Объявлено (http://www.truecrypt.org/news) о выходе новой версии одной из самых популярных открытых программ по шифрованию данных TrueCrypt 7.0 (http://www.truecrypt.org), позволяющей шифровать текущие дисковые разделы, создавать виртуальные шифрованные диски в одном файле и организовывать скрытые (http://www.truecrypt.org/hiddenvolume) зашифрованные области внутри уже зашифрованных разделов. Для шифрования используются алгоритмы AES-256 (/docs/?s=aes), Serpent (/docs/?s=serpent) и Twofish (/docs/?s=twofish). Программа доступна для операционных систем Linux, Windows и Mac OS X.
Из добавленных в TrueCrypt 7.0 улучшений (http://www.truecrypt.org/docs/?s=version-history) можно отметить:
- Добавлена поддержка аппаратной акселерации AES-шифрования, за счет использования AES-NI (http://www.truecrypt.org/docs/?s=hardware-acceleration)-инструкций новых процессоров Intel, что позволило увеличить скорость шифровки/расшифровки практически на порядок.
Тестирование (http...
URL: http://www.truecrypt.org/news
Новость: http://www.opennet.me/opennews/art.shtml?num=27368
> Перестали поддерживаться шифрованные разделы на floppy-дискахСразу захотелось попробовать!
Завтра на работе и попробую, если время будет
сначала надо на них raid5 собрать, а потом уже шифровать
Обновился.Молодцы они. Не зря я их задонейтил. Сковыряют версию под *BSD -- ещё задонейчу. :)
Оно когда-то работало под *BSD, разумеется вручную собранное, но потом им стало что-то в FUSE не нравиться. А вообще да, очень не хватает для спокойной переносимости приватных данных на флехе.
Чем geli(8) и gbde(8) не подходят?
Тут уже кто-то отвечал - переносимостью. geli - для серверов, TrueCrypt - для десктопов.
Каждая из технологий удобна на своём месте.
>Тут уже кто-то отвечал - переносимостью. geli - для серверов, TrueCrypt -
>для десктопов.
>Каждая из технологий удобна на своём месте.Не понял. PC-BSD — это десктопный дистрибутив FreeBSD с подержкой geli и gbde. Зачем тут левый TrueCrypt?
Я не хочу сказать, что нельзя использовать geli на десктопе. Можно, но в этом случае в качестве ОС - только FreeBSD.Набор ОС для TrueCrypt - гораздо больше, а процент использования этих ОС на десктопах несопоставим с FreeBSD (PC-BSD), к сожалению.
В идеале хотелось бы иметь контейнер, который можно было бы использовать в любой ОС.
какая либо программа под линуксом умеет создавать полностью зашифрованные загружаемые диски без всяких нешифрованных бутов ?
как вы себе это представляете?самое начало загрузчика, которое грузит биос и которому передает управление должно быть всетаки понятно процессору без какой либо обработки.
если вопрос стоит так - единственная возможность - убрать загрузчик на другое устройство, усложнить к нему доступ.
спрятать маленькую флешку, например в щели с нижней стороны столешницы, куда проще чем сныкать куда-нибудь хард
Читать в доке по TrueCrypt про pre-boot authentication.
> полностью зашифрованные загружаемые диски без всяких нешифрованных бутов ?А загрузчик (бутсектор например)кто расшифрует? Его ж BIOS читает! И BIOS ничего не знает о шифровании. Поэтому как минимум какой-то кусок загрузочного диска все-рано будет нешифрованным. Или, на выбор, BIOS не поймет что это за фигня и не сможет загрузиться :)
когда у тя 512 байт на алгоритм дешифровки запрос пароля и прочие необходимости запихать сюда же логирование пароля злым дядям будет сложнее (метод подмены загрузчика на злонамеренный, физический доступ к компу у них имеется, загрузочный сидюк у них имеется, мастерпароль от биоса у них имеется) чем когда у тя 100 метровый бут
>когда у тя 512 байт на алгоритм дешифровки запрос пароля и прочие
>необходимости запихать сюда же логирование пароля злым дядям будет сложнееА что вы сможете полезного втиснуть в 512 байт? Нахрен ненужный XOR? В противном случае система не будет загружаема. Помимо чтения умных док про загрузочные сектора надо бы ещё мозг включить. Та же загрузка GRUB например идёт иногда в три этапа - stage1, stage1_5 и stage2 как они их называют. Это только примитивно загрузиться, без шифрования (хотя пароль спросить может, но он нешифрованный хранится, насколько помню).
Боитесь троянов в MBR передающих в астрал терабайты порно с винта - сожгите ПК.
> Боитесь троянов в MBR передающих в астрал терабайты порно с винта - сожгите ПК.Не в астрал. Задача в том, чтобы получив твой комп физически, злоумышленники не смогли посмотреть оттуда ни байта столь вожделенной ими порнухи не применив к тебе ректотермальный криптоанализ.
Я что страшного, если они посмотрят загрузчик? О_о
Раздел-то с данными всё равно шифрованный. Ключ в уме, ум в голове, голова на теле, тело в отъезде.И пусть оббрутфорсяцца злоумышленники.
Можно клево запихать в твой initrd перехватчик пароля, пока тебя нету. Потом ты приходишь, вводишь пароль, а он вводится не в cryptsetup а в программу злых дядей, которая передает его cryptsetup, а также скидывает через netcat на соседний комп например.
Это я пофантазировал, но вроде реально такое сделать.
Запароль доступ к грабу, делов-то.
У дядей есть физический доступ к компьютеру. Загрузчик тут не при чем. Они счастливо снимают винт, и заменяют твой initrd на модифицированный.
Поэтому, наверное, носить свой /boot на флешке, это не такая уж и плохая идея.
>У дядей есть физический доступ к компьютеру. Загрузчик тут не при чем.
>Они счастливо снимают винт, и заменяют твой initrd на модифицированный.
>Поэтому, наверное, носить свой /boot на флешке, это не такая уж и
>плохая идея.Совсем не плохая. Тем более, что как мне кажется, что файлы разделе /boot используются только во время загрузки, а дальше его можно отключить (или ошибаюсь, плюс config ядерный).
А можно еще загрузится с флешки в полноценный (или в урезанный для быстроты) дистрибутив и проверить контрольные суммы нужных файлов (разделов) (наверное глупость сморозил ;)
Это суровая реальность :)http://truecrypt.org.ua/node/224
На английском тоже читал нечто подобное: девочка в качестве научной работы демонстрировала получение пароля к винту, шифрованному TrueCrypt, с помощью внедрения кейлоггера в бут-сектор. Утверждает, что защитой от взлома может быть либо TPM, либо постоянный контроль отсутствия физического доступа. Типа, не оставляйте ноуты с шифрованными винтами в гостиницах.
>Это суровая реальность :)
>
>http://truecrypt.org.ua/node/224
>
>На английском тоже читал нечто подобное: девочка в качестве научной работы демонстрировала
>получение пароля к винту, шифрованному TrueCrypt, с помощью внедрения кейлоггера в
>бут-сектор. Утверждает, что защитой от взлома может быть либо TPM, либо
>постоянный контроль отсутствия физического доступа. Типа, не оставляйте ноуты с шифрованными
>винтами в гостиницах.вот ещё один вариант устанавливающий злонамеренный бутсектор http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goe...
Trusted Platform Module.
>Trusted Platform Module.Вроде как комп с такой штукой ещё не в каждом магазине найдёшь.
продукты для бизнес-сегмента интеля. Не особо дифицит, но выбор, конечно, ограничен.
Простите, а как вы себе это представляете?
Ключи и код расшифровщика - где?
>Простите, а как вы себе это представляете?
>Ключи и код расшифровщика - где?Ключи почему бы не на смарткарте, к примеру?
>>Простите, а как вы себе это представляете?
>>Ключи и код расшифровщика - где?
>
>Ключи почему бы не на смарткарте, к примеру?Отлично. Ключи - на смарткарте. Компьютер включается, биос лезет читать загрузчик ищет диски, лезет в 0 сектор диска, а там - мусор (то есть шифрованные данные, конечно).
Или я что-то упускаю?
>какая либо программа под линуксом умеет создавать полностью зашифрованные загружаемые диски без всяких нешифрованных бутов ?А что такое в /boot, что нужно шифровать? Образ ядра? Так запиши образ ядра (/boot) на CD-R, и после загрузки держи его в сейфе в швейцарском банке :)
Я бы /boot на флешке держал, и носил с собой. Потом с флешки грузишься, а то, что там на винте у тебя поменяли, пусть там и лежит.
(Можно /boot, который на флешке, во время загрузки системы монтировать поверх /boot'а на винте, чтобы обновления ядра работали и все такое.)
>Я бы /boot на флешке держал, и носил с собой. Потом с
>флешки грузишься, а то, что там на винте у тебя поменяли,
>пусть там и лежит.
>(Можно /boot, который на флешке, во время загрузки системы монтировать поверх /boot'а
>на винте, чтобы обновления ядра работали и все такое.)Ну вот и пришли к буту на флекше. А дистрописатели парятся с милисекундными задержками при загрузке...
Ну тут канечно как всегда: или скорость или функционал. Хотя попарится с оптимизациями можно, но вручную созданное бутылочное горлышко - тоже не фонтан.
Там Выше предлогали сразу бутовую ось держать на флешке - тоже вполне вариант.
Вот только что мы все будем с флешками делать, если ноут по умолчанию оптимально в гибернате держать, или просто в слипе. А в таком состоянии вроде как всё становится интересней. Или не очень. Нужно ещё помоделировать ситуации -:)
Интересно, сделали ли они возможность сменить язык в версии для линукса?
А зачем оно надо, если можно ядерными способами создать крип раздел?
объясняю: чтобы раздел можно было прочитать не только в Linux.
В детстве прятал порнуху с помощью этой штуки. Контейнер обзыал "дата.tib" с намеком на то, что это образ акрониса. По такой схеме мне удавалось прятать по 15-20 Гб порно.
>В детстве прятал порнуху с помощью этой штуки. Контейнер обзыал "дата.tib" с
>намеком на то, что это образ акрониса. По такой схеме мне
>удавалось прятать по 15-20 Гб порно.в день
и как мне теперь в конторе флоппи шифровать?
>и как мне теперь в конторе флоппи шифровать?осваивай шреддер.
>и как мне теперь в конторе флоппи шифровать?не обновляйся
>и как мне теперь в конторе флоппи шифровать?Пора идти в консерваторию и кое-что поменять. Через год последний производитель флоппи-дисков(Сони) сворачивает производство дискет как таковых. Так что из корпоративного использования я б их изьял. А для сдачи отчётности в налоговые и иные неподотчётные места пока шифрования своими силами не требовалось
Интересно - когда они осчастливят "загрузкой с флешки"?
>Using this hardware acceleration in newer CPUs is typically 4-8 times faster than without, but unfortunately the 7.0 release does not support any AMD (or VIA) CPUs.этот релиз имеет поддержку только Intel Core i5 i7. остальные в пролете? или это касается только поддержки accelerated AES?
Насколько я понимаю, 7.0 - это практически версия 6.3, но скомпилированная с оптимизацией под новые интеловские процессоры. Так что, не имея такого процессора, вы в этой версии не заинтересованы ;)
Второе. Они просто использовали новые интеловские команды для Core i3/i5.