TrueCrypt
Наткнулся на новую программу для создания виртуальных зашифрованных дисков и шифрования разделов, TrueCrypt.
Официальный сайт программы:
http://truecrypt.sourceforge.net/
http://sourceforge.net/projects/truecrypt
Краткое описание и скачать (525 кб):
www.truecrypt.tk/
Подробности:
http://groups.google.com/group.....-8&output=gplain
Программа широко обсуждается в новостной группе alt.security.scramdisk
Сам пока не пробовал.
комментариев: 11558 документов: 1036 редакций: 4118
Если же я Ваши риски завысил, внесите уточнение. Например, что Вы понимаете под термином "спецслужба"? Спецслужбы — это и АНБ США, и ФСБ РФ, и Счётная палата (в известном смысле), и Комитет по фин. мониторингу. Однако сфера компетенции, полномочия, используемые в работе методы каждой весьма различны. Во-вторых, какие технические меры защиты реализованы на Вашем предприятии? При наличии должной экранировки вычислительной техники, электрической проводки, отопительных труб и труб водоснабжения, других коммуникаций, а также физической защиты помещений и прилегающих территорий, внутреннего пространства — от несанкционированного прослушивания, то даже в этом случае применение надёжного средства криптозащиты, как TrueCrypt, в ненадёжной среде Windows не может считаться достаточным. Подумайте о развёртывании SELinux или иных укреплённых операционных систем.
Немного конкретизирую вопрос. Чисто общий пример – изъятие сервера БД.
Рассматриваю 2 варианта "защиты":
– Система уничтожения данных АБС ДКЗ (Серия изделий АБС ДКЗ для экстренного уничтожения информации с жестких дисков стандарта Hot-Swap серверов, загрузчиков, дисковых массивов – www.nero.ru)
– Truecrypt.
Интересно вот что – сравнима ли защита при помощи Truecrypt c уничтожением дисков?
комментариев: 11558 документов: 1036 редакций: 4118
При реализации систем уничтожения данных оппонент по-прежнему сохраняет возможность дистанционного съёма информации, однако, поскольку объективной утечке, как правило, подвергается не весь массив данных, оппонент получает неполную их картину. Изъятие сервера в этом сценарии также затруднено по вполне понятным причинам.
комментариев: 11558 документов: 1036 редакций: 4118
контейнеров. Он подключает, но пишет "Нет доступа", файловую систему
определяет как "RAW", хотя до этого вроде была NTFS. Размер контейнера 3 Gb.
Кто нибудь сталкивался с таким? И как это решить?
комментариев: 22 документов: 7 редакций: 0
комментариев: 9 документов: 2 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
На сегодня нет прикладных систем за исключением ядра Linux, где бы поддерживались устойчивые к подобным атакам режимы шифрования. Допустим, если оппоненту известно, что всю ценную информацию Вы храните в контейнере, он может вбросить Вам выглядящий правдоподобно и ценно файл, а потом искать известные ему паттерны в шифртексте контейнера.
Взлом — слишком широкое понятие. Варианты криптоанализа я описал, о других прочтёте по ссылкам в форуме. Если говорить о компрометации паролей, это более реалистично особенно в среде Windows.
комментариев: 9 документов: 2 редакций: 0
Вопрос получился каким-то размытым. Попробую конкретизировать.
Хотелось бы узнать о наличии уязвимостей реализации(типа попадания ключа шифрования в SWAP-файл, конкретно этой уязвимости насколько я знаю в TrueCrypt нет-ключевая фраза в памяти блокируется). И насколько велика защищенность системы, например по сравнению с PGPdisk.
P. S. О отсутствии зависимостей в шифртексте я читал, но хотелось бы представлять в какой мере это характеризует качество системы.
комментариев: 11558 документов: 1036 редакций: 4118
Они на одном уровне. Но PGPdisk — чистое средство защиты информации, а TC — скорее инструмент обеспечения приватности. Отсюда и "отбеливание" контейнера, и plausable deniability, и скрытые контейнеры.
Скажем так, это общее место коммерческих и даже многих некоммерческих криптосистем. Защищённые режимы вроде ECCIV реализованы только в Линукс. Делайте выводы. Но на криптостойкости, как таковой, это сказывается незначительно. Используя эти методы оппонент может доказать наличие в контейнере особым образом помеченной информации (пиратской копии фильма, допустим), но не может судить о характере всего его содержимого.
комментариев: 9796 документов: 488 редакций: 5664
Encrypted sector salt:
http://clemens.endorphin.org/LinuxHDEncSettings
Хорошо, если эту систему корректно реализуют под Windows в проекте www.freeotfe.org
Речь о не только устойчивости к multiscan/watermarking атакам, но и о недостигнутых критериях криптостойкости вообще. Нужны в принципе новые режимы шифрования или шифры, совместимые с размером сектора. Режимы типа CBC и обычные блочные шифры создавались для шифрования отдельных сообщения.
[offtopic] Кстати, FAQ про размер ключа и его полный перебор тоже слегка устарел по последним концепциям Шнайера-Фергюссона: для 128-битного уровня безопасности нужен 256-битный шифр (коллизионные и двусторонние атаки, которые могут быть осуществлены на практике) и ассиметричный алгоритм порядка 6000 бит, для длительного использования – свыше 8000 бит.
Для криптоконтейнеров нужны симметричные шифры с размером блока 4096 бит – это уже по данным других исследователей.
(Только не говорите, что Шнайер заболел паранойей и я под его впечатлением тоже. Когда он в 2003 году говорил, что все хэш-функции плохие и их надо бы разрабатывать с нуля ему тоже никто не верил)[/offtopic]
комментариев: 9 документов: 2 редакций: 0
Судя по всему не стоит пока применять TrueCrypt как идеальное средство защиты. Но учитывая, что более существенны угрозы со стороны электронной слежки и удаленного наблюдения, систему можно применять. Поскольку на безрыбье и рак – рыба, а уровень защиты TrueCrypt не хуже чем у аналогов.