Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Открыть новую тему     Написать ответ в эту тему

GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем зашифровать данные на диске

Текущая версия: 1.24-Update7 (от 7 августа 2020 г.)
Онлайн-документация | История версий

Бесплатная программа с открытым исходным кодом для шифрования данных «на лету» в компьютерах под управлением Windows, macOS и Linux.
VeraCrypt базируется на исходном коде программы TrueCrypt 7.1a, среди основных отличий — поддержка российской криптографии, увеличенное число итераций (более надёжное шифрование), поддержка шифрования EFI-систем. Поддерживаются тома и разделы, созданные с помощью TrueCrypt версий 6.x/7.x.


Подводные камни
Неактуальное (касающееся устаревших версий)

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 20:12 31-01-2016 | Исправлено: gjf, 11:13 19-03-2021
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf 23:46 16-03-2017
Цитата:
 disk_encryption_v1_1a.pdf - описывал идею и способ использования.  

Там ведь речь только о шифровании всего диска с системой? Или есть инструкция по использованию произвольных диапазонов на произвольных контейнерах?

Цитата:
Можно создать несколько заголовков и подменять

В смысле — переписывать заголовок каждый раз, монтируя данные то с одного, то с другого диапазона?

Цитата:
В заголовке лежит смещение. VC создает виртуальный диск только на диапазон

Но есть ли интерфейс, чтобы работать с этими значениями?

Цитата:
 только сильно упрощен с фасада.  

М-да, и в результате публика не знает, что скрытых томов может быть несколько...
Или все-таки это лишь потенциально возможная фича, и воспользоваться ей можно, только модифицировав программу?

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 00:36 17-03-2017 | Исправлено: emhanik, 00:54 17-03-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
Там ведь речь только о шифровании всего диска с системой?  

 
Да, там о шифровании системы внутри скрытого контейнера или полного диска.  
 
Проблема с EFI в том, что есть отдельный загрузочный раздел, на котором остаются следы после загрузки системы => этот раздел тоже надо скрывать.  
 

Цитата:
В смысле — переписывать заголовок каждый раз, монтируя данные то с одного, то с другого диапазона?

 
да. достаточно подменять 0 сектор для обычного контейнера или 128 для условно скрытого.
 

Цитата:
Но есть ли интерфейс, чтобы работать с этими значениями?  

 
Структура описана. CRYPTO_INFO
 
Если есть желание повозиться с созданием таких контейнеров,  то генератор могу включить в DcsWinCfg. из EFI shell есть возможность менять параметры при смене пароля через "DcsCfg -vcp"
 

Цитата:
воспользоваться ей можно, только модифицировав программу?

Модифицировать не требуется. Свой тул сделать - это да, надо.  
 
Тут такое дело. У меня сложилось впечатление, что сейчас людям нужна одна большая кнопка - зашифровать. А как оно внутри - не нашел реального желания обсуждать. Даже аудиторы, после того, как съели деньги за аудит (довольно спорный) не желают обсуждать.
 
 

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 06:35 17-03-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf 06:35 17-03-2017
Цитата:
Проблема с EFI в том, что есть отдельный загрузочный раздел, на котором остаются следы после загрузки системы => этот раздел тоже надо скрывать

Т.е. потребность в этом есть только для скрытия ОС и, значит, использование этого приема само по себе снижает «правдоподобность отрицания»?
 

Цитата:
из EFI shell есть возможность менять параметры

Может, мы о разных вещах говорим? Исходный вопрос как бы не касался темы EFI и скрытия ОС
 

Цитата:
 Свой тул сделать - это да, надо.

Пытаюсь понять, что этот тул должен делать... Т.е. при монтировании он получает от пользователя начало диапазона, размер и пароль, затем подменяет в контейнере заголовок скрытого тома сгенерированным и запускает VC, чтобы смонтировать этот том?
В этих действиях, во-первых, лишним выглядит переписывание заголовка: вдруг запись в контейнер невозможна, например. Как-то естественнее, чтобы VC получала «заголовочные» данные напрямую, без промежуточной записи их на диск...
Во-вторых, указание размера тоже кажется избыточной работой пользователя. А если бы так — готовый заголовок размещать в контейнере, но не в начале, а в позиции, известной только пользователю. Тогда при монтировании достаточно было бы указать смещение и пароль, как в FreeOTFE
Кстати, FreeOTFE вроде бы даже позволяет одновременно монтировать несколько томов с одного контейнера
 

Цитата:
людям нужна одна большая кнопка - зашифровать

Каждому свое. Однако пользователям выгодно, чтобы шифрование не вызывало подозрений, т.е. было нормой среди широкой публики, желающей «одну большую кнопку». В т.ч. шифрование на произвольных участках контейнера.
Если, скажем, я наберусь знаний, напрягусь и реализую желаемую фичу — тем более у вероятного противника возникнут вопросы, чего ради так старался)
 
Весь нехитрый смысл исходного вопроса: жаль, что TC/VC не раскрывает публике возможностей, которые потенциально имеет.

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 14:52 17-03-2017 | Исправлено: emhanik, 16:29 17-03-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik

Цитата:
Т.е. потребность в этом есть только для скрытия ОС и, значит, использование этого приема само по себе снижает «правдоподобность отрицания»?

 
Нет. На диске лежит обычный шифрованный контейнер. Ключи и разметка живут отдельно.  
Здесь рассказал подробнее
http://ssrl.ru/2017/01/19/veracrypt-demo-for-efi-hidden-os/#more-14
 

Цитата:
Может, мы о разных вещах говорим? Исходный вопрос как бы не касался темы EFI и скрытия ОС

Нет. Технология одна.
 
Мне нужно было сделать скрытую ОС в EFI. Соответственно инструмент делал под EFI shell и про удобство особо не думал.
 
Возможно, на этих выходных сделаю генерилку/редактор заголовков под винду, для обычных контейнеров.
 
Согласен - подмена излишне. Лучше смещение просто указывать. В любом контейнере место есть для 256 заголовков (это умолчание) Можно делать специальные контейнеры, с большим количеством заголовков.  
 
Вообще, я думал делать SDK на базе VC/TC для дискового шифрования. Работы там много. Без гранта на разработку, я это, чувствую, не потяну. Буду только небольшие поделки делать.
 
Добавлено:
emhanik

Цитата:
Если, скажем, я наберусь знаний, напрягусь и реализую желаемую фичу — тем более у вероятного противника возникнут вопросы, чего ради так старался)

 
Все уже есть в VC. Только применять надо. Распространение никакое т.к. требует понимания как устроен VC. Но у противника не возникает вопросов т.к. инструмент стандартный - бери и скачивай.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 16:27 17-03-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik
 
Сделал дополнение к DcsWinCfg, с возможностью создавать заголовки для произвольного количества скрытых контейнеров.  
https://sourceforge.net/projects/dc5/files/beta/DcsWinCfg_01.zip/download
 
Пока через подмену заголовка. Указывать смещение при монтировании - это надо менять драйвер. Как Монье вернется к работе, то можно будет сделать. Я не могу, т.к. нет ключа для подписи.  
 
 
Сценарий
1. Создать контейнер. Желательно со скрытым разделом внутри.
Посмотреть что получилось
> DcsWinCfg --volume <volume_path> --hdr-password=<pwd> --hdr-pim=<pim> --hdr-hash=1 --hdr-dump
> DcsWinCfg --volume <volume_path> --hdr-password=<pwd> --hdr-pim=<pim> --hdr-hash=1 --hdr-pos=128 --hdr-dump  
 
2. Создать набор ключевых данных (Tools -> Key file generator ) size ~1024B
3. Создать заголовок в секторе 1 (можно любой [1,255] кроме 128)
> DcsWinCfg --volume <volume_path> --hdr-password=<pwd> --hdr-pim=<pim> --hdr-hash=1 --rnd-data <rnd_file> --hdr-pos=1 --hdr-volume-size=<size KB> --hdr-enc-start=<start KB> --hdr-create  
4. Поменять местами 0 и 1
> DcsWinCfg --volume <volume_path> --hdr-swap=1
 
5. Смонтировать
6. Форматировать и копировать данные
7. Размонтировать
8.  Поменять местами 0 и 1
> DcsWinCfg --volume <volume_path> --hdr-swap=1
 

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 15:25 19-03-2017 | Исправлено: kavsrf, 15:26 19-03-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf 15:25 19-03-2017
Цитата:
Сделал дополнение к DcsWinCfg, с возможностью создавать заголовки для произвольного количества скрытых контейнеров.

Вау, спасибо! И отдельно — за подробное объяснение)

Цитата:
Как Монье вернется к работе, то можно будет сделать

Может, он будет не против добавить эту возможность на «фасад»?

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 01:16 20-03-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik

Цитата:
Может, он будет не против добавить эту возможность на «фасад»?

Монье достаточно консервативен в смысле добавлений, но предложить можно.
 
Вообще, там много улучшений назрело. Почти 20 лет развития. Весь проект выглядит как письмо дяди Федора, из советского мульта (“лохматость” повышенная).
 
То, над чем размышляю.
Желательно отделить крипту от логики приложения. Сделать отдельный слой управления. Отделить интерфейсные модули консоли и GUI.
 
По криптографии: Добавить новые алгоритмы. Кроме режима XTS, сделать перемешивание в секторе, динамическое формирование ключевой базы с отслеживанием использования и др.
 
По промежуточному уровню управления: Отделить данные от ключей. Как следствие, без заголовочные скрытые контейнеры и др.
 
Ну и как результат, под эти расширенные возможности, допилить интерфейсы.
 
Мне сейчас больше всего в криптухе не нравится чистый режим XTS т.е. весь объем данных на ключе 512 бит и при каждом обращении к диску он фонит(используется). В канале обычно ключи меняют после нескольких гигабайт переданных данных или по истечении времени, а тут вообще не отслеживается использование - но это ИМХО

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 14:48 20-03-2017 | Исправлено: kavsrf, 13:37 21-03-2017
degenerator3000



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую.
Не смог нагуглить ничего подходящего, поэтому задаю вопрос здесь: можно ли удалить загрузчик vc с системного диска, не расшифровывая сам этот диск? Т.е. я записал rescue disk на флешку и хочу иметь возможность загружать систему исключительно с нее, чтобы без наличия этой самой флешки возможности загрузиться не было в принципе. Сам rescue disk предлагает удалить загрузчик только после расшифровки раздела.

Всего записей: 53 | Зарегистр. 23-08-2005 | Отправлено: 00:01 26-03-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если в EFI, то не проблема - в DcsProp надо прописать PartitionGuidOS и загрузчик(DcsInt) будет читать ключи с диска с этим разделом.
 
Если MBR, то надо будет возиться и делать специальный загрузчик.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 00:11 26-03-2017
degenerator3000



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 Если MBR, то надо будет возиться и делать специальный загрузчик.  

К сожалению, MBR.
Возможно, я не так объяснил: с флешки с rescue disk я загрузиться могу и сейчас, введя свой пароль. Хочется убрать возможность загрузиться из самой системы.

Всего записей: 53 | Зарегистр. 23-08-2005 | Отправлено: 06:35 26-03-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если надо затереть  загрузчик VC, то достаточно установить любой другой загрузчик
1. GRUB/GRUB4DOS
2. восстановить Windows через bcdboot
3. Через утилиту BOOTICE (редактировать MBR)
 
Удалить ключи - затереть 62 сектор.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 08:52 26-03-2017
degenerator3000



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо. Все получилось.
Поступил чуть проще: затер MBR с помощью утилиты MiniTool Partition Wizard, выбрав пункт "Rebuild MBR".
VeraCrypt ругается на возможную атаку "Evil Maid" из-за измененного загрузчика, но это можно отключить в настройках.

Всего записей: 53 | Зарегистр. 23-08-2005 | Отправлено: 07:34 27-03-2017
legionpheonix



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди добрые.
Подскажите всё таки способ.
Как в veracrypt через usb флешку заставить вырубать всё запущенное с контейнера флешки?
Я хочу тупо вынимать флешку, а veracrypt закрывает все запущенные процессы с контейнера при принудительном (физическом) извлечении флешки.

Всего записей: 261 | Зарегистр. 23-02-2012 | Отправлено: 10:30 27-03-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как настроить автомонтирование второго физического диска? Какие галочки ставить, чтобы он автоматом монтировался при запуске системы без повторного запроса пароля? Это вообще возможно?

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 18:30 27-03-2017 | Исправлено: Diabolik, 19:22 27-03-2017
mleo

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Diabolik
 
- http://forum.ru-board.com/topic.cgi?forum=62&topic=28185
- http://help.nn0v.ru/truecrypt.html
- Стр.60 // http://dl2.joxi.net/drive/0002/0470/143830/141214/c35390e6bf.pdf

Всего записей: 4672 | Зарегистр. 19-05-2004 | Отправлено: 18:59 27-03-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mleo
А для VeraCrypt и без шаманства с командной строкой, есть доступная инструкция? Надо чтобы диск D автоматом цеплялся. Максимум что я добился, чтобы при старте системы вылезало окно с требованием пароля для подключения второго диска.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 19:42 27-03-2017 | Исправлено: Diabolik, 20:06 27-03-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik
 

Цитата:
А для VeraCrypt и без шаманства с командной строкой, есть доступная инструкция? Надо чтобы диск D автоматом цеплялся. Максимум что я добился, чтобы при старте системы вылезало окно с требованием пароля для подключения второго диска.

 
Есть возможность монтировать диск с тем же паролем, что и при загрузке системы - System Favorite.  
 
System Favorite - монтирует до логина пользователя системы
 
если нужны больше паролей и система EFI, то делал возможность задать 4 пароля с диска USB, при двух факторной авторизации
 
Добавлено:
legionpheonix

Цитата:
Как в veracrypt через usb флешку заставить вырубать всё запущенное с контейнера флешки?
Я хочу тупо вынимать флешку, а veracrypt закрывает все запущенные процессы с контейнера при принудительном (физическом) извлечении флешки.

 
Не знаю такого решения. Было бы интересно обсудить, тема - как перечислить все приложения с открытыми файлами на заданном диске.  
 
Могу только рекомендовать, подключать контейнер с флэшки как removable. Больше вероятность, что не испортятся данные.
 
Может что-то типа Sysinternals  “Handle tool” и такой скрипт запускать
for /f "skip=4 tokens=3" %i in ('handle <L>:\') do taskkill /pid %i
 
 
 
Добавлено:
emhanik

Цитата:
Сделал дополнение к DcsWinCfg, с возможностью создавать заголовки для произвольного количества скрытых контейнеров.
 
Вау, спасибо! И отдельно — за подробное объяснение)

 
Еще замечу, что монтировать надо с опцией /force, тогда файл остается открыт для записи другими приложениями и можно вернуть заголовок сразу на место.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 16:59 28-03-2017 | Исправлено: kavsrf, 17:45 28-03-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf
Цитата:
Есть возможность монтировать диск с тем же паролем, что и при загрузке системы - System Favorite.  
System Favorite - монтирует до логина пользователя системы
если нужны больше паролей и система EFI, то делал возможность задать 4 пароля с диска USB, при двух факторной авторизации  
А можно подробнее? Куда заходить и чего именно выбирать? Потому что я уже кучу всего перетыкал. В избранное добавил, но даже автомонтирование требует вводить пароль ручками, чтобы подключался второй диск. Второй диск не системный, просто обычный физ. диск с данными, на который вынесена часть пользовательского профиля.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 21:33 28-03-2017 | Исправлено: Diabolik, 21:33 28-03-2017
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нужно добавлять в системное избранное. Не в избранное.
Тогда тома из системного избранного (все тома, на любых дисках, которые добавлены в список системного избранного)  будут автоматически монтироваться с тем же паролем, который был введён при загрузке.

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 21:40 28-03-2017 | Исправлено: Dart Raiden, 21:43 28-03-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik
 
Порядок такой.  
1. Смонтировать устройство.
2. Кликнуть правой кнопкой -> Add to system favorites (системные избранные)
3. Отметить галочку -> монтировать при старте
 
Иногда наблюдал, что при быстрой загрузке, сервис VeraCrypt не успевает стартовать. Я просто не сразу логинюсь, даю возможность отработать сервису.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 21:54 28-03-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru