Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Открыть новую тему     Написать ответ в эту тему

GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем зашифровать данные на диске

Текущая версия: 1.24-Update7 (от 7 августа 2020 г.)
Онлайн-документация | История версий

Бесплатная программа с открытым исходным кодом для шифрования данных «на лету» в компьютерах под управлением Windows, macOS и Linux.
VeraCrypt базируется на исходном коде программы TrueCrypt 7.1a, среди основных отличий — поддержка российской криптографии, увеличенное число итераций (более надёжное шифрование), поддержка шифрования EFI-систем. Поддерживаются тома и разделы, созданные с помощью TrueCrypt версий 6.x/7.x.


Подводные камни
Неактуальное (касающееся устаревших версий)

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 20:12 31-01-2016 | Исправлено: gjf, 11:13 19-03-2021
mleo

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Diabolik
 
А вы не тыкайте.
Я вам ссылку давал на мануал. Вы б хоть почитали. http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=200#16
- стр 60 и далее
- стр 34 (Системные избранные тома)
 
Давно б уже разобрались. Все нормально на русском написано.

Всего записей: 4672 | Зарегистр. 19-05-2004 | Отправлено: 21:54 28-03-2017 | Исправлено: mleo, 21:56 28-03-2017
xlsx2007



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что с автором? Тоже пропал?  Прога уже давно не обновляется. А работы в освоении GPT и UEFI там через край.  
 
До кучи бы в нее encfs присобачить... чтобы совсем комбайн получился. Система\ разделы дисков \ и папки.

Всего записей: 78 | Зарегистр. 20-06-2008 | Отправлено: 17:33 01-04-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Работы много - согласен.
 
С Монье проблемы.  Пока не могу деталей. Говорит личное. Ну а там кто знает.
 
Еще в конце декабря обещал сделать 1.20 релиз.
 
EFI, GPT я делал. Вроде все работает. Нужно только упрощенную установку для скрытой ос и полнодискового шифрования сделать.
 
Нужность - это под большим вопросом. Не могу денег собрать даже на покупку сертификата.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 19:06 01-04-2017
mleo

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Нужно разобраться кто потенциальный пользователь программы. Затем обратиться за помощью профинансировать четко понятные затраты с предоставлением отчета.
Может как то так.. ждать что пользователи проявят сознательность и будут донатить.. ну не знаю ((
 
 
Добавлено:
 
Посмотрел как можно перевети деньги. Прям скажем вариантов немного. Paypal, bitcoin и чего то там.
Представил как простой гражданин бышего СССР будет переводить деньги.. скорее не будет заморачиваться над тем как это сделать.

Всего записей: 4672 | Зарегистр. 19-05-2004 | Отправлено: 19:35 01-04-2017 | Исправлено: mleo, 19:41 01-04-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf
Можно попросить ликбеза?
 
Смотрю спецификацию томов:
 
1) В чем разница между этими значениями?
offset 100: Encrypted Size of volume
offset 116: Size of the encrypted area within the master key scope
 
2) Какой смысл в этом значении?
offset 92: Size of hidden volume (set to zero in non-hidden)
Получается, что оно либо 0, либо опять то же самое?
 
Впечатление, будто два из трех значений фиктивны — или они на что-то влияют?
 
Соотношу с данными, которые показывает утилита:
 
3) По-видимому,
VolumeSize — это "offset 100: Encrypted Size of volume",
EncryptedAreaStart — это "offset 108: Encrypted Byte offset of the start of the master key scope",
EncryptedAreaLength — это "offset 116: Size of the encrypted area within the master key scope",
HiddenVolumeSize — это "offset 92: Size of hidden volume"?
 
4) А откуда берется значение HiddenVolumeOffset?
И что значат, в частности, HiddenVolume, Encryption, Mode?
 
5) Не получился этот момент:
16:59 28-03-2017
Цитата:
 Еще замечу, что монтировать надо с опцией /force, тогда файл остается открыт для записи другими приложениями и можно вернуть заголовок сразу на место.

Не было доступа на запись, хотя монтировал командой «VeraCrypt /v <file> /f /q»
 
6) Кстати, а если бы получилось смонтировать как force — можно было бы одновременно смонтировать несколько томов с одного контейнера? Хотя бы непересекающихся?
 
7) Утилита поддерживает только файловые контейнеры? Не подойдет для раздела (несистемного)?
 
8) Имеет ли значение разрядность утилиты на 64-битной ОС?
 
 
Добавлено:
P. S.
9) Если смонтирован внешний том с защитой скрытого — какая область защищается? В точности диапазон, указанный в 128-ом заголовке?

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 21:09 01-04-2017 | Исправлено: emhanik, 21:23 01-04-2017
Andrey_Verkhoglyadov



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Работы много - согласен.
 
С Монье проблемы.  Пока не могу деталей. Говорит личное. Ну а там кто знает.
...  
EFI, GPT я делал.
...
Не могу денег собрать даже на покупку сертификата.
 

Я что то выпал из темы.  
Думал что разработчик компания IDRIX EURL или это один человек ?
А вы это и есть вышеназванная компания  или вообще что здесь к чему ?

Всего записей: 2731 | Зарегистр. 06-02-2003 | Отправлено: 21:25 01-04-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mleo

Цитата:
Нужно разобраться кто потенциальный пользователь программы. Затем обратиться за помощью профинансировать четко понятные затраты с предоставлением отчета

 
Сделал именно так. По сложным вопросам поставил оценку стоимости реализации. Компании по сбору полностью открыты.  
 
У биткоин, по определению ясно, сколько переведено на адрес.  
пледж - по ссылке показывает детали компании.
 
Думаю, надо что-то еще добавить со схожей открытостью. (что?)
 
Добавлено:
emhanik
 
По структуре заголовка лучше смотреть первоисточник. Процедура разбора.
src/Common/Volumes.c:415
 
Идея такая.
1. размер тома.  
2. смещение от начала контейнера.
3. сколько зашифровано (когда все зашифровано, то 1 и 3 равны)
 
Скрытый том значения - это для скрытой ОС MBR.
 
Encryption - тип шифрования (AES = 1, ...)
Mode = тип перемешивания в секторе, всегда 1 (XTS)
 
по /force открывается файл как shared R/W. Вроде проверял. Посмотрю.
 
для несистемного раздела формат как для файла (можно пробовать скормить путь к разделу \\.\ или \\?\ (не пробовал))
 
разрядность влияет на скорость алгоритмов шифрования и хеша.
 
защита скрытого диапазона в 128 секторе - да
 
 
 
Добавлено:
Andrey_Verkhoglyadov
 
Начал работать с Монье около года назад. У меня по другой работе сформировалось понимание, что желательно сделать и решил реализовать.  
 
Фирма Монье больше занимается токенами. VeraCrypt там побочный. Когда после аудита не пришло заказов, тема стала совсем вялой.
 

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 22:15 01-04-2017 | Исправлено: kavsrf, 23:04 01-04-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik

Цитата:
Не было доступа на запись, хотя монтировал командой «VeraCrypt /v <file> /f /q»  

 
Поправил DcsWinCfg (там было открытие в монопольном режиме)

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 13:04 08-04-2017
Dlt3e

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 2 | Зарегистр. 09-04-2017 | Отправлено: 01:11 09-04-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dlt3e

Цитата:
1. Полностью зашифровать жесткий диск.  

Полностью зашифровать и при этом брать модуль авторизации(грузиться) с зашифрованного диска нет возможности. Нужно чтобы что-то спросило пароль. По этой причине небольшой, незашифрованный раздел с загрузчиком все-таки нужен. (как-то решить это можно перенеся загрузчик на usb, но спорное удобство. )
 
Уточнение про шифрование и скрытие.  
ОС 1 зашифрована и наличие зашифрованных данных отрицать невозможно
ОС 2 зашифрована и скрыта.  
Уточнение про скрыто. Это шифрование с двойным дном.  
Просто зашифрованные данные - это набор случайных чисел. Наличие шифрованных данных скрыть нет возможности, но если внутри одного набора случайных чисел (выборка X) есть другой набор случайных чисел(выборка Xh), то доказать наличие этого второго набора нет возможности.  Конечно, при условии что X и Xh статистически реально случайные.  
для некоторой проверки статистической стойкости скрытия, привел пример в Statistics_example.pdf с расчетом энтропии и числа пи методом Монте-Карло
 
S62 это сектор 62. В нем, при шифровании системы VC/TC  держит заголовок.
 
Сейчас основная проблема с продолжением работы т.к. Монье отошел от дел, а ключ для подписи драйвера у него, то под большим вопросом выпуск следующих версий.
 
Улучшений там можно много делать. Пока обдумываю поддержку TPM 2.0 для контроля целостности и фактора авторизации (what I have)  
 
Загрузчик делаю максимально гибко, документацию пишу по мере поступления вопросов. Можно попробовать описать Ваш сценарий и по результатам обсуждения написать док.  

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 09:56 09-04-2017 | Исправлено: kavsrf, 10:32 09-04-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Пока обдумываю поддержку TPM 2.0 для контроля целостности и фактора авторизации (what I have)
А 1.2?

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 12:13 09-04-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
А 1.2?  

 
Так есть уже.  
 
Как работает:
Включить генератор случайного числа в DcsProp (2 - Это RDRAND, 5 это генеартор TPM) для создания соли при смене пароля
<config key="Random">2</config>
 
Перегрузиться. Ввод пароля и вместо enter нажать f2
затем “c”
Положить новый секрет в TPM выбрав к каким PCR  есть необходимость привязать.  
Затем при смене пароля, установить TPM lck (f8) и секрет из TPM будет подмешиваться в пароль.
 
Пароль владельца TPM можно установить через TPM.msc (начиная с windows 10 1607 надо включить в set the registry key 'HKLM\Software\Policies\Microsoft\TPM' [REG_DWORD] 'OSManagedAuthLevel' to 4)
 
Как работает: Если было изменение в платформе(как пример - установили кей логер), то  PCRs сменятся и секрет из TPM достать не получится.  
 
Platform lck(f7) Это подмешивание к ключу серийного номера БИОС и серийного номера флэшки. Затруднит копирование авторизационной флэш.
 
(!) Важно - сохранить диск восстановления или 62 сектор до привязки к TPM Если потребуется смена параметров БИОС и был выбран контроль БИОС в PCR, то надо сначала отвязать от TPM загрузчик. (аналог действия suspend в bitlocker)

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 13:26 09-04-2017 | Исправлено: kavsrf, 13:29 09-04-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Так есть уже.
Не знал, спасибо!

Цитата:
Пароль владельца TPM можно установить через TPM.msc (начиная с windows 10 1607 надо включить в set the registry key 'HKLM\Software\Policies\Microsoft\TPM' [REG_DWORD] 'OSManagedAuthLevel' to 4)
В Win10 1607 таким образом пароль на TPM не установишь (его теперь вообще системными средствами не установишь) - OSManagedAuthLevel 4 это "Полный" режим - все сведения авторизации хранятся в винде. Все кроме пароля - он создаётся рандомно, хешируется и удаляется навсегда - хранится только хеш.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 14:22 09-04-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
 хранится только хеш

 
Пароль не хранится - да. Хранится SHA1. Вопрос в том от чего этот SHA1 считается. Если установить этот ключ, то можно будет менять.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 14:38 09-04-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf 13:04 08-04-2017
Цитата:
 Поправил DcsWinCfg (там было открытие в монопольном режиме)  

Спасибо! Поигрался — появились вопросы.
 
Попробовал сделать, как на картинке
 
U — внешний том в файле container.hc (100 MB), создан через VeraCrypt, exFAT
Утилита показывает: EncryptedAreaStart(U) = 128, EncryptedAreaLength(U) = 102144
 
V — скрытый том на 30 MB, создан через VeraCrypt, exFAT
Утилита показывает: EncryptedAreaStart(V) = 71552, EncryptedAreaLength(V) = 30592
 
Получается, что правая граница внутреннего тома 30592+71552=102144, а внешнего 102144+128.
Для чего этот зазор в 128 KB?
Можно ли располагать тома так, чтобы внутренний упирался в конец внешнего? Или нужен промежуток (какой)?
 
W — том внутри V, заголовок создан командой:
DcsWinCfg --volume container.hc --hdr-password=W --hdr-pim=0 --hdr-hash=1 --rnd-data rnd_W --hdr-pos=129 --hdr-volume-size=20480 --hdr-enc-start=81664 --hdr-create
Как вычислено смещение:
EncryptedAreaLength(W) = 20480,
EncryptedAreaStart(W) = EncryptedAreaStart(V) + EncryptedAreaLength(V) - EncryptedAreaLength(W).
Т.е. том W упирается в конец тома V. Опять же, нужно ли было оставить зазор?
Если переместить заголовок V в сектор 0, а заголовок W в сектор 128 и смонтировать том V с защитой от повреждения тома W — будет ли это корректно работать?
 
X — том в диапазоне ~30~70 MB, заголовок создан командой:
DcsWinCfg --volume container.hc --hdr-password=X --hdr-pim=0 --hdr-hash=1 --rnd-data rnd_X --hdr-pos=1 --hdr-volume-size=40960 --hdr-enc-start=30592 --hdr-create
EncryptedAreaLength(X) = 40960,
EncryptedAreaStart(X) = EncryptedAreaStart(V) - EncryptedAreaLength(X).
Т.е. тома X и V расположены встык.
Можно ли так их располагать? Или нужен промежуток?
 
Y — несуществующий том в диапазоне ~30~100 MB, его заголовок создан для защиты томов X и V при записи на том U:
DcsWinCfg --volume container.hc --hdr-password=Y --hdr-pim=0 --hdr-hash=1 --rnd-data rnd_Y --hdr-pos=2 --hdr-volume-size=71552 --hdr-enc-start=30592 --hdr-create
EncryptedAreaStart(Y) = EncryptedAreaStart(X),
EncryptedAreaLength(Y) = EncryptedAreaStart(V) + EncryptedAreaLength(V) - EncryptedAreaStart(Y).
Правильны ли эти формулы для Y?
 
Z — том внутри X, заголовок создан командой:
DcsWinCfg --volume container.hc --hdr-password=Z --hdr-pim=0 --hdr-hash=1 --rnd-data rnd_Z --hdr-pos=3 --hdr-volume-size=20480 --hdr-enc-start=51072 --hdr-create
EncryptedAreaLength(Z) = 20480,
EncryptedAreaStart(Z) = EncryptedAreaStart(X) + EncryptedAreaLength(X) - EncryptedAreaLength(Z).
Т.е. ситуация, подобная V и W. И тот же вопрос: будет ли работать защита тома Z при записи в X и нужно ли добавить зазор между этими томами?
 
 
По-видимому, каждый раз при монтировании того или иного тома нужно указывать, какой заголовок перемещается в 0-й сектор, какой в 128-й. Например, батником
 
Заметил, что если переместить заголовок Z на 128-й сектор и попытаться смонтировать (как скрытый), то VC сообщает о якобы неправильном пароле. Хотя VC принимает этот пароль, если использовать его в защите от повреждений (монтировать X с защитой Z).
 
22:15 01-04-2017
Цитата:
По структуре заголовка лучше смотреть первоисточник. Процедура разбора.
src/Common/Volumes.c:415  

Открыл, но пока мне не по зубам. А поверхностно вижу только названия значений, но не их смысл.
 

Цитата:
для несистемного раздела формат как для файла (можно пробовать скормить путь к разделу \\.\ или \\?\ (не пробовал))

Подставлял "\\.\X:" и "\\?\X:" — работают. А как, если раздел не имеет буквы? Имя вида "\Device\Harddisk0\Partition1" утилита не принимает.

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 18:56 10-04-2017 | Исправлено: emhanik, 20:56 10-04-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Хранится SHA1.
Нет - для ша1 оно слишком короткое:

Код:
PS C:\WINDOWS\system32> ConvertTo-TpmOwnerAuth -PassPhrase 12345
LyQWujvPXbGDYsrSDKkAiVFavg8=


Цитата:
Если установить этот ключ, то можно будет менять.
Так его не узнать (если только попробовать во время создания перехватить как-то).

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 21:26 10-04-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Ключ в реестре  позволяет установить свой пароль, а не использовать генерированный.  
 
tpm.msc->change owner pwd->manualle create pwd
 
Про ша1 - если сделать сохранить на диск в xml через tpm.msc, то пишет хеш от unicode строки. (проверял)  
 
 
Добавлено:
emhanik
 
Формулы подойдут, но некоторые замечания.
 
драйвер защищает точный диапазон из 128 сектора
 
Допуск для внутреннего контейнера по правой границе внешнего делается для того, чтобы при инициализации внешнего не портить внутренний. формат пишет некоторые данные в хвост раздела.
 
заголовок Z надо создать с --hdr-hidden-size равным  --hdr-volume-size, тогда должен монтироваться как скрытый, а не только как защитный.
 

Цитата:
Подставлял "\\.\X:" и "\\?\X:" — работают. А как, если раздел не имеет буквы? Имя вида "\Device\Harddisk0\Partition1" утилита не принимает.

 
имя пути можно узнать из "mountvol" (это GUID раздела из GPT)

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 16:21 11-04-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Ключ в реестре  позволяет установить свой пароль, а не использовать генерированный.  
 
tpm.msc->change owner pwd->manualle create pwd
Раньше можно было использовать OSManagedAuthLevel 0 для использования собственного пароля, но в Win10 1607 это не работает - проверьте сами.
Там нет возможности сменить пароль без знания старого, а его и винда не знает.

Цитата:
Про ша1 - если сделать сохранить на диск в xml через tpm.msc, то пишет хеш от unicode строки. (проверял)
Это про "файл с паролем владельца"? Его тоже нет возможности сохранить без знания пароля.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 16:43 11-04-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
Там нет возможности сменить пароль без знания старого, а его и винда не знает.

 
Надо сбросить TPM. Процедура безопасная, если не был использован битлокер.
 

Цитата:
Это про "файл с паролем владельца"?

да

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 16:46 11-04-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Надо сбросить TPM. Процедура безопасная, если не был использован битлокер.
Попробуйте проделать это сами на Win10 1607 - штатными средствами вы пароль владельца TPM не установите.
 
Я после покупки TPM много раз его сбрасывал и т.п. ибо был в недоумении от невозможности установить штатными средствами пароль владельца TPM, но потом таки нашёл инфу что в Win10 1607 при инициализации TPM штатными средствами венда создаёт пароль рандомно, применяет его и после чего удаляет навсегда.
 
Рад буду если покажите в чём я заблуждаюсь и как можно установить пароль владельца TPM штатными средствами в Win10 1607.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 17:45 11-04-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru