Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Открыть новую тему     Написать ответ в эту тему

GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем зашифровать данные на диске

Текущая версия: 1.24-Update7 (от 7 августа 2020 г.)
Онлайн-документация | История версий

Бесплатная программа с открытым исходным кодом для шифрования данных «на лету» в компьютерах под управлением Windows, macOS и Linux.
VeraCrypt базируется на исходном коде программы TrueCrypt 7.1a, среди основных отличий — поддержка российской криптографии, увеличенное число итераций (более надёжное шифрование), поддержка шифрования EFI-систем. Поддерживаются тома и разделы, созданные с помощью TrueCrypt версий 6.x/7.x.


Подводные камни
Неактуальное (касающееся устаревших версий)

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 20:12 31-01-2016 | Исправлено: gjf, 11:13 19-03-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:
Я его уберу и заменю загрузчиком со своим сертификатом.  

А точно уберёте?
 
 
Добавлено:

Цитата:
Dart Raiden
А ядро винды вы как подпишете?
Ну и бонусом невозможность загрузки с NVME, потому что как подписать прошивку накопителя - хрен знает.
Правильно ли я понял, что генерация своего сертификата и замена им встроенного не позволит установить и загрузить Windows ?  Т.е. теряется смысл в FDE как таковой?

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 13:48 04-02-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Попробуйте переподписать bootmgfw.efi.

Зачем туда лезть - разве \EFI\Boot\BOOTX64.EFI не достаточно?
 
Добавлено:
Vasylich

Цитата:
А точно уберёте?

А вы точно знаете про что говорите? Если да, то насколько точно?

Цитата:
Т.е. теряется смысл в FDE как таковой?  

лол

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 16:21 04-02-2021
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
 Зачем туда лезть - разве \EFI\Boot\BOOTX64.EFI не достаточно?  

Логика загрузки обычно чуть другая. bootx64 стартует если выбрана загрузка с устройства(диска) и на архитектуре х64. Если выбирается стандартная менюшка с виндой, то запускается bootmgfw (хотя часто это одно и тоже) посмотрите, что у вас прописано BootOrder и BootNNNN (bootice или efibootmgr)

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 19:27 05-02-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
bootx64 стартует если выбрана загрузка с устройства(диска) и на архитектуре х64.

А с чего ещё может быть загрузка? У меня efi\boot\bootx64.efi на всех загрузочных источниках есть...

Цитата:
Если выбирается стандартная менюшка с виндой, то запускается bootmgfw...

Это понятно, но мы вроде же про другое?

Цитата:
...посмотрите, что у вас прописано BootOrder и BootNNNN (bootice или efibootmgr)

bootmgfw конечно.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 18:57 06-02-2021
pricego

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята привет!
 
У меня есть очень важный вопрос.
У меня есть  контейнер, созданный VeraCrypt...
Жесткий диск сдох...  я хочу файлы с него восстановить.
 
Если вдруг часть контейнера будет повреждена, программа сможет его хотя бы открыть?
 
Или если контейнер хоть на 1 байт поврежден, больше егл никак не открыть?
 
Подскажите...

Всего записей: 1 | Зарегистр. 08-02-2021 | Отправлено: 04:19 08-02-2021
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
А зачем мне его подписывать (мы же тут про FDE/SecureBoot говорим)?
 

Затем, что цепочка доверия же.
Загрузчик VeraCrypt -> загрузчик Windows -> ядро Windows
 
Насколько я понимаю, каждая из этих сущностей должна быть подписана доверенным издателем (а доверенность определяется тем, что в настройках SecureBoot). Если вы удаляете всё добро от MS из прошивки, то загрузчик и ядро Windows будут рассматриваться как недоверенные (и загрузка происходить не будет), пока вы их не подпишете своим ключом.
 
Поэтому меня заинтересовало, как при включённом SecureBoot планируется избавиться в прошивке от всего, связанного с MS, и при этом сохранить возможность загрузки Windows.
 
Vasylich

Цитата:
Правильно ли я понял, что генерация своего сертификата и замена им встроенного не позволит установить и загрузить Windows ?

Нужно не заменять. А добавлять свой. Чтобы подписать загрузчик VeraCrypt. Тогда будет грузиться всё, что подписано вашим ключом И всё, что подписано ключами MS.
 
Какой смысл в удалении сертификатов MS, но при этом продолжении пользования виндой? "Я не доверяю MS, поэтому удаляю их сертификаты, но продолжаю доверять Windows". Это абсурдно. Если вы не доверяете MS, то удаляете всё, связанное с MS и пользуетесь Linux, где подписываете всё своим ключом, а не вот так на полшишечки.
 
При этом, если вы не готовы подписывать прошивки оборудования, то один из сертификатов MS придётся оставить (тот, которым повсеместно подписаны прошивки).

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 11:17 08-02-2021 | Исправлено: Dart Raiden, 11:40 08-02-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden

Цитата:
Загрузчик VeraCrypt -> загрузчик Windows -> ядро Windows

Нет, цепочка SB заканчивается на WBM:
"When power is turned on, the system must start executing code in the firmware and use public key cryptography as per algorithm policy to verify the signatures of all images in the boot sequence, up to and including the Windows Boot Manager."

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 13:55 08-02-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Dart Raiden

Нужно не заменять. А добавлять свой. Чтобы подписать загрузчик VeraCrypt. Тогда будет грузиться всё, что подписано вашим ключом И всё, что подписано ключами MS.
 
Какой смысл в удалении сертификатов MS, но при этом продолжении пользования виндой? "Я не доверяю MS, поэтому удаляю их сертификаты, но продолжаю доверять Windows". Это абсурдно. Если вы не доверяете MS, то удаляете всё, связанное с MS и пользуетесь Linux, где подписываете всё своим ключом, а не вот так на полшишечки.
 
При этом, если вы не готовы подписывать прошивки оборудования, то один из сертификатов MS придётся оставить (тот, которым повсеместно подписаны прошивки).

Вот тут и есть основная проблема. Есть ноутбук W10 с FDE. Всё работает. Предположим, что на время потерян контроль над ноутбуком, ну оставил в офисе, когда народу там куча шлялась, на следующий день приходишь, вроде все на месте. Никаких следов вскрытия и доступа к железу нет. Осталось понять, был ли доступ к UEFI, поскольку потенциально, если ключ M$ сохранен рядом со своим ключом, то есть вероятность загрузки с флешки и установки буткита в цепочку MS, который при запуске ОС хозяином ноута может получить доступ к памяти ОС и сохранить ключ в виде файла на esp. И в следующий раз уже ноут просто уйдет с доступом ко всей инфе на зашифрованном диске.
   На mbr такое не прокатит. Если ключ и загрузчик вынесен на флешку, то на харде все зашифровано. Любой буткит не будет иметь смысла, т.к. на его месте предполагается конкретный код. Т.о. это приведет к невозможности расшифровки и сигналу о попытке доступа в твоё отсутствие. Загрузчик можно вернуть стандартной операцией в DC, например, и загрузиться, если больше ничего не сломано. В случае с UEFI, ESP практически вне контроля пользователя и буткит вполне реален.  
 
 
 
Добавлено:
Кстати, при желании, даже сгенерированный ключ и добавленный в nvram можно сдампить разобрав ноут. Поэтому вариант только один - забирать загрузчик и ключ всегда с собой.
А когда возвращаешься, то первым делом возвращать в ноут ESP со всем ТВОИМ содержимым и ТВОЙ NVRAM, а уже потом выполнять загрузку системы. Интересно, а coreboot поддерживает загрузку с mbr или нет?

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 18:20 08-02-2021 | Исправлено: Vasylich, 18:33 08-02-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
...то есть вероятность загрузки с флешки и установки буткита в цепочку MS...

TPM не даст этого сделать.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 19:53 08-02-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
WildGoblinTPM не даст этого сделать.

В моём ноуте его нет.
 

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 09:42 09-02-2021
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pricego

Цитата:
Если вдруг часть контейнера будет повреждена, программа сможет его хотя бы открыть? 
Или если контейнер хоть на 1 байт поврежден, больше егл никак не открыть?

вам не проще его восстановить и попробовать? ведь факт поломки уже случился и вы не знаете, поврежден контейнер или нет. и все равно попытаетесь его открыть.
область, где хранятся ключи, находится в первых 128кб, с резервной копией в последних 128кб
https://sourceforge.net/p/veracrypt/discussion/technical/thread/61fdf9c0/
https://security.stackexchange.com/questions/128197/how-robust-is-a-veracrypt-container-against-disk-errors-bit-rot

Всего записей: 11646 | Зарегистр. 20-09-2014 | Отправлено: 09:46 09-02-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
В моём ноуте его нет.

Тогда вам лучше не оставлять его без присмотра.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 16:47 09-02-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Тогда вам лучше не оставлять его без присмотра.
Так-то - да, но как всегда есть "но". Поддержка mbr - вот что достаточно надёжно закрывает эту часть цепочки безопасности.  

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 18:29 09-02-2021 | Исправлено: Vasylich, 18:30 09-02-2021
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vasylich

Цитата:
Поддержка mbr - вот что достаточно надёжно закрывает эту часть цепочки безопасности.

Аппаратный кейлогер, камера модифицированная, дёрнуть ноут из рук когда он будет разблокирован - про это всё можно долго говорить и всё это IMHO будет офтопом.
 
(Может стоит где-то в Тестировании/Андеграунде попробовать организовать топик где обсуждать всякое такое - комплексное?)

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 19:00 09-02-2021
Vasylich

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Цитата:
Аппаратный кейлогер, камера модифицированная, дёрнуть ноут из рук когда он будет разблокирован - про это всё можно долго говорить и всё это IMHO будет офтопом.  
. Аппаратные утечки при надлежащем подходе можно с высокой степенью вероятности обнаружения отслеживать. Дёрнуть ноут из рук не даст эффекту, достаточно  флешку с ключом на цепочке к запястью примкнуть и установить скрипт автошутдаун. Делается на коленях за 5 минут.
 
 
 
Добавлено:

Цитата:
(Может стоит где-то в Тестировании/Андеграунде попробовать организовать топик где обсуждать всякое такое - комплексное?)

Хорошо бы обсудить как veracrypt создает цепочку подписей к загрузчику и почему при переносе esp с veracrypt на флешку винда не грузится. И это вообще всех криптопрограмм касается. И, в частности, Veracrypt. Какую тему для этого создать предлагаете?

Всего записей: 103 | Зарегистр. 19-07-2003 | Отправлено: 13:07 10-02-2021
bigshort

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 18 | Зарегистр. 11-01-2021 | Отправлено: 17:35 10-02-2021
mleo

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Кто то в суе вспоминал про Trusted Platform Module (TPM)
 
https://xakep.ru/2021/01/18/tpm-bitlocker/
 
Добавлено:
 
 
bigshort
 
С наружи посмотреть на раздел С ?
Попробовать открыть шифрованный раздел при помощи live-os с VC на борту?

Всего записей: 4672 | Зарегистр. 19-05-2004 | Отправлено: 18:12 10-02-2021
bigshort

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Кто то в суе вспоминал про Trusted Platform Module (TPM)
 
https://xakep.ru/2021/01/18/tpm-bitlocker/
 
Добавлено:
 
 
bigshort
 
С наружи посмотреть на раздел С ?
Попробовать открыть шифрованный раздел при помощи live-os с VC на борту?

 
Вот сейчас записываю live CD с VeraCrypt  на борту.
Посмотрим.
Спасибо за помощь.  
 
Добавлено:
Загрузился с под live CD, там былаьутила VeraCrypt.
Выбираю устройство, ввожу пароль. Оно думает 15сек. И потом ошибка
"НЕВЕРНЫЙ ПАРОЛЬ, ЛИБО ЭТО НЕ ТОМ VeraCrypt."
Source: MountVolume:7763

Всего записей: 18 | Зарегистр. 11-01-2021 | Отправлено: 19:32 10-02-2021
MiloRU



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bigshort
 
http://forum.3dnews.ru/showpost.php?s=2e271465824dc2b248759694a42cead8&p=2692716&postcount=64

Всего записей: 52 | Зарегистр. 15-08-2011 | Отправлено: 22:06 10-02-2021
bigshort

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо большое всем за помощь.  
Но ниче неполучилось.
Переустанавливаю виндовс.
Сколько потерял((

Всего записей: 18 | Зарегистр. 11-01-2021 | Отправлено: 22:40 10-02-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru