Доступен (https://veracrypt.codeplex.com/wikipage?title=Release%2...) релиз проекта VeraCrypt 1.17 (https://veracrypt.codeplex.com/), в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt, прекратившей (https://www.opennet.me/opennews/art.shtml?num=39889) своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и OS X, устранением проблем (https://veracrypt.codeplex.com/discussions/569777#PostConten...), выявленных в процессе аудита (https://www.opennet.me/opennews/art.shtml?num=39573) исходных текстов TrueCrypt. При этом, VeraCrypt предоставляет режим совместимости с разделами TrueCrypt и содержит средства для преобразования TrueCrypt-разделов в формат VeraCrypt. Код VeraCrypt поставляется под лицензией Apache 2.0.
Основные изменения:
- Поддержка использования Unicode-символов в паролях;
- Внесены оптимизации, позволившие наполовину сократить время монтирования и загрузки;
- В реализации Whirlpool PRF некоторые критичные к производительности участки переписаны на языке ассемблера, что ускорило работу кода примерно на 25%;
- Добавлена поддержка создания разделов exFAT;
- Добавлен графический индикатор энтропии, показывающий уровень случайных данных, накопленных при движении мышью;
- В состав включены новые пиктограммы и графически элементы;
- В сборках для Linux и OSX решены проблемы с генерацией через интерфейс командной строки разделов с ФС, отличными от FAT;
- В опции "--size" теперь можно использовать суффиксы K/M/G/T для определения размерности задаваемой величины;
- Внесена большая порция исправлений, специфичных для платформы Windows, в том числе устранены несовместимости с антивирусными пакетами Comodo и Kaspersky, а также устранена уязвимость (https://capec.mitre.org/data/definitions/471.html) (CVE-2016-1281), позволяющая осуществить атаку (http://www.binaryplanting.com/) через загрузку в инсталляционную директорию подставной DLL-библиотеки.
URL: https://veracrypt.codeplex.com/wikipage?title=Release%2...
Новость: http://www.opennet.me/opennews/art.shtml?num=43871
завтра потестим, монтировалось действительно значительнее медленнее старого трукрипта.
Монтировалось оно медленнее, потому что добавили раундов шифрования. Если не устраивает время монтирования, поиграйтесь с числом PIM (только сначала поглядите в мануале, что это и до каких величин его сравнительно безопасно можно снижать).
Сейчас монтируется дольше, чем в TrueCrypt, но конкретно в этой версии монтирование сильно ускорили. Сразу чувствуется, я ещё на бета версиях это заметил.
Пользуюсь с момента форканья, было много инцидентов, когда доступ к зашифрованным данным был необходим гос. органам, веракрипт всегда спасал.
Какое узкое у вас воображение, видимо задача взята из личного.
Ну да, вы финансовую информацию шифруете, оно и понятно - офшоры, черная бухгалтерия и т.д.
Не обязательно, обычное делопроизоводство предприятия, совершенно белое, не подотчётное лучше шифровать максимально. Защищает от быстрого рейдрества. В лучае захвата друзьями, детьми и прочими хорошими знакомыми чиновников, управлять предприятием будет чуть сложнее.
Ни один работник всё равно не держит всего в голове.
Ему достаточно держать в голове только пароли =)
Да и у вас по гост все зашифровано?
Платите все налоги, храните в рублях - и будет Вам персональное счастье.
Нет денег -- нет проблем?
Вы не поверите, но шифровать диск необходимо не только для сокрытия незаконной инофрмации, но и для вполне легальных вещей. Например, если Вы храните на машине приватный ключ, то наличие шифрования диска может Вас сравнительно обезопасить от злоумышленника, получившего физический доступ к Вашей машине.
> обезопасить от злоумышленника, получившего физический доступ к Вашей машине.Если бы только к машине. Флешки и внешние винты с критичной информацией могут загулять ничуть не хуже, чем корпоративные ноутбуки.
У меня всегда с собой в кармане флешка с ключами к купленному софту и паролями к почтам и прочим аккаунтам - никогда не знаешь, в каком филиале что понадобится. И я таки совершенно не боюсь ее однажды потерять...
это Вы к тому, что у органов есть бэкдоры для веры?
Если вдруг есть... Где у нас проживает основатель форка?
А как же спаслись от анального криптоанализа? Только не говорите что ваши шифрованные миллионы нефти никто не обнаружил, а Вам поверили на слово что там "не подотчетное".
SSL сертификат сайта выдан Microsoft Corporation?
Нет-нет, я не параноик и шапочки из фольги у меня нет.
Но, как-то...
А смысл, если аудит неотвратим?
Вероятно потому что это майкрософтовский сайт вообще.
Мне вот интересно, чем шифруют инфу во всяких АНБ? У них там проприетарщина с бэкдурами на случай потери пароля? Или открытые популярные решения вроде трукрипта?
самописный софтваре с самописными же алгоритмами
Не шифруют вообще, ибо так самим проще за собой следить.
Одни шифруют самописным кодом, другие коллеги ломают. Потом наоборот.
CodePlex is Microsoft's free open source project hosting site.
Без достоверного знания о причинах сворачивания TrueCrypt всегда будут оставаться сомнения в продолжателях )
А если получишь достоверное знание, то сразу поверишь продолжателям? :) Пользователи TrueCrypt/VeraCrypt не должны никому верить!
> А если получишь достоверное знание, то сразу поверишь продолжателям? :) Пользователи TrueCrypt/VeraCrypt
> не должны никому верить!От родных карателей - TrueCrypt/VeraCrypt, от буржуйских - соответственно GOST/IDEA.
Если он узнает, что P = NP, то побежит всем рассказывать. Поэтому он не узнает.
А GPT разметку оно видит?
> А GPT разметку оно видит?Пока нет.
> А GPT разметку оно видит?А баг у них хотя бы открыт? Известно с чем задержка?
ГОСТовых алгоритмов не увидел, русские криптоманьяки, расходимся :)
Российские криптоманьяки больше боятся родного ФСБ, чем заморского АНБ. Поэтому и российское крипто стараются не юзать. Для зарубежных товарищей есть GOSTCrypt.
Правительство каждой из стран дешифровали на брудершафт
> Добавлен графический индикатор энтропии, показывающий уровень случайных данных, накопленных при движении мышью;Это явно не случайность
Ага, на случай зонда, который управляет рукой, которая держит мышь.
> Ага, на случай зонда, который управляет рукой, которая держит мышь.Не, просто уровень энтропии теперь можно будет перехватывать по эм излучению монитора, что понижает криптоскойкость на 239.567%
А ещё ретина теперь поддерживается.
> уязвимость (CVE-2016-1281)https://github.com/veracrypt/VeraCrypt/commit/5872be28a243ac...
+static void LoadSystemDll (LPCTSTR szModuleName, HMODULE *pHandle)
+{
+ wchar_t dllPath[MAX_PATH];
+
+ /* Load dll explictely from System32 to avoid Dll hijacking attacks*/
+ if (!GetSystemDirectory(dllPath, MAX_PATH))
+ StringCbCopyW(dllPath, sizeof(dllPath), L"C:\\Windows\\System32");
+
Н-да. Прям ... не встать. Обратная совместимость (и заодно, назначение виноватых) а ля ынтырпрайз эдишн.
Этой "уязвимости" уже -цать лет. Только она не в VeraCrypte и еще в куче другого софта, а в "гениальном" загрузчике, подгружаещем первую попавшуюся либу по списку "текущая директория:дир. с екзешником:$WINDOWS:$WINDOWS\system:eще куча:$PATH"
Но да, загрузчик конечно же не при чем – ведь кому, как не злобному разрабу лучше знать и контролировать, откуда правильнее и лучше грузить системные либы *рукалицо*Просто тогда это была типа фичи или особенности загрузчика, так же довольно широко используемая в узких круга REшников, да и малварь одно время не брезговала таким простым способом заинжектить ДЛЛку.
Помню, RTF документ, плюс самописная, "скрытая" riched20.dll (честно при автозагрузке предуреждавшая, что она скомпилирована урезанной версией шестой вижуал студии типа "Introductory Edition" )) даже когда-то на дискете видел.
И да, при желании можно вполне нагуглить "пруфцы"
https://www.sans.org/security-resources/malwarefaq/32-nimda-... (2001 год)
> worm looks for .DOC and .EML files on remote systems
> when it finds these files, it copies its binary image with RICHED20.DLL name with system and
> hidden attributes to folders where these files reside (RICHED20.DLL is used to open OLE files)
> + StringCbCopyW(dllPath, sizeof(dllPath), L"C:\\Windows\\System32");А что, современная венда всегда на диске Це?
>> + StringCbCopyW(dllPath, sizeof(dllPath), L"C:\\Windows\\System32");
> А что, современная венда всегда на диске Це?А чем вас
+ if (!GetSystemDirectory(dllPath, MAX_PATH))
+ StringCbCopyW(dllPath, sizeof(dllPath), L"C:\\Windows\\System32");
конкретно не устраивает? Это же на случай, если GetSystemDirectory не сработал.
Во я все ещё сижу на старом добром TrueCrypt, стоит ли мигрировать на этот форк?
> Во я все ещё сижу на старом добром TrueCrypt, стоит ли мигрировать
> на этот форк?Я бы сказал, что стоит. Защита надежней, все уязвимости починены, исходный код доступен для аудита. Хотя если вам нужно использовать контейнеры вместе с другими пользователями, то проще остаться на трукрипте. Иначе смысл тогда в веракрипт? Хотя смысл есть. Обратная совместимость есть, и веракрипт умеет монтировать и даже создавать контейнеры трукрипта. А сторонние уязвимости все починены. Если пользуетесь трукриптом на линуксе, то веракрипт также означает для вас повышенное удобство в виде графического интерфейса.
> Защита надежней... чем грузины.
> все уязвимости починены
> сторонние уязвимости все починеныЭти заявления совсем не эквивалентны "прикрыто несколько некритичных мест", которое имело место в действительности.
> повышенное удобство в виде графического интерфейса
То есть вы даже не в курсе, что у ТС есть гуй, и беретесь давать такие советы?
По теме: по-прежнему полагаю, что менять ТС на какой-то из его форков не только не нужно, а скорее вредно. Ждем их грызни между собой - глядишь, кто-то кого-то поймает на горячем.
Да, не в курсе. Покажите пожалуйста.
> Да, не в курсе. Покажите пожалуйста.Даже если вас забанили в репозиториях - гугль по запросу "truecrypt gui" отнюдь не отмалчивается.
> Даже если вас забанили в репозиториях - гугль по запросу "truecrypt gui"
> отнюдь не отмалчивается.То есть его отдельно качать надо? Я так и думал. А речь о большем удобство, когда все эти дела из коробки идут.
> Я так и думал.Возможно. Вот только ваши думы опять не совпадают с действительностью.
>> Защита надежней
> ... чем грузины.Ну а че – защиту от Evil Maid ведь запилили! Тонко и изящно – проверкой загрузчика после загрузки им же.
Это ведь не глупые разработчики ТС, которых одно время, после того, довольно нашумевшего буткита Клейснера, чуть ли не травили[0], но которые упорно отказывались впилить такую же защиту. Просто придерживались мнения, что проверка целостности ПОСЛЕ возможного запуска левого кода – гиблое дело, в котором не особо преуспели даже Великие Защитники От Вирусов, т.к. хитрая малварь в случае буткитов тупо подсовывала при запросах оригинальный МБР.А то, что такая малварь, кроме тупого подсовывания оригинальных секторов может вообще после прочтения пароля самоудалится, восстановив "все как было" и записав пароль в неиспользуемый сектор – да не, слишком уж за уши притянуто, не может быт!1
Не говоря уже о том, что для таких сценариев встроенная камера или аппаратный кейлоггер сработают не менее эффективно.[0] я конечно утирую, но не слишком – новости в бложиках и масс-медиях типа "ТС можно расшифровать и усю защиту обойти!11" как и о(б)суждения всевозможными "специалистами" все еще можно нагуглить.
Насколько я понимаю, эта атака актуальна только для зашифрованных системных дисков. Признаться. никогда не видел необходимости в подобном шифровании.
Что-то в нем есть от попытки спрятаться в толпе, надев маску.
> Насколько я понимаю, эта атака актуальна только для зашифрованных системных дисков.Там, имхо, вообще многое было притянуто "за уши":
1. Буткит использовал "удаленную уязвимость" в адоб ридере – типа "открой пдфку в браузере и у тебя уведут пароль".
Однако, такому трояну, который получил рута и смог перезаписать МБР, этот самый пароль нужен, как рыбе зонтик – ведь у него уже есть доступ ко всем файлам.2. Сценарий "злобная горничная", т.е. у злоумышленника есть доступ непосредственно к компютеру/лэптопу:
Обычному персоналу делать больше нечего, как тайком дампить диск и ставить буткиты ...
А у "спецперсонала" в загашнике для этого дела наверняка и аппаратные кейлогеры и скрытые камеры с микрофонами и все остальное найдется.> никогда не видел необходимости в подобном шифровании.
Частично, из-за легаси – хоум, как таковой, раньше ведь не использовался и ПО хранило данные по принципу "кто в лес, кто по дрова" – частично в реестре, частично в том же каталоге с программой. Да и сами пользователи не отставали.
Вроде бы только в семерке МС стал жестче "продавливать" "правильное хранение" для ПО, но опять же, куча $TEMP (в каталоге с виндой, в профиле пользователя, просто в C:\), своп в виде файла на C:, невозможность безопасного удаления файлов на уровне ФС ... в общем, данные по всему диску разбросаны.Да и просто зашифровать профиль пользователя уже проблема, ведь с документацией "как оно работает" туговато и в код не глянешь.
Ну и да, в теории, засунуть втихаря, при наличии физического доступа, малварь уже сложнее – только хардкор^W буткит, наличие которого можно обнаружить, загрузившись с флэшки и сравнив хэши.
Чем оно лучше, dm-crypt(-a)?
А чем dmcrypt не устраивает ?
Например тем, что позволяет понять, что контейнер/файл зашифрован.
Должен быть какой-то механизм вывода мета финформации в отдельный файл. Или лучше вообще отсутствие его структуры.
Вы не поверите, но --header
Тела-то разработчиков TrueCrypt нашли?
> Пользуюсь с момента форканья, было много инцидентов, когда доступ к зашифрованным данным был необходим гос. органам, веракрипт всегда спасал.и давно оно начало спасать от анального криптоанализа?
С самого начала могло.
> С самого начала могло.
> https://u.pomf.is/jsqmbv.pngПри анальном криптоанализе спрашивают два пароля
Надо идею матрёшки и матрицы реализовать. Можно вводить пароль за паролем и всё равно не понятно, когда ты уже там.
Ага. Сделать целое дерево матрешек. И каждому сотруднику выдать свою комбинацию паролей для доступа в свою матрешку.
нет поддержки GPT (