Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Открыть новую тему     Написать ответ в эту тему

GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем зашифровать данные на диске

Текущая версия: 1.24-Update7 (от 7 августа 2020 г.)
Онлайн-документация | История версий

Бесплатная программа с открытым исходным кодом для шифрования данных «на лету» в компьютерах под управлением Windows, macOS и Linux.
VeraCrypt базируется на исходном коде программы TrueCrypt 7.1a, среди основных отличий — поддержка российской криптографии, увеличенное число итераций (более надёжное шифрование), поддержка шифрования EFI-систем. Поддерживаются тома и разделы, созданные с помощью TrueCrypt версий 6.x/7.x.


Подводные камни
Неактуальное (касающееся устаревших версий)

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 20:12 31-01-2016 | Исправлено: gjf, 11:13 19-03-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
Если к злоумышленник тайно получит доступ к пк, то сможет установить в загрузчик буткит...

TPM же ну и это

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 15:34 17-01-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
TPM же ну и это  

Там я все прочёл и не только эту статью  
К сожалению все не так радужно. TPM часто не поддерживается в дешевых мамках и ноутах. Но, даже если поддерживается уже существует обход, например, загрузка на включенном secureboot линукса с флешки, т.к. часто в nvram присутствует ключ MS, который тоже является валидным. Т.о. если все файлы efi и буткит подписать ключом MS, то загрузка все равно будет выполнена. И даже это не предел    

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 12:19 18-01-2021
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich
Тут злоумышленник должен быть весьма знающим, чтоб вынуть ключ.
1. Secure boot - подпись с цепочкой выходящей на ROM проца.
2. Measured boot - ключ извлекается из TPM только если все загружаемые модули без изменений
3. Второй ключ может быть на внешней флэшке
4. Пароль будет запрошен только если все ключи из TPM и флэш ок  
 
Проблема есть с передачей пароля в систему в момент загрузки, но это решается шифрованием скрытого раздела EFI

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 15:23 18-01-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
решается шифрованием скрытого раздела EFI

Что-то у меня не получилось его зашифровать..
 
Намного надежней и проще после шифрования системного раздела при включении восстанавливать все данные на esp целиком. Тогда даже если буткит будет на нём, то он будет затёрт. Вручную это сделать 5 сек. А вот написать бут-скрипт я не умею. Найти бы где мануал, как выполнять код в efi, я б чего-нибудь нацарапал.
 
1. В цепочке несколько ключей, но смысла в них нет, если реализуется алгоритм обхода.
Все последние Linux-системы это умеют.

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 16:16 18-01-2021
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich
Почитайте это https://sourceforge.net/p/veracrypt/discussion/technical/thread/aaeeb26b/
 
Там несколько простых доков сделали. Идея скрытия - подмена разметки диска и в частности скрытие и шифрование EFS

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 16:21 18-01-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
TPM часто не поддерживается в дешевых мамках и ноутах.

Ну дык...

Цитата:
Но, даже если поддерживается уже существует обход, например, загрузка на включенном secureboot линукса с флешки, т.к. часто в nvram присутствует ключ MS, который тоже является валидным.

https://uefi.org/revocationlistfile - свежий скачайте + добавьте недоверенные загрузчики в чёрный список.

Цитата:
Т.о. если все файлы efi и буткит подписать ключом MS, то загрузка все равно будет выполнена.

Подписывайте загрузчик своим сертификатом и нет проблем (хотя их и так нет т.к. есть TPM).

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 23:22 18-01-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Подписывайте загрузчик своим сертификатом

Генерация своего сертификата и запись его в nvram не гарантирует защиту от загрузки с сертификатом от ms.

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 10:16 19-01-2021
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
 Генерация своего сертификата и запись его в nvram не гарантирует защиту от загрузки с сертификатом от ms.

Там можно прописать набор хешей допустимых загрузчиков т.е. в списке db не только открытые ключи, а прямо хеш модуля. Проблема будет с обновлением только

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 10:45 19-01-2021
A1eksandr1



Модератор
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть такое понятие: скомпрометирован.
Если к вашему ПК имел доступ посторонний человек - работать на нём с конфиденциальной информацией уже нельзя, ибо могут быть как программные так и аппаратные закладки любых мастей и уровня сложности.
VeraCrypt не является средством защиты от атак, о чём в инструкции заявлено. Это просто очень хороший криптор. Потеряли или украли зашифрованный носитель информации - можно быть спокойным за свои данные, если конечно шифровали грамотно, - вот его назначение.
Всё остальное - это уже не к VeraCrypt вопросы.

Всего записей: 6701 | Зарегистр. 10-12-2007 | Отправлено: 11:42 19-01-2021
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
A1eksandr1

Цитата:
Есть такое понятие: скомпрометирован.  

В целом согласен, но есть практика,  в поездках не 24 на 7 ноут рядом. Надо усложнять жизнь. То, что Интел не вполне гарнирует корень доверия  - это понятно. VC предлагает достаточно для построения цепочки доверия от  биос. Дальше выбор производителя ноута и контроль платформы, но не уверен, что это возможно для широкого круга пользователей.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 12:14 19-01-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Там можно прописать набор хешей допустимых загрузчиков т.е. в списке db не только открытые ключи, а прямо хеш модуля. Проблема будет с обновлением только

А что за db ? Этот db доступен из efi на запись?
 
Добавлено:

Цитата:
скомпрометирован

Речь о том случае, когда пользователь об этом ещё не знает, а ПК уже включил.

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 13:21 19-01-2021
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
 А что за db ? Этот db доступен из efi на запись?  

db это про secure boot. там цепочка ключей. корневой сертификат PK(само подписан), сертификат kek (на PK), db список разрешенных сертификатов и хешей модулей(подписан на КЕК), dbx отозванные(подписан на КЕК)

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 13:38 19-01-2021 | Исправлено: kavsrf, 13:39 19-01-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
Генерация своего сертификата и запись его в nvram не гарантирует защиту от загрузки с сертификатом от ms.

Конечно гарантирует т.к. загрузчика с сертификатом MS просто не будет.
 
A1eksandr1

Цитата:
Если к вашему ПК имел доступ посторонний человек - работать на нём с конфиденциальной информацией уже нельзя, ибо могут быть как программные так и аппаратные закладки любых мастей и уровня сложности.

Это основы, да.
 
Vasylich

Цитата:
Речь о том случае, когда пользователь об этом ещё не знает, а ПК уже включил.

Криптография тут вообще ни причём.
 
kavsrf

Цитата:
корневой сертификат PK(само подписан)...

CA может быть второго уровня т.ч. он уже не будет самоподписанным.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 14:03 19-01-2021
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
 CA может быть второго уровня т.ч. он уже не будет самоподписанным.


Цитата:
 корневой сертификат PK(само подписан)...  

 
Это как устроена технология EFI secure boot т.е. PK может вшит, а может быть custom mode

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 14:43 19-01-2021
Agych

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После начала пользования VC и зашифровыванию нескольких не-ОС дисков в компе, начались проблемы со сном\гибернацией - каждый раз перед уходом в один из этих режимов, комп ждёт минут так 5 непонятно чего, и уже потом начитает спать \ входить в гибернацию.
Кто-нибудь сталкивался в подобным? Куда копать?
ОС: Win7 SP1 x64

Всего записей: 255 | Зарегистр. 04-02-2018 | Отправлено: 14:16 03-02-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:
Речь о том случае, когда пользователь об этом ещё не знает, а ПК уже включил.
WildGoblin
Криптография тут вообще ни причём.  

Непосредственно не причём. Но логика её работы ещё как причём.
 
Добавлено:

Цитата:
Vasylich
 
Цитата:
Генерация своего сертификата и запись его в nvram не гарантирует защиту от загрузки с сертификатом от ms.
 
Конечно гарантирует т.к. загрузчика с сертификатом MS просто не будет.  

А куда он денется?  
 

Цитата:
 
A1eksandr1
 
Цитата:
Если к вашему ПК имел доступ посторонний человек - работать на нём с конфиденциальной информацией уже нельзя, ибо могут быть как программные так и аппаратные закладки любых мастей и уровня сложности.

Ну-ну, от аппаратных закладок можно вполне подстраховаться и легко понять, что доступ был. А вот с программными есть проблемы. Оптимально автоматически затирать esp и возвращать тот, что был при оставлении.

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 14:45 03-02-2021 | Исправлено: Vasylich, 17:39 03-02-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
Непосредственно не причём. Но логика её работы ещё как причём.

Не в этот топик тогда.

Цитата:
А куда он денется?

Я его уберу и заменю загрузчиком со своим сертификатом.

Цитата:
Ну-ну, от аппаратных закладок можно вполне подстраховаться и легко понять, что доступ был.

Вот уж совсем не легко.
 

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 19:37 03-02-2021
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А ядро винды вы как подпишете?
Ну и бонусом невозможность загрузки с NVME, потому что как подписать прошивку накопителя - хрен знает.

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 22:16 03-02-2021 | Исправлено: Dart Raiden, 22:17 03-02-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden

Цитата:
А ядро винды вы как подпишете?

А зачем мне его подписывать (мы же тут про FDE/SecureBoot говорим)?

Цитата:
Ну и бонусом невозможность загрузки с NVME, потому что как подписать прошивку накопителя - хрен знает.

Я пока не использую NVMe и потому не знаю и не интересуюсь особо (но если что-то узнаете, то напишите пожалуйста!).

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 09:35 04-02-2021
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
 
Попробуйте переподписать bootmgfw.efi. Будет некоторое удивление... Кроме оно еще стартует ядро тоже.
 
Dart Raiden
 
по внешние модули - это не так страшно. можно хеши, но только сами модули вытаскивать из прошивки NVMe

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 11:28 04-02-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru