Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Открыть новую тему     Написать ответ в эту тему

GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем зашифровать данные на диске

Текущая версия: 1.24-Update7 (от 7 августа 2020 г.)
Онлайн-документация | История версий

Бесплатная программа с открытым исходным кодом для шифрования данных «на лету» в компьютерах под управлением Windows, macOS и Linux.
VeraCrypt базируется на исходном коде программы TrueCrypt 7.1a, среди основных отличий — поддержка российской криптографии, увеличенное число итераций (более надёжное шифрование), поддержка шифрования EFI-систем. Поддерживаются тома и разделы, созданные с помощью TrueCrypt версий 6.x/7.x.


Подводные камни
Неактуальное (касающееся устаревших версий)

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 20:12 31-01-2016 | Исправлено: gjf, 11:13 19-03-2021
lmbaStrike

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Тут не совсем так. Ключ RSA TPM не отдаст, но операции с этим ключом проводить позволит т.е. скорее надо будет делать некоторую сборку в которую вставляется оригинальный TPM и потом используется для расшифровки.

Смотря, как реализована работа с TPM, информации подробной не нашёл, но, судя по схеме, TPM по конфигурации (PCR) выдаёт ключевую информацию, которая объединяется с хешем пина и далее используется для последовательной расшифровки.
 

Цитата:
В VC я не стал использовать RSA, а просто держу под PCR в TPM некоторый секрет, который подмешивается к паролю как и любой ключевой файл. Как мне кажется, этот подход не очень сильно влияет на защиту (ИМХО)

Я вообще не люблю TPM, в случае угона компа он никак не усилит защиту, но зато в случае сдохшего TPM о данных можно забыть. Но это личное мнение.

Всего записей: 12 | Зарегистр. 18-04-2017 | Отправлено: 14:48 25-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lmbaStrike

Цитата:
судя по схеме, TPM по конфигурации (PCR) выдаёт ключевую информацию

 
В TPM есть базовая операция SEAL/UNSEAL на ключе и при условии совпадения PCR т.е. в этом случае ключ не покидает чип как и в большинстве смарт карт.
 
идея TPM не сколько улучшить защиту в случае угона, сколько обеспечить корень доверия, чтоб авторизация проходила без закладок.  
 
От угона защита - отделять ключи и данные.(ИМХО)
 
Добавлено:
Про PCR - это не совсем простые регистры. Выставить их можно только через операцию extend т.е. значение PCR это цепочка операций extend

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 14:59 25-05-2017
lmbaStrike

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В TPM есть базовая операция SEAL/UNSEAL на ключе и при условии совпадения PCR т.е. в этом случае ключ не покидает чип как и в большинстве смарт карт.

Ну основная суть в том, что TPM имеет на входе PCR, а на выходе - ключ (секрет, ключевая информация, не важно, как называть), который далее используется. Как я понял, PCR в случае битлокера вычисляется на основе лишь конфигурации, это элементарная привязка к оборудованию без усложнения перебора.

Всего записей: 12 | Зарегистр. 18-04-2017 | Отправлено: 15:23 25-05-2017 | Исправлено: lmbaStrike, 15:24 25-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lmbaStrike

Цитата:
 это элементарная привязка к оборудованию

 
нет. это привязка к цепочке загрузки т.е. весь выполняемый код и данные измеряются. В чем-то лучше чем использование подписи. Меняешь параметры БИОС или установил новый модуль => сменились PCR => ключ нельзя достать => блокировка

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 15:59 25-05-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lmbaStrike

Цитата:
При наличии компа со всеми комплектующими без изменений TPM даже вскрывать не придётся, он сам выплюнет ключ...
Совсем уж бред начали вещать!

Цитата:
Остальное - ваши влажные фантазии, не вижу смысла в очередной раз разбирать всё.  
Ок, я принял ваш слив.

Цитата:
Ответьте на один вопрос, чем таким битлокер лучше веракрипт?
Зачем вы мне задаёте этот вопрос - разве я сравнивал эти две программы или как-то противопоставлял друг другу?
 
Добавлено:
lmbaStrike

Цитата:
...но зато в случае сдохшего TPM о данных можно забыть.
Можно же создать резервный ключ не привязанный к TPM.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 11:35 29-05-2017
chert665

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приобрел новый ноутбук aser es-533
в биосе отключил secure boot ( tpm отключил)
диск uefi gpt виндоус ставил и 1703 и LTSB 1607 (думаю разнице нет)
диск разбивал на разделы и оставлял полностью всё под систему ( и так и так пробовал)
После установки версии vc 1.19 шифрую системный диск, он проходит проверку (перезагрузка запрос пароля) начинает шифрование. После окончания, и следующих перезагрузок винда выдает восстановление системы (загрузчик VC не цепляется)  
пробовал новую версию 1.20-BETA2p2, шифрую системный раздел ввожу пароль, после предложения перезагрузить пк для проверки пароля, система перезагружается запроса пароля нет.  
проблема видится в том что загрузчик VC не может прописаться , как это исправить?  

Всего записей: 5 | Зарегистр. 02-03-2017 | Отправлено: 13:50 29-05-2017 | Исправлено: chert665, 16:57 29-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скорее всего проблема в том что БИОС всегда загружает bootmgfw.efi
 
Можно попробовать решить проблему как здесь описано
https://sourceforge.net/p/veracrypt/discussion/technical/thread/5b859040/#34c2/a892
 
Еще делал возможность установить загрузчик как драйвер, а не как OS loader. тогда не должен слетать, но не проверял...  Параметр  DcsDriver=1 в файле DcsProp

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 19:25 29-05-2017
chert665

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
так  
 
mountvol o: /s
ren o:\EFI\Microsoft\Boot\bootmgfw.efi bootmgfw_ms.efi
copy o:\EFI\VeraCrypt\DcsBoot.efi o:\EFI\Microsoft\Boot\bootmgfw.efi
notepad o:\EFI\VeraCrypt\DcsProp
inside of the notepad window that should have opened, add the following line  
<config key="DcsDriver">1</config>
File > Save
close notepad
 
по той инструкции стал появляться запрос на пароль, но видимо у меня загвоздка в самом ноутбуке он не реагирует на нажатие клавиатуры. (тоже самое когда хотел в  загрузиться в безопасный режим, не работает клавиатура)
но если запустить загрузчик VC с юсб диска восстановления пароль могу ввести.  
чтот асер намудрил.. как бороться не знаю

Всего записей: 5 | Зарегистр. 02-03-2017 | Отправлено: 21:11 29-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
лучше сделать по инструкции - ActionSuccess прописать
 
DcsDriver=1 возможно стартует драйвер перехватчик до клавиатуры - это не определяется стандартом, по этой причине не стал эту схему загрузки делать основной. (можно пробовать, но тут уж как сделан БИОС)

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 00:28 30-05-2017
chert665

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо по инструкции селал ActionSuccess прописал, но не могу ввести пароль клавиатура не реагирует, как выше писал.
Вот остаётся видимо последний вариант с DcsDriver=1, но не могу понять как и куда это прописать. Можно пожалуйста, чenm подробней.  
 
Кстати, битлокер тоже не справился, клавиатура не реагирует на экране ввода пароля.

Всего записей: 5 | Зарегистр. 02-03-2017 | Отправлено: 10:04 30-05-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
chert665
 
DcsDriver=1 сделан в 1.2b2p2.  
 
Если DcsDriver=1, то DcsBoot.efi устанавливается как драйвер(установка происходит автоматически, если до этого был DcsDriver=0 (умолчание))  
 
Если DcsDriver=0, а до этого было DcsDriver=1, то происходит удаление драйвера и установка как загрузчик.
 
Внешняя клавиатура тоже не работает?

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 11:20 30-05-2017
chert665

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
внешняя работает, в VC (после этих действий https://sourceforge.net/p/veracrypt/discussion/technical/thread/5b859040/#34c2/a892 ) и в битлокере, но встроенная не реагирует.
 
видимо это "особенность" ноутбука, буду его менять.  

Всего записей: 5 | Зарегистр. 02-03-2017 | Отправлено: 14:57 30-05-2017
tramparamparam02



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возник такой вопрос. Предположим, у оппонента имеется правильный пароль и некоторая часть (одна десятая? половина?) зашифрованного тома. Имеется ли значимая вероятность, что он сможет извлечь оттуда данные? Или нужен только целый том? Предполагаю, что ответ зависит от того, как именно организовано размещение данных внутри файла-носителя - но я не знаю, как она там размещается.
 
Я понимаю, что вопрос экзотический, но прошу, по возможности, воздержаться от обсуждения его смысла а также моих личных свойств, сексуальных привычек и т.п. Просто ответьте, если кто знает.
Заранее спасибо!

Всего записей: 2014 | Зарегистр. 30-03-2016 | Отправлено: 10:50 05-06-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tramparamparam02
 
Ключи находятся в двух заголовках
1. Главный заголовок: Основной том - 0 сектор;  скрытый том - 128 сектор
2. Резервный заголовок: Основной том - конец тома  минус 256 сектор;  скрытый том - конец тома  минус 128 сектор
 
Если заголовки попали в руки оппонента - расшифровка возможно.
 
Заголовки зашифрованы на пароле.
 
Для борьбы с этим можно применять ключевые файлы. Тогда к паролю подмешивается ключевой файл и знание пароля без этого файла не важно. Аналог двух факторной авторизации - что знаю, что имею.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 11:08 05-06-2017
tramparamparam02



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf 11:08 05-06-2017
Цитата:
Ключи находятся в двух заголовках.
1. Главный заголовок: Основной том - 0 сектор;  скрытый том - 128 сектор  
2. Резервный заголовок: Основной том - конец тома  минус 256 сектор;  скрытый том - конец тома  минус 128 сектор
Если заголовки попали в руки оппонента - расшифровка возможно.

Благодарю (не рассчитывал на столь быстрый ответ).
Но для большей ясности переспрошу. Вы пишете "если заголовки попали в руки оппонента" (во множественном числе). То есть, оппоненту необходимо завладеть обоими заголовками? Или достаточно всё-таки любого из них?

Всего записей: 2014 | Зарегистр. 30-03-2016 | Отправлено: 11:22 05-06-2017 | Исправлено: tramparamparam02, 11:23 05-06-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tramparamparam02
Достаточно одного для расшифровки. Основной и резервный заголовки равнозначны. Отличаются только солью.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 13:06 05-06-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tramparamparam02

Цитата:
Или достаточно всё-таки любого из них?
Достаточно одного для каждого вида тома (основного или скрытого).

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 13:06 05-06-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вроде Монье вернулся к работе. На днях, вероятно, будет релиз 1.20

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 01:29 11-06-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf
Можно ли монтировать внешний том с защитой скрытого, не вводя пароль скрытого? Ведь играет роль только его смещение от начала контейнера. Т.е. почему бы не спросить у пользователя это смещение вместо пароля?
 
Ваша утилита позволяет что-то такое реализовать: создать заголовок с простым паролем под нужное смещение, например, в секторе 255, переставить на 128, смонтировать с защитой, потом восстановить положение заголовков и содержимое 255-го.
 
Под это просто сделать батник, запрашивающий смещение, кроме пары моментов:
- нужно генерировать ключевой файл,
- нужно знать размер внешнего тома.
Ключевой файл, наверно, можно просто приложить к батнику и использовать при каждом монтировании — им ведь ничего не шифруется. Спалится только факт его использования, но не величина смещения.
 
А как быть с размером? До ввода пароля от внешнего тома его точное значение неизвестно. Можно ли для защиты указать число, превосходящее даже размер контейнера — терабайт, скажем?
 
P. S. Вспомнил этот момент:
kavsrf 16:21 11-04-2017
Цитата:
формат пишет некоторые данные в хвост раздела.

Да, значит, защищаемая область не должна захватывать последние 128 KB внешнего тома.
Но предположим, пользователь собирается просто работать с файлами, а не форматировать внешний том. Можно ли делать правую границу защищаемой области «бесконечностью»?

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 02:58 22-06-2017 | Исправлено: emhanik, 18:51 22-06-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik
Защита внешнего контейнера - это просто ограничение на запись т.е. может быть любая.  
 
Про всякое улучшение - это проблема в стабильности драйвера. Там нужна более гибкая структура запроса для монтирования, а Монье консервативен в изменении драйвера. я не смог найти спонсоров на покупку ключа подписи для создания своей ветки т.е. пока браться за эту доработку не стал. Вообще много вопросов есть. Как пример:
1. Скрытые без заголовочные контейнеры(отделить ключи и данные полностью, сохранить совместимость)
2. Монтирование на подкаталог, а не на букву
3. Сделать криптосистему модульной  
 
 

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 20:09 23-06-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru