Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Открыть новую тему     Написать ответ в эту тему

GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем зашифровать данные на диске

Текущая версия: 1.24-Update7 (от 7 августа 2020 г.)
Онлайн-документация | История версий

Бесплатная программа с открытым исходным кодом для шифрования данных «на лету» в компьютерах под управлением Windows, macOS и Linux.
VeraCrypt базируется на исходном коде программы TrueCrypt 7.1a, среди основных отличий — поддержка российской криптографии, увеличенное число итераций (более надёжное шифрование), поддержка шифрования EFI-систем. Поддерживаются тома и разделы, созданные с помощью TrueCrypt версий 6.x/7.x.


Подводные камни
Неактуальное (касающееся устаревших версий)

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 20:12 31-01-2016 | Исправлено: gjf, 11:13 19-03-2021
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Самый быстрый и простой способ:
 
1) сходить в биос по указанному в шапке адресу и отключить SecureBoot, чтобы иметь возможность загрузиться
2) расшифровать системный раздел
3) обновить VeraCrypt до актуальной версии (иначе, магия не сработает)
4) зашифровать системный раздел
 
Свежие версии VeraCrypt при шифровании системного раздела сами кладут сертификаты в нужное место, больше ничего вручную делать не требуется, как это было годы назад
 
5) включить SecureBoot обратно
 
 
 
Более сложный способ, напоминающий удаление гланд через задницу:
1) отключить SecureBoot
2) загрузиться
3) отмотать историю репозитория VeraCrypt до версии 1.22
5) взять из репозитория PowerShell-скрипт и сертификаты, следовать инструкции из щапки

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 19:37 13-03-2019 | Исправлено: Dart Raiden, 19:52 13-03-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden

Цитата:
Самый быстрый и простой способ
Самый быстрый, простой и безопасный это загрузиться со стороннего носителя - всегда!

Цитата:
Свежие версии VeraCrypt при шифровании системного раздела сами кладут сертификаты в нужное место...
Она предупреждает о том, что заменяет сертификаты SB?
 
В принципе в таком случае никакого смысла нет пользоваться SB т.к. вы заменяете одного хозяина платформы (MS) на другого (неизвестного). Проще отключить SB совсем (ну или создать свои ключи и подписать ими загрузчик... хотя какой толк - вам ведь всё равно придётся использовать серт MS если та же видеокарта не древняя, а это опять построение "безопасности на доверии" ).
 
 
Добавлено:
Diabolik

Цитата:
Как их затолкать-то в BIOS? Чем и что именно?
Я дал ссылку выше (что бы разобраться как оно в ручном режиме работает). Но если при отключении SB загрузка не происходит, то проблема не в нём.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 20:16 13-03-2019
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Она предупреждает о том, что заменяет сертификаты SB?  

Добавляет, не заменяет.
Насчёт предупреждения не знаю, я уже не использую сабж, лишь слежу за развитием.
 

Цитата:
Самый быстрый, простой и безопасный это загрузиться со стороннего носителя - всегда!

Загрузились вы со стороннго носителя, что будете делать дальше?
 
Добавлять сертификаты? Тогда "загрузка с внещнего носителя + добавление сертификатов" оказывается медленнее, чем "изменить одну настройку в биосе, загрузиться штатно и добавлять сертификаты".
 
Расшифровывать системный раздел? А зачем его расшифровывать со стороннего носителя, когда можно просто загрузиться в текущую систему и расшифровать?
 
Если проблема лишь в том, что SB мешает загрузиться (то есть, после его отключения пароль подходит и загрузка проходит штатно), то никакого резона городить огород со сторонними носителями нет.
 

Цитата:
В принципе в таком случае никакого смысла нет пользоваться SB

Странная логика: "если в прошивке сертификаты MS и VeraCrypt, то давайте и всех остальных пустим". Ну да, на этом ПК сможет загружаться всё, что угодно, подписанное приватнымм ключами Microsoft и IDRIX, но те, у кого этих приватных ключей нет, обломятся. Почему сразу надо отказаться от возможности подложить злоумышленнику не идеальные, но грабельки?
 
SB вообще не панацея, а лишь элемент защиты, небезупречный, см. Super UEFIinSecureBoot Disk, который позволяет вообще обойти SB и загрузить неподписанные бинарники (комменты интересно почитать тоже, если отбросить шелуху типа "SB это изобретение кровавого Микрософта, чтобы я не мог пердолиться со своим Линуксом").
 

Цитата:
вам ведь всё равно придётся использовать серт MS если та же видеокарта не древняя

А подписать GOP своим ключом нельзя? Есть же GOP Updater, который содержит GOP-драйверы (подписанные MS) внешних видеокарт (с целью обновить этот драйвер в прошивке видеокарты). Интеренсо, что будет, если подписать GOP своим ключом и затем загнать его всё тем же апдейтером в прошивку видеокарты (которую уже прошить в саму видеокарту). А вот что делать с прошивками NVME-накопителей, это вопрос...
 
впрочем, все это сугубо теория: на практике, если VeraCrypt используется для шифрования системного раздела (и начинается вся эта пляска с SB), то мы априори на платформе Windows, а если мы на платформе Windows, то нам по любому нужны сертификаты Microsoft (ядро-то мы не подпишем своим ключом), а если у нас есть сертификаты Microsoft, то в прошивку видеокарты лезть и не надо.

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 00:43 14-03-2019 | Исправлено: Dart Raiden, 01:31 14-03-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden

Цитата:
Добавляет, не заменяет.
Это невозможно т.к. необходимо иметь доступ к приватному ключу PK которым подписываются KEK, DB и DBX и которые же проверяются с помощью публичного ключа PK, стоящего наверху иерархии (я выше ссылку на отличную статью приводил).

Цитата:
Насчёт предупреждения не знаю, я уже не использую сабж, лишь слежу за развитием.
Аналогично.

Цитата:
Загрузились вы со стороннго носителя, что будете делать дальше?
То же что и всегда в подобном случае - вытащу критичную инфу с проблемного диска.

Цитата:
Добавлять сертификаты? Тогда "загрузка с...
Я когда пишу пост, то слова в нём расставляю не абы как. гыгы
 
Если диск проблемный и нет бэкапа, то сначала надо спасать инфу, а уж потом заниматься восстановлением загрузки.

Цитата:
Расшифровывать системный раздел? А зачем его расшифровывать со стороннего носителя, когда можно просто загрузиться в текущую систему и расшифровать?
Я не писал про то, что его надо расшифровывать - я писал про то, что надо загрузиться с внешнего носителя, смонтировать контейнер (диск шифрованный, раздел - это всё контейнеры...) и вытащить инфу, ну и ещё писал, что неплохо бы на всякий случай сделать посекторную копию.

Цитата:
Если проблема лишь в том, что SB мешает загрузиться
Diabolik же написал, что отключение SB также не позволяет загрузиться, а стало быть проблемы с загрузчиком или диском.  

Цитата:
Странная логика: "если в прошивке сертификаты MS и VeraCrypt, то давайте и всех остальных пустим".  
Ещё более странно организовывать "безопасность на доверии".

Цитата:
Почему сразу надо отказаться от возможности подложить злоумышленнику не идеальные, но грабельки?
Вот вы опять мне приписываете то, что я не произносил! Если я в чём-то не вижу смысла, то возможно, что для кого-то смысл там таки есть и потому каждый решает за себя сам.

Цитата:
SB вообще не панацея, а лишь элемент защиты, небезупречный, см. Super UEFIinSecureBoot Disk, который позволяет вообще обойти SB и загрузить неподписанные бинарники
Это не совсем так ибо:

Цитата:
Образ состоит из трех компонентов: предзагрузчика shim из Fedora (подписан ключом Microsoft, предустановленным в подавляющее большинство материнских плат и ноутбуков)...
Загрузчик подписан и этим всё сказано!
 
И чтобы два раза не вставать - SB обходится только вмешательством в работу биос (см. статьи Николая Шлея).
 
Ну а про этот диск - ппц, слов просто нет! Зачем майки подложили всем такую свинью и подписали именно этим ключом обычный загрузчик! Свинство и мерзость просто.
Теперь без подписывания своим ключом прошивок всех устройств в SB нет совершенно никакого смысла.
(Впрочем в нём и так немного смысла ибо диски зашифрованы и если кто получит к компу физ. доступ, то пусть загружается хоть с чего до посинения.)

Цитата:
...отбросить шелуху типа "SB это изобретение кровавого Микрософта, чтобы я не мог пердолиться со своим Линуксом"
Это коменты неграмотных людей ибо пока замена сертификатов в биос не залочена, то можно самому подписать любой загрузчик и т.д.

Цитата:
А подписать GOP своим ключом нельзя?
Наверное можно, но так как я сварщик не настоящий, то по понятным причинам не экспериментирую с перепрошивкой биос видеокарт (ну очень уж они дорогие сейчас, а тех которых не жалко под рукой нет). Думаю, что если с прошивкой проблем не будет и видеокарта стартует, то самодельная подпись её драйвера пройдёт проверку в SB (при условии конечно, что вы создали всю цепочку ключей/хранилищ ключей и все их подписали).

Цитата:
А вот что делать с прошивками NVME-накопителей, это вопрос...
А в чём там проблема (я пока не обзавёлся NVMe - у меня только обычные SSD)

Цитата:
на практике, если VeraCrypt используется для шифрования системного раздела (и начинается вся эта пляска с SB), то мы априори на платформе Windows, а если мы на платформе Windows, то нам по любому нужны сертификаты Microsoft (ядро-то мы не подпишем своим ключом)...
Немного не так, вернее совсем не так. Мы можем подписать своей подписью загрузчик Windows - SB отработает и загрузка произойдёт, а ядро нам подписывать совсем не нужно т.к. оно не проверяет же подпись загрузчика.
 
P.S. Приятно пообщаться с тем кто понимает в теме!
 
 

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 12:17 14-03-2019
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Чет предложенный тобой LiveCD на данном ноуте грузится оказывается. Тупо зависает с черным экраном. Видимо потому что сделан на базе Win7, а железо у ноута сильно свежее. И кстати загрузившись на обычном компе, VeraCrypr в составе не нашел.  
 
Если диск физически вытащить и смонтировать крипто-том с другого компа с VC - прокатит? Или крипто-том привязан к конкретному железу? Как вообще смонтировать такой том? Я за 2 года все уже забыл.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 16:11 14-03-2019 | Исправлено: Diabolik, 22:03 14-03-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik

Цитата:
Чет предложенный тобой LiveCD на данном ноуте грузится оказывается.
Желание помочь было ошибочным! (шутка)

Цитата:
Видимо потому что сделан на базе Win7, а железо у ноута сильно свежее.
Там конструктор... загружайся из образа с десяткой... (хотя разницы никакой нет и работает оно всё одинаково хорошо).

Цитата:
И кстати загрузившись на обычном компе, VeraCrypr в составе не нашел.
Это мне минус или твоей невнимательности? Оно есть там - посмотри в меню или поиск заюзай.

Цитата:
Если диск физически вытащить и смонтировать крипто-том с другого компа с VC - прокатит?
Да (я вроде писал об этом).

Цитата:
Или крипто-том привязан к конкретному железу?
Если с помощью TPM разблокировалось, то могут быть нюансы грустные.

Цитата:
Как вообще смонтировать такой том? Я за 2 года все уже забыл.
Запускаешь прогу, выбираешь нужный раздел, при монтировании вводишь пароль.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 22:19 14-03-2019
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Цитата:
Запускаешь прогу, выбираешь нужный раздел, при монтировании вводишь пароль
Так и сделал. Не монтируется.
https://cdn1.savepice.ru/uploads/2019/3/14/5a069c272a2ad2f533f7889e85a5ef2f-full.png
https://cdn1.savepice.ru/uploads/2019/3/14/db4acd905c5aa6347ffb49b8e569a860-full.png
Пароль верный, а вот все остальное я уж и не вспомню чего я там делал один раз, два года назад.
Цитата:
Если с помощью TPM разблокировалось, то могут быть нюансы грустные.
Вроде нет. Не думаю что если шифруешь через VC, то имеет смысл использовать что-то еще стороннее. Как это можно узнать?

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 23:20 14-03-2019 | Исправлено: Diabolik, 23:25 14-03-2019
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin 22:19 14-03-2019
Цитата:
Оно есть там - посмотри в меню или поиск заюзай.

С этими Live'ми бывает, что ОС загружается, а меню с дополнительными программами нет. Приходится повторно грузиться, до победы.
 
Diabolik 23:20 14-03-2019
Цитата:
Так и сделал. Не монтируется

Отметили опцию «Монтировать раздел с шифрованием ОС»?

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 22:18 15-03-2019
solgerg

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden

Цитата:
...я уже не использую сабж, лишь слежу за развитием

WildGoblin

Цитата:
Аналогично

Друзья, если не секрет, почему? Найдено новое, более адекватное решение либо предпочли другой криптософт? Какой?
Очень важно ваше мнение..
Заранее благодарю

Всего записей: 130 | Зарегистр. 26-09-2006 | Отправлено: 18:15 16-03-2019
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BitLocker, поскольку в то время VeraCrypt не умела использовать TPM + требовала расшифровки диска перед крупными обновлениями Windows.
Теперь умеет, но что-то менять пока лень.
 
 
WildGoblin

Цитата:
А в чём там проблема (я пока не обзавёлся NVMe - у меня только обычные SSD)  

Насколько я понимаю, если мы хотим грузиться с NVME (который, независимо от форм-фактора (HHLL, M.2, SATA-Express, U.2), неизбежно подключён по PCI-E), то тоже нужна подпись. И если перепрошить видеокарту, в общем, несложно, то чем перепрошить SSD - хрен знает.
 
Например, при отключении CSM (а это обязательное условие для работы SecureBoot) на современных мат.платах ASUS прошивка предупреждает:
«Notice: Due to Microsoft Secure Boot regulations,ensure the Microsoft signed UEFI driver is contained in the plugged PCI-E based storage including M.2 SSD before set the Launch CSM to [Disabled]. Otherwise the PCI-E based storages will be only available for the data drive usage. Contact the PCI-E storage vendor for the UEFI driver availability details»
 

Цитата:
а ядро нам подписывать совсем не нужно  

Я почему-то думал, что там идёт по цепочке проверка, то есть на каждом следующем шаге (загрузчик » ядро в данном случае) нужна тоже подпись. Видимо, ошибался.

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 20:50 16-03-2019 | Исправлено: Dart Raiden, 21:10 16-03-2019
solgerg

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden
Спасибо за разъяснение

Всего записей: 130 | Зарегистр. 26-09-2006 | Отправлено: 05:49 17-03-2019
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Забыл ещё про это. С BitLocker скорости намного выше.

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 10:39 17-03-2019 | Исправлено: Dart Raiden, 10:40 17-03-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik

Цитата:
Так и сделал. Не монтируется.
Возможно заголовок испорчен (можно восстановить из резервной копии).
 
emhanik

Цитата:
С этими Live'ми бывает, что ОС загружается, а меню с дополнительными программами нет. Приходится повторно грузиться, до победы.
Да, бывает. Да не обязательно перезагружаться - можно зайти в нужную папку и запустить нужное же.
 
solgerg

Цитата:
Друзья, если не секрет, почему? Найдено новое, более адекватное решение либо предпочли другой криптософт? Какой?
Я использую в винде нативный софт - битлокер.
 
Dart Raiden

Цитата:
Теперь умеет, но что-то менять пока лень.
А я вот ещё смысла менять не вижу.

Цитата:
Насколько я понимаю, если мы хотим грузиться с NVME (который, независимо от форм-фактора (HHLL, M.2, SATA-Express, U.2), неизбежно подключён по PCI-E), то тоже нужна подпись.
Это плохо.

Цитата:
Я почему-то думал, что там идёт по цепочке проверка, то есть на каждом следующем шаге (загрузчик » ядро в данном случае) нужна тоже подпись. Видимо, ошибался.
Может это я ошибаюсь... но думаю что задача SB это только проверка загрузчика и после оной этот механизм свою работу завершает, а далее уже включаются системы безопасности ОС.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 14:44 17-03-2019
solgerg

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Спасибо за ответ
 
WildGoblin

Цитата:
Возможно заголовок испорчен (можно восстановить из резервной копии).

..или не указан PIM, хотя при создании тома указывался.. или указан некорректный PIM..

Всего записей: 130 | Зарегистр. 26-09-2006 | Отправлено: 20:19 17-03-2019 | Исправлено: solgerg, 20:20 17-03-2019
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik
Цитата:
Отметили опцию «Монтировать раздел с шифрованием ОС»?
Кстати помогло. Хотя на другом диске эта опция не требовалась.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 18:14 31-03-2019 | Исправлено: Diabolik, 18:14 31-03-2019
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin

Цитата:
Ну а про этот диск - ппц, слов просто нет! Зачем майки подложили всем такую свинью и подписали именно этим ключом обычный загрузчик!

Они не только этот подписали. Я вам ещё веселее принёс:

Цитата:
Мне было интересно, можно ли как-то обойти необходимость добавления ключа через shim при первом запуске. Может, есть какие-то подписанные загрузчики, которые позволяют делать больше, чем рассчитывали авторы?
Как оказалось — такие загрузчики есть. Один из них используется в Kaspersky Rescue Disk 18 — загрузочном диске с антивирусным ПО. GRUB с диска позволяет загружать модули (команда insmod), а модули в GRUB — обычный исполняемый код. Пред-загрузчик у диска собственный.
 
С помощью подписанных файлов Kaspersky Rescue Disk мы добились «тихой» загрузки любых недоверенных .efi-файлов при включенном Secure Boot, без необходимости добавления сертификата в UEFI db или shim MOK.

https://habr.com/en/post/446072/

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 03:05 01-04-2019 | Исправлено: Dart Raiden, 03:05 01-04-2019
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden

Цитата:
Я вам ещё веселее принёс
Адок, да!
 
Теперь надо следить за обновлениями UEFI Revocation List File.
Ну и банить у себя все эти загрузчики которые MS зачем-то подписывает.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 12:28 01-04-2019
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо всем кто помогал с моей ситуацией! По итогу железку откачали (мосфеты перепаяли), данные вытащили, ОС переустановили. Теперь требуется все запереть по-новой. Использоваться будет VeraCrypt 1.23 Hotfix 2. Начиная с этой версии, вроде как не надо заморачиваться с запихиванием сертификатов в SecureBoot? Короче подскажите порядок действий чего и как делать, чтобы зашифровать системный диск? Что второй диск надо добавить в избранное с автомонтированием, я помню, но это все потом. Пока надо зашифровать системный SDD, порядок действий напомните.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 16:01 07-04-2019 | Исправлено: Diabolik, 18:32 07-04-2019
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Просто зашифровать системный раздел через интерфейс программы. Там удобный и понятный мастер.

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 15:01 09-04-2019 | Исправлено: Dart Raiden, 15:01 09-04-2019
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dart Raiden
Когда закрываешь крышку ноута, комп уходит в спящий режим. Мне надо чтобы при открытии крышки VC запрашивала ввод пароля. Где это настраивается?
 
Ну и периодически не срабатывает автомонтирование диска D при старте системы.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 13:15 10-04-2019 | Исправлено: Diabolik, 13:16 10-04-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru