» TrueCrypt (часть 2)

WildGoblin

Цитата:

не с CP ли был как-то связан мистер Мэтью и не из-за этого ли заинтересовались его паролем?

Так CP нынче и нужно беречь пуще всех ядерных секретов вместе взятых.
Будет довольно обидно получить десять лет за пару фоток голопопых детей из семейного альбома.

TheBarmaley

Цитата:

можно не читать..

xChe

Цитата:

Будет довольно обидно получить десять лет за пару фоток голопопых детей из семейного альбома.

Как хорошо жить в мире где на деревьях растёт сахарная вата и пряники!

у кого есть опыт шифрования системного раздела в linux?

xChe

Цитата:

Читал где-то что это особенность реализации клиента именно у dropbox. Он как-то отслеживает изменённые фрагменты контейнера и в облаке обновляет выборочно только эти участки.

Вроде так и есть.

Цитата:

А работать с ним уже можно не скачивая его полностью на локальную машину.

Как его открыть если не скачать сначала?

WildGoblin

Цитата:

Как его открыть если не скачать сначала?

Дропбоксом не пользовался никогда - не люблю эти всякие левые клиенты ставить, но тут видимо другого пути нет. Всё никак не соберусь попробовать... Должно быть при открытии вместо локального файла просто указать контейнер, лежащий на Дропбоксе...
Заманчивая штука вообще-то, если сработает как говорят.

ЗЫ: Пробовал с box.net, смонтированным как диск при помощи webdav. Получается ерунда - при открытии контейнер целиком скачивается на локальный диск, а при размонтировании целиком закачивается обратно в облако.

xChe

Цитата:

Должно быть при открытии вместо локального файла просто указать контейнер, лежащий на Дропбоксе...

Попробуйте сами смонтировать - https://dl.dropbox.com/u/95067876/123
pass: 1

Добавлено:
Нет, такую ссылку не откроет TC - пробуйте короткую http://db.tt/iuv82CeS

Добавлено:
xChe

Код: TRUECRYPT.EXE    OUT    TCP    ec2-54-243-116-248.compute-1.amazonaws.com    HTTP    *Разрешать Исходящее TCP для TRUECRYPT.EXE    315    52 405 556

WildGoblin
Там всё не так просто... Просто расшаренной ссылки на файл недостаточно. Нужен именно доступ из клиента. Вроде должно работать что-то типа инкрементальной синхронизации.
Вот тут буржуи обсуждают это дело - http://scientificlinuxforum.org/index.php?showtopic=238
И вот типа советов - http://randomwire.com/storing-sensitive-data-in-the-cloud

Где-то видел вообще подробную пошаговую инструкцию - только не помню где...

xChe
хоть там и https, но я бы не рискнул по инету передавать инфу.

mleo
Так эту канитель вроде для того и затевают - информацию truecrypt расшифровывает только на локальной машине, а по сети туда-сюда гоняются только некие куски файла-контейнера...
Но это пробовать надо конечно, а так это всё пустое теоретизирование.

ЗЫ: А пока я всё rar-ом шифрую - не доверяю я этим онлайн-хранилищам.

через клиент тоже не айс.
контейнер лежит в папке для синхронизации с дропбоксом. уже синхронизированный ранее.
монтирую (тот что в папке клиента). добавляю килобайтный файлик.
размонтирую и полетела синхронизация.
весь мномегабайтный архив - "Upgrading Dropbox.."
по трафику - перекачивается весь. от корки до корки.
шо?
не так вник в тему или надо допкостыль?!

folta
Х.з....
А галку “Preserve modification time of file containers” в настройках Truecrypt-а убирали?

проверял.
несколько раз.
галку "сохранять дату изменения у файл-контейнеров", снял.
всё одно. синхронизирует весь контейнер, т.е. перекачивает весь.

Цитата:

In TrueCrypt options dialogue you must tick "do not use kernel cryptographic services". Optionally, untick "Preserve modification timestamp of file containers", and it will also then sync as soon as you make a change to any file in the volume.

а "do not use kernel cryptographic services" - это не нашел в опциях 7а.

что-то вообще не втирается тема...может у буржуев скорости шикарные и они не замечают, такую фигню, как синхронизация какого-то контейнера.
подождём того, кто вник и посвятился..

xChe

Цитата:

Там всё не так просто... Просто расшаренной ссылки на файл недостаточно. Нужен именно доступ из клиента. Вроде должно работать что-то типа инкрементальной синхронизации.

Так если работать с клиентом, то вы сначала получите скачанный файл и потом да - будут в облако передаваться только куски изменённые!

Цитата:

ЗЫ: А пока я всё rar-ом шифрую - не доверяю я этим онлайн-хранилищам.

Так зашифровать раром и в облако!?

folta

Цитата:

по трафику - перекачивается весь. от корки до корки.

Не весь! Я добавлял в контейнер (пятидесяти мегабайтный) мегабайтные файлы и при синхронизации перекачивалось всего несколько мегабайт, а не 50.

Добавлено:
В общем если инет не медленный, то можно вполне комфортно пользоваться контейнером синхронизирующимся с облаком.

Но для скрытия контейнера такой способ конечно не подойдёт!

WildGoblin

Цитата:

если работать с клиентом, то вы сначала получите скачанный файл и потом да - будут в облако передаваться только куски изменённые!
Но для скрытия контейнера такой способ конечно не подойдёт!

А-а-а, вон оно как получается... Понятно. То есть в облаке просто копия контейнера, а сам он всё равно целиком лежит на локальном диске? Ну тогда смысла во всей этой возне нету...



Цитата:

Так зашифровать раром и в облако!?

Так и делаю. И ещё поглядываю на ccrypt. Примечателен он тем, что зашифрованный им файл, как и контейнер TrueCrypt-a, не имеет никаких сигнатур - и враги не будут знать чем такой файл ломать.

WildGoblin
тогда либо в дело в контейнере, либо опять у меня эксклюзивные вилы.
форматирую в fat. кластер 64kb, тройное шифрование, секретные том и т.д.
в итоге, почти весь контейнер перетягивает (да, меньше чем размер контейнера).
открываю в компромаре - контейнер кусками покоцан(фрагментирован), особенно нижняя половина.
может из-за непрактичного формата контейнера так коряво с синхронизацией..не знаю.
возможно что-то сам учудил.
так что, в любом случае, эта методическое пособие не практично.
эксперимент завершен.

Цитата:

форматирую в fat. кластер 64kb, тройное шифрование, секретные том и т.д.

)) жестко ))!! хорошо если контейнер небольшого размера.

folta

Цитата:

форматирую в fat. кластер 64kb, тройное шифрование, секретные том и т.д.

"тройное шифрование, секретные том" - скорее всего дело в этом! Слишком много всего меняется в контейнере.

[more=по мелочи, можно не читать]можно было бы, каэшна, поболтать нащёт корректности отбора методов "игры в прятки" в обновлённую версию шапки..
а также о том, шо фраза
Цитата:

Убрал, то где усмотрел

..абсолютно уверенно позволяет судить о неколлегиальности решения.. ну.. т.е. о некой "субъективности подхода"..
а если учесть, шо при внимательном рассмотрении
Цитата:

много рассуждений, но мало конкретики

таки имеется и в "новом методе №1" (№2 в "старой" шапке)..
и шо их (было) не намного больше в ныне отсутствующих "старых методах" №1, №5 и №6..
которые, возможно, были удалены из текущей шапки не по причинам их полной "профнепригодности", а по каким-то иным..
возможно, просто по причинам, связанным с определённым отношением одного шапкоправившего члена к другому члену..
на шо также намекает и правка/урезание сделанных ранее каментов к методам.. так шо с членами дело тёмное, вопчем..
ну да хрен с ним, всё это сугубо имхо.. в смысле, шо не для "разжигания" чегой-то там и, ессно, никому не в обиду.. ;))
вопчем, запросто можно было бы побаянить, но что сделано, то сделано.. и не будем заостряццо на таких мелочах.. +)

есть ведь и более насущные вещи для обсуждения
Цитата:

Можно, всем вместе, суммировать все накопившиеся знания и добавить прямо (а не ссылками на посты) в шапку

0. призыв "эвриибади олл тугеза" не имеет смысла - в шапке уже есть вполне разумное "ты можешь отредактировать....." и т.д..
0а. ..в том смысле, шо мемберы и без каких-либо "суммирований" могут добавить своё.. в порядке поступления. так скать..
1. "суммирование" также бессмысленно потому как методы могут меняться/добавляться.. и, ессно, становиться неактуальными..
1а. ..сталыть, либо нужен шапкосмотрящий.. либо оставить на "самотёке", но приглядывать, шоб не пакостили по-мелкому..
2. "прямо" тоже малоинтересно - по ссыле можно сразу перейти к обсуждению предложенного, а не искать в принт-версии..
2а. ..сопссно, самый первый метод (адс) и его критика сделаны именно так, не вижу смысла менять "стиль"..

и по ходу пьесы:
Цитата:

только пожалуйста не нужно вставлять смайлы через каждой слово и т.п.).

через "каждой слово" никто, сопссно, ничо и не вставлял.. если уж быть откровенным.. и непредвзятым..
шо касаемо отображения ) как смайлика " :wink:" и т.п. - вопросы исключительно к форумному движку..
без балды - достаточно посмотреть "исходник" в режиме редактирования.. и при просмотре тега "море"..
шо касаемо вставки смайлов в конце предложений/абзацев, тут, я думаю, особых вопросов не должно возникать..
ибо, как мне думается, на форуме каждый волен выражать своё отношение к им же и написанному.. ;)

нащёт
Цитата:

не с CP ли был как-то связан мистер Мэтью и не из-за этого ли заинтересовались его паролем?

скажу, шо в данном случае мне как-то по барабану истинные причины.. ведь "прицепились" именно к криптоконтейнеру..
если бы хотели припаять другое обвинение - так бы и забодяжили.. делов-то куча - липу сфабриковать..
и шо/каг там мериканская (или какая-нить другая) фемида крутит/мутит - это к теме сокрытия томов уже никак..
есть голый факт официального (!) обвинения и причины заключения под стражу - и именно за отказ выдачи пароля..
не знаю, как кому, но мне и этого достаточно, шоб не быть рьяным приверженцем открытого хранения томов.. :D

эхх.. скока уже перетёрли надо/не надо.. даже как-то была неплохая фраза сказана
Цитата:

Такой же позиции придерживается автор DiskCryptor...

по другому поводу, ессно.. но ведь и в данном случае ссылку на сей авторитет можно применить (болд мой):
Цитата:

Как вы видите, практических способов расшифровки данных предостаточно. Их список отнюдь не ограничивается всем вышеописанным. В частности, я не стал говорить про популярный в народе так называемый "терморектальный криптоанализ", не упомянул различные риски, связанные с человеческим фактором. Чем больше мы знаем ИБ, тем полнее понимаем свою беззащитность.

Поэтому запомните — защита конфиденциальных данных не должна сводиться только к шифрованию, крайне важно не забывать о физической защите и организационной стороне вопроса. Но тем не менее, вышеописанное не отменяет необходимости пользоваться шифрованием, так как его использование в любом случае увеличивает затраты атакующего.

(с)пёрто

сопссно, предельно ясно написано.. ничё и не надо добавлять/разжёвывать.. =)

ну, как-то так.. )[/more]

---

mleo
Цитата:

у кого есть опыт шифрования системного раздела в linux?

скажу сразу - личного опыта нет по причине неиспользования линя в повседневности..
но имею вопрос - а есть ли разница?.. ну, загрузчику, по большому щёту, не пофиг ли, какая ось загрузится?..
да и в доке, вроде, никаких ремарок по "особенностям использования" сабжа на никсах нету..

---

по поводу обсуждаемого хранения контейнера на удалённых ресурсах - пара "чёрных шаров":
1. нет доступа к нему при отсутствии тырнета (сбои у прова, на "дальних" серверах, тупо - обрыв кабеля и пр.)..
2. бОльшие затраты времени при работе, ошибка/сбой синхронизации -> повреждение тома (?)..
3. но самое главное, как говорил партайгеноссе Мюллер - "верить нельзя никому".. (ц :)
3а. ..т.к. есть возможность утечки ключа при передаче по сети.. которая вам лично не подконтрольна..
4. т.е. по большому счёту - облако в "нашем случае" ничем не лучше ёмкой и быстрой флэхи..

всё это имхо, ессно.. вопчем, как вариант бэкапа, "облака" вполне.. но критичные вещи я бы лично им не доверил.. :х)

---

ладно.. теперь "ближе к телу", т.е. к теме..

1. вопрос - сабж не позволяет примонтировать дисковый контейнер как нтфс-папку? или я шо-то пропустил?
вот "дружественный софт" - может, проверено.. а с сабжем чё-т не получилось у меня..

2. ещё одно предложение (№7, ежли по "старому стилю" ) по [more="играм в прятки"]"и это всё о нём".. в смысле - о скрытии контейнера на несменном диске.. +)

есть стандартная вендовая фича - EFS.. т.е. шифрование средствами самой ОС..
и, вопчем-то, никто не мешает воспользоваться готовым стандартным решением.. :)

итак, как можно применить EFS для скрытия контейнера:
1. создать отдельный акк, для которого вкл/настроить шифрование..
2. забэкапить (многократно/удалённо/надёжно) ключи восстановления и обязательно убить их на локальном компе..
3. под созданным юзером в шифрованной папке разместить криптоконтейнер..
4. работать с томом можно будет, ессно, только из-под созданного "спецюзера"..
5. ессно, все остальные методы скрытия также можно применить и здесь.. но это уже паранойя.. :))

+ оперативность доступа и, одновременно, двойная криптозащита..
+ недоступность контейнера для поисковых средств, запущенных под любой другой учёткой..
+ убой учётки тут же убивает и весь доступ к контейнеру (если это надо, ессно ))..
- необходимость смены акка для доступа к контейнеру..

вот как-то так..[/more].. =)

mleo
для одного(больших), максимум двух файлов оно в самый раз)
да, а в контейнер, можно положить ещё контейнер
а в него...)))

WildGoblin
попробовал синхронизировать делая немонтируемым (изменяя один байт).
синхронизация моментальная.
наверное он только кластер измененный перекачивает..хотя, не берусь утверждать. больно шустро.

проблема проверялась на windows 7 и windows xp

Подключаю сетевой диск к windows 7
Работают под учетной записью администратора
Портативный truecrypt лежит на подключаемом сетевом диске

Стартую truecrypt.exe
и получаю следующие ошибки
один http://rghost.net/42827344/image.png
и когда подтверждаю окей получаю вторую ошибку
http://rghost.net/42827357/image.png

Если файлы truecrypt лежат на локальном диске.
Никаких проблем нету.

Но очень хотелось бы чтоб он лежал на сетевом диске

korggrodno
обе ссылки - "файл удалён"..
<telepat_mode_ON>
чё пишет-то?. пути, што-ль, не найдены?. дык, кириллица поди..
<telepat_mode_OFF>

TheBarmaley

Цитата:

3а. ..т.к. есть возможность утечки ключа при передаче по сети.. которая вам лично не подконтрольна..

Диск локально расшифровывается - "какая утечка по сети"?

Цитата:

...но критичные вещи я бы лично им не доверил..

Контейнер зашифрован!

Цитата:

1. вопрос - сабж не позволяет примонтировать дисковый контейнер как нтфс-папку? или я шо-то пропустил? вот "дружественный софт" - может, проверено..

"дружественный софт" не занимается контейнерами и соответственно никак не может примонтировать их как нтфс-папку.

проблема проверялась на windows 7 и windows xp

Подключаю сетевой диск к windows 7
Работают под учетной записью администратора
Портативный truecrypt лежит на подключаемом сетевом диске

Стартую truecrypt.exe
и получаю следующие ошибки
один
http://rghost.net/43699794/image.png
и когда подтверждаю окей получаю вторую ошибку
http://rghost.net/43699866/image.png

Если файлы truecrypt лежат на локальном диске.
Никаких проблем нету.

Но очень хотелось бы чтоб он лежал на сетевом диске

korggrodno
а если с проводника запускать программу, а не через Тотал?

если из проводника запускать.
То та же самая проблема

Интересно, а всякие софтпорталы и прочие файлопомойки уже кричат о новой версии 7.2? Крутой облом будет у тех, кто захочет обновиться...

для особо дотошных и во избежание непоняток, поясню, что здесь
Цитата:

1. вопрос - сабж не позволяет примонтировать дисковый контейнер как нтфс-папку?

под "дисковым контейнером" подразумевается шифрованный раздел/диск (не файл-контейнер), [more]который дисккриптор без каких-либо проблем может смонтировать без указания какой-либо буквы диска, в частности - используя в качестве точки монтирования пустую папку (какую именно - указывается в стандартной вендовой оснастке управления дисками).. так вот, сопссно, и в сабже ожидалась подобная штука, но как не тыркался, монтирует тока как диск (т.е. с буквой), а привязка, сделанная в вендовой оснастке при этом не работает - т.е. в эту "папку" тупо нельзя зайти, как будто раздел/диск не смонтирован..[/more]

Добавлено:
korggrodno
во, теперь картинки появились.. )
повторю вопрос:
Цитата:

пути, што-ль, не найдены?. дык, кириллица поди..

в смысле - русские буквы где-нить в сетевых путях.. или шибко длинные они (>256 символов)..

Цитата:

7.2

Я так и не понял всего этого шума.
Или нашли двери в старой версии и спасаются старые разработчики
Или выпустили для лохов новую версию с дверями новые

Короче неприятная история ...

Добавлено:

Цитата:

З.Ы. подскажите аналог на всякий случай, с открытым кодом...
кроме FreeOTFE и DiskCryptor

А почему кроме
Или по указанным вами софтинам есть вопросы и подозрения?
Переход на DiskCryptor пока выглядит логичным

на скринах видно что никакой кирилицы ниде нету.
Вопрос решил сам.
Нужно просто truecrypt ставить в travaling mode
и тогда проблема исчезает