— SATtva (25/11/2003 21:01)   
Lahesis, благодарю за полноценную инструкцию, у самого как-то руки не доходили. ;-)

Могу добавить только небольшой совет на случай, там, "маски-шоу" или чего подобного (не дай вам Бог, конечно :) ). Закрытый ключ для доступа к контейнеру PGPdisk'а можно разместить на RAMdisk'е в оперативной памяти сервера без каких бы то ни было бэкапов (разумеется, при наличии хорошей UPS на случай перебоев со светом). Мне известны случаи, когда при силовом захвате офиса предварительно выдёргивали пробки из щитков дабы сотрудники компрометирующую документацию не потёрли. При хранении же ключа в ПЗУ всегда остаётся пара секунд, чтобы Master switch на коробке UPS щёлкнуть. Вся информация в контейнере, конечно, накроется медным тазом, но иногда это оправданная потеря. Кроме того, нет нужны ВСЕ конфиденциальные данные держать в одном контейнере, можно распределить по нескольким в зависимости от её "деликатности".

— Гость (26/11/2003 14:43)   
Согласен. Однозначно!!!!

— Гость (26/11/2003 14:52)   
SATtva, хотел спросить. Насколько на Ваш взгляд надежно шифрование PGP контейнера не ключем а паролем? И еще, PGP по умолчанию присваивает файлу контейнера соответствующей расширение, что в принципе не очень здорово. Наша промышленность исправно выпускает электрические вспоминатели паролей в виде паяльников, которые при вставлении в соответствующее место оппонента как правило генерируют правильный пароль на любую защищенную информацию. Ну а кроме шуток, dll в папке system выглядит более безобидно нежели контейнер PGP.

— SATtva (26/11/2003 15:36)   
Lahesis, с точки зрения чистой математики методы шифрования при помощи пароля и с помощью ключа совершенно равнозначны. Только в первом случае паролем будет зашифрован сам контейнер, а во втором — закрытый ключ, которым зашифрован контейнер. Но в обоих случаях ключевая фраза вначале конкатенируется с определённой константой (т.н. salt), хэшируется, преобразуется в симметричный ключ, которым и зашифровывается сам контейнер или какой-либо закрытый ключ.

Функционально различия есть. Заключаются они в появлении дополнительного промежуточного секрета в виде закрытого ключа. Приведённая мною выше схема с хранением ключа шифрования контейнера в ПЗУ реализуема только при наличии закрытого ключа, разумеется, но не при защите контейнера исключительно паролем, который хранится в "ПЗУ" сотрудника службы безопасности и который компетентным органам в случае чего сообщить придётся, дабы не привинтили статью за сокрытие вещдоков.

(Кстати, по схеме с хранением ключа в ПЗУ следует дополнить, что она имеет один недостаток. При чрезмерно длительном (порядка 7 суток и более, но это не однозначно) хранении данных в определённом сегменте ПЗУ, структура микросхемы приобретает электронный "отпечаток" этой информации, происходит т.н. статическая миграция ионов. Даже если данные удалить, статический отпечаток останется. Существует спец. оборудование, которым такую остаточную информацию можно получить, но располагают им, как и положено, только спецслужбы. Поэтому если прячете что-то от ФСБ, придумайте другой способ. Хотя, должен сказать, едва ли какой-нибудь способ поможет. ;-) )

Да, PGP присваивает контейнеру расширение .pgd. Его можно сменить на что угодно другое и поместить в любой каталог, только в этом случае контейнер нельзя будет открыть из Проводника, а только через менеджер PGPdisk. Можно и ярлычок сделать, указав в строке Объект следующее (со всеми кавычками, но без квадратных скобок):
"[путь к папке PGP]\PGPdisk.exe" "[путь к файлу контейнера]\[имя.расширение]"
К сожалению, это поможет лишь отчасти. Каждый файл контейнера PGPdisk'а имеет определённую структуру заголовка, в частности, в первых восьми байтах файла прописано PGPdMAIN, по которым файл не спутать ни с одной dll'кой. BestCrypt, если я правильно помню, такого недостатка не имеет. Впрочем, это уже более относится к стеганографии и методам сокрытия или маскировки данных, нежели к их защите, на чём специализируется PGP.

— Observer (26/11/2003 19:25)   
У меня обычно... при нажатии CTRL/F12 выдаётся сообщение:"К диску подключены пользователи, которые что-то там делают" (текст примерный) и... контейнер продолжает работать... Приходится снимать шаринг. Т.е. об АВАРИЙНОМ завершении работы и речи нет... Комментарии есть?

— SATtva (26/11/2003 20:53)   
Наблюдатель, лучший способ завершить аварийно — выдернуть вилку из розетки. А вообще во вкладке PGPdisk в настройках PGP есть опции принудительного отключения контейнера даже с открытыми файлами. Не знаю, правда, как это будет действовать в условиях контейнера как сетевого ресурса.

— Lahesis (28/11/2003 15:13)   
Ага. Галочку, надо поставить в Unmount Options:
V Allow forcible unmouting of PGP disk with open files
Типа:
V Закрывать том с открытыми файлами

Кстати по поводу выдергивания вилок из розеток. Если какие либо данные хранятся на съемном жеском диске IDE на салазках, тобишь непосредственно подключены к IDE шлейфу сдергивать устройство на ходу можно только в крайнем ислучае, тогда когда действительно нужно по быстрому скрыться. Обычно такой эксперимент может закончиться гибелью контроллера на материнской плате, или, если головки не успели паркануться, гибелью диска.

Сейчас доблестная промышленность Тайваня выпускает хороший девайс в виде внешнего бокса для HDD. Связывается с компьютером посредством USB 2.0. Скорость обмена стало быть где-то 15Мб/сек не фонтан конечно по сравнению с Ultra ATA но для офисной работы хватает, да и как удобно – можно сдернуть практически мгновенно, и не остается никаких видимых следов на компьютере. Стоит примерно $80 без, естественно, HDD.

— Гость (29/11/2003 19:41)   

SATtva:
...не при защите контейнера исключительно паролем, который хранится в "ПЗУ" сотрудника службы безопасности и который компетентным органам в случае чего сообщить придётся, дабы не привинтили статью за сокрытие вещдоков.

В БестКрипте есть опция HiddenContainers. Практически это означает специальный пароль для выдачи его под давлением. Такой пароль можно смело выдавать. При его вводе будет видно специально предварительно формируемое пользователем фальшивое содержимое контейнера. Вторичное применение такого пароля – это быстрое уничтожение информации в скрытой части контейнера. Это происходит при внесении изменений в файлы содержащиеся в фальшивой "открытой" части. В руководстве специально подчёркивается, что определить наличие скрытой части, не зная к ней пароля – невозможно.

— Lahesis (01/12/2003 12:51)   
Ujcn, хм ... Азартный Вы однакось ... А ТАМ типа лохи работаю? Мне кажется лучше чтобы подобная информация вообще не попадала в "чужие руки".

— Lahesis (01/12/2003 12:58)   
В дополнение к разговору о железе.
Неплохой вариант – подключение сервера с контейнером к сети по радиоканалу. Стоимость оборудования (точка доступа + две сетевых карты) порядка $300. В этом случае сервер можно физически спрятать, например в соседнем помещении.

— SATtva (01/12/2003 15:59)   
Lahesis, всё жё думаю Вы согласитесь: радиомаяк — не лучший способ что-либо спрятать. :) Кроме того, протоколы беспроводной радиосвязи слишком дырявы, чтобы использовать их в столь деликатной сфере. В качестве беспроводной альтернативы можно предложить flash (IR или лазер): они формируют меньше объективных каналов утечки данных. Но, в целом, защита информации диктует более консервативные подходы, и лучше строить системы на основе проводных сетей.

— Lahesis (01/12/2003 19:06)   
SATtva, спасибо, но я имел ввиду способ физического сокрытия наличия информации в случае маски-шоу. Это конечно не поможет если ведется разработка конторы в течение длительного времени, хотя тут кроме билета на авиарейс в Мексику уже ничего не поможет.

— SATtva (02/12/2003 10:00)   
Lahesis, ну да, всё верно.

— Гость (05/05/2004 02:01)   
хочу использовать схему предложенную Lahesis, то есть будет шифроваться целый раздел диска порядка 10гб на котором будут храниться профили всех пользовательей в домене (около 12), хотелось бы узнать как сильно шифрование будет нагружать систему и чему будет равно скорость обмена, то есть уменьшиться ли она из-за шифрования?
2) как "закинуть" ключ в память
3) что выбрать пгп или bestcrypt, что менне нагружает систему?
4) что произойдет с контейнером если отключить питание или просто выдернуть диск с данными в то время как с ним будут работать? Потеряется весь контейнер или только последние изменения?
thx

— SATtva (05/05/2004 02:25)   
1. Уменьшится, но незначительно. Зависит от производительности машины, на которой собираетесь всё это добро хранить.
2. Не совсем понял, о чём речь. Имеете в виду, как его в ОЗУ сохранить? Выделите в памяти пространство под логических диск, можно для этой цели любым подходящим софтом воспользоваться (вроде RamDisk).
3. Не могу судить.
4. О Бесткрипте ничего сказать не могу, а с PGPdisk'ом последствия будут непредсказуемы. Если чтения/записи не происходит, ничего страшного не случится, в ином же случае велика вероятность, что полетит вложенная ФС. Советую предварительно потренироваться... на кошках. Вообще же столь крупные контейнеры сильно подвержены поломкам независимо от внешних обстоятельств.

— Гость (06/05/2004 02:30)   

жд жалко, попробовал на дискете, вроде нормально (бесткрипт)
это из-за того что программы просто не приспособленны для работы с тиками объамами?
имеет смысл разбить на более малые 1-2 гига? Или тоже считается крупными контейнерами?

— SATtva (06/05/2004 12:41)   

это из-за того что программы просто не приспособленны для работы с тиками объамами?

Скорее из-за структуры файловой системы, в которой находится контейнер. По-моему, Lahesis поставил эксперимент с большими контейнерами на сильно фрагментированном жёстком диске. Файловая система таких контейнеров в определённых обстоятельствах просто разваливалась.

В разделе "Других программ" Kent привёл ссылки на новый софт — TrueCrypt. Программа бесплатна, весьма надёжна, распространяется в исходных текстах, разрабатывается группой независимых программистов. При этом позволяет как создавать контейнеры, так и целиком шифровать логические разделы дисков, поддерживает работу из командной строки. Стоит попробовать, по-моему.

— Kent (06/05/2004 21:49)   
К сожалению, TrueCrypt не поддерживает работу с зашифрованными дисками в сети.
Если я правильно понимаю фразу "Network volumes are not supported".

— SATtva (06/05/2004 22:36)   
А что помешает расшарить открытый контейнер для совместного доступа? В конце концов, ОС его как логический диск воспринимает.

— Гость (22/05/2004 00:04)   
а что скажите про такое решение:
ш. контейнеры расшариваются на полный доступ, а клиенты просто монтирует его у себя?

— Гость (01/06/2004 15:42)   
Truecrypt 1.0 (www.truecrypt.org) прекрасно работает в LAN, только кому и зачем это нужно? Ведь тогда надо и трафик в сети шифровать! А в приведенной ув. Kent'ом выдержке из документации имеется в виду, НЕВОЗМОЖНО создать зашифрованный диск на подключенном сетевом диске. Мастер не будет работать.
Я всё же считаю, что лучшее решение на сегодняшний день – Drivecrypt от Securstar.

2 trollya:
это делать можно, причем лучше расшаривать доступ к папке с кучей музыки и фильмов, среди которых – несколько ш. контейнеров в формате .wav. В таком виде всё прекрасно работает. Одна проблеммка – при траблах в сетке или брутальном отключении ш.диска дата и время последнего доступа к файлу-контейнеру не сбрасываются, поэтому нужны еще доп. меры.

— Гость (02/06/2004 16:53)   
Лучше закрывать полностью раздел. В этом случае при обращении к нему он выглядит не форматированным. При вводе ключа на подключенном диске можно создавать папки и зашаривать их для разных пользователей. стандартными средствами win. Ключ вводится удаленно с раб станции. Информацию лучше закрывать не на пароле, а на ключе (сложнее перебирать и помнить не надо). Практика показывает, что временные потери при такой работе минимальны. Таких программ существует много, но они стоят денег 700-2500$.

— Гость (12/04/2005 15:12)   

trollya:
а что скажите про такое решение:
ш. контейнеры расшариваются на полный доступ, а клиенты просто монтирует его у себя?

Вот что написано в Руководстве пользователя PGP на стр 6
Подключение контейнера на удалённом сервере
Контейнер, размещённый на серверной системе, может использоваться пользователем и удалённо. Это может быть достигнуто двумя способами:

Как удалённый общий ресурс (share). В этом случае задача администратора сводится к подключению контейнера на серверной системе, созданию в системе профилей пользователей с индивидуальными паролями доступа и правами на чтение-запись (средствами ОС, а не PGPdisk!), открытию общего доступа (share) для данных пользователей к логическому разделу. В дальнейшем пользователи могут работать с содержимым контейнера, как с обычным сетевым диском; наличие PGP на их компьютерах не требуется.
(ну это как у автора темы, как я понял)

Как удалённый частный ресурс. Пользователи подключают контейнер удалённо со своих Windows-систем. Если контейнер с файловой системой FAT(32) подключен пользователем локально, он получит к нему полный доступ на чтение-запись, тогда как другие пользователи не будут иметь доступ к содержимому. Чтобы использовать контейнер в удалённом режиме совместно, пользователи должны подключать его с правами "только на чтение". Данное ограничение не касается контейнеров с файловой системой NTFS. Этот способ работы требует наличия PGP на компьютере каждого пользователя.

(насчет NTFS, у меня всё равно не получается совместной работы с полным доступом, мож я чего не так делаю)

— Гость (13/04/2005 01:32)   
Насчет отпечатка в памяти из-за миграции ионов:
имхо, достаточно написать программку\скрипт\плагин (к ПГП, например), которая бы защищенную область памяти время от времени переносила в иное место. Каждый час, к примеру, или чаще\позже – по необходимости.

— Azudim (22/08/2005 21:44)   
Вариант сетевого использования:
Сервер: Windows Server 2003 + PGP 8,9 (НАстроить диск на маунт в папку NTFS)
Админ: Windows XP/Server + RDC.
Клиенты: Win 9x/NT/XP
Сервер загружается до выбора юзера
Админ монтирует USB Flash карточку с ключом, на который криптован диск в свою машину (флэш драйв шаред), через RDC открывает сессию, настроенный на автоподъем PGPдиск, открывает ключики с путей типа \\admin\usb-drive\privkeys\, если ключик найден, показывает риглашение ввести пароль и смонтировать контейнер. Далее запускается скрипт стартующий необходимые сервисы и шасшаривающий папки в контейнере.

Нюансы PGP 8::
1. Если через RDC зайти на тот же сервер с другой машины – PGP диск размонтируется.
2. Не забудте убрать бекап секретного ключа в локальную папку (\Doc&Set\User\App. Date\PGP\)
3. Через RDC можно смонтировать только в пустую папку NTFS.
4. В RDC сессии на сервере папки и файлы в открытом контейнере не удаляются, а через сеть расшаренные папки и файлы из контейнера удаляются стабильно.

P. S. не пинайте те, для кого эта схема тривиальна, может кому пригодится.
Если кто проверял подобную схему на PGP 9 – поделитесь опытом! Как PGP 9 Whole Disk Ens. монтируется через RDC ?

— SATtva (22/08/2005 23:18)   

Как PGP 9 Whole Disk Ens. монтируется через RDC ?

Не совсем понятен вопрос. Аутентификация пользователя (и размещение шифроключа в ОЗУ) производится до запуска ОС, так что ни о каком удалённом подключении не может быть и речи. Что касается удалённого доступа к уже запущенной и расшифрованной машине, здесь нет никаких отличий от обычного незашифрованного варианта.

— Azudim (22/08/2005 23:28)   
мда, это я конечно зря так =) я больше хотел спросить, есть ли отличия в работе через RDC в 9 версии от 8й с монтируемыми дисками.

— SATtva (23/08/2005 13:47)   
На сей счёт ничего не отвечу, так как не сторонник (а скорее, наоборот) такого подхода к организации хранения конфиденциальных данных. В удалённых контейнерах PGP, имею в виду.

— Гость (12/10/2005 10:51)   
подскажите плиз как расшарить нормально криптованный виртуальный диск в сеть , проблема с Трукртипт и бесткрипт с которой столкнулся после того как монтировал как виртуальный диск и выкладывал его в сеть определенным пользователям: так вот когда делаешь размонтирование диска и при этом были открыты файлики то сей процесс убивает шару, тоесть если снова примонтировать данный диск и открыть через сеть то показывает пустую папку, как с этим бороться не подскажите ? Либо есть какой другой механизм , например можно ли выложить тока контейнер в сеть а несколько пользователей одновременно подключали его на запись на свой комп? Контейнер щас лежит на Сервере Вин 2003. Заранее спасибо за ответ