» TrueCrypt (часть 2)

dcupsbimbo

Цитата:

неплохая ссылка. много воды, но есть рациональные объяснения и похожие на правду истории из личного опыта.

Рациональные объяснения и правдивые истории есть, но также есть много лжи как то - вскрытие любых зашифрованных дисков или контейнеров спец. фирмами (связанными со спецслужбами) за бешАные деньги.

banaji

Цитата:

но использоваться будет только 64 байта

Не проверял, но тут сказано, что мегабайт:
http://www.truecrypt.org/docs/keyfiles-technical-details

Цитата:

The maximum size of a keyfile is not limited; however, only its first 1,048,576 bytes (1 MB) are processed (all remaining bytes are ignored due to performance issues connected with processing extremely large files). The user can supply one or more keyfiles (the number of keyfiles is not limited).

StreZZ
TrueCrypt использует алгоритмы в которых длина ключа 256 бит.
http://www.truecrypt.org/docs/encryption-algorithms
Т.е. максимальная имеющая смысл длина ключа 256*3 = 96 байт (для AES-Twofish-Serpent или Serpent-Twofish-AES). 1024, 2048, 4096-байтные ключи TrueCrypt просто превратит перед шифрованием в 256-битные ключи, так что при взломе брутфорсом никто не будет перебирать 4096-байтные комбинации, будут перебирать те же 256 бита = 32 байта.

2All
Позволю себе усомниться во всех обсуждаемых способах "сокрытия контейнеров" потому что:
1. Мы находимся в России, следовательно при наличии физического доступа к владельцу контейнера все эти ваши "отрицания" и тем более "правдоподобные отрицания" могут не прокатить - вы сами всё очень подробно расскажете.
2. Зачем особо скрывать контейнер если True Crypt обеспечивает достаточную стойкость защиты? Даже если он лежит на рабочем столе в файле с расширением .tc и имеет иконку TC, то подбор пароля брутфорсом займёт энное количество лет. Это при условии использования бодрого пароля и отсутствии физического доступа к владельцу контейнера.
3. Я конечно не юрист, и никогда не опущусь до этой поганой профессии, но мне почему-то кажется что в использовании СКЗИ физическими лицами ничего противозаконного нет.

Какие будут соображения?

Хотелось бы услышать мнение знатоков по следующему решению (далее идет описание предполагаемой реализации). Есть бухгалтерский компьютер. Бухгалтер работает на этом компьютере с правами обычного пользователя. На этом компьютере поднята виртуальная машина. В виртуальной машине ведется работа с Клиентом-Банком через прокси-сервер, находящийся в локалке. Для защиты канала передачи данных предусмотрен (банком) электронный USB-ключ, к помощью которого создается защищенный канал связи. Ключ постоянно физически подключен к компьютеру (для удобства). Для защиты информации в виртуальной машине отключаем сервис Server, чтобы извне, из локалки, было не подступиться. К самому бухгалтерскому компьютеру доступ из локалки будет, у администраторов. Документы, передаваемые в банк, подписываются ЭЦП, которая размещается на флешке ИЛИ на жестком диске виртуальной машины. Вот ЭЦП думаю и зашифровать с помощью TrueCrypt паролем. Может, имеет смысл зашифровать и саму виртуальную машину, не знаю. Что думаете?

доброго времени суток.
уважаемые форумчане, спасите компьютер и информацию...
в двух словах, обновлял винду, не записывал образ на диск, а образом через Демон ставил.
после перезагрузки выдал ошибку, что нет системы.
решил под лив сиди зайти, чтобы скопировать скаченный образ и записать для установки, но лив сиди не видит жесткого...
весь жесткий зашифрован ТруКриптом. Система Винда 7.

помогите пожалуйста, подскажите, как под ливсиди можно ввести свой трукриптовский пароль, который я знаю, чтобы он меня пустил на диск???

Цитата:

Не проверял, но тут сказано, что мегабайт:

Извиняюсь. Действительно. Перепутал с ДискКриптором, там только 64.

Regsnap
Цитата:

Мы находимся в России

к сожалению, этим сказано всё.. :(
есть соответствующий Указ, прямо ограничивающий варианты применения криптографии только ГОСТовскими алгоритмами:
Цитата:

4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

и, как я понимаю, ни один из используемых сабжем алгоритмов в ГОСТе не прописан и лицуху от ФАПСИ, ессно, не имеет..
сталыть, если юзаешь буржуинские алгоритмы, то, как говорил капитан Жеглов, "срок уже имеешь".. (ц :)
поэтому и есть прямой смысл сокрытия факта применения криптографии - взломать-то не вломают, но под статью пойдёшь..

Добавлено:
..кстати, а в BestCrypt'е есть-таки ГОСТовский алгоритм.. ;)
ежли чё - это была не реклама и просьба ногами не бить.. :))

boris340
При похожей проблеме,заходил
Цитата:

под лив сиди

->устанавливал
Цитата:

ТруКрипт

->автомонтирование->
Цитата:

ввести свой трукриптовский пароль

->
ву а ля

Спасибо за ответы.

Добавлено:
Подскажите, какой программой в Linux можно зашифровать файл с использованием RSA (именно RSA а не гибридных схем)и есть ли кросплатформенные варианты с открытым исходным кодом?

boris340
Более подробно описано в русском руководстве пользователя на стр. 107-108.

не подскажите подробную инструкцию о создании переносной зашифрованной флешки,
что-бы октрывалась не зависимо установлена ли TrueCrypt на ПК или нет
я новичок сталкиваюсь с такой проблемой 1й раз
флешка Кингстон на 32 Гб

Ну у меня вопрос будет почти точно по Стругацким: "Уважаемые ученые, у меня в подвале происходит подземный стук. Объясните пожалуйста, отчего он происходит."

Итак - на новом компе с Win7-64 вдруг возникли проблемы с запуском сабжа (7.0a - portable) - при попытке старта вынь вываливается в BSOD. По моему непросвещенному мнению - конфликт драйверов.
Если это так, как можно определить чего с чем конфликтует? Может есть еще какие-нибудь варианты?
На других компах все работает нормально.

Буду чрезвычайно благодарен за любую помощь (дейсвенную )

Regsnap

Цитата:

1. Мы находимся в России, следовательно при наличии физического доступа к владельцу контейнера все эти ваши "отрицания" и тем более "правдоподобные отрицания" могут не прокатить - вы сами всё очень подробно расскажете.

Телевизор поменьше смотрите.

TheBarmaley

Цитата:

и, как я понимаю, ни один из используемых сабжем алгоритмов в ГОСТе не прописан и лицуху от ФАПСИ, ессно, не имеет.. сталыть, если юзаешь буржуинские алгоритмы, то, как говорил капитан Жеглов, "срок уже имеешь".. (ц

Вы не разумеете, то что читаете
"Юзаешь какие-то криптосредства - юзай на здоровье. Хочешь зарабатывать на этих криптосредствах - получи лицензию!"
Примерно так этот параграф звучит.

Цитата:

не подскажите подробную инструкцию о создании переносной зашифрованной флешки,
что-бы октрывалась не зависимо установлена ли TrueCrypt на ПК или нет

Не получится весь носитель зашифровать и сделать так чтобы им можно было пользоваться без установленного TrueCryp'та, можно создать файл контейнер на флешке например размером 10 Гб но пользоваться им в любом случае получится только если установлен TrueCrypt, остальное пространство 22 Гб можно будет использовать без TrueCrypt'а но соответственно эти 22 Гб не будут защищены.

инструкция по созданию контейнера:
http://truecrypt.org.ua/content/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE-%D0%B4%D0%BB%D1%8F-%D0%BD%D0%B0%D1%87%D0%B8%D0%BD%D0%B0%D1%8E%D1%89%D0%B8%D1%85

LeeY

Цитата:

при попытке старта вынь вываливается в BSOD

Цитата:

Если это так, как можно определить чего с чем конфликтует?

Определить легче лёгкого!

Первый способ - надо посмотреть что написано на BSOD и поискать в инете по коду ошибки.

Второй способ (IMHO самый действенный) - надо проанализировать минидамп, чем-то вроде BlueScreenView.

Может и оффтоп, но подскажите плиз, как можно организовать удаленный ввод пароля?
То есть запускается сервер, на нем запускается ТС с автомонтированием и на клиентской машине появляется окно для ввода пароля (а может даже и других параметров)...

WildGoblin

Цитата:

Телевизор поменьше смотрите.

Телевизор я смотрю только когда мимо него прохожу. У нас в городе признания выбиваются путём пыток эл.током - накрутят проводов на руки и ноги и подключат 220В - пока чистуху не напишешь. Примеры из жизни есть - одного моего знакомого таким макаром 3 часа пытали (в его смену магазин где он работал старшим ограбили на 1800000р.). Адвокат с которым я раньше сотрудничал тоже много подобных случаев поведал.
Так что ваши ехидные комментарии в данном случае (да и во множестве других) неуместны.


Цитата:

"Юзаешь какие-то криптосредства - юзай на здоровье. Хочешь зарабатывать на этих криптосредствах - получи лицензию!"

Согласен - лицензия нужна для организаций осуществляющих деятельность с применением СКЗИ.

StreZZ
большое спасибо
а как прописать портативную версию TrueCrypt
на флешку, чтоб запускалась с авторана
заранее благодарен

Приветстую,

В доках не нашел. Вопрос такой - можно ли менять размер контейнера после его создания?

s1lv
нет, к сожалению

По долгу службы изредка просматриваю, что хранят пользователи. и меня всегда прикалывает желание пользователей заткнуть музыку, порнуху и пр. в дебри "миллиона папок" А т.к. тоталкоммандер элементарно умеет считать размер папок, и сразу видно где сидит слон
как дети малые.

Цитата:

а как прописать портативную версию TrueCrypt
на флешку, чтоб запускалась с авторана

После скачивания и запуска exeшника TrueCrypt'a будут варианты установки:
1. Install
2. Extract
Если выбрать Extract и распакавать в заранее заготовленную директорию должна получиться portable версия.


С запуском через авторан (при вставлении флешки в ПК) не подскажу т.к. ни когда не делал и нужной оси для пробы нету, скорее всего будут проблемы если есть антивирус.
Тут есть немного информации:
http://truecrypt.org.ua/content/%D1%80%D0%B5%D0%B6%D0%B8%D0%BC-%D0%BF%D0%B5%D1%80%D0%B5%D0%BD%D0%BE%D1%81%D0%BD%D0%BE%D0%B3%D0%BE-%D0%B4%D0%B8%D1%81%D0%BA%D0%B0

А у меня такой вопрос.. как можно зашифровать трайкриптом загрузочную флешку? Смылс - я админ и мне периодически надо делать образы сервака и клиентских машин. Но поскольку денег (~ 28000) на покупку акронис сервер не дают, приходиться ходить с загрузочной флешкой и создавать/разворачивать образы "втихую". Хотелось бы на случай внезапной проверки чтобы флешка при проверке выглядела как чистая (ну или не отформатированная), а при попытке загрузки с нее - просила бы пароль или даже вообще ничего не просила явно (просто черный экран, и ввод пароля "в пустоту" - для тех кто знает), а после корректного ввода пароля чтобы активировался уже "родной" загрузчик акрониса. Как-то это можно реализовать?... работает же по сходному принципу шифрование системного диска.. Ну или подскажите каким софтом можно попытаться сделать что-то подобное.

Regsnap

Цитата:

...одного моего знакомого таким макаром 3 часа пытали...

Это он хм.. преувеличил! Три часа током пытать...

Цитата:

Согласен - лицензия нужна для организаций осуществляющих деятельность с применением СКЗИ.

Значит всё-таки не столь всё мрачно и жутко в рашке и валить пока не надо?

Stranger_Y2K

Цитата:

По долгу службы изредка просматриваю, что хранят пользователи. и меня всегда прикалывает желание пользователей заткнуть музыку, порнуху и пр. в дебри "миллиона папок"

"Домашние" пользователи более-менее ещё разбираются в чём-то, а вот на предприятиях народ попроще - присвоить папке атрибут "hidden" и хранить там всякое это верх хитроумства!


Цитата:

А т.к. тоталкоммандер элементарно умеет считать размер папок, и сразу видно где сидит слон

Ещё есть мегакомбинация - "Ctrl+B".

Залейте кто нибудь True Crypt 7.0a для Windows на rghost например, предварительно заархивировав.
Трижды скачиваю с офсайта разными браузерами и менеджером и получаю битый exe одного и того же размера 2,69 МБ (2 823 070 байт), не соответствующего заявленному

Добавлено:
Стянул с http://truecrypt.org.ua/downloads
Вроде всё чисто

StreZZ

Цитата:

Подскажите, какой программой в Linux можно зашифровать файл с использованием RSA (именно RSA а не гибридных схем)и есть ли кросплатформенные варианты с открытым исходным кодом?

Найти такую будет проблематично. RSA это не блочный шифр и обычно используется по-другому - с помощью него шифруют одноразовый сеансовый ключ для симметричного алгоритма шифрования. Мало того, там есть математическое ограничение на длину зашифровываемого текста.

A1eksandr1
Цитата:

Залейте кто нибудь True Crypt 7.0a для Windows на rghost например, предварительно заархивировав.
Трижды скачиваю с офсайта и получаю битый exe

Попробуйте отсюда:
_http://www.filehippo.com/download_truecrypt/tech/
В архиве на rghost: _http://rghost.ru/5353674

WildGoblin
Цитата:

не разумеете, то что читаете
"Юзаешь какие-то криптосредства - юзай на здоровье

ну-ну.. ;))
я, сопссно, никому не запрещаю свято верить в то, шо фразой "вы есть нарушать моё прайвеси" можно отогнать "назойливых людей в серых шинелях".. ;)
да ради бога, верьте, надейтесь на "правовое государство" и спите спокойно, держа всю свою приватную информацию прямо на рабочем столе.. :D

Цитата:

Мало того, там есть математическое ограничение на длину зашифровываемого текста.

Вчера бегло погуглил, скачал какую то книжку по криптографии в которой описан принцип RSA c примерами и ничего такого не нашел, можно по подробнее что за ограничение на длину?

suvolod

Цитата:

чтобы флешка при проверке выглядела как чистая (ну или не отформатированная), а при попытке загрузки с нее - просила бы пароль или даже вообще ничего не просила явно (просто черный экран, и ввод пароля "в пустоту" - для тех кто знает)

Я тоже админ + программист, полностью флешку как не отформатированную и чтобы с неё начиналась загрузка невозможно сделать в принципе (только если вшить в bios пк загрузчик-драйвер используемого криптософта).

Так что в твоём случае такие варианты:
1. Флешку полносью зашифровать, загрузчик носить отдельно на CD
2. Флешку разбить на 2 раздела USB + USB или CD + USB (контролёры выпуском начиная с 2008 года это поддерживают, например Alcor - на Transcend-ах он стоит), ну а далее на первый раздел загрузчик, 2ой шифруешь.
3. На флешке оставляешь открытую файловую систему, размещаешь загрузчик, прочее при необходимости, +криптованный контейнер с акрониксом и прочим, который будет монтироваться. Выглядеть будет это как непонятный файл или поток, о назначении которого посвящённый догадается по наличию загрузчика от криптоПО, но узнать что в нём без пароля не сможет.

Добавлено:
firewall2006
Спасибо, странное что то с офсайтом, DM например ещё до начала загрузки сразу в ответ получает файл неправильного размера, будто такой он у них и лежит