Comments 62
VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров.
Спустя столько времени, появилась ли достоверная информация кто же на самом деле заставил разработчика TrueCrypt удалить оригинальный проект и можно ли доверять форкам, к примеру VeraCrypt, учитывая что их почему-то никто не спешит закрывать, в отличии от оригинала?
По TrueCrypt был независимый аудит, который подтвердил, что ничего криминального в них нет, кроме устаревших алгоритмов шифрования.
VeraCrypt основана на данных исходниках, и также имеет их в открытом доступе — можно всегда посмотреть и оценить степень доверия. Автор обновил алгоритмы и чуть поправил интерфейс. Никаких нареканий на закладки или что-либо такое, насколько я знаю, не было.
VeraCrypt основана на данных исходниках, и также имеет их в открытом доступе — можно всегда посмотреть и оценить степень доверия. Автор обновил алгоритмы и чуть поправил интерфейс. Никаких нареканий на закладки или что-либо такое, насколько я знаю, не было.
В том то и вопрос, что(или кто) вынудил автора оригинального TrueCrypt резко закрыть проект и написать что «TrueCrypt плохой, все используйте проприетарный BitLocker».
Что если просто надоело? Дело довольно ответственное, при этом некоммерческое, дохода не приносящее. Человек мог психануть и завязать с проектом.
Если бы автора софтины нашли спецслужбы, то никакого сообщения о BitLocker бы не было. И вообще бы не было никаких сообщений.
Если бы автора софтины нашли спецслужбы, то никакого сообщения о BitLocker бы не было. И вообще бы не было никаких сообщений.
Я понимаю что коммент с заделом на конспирологию, но может KISS
Просто бабло победило, а финальнымдембельским аккордом золотым парашютом стала реклама битлокера
Просто бабло победило, а финальным
Там есть что-нибудь достоверное про удаление TrueCrypt? Я только нашёл: «Encryption experts puzzled over possible explanations, and I wondered if it might have something to do with Le Roux’s arrest. Perhaps Le Roux was helping the government break his own code, but then the TrueCrypt announcement could have been a coincidence.»
И ещё Википедия говорит: «In 1999, he created E4M, a free and open-source disk encryption software program for Microsoft Windows, and is sometimes credited for open-source TrueCrypt, which is based on E4M's code, though he denies involvement with TrueCrypt.»
И ещё Википедия говорит: «In 1999, he created E4M, a free and open-source disk encryption software program for Microsoft Windows, and is sometimes credited for open-source TrueCrypt, which is based on E4M's code, though he denies involvement with TrueCrypt.»
А можно здесь вкратце?
Спасибо тебе милый человек, отплюсовать не могу — подвергся нападению банды минусеров.
Ты просто сделал мне вечер субботы и часть ночи воскресенья. Оторваться не смог, прям как про профессора Мориарти нашего поколения. Про связь с TrueCrypt читать Эпизод 3 «У него всегда была темная сторона»
Ты просто сделал мне вечер субботы и часть ночи воскресенья. Оторваться не смог, прям как про профессора Мориарти нашего поколения. Про связь с TrueCrypt читать Эпизод 3 «У него всегда была темная сторона»
«Про связь с TrueCrypt» — там есть что-либо кроме домыслов? В этом же самом Эпизоде 3 явно написано: «Hafner and his SecurStar colleagues suspected that Le Roux was part of the TrueCrypt collective but couldn’t prove it. Indeed, even today the question of who launched the software remains unanswered.»
Ну так и как скрывается скрытый раздел? Что, forensics tools не увидят «белого пятна» на диске?
В статье про это одна строчка:
Идея в том, что без ввода пароля для всех forensics tools диск видится как набор случайных данных. При вводе только одного, «внешнего», пароля, открывается внешний том, где хранятся только фотографии любимой кошки. Место на диске, где записан скрытый том, при этом видится как свободное место диска, где записаны случайные данные. Случайные данные на диск записываются, когда его VeraCrypt первый раз форматирует.
В том случае, если вас заставляют смонтировать внешний том силовым методом (против которого этот механизм и был создан), то естественно вы его монтируете как обычный том, и VeraCrypt не будет показывать что это внешний том, он будет выглядеть как обычный.
Идея в том, что без ввода пароля для всех forensics tools диск видится как набор случайных данных. При вводе только одного, «внешнего», пароля, открывается внешний том, где хранятся только фотографии любимой кошки. Место на диске, где записан скрытый том, при этом видится как свободное место диска, где записаны случайные данные. Случайные данные на диск записываются, когда его VeraCrypt первый раз форматирует.
А как ОС видит этот скрытый том? Как свободное место «внешнего» тома или неразмеченое место?
Когда введен пароль от «внешнего» тома — то система видит это место как свободное место «внешнего» тома. И может попытаться туда что-нибудь записать. Если включена защита скрытого тома — то VeraCrypt откажется записывать и, возможно, поломает файловую систему «внешнего» тома. Если эта защита выключена — то скрытый том поломается. Поэтому, как написано в статье:
А также в качестве файловой системы «внешнего» тома надо использовать такую, которая записывает файлы «подряд» начиная с начала диска (например FAT), т.к. скрытый том добавляется в конце «внешнего». NTFS, насколько я помню, тоже «записывает файлы „подряд“ начиная с начала диска», однако добавляет свою служебную информацию в середину тома, так что если «внешний» том отформатирован в NTFS, то скрытый должен быть меньше 50% по размеру от внешнего. Ну и, само собой, на «внешнем» томе должно быть много свободного места :)
Опцию защиты при монтировании внешнего тома необходимо включать, так как скрытый том является частью внешнего, и запись во внешний том без защиты может повредить скрытый том
А также в качестве файловой системы «внешнего» тома надо использовать такую, которая записывает файлы «подряд» начиная с начала диска (например FAT), т.к. скрытый том добавляется в конце «внешнего». NTFS, насколько я помню, тоже «записывает файлы „подряд“ начиная с начала диска», однако добавляет свою служебную информацию в середину тома, так что если «внешний» том отформатирован в NTFS, то скрытый должен быть меньше 50% по размеру от внешнего. Ну и, само собой, на «внешнем» томе должно быть много свободного места :)
Что-то я не очень понял, а что помешает «силовикам» заставить смонтировать том не как «обычный», а как «внешний». Очевидно, они тоже знают об этой фиче VeraCrypt и вряд ли поверят на слово «но я её не использовал, мамой кля-янусь!»
Очевидно, они тоже знают об этой фиче VeraCrypt и вряд ли поверят на слово «но я её не использовал, мамой кля-янусь!»
Это если вы попали «в самый крутой отдел занимающийся самым серьезным». Те, конечно, знают.
А если вы попали в рядовой отдел — могут и не догадаться. На этом и основано.
На твоих глазах открывается контейнер, данные тебе отдают, начальству можно доложить…
Догадаться могут, весь смысл в убедительной отрицаемости. Они не могут быть уверены, что скрытый том действительно имеется. А значит, меньше шансов на силовое воздействие.
Догадаться могут, весь смысл в убедительной отрицаемости. Они не могут быть уверены, что скрытый том действительно имеется. А значит, меньше шансов на силовое воздействие.
«В самом крутом отделе», что точно знают о существовании «двойного дна» догадаются как бы убедительно вы не отрицали.
А вот в рядовом отделе им может и в голову не прийти проверить занятое/свободное место и размер открытого контейнера и сопоставить эти цифры.
UFO just landed and posted this here
Размер открытого контейнера не отличается от размера этого контейнера на диске. Если при открытии не вводили пароль на «защиту скрытого тома», поведение такого контейнера полностью эквивалентно обычному контейнеру без скрытого тома. В закрытом виде он весь заполнен случайными или шифрованными данными, там невозможно определить, какая часть реально занята файлами. В открытом будет видно только то, что он заполнен файлами не до конца, но это вообще ни о чём не говорит.
и вряд ли поверят на слово «но я её не использовал, мамой кля-янусь!»
Ну с таким подходом вам не поможет даже реальное отсутствие шифрованного раздела. С тем же успехом они могут наткнуться на ваш старый экзешник, который вы запакованный в зашифрованный архив, чтобы его можно было без проблем отправить коллеге по gmail, или (что хуже) он вам его таким образом прислал, а пароль за давностью лет вы даже примерно не помните. А может это какой-либо шифрованный системный файл, или файл который шифрует какое-либо установленное ПО неизвестным вам ключом. В общем, если задача стоит выбить у вас признание, то это будут делать будь вы хоть 10 раз невиновны.
Причём такой сценарий ещё хуже. Наличие скрытого тома хотя бы под сомнением и недоказуемо, если человек не откроет его сам. А тут шифрованный архив налицо, и выбивать пароль могут очень долго, даже если он действительно забыт. Всё-таки проще поверить в отсутствие гипотетического контейнера, чем поверить в отсутствие пароля от явно имеющегося файла.
При вводе только одного, «внешнего», пароля, открывается внешний том, где хранятся только фотографии любимой кошки.
Посмотрит на этот цирк т-щ майор и
Раз-два-три по почкам,
раз-два-три по печени
— Потрепи, браточек,
А мы тебя подлечим
> пароль “самого разыскиваемого хакера”, использовавшего полное шифрование дисков,
> Джереми Хэммонда, был именем его кошки: “Chewy 123”
— Вася, ты типа мамкин хакер. А какой у тебя пароль от контактика?
— Имя моего кота.
— Вась, ну даже я знаю, что нельзя ставить имя кота в качестве пароля!
— Если кота зовут K5MLdLR2bcrUkz7oR97u5, то можно.
> Джереми Хэммонда, был именем его кошки: “Chewy 123”
— Вася, ты типа мамкин хакер. А какой у тебя пароль от контактика?
— Имя моего кота.
— Вась, ну даже я знаю, что нельзя ставить имя кота в качестве пароля!
— Если кота зовут K5MLdLR2bcrUkz7oR97u5, то можно.
всё равно же нельзя
— Если кота зовут K5MLdLR2bcrUkz7oR97u5, то можно.
Но ведь уже не важно какой длины пароль, если ты назвал его вслух хотя бы раз.
Это имя. А он своего кота зовёт по имени и отчеству.
> Но ведь уже не важно какой длины пароль, если ты назвал его вслух хотя бы раз.
Вслух имя не произносится. Вслух произносится только хэш имени (обязательно с секретной солью).
Вслух имя не произносится. Вслух произносится только хэш имени (обязательно с секретной солью).
Бедный кот. Его ещё и солят каждый раз! </irony>
Имя кота — это то, что произносится в слух, чтобы этого кота позвать, а если пароль не то же самое(не важно как полученное), то это уже не имя кота, точнее имя кота ≠ пароль.
Иначе получается просто игра слов, грубо говоря, всегда можно сделать хэш функцию, которая будет из одного конкретного слова получать на выходе нужное другое, так можно сказать что у людей, которые вводят «password» на самом деле 128-значный пароль, просто они прогоняют его через специальную хэш-функцию с солью и на выходе получается хэш «password», его то они и вводят.
Иначе получается просто игра слов, грубо говоря, всегда можно сделать хэш функцию, которая будет из одного конкретного слова получать на выходе нужное другое, так можно сказать что у людей, которые вводят «password» на самом деле 128-значный пароль, просто они прогоняют его через специальную хэш-функцию с солью и на выходе получается хэш «password», его то они и вводят.
Зададим надежный пароль (как выбрать надежный пароль мы рассказывали в этой статье).
В какой статье?
Насчёт "невозможно доказать наличие скрытого тома".
Как при этом объяснить разницу в объемах?
Например:
Есть флешка на 8гб.
4 Гб — скрытый том
4 Гб — зашифрованный том-обманка.
Под принуждением открываем том-обманку. Злоумышленник видит что он занимает далеко не весь доступный объем (при том что ничего другого нет, флешка размечена полностью) и делает выводы.
Upd: увидел выше объяснение. Злоумышленник в этом случае попытается записать данными доступный объем и наткнувшись на преграду в виде "защиты скрытого тома" — сделает выводы.
Upd: увидел выше объяснение. Злоумышленник в этом случае попытается записать данными доступный объем и наткнувшись на преграду в виде «защиты скрытого тома» — сделает выводы.
Что бы заработала «защита скрытого тома» надо при монтировании тома-обманки поставить соответствующий чекбокс и в появившемся втором поле ввести пароль от скрытого тома. Без этого VeraCrypt тоже не знает о существовании скрытого тома, иначе это было бы известно и злоумышленнику.
О как. Тогда да, круто.
В худшем случае — убьем данные, ну это наверное лучше, чем они попадут в руки злоумышленника.
Хотя… на месте руководства злоумышленника написал бы инструкцию, что при подобных действиях при включении тома-обманки В ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ ставил чекбокс о защите скрытого тома и пытаемся занять доступный объем чем-нибудь (большим файлом и т.д.)
— если дает записать весь доступный объем — ок, считаем что скрытого тома нет.
— если НЕ дает записать… штош… возвращаемся к вопросу о монтировании скрытого тома
UPD: еще раз перечитал. Разработчики и тут нашли «контргайку».
Если я все правильно понял — при установке чекбокса «защиты скрытого тома» требуется пароль от скрытого тома.
Соответственно можно продолжать утверждать что скрытого тома нет и пароля от него нет и чекбокс поставить не получится.
Туше!
В худшем случае — убьем данные, ну это наверное лучше, чем они попадут в руки злоумышленника.
Хотя… на месте руководства злоумышленника написал бы инструкцию, что при подобных действиях при включении тома-обманки В ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ ставил чекбокс о защите скрытого тома и пытаемся занять доступный объем чем-нибудь (большим файлом и т.д.)
— если дает записать весь доступный объем — ок, считаем что скрытого тома нет.
— если НЕ дает записать… штош… возвращаемся к вопросу о монтировании скрытого тома
UPD: еще раз перечитал. Разработчики и тут нашли «контргайку».
Если я все правильно понял — при установке чекбокса «защиты скрытого тома» требуется пароль от скрытого тома.
Соответственно можно продолжать утверждать что скрытого тома нет и пароля от него нет и чекбокс поставить не получится.
Туше!
Я, вот, наоборот, за то, чтоб «секретные данные» НЕ были защищены от повреждения, и в случае потери/кражи устройства, ничего не подозревающий мог запросто их затереть…
И вообще, хотелось бы монтировать все внутренние разделы только конкретно указав номера кластеров, в которых они расположены, а потом уже вводить пароль «спец-символами» типа «возврат каретки», «подача строки» и пр. (или оставить пустую строку, если нет никакого пароля) ну или графический/фоно-ключ/мн.др.
А если уж так нужна надёжность, то помещать их в другие скрытые внутренние тома, да ещё сделать две или три теневые копии…
Интересно, а можно ли на 32-гиговой FAT`нутой флешке сделать несколько томов (общей сложенности в гигов 10) так, чтоб можно было собрать виртуальный RAID-массив, но уже NTFS (правильнее сказать, разбитый на несколько частей 10-гиговый NTFS-раздел внутри FAT флешки)?
И вообще, хотелось бы монтировать все внутренние разделы только конкретно указав номера кластеров, в которых они расположены, а потом уже вводить пароль «спец-символами» типа «возврат каретки», «подача строки» и пр. (или оставить пустую строку, если нет никакого пароля) ну или графический/фоно-ключ/мн.др.
А если уж так нужна надёжность, то помещать их в другие скрытые внутренние тома, да ещё сделать две или три теневые копии…
Интересно, а можно ли на 32-гиговой FAT`нутой флешке сделать несколько томов (общей сложенности в гигов 10) так, чтоб можно было собрать виртуальный RAID-массив, но уже NTFS (правильнее сказать, разбитый на несколько частей 10-гиговый NTFS-раздел внутри FAT флешки)?
grub позволяет загружаться с зашифрованного раздела. У меня есть стойкое ощущение, что когда-то я читал, что grub может грузиться с произвольного места на диске, которое можно задать смещением. Сейчас пытался найти подтверждение, но что-то быстро не получилось, так что я уже не уверен :(. Но в принципе если где-то на в середине флэшки сделать зашифрованный диск и грузиться с него вбивая смещение руками, то доказать, что там что-то есть, будет весьма сложно.
Ну, мне загрузка со скрытого раздела и не интересовала вообще-то – зачем перезагружать комп (или запускать виртуалку) ради только закидывания чего-либо в засекреченную область (или области) на флешке (или только считать с неё)?
Но раз уж упомянули:
chainloader offset+length …?
А прокатит ли банально с VeraCrypt`овым разделом? В случае с зашифрованной виндой, придётся давать управление VeraCrypt`овскому загрузчику: SourceForge.net / VeraCrypt / Forums / Technical Topics: Using GRUB to boot into Vera encrypted windows disk. Вот только ещё бы хотелось у этого файла имя убрать, хотя… попробуй скрыть что-нибудь от DiskInternals…
Но раз уж упомянули:
chainloader offset+length …?
А прокатит ли банально с VeraCrypt`овым разделом? В случае с зашифрованной виндой, придётся давать управление VeraCrypt`овскому загрузчику: SourceForge.net / VeraCrypt / Forums / Technical Topics: Using GRUB to boot into Vera encrypted windows disk. Вот только ещё бы хотелось у этого файла имя убрать, хотя… попробуй скрыть что-нибудь от DiskInternals…
Прошу прощения, не осознал до конца ваш юз кейс. Похоже я немного перепутал. luks действительно позволяет задавать отступ при создании зашифрованного диска с detached header. Найти подтверждение, что grub может загрузиться с такого диска мне не удалось.
Я читал, что среди исчезнувших (с сайта автора?) версий TrueCrypt была конкретная, прошедашая аудит и вообще типа считающаяся самой лучшей. Она где-то ещё существует в открытом доступе? Или автор, начав сотрудничать со спецслужбами, добился её удаления из всех мест интернета?
С Win10 же эта фишка так и не работает без диких танцев? Да и без скрытого тома обновления винды любят прибивать загрузчик Veracrypt, в итоге всегда надо иметь аварийную флешку. Интересно, в этом направлении что-то планируется менять?
Я сильно симневаюсь, что разработчики видят особый смысл в использовании VeraCrypt в Win10, которая даже буфер обмена сливает в microsoft.
Чего? Пруф на сливание буфера обмена?
UFO just landed and posted this here
Ну, во-первых, синхронизацию буфера обмена надо специально принудительно включить.
Во-вторых, я сильно сомневаюсь, что там какое-то нестандартное дырявое шифрование. После беглого просмотра выяснилось, что синхронизация осуществляется тем же способом, что и вся синхронизация учётки.
Во-вторых, я сильно сомневаюсь, что там какое-то нестандартное дырявое шифрование. После беглого просмотра выяснилось, что синхронизация осуществляется тем же способом, что и вся синхронизация учётки.
UFO just landed and posted this here
Ну, это уже другой вопрос. Аналогичный тому, следит ли за пересылаемыми через них данными Google, Dropbox, Яндекс и пр. Изначально посыл был «даже буфер обмена сливает в microsoft». На самом деле сливает таким же образом, как если бы сами вручную послали им письмо с буфером обмена. Пруфов, что MS получает содержимое буфера обмена без ЯВНОГО разрешения я не нашёл. Отправку надо ЯВНО разрешить — по-умолчанию выключено.
В статье речь вообще идёт о шифровании несистемного диска, с этим в винде никаких проблем и не было, в том числе со скрытым томом. Системный диск в принципе тоже спокойно шифруется, но во избежание проблем с обновлением винды есть смысл расшифровывать систему перед обновлением. По-моему, это касается только крупных апгрейдов, когда увеличивается номер версии, типа 1909->2004. Всякие рядовые апдейты обычно не трогают загрузчик. Ну а вот с фичей «скрытая ОС» — там проблема есть. По-прежнему заводится только на MBR-разметке.
Sign up to leave a comment.
Создание зашифрованного диска с «двойным» дном с помощью Veracrypt