» TrueCrypt (часть 2)

tormozok
Я тебя понимаю. Послушай, как сделал я...
Есть винт с осью (1 шт), и остальные, с данными (3 шт).
Вот этот первый винт зашифрован DiskCryptor'ом. Каскадный алгоритм AES-Twofish-Serpent, ключевой файл (только один - потом расскажу, почему), пароль - длинный, но я его помню.
Далее, все остальные винты шифруются TrueCrypt'ом в режиме паранойи - 64 случайных символа и по 3 разных рандомно генерированных ключевых файла. Пароли от этих винтов я и сам не знаю, но я написал простые bat-файлы, которые монтируют винчестеры из-под системы. Система зашифрована, повторяю (особенно для того индивидуума из статьи).
Теперь подведу итог.
На компе ни на едином диске нет ни одного незашифрованного байта. Загрузка - с SD-карточки, размером меньше копеечной монеты. Уничтожается моментально в случае опасности. Можно сделать и с USB-флешки, и с CD, проблем нет. К сожалению, DiskCryptor может использовать только 1 ключевой файл для раздела с ОС, так что обхожусь им одним.
Дубликатов загрузчика нет. Ключевые файлы дублированы в сети, в зашифрованной базе, конечно же, KeePass'а.
Осталось только добавить, что я служу в той самой структуре, которую вы все боитесь.

А у кого-нибудь есть примеры такого же решения, но под linux (ubuntu)?

135la

Цитата:

Далее, все остальные винты шифруются TrueCrypt'ом в режиме паранойи - 64 случайных символа и по 3 разных рандомно генерированных ключевых файла. Пароли от этих винтов я и сам не знаю, но я написал простые bat-файлы, которые монтируют винчестеры из-под системы.

Красота при порче данных (выход винта из строя, отключение питания, магнитные наводки и т.п.)!
Хоть Вы и, как пишите, подготовлены, но слабые места видны сразу
Цитата:

Ключевые файлы дублированы в сети, в зашифрованной базе, конечно же, KeePass'а.

- уничтожаем SD и спокойно перехватываем трафик.
В любом случае хорошее описание и продуманный подход к делу. При серьезном подходе спецов и системы, у которых будет время, конечно не поможет, но не в шпионов же мы будем играть.
Вы хоть понимаете что делаете и зачем. И не описываете происки ОС, которая не только пишет в биос, но и передает все через спутники.
Предлагаю в заголовке темы добавить примеры защиты своих данных, но с указанием, что ничто не вечно и слабое звено - человек очень слаб.

Leo66
Конструктивно. Два НО:
1) От повреждения данных никто и ничто не застрахован на 100%. Будь у Вас хоть пароль в 1 символ, хоть мои параноидальные пароли - при _определённом_ повреждении данных они в любом случае _могут_ превратиться в кашу. В каких именно случаях - я знаю, но расписывать не буду.
2) Перехватывайте. База всё равно зашифрована (циклов KeePass 6000; открывается долго, зато брутфорс будет идти со скоростью 1 пас/сек). Удачи во взломе.

Идеальной защиты нет.

В буке 2 винта. Хочу 2 ОС - одну на первом, обычную, вторую на втором, полностью зашифрованную. Как?
И чтоб с первой не было видно второй винт, как неопределенный. Возможно?
И как вообще посоветуете?

Цитата:

Осталось только добавить, что я служу в той самой структуре, которую вы все боитесь.

Ну насчет боитесь наверное преувеличено - опасаемся более точно определение.
Лично у меня паранойя еще не зашла до этапа шифрованной ос но дело явно идет к этому
Тут я думаю пасутся люди у которых есть несколько совершенно различных причин для использовании программы.
Первые это серьезные конторы где паранойей занимаются системные администраторы и есть из за чего - двойная бухалтерия, гигабайты документов, нелицензионное по, зубастые конкуренты и т.д.
Вторые это всякие кулхацкеры, мелкие и не очень разработчики всяких радостей жизни у которых градус параной повышен так как конкуренты или органы не дремлют в желании заполучить ихние бизнес планы, идеи компромат т.е. частники и крошечные конторы занимающийся бизнесом или всяким полузаконным или незаконным вовсе.
Ну и наконец это обычные пользователи со слабыми признаками параной они шифруют свои фотки, видео, почту, аську и т.д. хотя последнее наверное уже не поможет так как ее скупили сами знаете кто
Заинтересованность органов я думаю находится в таком же порядке. Если третья группа не перейдет дорогу, не засветится на каком либо серьезном преступление то она попадает в группу "Неуловимого Джо". ИМНО

Wolf3d3
Причин может быть намного больше и не всегда они связаны с криминалом и параноей, но всегда с безопасностью (жизни, здоровья, данных, свободы, бизнеса).
И частота использования средств защиты говорит только о повышении комп. грамотности.

Прошу помощи. Ситуация такая: есть виндовый сервер, на его диске, на разделе D: средствами TrueCrypt создан зашифрованный файловый контейнер, причем шифруется он не паролем а ключевым файлом. Размещен ключевой файл на флэшке. Идея такая - пришло ответственное за секретную часть рыло, вставило флэшку, запустило сервер. А вот тут бы надо сделать автомонтирование этого контейнера как диска используя ключевой файл на флэшке, потом слышим бип и флэшку можно вынимать. А вот как автоматически смонтировать контейнер используя ключевой файл? Везде примеры только с паролем. По крайней мере примеров с ключевым файлом я не нашел.

Leo66

Цитата:

Причин может быть намного больше и не всегда они связаны с криминалом и параноей, но всегда с безопасностью (жизни, здоровья, данных, свободы, бизнеса).

Не знаю у меня ассоциативный раяд такой "паранойя = безопасность"
Не надо напоминать в каком правовом пространстве мы живем. У нас прав тот у кого связи, власть и деньги. Причем любой из этих пунктов прямо таки обязывает обладателя чувствовать себя особенным элитным так сказать, а если они сочитаются то это зачастую ППЦ.


bsnvolg
Если секретчик в госпредприятии то TrueCrypt не подпадает под разрешонное ПО.

Может где эта информация и пробегала но повторюсь:
Возможно чтогто устарело и уже не актуально.


Использование командной строки

/help или /?
Отображает справку в консоли.

/volume или /v
Имя файла и путь TrueCrypt раздела для монтирования (не используйте данный ключ при размонтирование раздела). Для монтирования раздела жесткого диска используйте, например, /v \Device\Harddisk1\Partition3 (для того, чтобы определить путь к разделу, запустите TrueCrypt и щелкните Выбрать устройство / Select Device). Заметьте, что пути устройств регистро-зависимые.

/letter или /l
Буква под которой будет смонтирован раздел. Если указанная буква уже используется, то автоматически используется следующая свободная буква диска.

/explore или /e
Открывает окне Explorer после того, как смонтирован раздел.

/beep или /b
Выдает звуковой сигнал после того, как раздел смонтирован или размонтирован.

/auto или /a
Если не были указаны никакие параметры, то автоматически монтирует раздел. Если в качестве параметра указано devices (пример: /a devices), то авто-монтируются все доступные на данный момент устройства/размещаемые на партициях TrueCrypt разделы. Если же в качестве параметра указано favorites, то авто-монтируются Ваши избранные разделы. Отметьте, что ключ /auto игнорируется, если указаны ключи /quit или /volume.

/dismount или /d
Размонтирует раздел, указанный по букве диска (пример: /d x). Если буква диска не указана, то размонтирует все смонтированные на данный момент разделы TrueCrypt .

/force или /f
Ускоряет размонтирование (если размонтируемый раздел содержит используемые системой или любым приложением файлы) и ускоряет монтирование в shared mode (т.е. без эксклюзивного доступа).

/keyfile или /k
Указывает keyfile или путь для его поиска. Для использования нескольких ключей указывайте
/k c:\keyfile1.dat /k d:\KeyfileFolder /k c:\kf2

/cache или /c
Параметр y или без параметра - активирует кеш пароля; n - деактивирует кеш пароля (пример: /c n). Отметьте, что выключение кеша пароля не очищает его (для очистки используйте ключ /w).

/history или /h
Параметр y или без параметра - активирует сохранение истории монтируемых разделов; n - деактивирует сохранение истории монтируемых разделов (пример: /h n).

/wipecache или /w
Стирает все пароли, кешируемые в памяти драйвера.

/password или /p
Пароль раздела. Если пароль содержит пробелы, то он должен быть заключен в ковычки (пример: /p "My Password"). Используйте /p "" для указания пустого пароля. Предупреждение: данный метод ввода пароля может быть небезопасен, например, когда незашифрованная лог командной строки сохраняется на незашифрованный диск.

/quit или /q
Автоматически осуществляет запрошенные действия и выходит (главное окно TrueCrypt не будет показываться). Если в качестве параметра указано preferences (пример: /q preferences), то настройки программы загружаются/сохраняются и они перезаписывают настройки указанные в командной строке. /q background запускает TrueCrypt Background Task (иконку в трее). Отметьте, что ключ /q не дает эффекта если контейнер доступен только в именном пространстве пользователя (TrueCrypt выйдет только после того, как раздел будет размонтирован), или как сетевой раздел.

/silent или /s
Если указан ключ /s, то взаимодействие с пользователем пресекается (вопросы, сообщение об ошибках, предупреждения и т.д.).

/mountoption или /m
Параметр
ro или readonly: монтирует раздел только для чтения;
rm или removable: монтирует раздел как внешние медиа;
ts или timestamp: не сохраняет timestamps контейнера;
Пример: /m ro. Для того, чтобы указать несколько опций монтирования используйте следущее: /m rm /m ts.

Синтаксис

truecrypt [/a [devices|favorites]] [/b] [/c [y|n]] [/d [буква диска]] [/e] [/f] [/h [y|n]] [/k keyfile или путь поиска] [/l буква диска] [/m {rm|ro|ts}] [/p пароль] [/q [background|preferences]] [/s] [/v имя файла контейнера] [/w]

Отметьте, что порядок, в котором предоставляются опции, не важен.

Примеры

Монтирует раздел d:\ myvolume под первой свободной буквой диска, используя диалог ввода пароля (главное окно не будет показано):
truecrypt /q /v d:\myvolume

Размонтирует раздел под буквой Х: (главное окно не будет показано):
truecrypt /q /dx

Монтирует раздел myvolume.tc, используя пароль MyPassword, под буквой диска Х. TrueCrypt откроет окно проводника и бикнет. Монтирование выполнится без каких-либо запросов.
truecrypt /v myvolume.tc /lx /a /p MyPassword /e /b

Господа, подскажите пожалуйста - сейчас не могу проверить(диск менеджмент в моей ОСи не дает создать раздел на флешке) - если я делю флешку пополам, и один из разделов шифрую - сколько места будет показано у меня в свойстве флешки(правый клик-> Properties) когда шифрованный раздел отмаунчен? Будет показан объём того раздела что нешифрован, а другая часть как неразмеченная? Или как?..

да и
DimmY
Спасибо за пакет русификации



Добавлено:

Цитата:

Монтирует раздел d:\ myvolume под первой свободной буквой диска, используя диалог ввода пароля (главное окно не будет показано):
truecrypt /q /v d:\myvolume

командная строка это вообще замечательно. у меня такие CMD навешаны на вставление флешки, очень удобно. а перед этим еще бекапирование тома в папку сегодняшнего дня и времени, примерно вот так:

Код: rem получим текущую дату и время в универсальном формате
rem ----------------------------------------------------

echo.>"%TEMP%\~.ddf"
makecab /D RptFileName="%TEMP%\~.rpt" /D InfFileName="%TEMP%\~.inf" -f "%TEMP%\~.ddf">nul
for /f "tokens=4,5,7" %%a in ('type "%TEMP%\~.rpt"') do if not defined current-date set "current-date=%%c-%%a-%%b"
del /q "%TEMP%\~.*"

rem получим значение часа
set _hour=%time:~0,2%
rem добавляем лидирующий ноль, если час меньше 10
if %_hour:~0,2% lss 10 set _hour=0%_hour:~1,1%

rem получим значение минут
set _min=%time:~3,2%

rem ----------------------------------------------------

echo %current-date%_%_hour%-%_min%

md D:\BACKUPS\%current-date%_%_hour%-%_min%

set crypt="C:\Program Files\TrueCrypt\TrueCrypt.exe"

rem unmount volume
%crypt% /quit /silent /dismount K

rem copy volume
xcopy F:\volume.dat D:\BACKUPS\%current-date%_%_hour%-%_min% /Y

rem mount volume
%crypt% /quit /volume F:\volume.dat /letter K

***здесь был вопрос - не актуален***
Размышления на тему файла-ключа. Флешка может сдохнуть, ее могут укратсть с единственной копией ключа, потерять и т.п. Файл в сети может затереться или еще чего.....
А в качестве ключа, ведь можно использовать текстовой файл, созданный, например блокнотом?
Если да, то можно ведь сделать ключ, который нельзя потерять и не возможно запомнить.
Например, глава какой-либо книги, которая (книга\глава) не меняется. Глава в пару страниц.
Нужно помнить что за книга, год издания, редакция и т.п.
Ведь блокнот вроде мусора не пишет в файл, кроме текста. Если что, то нужен комп с той же версией винды и блокнот.
Сканируем, кидаем главу в блокнот и, вуаля, потерянный ключ восстановлен. Или стихотворение......Бородино, например. А?

Прошу сильно не ржать, реально существует необходимость.
Подскажите пожалуйста, у кого-нибудь осталась версия 1.0, которая поддерживает Windows98? Или драйвер из этой версии для Win98?

Заранее благодарен.

NordOwl
Попробуй поставить галку совместимости с Windows98.
А в чём собственно проблема ?

Genrix1983

Цитата:

Сканируем, кидаем главу в блокнот и, вуаля, потерянный ключ восстановлен. Или стихотворение...

Лишний пробел или перевод строки попадёт и - привет...
Имхо - лучше уж что-нибудь фундаментальное, не меняющееся со временем. И то, что всегда можно найти в сети и скачать - типа command.com от ms-dos 6.22, pkzip.exe 2.50 или фавиконку ру-борда.

Господа, а подскажите как быть?

Есть ноут с зашифрованным разделом на винте. Раздел авто-маунтится при загрузки винды.
Потом ноут кладется в сон. Просыпается - раздел смонтирован с прошлого раза. Хорошо если его разбудил я, а как быть если разбудит злодей?

Как бы так сделать, чтобы и самому пароль каждый раз не вводить и, поняв, что за компом работает злодей, размонтировать диск?


На ум приходит: кроном мониторить псевдо-ключи на сд-карте, которая всегда в ноуте, если я ее специально не извлеку. Но как-то тупо это все)


Как быть?
Спасибо.

genetev
Settings -> Preferences -> Auto dismount -> повключай там что тебе хочется.

Kopernik_31
Простите, где поставить галку, совместимости? В Windows 98?
Мне необходимо, чтоб TrueCrypt работал в Windows 98. А это было возможно только в версии 1.0 (с версии 1.1 поддержка Windows 98 прекращена).

NordOwl
TrueCrypt в Windows 98 работать не будет, он заточен под NT-системы. Если тебе нужно работать с криптодисками под Windows 98 могу дать программу Scramdisc. По функционалу - практически полный аналог TrueCrypt, отсутствует только шифрование системного раздела с pre-boot аутентификацией. Сам пользовался в то славное время когда Windows 98 была основной операционкой на всех компах. Работает стабильно, без глюков.

SFC

Цитата:

Settings -> Preferences -> Auto dismount -> повключай там что тебе хочется.

Спасибо. Потыкал, но все как-то не то.

В итоге запустил прогу, которая мониторит есть ли sd-карта, и как только ее не стало делает unmount. Т.е. теперь могу усыпить комп, вытащить карту, отлучится, вернуться, вставить карту, разбудить и продолжить работать. Если вор включит комп когда меня рядом нет, то пока он его включит диск будет размонтирован.

Покритикуйте кто-нить, плиз.

Ест-но тут нет "правдоподобного отрицания", но оно пока не требуется.

Regsnap

Поделись пожалуйста.
Насколько знаю, Scramdisc - предшественник TrueCrypt. (Автор Scramdisk обеспечивал разработку драйвера под Windows 9x).

NordOwl

ScramDisk v2.02h
http://rghost.ru/4195309
Пользовался только этой версией. В архиве также лежит русскоязычный мануал (сам помню, как распечатывал на лазернике судорожно оглядываясь не идёт ли по коридору начальство).

Немного более поздняя версия: Scramdisc 3.01r3 http://rghost.ru/4195358

Для информации: Scramdisc - не совсем предшественник TrueCrypt. Просто у Scramdisc - предшественника коммерческого продукта DriveCrypt и в разработке E4M (Encrypt for Mass) - предшественника современного TrueCrypt есть общие разработчики.

P.S. Извиняюсь за оффтоп. Использовать ScramDisk v2.02h меня научила в своё время эта литература:
http://rghost.ru/4195556
http://rghost.ru/4195589
Также совместно с этой программой использовал рекомендованный там же Kremlin
http://rghost.ru/4195614

Цитата:

Покритикуйте кто-нить, плиз.

Если будет запущена программа или открыт документ то возможно его повреждение.

Я использую на работе контейнер под месенжер, лису, почту и временные файлы. Флэшка для этого подходит
Если надо произвести конфидициальное действие типа захода в интернет банкинг, воспользоватся вебмани и проверить личную почту и т.д. то пользуюсь vnc комуто легче наверное воспользоватся rdp.

На моей работе пока не стоят сканеры траффика, но учитывая популярность этой технологии надо приучать себя к хорошему .

Подскажите, можно и как русифицировать TrueCrypt в Mac OS?

посоветуйте чем лучше сделать и как TC или DC;
нужно чтобы работала ОС Win XP - для общего применения с правами администратора.
На этом же компе нужно установить еще две ОС. Win XP и Win 7 - уже шифрованные, но проблема в том, что нужна мультизагрузка, и в первую систему любой авторизованный пользователь мог войти и работать, а вот вторая и третья системы - зашифрованы каждая независимо друг от друга

Основная задача: на компе с ОС общего пользования нужны права администратора, и чтобы кто-либо не повредил работу, которая ведется в другой ОС, ее нужно зашифровать, и только авторизованный пользователь сможет работать с ее ресурсами.
Как это сделать? Если я шифрую систему, то она шифрует загрузчик, и без пароля нельзя получить доступ к загрузе общей ОС. А нужно чтобы было меню загрузки, и если выбрана шифрованная система вот тогда и требуется этот пароль и доступ к ней.

krserv
Однозначно DC по всем параметрам.

На TC можно посмотреть, если нужна работа с контейнерами.

Как реализовать в теме DC смотри, там ещё не такие пирамиды выстраивали

да, я уже попробовал и столкнулся с проблемой, кроме этой проблемы для начала понравился DC.
http://forum.ru-board.com/topic.cgi?forum=5&topic=25435&start=560

Добавлено:
но в TC есть поддержка eTokens, а в DC - нет.

Подскажите как правильно клонировать зашифрованый диск с системой Win2003.
Пробовал Акронисом после клонирования идет загрузка, Трукрипт просит пароль И ........
....НЕПРИНИМАЕТ ПРАВЕЛЬНЫЙ ПАРОЛЬ.
(подклчил старый диск с которого клонировал - все гуд)

Спасибо.

netphil

Цитата:

Подскажите как правильно клонировать зашифрованый диск с системой Win2003.

Зашифрованные диски копировать нужно посекторно/

WildGoblin
Понял. Чем лутше єто сделать? Acronis TrueImage или Norton Ghost?
СТОП. А как тогда сделать полный имидж диска ? Что б потом вслучае чего прсото накатить на новый диск?

Спасибо.

Задался боянистым вопросом сравнения TC vs DC.
Гугление и ознакомление с матералами в течение получаса привели к выводу, что DC хорош, когда нужна мультизагрузка (допустим, выбор Windows приведёт к необходимости ввода пароля, тогда как пингвин загрузится в обычном порядке). TC, как я понял, шифрует весь раздел, так что ввод пароля потребуется в любом случае - вибирай хоть W7, хоть Линь.
Для создания файлов-контейнеров - по определению TC.
А если шифровать несистемный раздел (документы, файлопомойку)? Какие соображения в пользу того или иного ПО? Или исключительно дело вкуса?

Добавлено:
netphil
Есть ещё WinHex и линуксовый dd/dcfldd.