» TrueCrypt (часть 2)

WatsonRus
а что мешает взять DiskCryptor?

WatsonRus
Врать не буду - сам не пробовал раздел шифровать. Это ж надо подготовиться! Но, судя по мануалу, не должно. Да и с нуля-то никто не запрещает шифровать несистемный раздел в XP - значит, принципиально с зашифрованным несистемным разделом TrueCrypt под этой ОС работает.

xChe

Цитата:

Непонятно - в чём вообще смысл такой программы?

К примеру - врываются маски-шоу в контору, пока никто ничего понять не успел - кладут всех на пол, делают на месте слепки оперативки компьютеров с запущенным TrueCrypt'ом, вывозят все, потом слепки анализируют этой программой и пробуют открыть криптоконтейнеры или дешифровать устройства.

В общем, программа ни о чем. Слишком много условий требуется для успешного ее применения. Тем более при наличии у спецслужб аппаратно-программного комплекса для быстрого подбора паролей Advanced Password Recovery Toolkit, не понятно, кто ее вообще будет закупать, если только чтобы бюджетные деньги освоить

mleo 22:58 26-06-2012
Цитата:

а что мешает взять DiskCryptor?

Ничего. Но раз сабж тоже может, то пусть сам и делает. Все-таки совместимость совместимостью, а мало ли что...

мдя.. берём штатный дебаггер, лепим какой-нить юзероудобный фейс, хыч-хыч - и новая "супер-хак-тулза" готова.. =))
реклама/раскрутка - и можно начинать стричь ниипическое бабло с лохов.. нормальный бизнес, куле.. ;)
главное, шоб лохи том не дай бог не размонтировали.. и/или пароли типа 123 юзали.. тады точно - "мгновенно"..
но мораль понятна - уходя покурить/отлить, гасите свет размонтируйте контейнер и очистите кэш..

SergikZ
Цитата:

Advanced Password Recovery Toolkit

зачОтная фотка..

а критично чтобы шифрование шло только ТС? обе программы уживаются вместе и не мешают друг другу. причем размер DC тоже небольшой.

xChe

Цитата:

Если на компьютере с подключённым контейнером некие враги способны по своему усмотрению запустить какую-то левую программу...

Есть ещё спец. карты - подключаешь их в PCI разъём, работающего компа, и получаешь доступ к памяти.

SFC

Цитата:

А если ключи вообще не используются, а используются только парольные фразы?

"Ключи" это не "ключевые файлы"...

SergikZ

Цитата:

В общем, программа ни о чем. Слишком много условий требуется для успешного ее применения.

С каких это пор сold boot attack стала неактуальной?

TheBarmaley
Ваш слэнг утомлять уже начинает - написал модераторам.

Да нет...
23:39 26-06-2012
Цитата:

обе программы уживаются вместе

Как я понял из топика DC, уживаются только TC и DC версий до 0.4, дальше автор DC изменил алгоритм шифрования, и он стал несовместим с TC.

вроде и нежелезячная тема.. но раз уж..
Цитата:

подключаешь их в PCI разъём, работающего компа

в PCIe, видимо.. если "на горячую".. а то так ведь "исследуемое" и спалить можно.. )
и пока крышку снимаем, можно и ресет жмакнуть.. как бы ненароком.. и содержимое памяти делает ку.. ))
сопссно, все "открытые" методы добывания/ломания паролей упираются в стоимость лом-софта и спецдевайсов..
и знаний/умений добывальщиков.. а старые добрые паяльник с утюгом, всё-тки, дешевле и эффективней.. ;)
[more=офтоп, можно не читать]
Цитата:

слэнг утомлять уже начинает - написал модераторам

чую, была бы возможность - лично бы покарал.. наверное..
сожалею, всегда изъясняться штилем высоким не привык.. но уж как могу..
да и мы, вопчем-то, не в институте благородных девиц, шоб цепляться не по делу..
вопчем, будьте проще, сударь.. и люди потянутся..[/more]..

Цитата:

и он стал несовместим с TC.

а нужно ли это, если оба сабжа использовать в связке? места занимают немного, памяти тоже.. на LiveCD идут как правило вместе (там где их включают в сборку) у CD функционал больше заточен по работу с дисками и разделами, чем ТС

[more] Здраствуйте.У меня возникла проблема с рассшифрованием дискового раздела ,зашифрованного с помощью TrueCrypt.Дело в том что я зашифровал системный раздел с установленной Windows 7 несколко месяцев назад.Неделю назад в связи с неработоспособностью некоторых драйверов Windows, пришлось расшифровать дисковый раздел.После восстановления работоспособности windows я заново зашифровал системний раздел диска с использованием того же пароля что и при первом шифрованиии .Так так помимо windows,я использую Linux(linux mint 13 maya) ,мне пришлось стереть загрузчик в MBR и поставить вместо него загрузчик Grub2.По этой причине я загружался с TrueCrypt Rescue Disk.Моя проблема состоит в том ,что я восползовался диском TrueCrypt Rescue Disk полученом при первом шифровании(при этом я воспользовался опциеи restore volume header и опциеи Restore TrueCrypt Boot Loader).Kогда у меня не получилось зайти с диска я выполнил перманентную дешифровку(Permanently decrypt system partition/drive) при помощи этого же CD-диска.Получить доступ к дисковому разделу так и не получилось.Когда я понял что восползовался "не родным" TrueCrypt Rescue Disk, я попробывал восползоваться "родным" TrueCrypt Rescue Disk- воспользовался опциеи restore volume header и опцией Restore TrueCrypt Boot Loader и попробывал зайти на системний раздел,но не получилось .Тогда я восползовался перманентной дешифровкой(Permanently decrypt system partition/drive)при помощи "родного" диска восстановления.После выполнения дешифровки воспользоваться дисковым разделом не получилось даже под WindowsPE(файловая система определяется как RAW и при попытке зайти появляется предложение о форматировании).Не знаю что делать.Информация с зашифрованного раздела нужна позарез.Может кто-нибудь знает выход из данной ситуации? [/more]

TheBarmaley

Цитата:

в PCIe, видимо..

Вы читать не умеете, видимо..

Цитата:

вопчем, будьте проще, сударь.. и люди потянутся..

Потянуться простые и недалёкие..

WildGoblin


А также все прочие спецы по защите данных.

Нельзя ли получить краткий комментарий к уязвимым местам дополнительных трюков, предложенных на последних страницах? Был бы очень признателен - и, наверное, не я один... На первый дилетантский взгляд рассуждения выглядят вроде бы убедительно...

TheBarmaley
06:53 03-02-2013
Цитата:

..продолжая тему хранения контейнера в потоках ntfs.. применение дополнительных "хитрушек" для НЕоперативного хранения:
1. дополнительный файл подкачки
2. спецфайлы NTFS (Vista/Win7)
3. "недоступные" файлы

folta 14:56 03-02-2013
Цитата:

а можно размазать контейнер по всему компьютеру OpenPuff  [?]. там, упирается в размер размазываемого. но уж отрицание, так отрицание.

Если вдобавок один из цепочки файлов, по которым "размазан" наш контейнер, скинуть на флешку или в удалённое хранилище, то оппонент сможет при при помощи специального стеганоаналитического софта определить наличие в хостовых файлах "чего-то непонятного", но ни при каких условиях не сможет собрать из этих кусков целиком зашифрованного контейнера. А без недостающего фрагмента контейнер, в принципе, не поддаётся расшифровке даже при наличии правильного пароля, не так ли?


xChe 22:18 03-02-2013
Цитата:

Вроде последняя мода - на dropbox.com контейнер держать и монтировать прямо оттуда.
Читал где-то что это особенность реализации клиента именно у dropbox. Он как-то отслеживает изменённые фрагменты контейнера и в облаке обновляет выборочно только эти участки. Может и ещё кто так умеет - не знаю, про других не слышал...

Только, пожалуйста, не надо общих рассуждений про терморектальный криптоанализ и про то, что сильный оппонент всё это по-любому поборет, а от слабого и прятаться нет смысла. Да, защита данных требует комплексного подхода, но мы всё-таки сейчас находимся в техническом форуме (кто забыл - смотрим вверху страницы: Компьютерный форум Ru.Board » Компьютеры » Программы), поэтому хотелось бы увидеть критику именно технического аспекта предложенных методов в качестве дополнительного уровня защиты (при том, что главный уровень - это, конечно, надёжный алгоритм шифрования).

Спасибо!

Цитата:

при этом я воспользовался опциеи restore volume header

Заголовок восстанавливался из копии встроенной в том?

Цитата:

Заголовок восстанавливался из копии встроенной в том?

не совсем понял ваш вопрос

WhiteCrowRus
Live CD есть на базе WinPE 2.0 или выше?
Там запустите TC и выберите диск для монтирования как на скрине

oshizelly
по "доп.хитрушкам" есть вполне очевидное слабое место - загрузка с лив-сд и анализ оттуда..
но самый неудобный момент - на "живой" системе их использовать не получится - венда заблокирует доступ..
т.е. это опять же защита против "лобового" осмотра и может использоваться для хранения, но не для работы..

во втором методе (если учесть отсутствие "куска(ов)" контейнера), думаю, нереально будет определить, что это
Цитата:

там именно контейнер. а не вирьё обрыгалось

хотя.. впрочем, подождём чуток..
вопчем, это были не более чем ламерские рассуждения .. э-э-мм.. простого и недалёкого дилетанта, насмотревшегося телевизора.. :))

При переносе зашифрованного контейнера на другой компьютер, а так-же при подключении контейнера созданного под админом обычным юзером вылазит это:

как исправить, почему так происходит?

раз уж пошла такая пьянка с программно-аппаратными хаками, внесу свои пять копеек..
..нащёт страшилок CBA:
1. этот метод актуален на старой памяти, DDR3 тупо успеет сброситься.. [more=метод защиты]
Цитата:

If you will read it carefully, you will find that only DDR2 and older are prone to this attack. DDR3 lose voltage too fast to allow computer case dismount and freeze procedure. So simply pull the plug before answering the door.

If in fact you want to secure yourself because you have DDR2 RAM then enable in BIOS:

1. Autostart after Power loss
2. RAM check at boot time

and do the same as with DDR3 but after pulling the plug, plug it back in. Your computer will start itself and wipe the ram by checking it. If it will not wipe efficiently enough, the boot process will load the system to the RAM again. It will be far too quick to allow for CBA.

[/more].. (с)пёрто тут..
2. для параноиков опасающихся там же приводится [more=скриптик и метода защиты]
Цитата:

Actually i believe that if you have very very very important data you should not only use Full Drive Encryption but also keep it in a separate encrypted file. Encrypted with cascade algorithms and a different password then the one used during disk encryption. You want a secure way of shutting down the PC? Here it is:

1. Keep secure data in True Crypt cascade algorithm encrypeted file
2. Use Serpent
3. Create a script to handle shutdown:

For Windows:

truecrypt.exe /wipecache
shutdown -s -f -t 1

For Linux:

truecrypt /wipecache
shutdown -h now

Wipecachce ensures that no vulnerable data remains in RAM after shutdown. If someone will perform Cold Boot Attack they will have access to your System at best. They will not have data stored in a separately encrypted file.

[/more] для сабжа на случай, если "пришли"..
этот метод также актуален при опасении подтыкания к вашему писюку некоего "хак-девайса".. ну.. если успеете.. ;)

а ваще, про физический доступ к компу (и, соответссно, к контейнеру) вполне доступно [more=уже написано]
Цитата:

Physical securityTrueCrypt documentation states that TrueCrypt is unable to secure data on a computer if an attacker physically accessed it and TrueCrypt is used on the compromised computer by the user again (this does not apply to a common case of a stolen, lost, or confiscated computer). The attacker having physical access to a computer can, for example, install a hardware/software keylogger, a bus-mastering device capturing memory, or install any other malicious hardware or software, allowing the attacker to capture unencrypted data (including encryption keys and passwords), or to decrypt encrypted data using captured passwords or encryption keys. Therefore, physical security is a basic premise of a secure system. Attacks such as this are often called "evil maid attacks".

[/more] (см.тут)..
к сожалению, в русской бредопедии этого куска нет.. и много чё ещё нет.. вопчем, лучше смотреть оригинал.. :)

Добавлено:
добавил в шапку.. может, кому пригодится.. :)

Цитата:

WhiteCrowRus
Live CD есть на базе WinPE 2.0 или выше?
Там запустите TC и выберите диск для монтирования как на скрине

windows PE 1.0 (windows XP Alkid LiveCD)-http://rutracker.org/forum/viewtopic.php?t=560432
пробовал смонтировать без дозагрузочной аутентификации-сообщает что либо пароль неверен либо раздел не является томом TrueCrypt

Цитата:

WhiteCrowRus
Live CD есть на базе WinPE 2.0 или выше?  
Там запустите TC и выберите диск для монтирования как на скрине
 

попробовал Windows 7 Rescue PE 3 с установленным TrueCrypt
смонтировать все равно не получилось

может нужно воспользоваться восстановителем данных по типу R-studio или Active Undelete?

а монтируете правильно? полностью винт выбираете? восстановить заголовок заново не пробовали?

я вот думаю, что та джпежка, где торчит 4096kb контейнер, трудно определить содержимое аномалии. да, что-то там не то. но что?!
а можно вообще аккуратно в hex-e, переместить контейнер куда вам заблагорассудится)
скопировали, открыли любой файл, втиснули.
да, топорно. как и первый метод, к 100kb фото прилепить ещё 4096kb.
страшитесь что вынимут(я оч сомневаюсь) - развалите контейнер на части и прячьте каждую отдельно.

так, по поводу стеганализа: хованках в метаданных, младших битах, хи-квадрат тест и прочее - читать и читать. внимательно.
потом, идете и вытягиваете OpenPuff . сама она, 900kb, остальное напочитать.
там как раз и заложена борьба (скремблирование-отбеливание-выравнивание..) с возможностью выявление сокрытого.
плюс, всё это криптуется. вобщем - читать.

если озабочены данной проблемой.
качаем пачку стегано-утилит. качаем доступные анализаторы стеганографии.
берём несколько образцов и пытаем поймать счастье)
сложно?
можно обойтись компроматором (побайтовое сравнение файлов) и графическим построением содержимого файла в картинку.
оригинал и подопытный исследуете.
та программа, которая выдаст меньше аномалий и похожа на своих собратьев по цеху - той и карты в руки.
подытоживая.
считаю. что в таких вопросах, нужно всё самому проверять, а не уповать на чьё-то мнение, обзор или заключение.


Цитата:

А без недостающего фрагмента контейнер, в принципе, не поддаётся расшифровке даже при наличии правильного пароля, не так ли?

естественно.
плюс, может быть 3 (три пароля). отсутствие или неправильность одного из них, даст тот же результат, что и отсутствие недостающего фрагмента.

Цитата:

а монтируете правильно? полностью винт выбираете? восстановить заголовок заново не пробовали?

1)выбираю зашифрованный раздел с опцией "без дозагрузочнои аутентификации"
2)если вы говорите про опцию Restore Volume Header ,то да

folta
самое интересное, шо даже если и получится "на выходе" некий отдельный файлик - кто/чем докажет, шо это контейнер.. :)
но есть и "минус" - тогда в ход может пойти и паяльник.. вот если бы эта тулза могла лепить "нечто" в произвольные файлы, а не только в медиа-форматы.. к примеру - в длл-ки и/или экзешники.. вот тогда бы это был вариант (почти) отличной отмазы с ... э-эмм.. "обрыгавшимся вирьём".. :D

---

..по поводу ТС-хантера (и ему подобных тулз), с которого всё и началось - есть [more=ещё один простой вариантик]исходя из их фака:
Цитата:

Q. TCHunt found all of my encrypted volumes. How does it work?

A. TCHunt searches for four (4) file attributes. This is all TCHunt does:
1. The suspect file size modulo 512 must equal zero.
2. The suspect file size is at least 19 KB in size (although in practice this is set to 15 MB).
3. The suspect file contents pass a chi-square distribution test.
4. The suspect file must not contain a common file header.

из п.1 вырисовывается задачка, упирающаяся в размер тома, связанный с размером кластера тома (кратен 512 байт)..

решение которой, в принципе, можно увидеть на скрине:



здесь:

Too_Small: TC-test.txt <- некий мелкий файл, "довесок", размером х (я взял х=1 байт)

modulo_true: TC-test.vol 20971520 <- том, созданный в самом ТС (исходный) *
......
Suspect_File: TC-test.vol <- ..который и был "предположительно" определён.. :)

modulo_false: TC-test.voltxt 20971521 <- а это он же, но с "прилепленным" к нему "довеском", по методу от WildGoblin'а (№2 в шапке: copy /b 1+2 3), который хантер теперь уже пропускает.. т.е. том остался никуда не запрятанным, но доступным для монтирования и оперативной работы (проверено).. :)

modulo_false: UpdatePackLive-13.1.15.exe 82343768 <- а это просто некий большой файл, но тоже не детектируемый по причине некратности размеру кластера..

* отмечу, шо маленькие файлы хантер также не видит в упор (игнорирует).. есть заявленный минимум 19кб (в хантере установлено 15Мб, но, видимо, могут быть тулзы и с другим мин.размером), у меня "охотник" не увидел том 1Мб.. сталыть, есть вариант для параноиков - хранить ключ в мелком контейнере.. можно - ещё и в скрытом.. ещё и на флэхе/дроп-боксе.. :D

не скажу, шо это "супер-пупер-защита".. возможно, и на этот способ есть свой "детектор"..
но! - чем больше известно о методах поиска, тем больше вариантов из "объезда" можно применить.. ;)
вопчем, старик Энгельс был прав нащёт "единства и борьбы противоположностей".. Х)[/more].. ну, кроме уже засунутых в шапку "объездов" по скрытию контейнера в потоках, архивах и прилепления тома к другому файлу (с "нормальным" заголовком).. интересует ведь, шоб просто и быстро убрать с глаз долой, но сохранить оперативность доступа/работы..

ессно, любая конструктивная критика всячески приветствуется.. +))

Вопрос очевидный но все же, пароль ведь вводите на английской раскладке?

WhiteCrowRus
Вы ещё раз по порядку опишите вашу ситуацию!

Заголовок сейчас у контейнера родной или тот который вы "восстановили" с не родного диска восстановления?

Когда восстанавливали заголовок, то выбирали восстановить из копии встроенной в том или из внешнего, сохранённого, файла?

Цитата:

Вопрос очевидный но все же, пароль ведь вводите на английской раскладке?

да

Цитата:

Заголовок сейчас у контейнера родной или тот который вы "восстановили" с не родного диска восстановления?

родной(восстановленный с помощью родного Rescue Disk)

Цитата:

Когда восстанавливали заголовок, то выбирали восстановить из копии встроенной в том или из внешнего, сохранённого, файла?

загрузился с Rescue Disk ,нажал F8(Repair options) ,выбрал функцию Restore key data(volume header),и согласился на ее выполнение (modify drive 0).


p.s.При попытке смонтировать раздел в TrueCrypt 7.1a(загрузившись с Windows PE), TrueCrypt сообщает что либо неверен пароль,либо это не том TrueCrypt

Цитата:

в длл-ки и/или экзешники

в чём проблема. вручную втискиваем контейнер в dll, через hex.

для дополнительной безопасности, кому надо, меняйте один байт в контейнере.
только не трогайте заголовок. начните (если winhex) с 7 строчки.
в итоге - немонтируемый контейнер. для ваших нужд.
по мне, чем набивать мегапароль, легче быстро перебить пару байт. туда и обратно.
нет?
сложно?!
криптоните контейнер сверху. благо есть чем.

а тс-хантер прикапавается к многим файлам, которые по сути, не контейнеры.
часть mp4 обработанные aes, он считает контейнерами трукрипт. остальные не считает.
вобщем, бардак и одни непонятки.

Повторю вопрос:
При переносе зашифрованного контейнера на другой компьютер, а так-же при подключении контейнера созданного под админом обычным юзером вылазит это:

как исправить, почему так происходит?
Права на запись стоят, перемещал с С в мои документы, все-равно пишет что диск защищён от записи.
Очень нравится прога, но как оказалось может подвести. Видимо нужно искать замену.