Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69

Открыть новую тему     Написать ответ в эту тему

GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем зашифровать данные на диске

Текущая версия: 1.24-Update7 (от 7 августа 2020 г.)
Онлайн-документация | История версий

Бесплатная программа с открытым исходным кодом для шифрования данных «на лету» в компьютерах под управлением Windows, macOS и Linux.
VeraCrypt базируется на исходном коде программы TrueCrypt 7.1a, среди основных отличий — поддержка российской криптографии, увеличенное число итераций (более надёжное шифрование), поддержка шифрования EFI-систем. Поддерживаются тома и разделы, созданные с помощью TrueCrypt версий 6.x/7.x.


Подводные камни
Неактуальное (касающееся устаревших версий)

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 20:12 31-01-2016 | Исправлено: gjf, 11:13 19-03-2021
tramparamparam02



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf 10:01 18-04-2017
Цитата:
Да. Проблема в том, что некоторые драйвера не проходят процедуру полной инициализации. Система хранит контекст на диске.

Сам не разбираюсь, но где-то читал, что начиная с Windows 7 блокирование рабочей станции по Win+L довольно сложно обойти, не зная пароля. Это неправда?

Всего записей: 1963 | Зарегистр. 30-03-2016 | Отправлено: 12:16 07-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tramparamparam02
 
Тема интересная, но не совсем про VC.  
 
Знаю следующие варианты
1. загрузиться с внешнего носителя и убрать пароль (редактирование реестра). Просто если диск не был зашифрован.
2. сменить предварительно утилиту специальных возможностей на нужный тул и запустить его по множественному нажатию shift
 
 
 
Добавлено:
WildGoblin

Цитата:
Звучит так будто это гораздо страшнее чем присутствие IME на мат. плате и всего остального прочего... в чём угроза-то?  

 
С AES в CPU все хуже т.к. объемы которые надо сохранить для последующей расшифровки становятся очень небольшими.  
 
IME, NMI, cold boot - все потребует анализа значительного объема памяти для вытаскивания ключей.
 

Цитата:
А вот Брюс Шнайер не смеётся над битлокер и доверия он (Шнайер) гораздо больше вызывает

 
Да Шнаер писал, что его друзья работали над битлокером.  
https://www.schneier.com/blog/archives/2015/06/encrypting_wind.html
 
но почему-то пишет про bestcrypt или уход в линукс...

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 18:55 07-05-2017 | Исправлено: kavsrf, 19:13 07-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Знаю следующие варианты
1. загрузиться с внешнего носителя и убрать пароль (редактирование реестра). Просто если диск не был зашифрован.
2. сменить предварительно утилиту специальных возможностей на нужный тул и запустить его по множественному нажатию shift
Это всё немного не те варианты... но офтоп, да.
 
kavsrf

Цитата:
С AES в CPU все хуже т.к. объемы которые надо сохранить для последующей расшифровки становятся очень небольшими.
Да, понимаю теперь про что вы, но вот скажите как извлечь этот небольшой объём данных с выключенной машины?

Цитата:
IME, NMI, cold boot - все потребует анализа значительного объема памяти для вытаскивания ключей.
IME это совсем не про то - оно полностью контролирует систему (и при желании наверняка утащит ключи - но это предположение конечно).
 
К слову - в последнем релизе винды 1703 в битлокере сделали защиту от подключения нового/неизвестного устройства по PCI и последующего снятия дампа памяти!

Цитата:
но почему-то пишет про bestcrypt...
Я читал (но вот сам перешёл с бесткрипта на битлокер).

Цитата:
...или уход в линукс...
Линукс это конечно очень интересно, но не в реальной жизни (вот тот же MS Office вполне можно на виртуалке запустить, а с играми как быть и т.п.).

Всего записей: 19315 | Зарегистр. 15-09-2001 | Отправлено: 20:31 07-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
IME это совсем не про то - оно полностью контролирует систему (и при желании наверняка утащит ключи - но это предположение конечно).  

 
IME выполняет параллельный процессор, в последних версиях вроде бы архитектура тоже x86. Код лежит на  флэш, в отдельной области. Разделение средствами контроллера доступа к флэш.  
 
Любая из перечисленных технологий потребует анализа памяти для снятия ключей.
 

Цитата:
К слову - в последнем релизе винды 1703 в битлокере сделали защиту от подключения нового/неизвестного устройства по PCI и последующего снятия дампа памяти

 
Прикрутили SGX? Спорная технология. Опять сильно упрощается поиск ключей т.к. CPU сообщается область памяти.
 

Цитата:
Это всё немного не те варианты...

 
какие ваши варианты?
 
Добавлено:
WildGoblin

Цитата:
скажите как извлечь этот небольшой объём данных с выключенной машины?

 
Возможно этот вопрос к интел.
 
Я просто пояснил для чего могут быть нужны алгоритмы отличные от AES

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 20:58 07-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
IME выполняет параллельный процессор, в последних версиях вроде бы архитектура тоже x86.
Разве не ARM (хотя возможно путаю)?

Цитата:
Любая из перечисленных технологий потребует анализа памяти для снятия ключей.
А что мешает ему действовать более интеллектуально и перехватывать тот же ввод с клавиатуры?

Цитата:
Прикрутили SGX?
Не смогу сейчас точно ответить - видел настройку в групповых политиках, но так как на 1703 пока не могу перейти (есть несовместимый, важный для меня, сторонний софт), то в реальной жизни не тестировал.

Цитата:
какие ваши варианты?
Эксплоит если какой - воткнул флэшку и запустилась прога на ней с админскими правами.

Цитата:
Возможно этот вопрос к интел.
Скорее к MS - это ведь она шифрует диск.

Цитата:
Я просто пояснил для чего могут быть нужны алгоритмы отличные от AES
Я понимаю вами сказанное и конечно спасибо за комментарии, но вот от FDE лично мне надо, что бы закрытый диск без знания пароля 100% никто не открыл (некоторые вон хотят что бы и от вирусов программа шифрования их защищала и от перехвата паролей спасала...) - всё! А от остальных угроз можно попробовать с помощью других средств защититься.

Всего записей: 19315 | Зарегистр. 15-09-2001 | Отправлено: 21:34 07-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
Скорее к MS - это ведь она шифрует диск.  

Это про использование аппаратного ускорителя AES
 

Цитата:
закрытый диск без знания пароля 100% никто не открыл

основа для выбора - доверие. Алгоритмы одни. Intel и MS доверенные?  
 

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 22:14 07-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
основа для выбора - доверие. Алгоритмы одни. Intel и MS доверенные?
Вы свою программу пишите для использования на железе Intel и ПО MS - вы им доверяете? А себе вы доверяете и мы (пользователи вашего ПО) можем вам доверять?
 
Ну и если шутки отбросить в сторону (а веру отнести в церковь) - известны случаи вскрытия закрытого битлокером диска?

Всего записей: 19315 | Зарегистр. 15-09-2001 | Отправлено: 23:14 07-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
мы (пользователи вашего ПО) можем вам доверять?

Для этого ПО с открытым кодом и аудит.
 

Цитата:
известны случаи вскрытия закрытого битлокером диска?

Репутация Intel и MS стоит дорого.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 10:48 08-05-2017
DimmY



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Репутация Intel и MS стоит дорого.

В свете событий последних лет, когда США (и их вассалы) творят всё что угодно, ни о какой репутации говорить уже не приходится.

Всего записей: 4066 | Зарегистр. 22-04-2002 | Отправлено: 11:38 08-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
Для этого ПО с открытым кодом и аудит.
Нереально - новые версии выходят часто, людей у которых хватит квалификации с ходу во всём разобраться мало.
 
DimmY

Цитата:
В свете событий последних лет, когда США (и их вассалы) творят всё что угодно, ни о какой репутации говорить уже не приходится.
Известны случаи вскрытия закрытого битлокером диска? Нет? Ну раз нет фактов, то наверное такие разговоры уместны во Флейме, а не здесь.

Всего записей: 19315 | Зарегистр. 15-09-2001 | Отправлено: 12:21 08-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DimmY

Цитата:
В свете событий последних лет, когда США (и их вассалы) творят всё что угодно, ни о какой репутации говорить уже не приходится.

Репутация конвертируется в деньги (заказы) т.е. до определенного уровня коммерческой тайны можно пользоваться - ИМХО.  
 
Если что-то более секретное или есть личные опасения, то надо смотреть альтернативы.
 
про битлокер - уже говорил, много там ветвлений, судя по исследованиям dislocker.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 14:23 08-05-2017
DimmY



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf

Цитата:
т.е. до определенного уровня коммерческой тайны можно пользоваться

Разумеется. Но если есть заведомая дырка, то надо это всегда учитывать. А при наличии продуктов, где хотя бы заведомой дырки нет, пользоваться дырявым имеет смысл разве только от лени.

Всего записей: 4066 | Зарегистр. 22-04-2002 | Отправлено: 14:31 08-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DimmY

Цитата:
Но если есть заведомая дырка, то надо это всегда учитывать.
А она есть - заведомая дырка или же есть просто заведомый флуд?

Всего записей: 19315 | Зарегистр. 15-09-2001 | Отправлено: 16:07 08-05-2017
Kovu



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
К примеру шифруете диск С - предлагается сохранить ключ восстановления, распечатываете его в файл на этот же диск С, а затем удаляете с помощью "manage-bde -protectors -delete c: -id {84E151C1...7A62067A512}"

При шифровании, никакие «ключи восстановления» вообще создаваться не должны по определению. Только одно это свидетельствует о том, что с этой системой не всё так гладко.
 
 1) Bitlocker keys are uploaded to OneDrive by 'device encryption'.
 
"Unlike a standard BitLocker implementation, device encryption is enabled automatically so that the device is always protected.
 
...
 
If the device is not domain-joined a Microsoft Account that has been granted administrative privileges on the device is required. When the administrator uses a Microsoft account to sign in, the clear key is removed, a recovery key is uploaded to online Microsoft account and TPM protector is created."
 
http://technet.microsoft.com/en-us/library/dn306081.aspx
 
2) Device encryption is supported by Bitlocker for all SKUs that support connected standby. This would include Windows phones.
 
"BitLocker provides support for device encryption on x86 and x64-based computers with a TPM that supports connected stand-by. Previously this form of encryption was only available on Windows RT devices."
 
http://technet.microsoft.com/en-us/library/dn306081.aspx#BKM...
 
3) The tech media and feature articles recognise this.
 
"... because the recovery key is automatically stored in SkyDrive for you."
 
http://www.zdnet.com/surface-bitlocker-and-the-future-of-encryption-7000024613/
 
4) Here's how to recover your key from Sky/OneDrive.
 
"Your Microsoft account online. This option is only available on non-domain-joined PCs. To get your recovery key, go to ...onedrive.com..."
 
http://windows.microsoft.com/en-us/windows-8/bitlocker-recovery-keys-faq
 
5) SkyDrive (now named OneDrive) is onboarded to PRISM. (pg 26/27)
 
http://hbpub.vo.llnwd.net/o16/video/olmk/holt/greenwald/NoPlaceToHide-
Documents-Uncompressed.pdf  

Цитата:
В чём вы проблему нашли - не понятно.

Проблема в том, что создание этого самого ключа уже само по себе крайне подозрительно.

Цитата:
Та можно о чём угодно бредить (как бредят по вашей ссылке) - конспироложество оно затягивает.

_NSAKEY — это факт.

Цитата:
Некоторым палец покажешь так они сразу хохочят до икоты.

Я говорю не о некоторых, а о авторе TrueCrypt.

Цитата:
А вот Брюс Шнайер не смеётся над битлокер и доверия он (Шнайер) гораздо больше вызывает, чем какой-то Цезарик.

Брюс Шрайер позитивно высказывался и о BestCrypt, авторы которого ударились в копирастический маразм с отложенными проверками чем подписан его main файл, чем они не страдали с 2000 года. В качестве «аргумента» он высказал нечто вроде «я доверяю этим ребятам». Не технический анализ, не изучение исходного кода, даже не поверхностный анализ через дизассемблеры.  David Tesarik — это автор TrueCrypt.

Цитата:
Недоверия оно пока точно не вызывает, а так - сейчас авторам интересно верой заниматься, а завтра они её бросят и ни поддержки новых версий винды, ни починки багов не видать.

Тоже самое можно сказать и о bitlocker и о чём угодно.

Цитата:
Зачем они нужны?

Многообразие алгоритмов и подходов мешает атакующему сосредоточиться на чём-то одном.

Цитата:
Вы не с Украины?

Нет, но наблюдения показывают, что наиболее злостные копирасты из бывшего совка.

Цитата:
Ну и чтобы два раза не вставать - есть факты взлома битлокера? Если нет, то не мутите пожалуйста воду и не ставьте себя в неловкое положение.

National Security Letter в отношение lavabit тоже никто не видел, а правовые акты по разного рода prism проходили как позорные секретные судебные заседания. Никто не видел и авторов stuxnet.

Всего записей: 471 | Зарегистр. 23-07-2001 | Отправлено: 14:23 13-05-2017 | Исправлено: Kovu, 14:41 13-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Репутация конвертируется в деньги (заказы)  

 
Как это работает по собственному опыту и почему коммерческий софт не всегда хорошо, относительно open source
 
Как-то возился с проверкой цепочки доверенной загрузки на ноутбуках одной известной фирмы. Обнаружил, что они позволяют выполнить практически любой код без изменения цепочки доверия.  Похоже, проблема была во всех моделях т.к. правили долго.  
 
Информация в прессу не прошла - мне это не надо было, фирма на которую работал не была заинтересована (заказ мог сорваться из-за испорченной репутации бренда), производителю ноутбуков тем более... Ну, а все остальные - живут в блаженном неведении...

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 14:46 13-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kovu

Цитата:
При шифровании, никакие «ключи восстановления» вообще создаваться не должны по определению. Только одно это свидетельствует о том, что с этой системой не всё так гладко.
"В трукрипте создаётся дополнительная копия хэдера - ой вэй, это шпионство!"

Цитата:
1) Bitlocker keys are uploaded to OneDrive by 'device encryption'.
Так не загружайте его туда - подсказать настройки?

Цитата:
Device encryption is supported by Bitlocker for all SKUs that support connected standby.
И чего? Кто мешает отключить стэндбай?
 
Ну и дальше всё в том же духе.

Цитата:
Проблема в том, что создание этого самого ключа уже само по себе крайне подозрительно.
Жуть какая - MS хочет обезопасить глупых юзеров от потери данных, а себя от лишней работы - подозрительно как!

Цитата:
_NSAKEY — это факт.
Это факт как и факт - наличие объяснения MS почему ключ называется именно так и есть ещё один факт - никто не доказал, что этот ключ предназначен для чего-то незаконного и т.п.

Цитата:
Я говорю не о некоторых, а о авторе TrueCrypt.
А он точно автор? Если да, то спросите у него почему он слился и забросил трукрипт - вместе потом посмеёмся.

Цитата:
...авторы которого ударились в копирастический маразм с отложенными проверками чем подписан его main файл...
Джетико коммерческая контора - как хотят так и выстраивают свою политику, а вас непонятная злоба душит.

Цитата:
Не технический анализ, не изучение исходного кода, даже не поверхностный анализ через дизассемблеры.
Ну сделайте сами - всяко лучше получится, чем у какого-то Шнайера (именно так правильно пишется его фамилия на русском языке).

Цитата:
Тоже самое можно сказать и о bitlocker и о чём угодно.
Конечно, но только надо учитывать маленький фактик - MS огромная корпорация и она осуществляет поддержку конкретной редакции винды с десяток лет.

Цитата:
Многообразие алгоритмов и подходов мешает атакующему сосредоточиться на чём-то одном.
Ханаанский бальзам.

Цитата:
Нет, но наблюдения показывают, что наиболее злостные копирасты из бывшего совка.
У вас с головой проблемы - извините я не заметил этого факта сразу.

Цитата:
National Security Letter в отношение lavabit тоже никто не видел, а правовые акты по разного рода prism проходили как позорные секретные судебные заседания. Никто не видел и авторов stuxnet.
Непонятно зачем оно тут, в этом топике, надо.
 
Добавлено:
kavsrf

Цитата:
Как это работает по собственному опыту и почему коммерческий софт не всегда хорошо, относительно open source...
Да это понятно всё - в комм. на кону деньги и контроль могут ослабить из-за сроков выполнения заказа, а в os ошибку могут допустить ровно по тем же причинам - слабый контроль (или полное его отсутствие) и сроки - хочется быстрее зарелизится и т.д. и т.п..
 
Полно ведь печальных примеров в os - то ли косяков тупых, то ли закладок хитрых (heartbleed и т.д.).
 
P.S. В общем я не сторонник споров, что лучше - коммерческий закрытый софт или open source т.к. не считаю, что открытый код это непременно качественный код (ну и наоборот конечно тоже).

Всего записей: 19315 | Зарегистр. 15-09-2001 | Отправлено: 18:34 13-05-2017
lmbaStrike

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
"В трукрипте создаётся дополнительная копия хэдера - ой вэй, это шпионство!"

Да хоть 10, Backup Header зашифрован так же, как и основной Header, но с другой солью. В отличие от ключа восстановления, Backup Header не упрощает расшифровку диска злоумышленником.

Всего записей: 12 | Зарегистр. 18-04-2017 | Отправлено: 09:04 15-05-2017 | Исправлено: lmbaStrike, 09:05 15-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lmbaStrike

Цитата:
В отличие от ключа восстановления, Backup Header не упрощает расшифровку диска злоумышленником.
А как упрощает расшифровку ключ восстановления если его никто не знает кроме владельца?
 
Ну и вдогонку ответьте пожалуйста на вопрос как упрощает расшифровку ключ восстановления если этого ключа восстановления нет/удалён?
 
P.S. Вы ребята похоже не понимаете/не делаете разделения софта на несколько категорий - софт из первой  может использовать каждый и повсеместно, а из второй предназначен (пока?) только для гиков/энтузиастов.

Всего записей: 19315 | Зарегистр. 15-09-2001 | Отправлено: 09:50 15-05-2017
lmbaStrike

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А как упрощает расшифровку ключ восстановления если его никто не знает кроме владельца?

При чём тут знает / не знает? Ключ восстановления (ключ шифрования) в файл сохраняется. Это упрощает расшифровку за счёт создания дополнительных путей получения ключа шифрования цели.
 

Цитата:
Вы ребята похоже не понимаете/не делаете разделения софта на несколько категорий - софт из первой  может использовать каждый и повсеместно, а из второй предназначен (пока?) только для гиков/энтузиастов.

Учитывая вышесказанное, майкрософтовский БитЛокер, даже если  отбросить недоверие к нему, как раз не подходит для повсеместного использования, поскольку требует учёта многих проблем безопасности, ВераКрипт же позволяет зашифроваться в несколько кликов и каждый шаг подробно расписан по мере выполнения шифрования.
 
Большинство пользователей, например, вообще не заметят, что их битлокеровский ключ улетел в OneDrive.

Всего записей: 12 | Зарегистр. 18-04-2017 | Отправлено: 08:15 21-05-2017 | Исправлено: lmbaStrike, 08:15 21-05-2017
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
Разве не ARM (хотя возможно путаю)?  

Начиная с 100-й серии чипсетов, если память не подводит - и то, и другое (2 ядра x86 и одно ядро ARM).
 
Насчёт прикручивания SGX я как-то сомневаюсь, во-первых, оно ведь только в Skylake появилось (а всё предыдущее железо в пролёте?), во-вторых, его (SGX) уже успешно атаковали, по доносящимся слухам...
 
Про битлокер есть интересное чтиво

Всего записей: 4677 | Зарегистр. 20-10-2006 | Отправлено: 03:17 22-05-2017 | Исправлено: Dart Raiden, 22:43 08-01-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69

Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru