» TrueCrypt (часть 2)

WildGoblin

Цитата:

Как его открыть если не скачать сначала?

Дропбоксом не пользовался никогда - не люблю эти всякие левые клиенты ставить, но тут видимо другого пути нет. Всё никак не соберусь попробовать... Должно быть при открытии вместо локального файла просто указать контейнер, лежащий на Дропбоксе...
Заманчивая штука вообще-то, если сработает как говорят.

ЗЫ: Пробовал с box.net, смонтированным как диск при помощи webdav. Получается ерунда - при открытии контейнер целиком скачивается на локальный диск, а при размонтировании целиком закачивается обратно в облако.

На компьютере один основной раздел, один extended, внутри extended два раздела - один незашифрованный логический диск и один, полностью отведенный под трукрипт. Забыл добавить на всякий случай: зашифрованный раздел выглядит сейчас как полноценный трукриптовский раздел: он выглядит неотформатированным, размер - 0 байт (сам раздел 25 гигов). Т.е. ясно, что его никто не отформатировал, а он остался какой был. Конечно почистить трукриптовский раздел, имя доступ к нему, и сделать, чтобы потом выглядело как будто том обычный для зашифрованного трукриптом можно, но я этот вариант не рассматриваю - это уже вредительство, я рассмативаю варианты глюков/кривых рук и т.п., безо всяких свисающих с потолка Томов Крузов. И еще, не знаю можно ли в этой же теме это обсуждать, но по вышеописанной ситуации с доменом и документами может есть у кого-нибдуь предположения, что это могло быть?

xChe

Цитата:

Должно быть при открытии вместо локального файла просто указать контейнер, лежащий на Дропбоксе...

Попробуйте сами смонтировать - https://dl.dropbox.com/u/95067876/123
pass: 1

Добавлено:
Нет, такую ссылку не откроет TC - пробуйте короткую http://db.tt/iuv82CeS

Добавлено:
xChe

Код: TRUECRYPT.EXE    OUT    TCP    ec2-54-243-116-248.compute-1.amazonaws.com    HTTP    *Разрешать Исходящее TCP для TRUECRYPT.EXE    315    52 405 556

n0mid
Цитата:

интересует надежность работы

исходи из простой вещи - сдохнуть может всё.. и в любой момент.. независимо от того, используется шифрование или нет.. независимо от применяемых ОС/программ/железа.. ну.. в частности, вероятность удара молнии тоже ведь не равна нулю.. :)

если серьёзно интересует надёжность и сохранность данных, то лучше резервного копирования ничего ещё не придумано..

---

BarHan
Цитата:

Windows не может отформатировать этот том как NTFS

хотелось бы уточнить..
1. размер тома, часом, не меньше минимально возможного?
2. текущие права пользователя позволяют делать оное?
на всякий случай, из "нетленки", с.28:
Цитата:

however, NTFS volumes can only be created by users with administrator privileges

или в русской, с.31:
Цитата:

однако нужно иметь в виду, что тома NTFS могу создавать только пользователи с правами администратора

WildGoblin
Там всё не так просто... Просто расшаренной ссылки на файл недостаточно. Нужен именно доступ из клиента. Вроде должно работать что-то типа инкрементальной синхронизации.
Вот тут буржуи обсуждают это дело - http://scientificlinuxforum.org/index.php?showtopic=238
И вот типа советов - http://randomwire.com/storing-sensitive-data-in-the-cloud

Где-то видел вообще подробную пошаговую инструкцию - только не помню где...

день добрый!

есть компьютер, у него зашифрован раздел C и перед загрузкой Windows вылазит черный экран.
Пароль я знаю, хочется просто снять шифрование.
Rescue CD именно для этого диска у меня нет.
Подскажите, могу ли я использовать Rescue CD от другой рабочей станции для расшифровки диска?

xChe
хоть там и https, но я бы не рискнул по инету передавать инфу.

r1sh
Текст на стр. 114-115 в Руководстве пользователя TrueCrypt не помогает?

mleo
Так эту канитель вроде для того и затевают - информацию truecrypt расшифровывает только на локальной машине, а по сети туда-сюда гоняются только некие куски файла-контейнера...
Но это пробовать надо конечно, а так это всё пустое теоретизирование.

ЗЫ: А пока я всё rar-ом шифрую - не доверяю я этим онлайн-хранилищам.

r1sh

Цитата:

Пароль я знаю, хочется просто снять шифрование.
Rescue CD именно для этого диска у меня нет.

Сделайте загрузочную флэшку - загрузитесь с неё, подключите ваш зашифрованный диск, а затем или расшифруйте его или исправьте ошибку.

через клиент тоже не айс.
контейнер лежит в папке для синхронизации с дропбоксом. уже синхронизированный ранее.
монтирую (тот что в папке клиента). добавляю килобайтный файлик.
размонтирую и полетела синхронизация.
весь мномегабайтный архив - "Upgrading Dropbox.."
по трафику - перекачивается весь. от корки до корки.
шо?
не так вник в тему или надо допкостыль?!

Русского модуля нет в списке локализаций и по прямой ссылке недоступен.

folta
Х.з....
А галку “Preserve modification time of file containers” в настройках Truecrypt-а убирали?

Цитата:

Русского модуля нет в списке локализаций и по прямой ссылке недоступен.

Вижу в списке

Цитата:

Русский 1.0.0    Complete    Download    Dmitry Yerokhin

Прямая ссылка http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-1.0.0-for-truecrypt-7.1a.zip

проверял.
несколько раз.
галку "сохранять дату изменения у файл-контейнеров", снял.
всё одно. синхронизирует весь контейнер, т.е. перекачивает весь.

Цитата:

In TrueCrypt options dialogue you must tick "do not use kernel cryptographic services". Optionally, untick "Preserve modification timestamp of file containers", and it will also then sync as soon as you make a change to any file in the volume.

а "do not use kernel cryptographic services" - это не нашел в опциях 7а.

что-то вообще не втирается тема...может у буржуев скорости шикарные и они не замечают, такую фигню, как синхронизация какого-то контейнера.
подождём того, кто вник и посвятился..

Molt
Да, теперь и я вижу. Видимо сайт глючил.
Спасибо.

xChe

Цитата:

Там всё не так просто... Просто расшаренной ссылки на файл недостаточно. Нужен именно доступ из клиента. Вроде должно работать что-то типа инкрементальной синхронизации.

Так если работать с клиентом, то вы сначала получите скачанный файл и потом да - будут в облако передаваться только куски изменённые!

Цитата:

ЗЫ: А пока я всё rar-ом шифрую - не доверяю я этим онлайн-хранилищам.

Так зашифровать раром и в облако!?

folta

Цитата:

по трафику - перекачивается весь. от корки до корки.

Не весь! Я добавлял в контейнер (пятидесяти мегабайтный) мегабайтные файлы и при синхронизации перекачивалось всего несколько мегабайт, а не 50.

Добавлено:
В общем если инет не медленный, то можно вполне комфортно пользоваться контейнером синхронизирующимся с облаком.

Но для скрытия контейнера такой способ конечно не подойдёт!

Всем здравствуйте!
Прошу помощи!
У меня проблема, схожая с r1sh

Есть зашифрованный Truecrypt системный диск. Диск восстановления утрачен. Загрузчик работает, пароль помню. Посыпалась винда (V7) - после ввода пароля truecrypt стартует Windows, но запускается только режим восстановления системы.

Пытаюсь загрузиться с live cd и смонтировать хард через truecrypt - основной раздел монтируется и читается, а вот расширенный... видится как неразмеченная область. Все нужные данные - именно в расширенном разделе. Есть ли какой-то механизм, с помощью которого можно добраться до данных в расширенном разделе?

Заранее благодарен за помощь и очень на оную надеюсь - положение патовое, а информация - "государственной важности".

WildGoblin

Цитата:

если работать с клиентом, то вы сначала получите скачанный файл и потом да - будут в облако передаваться только куски изменённые!
Но для скрытия контейнера такой способ конечно не подойдёт!

А-а-а, вон оно как получается... Понятно. То есть в облаке просто копия контейнера, а сам он всё равно целиком лежит на локальном диске? Ну тогда смысла во всей этой возне нету...



Цитата:

Так зашифровать раром и в облако!?

Так и делаю. И ещё поглядываю на ccrypt. Примечателен он тем, что зашифрованный им файл, как и контейнер TrueCrypt-a, не имеет никаких сигнатур - и враги не будут знать чем такой файл ломать.

serg_v4

Цитата:

а вот расширенный... видится как неразмеченная область.

смонтировать в ТС и использовать программы для восстановления. Но там много нюансов которые вы еще не назвали.

WildGoblin
тогда либо в дело в контейнере, либо опять у меня эксклюзивные вилы.
форматирую в fat. кластер 64kb, тройное шифрование, секретные том и т.д.
в итоге, почти весь контейнер перетягивает (да, меньше чем размер контейнера).
открываю в компромаре - контейнер кусками покоцан(фрагментирован), особенно нижняя половина.
может из-за непрактичного формата контейнера так коряво с синхронизацией..не знаю.
возможно что-то сам учудил.
так что, в любом случае, эта методическое пособие не практично.
эксперимент завершен.

terminat0r спасибо, сегодня вечером буду пробовать монтировать.

Нюансы готов озвучивать, спрашивайте!

А про "программы для восстановления" Вы к чему - исходите из того, что там проблемы с разделом, или это - стандартный путь при работе с зашифрованными TC расширенными разделами?

Мне кажется (точнее, я надеюсь), что проблема (пока) лишь в том, что не заводится винда. TC же (очень надеюсь) функционирует в штатном режиме, и все проблемы с монтированием раздела - от того, что он расширенный (где-то в документации было, что с ними у TC не всё так просто). Я ошибаюсь?..

Цитата:

форматирую в fat. кластер 64kb, тройное шифрование, секретные том и т.д.

)) жестко ))!! хорошо если контейнер небольшого размера.

Вопрос к знатокам: " Как назначить открытие контейнера в ТруКрипте на горячую мультимидийную клавишу на клавиатуре" ?? Обычные - прописываюся, а вот мульт.кл. - нет, тока происходит запуск плейера,калькулятора и т.д.
Ещё вопрос: "Как передать через командную строку задание на открытие конкретного контейнера с паролем внутри(ком.строки)?? Используется цепочка: Гор.кл.->Запуск спец.проги->предложение ввести пароль(упрощёный), если верно, то она->Передаёт через ком.строку задание уже с полным сложным паролем ТруКрипту->Монтирование контейнера->Открытие автозапуска ехплорера."

Заранее благодарен за ответ.

folta

Цитата:

форматирую в fat. кластер 64kb, тройное шифрование, секретные том и т.д.

"тройное шифрование, секретные том" - скорее всего дело в этом! Слишком много всего меняется в контейнере.

RabbitPGN
Вот командная строка

C:\Program Files\TrueCrypt\TrueCrypt.exe /v /q background "D:\Большой секрет.rar" /l S /e /p 123456789

C:\Program Files\TrueCrypt\TrueCrypt.exe - путь до самой проги TrueCrypt
D:\Большой секрет.rar - контейнер TrueCrypt, поменяй на путь-название своего
123456789 - твой пароль (поменяй на свой)

Проверяешь, работу, если что, подгоняешь под себя.
Далее качаешь прогу Bat To Exe Converter и делаешь из своей командной строки EXE файл.

Второй файл делаешь чтоб закрывать диск
Строка для закрытия диска
C:\Program Files\TrueCrypt\TrueCrypt.exe /d /q

Bat To Exe Converter может присваивать программке иконку, можешь для "Открыть секретный диск" присвоить иконку в виде ключа, а для "Закрыть секретный диск" в виде замка Иконки брать в формате .ico, например тут

Добавлено:
Плюс этого способа в том, что можно, например зашифровать контейнер с длиннющим паролем, типа "@%GV1Yq777GT4YUy8nxs's4sgyU&;^%*&(E#GFHG'mp46GXn4ng78jk5u6yt", создать Bat To Exe Converter-ом проги "Открыть диск" и "Закрыть диск", и записать на флешку. Воткнули флешку в компьютер - запустили прогу и работаете. А без флешки ничего нельзя будет открыть, ибо вспомнить пароль вы не сможете даже с знаменитым паяльником в ###.
Правда некоторые антивирусы режут файлы созданные Bat To Exe Converter-ом (из-за того, что школота создавала на нём вирусы-самоделки). Прикольно, если какой нибудь NOD съест без карантина единственную возможность открыть зашифрованную инфу

[more=по мелочи, можно не читать]можно было бы, каэшна, поболтать нащёт корректности отбора методов "игры в прятки" в обновлённую версию шапки..
а также о том, шо фраза
Цитата:

Убрал, то где усмотрел

..абсолютно уверенно позволяет судить о неколлегиальности решения.. ну.. т.е. о некой "субъективности подхода"..
а если учесть, шо при внимательном рассмотрении
Цитата:

много рассуждений, но мало конкретики

таки имеется и в "новом методе №1" (№2 в "старой" шапке)..
и шо их (было) не намного больше в ныне отсутствующих "старых методах" №1, №5 и №6..
которые, возможно, были удалены из текущей шапки не по причинам их полной "профнепригодности", а по каким-то иным..
возможно, просто по причинам, связанным с определённым отношением одного шапкоправившего члена к другому члену..
на шо также намекает и правка/урезание сделанных ранее каментов к методам.. так шо с членами дело тёмное, вопчем..
ну да хрен с ним, всё это сугубо имхо.. в смысле, шо не для "разжигания" чегой-то там и, ессно, никому не в обиду.. ;))
вопчем, запросто можно было бы побаянить, но что сделано, то сделано.. и не будем заостряццо на таких мелочах.. +)

есть ведь и более насущные вещи для обсуждения
Цитата:

Можно, всем вместе, суммировать все накопившиеся знания и добавить прямо (а не ссылками на посты) в шапку

0. призыв "эвриибади олл тугеза" не имеет смысла - в шапке уже есть вполне разумное "ты можешь отредактировать....." и т.д..
0а. ..в том смысле, шо мемберы и без каких-либо "суммирований" могут добавить своё.. в порядке поступления. так скать..
1. "суммирование" также бессмысленно потому как методы могут меняться/добавляться.. и, ессно, становиться неактуальными..
1а. ..сталыть, либо нужен шапкосмотрящий.. либо оставить на "самотёке", но приглядывать, шоб не пакостили по-мелкому..
2. "прямо" тоже малоинтересно - по ссыле можно сразу перейти к обсуждению предложенного, а не искать в принт-версии..
2а. ..сопссно, самый первый метод (адс) и его критика сделаны именно так, не вижу смысла менять "стиль"..

и по ходу пьесы:
Цитата:

только пожалуйста не нужно вставлять смайлы через каждой слово и т.п.).

через "каждой слово" никто, сопссно, ничо и не вставлял.. если уж быть откровенным.. и непредвзятым..
шо касаемо отображения ) как смайлика " :wink:" и т.п. - вопросы исключительно к форумному движку..
без балды - достаточно посмотреть "исходник" в режиме редактирования.. и при просмотре тега "море"..
шо касаемо вставки смайлов в конце предложений/абзацев, тут, я думаю, особых вопросов не должно возникать..
ибо, как мне думается, на форуме каждый волен выражать своё отношение к им же и написанному.. ;)

нащёт
Цитата:

не с CP ли был как-то связан мистер Мэтью и не из-за этого ли заинтересовались его паролем?

скажу, шо в данном случае мне как-то по барабану истинные причины.. ведь "прицепились" именно к криптоконтейнеру..
если бы хотели припаять другое обвинение - так бы и забодяжили.. делов-то куча - липу сфабриковать..
и шо/каг там мериканская (или какая-нить другая) фемида крутит/мутит - это к теме сокрытия томов уже никак..
есть голый факт официального (!) обвинения и причины заключения под стражу - и именно за отказ выдачи пароля..
не знаю, как кому, но мне и этого достаточно, шоб не быть рьяным приверженцем открытого хранения томов.. :D

эхх.. скока уже перетёрли надо/не надо.. даже как-то была неплохая фраза сказана
Цитата:

Такой же позиции придерживается автор DiskCryptor...

по другому поводу, ессно.. но ведь и в данном случае ссылку на сей авторитет можно применить (болд мой):
Цитата:

Как вы видите, практических способов расшифровки данных предостаточно. Их список отнюдь не ограничивается всем вышеописанным. В частности, я не стал говорить про популярный в народе так называемый "терморектальный криптоанализ", не упомянул различные риски, связанные с человеческим фактором. Чем больше мы знаем ИБ, тем полнее понимаем свою беззащитность.

Поэтому запомните — защита конфиденциальных данных не должна сводиться только к шифрованию, крайне важно не забывать о физической защите и организационной стороне вопроса. Но тем не менее, вышеописанное не отменяет необходимости пользоваться шифрованием, так как его использование в любом случае увеличивает затраты атакующего.

(с)пёрто

сопссно, предельно ясно написано.. ничё и не надо добавлять/разжёвывать.. =)

ну, как-то так.. )[/more]

---

mleo
Цитата:

у кого есть опыт шифрования системного раздела в linux?

скажу сразу - личного опыта нет по причине неиспользования линя в повседневности..
но имею вопрос - а есть ли разница?.. ну, загрузчику, по большому щёту, не пофиг ли, какая ось загрузится?..
да и в доке, вроде, никаких ремарок по "особенностям использования" сабжа на никсах нету..

---

по поводу обсуждаемого хранения контейнера на удалённых ресурсах - пара "чёрных шаров":
1. нет доступа к нему при отсутствии тырнета (сбои у прова, на "дальних" серверах, тупо - обрыв кабеля и пр.)..
2. бОльшие затраты времени при работе, ошибка/сбой синхронизации -> повреждение тома (?)..
3. но самое главное, как говорил партайгеноссе Мюллер - "верить нельзя никому".. (ц :)
3а. ..т.к. есть возможность утечки ключа при передаче по сети.. которая вам лично не подконтрольна..
4. т.е. по большому счёту - облако в "нашем случае" ничем не лучше ёмкой и быстрой флэхи..

всё это имхо, ессно.. вопчем, как вариант бэкапа, "облака" вполне.. но критичные вещи я бы лично им не доверил.. :х)

---

ладно.. теперь "ближе к телу", т.е. к теме..

1. вопрос - сабж не позволяет примонтировать дисковый контейнер как нтфс-папку? или я шо-то пропустил?
вот "дружественный софт" - может, проверено.. а с сабжем чё-т не получилось у меня..

2. ещё одно предложение (№7, ежли по "старому стилю" ) по [more="играм в прятки"]"и это всё о нём".. в смысле - о скрытии контейнера на несменном диске.. +)

есть стандартная вендовая фича - EFS.. т.е. шифрование средствами самой ОС..
и, вопчем-то, никто не мешает воспользоваться готовым стандартным решением.. :)

итак, как можно применить EFS для скрытия контейнера:
1. создать отдельный акк, для которого вкл/настроить шифрование..
2. забэкапить (многократно/удалённо/надёжно) ключи восстановления и обязательно убить их на локальном компе..
3. под созданным юзером в шифрованной папке разместить криптоконтейнер..
4. работать с томом можно будет, ессно, только из-под созданного "спецюзера"..
5. ессно, все остальные методы скрытия также можно применить и здесь.. но это уже паранойя.. :))

+ оперативность доступа и, одновременно, двойная криптозащита..
+ недоступность контейнера для поисковых средств, запущенных под любой другой учёткой..
+ убой учётки тут же убивает и весь доступ к контейнеру (если это надо, ессно ))..
- необходимость смены акка для доступа к контейнеру..

вот как-то так..[/more].. =)

banaji спасибо огромнейшее!!!! Про втрою часть кстате вкурсе,Bat To Exe Converter юзать и собирался!!
Сейчас попробывал, всё работает, но это правда тока пробник на 100 метров был, натуральный будет в разы больше `150Gb. Надеюсь всё буит ГУТ!!!

Эх, что ж я раньше не нагуглил про скрытую ОС...

История такая. Для сокрытия Win7 и сопутствующих файлов был снят образ логических дисков:
a) зарезервированный системой (загрузчик Windows) (100 Mb);
b) системный C (~70 Gb);
c) диск D со всякими пользовательскими файлами (~400 Gb).
Образ был создан утилитой disk2vhd и сохранён на диске D.
Далее a и b были отформатированы, а на их место установлен Linux (swap и / в ext4). В этом Linux под VirtualBox крутится Win7 с vhd-образа. Ни надёжного сокрытия, ни комфортной работы.

И тут я узнаю про возможность создания скрытой ОС средствами TrueCrypt (раньше об этой программе только слышал, но в глаза не видел).

В идеале хотелось бы развернуть vhd в скрытый раздел, в качестве фейковой ОС оставить имеющийся Linux (уже как раз эффект активного пользования получен).
Это реально? В мануалах всё скрывают имеющуюся реальную ОС и ставят подставную.

Надеюсь, vhd восстановится на hdd без проблем, но быть с Linux'ом?

mleo
для одного(больших), максимум двух файлов оно в самый раз)
да, а в контейнер, можно положить ещё контейнер
а в него...)))

WildGoblin
попробовал синхронизировать делая немонтируемым (изменяя один байт).
синхронизация моментальная.
наверное он только кластер измененный перекачивает..хотя, не берусь утверждать. больно шустро.