Ru-Board.club
← Вернуться в раздел «Программы»

» TrueCrypt (часть 2)

Автор: 135la
Дата сообщения: 11.01.2011 19:16
tormozok
Я тебя понимаю. Послушай, как сделал я...
Есть винт с осью (1 шт), и остальные, с данными (3 шт).
Вот этот первый винт зашифрован DiskCryptor'ом. Каскадный алгоритм AES-Twofish-Serpent, ключевой файл (только один - потом расскажу, почему), пароль - длинный, но я его помню.
Далее, все остальные винты шифруются TrueCrypt'ом в режиме паранойи - 64 случайных символа и по 3 разных рандомно генерированных ключевых файла. Пароли от этих винтов я и сам не знаю, но я написал простые bat-файлы, которые монтируют винчестеры из-под системы. Система зашифрована, повторяю (особенно для того индивидуума из статьи).
Теперь подведу итог.
На компе ни на едином диске нет ни одного незашифрованного байта. Загрузка - с SD-карточки, размером меньше копеечной монеты. Уничтожается моментально в случае опасности. Можно сделать и с USB-флешки, и с CD, проблем нет. К сожалению, DiskCryptor может использовать только 1 ключевой файл для раздела с ОС, так что обхожусь им одним.
Дубликатов загрузчика нет. Ключевые файлы дублированы в сети, в зашифрованной базе, конечно же, KeePass'а.
Осталось только добавить, что я служу в той самой структуре, которую вы все боитесь.
Автор: italyan
Дата сообщения: 12.01.2011 00:41
А у кого-нибудь есть примеры такого же решения, но под linux (ubuntu)?
Автор: Leo66
Дата сообщения: 12.01.2011 07:54
135la

Цитата:
Далее, все остальные винты шифруются TrueCrypt'ом в режиме паранойи - 64 случайных символа и по 3 разных рандомно генерированных ключевых файла. Пароли от этих винтов я и сам не знаю, но я написал простые bat-файлы, которые монтируют винчестеры из-под системы.

Красота при порче данных (выход винта из строя, отключение питания, магнитные наводки и т.п.)!
Хоть Вы и, как пишите, подготовлены, но слабые места видны сразу
Цитата:
Ключевые файлы дублированы в сети, в зашифрованной базе, конечно же, KeePass'а.
- уничтожаем SD и спокойно перехватываем трафик.
В любом случае хорошее описание и продуманный подход к делу. При серьезном подходе спецов и системы, у которых будет время, конечно не поможет, но не в шпионов же мы будем играть.
Вы хоть понимаете что делаете и зачем. И не описываете происки ОС, которая не только пишет в биос, но и передает все через спутники.
Предлагаю в заголовке темы добавить примеры защиты своих данных, но с указанием, что ничто не вечно и слабое звено - человек очень слаб.

Автор: 135la
Дата сообщения: 12.01.2011 21:51
Leo66
Конструктивно. Два НО:
1) От повреждения данных никто и ничто не застрахован на 100%. Будь у Вас хоть пароль в 1 символ, хоть мои параноидальные пароли - при _определённом_ повреждении данных они в любом случае _могут_ превратиться в кашу. В каких именно случаях - я знаю, но расписывать не буду.
2) Перехватывайте. База всё равно зашифрована (циклов KeePass 6000; открывается долго, зато брутфорс будет идти со скоростью 1 пас/сек). Удачи во взломе.

Идеальной защиты нет.
Автор: A1exSun
Дата сообщения: 13.01.2011 15:51
В буке 2 винта. Хочу 2 ОС - одну на первом, обычную, вторую на втором, полностью зашифрованную. Как?
И чтоб с первой не было видно второй винт, как неопределенный. Возможно?
И как вообще посоветуете?
Автор: Wolf3d3
Дата сообщения: 13.01.2011 23:38

Цитата:
Осталось только добавить, что я служу в той самой структуре, которую вы все боитесь.

Ну насчет боитесь наверное преувеличено - опасаемся более точно определение.
Лично у меня паранойя еще не зашла до этапа шифрованной ос но дело явно идет к этому
Тут я думаю пасутся люди у которых есть несколько совершенно различных причин для использовании программы.
Первые это серьезные конторы где паранойей занимаются системные администраторы и есть из за чего - двойная бухалтерия, гигабайты документов, нелицензионное по, зубастые конкуренты и т.д.
Вторые это всякие кулхацкеры, мелкие и не очень разработчики всяких радостей жизни у которых градус параной повышен так как конкуренты или органы не дремлют в желании заполучить ихние бизнес планы, идеи компромат т.е. частники и крошечные конторы занимающийся бизнесом или всяким полузаконным или незаконным вовсе.
Ну и наконец это обычные пользователи со слабыми признаками параной они шифруют свои фотки, видео, почту, аську и т.д. хотя последнее наверное уже не поможет так как ее скупили сами знаете кто
Заинтересованность органов я думаю находится в таком же порядке. Если третья группа не перейдет дорогу, не засветится на каком либо серьезном преступление то она попадает в группу "Неуловимого Джо". ИМНО
Автор: Leo66
Дата сообщения: 14.01.2011 07:05
Wolf3d3
Причин может быть намного больше и не всегда они связаны с криминалом и параноей, но всегда с безопасностью (жизни, здоровья, данных, свободы, бизнеса).
И частота использования средств защиты говорит только о повышении комп. грамотности.
Автор: bsnvolg
Дата сообщения: 18.01.2011 14:37
Прошу помощи. Ситуация такая: есть виндовый сервер, на его диске, на разделе D: средствами TrueCrypt создан зашифрованный файловый контейнер, причем шифруется он не паролем а ключевым файлом. Размещен ключевой файл на флэшке. Идея такая - пришло ответственное за секретную часть рыло, вставило флэшку, запустило сервер. А вот тут бы надо сделать автомонтирование этого контейнера как диска используя ключевой файл на флэшке, потом слышим бип и флэшку можно вынимать. А вот как автоматически смонтировать контейнер используя ключевой файл? Везде примеры только с паролем. По крайней мере примеров с ключевым файлом я не нашел.
Автор: Wolf3d3
Дата сообщения: 18.01.2011 16:43
Leo66

Цитата:
Причин может быть намного больше и не всегда они связаны с криминалом и параноей, но всегда с безопасностью (жизни, здоровья, данных, свободы, бизнеса).

Не знаю у меня ассоциативный раяд такой "паранойя = безопасность"
Не надо напоминать в каком правовом пространстве мы живем. У нас прав тот у кого связи, власть и деньги. Причем любой из этих пунктов прямо таки обязывает обладателя чувствовать себя особенным элитным так сказать, а если они сочитаются то это зачастую ППЦ.


bsnvolg
Если секретчик в госпредприятии то TrueCrypt не подпадает под разрешонное ПО.

Может где эта информация и пробегала но повторюсь:
Возможно чтогто устарело и уже не актуально.


Использование командной строки

/help или /?
Отображает справку в консоли.

/volume или /v
Имя файла и путь TrueCrypt раздела для монтирования (не используйте данный ключ при размонтирование раздела). Для монтирования раздела жесткого диска используйте, например, /v \Device\Harddisk1\Partition3 (для того, чтобы определить путь к разделу, запустите TrueCrypt и щелкните Выбрать устройство / Select Device). Заметьте, что пути устройств регистро-зависимые.

/letter или /l
Буква под которой будет смонтирован раздел. Если указанная буква уже используется, то автоматически используется следующая свободная буква диска.

/explore или /e
Открывает окне Explorer после того, как смонтирован раздел.

/beep или /b
Выдает звуковой сигнал после того, как раздел смонтирован или размонтирован.

/auto или /a
Если не были указаны никакие параметры, то автоматически монтирует раздел. Если в качестве параметра указано devices (пример: /a devices), то авто-монтируются все доступные на данный момент устройства/размещаемые на партициях TrueCrypt разделы. Если же в качестве параметра указано favorites, то авто-монтируются Ваши избранные разделы. Отметьте, что ключ /auto игнорируется, если указаны ключи /quit или /volume.

/dismount или /d
Размонтирует раздел, указанный по букве диска (пример: /d x). Если буква диска не указана, то размонтирует все смонтированные на данный момент разделы TrueCrypt .

/force или /f
Ускоряет размонтирование (если размонтируемый раздел содержит используемые системой или любым приложением файлы) и ускоряет монтирование в shared mode (т.е. без эксклюзивного доступа).

/keyfile или /k
Указывает keyfile или путь для его поиска. Для использования нескольких ключей указывайте
/k c:\keyfile1.dat /k d:\KeyfileFolder /k c:\kf2

/cache или /c
Параметр y или без параметра - активирует кеш пароля; n - деактивирует кеш пароля (пример: /c n). Отметьте, что выключение кеша пароля не очищает его (для очистки используйте ключ /w).

/history или /h
Параметр y или без параметра - активирует сохранение истории монтируемых разделов; n - деактивирует сохранение истории монтируемых разделов (пример: /h n).

/wipecache или /w
Стирает все пароли, кешируемые в памяти драйвера.

/password или /p
Пароль раздела. Если пароль содержит пробелы, то он должен быть заключен в ковычки (пример: /p "My Password"). Используйте /p "" для указания пустого пароля. Предупреждение: данный метод ввода пароля может быть небезопасен, например, когда незашифрованная лог командной строки сохраняется на незашифрованный диск.

/quit или /q
Автоматически осуществляет запрошенные действия и выходит (главное окно TrueCrypt не будет показываться). Если в качестве параметра указано preferences (пример: /q preferences), то настройки программы загружаются/сохраняются и они перезаписывают настройки указанные в командной строке. /q background запускает TrueCrypt Background Task (иконку в трее). Отметьте, что ключ /q не дает эффекта если контейнер доступен только в именном пространстве пользователя (TrueCrypt выйдет только после того, как раздел будет размонтирован), или как сетевой раздел.

/silent или /s
Если указан ключ /s, то взаимодействие с пользователем пресекается (вопросы, сообщение об ошибках, предупреждения и т.д.).

/mountoption или /m
Параметр
ro или readonly: монтирует раздел только для чтения;
rm или removable: монтирует раздел как внешние медиа;
ts или timestamp: не сохраняет timestamps контейнера;
Пример: /m ro. Для того, чтобы указать несколько опций монтирования используйте следущее: /m rm /m ts.

Синтаксис

truecrypt [/a [devices|favorites]] [/b] [/c [y|n]] [/d [буква диска]] [/e] [/f] [/h [y|n]] [/k keyfile или путь поиска] [/l буква диска] [/m {rm|ro|ts}] [/p пароль] [/q [background|preferences]] [/s] [/v имя файла контейнера] [/w]

Отметьте, что порядок, в котором предоставляются опции, не важен.

Примеры

Монтирует раздел d:\ myvolume под первой свободной буквой диска, используя диалог ввода пароля (главное окно не будет показано):
truecrypt /q /v d:\myvolume

Размонтирует раздел под буквой Х: (главное окно не будет показано):
truecrypt /q /dx

Монтирует раздел myvolume.tc, используя пароль MyPassword, под буквой диска Х. TrueCrypt откроет окно проводника и бикнет. Монтирование выполнится без каких-либо запросов.
truecrypt /v myvolume.tc /lx /a /p MyPassword /e /b
Автор: Collapse Troll
Дата сообщения: 21.01.2011 22:25
Господа, подскажите пожалуйста - сейчас не могу проверить(диск менеджмент в моей ОСи не дает создать раздел на флешке) - если я делю флешку пополам, и один из разделов шифрую - сколько места будет показано у меня в свойстве флешки(правый клик-> Properties) когда шифрованный раздел отмаунчен? Будет показан объём того раздела что нешифрован, а другая часть как неразмеченная? Или как?..

да и
DimmY
Спасибо за пакет русификации



Добавлено:

Цитата:
Монтирует раздел d:\ myvolume под первой свободной буквой диска, используя диалог ввода пароля (главное окно не будет показано):
truecrypt /q /v d:\myvolume


командная строка это вообще замечательно. у меня такие CMD навешаны на вставление флешки, очень удобно. а перед этим еще бекапирование тома в папку сегодняшнего дня и времени, примерно вот так:

Код: rem получим текущую дату и время в универсальном формате
rem ----------------------------------------------------

echo.>"%TEMP%\~.ddf"
makecab /D RptFileName="%TEMP%\~.rpt" /D InfFileName="%TEMP%\~.inf" -f "%TEMP%\~.ddf">nul
for /f "tokens=4,5,7" %%a in ('type "%TEMP%\~.rpt"') do if not defined current-date set "current-date=%%c-%%a-%%b"
del /q "%TEMP%\~.*"

rem получим значение часа
set _hour=%time:~0,2%
rem добавляем лидирующий ноль, если час меньше 10
if %_hour:~0,2% lss 10 set _hour=0%_hour:~1,1%

rem получим значение минут
set _min=%time:~3,2%

rem ----------------------------------------------------

echo %current-date%_%_hour%-%_min%

md D:\BACKUPS\%current-date%_%_hour%-%_min%

set crypt="C:\Program Files\TrueCrypt\TrueCrypt.exe"

rem unmount volume
%crypt% /quit /silent /dismount K

rem copy volume
xcopy F:\volume.dat D:\BACKUPS\%current-date%_%_hour%-%_min% /Y

rem mount volume
%crypt% /quit /volume F:\volume.dat /letter K
Автор: Genrix1983
Дата сообщения: 25.01.2011 12:56
***здесь был вопрос - не актуален***
Размышления на тему файла-ключа. Флешка может сдохнуть, ее могут укратсть с единственной копией ключа, потерять и т.п. Файл в сети может затереться или еще чего.....
А в качестве ключа, ведь можно использовать текстовой файл, созданный, например блокнотом?
Если да, то можно ведь сделать ключ, который нельзя потерять и не возможно запомнить.
Например, глава какой-либо книги, которая (книга\глава) не меняется. Глава в пару страниц.
Нужно помнить что за книга, год издания, редакция и т.п.
Ведь блокнот вроде мусора не пишет в файл, кроме текста. Если что, то нужен комп с той же версией винды и блокнот.
Сканируем, кидаем главу в блокнот и, вуаля, потерянный ключ восстановлен. Или стихотворение......Бородино, например. А?
Автор: NordOwl
Дата сообщения: 01.02.2011 21:07
Прошу сильно не ржать, реально существует необходимость.
Подскажите пожалуйста, у кого-нибудь осталась версия 1.0, которая поддерживает Windows98? Или драйвер из этой версии для Win98?

Заранее благодарен.
Автор: Kopernik_31
Дата сообщения: 01.02.2011 21:24
NordOwl
Попробуй поставить галку совместимости с Windows98.
А в чём собственно проблема ?
Автор: xChe
Дата сообщения: 01.02.2011 21:29
Genrix1983

Цитата:
Сканируем, кидаем главу в блокнот и, вуаля, потерянный ключ восстановлен. Или стихотворение...

Лишний пробел или перевод строки попадёт и - привет...
Имхо - лучше уж что-нибудь фундаментальное, не меняющееся со временем. И то, что всегда можно найти в сети и скачать - типа command.com от ms-dos 6.22, pkzip.exe 2.50 или фавиконку ру-борда.
Автор: genetev
Дата сообщения: 02.02.2011 02:58
Господа, а подскажите как быть?

Есть ноут с зашифрованным разделом на винте. Раздел авто-маунтится при загрузки винды.
Потом ноут кладется в сон. Просыпается - раздел смонтирован с прошлого раза. Хорошо если его разбудил я, а как быть если разбудит злодей?

Как бы так сделать, чтобы и самому пароль каждый раз не вводить и, поняв, что за компом работает злодей, размонтировать диск?


На ум приходит: кроном мониторить псевдо-ключи на сд-карте, которая всегда в ноуте, если я ее специально не извлеку. Но как-то тупо это все)


Как быть?
Спасибо.
Автор: SFC
Дата сообщения: 02.02.2011 05:52
genetev
Settings -> Preferences -> Auto dismount -> повключай там что тебе хочется.
Автор: NordOwl
Дата сообщения: 02.02.2011 19:08
Kopernik_31
Простите, где поставить галку, совместимости? В Windows 98?
Мне необходимо, чтоб TrueCrypt работал в Windows 98. А это было возможно только в версии 1.0 (с версии 1.1 поддержка Windows 98 прекращена).
Автор: Regsnap
Дата сообщения: 02.02.2011 19:32
NordOwl
TrueCrypt в Windows 98 работать не будет, он заточен под NT-системы. Если тебе нужно работать с криптодисками под Windows 98 могу дать программу Scramdisc. По функционалу - практически полный аналог TrueCrypt, отсутствует только шифрование системного раздела с pre-boot аутентификацией. Сам пользовался в то славное время когда Windows 98 была основной операционкой на всех компах. Работает стабильно, без глюков.
Автор: genetev
Дата сообщения: 02.02.2011 21:21
SFC

Цитата:
Settings -> Preferences -> Auto dismount -> повключай там что тебе хочется.


Спасибо. Потыкал, но все как-то не то.

В итоге запустил прогу, которая мониторит есть ли sd-карта, и как только ее не стало делает unmount. Т.е. теперь могу усыпить комп, вытащить карту, отлучится, вернуться, вставить карту, разбудить и продолжить работать. Если вор включит комп когда меня рядом нет, то пока он его включит диск будет размонтирован.

Покритикуйте кто-нить, плиз.

Ест-но тут нет "правдоподобного отрицания", но оно пока не требуется.
Автор: NordOwl
Дата сообщения: 03.02.2011 18:39
Regsnap

Поделись пожалуйста.
Насколько знаю, Scramdisc - предшественник TrueCrypt. (Автор Scramdisk обеспечивал разработку драйвера под Windows 9x).
Автор: Regsnap
Дата сообщения: 03.02.2011 22:44
NordOwl

ScramDisk v2.02h
http://rghost.ru/4195309
Пользовался только этой версией. В архиве также лежит русскоязычный мануал (сам помню, как распечатывал на лазернике судорожно оглядываясь не идёт ли по коридору начальство).

Немного более поздняя версия: Scramdisc 3.01r3 http://rghost.ru/4195358

Для информации: Scramdisc - не совсем предшественник TrueCrypt. Просто у Scramdisc - предшественника коммерческого продукта DriveCrypt и в разработке E4M (Encrypt for Mass) - предшественника современного TrueCrypt есть общие разработчики.

P.S. Извиняюсь за оффтоп. Использовать ScramDisk v2.02h меня научила в своё время эта литература:
http://rghost.ru/4195556
http://rghost.ru/4195589
Также совместно с этой программой использовал рекомендованный там же Kremlin
http://rghost.ru/4195614
Автор: Wolf3d3
Дата сообщения: 04.02.2011 10:13

Цитата:
Покритикуйте кто-нить, плиз.

Если будет запущена программа или открыт документ то возможно его повреждение.

Я использую на работе контейнер под месенжер, лису, почту и временные файлы. Флэшка для этого подходит
Если надо произвести конфидициальное действие типа захода в интернет банкинг, воспользоватся вебмани и проверить личную почту и т.д. то пользуюсь vnc комуто легче наверное воспользоватся rdp.

На моей работе пока не стоят сканеры траффика, но учитывая популярность этой технологии надо приучать себя к хорошему .
Автор: cyberbo
Дата сообщения: 08.02.2011 11:34
Подскажите, можно и как русифицировать TrueCrypt в Mac OS?
Автор: krserv
Дата сообщения: 08.02.2011 22:20
посоветуйте чем лучше сделать и как TC или DC;
нужно чтобы работала ОС Win XP - для общего применения с правами администратора.
На этом же компе нужно установить еще две ОС. Win XP и Win 7 - уже шифрованные, но проблема в том, что нужна мультизагрузка, и в первую систему любой авторизованный пользователь мог войти и работать, а вот вторая и третья системы - зашифрованы каждая независимо друг от друга

Основная задача: на компе с ОС общего пользования нужны права администратора, и чтобы кто-либо не повредил работу, которая ведется в другой ОС, ее нужно зашифровать, и только авторизованный пользователь сможет работать с ее ресурсами.
Как это сделать? Если я шифрую систему, то она шифрует загрузчик, и без пароля нельзя получить доступ к загрузе общей ОС. А нужно чтобы было меню загрузки, и если выбрана шифрованная система вот тогда и требуется этот пароль и доступ к ней.
Автор: A1eksandr1
Дата сообщения: 09.02.2011 09:33
krserv
Однозначно DC по всем параметрам.

На TC можно посмотреть, если нужна работа с контейнерами.

Как реализовать в теме DC смотри, там ещё не такие пирамиды выстраивали
Автор: krserv
Дата сообщения: 09.02.2011 09:39
да, я уже попробовал и столкнулся с проблемой, кроме этой проблемы для начала понравился DC.
http://forum.ru-board.com/topic.cgi?forum=5&topic=25435&start=560

Добавлено:
но в TC есть поддержка eTokens, а в DC - нет.
Автор: netphil
Дата сообщения: 17.02.2011 03:26
Подскажите как правильно клонировать зашифрованый диск с системой Win2003.
Пробовал Акронисом после клонирования идет загрузка, Трукрипт просит пароль И ........
....НЕПРИНИМАЕТ ПРАВЕЛЬНЫЙ ПАРОЛЬ.
(подклчил старый диск с которого клонировал - все гуд)

Спасибо.
Автор: WildGoblin
Дата сообщения: 17.02.2011 09:45
netphil

Цитата:
Подскажите как правильно клонировать зашифрованый диск с системой Win2003.
Зашифрованные диски копировать нужно посекторно/
Автор: netphil
Дата сообщения: 17.02.2011 13:42
WildGoblin
Понял. Чем лутше єто сделать? Acronis TrueImage или Norton Ghost?
СТОП. А как тогда сделать полный имидж диска ? Что б потом вслучае чего прсото накатить на новый диск?

Спасибо.
Автор: Cosmic Warrior
Дата сообщения: 17.02.2011 14:02
Задался боянистым вопросом сравнения TC vs DC.
Гугление и ознакомление с матералами в течение получаса привели к выводу, что DC хорош, когда нужна мультизагрузка (допустим, выбор Windows приведёт к необходимости ввода пароля, тогда как пингвин загрузится в обычном порядке). TC, как я понял, шифрует весь раздел, так что ввод пароля потребуется в любом случае - вибирай хоть W7, хоть Линь.
Для создания файлов-контейнеров - по определению TC.
А если шифровать несистемный раздел (документы, файлопомойку)? Какие соображения в пользу того или иного ПО? Или исключительно дело вкуса?

Добавлено:
netphil
Есть ещё WinHex и линуксовый dd/dcfldd.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124

Предыдущая тема: SciTE - Open Source Text Editor for Windows & Linux


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.