id: Гость   вход   регистрация
текущее время 15:44 28/03/2024
Автор темы: _owl, тема открыта 04/03/2010 00:10 Печать
Категории: софт, pgp, truecrypt
http://www.pgpru.com/Форум/PGPdiskWholeDisk/ВозможностиTrueCrypt
создать
просмотр
ссылки

возможности TrueCrypt

Добрый день! Подумываю о переходе с PGP WDE на TrueCrypt. Привлекают полезные дополнительные функции – двойные контейнеры, возможность отключить экран приглашения ввода пассфразы перед загрузкой системы, отрицаемость (с известными оговорками) и т.д.


В то же время в форуме встречаются комментарии о том, что TrueCrypt написан на низком уровне (кодирования), уровень авторов PGP значительно выше и т.д. Кроме того, была найдена критическая ошибка TrueCryp 5.1 (была быстро исправлена). Эти посты в основном – 2008 года и относятся к 5-ой ветви продукта.


Если говорить про современную ветвь TrueCrypt – исправлены ли в ней недостатки 5-ой версии? Как вы считаете, при явном выигрыше по функциональности (по сравнению c PGP WDE), как обстоит дело с надежностью TrueCrypt? В смысле а) надежности защиты данных и б) склонности к сбоям и потере данных?


Можно ли в TrueCrypt использовать аппаратные токены Alladin? В частности, при пребутовой аутентификации?


заранее благодарю.


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (04/03/2010 07:32)   <#>
[offtopic]
Не совсем в тему, но тем не менее: а что конкретно Вам не хватает в DiskCryptor? Также см. http://diskcryptor.net/index.php/Main_Page. Он писался как бы с оглядкой на уже существующий TrueCrypt, что может намекать на. И, может быть, вы не обратили внимание, но те ошибки в 5ой версии, про которые Вы здесь пишете, были обнаружены именно автором DC. Вполне возможно, что в противном случае они бы там были и по сей день.
[/offtopic]
— SATtva (04/03/2010 12:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
как обстоит дело с надежностью TrueCrypt? В смысле а) надежности защиты данных и б) склонности к сбоям и потере данных?

Про "б" в форуме много нареканий на PGP, но я за все годы пользования PGP ни разу не сталкивался на собственном опыте и в практике моих клиентов ни с одним из описанных случаев. (Может такой везучий, не знаю, хотя вряд ли.) К TrueCrypt в этом плане тоже не имею нареканий.
— Гость (04/03/2010 14:30)   <#>
[off]
DiskCryptor is even the better product than TrueCrypt (the source is cleaner).

http://diskcryptor.net/forum/index.php?topic=608.0
[/off]
— _owl (06/03/2010 19:57)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
Спасибо, скачаю и попробую.

Однако из беглого просмотра сайта DiskCryptor видно, что он а) не поддерживает двойные контейнеры, б) не позволяет менять экран пребутовой аутентификации, имитируя сбой загрузки ОС и т.п. (можно конечно дописать ручками и перекомпилить). Эти функции, поддержка которых декларируется в TrueCrypt, представляются мне существенными. Собственно ради них я намереваюсь отойти от PGP WDE. Еще одна, на мой взгляд важная функция – это возможность выноса загрузчика на внешний носитель – имеется и в TrueCrypt, и в DiskCryptor.

Кроме того не ясно, можно ли использовать для пребутовой аутентификации токены Alladin; это не ясно и в случае с TrueCrypt. Кто-нибудь знает, можно или нет?
— Migel (06/03/2010 22:13, исправлен 06/03/2010 22:32)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0

Мое мнение:
Лучше всего чтобы программа не выдавала никаких сообщений о неправильности пароля, а пыталась расшифровать данные. Просто в результате получиться набор символов.


Иначе или:
1. Программа берет хеш от введенного пароля и сравнивает с хешем в контейнере. Тогда зачем ломать шифр, если можно заняться хеш-функцией?
2. Программа расшифровывает первый блок контейнера и если получается наперед заданный указатель, производит далее расшифровку. Но в таком случае противнику известен этот указатель, и возможность атаки на основе известного открытого текста.

— Гость (06/03/2010 23:05)   <#>
можно ли использовать для пребутовой аутентификации токены Alladin
А искать не пробовали? google: alladin site:pgpru.com.

менять экран пребутовой аутентификации, имитируя сбой загрузки ОС и т.п.
Защита от дурака? А если у противника в руках копия всего диска? Как тогда с отрицаемостью? А эта копия у него рано или поздно появится. К тому же... ну вы ведь и сами знаете, да?.
— SATtva (06/03/2010 23:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
К тому же... ну вы ведь и сами знаете, да?.

То исследование, которое приводится по ссылке, рассматривало TC 5.1. Реализованная по его результатам поддержка скрытой ОС устраняет выявленные риски, что отмечал и Шнайер (однако, исследования новой версии и реализации скрытой ОС не проводилось, так что неизвестно, какие новые проблемы она могла или не могла повлечь).
— _owl (06/03/2010 23:33)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
Защита от дурака? А если у противника в руках копия всего диска? Как тогда с отрицаемостью? А эта копия у него рано или поздно появится. К тому же... ну вы ведь и сами знаете, да?.


Да, в первую очередь от дурака. Коих не мало, и обидно перед ними оплошать... Понятно что это не гарантия на все случаи. но при (первом) обычном, не самом детальном таможенном досмотре это поможет. А после первого досмотра, если уж он случился, можно и переписать диск и другие меры принять, чтобы сопоставление образов диска, снятых в разные моменты времени, не произошло.

А если дополнить это загрузчиком на флэшке, оставив диск 100% зашифрованным, т.е. заполненным псевдослучайными данными? Флэшку можно с собой не тащить кстати, а послать её образ по мэйлу. а на просьбу включить ноут можно пожимать плечами, типа "не знаю что случилось, вчера перестал запускаться. вот везу в ремонт..." Ну это так, экспромт. Комментарии?
— Гость (07/03/2010 02:14)   <#>
DiskCryptor не позволяет менять экран пребутовой аутентификации, имитируя сбой загрузки ОС и т.п.
позволяет
— Гость (07/03/2010 06:19)   <#>
при (первом) обычном, не самом детальном таможенном досмотре это поможет.
Можно с целью отрицаемости иметь загружаемую нормальную ОС, где не будет никаких секретных данных, зато будет много нейтральных. Крипторазделы при этом монтироваться не будут – раз, доказать что они на самом деле есть на диске, а не просто там "неиспользуемое пространство" может доказать только экспертиза – два. Раз скрытых разделов как бы нет, то и пароль требовать не будут.
не знаю что случилось, вчера перестал запускаться. вот везу в ремонт
Не убедительно.
— _owl (07/03/2010 17:18)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
DiskCryptor не позволяет менять экран пребутовой аутентификации, имитируя сбой загрузки ОС и т.п.

позволяет

там говорится что приглашение можно отключить. Про изменение не сказано. но это не суть важно, конечно можно проредактировать исходники

можно ли использовать для пребутовой аутентификации токены Alladin
А искать не пробовали? Google: alladin site:pgpru.com.

пробовал, не нашел

вот в документации на TrueCrypt нашел следующее:
Note: Keyfiles are currently not supported for system encryption.
Надо понимать, что, следовательно, и токен для шифрования системной партиции не поддерживается. Это плохо.

как с этим обстоит дело в DiskCryptor пока не раскопал.
— Гость (07/03/2010 18:07)   <#>
как с этим обстоит дело в DiskCryptor пока не раскопал.
Почти точно не поддерживается. Это даже из идеологии самого DC следует. На проприетарные полумеры (alladin) там автор не полагался.
— SATtva (07/03/2010 19:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
не знаю что случилось, вчера перестал запускаться. вот везу в ремонт

Не убедительно.

При въезде в США на такую отмазу компьютер просто изымут. Да и на любой таможне в случае подозрений — тоже.
— _owl (07/03/2010 22:24)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
При въезде в США на такую отмазу компьютер просто изымут. Да и на любой таможне в случае подозрений — тоже.

возможно. а что, по Вашему мнению, лучше? Наличие криптоконтейнеров, в т.ч. скрытых, палится очевидно. причем наверняка существуют средства автоматизированного поиска ссылок на файлы, размещенные на несуществующих в системе томах и т.п. Остается только скрытая ОС.

Я вот ни разу еще такую не ставил и не юзал. Поясните пожалуйста, как там обстоит дело с размером ЖД? Вот например у вас 100 гб диск. Т.е. если вы в биос войдете, то увидите размер 100 Гб. Теперь вы загружаете не секретную ОС. Какой размер она показывает? Если 100 Гб, значит она запросто может начать что-то писать (своп например) в область, где ваши настоящие рабочие данные лежат. а если крипто-ОС на изолированном разделе, то разница в объемах ЖД (в биосе – 100 а в не секретной ОС – 50 например) будет бросаться в глаза любому.

скажем что это не отформатированная и неиспользуемая партиция? Это похлеще чем версия "винт накрылся". Что остается делать?
— Гость (07/03/2010 22:38)   <#>
скажем что это не отформатированная и неиспользуемая партиция?

Почему бы и нет? Я многих часто стоят несколько операционных система на диске. Так и скажите: диск разметил, на второй раздел хотел поставить, например, FreeBSD, но руки пока не дошли. Можете даже сказать, что там раньше был криптораздел, но теперь он стёрт и ключей у вас к нему нет. Даже если программно всё чисто, то суровая экспертиза (если очень-очень надо будет) конечно покажет, что те места диска последнее время интенсивно использовались, которые "не используются", что может несколько поставить под сомнение ваши слова.

Вот например у вас 100 гб диск. Т.е. если вы в биос войдете, то увидите размер 100 Гб. Теперь вы загружаете не секретную ОС. Какой размер она показывает?

Интересный вопрос. Мне представляется, что "внешняя ОС" видит всё пространство и считает его своим, включая крипторазделы. То, что на крипторазделе есть внутренний криптораздел, где есть ещё и своя ОС, и её можно загрузтить... (в виртуалке) вы должны отрицать, и тогда нельзя доказать существование скрытого раздела. Если же вы загрузите скрытую ОС, то это равносильно вскрытию всех имевшихся шифрованых данных, как мне представляется. Как всё это хозяйство реализовано в TC – не курил.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3