TCTEMP
привести в соответствие с последней версией
Описание
TCTEMP является небольшим неофициальным дополнением к TrueCrypt, предназначенным для шифрования любой временной информации в Windows.
На ранней стадии загрузки Windows (непосредственно после инициализации жестких дисков) TCTEMP генерирует новые случайные ключи и случайный пароль для раздела TrueCrypt. Затем он подключает этот раздел и восстанавливает его файловую систему. Такой подключенный раздел может быть использован для размещения временных файлов, файлов очереди принтера, кэша браузера и тому подобных данных, а также своп-файла (файла подкачки виртуальной памяти) операционной системы. После перезагрузки компьютера или его аварийного выключения сеансовый пароль TCTEMP удаляется из ОЗУ и все данные, хранившиеся в криптоконтейнере, оказываются фактически уничтоженными.
Файловая система криптоконтейнера TrueCrypt восстанавливается из образа, хранящегося на диске. При этом в раздел TrueCrypt копируются только те сектора образа, которые необходимы для инициализации ФС, что делает этот процесс столь же быстрым, как и форматирование оглавления диска.
Процедура TCTEMP
TCTEMP запускается на раннем этапе загрузки ОС и выполняет по порядку следующие действия:
- заполняет собственный пул случайных чисел меткой времени процессора;
- заполняет собственный пул случайных чисел временными параметрами загрузки ОС;
- заполняет собственный пул случайных чисел меткой времени процессора;
- обрабатывает параметры командной строки;
- заполняет собственный пул случайных чисел меткой времени процессора;
- заполняет собственный пул случайных чисел датой/временем последнего доступа к файлу образа;
- заполняет собственный пул случайных чисел меткой времени процессора;
- считывает зашифрованный хидер отключенного целевого криптоконтейнера TrueCrypt;
- заполняет собственный пул случайных чисел меткой времени процессора;
- заполняет собственный пул случайных чисел статистическими характеристиками загрузки и использования процессора;
- заполняет собственный пул случайных чисел меткой времени процессора;
- генерирует сеансовые ключи и сеансовый пароль к контейнеру TrueCrypt, используя ту же однонаправленную функцию, которая в дальнейшем применяется для вычисления ключей хидера. Второй 64-байтовый блок зашифрованного хидера используется в качестве привязки (salt), а содержимое пула случайных чисел — в качестве пароля;
- инициализирует нулями буфер для формирования нового хидера раздела и копирует в буфер ключи раздела, вычисленные на предыдущем этапе;
- полученными ключами зашифровыет привязку (salt) нового хидера, используя значение 0xfffffffffffffff8 в качестве начального индекса режима LRW;
- вычисляет ключи хидера и зашифровыает содержимое буфера;
- заменяет зашифрованный хидер целевого контейнера TrueCrypt новым хидером, сформированным на предыдущем этапе, и подключает контейнер TrueCrypt с помощью сеансового пароля;
- копирует содержимое файла-образа в сектора подключенного контейнера TrueCrypt, чтобы восстановить его файловую систему.
Если на этапе 12 после вызова функции вычисления ключа TCTEMP обнаруживает слабый ключ или пароль, производится приращение одного байта привязки и функция вызывается повторно. Если после 254 итераций TCTEMP не удается сгенерировать надежный ключ или пароль, он завершает выполнение, и целевой раздел TrueCrypt остается недоступным для операционной системы.
Риски использования
Любое приложение загрузочного уровня может сделать ОС неработоспособной. В подобном случае TCTEMP можно отключить:
- Запустите Windows с дистрибутивного диска.
- Выберите Repair Console.
- Введите пароль администратора.
- Выполните следующие команды:
Риски безопасности
Автоматически сгенерированные ключи потенциально обладают меньшим уровнем безопасности, чем ключи, сгенерированные в TrueCrypt, поскольку ОС предоставляет меньше хороших источников энтропии на этапе загрузки.
Особенности и ограничения
TCTEMP совместим со следующими конфигурацими системы:
- Процессоры x86 и x64
- Windows 2000, Windows XP или Windows (Server) 2003
- TrueCrypt 4.1
Поскольку драйвер TrueCrypt не поддерживает системный вызов IRP_MN_DEVICE_USAGE_NOTIFICATION, используемый в Windows XP/2003, перенести своп-файл в контейнер TCTEMP-TrueCrypt в этих ОС в настоящее время невозможно. (Устарело)
Дополнение TCGINA 1.13[создать] и выше полностью совместимо с TCTEMP. Если вы хотите использовать TCGINA более младших версий, укажите в ключе реестра TCProtectedDrives литеру диска, подключаемого TCTEMP. За подробностями обращайтесь к документации[создать] TCGINA.
Опции автоматического закрытия разделов TrueCrypt должны быть выключены, если вы планируете размещение своп-файла ОС в контейнере TCTEMP-TrueCrypt, поскольку автозакрытие других разделов TrueCrypt также отключит и раздел с файлом подкачки, что приведет к сбою Windows.
Если для закрытия разделов вы используете горячие клавиши, не используйте комбинацию клавиш принудительного закрытия (force dismount), поскольку это также приведет к описанным выше последствиям.
Обратите внимание, что инсталлятор TCTEMP изменит порядок загрузки драйвера TrueCrypt с тем, чтобы он запускался непосредственно перед исполнением TCTEMP. Кроме того инсталлятор заменит значение в ключе реестра
на стандартное значение Windows по умолчанию, к которому добавлена строка, необходимая для старта TCTEMP.
Применение
Инсталляция
Распакуйте дистрибутив программы в любой удобный каталог. Откройте подкаталог Install, запустите файл install.cmd и следуйте подсказкам инсталлятора. (Для установки TCTEMP необходимы привилегии администратора.)
Непосредственно перед установкой TCTEMP вы с можете настроить будущее расположение контейнера TCTEMP-TrueCrypt, файла образа, литеру диска и прочее, однако конфигурация по умолчанию пригодна для большинства случаев.
Процедура установки включает в себя:
- копирование исполняемого файла TCTEMP в системный каталог Windows и внесение необходимых изменений в системный реестр;
- создание нового криптоконтейнера TrueCrypt;
- заполнение контейнера заданным паттерном;
- переформатирование контейнера под нужную файловую систему;
- создание пользователем в контейнере нужных каталогов и файлов (в дальнейшем они будут восстанавливаться после каждой перезагрузки);
- формирование и сохранение образа файловой системы контейнера.
Вы можете обновлять (а также откатывать) установленную версию TCTEMP без его предварительной деинсталляции. Просто установите нужную версию поверх уже существующей.
Деинсталляция
Откройте подкаталог Install, запустите файл install.cmd и выберите пункт Uninstall TCTEMP.
Смена размещения своп-файла
Если операционной системе не хватает свободной физической памяти компьютера для размещения в ней всех исполняющихся программ, то некоторые неиспользуемые в данное время части программ записываются на диск в специальный системный файл, называемый файлом подкачки. В результате на жестком диске может оказаться множество ценной информации, такой как незашифрованные документы, пароли и шифровальные ключи.
Перемещение своп-файла в контейнер TCTEMP-TrueCrypt позволяет обезопасить эти данные от несанкционированного считывания с диска. Поскольку пароль к разделу TCTEMP-TrueCrypt при выключении или перезагрузке компьютера уничтожается, вновь получить доступ содержимому своп-файла, использовавшемуся в предыдущем сеансе работы, оказывается невозможно.
Переместить файл подкачки ОС на раздел TCTEMP-TrueCrypt можно следующим образом:
- Нажмите правой кнопкой мыши на "Мой компьютер" на рабочем столе Windows.
- В контекстом меню выберите пункт Свойства.
- Откройте вкладку Дополнительно.
- Нажмите кнопку Параметры быстродействия.
- В открывшемся окне в разделе Виртуальная память нажмите кнопку Изменить.
- Выберите в списке литеру раздела TCTEMP-TrueCrypt и в полях Исходный размер и Максимальный размер укажите необходимые значения объема для своп-файла. Сделав это, нажмите Задать.
- Для всех других дисков очистите поля размеров своп-файла, не забывая нажать кнопку Задать.
- Завершив настройку, нажмите OK и перезагрузите компьютер.
Вследствие текущих ограничений TrueCrypt, перенести своп-файл в криптоконтейнер можно только в Windows 2000. Windows XP/2003 в настоящее время не поддерживают такую возможность.
Смена размещения очереди принтера
Спулер, или менеджер очереди принтера, — это специальная системная программа, управляющая режимом печати. Когда вы посылаете документ на печать, он преобразуется в специальный понятный принтеру формат и временно сохраняется в служебной папке спулера. Как только принтер подготавливается для печати, менеджер передает этот файл периферийному устройству и удаляет его с диска. Однако поскольку файл удаляется штатными средствами ОС, его все еще можно восстановить.
Для предотвращения этого вы можете переместить папку спулера в контейнер TCTEMP-TrueCrypt, где и будут временно размещаться файлы очереди принтера. Для этого сделайте следующее:
- Откройте Панель управления Windows.
- Откройте раздел Принтеры.
- В строке меню выберите Файл > Свойства сервера.
- Нажмите Дополнительно.
- Укажите новое расположение для папки спулера в сеансовом контейнере TCTEMP.
Заметьте, что, несмотря на это, некоторая информация о последних распечатанных документах может сохраняться во встроенном кэше принтера. Возможно, для его полной очистки вам придется после печати ценного файла распечатывать одну или несколько шаблонных страниц текста, точное количество которых зависит от устройства вашей модели принтера.
Смена размещения временных каталогов ОС
Дописать