Рецепт: Как сделать зашифрованную USB флешку?

    У каждого человека есть секреты. Личный дневник, пароль от банковского счета в Швейцарии, фотки укреплений вероятного противника, чертежи вечного двигателя, список любовниц, да мало ли что еще. Данные удобно хранить на USB флешке. Она маленькая, дешевая, емкая. Ее легко носить в кармане, просто спрятать или передать другому человеку. Но так же просто флешку потерять.

    Задача: мне нужен USB флеш диск вся информация на котором зашифрованна. Когда я вставляю флешку в компьютер – она должна спрашивать пароль и без правильного пароля не расшифровываться. Флешка должна работать автономно, без установки на компьютер какого либо софта.
    image
    Берем любой доступный нам флеш диск и приступаем.

    Шаг 1.


    Качаем TrueCrypt. Сейчас последняя версия – 6.1а. Есть русификация. TrueCrypt – бесплатная программа с открытым кодом для шифрования данных. Работает под Windows, Mac и Linux.

    Устанавливаем TrueCrypt на компьютер. Установка TrueCrypt-a нам нужна только для создания флешки. Потом TrueCrypt можно удалить.

    Шаг 2.


    Подготовим флешку для работы. Для начала стираем оттуда все данные. Теперь запускаем TrueCrypt и выбираем пункт меню Tools --> Traveler Disk Setup…

    В появившимся окне указываем букву диска куда смонтирована сейчас флешка и путь к [несуществующему пока] файлу с зашифрованными данными: e:\datafile.tc
    image
    Остальные опции рекомендую выставить как на скриншоте.

    Нажимаем Create и TrueCrypt запишет на флешку все необходимые служебные файлы.

    Шаг 3.


    Теперь осталось создать на флешке зашифрованный файл с данными.

    В меню TrueCrypt-a выбираем Tools --> Volume Creation Wizard
    image
    image
    Указываем путь к тому же файлу, что вводили при создании флешки:
    image
    Выбираем алгоритмы шифрования и хэширования по вкусу. Рекомендуется оставить все как есть.
    image
    Выбираем размер файла с данными. Поскольку мы хотим чтобы все пространство флешки было зашифрованно, вводим максимально возможное число.
    image
    Придумываем и вводим пароль. Будте внимательны! Пароль должен быть длинный и сложный, чтобы его нельзя было сломать брут форсом. Но и запоминающимся. Потому как если забудете – то данные будут утерянны.
    image
    Теперь выбираем тип файловой системы и водим мышкой по области окна, чтобы True Crypt смог сгенерировать по настоящему случайное число. Жмем Format.
    image
    Через несколько минут на флешке будет создан большой зашифрованный файл.
    image
    Если вставить такую флешку в любой компьютер под Windows – появится окошко:
    image
    И если пароль введен верно – система смонтирует зашифрованный файл как еще один диск.

    Несколько предостережений


    Итак мы имеем флешку, которая зашифрованна надежным алгоритмом и готова к работе на любом, даже неподготовленном компьютере. Конечно, идеальной защиты не существует, но теперь потенциальному злоумышленнику потребуется на многие порядки больше времени, средств и опыта, чтобы добраться до ваших данных.

    Перед тем как вынуть флешку, не забывайте размонтировать диск через иконку в панели задач.

    Имейте в виду, что после редактирования или просмотра ваши секретные данные могут остаться во временных файлах или в файле подкачки операционной системы.

    Сам факт использования шифрования не будет секретным. На компьютере могут остаться записи в логах или регистре. Содержимое флешки открыто указывает на применение технологии шифрования. Так что ректо-термальные методы взлома будут самыми эффективными.

    Для сокрытия факта шифрования TrueCrypt предлагает технологии зашифрованного диска с двойным дном и со скрытой операционной системой. Но это уже совсем другая история.

    Post-scriptum


    Спасибо всем участникам обсуждения за интересные вопросы и критику.

    В качестве послесловия хочу ответить на два наиболее популярных возражения.
    • Почему не использовать встроенную в Windows NTFS Encrypted File System, как порекомендовал Backspace?
    • Зачем нужно условие автономности флешки, ведь на своем компьютере можно установить TrueCrypt стационарно? А подключая флешку в чужой компьютер мы рискуем поспастся на кейлогеры и прочие закладки.

    Почитал я про эту Encrypted File System и поэксперементировал на компе. Возможно для некоторых случаев такой метод шифрования и подойдет. Но не для меня.

    Самое главное. EFS шифрует только содержимое файлов. Список файлов, структура вложенных папок, их названия, размеры, даты редактирования остаются открытыми. Эта информация может компроментировать вас напрямую, а может являться причиной дальнейшей вашей разработки. Если в вашей папке найдут зашифрованный файл ДвижениеЧерногоНала.xls или ИзнасилованиеТринадцатилетнейДевственницы.avi то от шифрования самого файла вам будет не легче.

    Второе. Зашифрованные файлы доступны все время, пока вы залогинены на вашем компьютере. Неважно работаете вы с секретной информацией или играете в сапера. Конечно, под своим логином за комп лучше никого не пускать. Но ситуации бывают разные. Кроме того, работая под виндой, даже на собственном компьютере никогда не знаешь какой процесс шарится у тебя по файловой системе. TrueCrypt обеспечивает простое и понятное управление сессией работы с зашифрованным томом. Смонтировал, поработал, размонтировал. Время доступности данных сокращается на порядки. А с ним и риск.

    Ну и наконец про автономность и переносимость на произвольный компьютер. Вставляя флешку в чужой компьютер, мы рискуем и не следует этого делать регулярно. Но, опять же, разные бывают ситуации. Основной компьютер может выйти из строя, быть выброшен на помойку 3 года назад, остаться в другой стране. Конкретный сценарий — представте что вы уехали в командировку и забыли флешку на работе. И вам нужно по телефону обьяснить секретарю как добраться до нужного вам файла. Информация не только должна быть надежно защищена. Она должна быть еще и легко доступна. Все что нужно для доступа к файлам на флешке под TrueCrypt – это компьютер под XP в стандартной конфигурации, пароль и 10 секунд времени. C EFS тоже можно добиться переносимости флешки. Но процедура подключения будет гораздо сложнее. Нужно расшифровывать и импортировать ключ. А в конце сессии – удалять его из системы.

    Безусловно, описанный рецепт обладает рядом недостатков и уязвимостей. Но, ИМХО, это наиболее практичный и сбалансированный способ хранить секреты на текущий момент.
    Поделиться публикацией

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 132

      –16
      > Флешка должна работать автономно, без установки на компьютер какого либо софта.

      А у меня Linux… как быть?
        +18
        TrueCrypt – бесплатная программа с открытым кодом для шифрования данных. Работает под Windows, Mac и Linux.
          +3
          >>Флешка должна работать автономно, без установки на компьютер какого либо софта.

          софт всё же придётся запускать на компе, так что особой автономности нет
          нужен подходящий к операционной системе бинарник и соответствующие разрешения на запуск, как в ОС, так и от хозяина компа :)

          интересно, бывают ли чисто хардварно зашифрованные флешки, чтобы без стороннего софта на компе?
          есть, конечно, флешки со сканером отпечатков пальцев, но и для них требуется запущенное на компе специальное приложение
            0
            Бывают. Ещё и антивирь на ней же.
            www.thg.ru/technews/20090306_155017.html
            Только я не понял где хранится ключ или пароль и как его вводить.
              0
              Есть ещё жёсткие диски с аппаратным шифрованием.
            –19
            искать mac и пробовать сделать мультиплатформенный вариант ;)
              +1
              TrueCrypt работает и под Линукс. В чем проблемма? Или можно сделать загрузочную зашифрованную флешку с операционкой по вашему вкусу. Но это, как я уже сказал, срвсем другая история… Я хотел поделиться простым рецептом.
                0
                Спасибо, понял. Кайфово.
                  0
                  я думая вам удалось)
                    +2
                    Т.е. сделав флешку программой из-под Windows она будет работать из любой из трех ОС?
                      0
                      Да, но на двух из трёх придётся ставить дополнительный софт отдельно. Просто вставить и ждать пароля — не прокатит…
                        +4
                        Фактически не будет работать =/
                          +1
                          Ничто не мешает носить бинарники для разных систем на флешке, благо объемы флешек позволяют.
                            +1
                            Поправка (для кого-то очевидная, но кто-то может и не обратит сразу внимания): файловая система на виртуальном диске (файл .tc) должна читаться на всех операционках, на которых планируется юзать флешку.
                              0
                              Спасибо. Это важное замечание.
                              0
                              Дык там какой-нить хитрый mount нужен, а для этого нужен root, а он есть далеко не всегда, точнее так, где он есть не нужна шифрованная флешка :)
                                0
                                Ну, pmount и fuse пока никто не отменял. Да и в гноме, например, часть демонов работают под рутом (за что, в частности, я недолюбливаю этот десктоп)
                                  0
                                  Может быть если извратится то и можно, но я не понимаю почему бы просто не зашифровать файлы на флешке…
                        0
                        Кроме всего прочего иногда пользую флешку под PSP. Ос там родная, как думаете — будет ли работать? С собой, к сожалению нет, проверить смогу только вечером.
                          0
                          конечно нет. truecrypt под psp ещё не написали :)
                          0
                          Ну, скажем так, дело не в ОС, скорее, а (в случае с Linux) в WM. У меня такая байда точно не заработает =)
                          Впрочем, если мне будет нужно — есть куча вариантов, вы правы.

                          P.S. что за мода писать «проблемма»? не наезда ради, — просто уже в который раз в последнее время встречаю. глаз режет — ажно жуть :D
                            –5
                            Сори, сори. Бло лень спел[л]чекером пройтись…
                              +2
                              ничего страшного, сам грешен =)
                              (я уж было думал, какой-то мем новый появился :D )
                                +2
                                ммемм
                          +11
                          Линуксоиду достаточно README в корне флешки с алгоритмом шифрования. а дальше путсь сам соображает.

                            0
                            Накатал инструкцию и небольшое видео как зашифровать флешку используя связку truecrytp +keepass.

                            Как зашифровать флешку
                            Вот здесь инструкция с картинками
                            flyer2001.livejournal.com/26366.html
                            0
                            Что будет если забыть размонтировать диск? Как долго занимает процесс монтирования?
                            Я так понял все данные можно вскрыть, если она была хоть раз открыта на чужом компьютере, и даже если требовался всего лишь считать один файл. Тут возникла еще такая мысль. При монтировании диска считываются на компьютер все содержимое флешки во временные файлы? Тогда если часто делать эти операции, то жизнь флешки намного уменьшиться.
                              +1
                              Не, не. Это же шестая версия уже. Зрелый продукт и такие косяки вычищены давно. С флешки данные читаются поблочно и в расшифрованном виде хранятся только в оперативной памяти. Дальше все зависит от аккуратности операционной системы и клиентского приложения. Сам TrueCrypt ничего никуда не сохраняет. Но, если вы открыли Вордовский файл с зашифрованного диска и Ворд, вдруг, сохранил рабочюю копию на диск С — тут уж никакое шифрование вам не поможет…
                                0
                                Спасибо, теперь понятно. С удовольствием почитаем про другие истории.
                                  0
                                  почему никакое шифрование не поможет — поможет, если зашифровать и диск C: тоже
                                  +2
                                  Кто забыл размонтировать диск — тот лох, очевидно! :) Впрочем, есть опция размонтировать по включению скрин сейвера, неактивности, логофу и чемуто еще.

                                  Процесс монтирования занимает меньше секунды независимо от обьема диска.
                                    +1
                                    Монтирование происходит быстро. Так как используется шифрование «на лету», то системе нет необходимости что-то делать с данными на флешке до обращения к ним.

                                    > все данные можно вскрыть, если она была хоть раз открыта на чужом компьютере
                                    Можно, НО! при наличии этой флешки и пароля, при помощи которого данные зашифрованы.
                                    Так же можно в дополнение к паролю использовать свой файл, и во второй версии (кажется) можно привязаться к носителю, так что без пароля и флешки (просто скопировав) вскрыть данные не получится.

                                    > При монтировании диска считываются на компьютер все содержимое флешки во временные файлы?
                                    Нет. Если бы так происходило, то как бы Вы пользовались «большими» флешками? Допустим, я подключаю флешку на 32 GB и сколько мне ждать пока всё скопируется во временную папку? А если у меня нет такого объёма свободного места на системном разделе (где обычно и рахмещаются temp-диры)? Так что такой подход сейчас не используется и в будущем тоже мало вероятен.

                                    На «срок жизни» флешки это тоже не должно влиять (только если незначительно), так как данные пишутся как обычно, только байты немного другие и в другом порядке :). Просто на флешке лежит файл-образ, в котором данные зашифрованы, данные шифруются/расшифровываются «на лету», так что во временных файлах нет необходимости.
                                    Как-то тестил дома скорость работы Windows до шифрования и после. Шифровал полностью системный раздел с ОС, скорость записи осталась неизменной, скорость чтения немного упала, визуально изменения в скорости не заметны.
                                      0
                                      Сорри, про привязку к носителю попутал с другой программой :)
                                        0
                                        По идее должна была сильно упасть скорость рандомого чтения. Потому как шифруется всё это дело блоками, и не факт, что скорость перемещения головки по диску выше скорости декодирования. А для SSD потеря производительности будет ещё сильнее…
                                          0
                                          Она как раз и упала, но не очень сильно :)
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        +2
                                        По моему речь об этом и идёт. К примеру использовать такую флешку дома и на работе, а если вы потеряли её то можете особо не беспокоится о том что кто-то прочитает вашу информацию, да и будет время чтобы к примеру сменить ключи от вебмани или ещё что-то сделать :)
                                          +1
                                          Да, опция ввода пароля с навороченной экранной клавиатуры в этой программе не помешала бы.
                                            +1
                                            Да, все верно. Описанная технология не идеальна. С другой стороны, она перекрывает потребности в шифровании 90% пользователей. ИМХО.

                                            Скорее всего вы эту флешку будете совать только в свой комп. Просто при смене компа, ничего не нужно переустанавливать. Флешка автономна. В чужой же комп совать нужно с осторожностью. Но, к примеру, если на постороннем компе останется ваш пароль в кейлогах — не так страшно. Флешку то вы унесли.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                +6
                                                Ну да, ну да. Свое самое ценное куда попало совать не стоит. :) Глобальный принцип, кстати.
                                                  0
                                                  Ну флешка может быть не маленького размера и скопировать файл-образ может быть достаточно проблематично (место на винте + время), да и тормоза при обращении к флешке можно заметить и на всякий случай отключить её от подозрительного компьютера.
                                                0
                                                Тогда таскай с собой флешку с и antispyware, раз безопасность в ранг паранойи возведена. Если много по разным опасным местам ходишь. А про считыватель отпечатков-есть же такая. Только писали, что при утере/краже если сильно надо, то сканер отключается простым замыканием контактов. Нет же абсолютной безопасности. Автору спасибо, ссылки сохранил.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    +1
                                                    Если сделали флешку, которую можно «вскрыть» замыканием контактов, то это неправильная реализация.
                                                    Там есть принципиальная проблема: имеющееся ПО не умеет по отпечатку пальцев надёжно вычислять криптосткойкий хеш (да и неясно — возможно ли это вообще). Соответственно все без исключения биометрические системы (отпечатки пальцев, etc) работают одинаково: скан поступает в некую процедуру, она что-то делает и даёт ответ в один бит (пускать-не пускать). Соответственно достаточно во всей этой процедуре изменить один бит — и все секреты ваши!

                                                    В общем биометрия — полезна тогда, когда железо и софт под вашим контролем. Скажем пропуска, доступ к корпоративной сети, etc. Задача в точности противоположная обсуждаемой. Флешка же с биометрией — 100% рекламный трюк, защиты она, как правило, не даёт никакой.

                                                    P.S. У нас служба безопасности принудительно отключила сканеры отпечатков пальцев на тех ноутах, где они были — именно по вышеописанной причине. Так как вышеописанные простые истины CFO объяснить сложно, то все биометрические системы включат в себя доступ в домен по отпечатку пальца, а значит являются серъёзной угрозой безопасности.
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                        0
                                                        >Там есть принципиальная проблема: имеющееся ПО не умеет по отпечатку пальцев надёжно вычислять криптосткойкий хеш

                                                        Не понимаю. Пожалуйста, объясните в чем «принципиальность» проблемы. По уникальному отпечатку пальцев нельзя сгенерировать уникальное число?
                                                          +2
                                                          Невозможно каждый раз одинаково сканить палец, соответственно, придётся извлекать информацию из скана с потерей её части (генерализацией).
                                                            0
                                                            Причём беда тут в том, что информации остаётся — с гулькин нос: завитки туда или сюда, полоски плотнее/свободнее, etc. Ни о каких 128 битах речи не идёт…
                                                            0
                                                            По уникальному отпечатку пальцев нельзя сгенерировать уникальное число?
                                                            Да раз плюнуть. Только оно будет по настоящему уникальным: сколько бы раз вы после этого свой палек не сканировали — в систему вас не пустят.
                                                        0
                                                        А ведь есть с антивирусом встроенным:
                                                        Новые «флэшки» Buffalo с антивирусом Trend Micro
                                                        «Флэшки» SanDisk Cruzer с антивирусной защитой от McAfee
                                                        последние вроде бы от $20
                                                          +1
                                                          Интересно, встроенная защита тоже запускается через autorun.inf?
                                                          В таком случае, кто первый встал…

                                                          Кстати, и в статье autorun.inf используется по назначению, и часто упоминавшиеся на харбе способы защиты от вирусов не подойдут. Как быть? NTFS?
                                                            +1
                                                            Антивирусы эти, правда, что первый, что второй, то ещё оно.
                                                            +2
                                                            тогда уж проще таскать с собой лэптоп
                                                            +1
                                                            побороть можно любую защиту.
                                                            Для вас, думаю, не секрет, что смысл любой защиты в том, чтобы сделать затраты на взлом превосходящими выгоду от использования полученной информации. Так что разным типам данных своя защита.

                                                            Перефразируя ваш последний абзац «Описанную защиту можно использовать для хранения некритичных, но секретных данных, которые действительно серьёзно никто не будет взламывать».

                                                            Ну и вспоминая популярный комикс с xkcd — «кто-то действительно верит в полную защиту шифрованием?»
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                0
                                                                это скорее на случай, если флешку потеряешь или украдут — данные не попадут в чужие руки.
                                                                больше ничего :)
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                0
                                                                >По-моему, на флешке должен быть считыватель отпечатков, возможноть ввода PIN-кода или что-то подобное, а шифрование должно быть внутри устроства, иначе такая защита при таскании флешки по разным местам ненадежна.

                                                                Такие устройства существуют не первый день. Проблема в том, что устройства с аппаратным шифрованием(например, Kingstone DT Secure) весьма недешевы, а считыватели отпечатков, судя по обзорам и отзывам, ненадежны.
                                                                  0
                                                                  О чём и говорил выше — при наличии физ. доступа к устройству защита вскрывается, если руки из нужного места растут. При отсутствии — либо удалённом доступе: подобного рода защита является излишней/избыточной и простого шифрования, как у автора, является вполне достаточно. проблему же разного рода кейлоггеров и прочего spyware считаю надуманной именно из-за того, что если ты пользуешь защищенное устройство пренебрегая при этом элементарными правилами безопасности, то первая опасность потери ценной информации исходит от её биологического носителя, и информационная защита тут, увы, не поможет.
                                                                  0
                                                                  Вроде, на запуск кейлоггера ни особого опыта, ни средств, ни времени не надо?


                                                                  не панацея, конечно, но как дополнительная мера защиты на этот случай:
                                                                  кроме пароля можно использовать еще и keyfile один или несколько.
                                                                  +5
                                                                  Для таскания личной папки между работой и домом форматнул флэху в NTFS и воспользовался стандартным виндовым шифрованием. Потом перенёс сертификат шифрования на второй комп и всё. Правда, никакой кросс-платформенности, но зато быстро и без дополнительного софта. Чтобы можно было прочитать содержимое зашифрованных файлов на каком-либо третьем компе, можно положить сертификат в архив под пароль.
                                                                    0
                                                                    Интересное решение. Но, получается, без сертификата к данным не попадешь. Т.е. нету не только кросплатформенности, но и просто переносимости на произвольный комп.
                                                                      0
                                                                      Экспорт сертификата. Возможно, в архив под пароль. Написано ведь ;)
                                                                        0
                                                                        тогда можно и все данные в архив под пароль.
                                                                        Хотя в этом случае у пользователей не-вин появится доступ :)
                                                                          0
                                                                          Тогда придётся постоянно запаковывать/распаковывать. Муторно это. А так вообще ничего делать не надо — вставил и работай, даже пароль вводить не нужно. Сертификат на работе импортируется для своего пользователя, если пользователей несколько, а приватный ключ не помечается, как разрешённый к экспортированию. Получается молчаливое прозрачное шифрование :)
                                                                            0
                                                                            конечно, так лучше. Да и правильнее — именно так и задумано.

                                                                            Но если взломают пароль к архиву и извлекут из него сертификат, то тогда смогут просмотреть данные на любой машине, верно?
                                                                              0
                                                                              Верно, но:
                                                                              а) я этот архив постоянно не таскаю, ибо мне незачем шифровать то, что может понадобится в «общественном» месте
                                                                              б) не видел ни одного подборщика, подбирающего пароль, включающий спецсимволы ;) (копирайты, там, всякие и т.д.)
                                                                        0
                                                                        собственно tc тоже не везде стоит по умолчанию
                                                                          0
                                                                          Никто не мешает в незашифрованном виде таскать 7-Zip. Хотя я предпочитаю portable-FAR + распаковщики :)
                                                                        0
                                                                        Денис, вы вот напишите свой рецепт отдельным топиком. А мы его обсудим :) Мне на самом деле интересно.
                                                                          +1
                                                                          Есть много материалов по этой теме, например, вот: неплохая лаконичная статья. Делать «перепечатки» 1:1 я не любитель :)
                                                                          А обсудить можно и тут, %subj% то про TrueCrypt ничего не говорит :)

                                                                          Кстати, насчёт архива под паролем: на сертификат тоже можно пароль установить, без ввода которого его нельзя импортировать и, соответственно, использовать.
                                                                            0
                                                                            Спасибо за ссылку. Посмотрел и ответил вам в пост скриптуме к статье.
                                                                              0
                                                                              Насчёт «Зашифрованные файлы доступны все время». У меня на рабочей машине это очень просто обойдено: сертификат шифрования импортирован в учётку локального админа, а работаю я под учёткой, входящей в домен. Если нужно получить доступ к зашифрованным данным — правой кнопкой на ярлычке FAR'а → «Запуск от имени...». Также все процессы, в дальнейшем порождённые этим FAR'ом, будут иметь доступ к зашифрованным данным, но не процессы просто текущего пользователя.
                                                                                0
                                                                                хитрО.

                                                                                К сожалению это не решает главной проблемы — названия файлов видны всем.
                                                                                  0
                                                                                  Зато решает вторую из послесловия ;)
                                                                        0
                                                                        самое «интересное», что удалением зашифрованного файла — теряем все данные.
                                                                        нужно позаботиться об этом.
                                                                          +2
                                                                          Ну, так на то нам даны знания как делать бэкапы. Флешка по любому ненадежное хранилище. Потеряеш или молния ударит. Мало ли…
                                                                          0
                                                                          Дисковой утилитой на маке можно создать том, зашифрованный AES-128, поместить его на флешку и пользоваться.
                                                                            0
                                                                            Помню, как когда-то подобной утилитой убил свою первую флэшку, когда она форматировалась. Было обидно.
                                                                              +1
                                                                              Странный пост. Не ужели посетители хабра не смогут самостоятельно разобраться с примитивнейшем визардом?

                                                                              Я бы сократил пост до такого состояния:
                                                                              Скачайте TrueCrypt и воспользуйтесь Volume Creation Wizard
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  +1
                                                                                  Вы знаете, уже после того, как я идентифицировал TrueCrypt, как подходящее мне приложение, мне понадобилось около одного вечера чтобы разобраться как что работает, поэксперементировать сначало с файлом на диске, потом на флешке. Понять какой алгоритм шифрования и хеширования наиболее подходящий, найти ответы в доках на многие вопросы что тут обсуждаются и.т.д.

                                                                                  Мне показалось, что мой опыт будет интересен некоторым пользователям Хабра. Если вам это не интересно — извините.
                                                                                    +1
                                                                                    Согласен, имхо визард на то и визард, чтобы даже идиот понял!
                                                                                    0
                                                                                    у меня на флешке хранились ключи на шифрованные разделы… хранился тот же TrueCript… полетела… обидно( единственные недостатки флешки — «сломать и потерять»
                                                                                      0
                                                                                      надо было копию ключей держать в сейфе :) Еще данные на флешке зачастую можно восстановить.
                                                                                        0
                                                                                        можно, восстанавливала раньше на ней же, но тут случай клинический.
                                                                                        Да ладно, мне кусочек в 256 метров на винте не особо критичен. А копию да — надо. Причем такие привычки обычно приобретаются после того, как все полетит :)
                                                                                      +3
                                                                                      Для меня такая постановка задачи совсем не очевидна — в частности, требование к автономности флэшки:
                                                                                      если компьютер ваш — зачем автономность?
                                                                                      если не ваш, то что мешает злоумышленнику просто сливать к себе всё содержимое, когда вы введёте пароль? Да и не каждый пользователь даст вам запускать с вашей флешки приложения.

                                                                                        0
                                                                                        Ответил вам в пост скриптуме к статье.
                                                                                        +1
                                                                                        А как будет работать на маке? Да, знаю, что кроссплатформенный truecrypt, но будет ли указанный способ работать и для мака и для писюка? Если кто смог протестить, отпишитесь пожалуйста. Ближе к вечеру сам проверю и отпишусь об результатах.
                                                                                          +1
                                                                                          да и еще одно дополнение… в большинстве случаев в групповых политиках в большинстве доменов отключается автозапуск с флешек… и этот способ становится еще и не удобным потому как вручную постоянно монтировать виртуальный жесткий диск не удобно…
                                                                                          +2
                                                                                          единственная проблема в том, что если вы вставите флешку в комп который работает не из под админа, а гостя например, что довольно расспростраенное в универах, библиотеках, комп.клубах, то флешка не смонтируется так как не достаточно прав
                                                                                            0
                                                                                            1. странно вы пишете — флешка должна работать без установки доп. софта (я понмаю речь о доступе к зашифрованным данным), и следующим абзацем ставите true crypt.
                                                                                            2. по сути с такой флешкой вы защищены только от того что злоумышленник получит доступ к данным если ее у вас выкрадет или вы ее просто потеряеете. Т.е. если у вас троян то такое шифрование не поможет.
                                                                                            3. >> Сам факт использования шифрования не будет секретным.
                                                                                            Как раз специально для этого есть hidden volume и шифрование партиций/девайсов
                                                                                            4. И еще гемор получается с ручным бекапом флешки

                                                                                              +1
                                                                                              Актуальный вопрос. Как подружить ее с программой Autostop 2.1, которая запрещает запуск autorun.ini?
                                                                                                –12
                                                                                                А я бы на месте соотв органов — вносил бы в черный список и внимательно изучал всех кто пользуется шифрованными флешками, шифрованными соединениями и скачивает такие программы. На всякий случай, ведь если прячут, значит есть что прятать!!!

                                                                                                p.s В комментах какие-то дети: «а что делать, если запрещен автозапуск» — ну ё моё, разрешите, или запустить программу руками. куда катится Хабр!!!

                                                                                                p.p.s если не под админом не работает, то плохо(( нафиг такую программу

                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    –1
                                                                                                    Поэтому предлагают не сразу сажать, а внимательно изучать.

                                                                                                    Вообще, мне кажется, общество должно созреть до такого состояния, чтобы такая защита личной информации была естественным явлением, как замок на двери. Иначе действительно получится как раньше было в деревнях: «Вон у Степаныча видали какой замок? Жадный, небось.»
                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                        0
                                                                                                        Да на каком угодно, разве это запретишь?
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            0
                                                                                                            Ну не хватало ещё телефоны слушать без повода. Можно ведь и у подъезда постоять или по месту работы справки навести.
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      +1
                                                                                                      >>На всякий случай, ведь если прячут, значит есть что прятать!!!
                                                                                                      а если у меня там альбом с личными фотографиями? Или корпоративные логи? Может сразу тогда все в интернет выложить?

                                                                                                      Даже если не рассматривать Конституцию, то может быть у человека что-то личное? Или у нас каждый второй, пользующийся шифрованием занимается чем-то незаконным и его надо срочно сдавать властям?

                                                                                                      Извините, а у вас на работе не шифруется переписка? Джаббером вы не пользуетесь? По вашей логике, каждый человек, который пользуется джаббером — преступник, так как там есть шифрование.

                                                                                                      защищенное соединение в беспроводных сетях — вещь необходимая, иначе все ваши пароли будут перехватываться на ура. Оно вам надо?
                                                                                                        0
                                                                                                        Альбом с фотографиями и корпоративные логи можно хранить на сервере, просто закрыв доступ паролем. Пароль, конечно можно шифровать, но сами передаваемые и хранимые данные ни к чему, частные лица не имеют доступа к каналам связи, а от государства, я надеюсь, вам и вашей корпорации прятать нечего??? Или вы может быть не доверяете нашему государству????? Государство — это все мы)) И если ваши помыслы чисты, вам нечего пряттать от людей)

                                                                                                        Что значит сдать властям? Вас никто не сдает. Просто храните свои данные так, чтобы в случае чего их можно было проверить. А то кто вас знает, может вы араб-фундаменталист, терракт готовите. Или британский шпион. Сегодня ведь каждый готов родину продать за валюту, у молоджежи нет никаких идеалов((

                                                                                                        > защищенное соединение в беспроводных сетях — вещь необходимая, иначе все ваши пароли будут перехватываться на ура. Оно вам надо?

                                                                                                        Конечно, надо, но только средствами протоколов Wi-Fi и только до точки доступа.

                                                                                                        p.s. Вы хоть не воспринимайте всерьез, это стеб)) Но если шифрование станет масовым, могут и меры какие-то принять. например в США в свое время пытались протолкнуть схему шифрования с сохранением ключей у третьей стороны (читай у правительства).
                                                                                                        0
                                                                                                        да, и еще… вы бы обрадовались, если бы ваши личные вещи уплыли в интернет?
                                                                                                        0
                                                                                                        Не читал все комментарии, поэтому не знаю упоминалось ли тут, но если отформатировать флэшку в NTFS, то можно использовать такую возможность этой файловой системы как alternate data stream (ADS). Не уверен умеют ли работать другие ОС с альтернативными потоками NTFS, и возможно после этого потеряется вся кроссплатформенность решения, но зато можно существенно повысить защищённость, скрыв сам факт наличия защищаемых данных.
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            0
                                                                                                            Возможно я не совсем закончил свою мысль. Следовало бы упомянуть контейнер с зашифрованными данными, который можно зашить в ADS.
                                                                                                            0
                                                                                                            Это больше стеганография, чем криптография. Да и засовывать шифрованный контейнер в ADS стрёмно: неверное движение и фьють! защищать уже нечего.
                                                                                                            0
                                                                                                            В Windows 7 внедрен «BitLocker to Go», для шифрования флешек. Как оно работает показывали на ТехНете — вроде достаточно красиво, полностью прозрачно и с возможностью настройки автоматического шифрования подключаемых флешек через доменные политики (актуально для админов, терроризируемых параноидальными СБ). Минусы — невозможность записывать на флешку на системе с виндой ниже семерки и нулевая кроссплатформенность.
                                                                                                              0
                                                                                                              Но читать можно точно на XP. Сам видел демонстрацию на TechDays.
                                                                                                                +1
                                                                                                                лично я не доверяю M$-у в плане безопасности своих данных, тем более с учетом ихних законов о сильных технологиях…
                                                                                                                  –2
                                                                                                                  Только ГОСТу доверяете?
                                                                                                                    0
                                                                                                                    ГОСТ — открытый стандарт хотябы. Его алгоритм проверен временем и использует распросраненную и проверянную временем модель. Лучше ГОСТ, чем «это крутой алгоритм, мы его долго делали, в итоге пришли к тому что xor идеально подходит по характеристикам скорость\секьюрность».

                                                                                                                    Кроме того, у виндовс дааавно проблемы с ГПСЧ наблюдались… и вообще с безопасностью.
                                                                                                              +1
                                                                                                              Флешка должна работать автономно, без установки на компьютер какого либо софта.
                                                                                                              Без админских прав это работать не будет
                                                                                                                0
                                                                                                                Шифрование это хорошо. Меня интересует безопастность и возможность дешифровки(насколько я могу доверять такому шифрованию). Какая производительные мощностя необходимы для дешифровки. У меня создан раздел, шифрован алгоритмом AES.
                                                                                                                  0
                                                                                                                  Сделал все по инструкции, но генерация уж очень долгая, спасибо за статью.
                                                                                                                    –1
                                                                                                                    а файл образа постоянно будет ВЕСЬ перезаписываться?
                                                                                                                      0
                                                                                                                      Кингстоновский вариант для богатых.
                                                                                                                        0
                                                                                                                        А можно с помощью этого софта сделать не полностью зашифрованную флешку, а только часть ее?
                                                                                                                          0
                                                                                                                          ну да, укажи поменьше места остальное будет без шифра
                                                                                                                          +4
                                                                                                                          пиздееец, ничего более очевидного, чем создание зашифрованного диска в TrueCrypt, ещё не видел. Зато хабрахуй удлинил.
                                                                                                                            +1
                                                                                                                            Аналогичная инструкция для пользователей GNU/Linux с использованием встроенных средств.
                                                                                                                            Примечания:
                                                                                                                            1. sdXY — какой-либо _уже_ имеющийся раздел, который будем шифровать;
                                                                                                                            2. установка пакетов — для deb систем, но в других дистрибутивах делается аналогичным образом;
                                                                                                                            3. файловую систему в соответствующих командах можно поменять по вкусу :-)
                                                                                                                            4. В командах вроде ошибок быть не должно, но всё равно, думайте, прежде чем что-то делать, тем более от рута.
                                                                                                                            5. не забываем, что бэкапы — наше всё (особенно перед подобными манипуляциями с данными)
                                                                                                                            6. ABSOLUTELY NO ANY WARRANTY :-)
                                                                                                                            > sudo su
                                                                                                                            > modprobe dm-crypt
                                                                                                                            > apt-get install dmsetup cryptsetup cryptmount fuse-utils
                                                                                                                            > mkfs -t ext3 /dev/sdXY
                                                                                                                            > dd if=/dev/urandom of=/dev/sdXY
                                                                                                                            > cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/sdXY

                                                                                                                            YES< вводим пароль для шифрования и подтверждаем его — при забытом пароле восстановить данные будет невозможно
                                                                                                                            > vim /etc/crypttab
                                                                                                                            < добавляем:
                                                                                                                            flash /dev/sdXY none luks,cipher=aes-cbc-essiv:sha256
                                                                                                                            :wq
                                                                                                                            > /etc/init.d/cryptdisks restart
                                                                                                                            < вводим пароль для разблокирования раздела
                                                                                                                            > mkfs -t ext3 -L CRYPTUSB /dev/mapper/flash
                                                                                                                            > mkdir /mnt/crypt_flash
                                                                                                                            > mount -t ext3 /dev/mapper/flash /mnt/crypt_flash
                                                                                                                            Готово — работаем с зашифрованным разделом на флэшке.
                                                                                                                            Добавленную строку из /etc/crypttab после манипуляций можно удалить, как и директорию /mnt/crypt_flash
                                                                                                                            Теперь каждый раз при подключении флэшки(причём не только к своей системе), если ядро Linux в системе собрано с поддержкой модуля dm_crypt (в большинстве дистрибутивов есть из коробки) и в DE настроено автомонтирование, то просто будет запрашиваться пароль, и, если он введён корректно, флэшка будет монтироваться в /media/CRYPTUSB.
                                                                                                                            Пару лет использую подобный метод(и не только на флэшках, но и на хардах некоторые разделы закриптованы) — полёт нормальный, никаких сбоев или дефектов замечено не было — доволен, задержек из-за шифрования при работе с файлами не замечаю.
                                                                                                                              +1
                                                                                                                                –1
                                                                                                                                ога. прописали в авторан d:\datafile.tc
                                                                                                                                а если воткнуть флеху в другой комп с большим кол-вом дисков и где диск д уже есть, то авторан не работает.
                                                                                                                                  0
                                                                                                                                  попробуй просто datafile.tc
                                                                                                                                  0
                                                                                                                                  Спасибо, Aleco, начал сегодня испытания.
                                                                                                                                    0
                                                                                                                                    Итак мы имеем флешку, которая… готова к работе на любом, даже неподготовленном компьютере. Не совсем: обнаружил, что на ПК без прав администратора TrueCrypt не может установить свой драйвер, а значит не запускается.
                                                                                                                                      0
                                                                                                                                      Программа об этом предупреждает на 2-ом шаге.
                                                                                                                                      0
                                                                                                                                      Блин, куда картинки делись?

                                                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                      Самое читаемое