» TrueCrypt (часть 2)

Поискал по словам через "версия для печати", но нужного ответа не нашел...может подскажет кто
Вычитал в мануале по созданию ТС на флешки

Цитата:

Имейте в виду, что после редактирования или просмотра ваши секретные данные могут остаться во временных файлах или в файле подкачки операционной системы.

Возможно ли сделать так что бы данные не оставились во временных файлах и файле подкачки?

Хотелось бы услышать мнение знатоков по следующему решению (далее идет описание предполагаемой реализации). Есть бухгалтерский компьютер. Бухгалтер работает на этом компьютере с правами обычного пользователя. На этом компьютере поднята виртуальная машина. В виртуальной машине ведется работа с Клиентом-Банком через прокси-сервер, находящийся в локалке. Для защиты канала передачи данных предусмотрен (банком) электронный USB-ключ, к помощью которого создается защищенный канал связи. Ключ постоянно физически подключен к компьютеру (для удобства). Для защиты информации в виртуальной машине отключаем сервис Server, чтобы извне, из локалки, было не подступиться. К самому бухгалтерскому компьютеру доступ из локалки будет, у администраторов. Документы, передаваемые в банк, подписываются ЭЦП, которая размещается на флешке ИЛИ на жестком диске виртуальной машины. Вот ЭЦП думаю и зашифровать с помощью TrueCrypt паролем. Может, имеет смысл зашифровать и саму виртуальную машину, не знаю. Что думаете?

доброго времени суток.
уважаемые форумчане, спасите компьютер и информацию...
в двух словах, обновлял винду, не записывал образ на диск, а образом через Демон ставил.
после перезагрузки выдал ошибку, что нет системы.
решил под лив сиди зайти, чтобы скопировать скаченный образ и записать для установки, но лив сиди не видит жесткого...
весь жесткий зашифрован ТруКриптом. Система Винда 7.

помогите пожалуйста, подскажите, как под ливсиди можно ввести свой трукриптовский пароль, который я знаю, чтобы он меня пустил на диск???

TheBarmaley

Цитата:

стили исходного документа и перевода должны совпадать.. тогда и косяков не будет..

Они могут не совпадать, если перевод делается непосредственно из исходного документа? Что разработчик предоставляет – то и использую. Вариантов, увы, нет.


Цитата:

а положить можно.. да хоть в местную шапку - и то большой плюс.. хотя бы для "местных жителей"..

Не считаю это интересным. Придёт какой-нибудь очередной борец за "правильность" шапок – и тю-тю. Кроме того, это будет некорректно (с моей стороны) по отношению к разработчику.

boris340
При похожей проблеме,заходил
Цитата:

под лив сиди

->устанавливал
Цитата:

ТруКрипт

->автомонтирование->
Цитата:

ввести свой трукриптовский пароль

->
ву а ля

Xant1k

Цитата:

Возможно ли сделать так что бы данные не оставились во временных файлах и файле подкачки?

Виртуализировать проги, очищать файл подкачки при выключении компа.

---

Цитата:

Кроме того, это будет некорректно (с моей стороны) по отношению к разработчику.

Копирастия она такая копирастия

boris340
Более подробно описано в русском руководстве пользователя на стр. 107-108.

DimmY
Цитата:

Они могут не совпадать, если перевод делается непосредственно из исходного документа?

могут.. вся шняга в стилях, определённых в шаблоне, на базе которого создан документ..
и вполне вероятно, что у тебя и у разработчиков они разные.. впрочем, я об этом уже говорил..

в своё время столкнулся с подобной фигнёй при обмене файлами вордовских макетов с типографией..
победили грабли путём передачи макетов сразу в виде пдф-ки вместо подмены/правки шаблонов..
но в твоём случае, я так понимаю, это "не проканает" - разрабы готовую пдф-ку не возьмут..

и ещё.. как вариант - "у них" при выгоне в пдф НЕ обновляется поле содержания.. это уже зависит чисто от настроек..
тогда "плывут" номера страниц в оглавлении, но привязка по заголовкам и внутритекстовым якорям остаётся корректной..

---

Xant1k
Цитата:

Возможно ли сделать так что бы данные не оставились во временных файлах и файле подкачки?

нутром чую - тут дело пахнет стыренными секретами пентагона.. :))

по файлу подкачки проще - его очистка при выключении компа может быть задана стандартными средствами венды.. правда, при этом выключаться будет дОльше.. насколько - зависит от размера свопа и скорострельности винта, на котором он лежит.. хотя и при этом нету стопудовой гарантии - а вдруг "за тобой пришли" внезапно.. :)

можно ваще своп отрубить, хотя это нежелательно.. или задать его от 0 до желаемого, чтобы он при выключении тупо стирался совсем.. но тогда он попадает в разряд временных файлов..

а по временным файлам всё сущессно хуже:

1. можно подкрутить переменные среды в части размещения временных файлов пользователя в крипто-контейнере, что весьма гиморно.. к тому же, если их перезадать, при НЕсмонтированном контейнере получим ошибку при входе в систему..

2. никогда нет полной гарантии, что отдельные проги не создают временные файлы в других местах, кроме как в \темп и \тмп..

3. для обхода проблемы п.2 можно производить зачистку свободного места на диске(ах) перед выходом.. что может быть ну о-о-о-очень долго..

4. при зависании редактирующей программы временный файл не будет удалён.. и, соответссно, зачистка из п.3 не сработает..

короче.. я бы не забивал себе голову всякой фигнёй.. всё проще - надо исходить из целесообразности защиты..
т.е. просто сядь и прикинь, кто и насколько серьёзно заинтересован в доступе к спрятанной тобой инфе..
и наскока этот "кто-то" крут, чтобы колупать своп и/или искать огрызки данных в файловом мусоре..
вопчем, всегда надо чётко понимать, стОит ли сия овчинка выделки..

ну и, при прочих равных, нащёт паяльника тоже желательно не забывать.. ;))

Ну у меня вопрос будет почти точно по Стругацким: "Уважаемые ученые, у меня в подвале происходит подземный стук. Объясните пожалуйста, отчего он происходит."

Итак - на новом компе с Win7-64 вдруг возникли проблемы с запуском сабжа (7.0a - portable) - при попытке старта вынь вываливается в BSOD. По моему непросвещенному мнению - конфликт драйверов.
Если это так, как можно определить чего с чем конфликтует? Может есть еще какие-нибудь варианты?
На других компах все работает нормально.

Буду чрезвычайно благодарен за любую помощь (дейсвенную )

TheBarmaley

Цитата:

вся шняга в стилях, определённых в шаблоне, на базе которого создан документ..
и вполне вероятно, что у тебя и у разработчиков они разные..

Ничего не могу сказать. Может быть. OOo я пользуюсь в портативной версии и только для редактирования этого единственного документа – распаковываю дистрибутив, когда нужно, затем удаляю. Т.е. какие стили есть в дистрибутиве, такие и есть. Ничего не меняю.
Не знаете ли вы, банальные разрывы страниц при конвертировании сохраняются? А то как-то странно выглядит отделение одной страницы от другой чередой CR/LF.


Цитата:

разрабы готовую пдф-ку не возьмут

Не только PDF не возьмут, но и любой другой файл, отличный от ODT. Хотя сами пользуются, если не ошибаюсь, продукцией Микрософт.



Цитата:

Копирастия она такая копирастия

Силой хамства можно валить деревья. (АП)

LeeY

Цитата:

при попытке старта вынь вываливается в BSOD

Цитата:

Если это так, как можно определить чего с чем конфликтует?

Определить легче лёгкого!

Первый способ - надо посмотреть что написано на BSOD и поискать в инете по коду ошибки.

Второй способ (IMHO самый действенный) - надо проанализировать минидамп, чем-то вроде BlueScreenView.

Может и оффтоп, но подскажите плиз, как можно организовать удаленный ввод пароля?
То есть запускается сервер, на нем запускается ТС с автомонтированием и на клиентской машине появляется окно для ввода пароля (а может даже и других параметров)...

DimmY
ответил в ПМ, а то чё-то у нас оформительский офтоп попёр.. так ведь и побьют, однако.. :)

Приветстую,

В доках не нашел. Вопрос такой - можно ли менять размер контейнера после его создания?

s1lv
нет, к сожалению

GCRaistlin
Цитата:

saint13
Можно попробовать через nnCron (должен стоять и на сервере, и на клиентах). Пароль вводится на рабочей станции, сохраняется в файл на сетевой шаре. Серверный экземпляр nnCron'а реагирует на появление файла в шаре, читает его, монтирует диск.

Боюсь тогда вся безопасность летит в тартарары, ведь пароль, записанный на диск будет легко восстановить...

А у меня такой вопрос.. как можно зашифровать трайкриптом загрузочную флешку? Смылс - я админ и мне периодически надо делать образы сервака и клиентских машин. Но поскольку денег (~ 28000) на покупку акронис сервер не дают, приходиться ходить с загрузочной флешкой и создавать/разворачивать образы "втихую". Хотелось бы на случай внезапной проверки чтобы флешка при проверке выглядела как чистая (ну или не отформатированная), а при попытке загрузки с нее - просила бы пароль или даже вообще ничего не просила явно (просто черный экран, и ввод пароля "в пустоту" - для тех кто знает), а после корректного ввода пароля чтобы активировался уже "родной" загрузчик акрониса. Как-то это можно реализовать?... работает же по сходному принципу шифрование системного диска.. Ну или подскажите каким софтом можно попытаться сделать что-то подобное.

BarHan
Есть способы уничтожения файлов без возможности восстановления. Правда, не встречал работающие из комстроки, но, собственно, и не искал. Если не использовать терминальный доступ, пароль в том или ином виде должен передаваться по сети, и с этим ничего не поделать. А кроме того, основная практическая дыра в безопасности в данном случае - это известность пароля энному количеству сотрудников.

Залейте кто нибудь True Crypt 7.0a для Windows на rghost например, предварительно заархивировав.
Трижды скачиваю с офсайта разными браузерами и менеджером и получаю битый exe одного и того же размера 2,69 МБ (2 823 070 байт), не соответствующего заявленному

Добавлено:
Стянул с http://truecrypt.org.ua/downloads
Вроде всё чисто

A1eksandr1
Цитата:

Залейте кто нибудь True Crypt 7.0a для Windows на rghost например, предварительно заархивировав.
Трижды скачиваю с офсайта и получаю битый exe

Попробуйте отсюда:
_http://www.filehippo.com/download_truecrypt/tech/
В архиве на rghost: _http://rghost.ru/5353674

GCRaistlin

Цитата:

Есть способы уничтожения файлов без возможности восстановления. Правда, не встречал работающие из комстроки

Например, SDelete Руссиновича, внутренняя команда DEL с ключом /W в Take Command/TCC.

GCRaistlin

Цитата:

Есть способы уничтожения файлов без возможности восстановления.

посмотрите http://eraser.heidi.ie/

suvolod

Цитата:

чтобы флешка при проверке выглядела как чистая (ну или не отформатированная), а при попытке загрузки с нее - просила бы пароль или даже вообще ничего не просила явно (просто черный экран, и ввод пароля "в пустоту" - для тех кто знает)

Я тоже админ + программист, полностью флешку как не отформатированную и чтобы с неё начиналась загрузка невозможно сделать в принципе (только если вшить в bios пк загрузчик-драйвер используемого криптософта).

Так что в твоём случае такие варианты:
1. Флешку полносью зашифровать, загрузчик носить отдельно на CD
2. Флешку разбить на 2 раздела USB + USB или CD + USB (контролёры выпуском начиная с 2008 года это поддерживают, например Alcor - на Transcend-ах он стоит), ну а далее на первый раздел загрузчик, 2ой шифруешь.
3. На флешке оставляешь открытую файловую систему, размещаешь загрузчик, прочее при необходимости, +криптованный контейнер с акрониксом и прочим, который будет монтироваться. Выглядеть будет это как непонятный файл или поток, о назначении которого посвящённый догадается по наличию загрузчика от криптоПО, но узнать что в нём без пароля не сможет.

Добавлено:
firewall2006
Спасибо, странное что то с офсайтом, DM например ещё до начала загрузки сразу в ответ получает файл неправильного размера, будто такой он у них и лежит

Подскажите, в TrueCrypt нет сжатия шифруемых данных? Аналоги ему с этой функцией есть?

Знает ли кто, существенна польза от встроенных в i7 AES-инструкций - например сравнивая мобильные 2630qm (без AES-NI) и 2720qm

DimmY
snkreg
Спасибо. Я, в общем, не сомневался, что такие инструменты есть. Некоторыми из перечисленных даже пользуюсь .

Подскажите пожалуста, я пробовал по разному и создал раздел и файл, но и файл можно тупо удалить, и вся инфа пропала, и раздел отформатировать.
Можно ли как то запретить что либо делать с разделом, или запретить удалять файл.

9milimetrov

Цитата:

Подскажите, в TrueCrypt нет сжатия шифруемых данных? Аналоги ему с этой функцией есть?

Нет и врятли будет, сжимай внутри шифрованного тома данные чем угодно, можешь в самом шифрованном NTFS томе включить сжатие данных. Сам же шифрованный том не сжимаем в принципе, ибо не отличим от случайного набора данных, в которых невозможно найти закономерностей расположения данных. Если же реализовывать движок, который будет сначало жать а потом шифровать, то при работе с таким томом придётся перешифровывать кучу данных, а это выльется большим временем ожидания.


Цитата:

Знает ли кто, существенна польза от встроенных в i7 AES-инструкций - например сравнивая мобильные 2630qm (без AES-NI) и 2720qm

Например 2ухядерный Core i5-661 с поддержкой AES-инструкций бывает в 6 раз быстрее 4ёхядерного Core i7-870 без поддержки AES-инструкций. Но это синтетические тесты без реальной записи/чтения шифрованных данных на диск. На практике же даже если одновременно писать/читать данные на 4 шифрованных диска, разницы всё равно не увидишь из-за значительного превышения скорости шиврования/дешифрования над скоростью чтения/записи данных на диск. Но приимущество всё же есть в том случае, если процессор под 100% занят другими операциями + ещё и обрабатывает шифрованные тома, вот тут то и можно будет наблюдать результат аппаратной поддержки AES инструкций

И естественно всё вышеописанное верно только при использовании AES алгоритма (в программе есть и 2 других + комбинированные)

Можно ли динамически менять размер диска в контейнере? Т.е. увеличить размер раздела без потери данных?

Можно только запретить тем, кто может удалить или отформатировать подходить к компьютеру.
По другому никак. Может, правда, поможет прятанье файла-контейнера куда нибудь, где обычно никто не лазит (какая нибудь папка глубоко в sistem32). Можно ограничить сомнительного пользователя правами ntfs. Как совет - делайте периодически копию файла (на флешку например, или на какой нибудь dropbox). Это поможет, если вдруг винчестер посыплется, или вирусы повредят инфу...

Rucha
Только если при создании контейнера была включена данная опция, в эотм случае максимальный размер указывается сразу и растёт до него по мере заполнения контейнера (минусом такого подхода является фрагментация)