Объявлено (http://www.truecrypt.org/news) о выходе новой версии одной из самых популярных открытых программ по шифрованию данных TrueCrypt 7.1 (http://www.truecrypt.org), позволяющей шифровать текущие дисковые разделы, создавать виртуальные шифрованные диски в одном файле и организовывать скрытые (http://www.truecrypt.org/hiddenvolume) зашифрованные области внутри уже зашифрованных разделов. Для шифрования используются алгоритмы AES-256 (/docs/?s=aes), Serpent (/docs/?s=serpent) и Twofish (/docs/?s=twofish). Программа доступна для операционных систем Linux, Windows и Mac OS X. Исходные тексты распространяются (http://www.truecrypt.org/downloads2) под лицензией TrueCrypt License 3.0.
Ключевыми особенностями новой версии является обеспечение полной совместимости с 64- и 32-разрядными версиями операционной системы Mac OS X 10.7 Lion. В остальном отмечаются (http://www.truecrypt.org/docs/?s=version-history) незначительные улучшения и проведение работы по исправлению ошибок.
URL: http://www.truecrypt.org/news
Новость: http://www.opennet.me/opennews/art.shtml?num=31666
> Для шифрования используются алгоритмы AES-256, Serpent и TwofishТакже можно выбрать их комбинации, например, все три сразу (в какой-то версии это точно было возможно) - хотя не раз говорено, что так делать рискованно
Чем же?
Возможными незапланированными побочными эффектами. Криптография - штука тонкая. И небольшое и безобидной вроде бы изменение может привести к большому и обидному фэйлу.
И зачем оно нужно, если есть luks?
Чтобы было.
самая вкусная вещь сабжа - скрытый раздел (ну и плюс многоплатформенность)
> ну и плюс многоплатформенностьПробовал на FreeBSD, раздел был зашифрован окончательно :).
Port: truecrypt-7.0a
На FreeBSD geli рулит.
Скрытые разделы имеют свойство спасать от терморектального варианта криптоанализа. Можно расколоться и сдать "не очень важный" раздел.
Я застраховался, ключи отдал директору :)
При намёке на применении терморектального криптоанализа,
директора сдам сразу, пускай разбираются и директор в
курсе, что если серваки станут, без него их не запустить.
> Я застраховался, ключи отдал директору :)Неуниверсально как-то: не у всех есть директор-ключник ;)
> И зачем оно нужно, если есть luks?а трукрипт за более чем 7 лет существования так и не удосужился у тебя спросить? огромное упущение с их стороны
хреново, что вы ни о чём кроме luks не знаете
пользуясь случаем, хочу спросить — у truecrypt есть debы? если нет, то как собрать?
UPD: нашёл http://www.unchartedbackwaters.co.uk/pyblosxom/static/truecr...
теперь проблема другого рода — скачать исходники версии 7.0
deb'ов нет и в ближайшем будущем не будет.По словам дебиановцев, Трукрипт выбрал свою, особую лицензию. Не GPL, не MIT, ни Apache, ни BSD (по ходу дела более всего у Трукрипта лицензия близкая к BSD). Никто не будет каждый раз напрягать юристов для анализа лицензии, поэтому в дебиане ее в репах нет.
Кстати, то же самое заявили и в Кэноникэл.
Перешел на diskcryptor, он умеет pxe-загрузчик делать
А умеет ли он что-нибудь акромя Win32?
Нет, но мне этого не надо, он умеет PXE, а это значит я имею возможность шифровать системный диск и не давать пользователю пароль, а загрузка может происходить через сетевой сервер, без которого никто не загрузится, а это очень круто и только за это diskcryptor имеет право на жизнь. А еще он когда шифрует системный диск, не требует от пользователя записать диск восстановления перед началом шифрования(иначе не будет шифровать) + не требует перезагружаться и проверять работоспособность загрузчика, т.е. на запуск процесса шифрования одной машины уходит менее 1мин, против 10-15мин у truecrypt, что в масштабах сотен машин очень хорошо ощущается.
> Нет, но мне этого не надо,Отлично, но при чем тут опеннет? Он по идее по открытым технологиям, к котоырм win32 не относятся.
> а загрузка может происходить через сетевой сервер, без которого никто не загрузится
Гыгы, прикольно - упал сервер и все дружно пролетают. Кстати при этом вообще у клиента дисков может и не быть, если уж на то пошло. Клиент с диском но с которого он не грузится - изврат какой-то. И к тому же извините, но лично я бы винде секреты доверять не стал. Слишком уж дохрена под нее малвари всякой водится, а продвинутые механизмы изоляции там как-то не очень то и реализованы, так что грош цена вашей паранойе.
>Отлично, но при чем тут опеннет? Он по идее по открытым технологиям, к котоырм win32 не ?>относятся.Я про diskcryptor, а он к открытым технологиям относится.
>Гыгы, прикольно - упал сервер и все дружно пролетают.
В том и смысл всей этой системы, что без сервера ничего не запустится.
>Кстати при этом вообще у клиента дисков может и не быть, если уж на то пошло.
По сети загружать операционку? С несколькими сотнями машин это нужно не реально толстую сетку и быструю хранилку.
>И к тому же извините, но лично я бы винде секреты доверять не стал. Слишком уж дохрена под >нее малвари всякой водится, а продвинутые механизмы изоляции там как-то не очень то и >реализованы
Ну доверие или не доверие - личное дело каждого, на реальность это не как не влияет. И если что, трукрипт точно также в памяти хранит ключик, так что получается имеет те же проблемы в винде, что и дисккриптор.
>так что грош цена вашей паранойе.
Не бывает абсолютной защиты. Защиту только можно поднять до определенной планки. Та схема, которую я описал, уже не по зубам ни одному рядовому(даже продвинотому) пользователю. А если будет хорошо подготовленный инсайдер, то не поможет ничего.
> По сети загружать операционку? С несколькими сотнями машин это нужно не реально толстую
> сетку и быструю хранилку.Лет пять назад организовывал подобное через вай-фай 11 мегабит/с, да еще и не с лучшими условиями приема. Около 20 клиентов с файловой системой, монтируемой по NFS, замечательно грузились через этот канал с древней машины с одним 20 ГБ IDE десктопным диском. А если использовать 100 мегабит на пользовательский порт и гигабит между свичами, то вполне хватит и на сотни пользователей. Ну и хранилища из 6-8 дисков в RAID10 на несколько сотен пользователей уж точно для этих задач хватит.
OS X Lion полностью 64битная
вы забыли добавить, что она Самая 64битная из всех ;)
> OS X Lion полностью 64битнаяWho cares?
Юзаю шифрование системных и прочих разделов на ноутбуках.Хорошая программа.
> Юзаю шифрование системных и прочих разделов на ноутбуках.
> Хорошая программа.Оказывается в феврале 2012 года проекту будет 8 лет...
На Windows существенно напрягает неработоспособность VSS на truecrypt разделах.
TrueCrypt начинает в разы быстрее работать с AES, если есть аппаратная поддержка AES, которая в России запрещена.
Купил себе ноут Lenovo X220 в штатах с НЕ отключенной поддержкой AES скорость с 200Mb/s возрасла до 1200Mb/s
> TrueCrypt начинает в разы быстрее работать с AES, если есть аппаратная поддержка
> AES, которая в России запрещена.
> Купил себе ноут Lenovo X220 в штатах с НЕ отключенной поддержкой AES
> скорость с 200Mb/s возрасла до 1200Mb/sЧто, прям вот запрещена?:)) И срок дают сразу, лет 5 за использование аппаратной поддержки AES?
Пойду, отрублю за серверах с X56xx процами аппартный AES. А то мало ли чего, посодют ведь.
Запрещена к импорту
Не в процах, а на матерях нету поддержки
> Не в процах, а на матерях нету поддержкиЧто значит - на матерях нет поддержки, если инструкцию AES реализует проц, аппаратно? Без всяких матерей. Вы что, укурились?
В проце то есть, а вот не работает. Патчишь BIOS матери и начинает работать.
> В проце то есть, а вот не работает. Патчишь BIOS матери и
> начинает работать.Хрень, у меня работает везде, без патчей.
>Запрещена к импортуВо первых: не запрещена, о ограничена. Раздел 2.19 Единого перечня.
http://tsouz.ru/db/entr/norm-prav-doc/ediniy_perechen/Pages/...Во вторых: ввоз осуществляется на основании положения.
http://tsouz.ru/db/entr/Pages/polog219.aspx
Требуется лицензия ФСБ на оказание услуг по шифрованию третьим лицам.
И ещё там же пункт 8:
Не требуется получения лицензий при ввозе и вывозе шифровальных средств в целях обеспечения собственных нужд организаций без права их распространения и оказания третьим лицам услуг в области шифрования.То есть ввезти шифровальные средства могут или те кто собирается оказывать услуги по шифрованию или кто угодно для личных нужд.
А магазины да, не могут.
>Пойду, отрублю за серверах с X56xx процами аппартный AES. А то мало ли чего, посодют ведь.Не трудитесь - если вы закупали сервера у российских дилеров, то все уже отрублено до вас.
>>Пойду, отрублю за серверах с X56xx процами аппартный AES. А то мало ли чего, посодют ведь.
> Не трудитесь - если вы закупали сервера у российских дилеров, то все
> уже отрублено до вас.Вот черт, закупаем у Российского производителя и вот жешь чудо, ничего не отрублено. ЧЯДНТ?
Знающие люди, скажите, чем TrueCrypt хуже\лучше FreeOTFE? Функционал у них схожий, но, я так понял, фишка FreeOTFE в том, что зашифрованные им образы можно носить с собой и иметь к ним доступ через FreeOTFE Explorer, не требующий инсталляции?
> Знающие люди, скажите, чем TrueCrypt хуже\лучше FreeOTFE? Функционал у них схожий, но,
> я так понял, фишка FreeOTFE в том, что зашифрованные им образы
> можно носить с собой и иметь к ним доступ через FreeOTFE
> Explorer, не требующий инсталляции?У truecrypt-а есть portable версия. В таком раскладе разницы нет.