» TrueCrypt (часть 2)

Господа, приветствую. Знаю, что здесь сидят достаточно подкованные в ИТ люди и кодеры. Вопрос больше адресован к последним. Сейчас постараюсь описать задачу, а потом сформулировать вопрос, ибо он легче задачи.
Задача:
Есть несколько шифрованных ноутов. Юзеры естественно знают пароль. Если приходят маски-шоу - по горячей кнопке вырубается электричество, ноуты без батарей. Играет роль человеческий фактор, как обычно.
Мысль:
Добавить хот-кей и "админский" пароль, который задействуется при принудительном выключении компа нажатием данного хот-кея. Соответственно, даже если кто-то сообщит свой пароль - нужно будет предварительно ввести "админ-пароль".
Вопрос:
На сколько это сложно и во сколько это обойдется?
P.S. Я не кодер и не админ, сумму готов выделить из своего бюджета, соответственно миллионами тут не пахнет. Если есть желающие кодеры - пишите в личку срок и сумму. А здесь предлагаю обсудить суть, может кто-нибудь подскажет альтернативный вариант решения трабла.
P.P.S. Работа для кодера периодическая, есть еще задумки, которые можно реализовать только сторонним вмешательством. Про нарушение GPL можно не упоминать, т.к. софт будет использоваться только в закрытом кругу, готов выложить сорцы на SF или GitHub, да и из за того, что он меня выручал не раз - донейт авторам пополняю и так по возможности..

Цитата:

Сейчас попробую воспроизвести проблему и её решение...

Проблему воспроизвести мне удалось легко, но вот с решением не получилось - после всех операций на диске так и осталась мешанина из байтов.

townhost33
Можно так, что то я уже подзабыл можно ли сразу на системный диск не размещать загрузчик.
В биос естественно выбираешь устройство с загрузчиком для старта (двд, флешка, другой диск)

snkreg
Тут не кодера, а среднего сис админа думаю хватит. Сперва опиши вариант как зашифровано: системный раздел, несистемный с данными, где загрузчик лежит?

Из вариантов что первое в голову приходит:
1. Использовать для шифрования кроме пароля кейфайл, и настроить по горячей клавиши перед выключение ПК его удаление (у себя естественно копию держать)
2. Либо вообще сделать флешку, на которую вынести кейфайл, а можно и загрузчик, и выдавать её пользователям на момент запуска ПК.

А можно ли избавиться от шифрования? Есть зашифрованный диск. И сейчас уже нет необходимости в трукрипте. Способ с копированием информации на другой носитель не подходит, т.к. диск большой и некуда.

A1eksandr1
Спасибо за ответ. Смотри, зашифрован весь диск. Кейфайл не подойдет, т.к. юзеры выполняют свою работу. Говорить им лишнего не стоит, каждый знает свой пароль и этого достаточно. Я вообще думал - нанять еникейщика, и чтобы он с утра запускал ноуты. Но опять таки - человеческий фактор. Я бываю в офисе редко. Так что наверное пока мой вариант актуальнее, если он выполним и за адекватную плату. Вообще думал все на удаленный сервер вынести, и по рдп, но моих знаний не хватит и дорого все это..

snkreg

Цитата:

Добавить хот-кей и "админский" пароль, который задействуется при принудительном выключении компа нажатием данного хот-кея. Соответственно, даже если кто-то сообщит свой пароль - нужно будет предварительно ввести "админ-пароль".

Похоже ваша задача не допустить слива информации, если кто-то разболтает пароль. Как возможный вариант - автоматическое затирание загрузчика ТС в MBR (и рекавери ключи не помню есть ли они в системном для ТС?) при форс мажоре, прямо перед выключением света. Это возможно и даже ковыряться в ТС не надо. Просто написать демон который периодически проверяет или даже пингует какую то фигню на вашем серваке. Если ответа нет (т.е. форсмажор началася) то демон затирает быстренько что надо и может даже рапортовать на тот же сервер о результате. Потом тушим свет. Разумеется надо держать копии загрузчиков с мастеркодами и например их варианты где пароль изменен на админ-пароль в надежном укромном месте.

ТС не предусматривает множественные пароли. Закодить это в него не изменяя стандартный формат раздела сложно если вообще возможно

LunnyjSvet
См. Руководство пользователя TrueCrypt, стр. 114.

Кажется я нашёл причину почему у меня контейнеры подключались только для чтения, в это виноват.. UAC! Включенный на максимум на Win7 и обычный уровень в Vista.

Приветствую,

Сам уже долгое время использую BestCrypt и планирую переход на TrueCrypt.

Прежде всего интересует надежность работы с зашифрованными разделами (хранилища, не загрузочные). Интересует надежность не алгоритмов а при работе "в быту". Шансы необратимо потерять данные повредив раздел при потере питания или других не штатных ситуациях.
Читал что в предыдущих версиях (6.1) были случаи порчи контейнеров при не штатных ситуациях.

Актуально ли это для текущей версии?

terminat0r
Воо, это ближе к делу.

Цитата:

Закодить это в него не изменяя стандартный формат раздела сложно если вообще возможно

За это - отдельное спасибо. Теперь понял, что идея не факт, что выполнима, а если и выполнима - то затрат будет множество.
Скажите, а что можно демону проверять? Манагеры работают с офисом, 1с, и тд. Но они же могут отлучится на обед\перекур\по нужде. И еще - МБР же можно самому восстановить, соответственно потом ввести слитый пароль, или нет?А демон можно наверное и на AutoIT написать. Кстати о нем и о сабже, но уже не о всей системе а просто о контейнерах:
Есть скрипт(сорец приведен ниже) который монтирует контейнер при подключении флешки. Довольно удобно, если отлучаешься от компа не на долго. Правда его косяк в том что пароль хранится в нем, и можно отреверсить, тем более, что AutoIT декомпиллится отлично.
Возможности:
1.Валидность USB накопителя проверяется по хэшу серийного номера USB накопителя.
2. Все данные в реестре шифруются по вашему ключу с помощью алгоритма RC4.
3. Ключевой файл хранится только в самой программе и генерируется лишь после того как подключен привязанный USB накопитель, после чего сразу удаляется.
4. При извлечении валидного USB накопителя, зашифрованный контейнер отключается с параметром /force.
5. Никаких лишних окон и вопросов, все прозрачно.
Минусов хватает, но мб найдется энтузиаст и допилит сие творение.
[more=исходник]
Код: #include <md5.au3> ; библиотека для работы с md5
#include <constants.au3>
#include <string.au3>

If WinExists(@ScriptName) Then Exit ; Запрещаем повторный запуск скрипта
AutoItWinSetTitle(@ScriptName)

AutoItSetOption ("TrayIconHide", 1 ) ; Спрятать иконку в трее
AutoItSetOption ("TrayIconDebug", 1 )

$key = "0x1234Af3d21" ; Ключ шифрования, должен быть такой-же как и в конфигураторе
$truecrypt = "C:\Program Files\TrueCrypt\TrueCrypt.exe" ; Путь до TrueCrypt

$drive = BinaryToString(_StringEncrypt(0,RegRead("HKCU\Software\USBToken","Flash"),$key,2))
$serial = _StringEncrypt(0,RegRead("HKCU\Software\USBToken","Serial"),$key,2)
$passwd = BinaryToString(_StringEncrypt(0,RegRead("HKCU\Software\USBToken","Master"),$key,2))
$path = BinaryToString(_StringEncrypt(0,RegRead("HKCU\Software\USBToken","Path"),$key,2))
$mount = _StringEncrypt(0,RegRead("HKCU\Software\USBToken","Mount"),$key,2)

While 1

if DriveStatus($drive) <> "READY" OR md5(DriveGetSerial($drive)) <> $serial AND DriveStatus($mount) = "READY" then
Run($truecrypt & ' /f /q /d ' & $mount)
endif

if DriveStatus($drive) = "READY" AND md5(DriveGetSerial($drive)) = $serial AND DriveStatus($mount) <> "READY" then

$file = FileOpen(@TempDir & "\master.key", 2)
FileWrite ($file, _StringEncrypt(1,RegRead("HKCU\Software\USBToken","Serial") & RegRead("HKCU\Software\USBToken","Master") & RegRead("HKCU\Software\USBToken","Mount") & RegRead("HKCU\Software\USBToken","Flash") & RegRead("HKCU\Software\USBToken","Path") & @ComputerName & @UserName, $key,2))
FileClose($file)
Run($truecrypt & ' /a /q /s /b /v ' & $path & " /l " & $mount & " /k " & @TempDir & "\master.key" & " /p " & $passwd)
Sleep(2000)
FileDelete(@TempDir & "\master.key")

else
endif
Sleep(5000)
WEnd

При попытке создать файл-хранилище выдалась ошибка: "Windows не может отформатировать этот том как NTFS" и предложило создать FAT.
Система WindowsXP. Прога 7.1а.
В инете ссылки только на языковые файлы с этой фразой, кто-нить может помочь это победить?

snkreg

Цитата:

Скажите, а что можно демону проверять? Манагеры работают с офисом, 1с, и тд. Но они же могут отлучится на обед\перекур\по нужде.

Да что угодно, даже наличие какого то файла на серваке или слова на хтмл странице. При чем здесь менеджеры? Ведь есть же человек который будет отключать свет? Так пусть несколько секунд перед этим и включает "ахтунг" для демонов на затирание


Цитата:

И еще - МБР же можно самому восстановить, соответственно потом ввести слитый пароль, или нет?

Я неправильно выразился, и имел ввиду "volume header" т е место где находятся соль и зашифрованые мастер ключи (для системного и обычного раздела они немного разные как и их местоположение на диске)
Если у кого то и есть пароль то без заголовка тома ТС он бесполезен. По аналоги у нападающего есть ключик (пароль) к замку сейфа(ваш винт) , но в сейфе теперь напрочь отсутствует дырка, куда этот ключик втыкать можно (после затирания зоны с мастер ключами)

Это конечно при условии что вас не пасут достаточно долго ибо тогда копии всех заголовков будут уже давно приготовлены не только вами


Цитата:

Кстати о нем и о сабже, но уже не о всей системе а просто о контейнерах:

Использование контейнеров особенно на незащищенной системе это _абсолютно_ несерьезно.


Цитата:

Есть скрипт(сорец приведен ниже) который монтирует контейнер при подключении флешки. Довольно удобно, если отлучаешься от компа не на долго.

Удобство за счет безопасности? Ведь теперь не длина пароля, а факт непопадания флэшки в плохие руки + уровень защиты скрипта-программы задают ваш уровень безопасности (оставим человеческий фактор пока в стороне)

Если смысл спрятать оперативную систему и софт, то конечно можно работать и так как у вас, но если идет разговор о том чтобы спрятать данные то лучше отдельного файл-сервера в защищенном помещении пока ничего не придумали.

Здравствуйте, форумчане. Я пришел сюда с проблемой по TrueCrypt, но изложение может получиться немного (или много?) сумбурным, так как вообще не понимаю что случилось. Поэтому с небольшим предисловием.
Есть филиал, компы которого в домене, главные администраторы сидят где-то наверху. Недавно провели некие процедуры с пользователями филиала, до конца мне не известные, но по крайней мере некоторых пользователей домена удалили из администраторов на локальном компьютере, некоторых заблокировали, может еще что-то. На паре компов стоял трукрипт, пароль известен, больше ничего нет (ни рескью дисков, ни сохраненных заголовков). Профили лоакальные. Вот после вышеописанных процедур некоторые пользователи загрузились, а у них нет ни документов в Мои документиы, ни на рабочем столе. И самое таинственное - трукрипт не считает зашифрованный том, на котором еще вчера пользовались документами, зашифрованным. Т.е. пишет при попытке монтирования, что то ли пароль неверный (а он верный), то ли это не том трукрипта. Свойства тоже посмотреть не могу - пишет что по видимому, этот том не является зашифрованным ни частично ни полностью. Я во-перых не могу вообще поянть что так могло повлиять на это дело (я связываю это с действиями главных админов, хотя бы потому, что пропажа остальных документов вряд ли может быть связана с чем-то кроме этого), и как вообще это могло коснуться трукрипта. Ну и конечно - что делать?? Ну чтобы информацию с зашифрованного тома назад получить. Разными версиями трукрипта открывать пробовал. Да, главные админы говорят, что ничего подобного не делали, а ситуации с трукриптом вообще удивляются сильно. И я тоже - такой проблемы прогуглить даже не удалось, трукрипт вообще был какой-то беспроблемный, и тут вот...

Цитата:

Ведь есть же человек который будет отключать свет?

Нет, это при условии, что ломается или выбивается дверь. В общем, если открывается не картой - то обрубается свет.

Цитата:

Использование контейнеров особенно на незащищенной системе это _абсолютно_ несерьезно.

Хмм, аргументируйте пожалуйста. Даже, если возьмут мой контейнер - что они с ним сделают? Будут брутить?)

Цитата:

Удобство за счет безопасности? Ведь теперь не длина пароля, а факт непопадания флэшки в плохие руки

Я написал, что скрипт не безопасный, но идея хороша, для индивидуального использования, если к примеру шифрована система и есть контейнер с данными, синхронизирующийся с дропбоксом. Надо отлучится от компа - вынимаете флешку и отходите. Если флешка попадает в руки врага - соответственно в офисе, при очередном штурме - гасится свет, вырубаются ноуты. Если попадает на улице или дома - не вопрос, а дальше? Что из этого на ней кейфайл и от какого контейнера? Т.е. в этом плане идея хороша, не айс тот факт, что отреверсить можно демон и что реестр промониторить можно.

zaic39
Том - это что было, контейнер, раздел, весь диск?
Пиннайте админов, тут скорее всего других вариантов не будет. Все действия по установке и использованию ТК и другого нужно согласовывать с админом домена/док сети. Иначе завидив вроде как неразмеченный раздел или мусорный файл их могут попросту прихлопнуть.

Цитата:

По аналоги у нападающего есть ключик (пароль) к замку сейфа(ваш винт) , но в сейфе теперь напрочь отсутствует дырка, куда этот ключик втыкать можно (после затирания зоны с мастер ключами)

IMHO теперь у сейфа не то что дырки - замка совсем нету!

snkreg

Цитата:

Даже, если возьмут мой контейнер - что они с ним сделают? Будут брутить?)

Вы удивитесь узнав сколько можно, в открытой системе, найти информации о том, что у вас в контейнере.

На компьютере один основной раздел, один extended, внутри extended два раздела - один незашифрованный логический диск и один, полностью отведенный под трукрипт. Забыл добавить на всякий случай: зашифрованный раздел выглядит сейчас как полноценный трукриптовский раздел: он выглядит неотформатированным, размер - 0 байт (сам раздел 25 гигов). Т.е. ясно, что его никто не отформатировал, а он остался какой был. Конечно почистить трукриптовский раздел, имя доступ к нему, и сделать, чтобы потом выглядело как будто том обычный для зашифрованного трукриптом можно, но я этот вариант не рассматриваю - это уже вредительство, я рассмативаю варианты глюков/кривых рук и т.п., безо всяких свисающих с потолка Томов Крузов. И еще, не знаю можно ли в этой же теме это обсуждать, но по вышеописанной ситуации с доменом и документами может есть у кого-нибдуь предположения, что это могло быть?

Цитата:

По аналоги у нападающего есть ключик (пароль) к замку сейфа(ваш винт) , но в сейфе теперь напрочь отсутствует дырка, куда этот ключик втыкать можно (после затирания зоны с мастер ключами)

Вот ведь незадача! Зато дырка есть у владельца контейнера... А если в ней внезапно появляется паяльник..., то все пароли и кейфайлы появятся очень быстро.

Цитата:

Вы удивитесь узнав сколько можно, в открытой системе, найти информации о том, что у вас в контейнере.

Поэтому использование логвайперов и шифрование резервных копий хранимой внутри контейнера информации никто не отменял.

n0mid
Цитата:

интересует надежность работы

исходи из простой вещи - сдохнуть может всё.. и в любой момент.. независимо от того, используется шифрование или нет.. независимо от применяемых ОС/программ/железа.. ну.. в частности, вероятность удара молнии тоже ведь не равна нулю.. :)

если серьёзно интересует надёжность и сохранность данных, то лучше резервного копирования ничего ещё не придумано..

---

BarHan
Цитата:

Windows не может отформатировать этот том как NTFS

хотелось бы уточнить..
1. размер тома, часом, не меньше минимально возможного?
2. текущие права пользователя позволяют делать оное?
на всякий случай, из "нетленки", с.28:
Цитата:

however, NTFS volumes can only be created by users with administrator privileges

или в русской, с.31:
Цитата:

однако нужно иметь в виду, что тома NTFS могу создавать только пользователи с правами администратора

Regsnap

Цитата:

Вот ведь незадача! Зато дырка есть у владельца контейнера... А если в ней внезапно появляется паяльник..., то все пароли и кейфайлы появятся очень быстро.

Цитата:

Предполагается, что используя криптографию вы защищены от "атаки грубой силой" правовым или неправовым способом. Если это не так, то от обвинений в пиратстве вас не спасёт даже отсутствие компа. Паяльник заставляет вспомнить даже то, чего вы никогда не знали.

Цитата:

Поэтому использование логвайперов

Святая простота.

Цитата:

шифрование резервных копий хранимой внутри контейнера

WildGoblin

Цитата:

Вы удивитесь узнав сколько можно, в открытой системе, найти информации о том, что у вас в контейнере.

Удивлюсь, да. Расскажите подробнее пожалуйста.

день добрый!

есть компьютер, у него зашифрован раздел C и перед загрузкой Windows вылазит черный экран.
Пароль я знаю, хочется просто снять шифрование.
Rescue CD именно для этого диска у меня нет.
Подскажите, могу ли я использовать Rescue CD от другой рабочей станции для расшифровки диска?

[more]
Цитата:

Я так понимаю, что нужно сначала изменить настройки в биосе таким образом, чтобы комп грузился сначала с флэшке (вариант - с диска, если диск восстановления находится на диске). Потом отформатировать место в начале жесткого диска, где установлен загрузчик программы с помощью Acronis. А затем уже можно грузиться с переносного носителя. Так или что-то упустил?

В общем, попробовал. Основная загвоздка в форматировании того места, где установлен загрузчик. Acronis не форматирует незанятое пространство, в программе нет такой функции. Я обратился в соответствующую тему на форуме, мне посоветовали сделать fixmbr с помощью bootice, а потом затереть место hex-редактором. fixmbr вроде сделал (но не уверен), а что затирать с помощью hex-редактора - не знаю. Что-то затер - система не грузится даже с диском восстановления.


Цитата:

Можно так, что то я уже подзабыл можно ли сразу на системный диск не размещать загрузчик.
В биос естественно выбираешь устройство с загрузчиком для старта (двд, флешка, другой диск)

Нет, в TC загрузчик автоматически помещается на жесткий диск, выбора, куда разместить загрузчик, у пользователя нет. А затем возникают проблемы, как его затереть на харде и перенести на стороннее устройство. Считаю, это недостаток программы, так же, как и невозможность использовать ключевые файлы при шифровании всей системы. [/more]

r1sh
Текст на стр. 114-115 в Руководстве пользователя TrueCrypt не помогает?

townhost33
Не понял, к чему это..
Какие выводы то сделать по Вашему посту?

r1sh

Цитата:

Пароль я знаю, хочется просто снять шифрование.
Rescue CD именно для этого диска у меня нет.

Сделайте загрузочную флэшку - загрузитесь с неё, подключите ваш зашифрованный диск, а затем или расшифруйте его или исправьте ошибку.

Русского модуля нет в списке локализаций и по прямой ссылке недоступен.

townhost33

Цитата:

Подробнее...

IMHO лучше использовать для полнодискового шифрования DiskCryptor - там нет таких проблем с загрузчиком.

WildGoblin


Цитата:

IMHO лучше использовать для полнодискового шифрования DiskCryptor - там нет таких проблем с загрузчиком.

Да я никак не могу разобраться с DC. Система после шифрования не загружается, при попытке создания бутлоадера программа виснет наглухо и пр. Устал уже виртуалки удалять.

TC более дружелюбная для пользователя, хотя 2 недостатка, о которых я и написал.

snkreg
К вашему вопросу это отношение не имеет. Я продолжаю обсуждение предыдущей темы о том, как разместить загрузчик программы на сторонний носитель и грузиться с него.

Цитата:

Русского модуля нет в списке локализаций и по прямой ссылке недоступен.

Вижу в списке

Цитата:

Русский 1.0.0    Complete    Download    Dmitry Yerokhin

Прямая ссылка http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-1.0.0-for-truecrypt-7.1a.zip