Ищу альтернативу TrueCrypt-у. Везде в первую очередь говорят о сабже.
Стало интересно: а аудит кода ВерыКрипт кто-нибудь когда-нибудь делал?
Стало интересно: а аудит кода ВерыКрипт кто-нибудь когда-нибудь делал?
» VeraCrypt
PIM это число итераций при шифровании. В TrueCrypt оно жёстко зашито в коде (соответственно, известно атакующему), в сабже — настраивается и может служить ещё одним фактором, затрудняющим перебор (если выбран PIM больше дефолтного). Дефолтное значение выше, чем в TrueCrypt, поскольку времена меняются и надо усиливать шифрование. Хотите скорость, как в TrueCrypt — читайте мануал и снижайте количество итераций при шифровании, но за это вы расплатитесь криптостойкостью, получив её такой, как в TrueCrypt.
Что касается запроса, то в версии 1.18 можно настроить хранение значения PIM в загрузчике в незашифрованном виде, тогда его запрос выводиться не будет (но значение будет известно атакующему).
Если вы не указывали значение PIM при шифровании системы, то использовалось значение по умолчанию. В этом случае, можете просто нажать «Enter» при запросе PIM, это автоматически введёт значение по умолчанию и начнётся расшифровка.
Аудит запланирован и мы уже запасаемся попкорном.
Что касается запроса, то в версии 1.18 можно настроить хранение значения PIM в загрузчике в незашифрованном виде, тогда его запрос выводиться не будет (но значение будет известно атакующему).
Если вы не указывали значение PIM при шифровании системы, то использовалось значение по умолчанию. В этом случае, можете просто нажать «Enter» при запросе PIM, это автоматически введёт значение по умолчанию и начнётся расшифровка.
Аудит запланирован и мы уже запасаемся попкорном.
VeraCrypt 1.18a (17 августа 2016)
Все поддерживаемые операционные системы:
Поддержка японского алгоритма шифрования Camellia (в том числе и при шифровании системы, как с MBR, так и с EFI).
Поддержка российских стандартов шифрования и хеширования Кузнечик, Магма и Стрибог (в том числе и при шифрования EFI-систем).
Windows:
Возможность шифрования системы, размещённой на диске с разметкой GPT (на машинах, поддерживающих EFI). Пока без возможности создания скрытой операционной системы и без возможности настроить сообщение запроса пароля.
Исправлена уязвимость TrueCrypt, позволявшая обнаружить наличие скрытых томов (сообщил Иванов Алексей Михайлович, alekc96 [at] mail dot ru)
Тестирование скорости алгоритмов хэширования и псевдорандомных функций с PIM (включая режим предзагрузочной авторизации).
Для увеличения стабильности работы сборка производится средствами Visual Studio 2010.
Увеличен объёма требуемой памяти до 1 кибибайта, что решило проблемы с загрузкой на некоторых машинах.
Обходной путь для поддержки AES-NI в Hyper-V под управлением Windows Server 2008 R2.
Улучшена защита от подмены dll-файлов.
Корректное удаление драйвера veracrypt.sys в 64-разрядных Windows.
Передача PIN смарт-карты в качестве аргумента командной строки (/tokenpin) при явном монтировании тома.
Если не указана буква диска, буквы A: и B: будут использоваться лишь в случае занятости остальных букв.
Исправлена повышенная нагрузка на процессор, вызванная настройкой, запрещающей использование отключённых сетевых дисков.
Идентификация дисков/разделов производится по ID вместо имени устройства.
Настройка для пропуска запроса PIM при вводе пароля перед загрузкой системы. Значение PIM будет храниться в MBR незашифрованным.
Настройка и ключ командной строки для скрытия диалога ожидания выполнения операций.
Возможность пропустить проверку корректности созданного диска восстановления при шифровании системы.
Возможность перетаскивать файлы в окно программы, когда VeraCrypt запущена с повышением прав.
Мелкие исправления интерфейса и локализаций.
Linux:
Исправлена ошибка монтирования, возникавшая в Fedora 23.
Исправлена ошибка монтирования, возникавшая из-за сборки с помощью GCC 5.x.
В соответствии со спецификацией XDG Base Directory, для определения пути к файлам конфигурации используется переменная XDG_CONFIG_HOME.
macOS:
Налажена совместимость с новыми версиями OSXFuse.
Все поддерживаемые операционные системы:
Поддержка японского алгоритма шифрования Camellia (в том числе и при шифровании системы, как с MBR, так и с EFI).
Поддержка российских стандартов шифрования и хеширования Кузнечик, Магма и Стрибог (в том числе и при шифрования EFI-систем).
Windows:
Возможность шифрования системы, размещённой на диске с разметкой GPT (на машинах, поддерживающих EFI). Пока без возможности создания скрытой операционной системы и без возможности настроить сообщение запроса пароля.
Исправлена уязвимость TrueCrypt, позволявшая обнаружить наличие скрытых томов (сообщил Иванов Алексей Михайлович, alekc96 [at] mail dot ru)
Тестирование скорости алгоритмов хэширования и псевдорандомных функций с PIM (включая режим предзагрузочной авторизации).
Для увеличения стабильности работы сборка производится средствами Visual Studio 2010.
Увеличен объёма требуемой памяти до 1 кибибайта, что решило проблемы с загрузкой на некоторых машинах.
Обходной путь для поддержки AES-NI в Hyper-V под управлением Windows Server 2008 R2.
Улучшена защита от подмены dll-файлов.
Корректное удаление драйвера veracrypt.sys в 64-разрядных Windows.
Передача PIN смарт-карты в качестве аргумента командной строки (/tokenpin) при явном монтировании тома.
Если не указана буква диска, буквы A: и B: будут использоваться лишь в случае занятости остальных букв.
Исправлена повышенная нагрузка на процессор, вызванная настройкой, запрещающей использование отключённых сетевых дисков.
Идентификация дисков/разделов производится по ID вместо имени устройства.
Настройка для пропуска запроса PIM при вводе пароля перед загрузкой системы. Значение PIM будет храниться в MBR незашифрованным.
Настройка и ключ командной строки для скрытия диалога ожидания выполнения операций.
Возможность пропустить проверку корректности созданного диска восстановления при шифровании системы.
Возможность перетаскивать файлы в окно программы, когда VeraCrypt запущена с повышением прав.
Мелкие исправления интерфейса и локализаций.
Linux:
Исправлена ошибка монтирования, возникавшая в Fedora 23.
Исправлена ошибка монтирования, возникавшая из-за сборки с помощью GCC 5.x.
В соответствии со спецификацией XDG Base Directory, для определения пути к файлам конфигурации используется переменная XDG_CONFIG_HOME.
macOS:
Налажена совместимость с новыми версиями OSXFuse.
Очень хорошо, что Верка теперь поддерживает алгоритм ГОСТ 28147-89, это огромный шаг вперед в сравнении с TrueCrypt.
Добавлено:
Создаю обычный контейнер, выбираю алгоритм шифрования "Кузнечик" и алгоритм хеширования "Streebog" получаю падение модуля VeraCrypt Format. картинка тут: http://itmages.ru/image/view/4754295/f465fb0a Тоже самое вылезает, если выбрать алгоритм шифрования ГОСТ-89 и алгоритм хеширования "Streebog". Пробывал раз 5 создать контейнер таким образом и все время падает на следующем этапе, где нужно указывать размер контейнера... ИМХО проблема появляется при выборе именно Streebog'а, т.к. с другими алгоритмами хеширования ничего не падает. ЗЫ: Система Windows 7 X64
Добавлено:
Создаю обычный контейнер, выбираю алгоритм шифрования "Кузнечик" и алгоритм хеширования "Streebog" получаю падение модуля VeraCrypt Format. картинка тут: http://itmages.ru/image/view/4754295/f465fb0a Тоже самое вылезает, если выбрать алгоритм шифрования ГОСТ-89 и алгоритм хеширования "Streebog". Пробывал раз 5 создать контейнер таким образом и все время падает на следующем этапе, где нужно указывать размер контейнера... ИМХО проблема появляется при выборе именно Streebog'а, т.к. с другими алгоритмами хеширования ничего не падает. ЗЫ: Система Windows 7 X64
Цитата:
Создаю обычный контейнер, выбираю алгоритм шифрования "Кузнечик" и алгоритм хеширования "Streebog" получаю падение модуля VeraCrypt Format. картинка тут: http://itmages.ru/image/view/4754295/f465fb0a Тоже самое вылезает, если выбрать алгоритм шифрования ГОСТ-89 и алгоритм хеширования "Streebog". Пробывал раз 5 создать контейнер таким образом и все время падает на следующем этапе, где нужно указывать размер контейнера... ИМХО проблема появляется при выборе именно Streebog'а, т.к. с другими алгоритмами хеширования ничего не падает. ЗЫ: Система Windows 7 X64
попробовал, такая же ерунда (windows 7 x86).
Цитата:
попробовал, такая же ерунда (windows 7 x86).
Поковырял, ИМХО у меня глюк вылазит только если 32-битную Верку запускать на x64 системе Win 7.
Цитата:
Поковырял, ИМХО у меня глюк вылазит только если 32-битную Верку запускать на x64 системе Win 7.
если надо именно кузнечик со стрибогом, то можно пользовать https://www.gostcrypt.org/download.php
но контейнер не совместим с veracrypt
AndreyBrocman, iosuser
Автор нашёл и исправил ошибку. В следующей версии должно быть нормально.
Автор нашёл и исправил ошибку. В следующей версии должно быть нормально.
Зашифровал целиком системный SSD диск c Win10. Все работает, но есть небольшой вопрос.
При загрузке после ввода пароля время ожидания (Verifying password...) составляет составляет где-то около минуты. Немного многовато...
Хотелось бы знать, можно ли сократить это время.
Раньше пользовался Diskcryptor-ом, там переход на загрузку винды очень быстрый.
При загрузке после ввода пароля время ожидания (Verifying password...) составляет составляет где-то около минуты. Немного многовато...
Хотелось бы знать, можно ли сократить это время.
Раньше пользовался Diskcryptor-ом, там переход на загрузку винды очень быстрый.
Цитата:
если надо именно кузнечик
Да кому он нужен? Говорят уже взломали его.
Цитата:
Да кому он нужен? Говорят уже взломали его.
ходят разные слухи...
но с другой стороны зачем уважаемому разработчику включать его в верукрипт?
...шо бы было
1. Если я зашифрую единственный диск (с системой) в нетбуке, как там обстоят дела с гибернацией и сном?
гибернацию отшибет или останется, может какие то манипуляции необходимо сделать до шифрации что бы не отвалилась гибернация (мне в нетбуке это очень важно)
2. в нетбуке нет поддержки AES-NI, тесты показывают скорость 130/140, как сильно это скажется на производительности?
3. как у Veracrypt обстоят дела с шифрацией системного диска с UEFI + GPT ?
гибернацию отшибет или останется, может какие то манипуляции необходимо сделать до шифрации что бы не отвалилась гибернация (мне в нетбуке это очень важно)
2. в нетбуке нет поддержки AES-NI, тесты показывают скорость 130/140, как сильно это скажется на производительности?
3. как у Veracrypt обстоят дела с шифрацией системного диска с UEFI + GPT ?
1. В документации про запрет гибернации ничего не находится.
2. Можно посмотреть в сторону DiskCryptor, там шифрование быстрее, чем в сабже (при отсутствии аппаратного ускорения). Но не поддерживается UEFI + GPT. Впрочем, я раньше сидел на связке TrueCrypt+HDD и не жаловался (правда на ноутбучных HDD не сидел, они медленнее). С SSD ещё быстрее.
3. Начиная с версии 1.18 - поддерживается.
2. Можно посмотреть в сторону DiskCryptor, там шифрование быстрее, чем в сабже (при отсутствии аппаратного ускорения). Но не поддерживается UEFI + GPT. Впрочем, я раньше сидел на связке TrueCrypt+HDD и не жаловался (правда на ноутбучных HDD не сидел, они медленнее). С SSD ещё быстрее.
3. Начиная с версии 1.18 - поддерживается.
Dart Raiden
Ну с файлом подкачки понятно, а как быть с файлом гибернации? (не нашел как его перемещать куда либо)
Ну с файлом подкачки понятно, а как быть с файлом гибернации? (не нашел как его перемещать куда либо)
Упс, что-то я не про то написал, поправил...
В общем, про то, что гибернация невозможна, в документации ничего не сказано.
Я бы попробовал сначала вообще ничего не трогать, зашифровать и посмотреть на штатную работу.
На десктопе я всегда от греха подальше отключаю весь этот сон, гибридную загрузку и прочие "ускорялки", сохраняющие содержимое оперативки на диск.
В общем, про то, что гибернация невозможна, в документации ничего не сказано.
Я бы попробовал сначала вообще ничего не трогать, зашифровать и посмотреть на штатную работу.
На десктопе я всегда от греха подальше отключаю весь этот сон, гибридную загрузку и прочие "ускорялки", сохраняющие содержимое оперативки на диск.
в общем надо пробовать в виртуалке
А что это за фикс такой вышел — 1.18a? Обновил до последней версии, но в "About" этой "a" нет.
GREENcode
Не обращайте внимания, так и должно быть.
Не обращайте внимания, так и должно быть.
DimmY, а что в самом фиксе? Инсталляторы 1.18 и 1.18a отличаются на считанные килобайты. Но информации об изменениях я не нашёл. Они есть где-нибудь?
Имею устройство Surface Pro 3 с 10-й виндой Pro. Там загрузка, как я понимаю, через UEFI+GPT. TrueCrypt и прежними версиями Vera зашифровать такой системный диск не удавалось. Очень радует что в 1.18 такая возможность появилась. Но присоединяюсь к автору выше, как обстоят дела с гибернацией? Гибернацией пользуюсь постоянно, BitLocker с гибернацией работает совершенно корректно, но как Vera? Кто-нибудь уже пробовал? Отпишитесь пожалуйста.
P.S.: BitLocker, разумеется, никакого доверия по причине Microsoft (сотрудничает со всеми спецслужбами и не только), а также TRM (вообще не понимаю этой идеологии TRM)
P.S.: BitLocker, разумеется, никакого доверия по причине Microsoft (сотрудничает со всеми спецслужбами и не только), а также TRM (вообще не понимаю этой идеологии TRM)
> как обстоят дела с гибернацией?
Гибернация - зло для шифрования. Это четкая позиция и никто ее во благо удобств решать не будет.
Гибернация - зло для шифрования. Это четкая позиция и никто ее во благо удобств решать не будет.
mleo
Цитата:
Цитата:
Гибернация - зло для шифрования.Ерунда какая!
> Ерунда какая!
Аргумент принят. А теперь от эмоций к теории:
[more=Гибернация (операционные системы)]
Гибернация (англ. hibernation — «зимняя спячка») — энергосберегающий режим операционной системы компьютера, позволяющий сохранять содержимое оперативной памяти на энергонезависимое устройство хранения данных (жёсткий диск) перед выключением питания. В отличие от ждущего режима, при использовании гибернации подача электроэнергии полностью прекращается. При включении содержимое памяти восстанавливается (загружается с диска в память), и пользователь может продолжить работу с того же места, на котором он остановился, так как все запущенные ранее программы продолжают выполняться.
[/more]
WiKi
" Недостатки..
- Шифрование файла спящего режима (как и файла подкачки), хранящего копию содержимого памяти, осуществляется не во всех операционных системах (исключение — OS X). Таким образом, использование спящего режима может оказаться небезопасным." (источник Вики).
"Наиболее опасными являются утечки в hiberfil.sys и в crash дампы, так как при этом на диск сохраняется все содержимое памяти, включая неподкачиваемые области. Положение сильно осложняется тем, что механизм записи дампов и hiberfil.sys полностью недокументирован, и поэтому большинство существующих средств шифрования дисков не могут зашифровать эти файлы и они пишуться в открытом виде на в сектора диска! Последствия этого катострофичны, так как сохранение дампа памяти в открытом виде однозначно приводит к вскрытию всей зашифрованой информации в течении нескольких минут."(иной источник)
Весь инет в тему переносить не буду, т.к. все здесь граммотные люди, а инфа по этому вопросу в открытом виде.
Аргумент принят. А теперь от эмоций к теории:
[more=Гибернация (операционные системы)]
Гибернация (англ. hibernation — «зимняя спячка») — энергосберегающий режим операционной системы компьютера, позволяющий сохранять содержимое оперативной памяти на энергонезависимое устройство хранения данных (жёсткий диск) перед выключением питания. В отличие от ждущего режима, при использовании гибернации подача электроэнергии полностью прекращается. При включении содержимое памяти восстанавливается (загружается с диска в память), и пользователь может продолжить работу с того же места, на котором он остановился, так как все запущенные ранее программы продолжают выполняться.
[/more]
WiKi
" Недостатки..
- Шифрование файла спящего режима (как и файла подкачки), хранящего копию содержимого памяти, осуществляется не во всех операционных системах (исключение — OS X). Таким образом, использование спящего режима может оказаться небезопасным." (источник Вики).
"Наиболее опасными являются утечки в hiberfil.sys и в crash дампы, так как при этом на диск сохраняется все содержимое памяти, включая неподкачиваемые области. Положение сильно осложняется тем, что механизм записи дампов и hiberfil.sys полностью недокументирован, и поэтому большинство существующих средств шифрования дисков не могут зашифровать эти файлы и они пишуться в открытом виде на в сектора диска! Последствия этого катострофичны, так как сохранение дампа памяти в открытом виде однозначно приводит к вскрытию всей зашифрованой информации в течении нескольких минут."(иной источник)
Весь инет в тему переносить не буду, т.к. все здесь граммотные люди, а инфа по этому вопросу в открытом виде.
[more] Я не профи в вопросах шифрования, однако кое-какие книги и статьи читал на эту тему. Если я шифрую весь физический (!) диск и он вообще говоря единственный (я про сюрфейс, например), и файл гибернации хранится на нем же, на этом же зашифрованном ранее диске, то и хранится он априори в зашифрованном виде. Или я чего-то не понимаю в теории? Во время кодирования диска происходит посекторное шифрование всего пространства диска (в том числе пустого). При любой попытке что-либо записать, запись будет производиться с наложением на шифр. Никак иначе я не могу себе этого представить. Или поясните как тогда hyberfil.sys может оказаться незашифрованным в моем случае?
Да, гибернацией я бы не пользовался (как не пользуюсь ею ни на одном десктопе). Но для сюрфейса исключение. Если едешь в метро и работаешь с документом и надо делать переход на другую ветку, то ВЫКЛЮЧАТЬ планшет, а потом его включать (с учетом не самой быстрой дозагрузочной аутентификации Веры) - это, простите, тоже геморрой тот еще. Думаю, многие меня поймут. Так что зло не зло, а я не это хотел узнать, а всего лишь то, что если я отправлю сюрфейс в гибернацию (понимая даже все вышесказанное про зло), гибернация сработает так же корректно как в случае с BitLocker или? [/more]
Да, гибернацией я бы не пользовался (как не пользуюсь ею ни на одном десктопе). Но для сюрфейса исключение. Если едешь в метро и работаешь с документом и надо делать переход на другую ветку, то ВЫКЛЮЧАТЬ планшет, а потом его включать (с учетом не самой быстрой дозагрузочной аутентификации Веры) - это, простите, тоже геморрой тот еще. Думаю, многие меня поймут. Так что зло не зло, а я не это хотел узнать, а всего лишь то, что если я отправлю сюрфейс в гибернацию (понимая даже все вышесказанное про зло), гибернация сработает так же корректно как в случае с BitLocker или? [/more]
mleo
Цитата:
Цитата:
davydovden1978
Цитата:
.
Цитата:
Аргумент принят.Это был не аргумент, а возмущение вашим невежеством - которое вы решили продемонстрировать на публике!
Цитата:
- Шифрование файла спящего режима (как и файла подкачки), хранящего копию содержимого памяти, осуществляется не во всех операционных системах (исключение — OS X).Не пишите пожалуйста в эту тему какое-то время - пока знаний на наберётесь!
davydovden1978
Цитата:
...и файл гибернации хранится на нем же, на этом же зашифрованном ранее диске, то и хранится он априори в зашифрованном виде.Так-то да, но вот на той же экспишечке всё было не так однозначно т.к. механизм работы с файлом гибернации был не документирован - сейчас, слава Б-гу, это всё в прошлом
.
По личному опыту - всё зависит от ОС и от совместимости программы шифрования (насколько она полноценно поддерживает все возможности, предоставляемые ОС).
Например, DiskCryptor давно не обновлялся и в некоторых случаях (не разбирался от чего именно зависит, но у меня воспроизводимость была 100%) он вызывает проблемы в Windows 8+, если не выключить в настройках электропитания "гибридную загрузку" (это когда даже на десктопе при завершении работы (не при гибернации или сне) часть содержимого оперативки сохраняется на диск и потом подгружается при включении, за счёт чего и создаётся эффект "восьмёрка грузится быстрее семерки").
Полагаю, что в сочетании "VeraCrypt+Windows 10" шансы нормально завести гибернацию максимальны.
Например, DiskCryptor давно не обновлялся и в некоторых случаях (не разбирался от чего именно зависит, но у меня воспроизводимость была 100%) он вызывает проблемы в Windows 8+, если не выключить в настройках электропитания "гибридную загрузку" (это когда даже на десктопе при завершении работы (не при гибернации или сне) часть содержимого оперативки сохраняется на диск и потом подгружается при включении, за счёт чего и создаётся эффект "восьмёрка грузится быстрее семерки").
Полагаю, что в сочетании "VeraCrypt+Windows 10" шансы нормально завести гибернацию максимальны.
На практике кто нить пробовал зашифровать единственный диск в ПК/ноутбуке с Windows 10 + UEFI + GPT используя VeraCrypt
гибернация отвалилась или нет?
гибернация отвалилась или нет?
[more] Нашел такие ссылки по теме гибернации:
https://sourceforge.net/p/veracrypt/discussion/technical/thread/b0743fac/feed.rss
и
https://veracrypt.codeplex.com/wikipage?title=Hibernation%20File
Если кратко пересказать прочитанное, то сон не приводит к запросу пароля при пробуждении, поскольку что-то там остается в оперативной памяти. Гибернация же (фактически, отключение компьютера с сохранением на диск последних параметров его работы в hiberfil.sys) приводит к запросу пароля при пробуждении, поскольку hiberfil.sys, если хранится на системной зашифрованном диске (как в моем случае) также зашифрован (о чем я и говорил выше).
хм, в моем случае (Surface), видимо, не обойтись без ТРМ. Потому как к нему может быть пристегнута клавиатура, а может и нет (режим планшета). И как собственно ввести пароль Веры, если клавиатуры нет под рукой) И более того, клавиатура там с дебильным разъемом и любую не возьмешь. ТРМ в этом плане, который использует BitLocker, удобен конечно (ничего вводить не надо), но с точки зрения безопасности полный абзац... В общем, если скрыть инфу от коллег по работе или домочадцев, то BitLocker поудобнее будет. Если же надо скрывать что от не домочадцев или коллег, то тогда Vera, но с мега-геморроем по постоянному вводу паролей и минутным ожиданиям пока они подойдут [/more]
https://sourceforge.net/p/veracrypt/discussion/technical/thread/b0743fac/feed.rss
и
https://veracrypt.codeplex.com/wikipage?title=Hibernation%20File
Если кратко пересказать прочитанное, то сон не приводит к запросу пароля при пробуждении, поскольку что-то там остается в оперативной памяти. Гибернация же (фактически, отключение компьютера с сохранением на диск последних параметров его работы в hiberfil.sys) приводит к запросу пароля при пробуждении, поскольку hiberfil.sys, если хранится на системной зашифрованном диске (как в моем случае) также зашифрован (о чем я и говорил выше).
хм, в моем случае (Surface), видимо, не обойтись без ТРМ. Потому как к нему может быть пристегнута клавиатура, а может и нет (режим планшета). И как собственно ввести пароль Веры, если клавиатуры нет под рукой) И более того, клавиатура там с дебильным разъемом и любую не возьмешь. ТРМ в этом плане, который использует BitLocker, удобен конечно (ничего вводить не надо), но с точки зрения безопасности полный абзац... В общем, если скрыть инфу от коллег по работе или домочадцев, то BitLocker поудобнее будет. Если же надо скрывать что от не домочадцев или коллег, то тогда Vera, но с мега-геморроем по постоянному вводу паролей и минутным ожиданиям пока они подойдут [/more]
Предыдущая тема: Дубль
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.