaley
нет.

A1eksandr1
Спасибо большое за совет. Прибегнул к R-Studio, вытащил практически всё. Кое-что всё же попортилось, но совсем уж мелочи, их и не жалко. Буду аккуратнее.

Опубликована версия 2.0 пакета русификации TrueCrypt 7.0a.
Помимо многочисленных корректировок самого языкового файла пакет теперь включает Руководство пользователя на русском языке.
К сожалению, все гиперссылки при создании PDF-файла слетели (о чём авторы были предупреждены, но, видимо, проигнорировали это). В остальном – жду ваших замечаний и исправлений.

Вопрос следующий. Если системный диск зашифрован TrueCrypt, то при анализе жесткого диска загрузчик TrueCrypt будет обнаружен и станет понятно, что диск зашифрован с помощью этой программы. Можно ли этого избежать? Например, поместить загрузчик на флэшку или еще как-то?

Задавал подобный вопрос относительно DiskCryptor, мне ответили, что да, можно загрузчик DiskCryptor можно держать на флэшке.

DimmY
Цитата:

все гиперссылки при создании PDF-файла слетели

потыкал для пробы - большая часть корректно переходит..
правда, немного "съехала" разбивка страниц (появились "дыры" между темами), но это мелочи..

вопчем, за перевод мануала - отдельное спасибо!.. ну и - , ессно.. :)

TheBarmaley

Цитата:

большая часть корректно переходит

Сравните с англоязычным файлом, и вы поймёте, о чём я говорю. Внутри текста ссылки полетели.
А "дыры" были изначально в текстовом документе, я думал, в этом есть какой-то неизвестный мне смысл, и потому не стал ничего менять. Может, проблема в том, что исходный текст авторы дают в формате OpenOffice, а этот самый OOo – как многие наши ООО, т.е. Общества Отсутствия Ответственности, короче, кривой продукт.

townhost33
Да, на флешке, диске, другом харде, тут никаких ограничений нет.
Вместе с русским языковым модулем идёт переведённое руководство пользователя, там твой вопрос рассматривается. Да и вообще полезно ознакомиться, много полезного изложено

A1eksandr1
Я читал руководство. Там сказано, что можно помещать загрузчик на флэшке, диске и пр., однако не указано, как это конкретно сделать.

Я так понимаю, что нужно сначала изменить настройки в биосе таким образом, чтобы комп грузился сначала с флэшке (вариант - с диска, если диск восстановления находится на диске). Потом отформатировать место в начале жесткого диска, где установлен загрузчик программы с помощью Acronis. А затем уже можно грузиться с переносного носителя. Так или что-то упустил?

DimmY
Цитата:

Внутри текста ссылки полетели

я не тупой.. ;)
там и проверял.. и в содержании, и в самом тексте.. за все не скажу, но чё тыкал - работает..
в содержании была пара глючков, но так и не понял, почему..
Цитата:

А "дыры" были изначально в текстовом документе

не совсем так.. если смотреть в страничном режиме, а не в виде сплошного текста, часть заголовков начинается с верха страницы (если сравнивать с оригиналом), а в переводе они попадают на предыдущие.. причина то понятна, но, возможно, отсюда и косяки с переходами - потерялись текстовые "якоря"..

зы.
сорри за офф, а чем делал пдф? просто выводил на виртуальный "пдф-принтер" или акробатом?
по идее, акробат должен корректно выводить.. при условии, что он "понимает" исходный формат..
но формально надо было проверять переходы в переведённом в исходном формате, а потом гнать в пдф..
хотя, если честно, я бы не стал все привязки проверять, уж больно муторно.. :)

Господа, приветствую. Знаю, что здесь сидят достаточно подкованные в ИТ люди и кодеры. Вопрос больше адресован к последним. Сейчас постараюсь описать задачу, а потом сформулировать вопрос, ибо он легче задачи.
Задача:
Есть несколько шифрованных ноутов. Юзеры естественно знают пароль. Если приходят маски-шоу - по горячей кнопке вырубается электричество, ноуты без батарей. Играет роль человеческий фактор, как обычно.
Мысль:
Добавить хот-кей и "админский" пароль, который задействуется при принудительном выключении компа нажатием данного хот-кея. Соответственно, даже если кто-то сообщит свой пароль - нужно будет предварительно ввести "админ-пароль".
Вопрос:
На сколько это сложно и во сколько это обойдется?
P.S. Я не кодер и не админ, сумму готов выделить из своего бюджета, соответственно миллионами тут не пахнет. Если есть желающие кодеры - пишите в личку срок и сумму. А здесь предлагаю обсудить суть, может кто-нибудь подскажет альтернативный вариант решения трабла.
P.P.S. Работа для кодера периодическая, есть еще задумки, которые можно реализовать только сторонним вмешательством. Про нарушение GPL можно не упоминать, т.к. софт будет использоваться только в закрытом кругу, готов выложить сорцы на SF или GitHub, да и из за того, что он меня выручал не раз - донейт авторам пополняю и так по возможности..

TheBarmaley

Цитата:

там и проверял.. и в содержании, и в самом тексте.. за все не скажу, но чё тыкал - работает..

Опс... Это уже интересно. В содержании у меня мало что работает. Например, на стр. 2 всё, что ниже "ГЛАВНОЕ ОКНО ПРОГРАММЫ" – работает у вас?

Цитата:

не совсем так.. если смотреть в страничном режиме, а не в виде сплошного текста, часть заголовков начинается с верха страницы (если сравнивать с оригиналом)

Что вы понимаете по "оригиналом"? Я – файл TrueCrypt User Guide.en.odt. Посмотрите в нём, например, страницы 46-47.

Цитата:

а чем делал пдф?

Ничем. Созданием PDF занимаются авторы программы. Я лишь предоставляю им "сырьё" в виде файла ODT. Но, насколько я знаю, для вывода используется именно акробат.

Цитата:

я бы не стал все привязки проверять, уж больно муторно

Ну, уж не более муторно, чем перевести более 300 Кбайт текста. :)
Потому и сожалею: времени было потрачено немало, а результат получился не таким, как хотелось бы.

townhost33
Можно так, что то я уже подзабыл можно ли сразу на системный диск не размещать загрузчик.
В биос естественно выбираешь устройство с загрузчиком для старта (двд, флешка, другой диск)

snkreg
Тут не кодера, а среднего сис админа думаю хватит. Сперва опиши вариант как зашифровано: системный раздел, несистемный с данными, где загрузчик лежит?

Из вариантов что первое в голову приходит:
1. Использовать для шифрования кроме пароля кейфайл, и настроить по горячей клавиши перед выключение ПК его удаление (у себя естественно копию держать)
2. Либо вообще сделать флешку, на которую вынести кейфайл, а можно и загрузчик, и выдавать её пользователям на момент запуска ПК.

A1eksandr1
Спасибо за ответ. Смотри, зашифрован весь диск. Кейфайл не подойдет, т.к. юзеры выполняют свою работу. Говорить им лишнего не стоит, каждый знает свой пароль и этого достаточно. Я вообще думал - нанять еникейщика, и чтобы он с утра запускал ноуты. Но опять таки - человеческий фактор. Я бываю в офисе редко. Так что наверное пока мой вариант актуальнее, если он выполним и за адекватную плату. Вообще думал все на удаленный сервер вынести, и по рдп, но моих знаний не хватит и дорого все это..

2_Алл
дока - часть системы, поэтому просьба ногами не бить и оффом не щитать.. :)

---

DimmY
Цитата:

на стр. 2 всё, что ниже "ГЛАВНОЕ ОКНО ПРОГРАММЫ" – работает у вас?

ссылка на сам заголовок работает.. и дальше, начиная с верха стр.3..
НЕ работают подзаголовки на с.2 от "создание скрытой оп.системы .. 48" до "операции с томами .. 55"..
что самое (не)смешное - страницы в содержании и "по факту" не совпадают..
напр., "главное окно программы" вместо с.53 лежит на с.59..
возможно, косяк при сборке оглавления, т.е. не обновилось (или криво обновилось) само поле содержания..
Цитата:

Что вы понимаете по "оригиналом"? Я – файл TrueCrypt User Guide.en.odt

не, я смотрел уже "на выходе", т.е. саму аглицкую пдф-ку версии 7.0а, которую сабж из установщика вытаскивает..
хотя, в принципе, разбивка по страницам должна совпадать с исходным одт-файлом..
в англ.пдф-ке в конце с.46 пусто.. ну и правильно - на с.47 начинается новый раздел "hidden operating system"..
Цитата:

предоставляю им "сырьё" в виде файла ODT

ха! так отсюда главный вопрос - шаблон оформления и стилей в исходнике и в переводе используется одинаковый?
ну, иначе говоря - авторы отдают переводчику исходный файл ВМЕСТЕ с шаблоном оформления?
если нет - косяк можно объяснить несовпадением уровней вложенности заголовков и соответссных "якорей" в тексте..
т.е. чисто оформительская проблема.. про ОО не скажу, не пользуюсь, но в мелкософтовом офисе это критично..
Цитата:

не более муторно, чем перевести более 300 Кбайт текста

дык, тогда уж надо проверять ваще все линки внутри текста.. я бы повесился.. :)
Цитата:

результат получился не таким

не всё так страшно, если проблема возникла из-за несовпадения стилей в шаблонах оформления, можно взять "их" шаблон и перецепить к переводу.. хотя бы на время редактирования.. именно - прицепить "их" щаблон на свою систему, а не просто перезадать его в свойствах документа..

проверить можно так - поставь на своей тачке любой бол-мен вменяемый пдф-принтер и попробуй выгнать файл перевода..
если у тебя всё заработает - однозначно, косяк из-за нестыковки стилей в твоём шаблоне и у них..

ну и ещё - версия ОО у тебя и у них совпадает? теоретически должно быть пофигу, но мало ли..

зы.
ещё потыкал.. да, похоже, так оно и есть - дело в шаблоне, не определены уровни заголовков..
например, ссылка на "тома -> автомонтирование всех томов.." (по оглавл. на с.56) ведёт в хвост с.62, а там косяк "во всей красе" - заголовок напрочь "оторван" от текста "См. раздел Автомонтирование" в начале с.63..
т.е. это был нифига не заголовок, если мыслить издательскими терминами..

А подскажите, пожалуйста, как из командной строки Ubuntu смонтировать и размонтировать скрытый том (не контейнер)? (truecrypt --help не помог... либо не понял как....)
Например, внутри одного шифрованного тома на /dev/sdb1 есть другой (скрытый) том. Его надо смонтировать в /media/d/hidden.

Спасибо.

Доброго времени суток.

Хотя True Crypt и Open Source , всё-таки интересует вопрос о наличии или отсутствии в нём бэкдоров и других незадокументированных возможностей для взлома шифрования , проводился ли анализ кода данной программы на наличие таких возможностей , ну скажем тем же журналом Хакер или т.п. и где об том можно почитать ?

snkreg

Цитата:

Добавить хот-кей и "админский" пароль, который задействуется при принудительном выключении компа нажатием данного хот-кея. Соответственно, даже если кто-то сообщит свой пароль - нужно будет предварительно ввести "админ-пароль".

Похоже ваша задача не допустить слива информации, если кто-то разболтает пароль. Как возможный вариант - автоматическое затирание загрузчика ТС в MBR (и рекавери ключи не помню есть ли они в системном для ТС?) при форс мажоре, прямо перед выключением света. Это возможно и даже ковыряться в ТС не надо. Просто написать демон который периодически проверяет или даже пингует какую то фигню на вашем серваке. Если ответа нет (т.е. форсмажор началася) то демон затирает быстренько что надо и может даже рапортовать на тот же сервер о результате. Потом тушим свет. Разумеется надо держать копии загрузчиков с мастеркодами и например их варианты где пароль изменен на админ-пароль в надежном укромном месте.

ТС не предусматривает множественные пароли. Закодить это в него не изменяя стандартный формат раздела сложно если вообще возможно

Kopernik_31
Можете спокойно использовать. Нет там бакдоров
Пароль главное криптостойкий применяйте и не допускайте косвенных утечек его выявления. Вот и всё!

Kopernik_31
Цитата:

вопрос о наличии или отсутствии в нём бэкдоров и других

старое правило - если тырнет молчит, значит ещё не сломали.. или упорно копали, но нифига не нашли.. ;)
в опен-сорсе не может быть закладок.. по определению.. иначе давно бы уже шум-гам поднялся..
и ещё - внимательное изучение документации ведёт к пониманию невозможности этого в принципе.. :)

---

2_Алл
добавил в шапку сцылу на "дружественный" ресурс, которая почему-то исчезла в этой части..

terminat0r
Воо, это ближе к делу.

Цитата:

Закодить это в него не изменяя стандартный формат раздела сложно если вообще возможно

За это - отдельное спасибо. Теперь понял, что идея не факт, что выполнима, а если и выполнима - то затрат будет множество.
Скажите, а что можно демону проверять? Манагеры работают с офисом, 1с, и тд. Но они же могут отлучится на обед\перекур\по нужде. И еще - МБР же можно самому восстановить, соответственно потом ввести слитый пароль, или нет?А демон можно наверное и на AutoIT написать. Кстати о нем и о сабже, но уже не о всей системе а просто о контейнерах:
Есть скрипт(сорец приведен ниже) который монтирует контейнер при подключении флешки. Довольно удобно, если отлучаешься от компа не на долго. Правда его косяк в том что пароль хранится в нем, и можно отреверсить, тем более, что AutoIT декомпиллится отлично.
Возможности:
1.Валидность USB накопителя проверяется по хэшу серийного номера USB накопителя.
2. Все данные в реестре шифруются по вашему ключу с помощью алгоритма RC4.
3. Ключевой файл хранится только в самой программе и генерируется лишь после того как подключен привязанный USB накопитель, после чего сразу удаляется.
4. При извлечении валидного USB накопителя, зашифрованный контейнер отключается с параметром /force.
5. Никаких лишних окон и вопросов, все прозрачно.
Минусов хватает, но мб найдется энтузиаст и допилит сие творение.
[more=исходник]
Код: #include <md5.au3> ; библиотека для работы с md5
#include <constants.au3>
#include <string.au3>

If WinExists(@ScriptName) Then Exit ; Запрещаем повторный запуск скрипта
AutoItWinSetTitle(@ScriptName)

AutoItSetOption ("TrayIconHide", 1 ) ; Спрятать иконку в трее
AutoItSetOption ("TrayIconDebug", 1 )

$key = "0x1234Af3d21" ; Ключ шифрования, должен быть такой-же как и в конфигураторе
$truecrypt = "C:\Program Files\TrueCrypt\TrueCrypt.exe" ; Путь до TrueCrypt

$drive = BinaryToString(_StringEncrypt(0,RegRead("HKCU\Software\USBToken","Flash"),$key,2))
$serial = _StringEncrypt(0,RegRead("HKCU\Software\USBToken","Serial"),$key,2)
$passwd = BinaryToString(_StringEncrypt(0,RegRead("HKCU\Software\USBToken","Master"),$key,2))
$path = BinaryToString(_StringEncrypt(0,RegRead("HKCU\Software\USBToken","Path"),$key,2))
$mount = _StringEncrypt(0,RegRead("HKCU\Software\USBToken","Mount"),$key,2)

While 1

if DriveStatus($drive) <> "READY" OR md5(DriveGetSerial($drive)) <> $serial AND DriveStatus($mount) = "READY" then
Run($truecrypt & ' /f /q /d ' & $mount)
endif

if DriveStatus($drive) = "READY" AND md5(DriveGetSerial($drive)) = $serial AND DriveStatus($mount) <> "READY" then

$file = FileOpen(@TempDir & "\master.key", 2)
FileWrite ($file, _StringEncrypt(1,RegRead("HKCU\Software\USBToken","Serial") & RegRead("HKCU\Software\USBToken","Master") & RegRead("HKCU\Software\USBToken","Mount") & RegRead("HKCU\Software\USBToken","Flash") & RegRead("HKCU\Software\USBToken","Path") & @ComputerName & @UserName, $key,2))
FileClose($file)
Run($truecrypt & ' /a /q /s /b /v ' & $path & " /l " & $mount & " /k " & @TempDir & "\master.key" & " /p " & $passwd)
Sleep(2000)
FileDelete(@TempDir & "\master.key")

else
endif
Sleep(5000)
WEnd

Сейчас установлен truecrypt 6.3a, которым зашифрован несистемный раздел диска. Подскажите, как обновиться до версии 7.0a? Нужно ли удалять предыдущую и расшифровывать раздел?

Доброго времени суток
есть такая проблема, есть один физический диск, на котором было два раздела, на одном была windows7 32bit, на другом данные, вся система была полностью зашифрована truecrypt'om. Возникла необходимость переустановить на w7 64bit и при установке был отформатирован диск ОС. После установки второй диск стал отображался как свободное место. Как можно вернуть\расшифровать второй диск. имеется truecrypt rescue disk от прошлой системы. Пароль известнет. Спасибо за любую помощь

snkreg

Цитата:

Скажите, а что можно демону проверять? Манагеры работают с офисом, 1с, и тд. Но они же могут отлучится на обед\перекур\по нужде.

Да что угодно, даже наличие какого то файла на серваке или слова на хтмл странице. При чем здесь менеджеры? Ведь есть же человек который будет отключать свет? Так пусть несколько секунд перед этим и включает "ахтунг" для демонов на затирание


Цитата:

И еще - МБР же можно самому восстановить, соответственно потом ввести слитый пароль, или нет?

Я неправильно выразился, и имел ввиду "volume header" т е место где находятся соль и зашифрованые мастер ключи (для системного и обычного раздела они немного разные как и их местоположение на диске)
Если у кого то и есть пароль то без заголовка тома ТС он бесполезен. По аналоги у нападающего есть ключик (пароль) к замку сейфа(ваш винт) , но в сейфе теперь напрочь отсутствует дырка, куда этот ключик втыкать можно (после затирания зоны с мастер ключами)

Это конечно при условии что вас не пасут достаточно долго ибо тогда копии всех заголовков будут уже давно приготовлены не только вами


Цитата:

Кстати о нем и о сабже, но уже не о всей системе а просто о контейнерах:

Использование контейнеров особенно на незащищенной системе это _абсолютно_ несерьезно.


Цитата:

Есть скрипт(сорец приведен ниже) который монтирует контейнер при подключении флешки. Довольно удобно, если отлучаешься от компа не на долго.

Удобство за счет безопасности? Ведь теперь не длина пароля, а факт непопадания флэшки в плохие руки + уровень защиты скрипта-программы задают ваш уровень безопасности (оставим человеческий фактор пока в стороне)

Если смысл спрятать оперативную систему и софт, то конечно можно работать и так как у вас, но если идет разговор о том чтобы спрятать данные то лучше отдельного файл-сервера в защищенном помещении пока ничего не придумали.

JimboKid
у меня раздел, созданный 6.3 подхватился 7 версией без проблем, так что думаю можно обойтись без расшифровки

DimmY

на 109 странице русского руководства написано:


Код: ВНИМАНИЕ: Вне зависимости от типа используемого программного обеспечения, с точки зрения сохранности персональной информации в большинстве случаев небезопасно работать с конфиденциальными данными в системе, где у вас нет привилегий администратора, так как администратор может без труда получить и скопировать ваши конфиденциальные данные, в том числе пароли и ключи.

Цитата:

Ведь есть же человек который будет отключать свет?

Нет, это при условии, что ломается или выбивается дверь. В общем, если открывается не картой - то обрубается свет.

Цитата:

Использование контейнеров особенно на незащищенной системе это _абсолютно_ несерьезно.

Хмм, аргументируйте пожалуйста. Даже, если возьмут мой контейнер - что они с ним сделают? Будут брутить?)

Цитата:

Удобство за счет безопасности? Ведь теперь не длина пароля, а факт непопадания флэшки в плохие руки

Я написал, что скрипт не безопасный, но идея хороша, для индивидуального использования, если к примеру шифрована система и есть контейнер с данными, синхронизирующийся с дропбоксом. Надо отлучится от компа - вынимаете флешку и отходите. Если флешка попадает в руки врага - соответственно в офисе, при очередном штурме - гасится свет, вырубаются ноуты. Если попадает на улице или дома - не вопрос, а дальше? Что из этого на ней кейфайл и от какого контейнера? Т.е. в этом плане идея хороша, не айс тот факт, что отреверсить можно демон и что реестр промониторить можно.

Цитата:

По аналоги у нападающего есть ключик (пароль) к замку сейфа(ваш винт) , но в сейфе теперь напрочь отсутствует дырка, куда этот ключик втыкать можно (после затирания зоны с мастер ключами)

IMHO теперь у сейфа не то что дырки - замка совсем нету!

snkreg

Цитата:

Даже, если возьмут мой контейнер - что они с ним сделают? Будут брутить?)

Вы удивитесь узнав сколько можно, в открытой системе, найти информации о том, что у вас в контейнере.

DzOOMer
Правильно понимаете. Перевод верный. Там об этом довольно много сказано, почитайте.