Можно ли сделать резервную копию зашифрованного диска? – [решено]
Можно ли сделать резервную копию или образ диска уже зашифрованного диска?
Комментарии
— SATtva (21/02/2006 21:30) Какого диска, чем зашифрованного? Если говорите о криптоконтейнере PGPdisk, просто скопируйте его файл на резервный носитель (предварительно размонтируйте его, unmount). Если же речь о диске, полностью зашифрованном с помощью PGP Whole Disk, то можете сохранить его образ — он останется зашифрованным.
— Гость (21/11/2006 18:51) Ситуация: шифрую весь диск с помощью PGP Whole Disk.
1. А если снимать образ прогой типа Acronis True Image – Какой образ я получу в итоге? То же ввесь зашифрованный?
2. Диск разбит прогой типа Partishion Magic, соответственно основной + пара логических дисков. И если я Acronis делаю отдельно образ основного и отдельно логического диска – возможно ли будет восстановить или только основной диск/раздела или только логический?
Проблема/задача в том, что Acronis True Image позволяет делать дифференциальные бэкапы дисков, а у меня как раз и надо бэкапить логический диск. Но не уверен что при использовании Whole Disk я смогу потом восставновить инфу или хотя бы просто вытащить её из бэкапа образа диска если она зашифрованна...
Хм, и как тогда бэкапить? Простым копированием файлов/папок? А если там стоит набор программ которые бессмысленно просто скопировать – то что можно в этом случае сделать? Только ли дифференциальное копирование всех дисков сразу? Да какую-нибудь базу данных порой надо бэкапить по несколько раз на день, но из-за ентого бэкапить всю систему?!
С уважением,
Юрий
— Гость (23/11/2006 20:18) Сам спросил – сам же и попробую ответить :-)
Начну с главного: после установки, вернее – после того как зашифровал диск с помощью PGP Whole Disk, Acronis True Image (9.0.0.2289 rus) не может создать образ диска!
Т.е. запускается, дает выбрать параметры, а практически в самом начале создания образа пишет что-то типа "не могу прочитать сектор 70265". И всё... Остается только нажать кнопку Отмена и выйти из Acronis...
На днях попробую более свежие версии Acronis, в т.ч. eng (они менее глючные), но сдается мне что енто системный глюк связанный именно с PGP Whole Disk...
И если всё так плачевно окажется, то даже не знаю что и делать... Риск и так велик остаться без информации, если вдруг PGP Whole Disk взглюкнёт, но и не возможность при этом делать нормальные бэкапы – это полная засада!
И не уверен что образ диска зашифрованного PGP Whole Disk можно будет снять загрузившись с чего-то типа BartPE, потому как я не знаю пока точно как в таком/подобном случае выглядит винт, вернее его файловая система и что будут думать такие внешне загруженные системы глядя на шифрованный винт... А самое главное: от самого факта/события загрузки с BartPE – не нарушатся/повалится ли PGP Whole Disk до такой степени, что переставет вообще грузиться...
У кого какие мысли/подозрения/знания – посоветуйте что делать и как предохраняться!
Риск и так велик остаться без информации, если вдруг PGP Whole Disk взглюкнёт, но и не возможность при этом делать нормальные бэкапы – это полная засада!
В дистрибутиве PGP поставляется утилита для создания Recovery Image. Если Вы предварительно запишите его на CD, то даже если система накроется медным тазом, сможете расшифровать жёсткий диск.
потому как я не знаю пока точно как в таком/подобном случае выглядит винт
Обратите внимание: для программы, снимающей дамп жёсткого диска (т.е. образ диска, а не файловой системы), должно быть всё равно, что вообще и в каком виде там записано. При снятии дампа программа посекторно считывает диск и записывает данные в файл. При сохранении резервной копии файловой системы программа считывает данные, согласно оглавлению ФС (т.е. сохраняет файлы, а не содержимое всех секторов), и если последняя зашифрована, то не может произвести резервирование.
Однако в случае посекторного резервирования оно должно производиться только при "закрытых" зашифрованных дисках. Иными словами, сама система должна расценивать такой диск просто битой/неотформатированной файловой системой. Этого можно добиться, если резервирующий агент запускается на предзагрузочном уровне с внешнего носителя (BartPE можно рассматривать как подобный вариант) или если сам резервируемый диск подключить к другой системе. Это, кстати, самый простой и гарантированно действенный метод.
А вот пытаться сохранить дамп зашифрованного диска "изнутри" работающей системы действительно может не получиться (если только резервирующий агент не осуществляет доступ к диску в обход ОС, а это маловероятно). Сохранять так образ файловой системы можно (более того, это единственный способ резервирования зашифрованной ФС).
А самое главное: от самого факта/события загрузки с BartPE – не нарушатся/повалится ли PGP Whole Disk до такой степени, что переставет вообще грузиться...
BartPE вообще не задействует жёсткий диск системы (между прочим, его можно запускать даже на системах с совершенно отсутствующим винтом). Так что его запуск не затронет содержимое диска никоим образом.
— Гость (24/11/2006 08:39) SATva, спасибо за комментарий!
Теперь маленькие уточнения.
Вопрос с Acronis возник из-за того, что:
1. Создание образа диска- это самый простой и быстрый способ восстановить систему после любого краха. И в корпоративной среде – достаточно распрастраненный метод. Я могу, конечно, париться с бэкапом критичных папок/файлов на сетевой диск, но как-то не комильфо...
2. ...вытекает из первого: а как енто всё автоматизировать? Так, у меня сам Acronis по расписанию делал бэкапы образов (замечу – разные виды бэкапов!), а как это автоматизировать при помощи Recovery Image или тем паче – BartPE? Как я понимаю- тот же BartPE можно запустить только в ручном режиме, вернее- только ручками... И если у меня таких компов штук 20?
Вообщем, я попробую, конечно, PGP Recovery Image и посмотрю что он умеет. И если не получится автоматизировать сей процесс, то останется только снимать шифрование с диска, делать Acronis нормальный образ для возможности быстрого восстановления в случае "полной смерти" (потому как поторопился и после шифрования дисков зачем-то удалил бэкапы образов созданные Acronis до установки PGP Whole Disk), потом снова шифровать диск и настраивать отдельный бэкап критичных папок/файлов на сервер с помощью или того же Acronis или иных сторонних утилит.
— Lemtoks (24/11/2006 17:57)
...вытекает из первого: а как енто всё автоматизировать?
Наверно, это возможно, но сложно. Компы оставляются на ночь включёнными. Планировщик задач их ребутит в три часа, например. В BIOS'е выбрано "загружаться с CD". В сидюках лежат диски, которые автоматически запустят утилиту, делающую бэкап. После создания бэкапов компы выключаются. Утром приходят люди, загружаются в систему, запускается скрипт, который копирует бэкапы на сетевой диск или ещё куда-нибудь.
Проще – использовать не WholeDisk, а обычный PGPDisk. Его можно будет копировать, как любой другой файл.
Так, у меня сам Acronis по расписанию делал бэкапы образов (замечу – разные виды бэкапов!)
С зашифрованным диском не получится разных видов, только полная копия.
— Гость (25/11/2006 02:25) Lemtoks, или не совсем верный совет или уточняй его. Все забыли про масенький нюанс, а он может испоритить всю картину... У меня на компе всего ОДИН диск и он был разбит на три диска прогой Partishion Magic! Видимо именно из-за этого у меня зашифровался весь диск. А теперь вопрос- куда будет сливаться образ?! Верно – или никуда или нужен второй диск... Настроить тот же BartPE для подобного (копирование на второй винт автоматом или копирование по сети) сложно, проще или второй загрузочный диск в системе иметь или на крайняк при загрузке выбрать загрузку с USB-диска. А в моей ситуации так это (USB-диск) вообще идеальный и единственный вариант.
Правда остается еще возможность попробовать снести данные с третьего (как наименее используемого) диска, удалить его полностью из системы, расшифровать диск и потом уже Fdisk подцепить этот диск заново.
Короче, цель одна- чтобы Whole Disk не зашифровал этот третий диск. А уж на него (новый диск) поставить еще одну систему, да хоть Win98 (лишь бы дрова найти), поставить его основным загрузочным по умолчанию, установить Acronis и уже тогда делать Image диска закрытого Whole Disk... И можно даже достаточно просто настроить на авто-бэкап по расписанию или событию.
Ну или действительно – вставлять в комп второй диск и не париться с переразбивкой первого винта или тормозами подключения по USB...
С уважением,
Юрий
— Гость (26/11/2006 15:40) SATtva!
Не сумел найти PGP Recovery Image о которой Ты упоминал выше, поэтому просьба чуть подробнее про эту утилиту: где именно её взять и как пользоваться?
— SATtva (26/11/2006 16:25) В установочной директории PGP находятся два файла: bootg.iso (для записи на CD) и bootg.img (для записи на дискету). Это не утилита, а резервные образы для восстановления функции Whole Disk Encryption на повреждённом загрузочном диске. Т.е. Вы записываете, скажем, bootg.iso на CD, а если вдруг зашифрованный загрузочный диск окажется повреждён, что приведёт к неработоспособности компа, Вы запускаете его с этого резервного CD и получаете возможность расшифровать диски. Короче, это вообще не средство резервного копирования и отношения к ним не имеет.
— Гость (26/11/2006 17:37) SATtva, а записывать bootg.iso на CD-DVD до того как загрузочный диск зашифрован или уже после? Или без разницы?
Смысл вопроса в том, что если bootg.iso универсальнй модуль, то тогда достаточно его записать на диск один раз и можно использовать на разных компах?
Вообще странно... Мне казалось, что если зашифрованный диск получит повреждение, то всё, без вариантов на восстановление. А тут оказывается, что есть возможность расшифровать даже поврежденный контейнер... У него что – есть избыточная информация для восстановления как, например, в WinRAR?! Или bootg.iso помагает в ограниченных случаях связанных с узким перечнем проблем? А тогда в каких именно?
— SATtva (26/11/2006 19:44)
а записывать bootg.iso на CD-DVD до того как загрузочный диск зашифрован или уже после? Или без разницы?
Всё равно. Но есть важный нюанс: файл образа должен быть только из дистрибутива данной или более поздней версии! Иными словами, если Вы зашифровали диск с помощью PGP 9.5, а "спасательный CD" создали на основе bootg.iso из поставки PGP 9.0.2, то его использование сделает файловую систему полностью неработоспособной: диск придётся форматировать.
Вообще странно... Мне казалось, что если зашифрованный диск получит повреждение, то всё, без вариантов на восстановление. А тут оказывается, что есть возможность расшифровать даже поврежденный контейнер... У него что – есть избыточная информация для восстановления как, например, в WinRAR?!
Во-первых, зашифрованный раздел (диск) и криптоконтейнер (файл) — это совсем разные вещи. В контейнере PGPdisk есть две служебные области, повреждение которых в большинстве случаев полностью выводить его из строя. Губительны и некоторые другие происшествия.
С диском ситуация иная. Он шифруется посекторно от начала до конца. Повреждение в некотором секторе диска как правило локализовано только этим сектором. Так что можете хоть половину шифртекста переписать — к существенным проблемам это не приведёт. Шифртекст криптоконтейнеров также достаточно устойчив к повреждениям. Конечно, если Вы и перепишите шифртекст, то при расшифровании в этих секторах получится мусор, и если данные сектора содержали таблицу файловой системы, от неё, конечно, станет мало проку.
Или bootg.iso помагает в ограниченных случаях связанных с узким перечнем проблем? А тогда в каких именно?
Исключение из описанных выше ситуаций представляет зашифрованный загрузочный раздел. Он шифруется не "от и до". Небольшая область диска остаётся открытой, и в неё помещается загрузчик Bootguard, который и просит ввести пароль при запуске системы (далее его исполняемый код размещается в памяти и производит низкоуровневое зашифрование/расшифрование записываемых/считываемых данных). Разумеется, если окажутся повреждены сектора диска, содержащие Bootguard, компьютер станет неработоспособным.
Образ bootg.iso как раз и содержит вариант Bootguard, запускаемый с внешнего носителя. Таким образом, даже при повреждении основной копии на диске Вы всё равно сможете запустить систему или расшифровать диски ПК.
— Гость (27/11/2006 00:49) Ок, более-менее понятно становится... Кстати, SATtva, я не верно выразился сказав
есть возможность расшифровать даже поврежденный контейнер...
Естетсвенно, я имел ввиду диск! Но тем не менее такая ошибка даже к лучшему, потому что узнал дополнительную инфу :-)
Теперь что касается снятия образа зашифрованного диска...
В случае если в системе установлен только один винт – Whole Disk шифрует его весь и мне не удалось разбить области винта даже при помощи fdisk таким образом, чтобы хоть одну область не зацепил Whole Disk при шифровании. Напомню, я хотел на такую незашифрованную область поставить другую систему + Acronis True Image, сделать их загружаемыми по умолчанию и автоматизировать процесс создания образа...
К сожалению у меня под руками сейчас только ноутбук, а на него второй винт не воткнешь :-) чтобы посмотреть как поведет себя Whole Disk в таком случае. Но сдается мне что именно такой вариант прокатит в плане возможности автоматизации процесса. А пока... Пока только в случае одного винта в системе получается снимать образ с помощию загрузочного CD-диска Acronis на внешний USB-винт... Понятно, что автоматизацией тут и не пахнет, но уже легче что ещё есть вариант с bootg.iso...
Правда сейчас идейка одна промелькнула, может и прокатит... Смысл в том, что у меня сейчас винт разбит на диски C и D (в сумме примерно 20 гигов) и некоторая область осталась вообще не использованной (примерно 40 гигов). Сейчас Whole Disk криптует диски C и D, а вот потом я посмотрю что удастся сделать с незадействованной сейчас областью винта. По идее – она тоже должна быть зашифрованной, но стоит проверить... Может удастся тем же fdisk переформатировать незадействованный, но защищенный (?!) раздел так, чтобы на дисках C и D защита осталась, а вот остальная область была доступной... Что из этого получится- обязательно расскажу...
— Гость (27/11/2006 17:48) Рассказываю. Финал – BSD! :-)
А теперь по порядку... Зашифровал диск и перезагрузился. Через Управление в Винде (менеджер дисков) подцепил незадействованную область и создал новый раздел. Тут первый Упс! – он тут же вошел в область накрытую Whole Disk (по крайней мере так это было видно через PGP Desktop).
Ладно, перезагружаемся и загружаюсь с помощью Hirens BootCD, а потом под DOSом этот новый большой раздел (кстати, разбитый винт виден отдельными частями!!!, но типа недоступен ни один из них) удаляю/создаю/форматирую еще раз и снова перезагружаюсь.
Пароль PGP принимает нормально, начинается загрузка Винды и практически тут же второй Упс!- выдает BSD (что-то типа того, что найдено новое оборудование и Винда не может быть загружена посему. Типа – просьба через БИОС отключить новое оборудование и попытаться хотя бы через Safe Mode загрузиться...). Понятно, что диагноз окончателен (ну нет нового оборудования, не могу я в ноут его так просто вставить, а удаление с помощью Hirens BootCD этого нового раздела вообще на фиг – не помагает ) и остается только из Бэкапа полностью восстанавливать диски С и D.
Так что предварительный вывод следующий: при наличии одного винта в системе автоматизировать процесс создания образа диска зашифрованного с помощью PGP Whole Disk не получается, ибо нет возможности создать незакрытую Whole Disk партицию на винте... Решение проблемы – или наличие второго винта в системе (лично не пробовал, но судя по косвенным данным ДОЛЖНО получиться) или загрузка полного варианта Acronis True Image с CD-диска и слив создаваемого Бэкапа на подключаемый USB-винт, благо Acronis нормально такие винты поддерживает... Правда в этом случае ни о какой автоматизации речи и быть не может.
— SATtva (27/11/2006 21:33) Я почему-то в начале этот вопрос не задал, но сейчас интересно, а какая у Вас версия PGP? Последняя 9.5.x умеет работать с логическими разделами (более ранние версии действительно шифровали диск целиком или вообще отказывались работать на размеченных), вроде бы даже поддерживает мультизагрузочные системы, хотя сам я это не проверял. Может быть Вам стоит обновить программу и попробовать зашифровать только один раздел ещё раз?
— spinore (27/11/2006 22:02)
>Рассказываю. Финал – BSD!
У меня было таже. Ну её нафик эту венду. BSD – наше всё. Выбирайте OpenBSD и будет вам счастие.
— Гость (27/11/2006 23:56) SATtva – версия 9.5.0 (первая, сентябрьская сборка, по-моему) так что выводы делайте сами... Ну не дает эта версия выбирать разделы! Или всё, или ничего, что дома на ноуте, что на работе на большой станции... :-(
Проверьте сами – а то мне очень хочется надеяться, что всё таки у меня руки кривые и решение существует...
А про мультизагрузку не скажу, ибо не проверял...
spinore- Юмор оценил! :-)
Но я то имел ввиду Blue Screen of Death...
— unknown (28/11/2006 08:48)
Но я то имел ввиду Blue Screen of Death...
Ну спутать BSOD и BSD это просто кощунственно :-) Будем надеятся, что это просто опечатка.
— Гость (29/01/2007 10:28) Н-да... Попробовал снять образы при помощи загрузочного диска Acronis...
Короче, USB-винт видится, но на него не даёт сохранять образы. Пришлось выбирать 2 других метса – или на DVD-R писать или по сети на сервер лить...
DVD-R: диск С всего 15 гигов, используется примерно 2,5 гига, посекторное копирование такого диска требует 3 DVD и примерно 2,5-3 часа времени.
Копирование по сети: правда выбрал создание образов сразу 2 дисков, второй то же 15 гигов... Времени ушло почти 20! Часов.
Короче, всё не радует! Остается только найти версию Acrnis посвежее и таки попробовать лить посекторные образа дисков именно на USB-винт, ну или оставлять эту задачу на все выходные!...
Есть еще один вопрос который хочется прояснить для себя, но не хочется ТАК экспериментировать: если я создаю посекторные образы каждого зашифрованного диска отдельно, то в дальнейшем я смогу восстанавливать только один из дисков по моему выбору? Как себя поведет в такой ситуации PGP-WDE ?
С уважением,
Юрий
— Observer (18/02/2007 13:35, исправлен 19/02/2007 01:05) Есть программа PARAGON Partition Manager Professional 7.0 Build 1057, которая якобы делает образы диска, посекторно. Т.е. по идее – это идеальное средство для создания образов любых зашифрованных дисков. У меня пока руки не дошли её попробовать (уже её скачал себе – она в виде .iso-файла) с DriveCrypt Plus Pack, но... похоже, что она всталяется именно как Boot CD и делает свою работу именно под этим состоянием. Т.е. этот Бут СД будет загружен раньше, чем успеет подключиться система шифрования, что скорее всего обеспечит успех предприятия.
Цитата:
С труимадж у меня тоже не получилось, а с парогоном всё ОК. Я сделал виндовый раздел равный по размеру DVD, образ снимается (и одновременно записывается на DVD-RW) посекторно с сохранением мбр.
P. S. версия парагона – Partition Manager Professional 7.0 Build 1057 http://forum.ru-board.com/topi.....topic=5998&start=300[link2]
PS
Попробовал сделать Парагоном бэкап-образ системы зашифрованной DriveCrypt Plus Pack-ом – облом. Не видит она зашифрованный диск. Аналогичное было с флэшкой, которую я зашифровал с ключом от DriveCrypt Plus Pack. На "родном" компьютере читается отлично (ключ-то тут, рядом, на винчестере лежит), а на "чужом" компе пишет по-простому "диск не отформатирован. форматнуть?". 8)) Очень полезная особенность.
ЗЫЗЫ (19.02.07 1:03)
Прошу прощения, но напишу ещё чуток про диски и шифрование. Зачем подвергать свою информацию испытанию быть украденной при помощи элементарного кейлогера (установят когда вы спите, например), если... Короче, я предпочитаю не бороться с вирусами, а не пускать их на свой компьютер. Если возможна физическая установка кейлогера, то нафига все эти трюкрипты и прочие пиджипи? Сейчас у меня ноутбук выключен и никакая зараза (я про программы работы с партициями) не видит мой жёсткий диск – он полностью зашифрован вместе с операционной системой. Все программные утилиты видят его как неотформатированный. Ноутбук может быть украден, но доступ к моей информации вор не получит – он споткнётся на первых же секундах загрузки. Чтобы перейти к запуску ОС нужно миновать ввод пароля. И это не БИОС-пароль и не логИн Винды. Он между ними. А там, внутри ОС можно уже с чистой совестью использовать другие крипто-программы. Если оно надо... Вот я закрываю крышку ноута и система впадает в спячку (34 секунды). Когда я завтра утром открою крышку и нажму кнопку включения, у меня сразу запросит пароль... Я буду спать спокойно, т.к. НИКТО в это время мне не подложит свинью в ноутбук. Чего и вам желаю.
— FORWARD (27/06/2007 11:45) Ух, ребята вы жЖжЁте – ИМЕННО!
Особенно понравлось про BSD (BSoD) – я, валялся...
В целом, очень правильные веши высказаны в этой "теме" особенно меня поражает профессионализм SATtva.
Сразу замечу, что кто-то не понимает как работает FS+MBR+DiskDrive и с чем его едят.
1. Не нужно создавать дополнительных (extendet) разделов
2. Если записывеатся загрузчик отличный от NTLDR, то кончено он будет поврежден при устновке другой OS от микрософта,.. вывод, вторую ось нужно ставить до того как pgp-загрузчик пропишетсья, или скопировать mbr и в новой записи указать несколько вариантов загрузки с учетом разных mbr записей.
А, никто не пробывал, скопировать первые 512 кб винта на всякий случай, перед установкой второй форточки? (хотя Эникейщикам про это мало что извесно...)
Я новерно не совсем конкретно описал необходимый действия, но тот кто делал загрузку Unix like system из под винды должен меня понять. Для интереса – сам попробую все это проделать.
Но, есть ньюанс – у меня подобных проблем вообще не возникло тоже 1 винт и тоже испольщую WDE на системном разделе, другие разделы сами по себе не зашифровались... – что я делаюю не так :)???
Правда версия поновее v9.6.2 b2014
Использую PGP 9.6.1 bild1012 и TrueImage 9.1 bild3718
Включаю комп, ввожу пароль wde, загружается система, запускаю trueimage и снимаю образ зашифрованного системного диска. В конце резервного копирования trueimage говорит, что не может получить доступ к некоторым секторам, игнорим эти сообщения, копирование продолжается.
Все. Получаем резервную копию системного диска в НЕЗАШИФРОВАННОМ виде.
После разворачивания такого образа на новый диск проверка не выявляет никаких повреждений файловой системы (вероятно те сектора, что были недоступны содержат сам загрузчик wde или типа того) и система полностью работоспособна. Остается только зашифровать диск заново.
Естественно, для хранения такую резервную копию нужно дополнительно зашифровать.
Это работает как при шифровании только системного раздела, так и при шифровании диска целиком.
FORWARD
Важный момент – любые операции с разбиением диска на разделы должны быть выполнены ДО зашифровывания диска целиком или одного раздела с помощью wde.
Допустим на диске был только системный раздел и некоторое количество неразмеченного пространства.
Если потом диск был зашифрован целиком, то создать новый раздел нельзя – стандартный диск манагер вываливается с ошибкой (другие средства не пробовал).
Если был зашифрован только системный раздел, то на сободном можно создать новые разделы.
НО!
1. Их нельзы будет зашифровать wde.
2. Если потом снять с системного раздела wde (и расшифровать раздел) то все новые созданные разделы слетают! (думаю это связано с тем, что при начале использования wde снимает mbr и таблицу разделов на диске, и при снятии защиты просто восстанавливает созраненную копию, соответсвенно новых разделов в этой таблице нет и они теряются)
— quickfix (06/03/2010 22:17) В книге Н. Н. Федотова "Форензика – компьютерная криминалистика" указано, что оперуполномоченный в соответствии с инструкциями должен выдернуть сетевой шнур из блока питания ПК. Если присутствующий специалист обнаруживает наличие зашифрованного раздела, образ раздела снимается в обход шифрования. Вопрос: помимо экстренных хот-кеев перезагрузки системы, что можно посоветовать потенциальным жертвам правоохранительных органов?
— Гость (06/03/2010 22:40) quickfix, вы уж определитесь. Либо в инет только по паспорту и никакого шифрования, либо "свобода, равенство, коммунизм".
выдернуть сетевой шнур из блока питания ПК
Провод электропитания или всё-таки сетевой кабель?)
Если присутствующий специалист обнаруживает наличие зашифрованного раздела, образ раздела снимается в обход шифрования.
Если к системе есть доустп (экран не залочен), то просто снимается образ файловой системы, которая доступна в расшифрованном виде. Иначе – производится атака типа cold boot (в слайдах unknown'а про MS кое-где писали про cold boot).
Вопрос: помимо экстренных хот-кеев перезагрузки системы, что можно посоветовать потенциальным жертвам правоохранительных органов?
Система проверяет доступность инета, и если таковой не обнаруживается втечение 60ти секунд, криптоконтейнеры автоматически размонтируются, а ключи шифрования удаляются из оперативной памяти, при этом система не перезагружается и внешне ничего не заметно. Ещё можно весь комплекс поставить в сейф чувствительный к вскрытию по куче параметров, при вскрытии сейфа у системы должно отключаться питание. Ну и, в качестве профилоактики – анонимность :)
Если к системе есть доустп (экран не залочен), то просто снимается образ файловой системы, которая доступна в расшифрованном виде. Иначе – производится атака типа cold boot (в слайдах unknown'а про MS кое-где писали про cold boot).
Предположим, находящаяся на НЖМД информация не стоит вложенных средств на атаку методом "холодной" перезагрузки. Экран залочен, поэтому у правоохранительных органов есть предложение использовать методы индивидуальной работы с персоналом. Получаем пароль. При получении "верного" (?) пароля критическая информация перезписывается 36 раз без ведома оперуполномоченного и эксперта в фоновом режиме. Сработает?
От себя:
1) лок экрана после 60 секунд неподвижной мышки
2) лок экрана после 360 секунд отсутствия работы с жестким диском
После ввода "пароля под принуждением" информация, заранее заложенная в ПО (лок экрана) удаляется методом Гуттмана. А еще лучше, если эксперт с довольной ухмылкой щелкнет кнопку "Enter" на окне пароля вместо того, чтобы ввести комбинацию ключей "ALT+(некая буква)" на окне скринсейвера, в результате чего специалист-криминалистик сам приведет механизм безозвратного уничтожения информации методом Гуттмана в действие. Нужно просто сказать сотрудникам, что не надо нажимать "Вход", когда это необходимо. Ну вы меня поняли, да.
А еще лучше, если эксперт с довольной ухмылкой щелкнет кнопку "Enter" .... в результате чего специалист-криминалистик сам приведет механизм безозвратного уничтожения информации...
Детский подход.
Неужели Вы думате что кто-то будет запускать Вашу ОС?)
Мне по-всякому сойдет.
Если у Вас нету соответствующих финансовых средств – ничего не поможет.
Когда Вам устроят маски-шоу, можете разве что запастись памперсами.
И на кнопку никакую не умпеете нажать.
— quickfix (07/03/2010 01:04)
Детский подход.
Неужели Вы думате что кто-то будет запускать Вашу ОС?)
Зато снять образ диска после ввода пароля, который приведет к уничтожению конфиденциальной информации
Вы хоть понимаете о чем говорите?
Простыми словами:
Возьмут Ваш жесткий диск, подключат его к другому компу, на котором будет к примеру *nix, скопируют побайтово Ваш контейнер, а затем уже... :)
И кстатати, так можно наделать сколько угодно копий, и записать их на DVD-R-ки. А далее попробуйте программно стереть "методом Гуттмана" информацию с таких дисков))))
— quickfix (07/03/2010 01:21)
Вы хоть понимаете о чем говорите?
Простыми словами:
Возьмут Ваш жесткий диск, подключат его к другому компу, на котором будет к примеру *nix, скопируют побайтово Ваш контейнер, а затем уже... :)
А потом будет дистрибутив Helix для вскрытия контейнеров TrueCrypt. Кстати, я прекрасно понимаю о чем говорю. Представьте себе ситуцацию, когда оперуполномоченный вместе с экспертом заходят в офис компании, которая подозревается в неком преступлении, которое сфабриковано по политическим мотивам. Сотрудники компании в открытую говорят эксперту и оперуполномоченному, что диски зашифрованы. Эксперт удовлетворен, просит сотрудников снять защиту с экрана для снятия информации, сотрудники говорят ему пароль "по принуждению", он вводит пароль, информация по "паролю по принуждению" стирается, эксперт снимает образ, Думаете, эксперт и оперуполномоченный будут снимать образ с зашифрованного раздела и вскрывать шифр? Ан нет. Снимут образ после требования предъявить пароль, а после пароля чувствительные данные будут удалены. Они сами же их удалят. :)
Ладно, эта тему уже неоднократно обсуждалась на многих ресурсах, в том числе и на pgpru. Советую почитать, особенно комментарии тех кто прошел через это. Тогда, думаю, Ваш поток детективных фантазий поубавится немного.
— quickfix (07/03/2010 01:42)
Вы уверены?)
Да, я уверен. А поскольку Вы не приводите ссылок на подобные ресурсы, в том числе на ресурсы, где указаны "те, кто прошел это" – могу считать данные утверждения необоснованным фарсом.
— Гость (07/03/2010 01:47) Заводим скрытый контейнер, а ключи храним на скрытом Tor-сервисе. При вводе пароля от открытого шифроконтейнера сервис уничтожает ключ от скрытого. ;)
— quickfix (07/03/2010 01:53)
Заводим скрытый контейнер, а ключи храним на скрытом Tor-сервисе. При вводе пароля от открытого шифроконтейнера сервис уничтожает ключ от скрытого. ;)
не стоит вложенных средств на атаку методом "холодной" перезагрузки.
Это стандартная процедура, которая уже давно "на вооружении".
есть предложение использовать методы индивидуальной работы с персоналом.
Фирмы и персонал – совершенно другая стихия, где всё надо делать концептуально иначе, не так как на домашнем компе.
А еще лучше, если эксперт с довольной ухмылкой щелкнет кнопку "Enter" на окне пароля вместо того, чтобы
Насколько это мне представляется, никто и никогда (дятлы не в счёт) не производит диагностику с вашего же компа, как максимум подсоединят ваш диск к своему компу, и как минимум – будут грузиться со своего LiveCD. В тяжёлых случаях в первую очередь либо централизованно выключают свет, либо всех ложат на пол (в фирме). На кнопку действительно нажать не успеете, как вам сказал оперуполномоченный Migel, но это не вся правда. Если так нужно, делается внешнее наблюдение, садится человек на "красную кнопку", нанимается вооружённая охрана и т.п., но и это не даёт полной гарантии. Слушать истории с инета у кого как было – это, конечно, полезно, но следует понимать, что становится известно только о случаях, когда макси-шоу приходят, но раз они пришли, к защите в том месте относились наплевательски. В сводках рапортуют только об успехах, а не о средневзвешшенном положении дел, и это надо понимать.
приведет механизм безозвратного уничтожения информации методом Гуттмана в действие
Это бред из даже если исходить из самых общих соображений, т.к.
для уничтожения шифрованной информации достаточно стереть ключ шифрования
незачем хранить ключ шифрования на диске – достаточно иметь его в оперативной памяти.
Далее задача уничтожения сводится к уничтожению носителя с ключом. Можно рискнуть хранить такой ключ на скрытом ресурсе Tor, но это даст с гарантией уничтожить "все его копии" в случае необходимости, и возникнут масса проблем при перебоях инета. В целом я бы посоветовал вам начать с тщательно обдумывания того, как ваши ad hoc'и (а давайте вот так, а если ещё вот так, а вот эдак вообще замечательно!) соотносятся с общей схемой[link3].
— quickfix (07/03/2010 17:11) Спасибо за объяснение, в принципе это все что я хотел узнать. И спасибо, что указали на ошибки и недочеты, в следующий раз буду соотносить свои мысли и соображения в соответствии с схемой.
Раз уж вспомнили форенсиковские слайды с cryptome.org, то там выносится тезис о том, что если подозреваемый использует шифрование системы, то необходимо использовать комбинированный подход к снятию данных — как с захваченной системы во включенном состоянии, так и в виде побайтовой копии с выключенной.
С включенной системой эксперт действительно рискует привести в действие некоторые ловушки, уничтожающие данные (но только ключи шифрования — фоновое затирание больших объёмов на винчестере было бы слишком медленно и заметно). Поэтому, если эксперт идёт на риск, то последнее, что он будет делать — это пользоваться подсказками подозреваемого по работе с включенной системой (вот про методы доступа и пароли к выключенной — пусть всё подробно потом рассказывает. В спокойной обстановке).
Высокооснащённые эксперты могут попробовать подключиться к разъёмам материнской платы, чтобы добраться до содержимого оперативной памяти (с ключами) или провести атаку с холодной перезагрузкой.
Навороченные схемы с уничтожением ключей по датчикам вскрытия, перемещения, отключения от сети и пр. — слишком ненадёжны, чтобы с ними мог работать обычный пользователь
— Гость (08/03/2010 02:14)
Навороченные схемы с уничтожением ключей по датчикам вскрытия, перемещения, отключения от сети и пр. — слишком ненадёжны, чтобы с ними мог работать обычный пользователь
По сигналу будут не ключи уничтожаться, а питание отключаться. Не так-то это и сложно, собрать такой сейф. Точнее, это может быть и не сейф, а просто коробка, которая отключает питание при:
Какого диска, чем зашифрованного? Если говорите о криптоконтейнере PGPdisk, просто скопируйте его файл на резервный носитель (предварительно размонтируйте его, unmount). Если же речь о диске, полностью зашифрованном с помощью PGP Whole Disk, то можете сохранить его образ — он останется зашифрованным.
Ситуация: шифрую весь диск с помощью PGP Whole Disk.
1. А если снимать образ прогой типа Acronis True Image – Какой образ я получу в итоге? То же ввесь зашифрованный?
2. Диск разбит прогой типа Partishion Magic, соответственно основной + пара логических дисков. И если я Acronis делаю отдельно образ основного и отдельно логического диска – возможно ли будет восстановить или только основной диск/раздела или только логический?
Проблема/задача в том, что Acronis True Image позволяет делать дифференциальные бэкапы дисков, а у меня как раз и надо бэкапить логический диск. Но не уверен что при использовании Whole Disk я смогу потом восставновить инфу или хотя бы просто вытащить её из бэкапа образа диска если она зашифрованна...
Хм, и как тогда бэкапить? Простым копированием файлов/папок? А если там стоит набор программ которые бессмысленно просто скопировать – то что можно в этом случае сделать? Только ли дифференциальное копирование всех дисков сразу? Да какую-нибудь базу данных порой надо бэкапить по несколько раз на день, но из-за ентого бэкапить всю систему?!
С уважением,
Юрий
Сам спросил – сам же и попробую ответить :-)
Начну с главного: после установки, вернее – после того как зашифровал диск с помощью PGP Whole Disk, Acronis True Image (9.0.0.2289 rus) не может создать образ диска!
Т.е. запускается, дает выбрать параметры, а практически в самом начале создания образа пишет что-то типа "не могу прочитать сектор 70265". И всё... Остается только нажать кнопку Отмена и выйти из Acronis...
На днях попробую более свежие версии Acronis, в т.ч. eng (они менее глючные), но сдается мне что енто системный глюк связанный именно с PGP Whole Disk...
И если всё так плачевно окажется, то даже не знаю что и делать... Риск и так велик остаться без информации, если вдруг PGP Whole Disk взглюкнёт, но и не возможность при этом делать нормальные бэкапы – это полная засада!
И не уверен что образ диска зашифрованного PGP Whole Disk можно будет снять загрузившись с чего-то типа BartPE, потому как я не знаю пока точно как в таком/подобном случае выглядит винт, вернее его файловая система и что будут думать такие внешне загруженные системы глядя на шифрованный винт... А самое главное: от самого факта/события загрузки с BartPE – не нарушатся/повалится ли PGP Whole Disk до такой степени, что переставет вообще грузиться...
У кого какие мысли/подозрения/знания – посоветуйте что делать и как предохраняться!
С уважением,
Юрий.
В дистрибутиве PGP поставляется утилита для создания Recovery Image. Если Вы предварительно запишите его на CD, то даже если система накроется медным тазом, сможете расшифровать жёсткий диск.
Обратите внимание: для программы, снимающей дамп жёсткого диска (т.е. образ диска, а не файловой системы), должно быть всё равно, что вообще и в каком виде там записано. При снятии дампа программа посекторно считывает диск и записывает данные в файл. При сохранении резервной копии файловой системы программа считывает данные, согласно оглавлению ФС (т.е. сохраняет файлы, а не содержимое всех секторов), и если последняя зашифрована, то не может произвести резервирование.
Однако в случае посекторного резервирования оно должно производиться только при "закрытых" зашифрованных дисках. Иными словами, сама система должна расценивать такой диск просто битой/неотформатированной файловой системой. Этого можно добиться, если резервирующий агент запускается на предзагрузочном уровне с внешнего носителя (BartPE можно рассматривать как подобный вариант) или если сам резервируемый диск подключить к другой системе. Это, кстати, самый простой и гарантированно действенный метод.
А вот пытаться сохранить дамп зашифрованного диска "изнутри" работающей системы действительно может не получиться (если только резервирующий агент не осуществляет доступ к диску в обход ОС, а это маловероятно). Сохранять так образ файловой системы можно (более того, это единственный способ резервирования зашифрованной ФС).
BartPE вообще не задействует жёсткий диск системы (между прочим, его можно запускать даже на системах с совершенно отсутствующим винтом). Так что его запуск не затронет содержимое диска никоим образом.
SATva, спасибо за комментарий!
Теперь маленькие уточнения.
Вопрос с Acronis возник из-за того, что:
1. Создание образа диска- это самый простой и быстрый способ восстановить систему после любого краха. И в корпоративной среде – достаточно распрастраненный метод. Я могу, конечно, париться с бэкапом критичных папок/файлов на сетевой диск, но как-то не комильфо...
2. ...вытекает из первого: а как енто всё автоматизировать? Так, у меня сам Acronis по расписанию делал бэкапы образов (замечу – разные виды бэкапов!), а как это автоматизировать при помощи Recovery Image или тем паче – BartPE? Как я понимаю- тот же BartPE можно запустить только в ручном режиме, вернее- только ручками... И если у меня таких компов штук 20?
Вообщем, я попробую, конечно, PGP Recovery Image и посмотрю что он умеет. И если не получится автоматизировать сей процесс, то останется только снимать шифрование с диска, делать Acronis нормальный образ для возможности быстрого восстановления в случае "полной смерти" (потому как поторопился и после шифрования дисков зачем-то удалил бэкапы образов созданные Acronis до установки PGP Whole Disk), потом снова шифровать диск и настраивать отдельный бэкап критичных папок/файлов на сервер с помощью или того же Acronis или иных сторонних утилит.
Наверно, это возможно, но сложно. Компы оставляются на ночь включёнными. Планировщик задач их ребутит в три часа, например. В BIOS'е выбрано "загружаться с CD". В сидюках лежат диски, которые автоматически запустят утилиту, делающую бэкап. После создания бэкапов компы выключаются. Утром приходят люди, загружаются в систему, запускается скрипт, который копирует бэкапы на сетевой диск или ещё куда-нибудь.
Проще – использовать не WholeDisk, а обычный PGPDisk. Его можно будет копировать, как любой другой файл.
С зашифрованным диском не получится разных видов, только полная копия.
Lemtoks, или не совсем верный совет или уточняй его. Все забыли про масенький нюанс, а он может испоритить всю картину... У меня на компе всего ОДИН диск и он был разбит на три диска прогой Partishion Magic! Видимо именно из-за этого у меня зашифровался весь диск. А теперь вопрос- куда будет сливаться образ?! Верно – или никуда или нужен второй диск... Настроить тот же BartPE для подобного (копирование на второй винт автоматом или копирование по сети) сложно, проще или второй загрузочный диск в системе иметь или на крайняк при загрузке выбрать загрузку с USB-диска. А в моей ситуации так это (USB-диск) вообще идеальный и единственный вариант.
Правда остается еще возможность попробовать снести данные с третьего (как наименее используемого) диска, удалить его полностью из системы, расшифровать диск и потом уже Fdisk подцепить этот диск заново.
Короче, цель одна- чтобы Whole Disk не зашифровал этот третий диск. А уж на него (новый диск) поставить еще одну систему, да хоть Win98 (лишь бы дрова найти), поставить его основным загрузочным по умолчанию, установить Acronis и уже тогда делать Image диска закрытого Whole Disk... И можно даже достаточно просто настроить на авто-бэкап по расписанию или событию.
Ну или действительно – вставлять в комп второй диск и не париться с переразбивкой первого винта или тормозами подключения по USB...
С уважением,
Юрий
SATtva!
Не сумел найти PGP Recovery Image о которой Ты упоминал выше, поэтому просьба чуть подробнее про эту утилиту: где именно её взять и как пользоваться?
В установочной директории PGP находятся два файла: bootg.iso (для записи на CD) и bootg.img (для записи на дискету). Это не утилита, а резервные образы для восстановления функции Whole Disk Encryption на повреждённом загрузочном диске. Т.е. Вы записываете, скажем, bootg.iso на CD, а если вдруг зашифрованный загрузочный диск окажется повреждён, что приведёт к неработоспособности компа, Вы запускаете его с этого резервного CD и получаете возможность расшифровать диски. Короче, это вообще не средство резервного копирования и отношения к ним не имеет.
SATtva, а записывать bootg.iso на CD-DVD до того как загрузочный диск зашифрован или уже после? Или без разницы?
Смысл вопроса в том, что если bootg.iso универсальнй модуль, то тогда достаточно его записать на диск один раз и можно использовать на разных компах?
Вообще странно... Мне казалось, что если зашифрованный диск получит повреждение, то всё, без вариантов на восстановление. А тут оказывается, что есть возможность расшифровать даже поврежденный контейнер... У него что – есть избыточная информация для восстановления как, например, в WinRAR?! Или bootg.iso помагает в ограниченных случаях связанных с узким перечнем проблем? А тогда в каких именно?
Всё равно. Но есть важный нюанс: файл образа должен быть только из дистрибутива данной или более поздней версии! Иными словами, если Вы зашифровали диск с помощью PGP 9.5, а "спасательный CD" создали на основе bootg.iso из поставки PGP 9.0.2, то его использование сделает файловую систему полностью неработоспособной: диск придётся форматировать.
Во-первых, зашифрованный раздел (диск) и криптоконтейнер (файл) — это совсем разные вещи. В контейнере PGPdisk есть две служебные области, повреждение которых в большинстве случаев полностью выводить его из строя. Губительны и некоторые другие происшествия.
С диском ситуация иная. Он шифруется посекторно от начала до конца. Повреждение в некотором секторе диска как правило локализовано только этим сектором. Так что можете хоть половину шифртекста переписать — к существенным проблемам это не приведёт. Шифртекст криптоконтейнеров также достаточно устойчив к повреждениям. Конечно, если Вы и перепишите шифртекст, то при расшифровании в этих секторах получится мусор, и если данные сектора содержали таблицу файловой системы, от неё, конечно, станет мало проку.
Исключение из описанных выше ситуаций представляет зашифрованный загрузочный раздел. Он шифруется не "от и до". Небольшая область диска остаётся открытой, и в неё помещается загрузчик Bootguard, который и просит ввести пароль при запуске системы (далее его исполняемый код размещается в памяти и производит низкоуровневое зашифрование/расшифрование записываемых/считываемых данных). Разумеется, если окажутся повреждены сектора диска, содержащие Bootguard, компьютер станет неработоспособным.
Образ bootg.iso как раз и содержит вариант Bootguard, запускаемый с внешнего носителя. Таким образом, даже при повреждении основной копии на диске Вы всё равно сможете запустить систему или расшифровать диски ПК.
Ок, более-менее понятно становится... Кстати, SATtva, я не верно выразился сказав
Естетсвенно, я имел ввиду диск! Но тем не менее такая ошибка даже к лучшему, потому что узнал дополнительную инфу :-)
Теперь что касается снятия образа зашифрованного диска...
В случае если в системе установлен только один винт – Whole Disk шифрует его весь и мне не удалось разбить области винта даже при помощи fdisk таким образом, чтобы хоть одну область не зацепил Whole Disk при шифровании. Напомню, я хотел на такую незашифрованную область поставить другую систему + Acronis True Image, сделать их загружаемыми по умолчанию и автоматизировать процесс создания образа...
К сожалению у меня под руками сейчас только ноутбук, а на него второй винт не воткнешь :-) чтобы посмотреть как поведет себя Whole Disk в таком случае. Но сдается мне что именно такой вариант прокатит в плане возможности автоматизации процесса. А пока... Пока только в случае одного винта в системе получается снимать образ с помощию загрузочного CD-диска Acronis на внешний USB-винт... Понятно, что автоматизацией тут и не пахнет, но уже легче что ещё есть вариант с bootg.iso...
Правда сейчас идейка одна промелькнула, может и прокатит... Смысл в том, что у меня сейчас винт разбит на диски C и D (в сумме примерно 20 гигов) и некоторая область осталась вообще не использованной (примерно 40 гигов). Сейчас Whole Disk криптует диски C и D, а вот потом я посмотрю что удастся сделать с незадействованной сейчас областью винта. По идее – она тоже должна быть зашифрованной, но стоит проверить... Может удастся тем же fdisk переформатировать незадействованный, но защищенный (?!) раздел так, чтобы на дисках C и D защита осталась, а вот остальная область была доступной... Что из этого получится- обязательно расскажу...
Рассказываю. Финал – BSD! :-)
А теперь по порядку... Зашифровал диск и перезагрузился. Через Управление в Винде (менеджер дисков) подцепил незадействованную область и создал новый раздел. Тут первый Упс! – он тут же вошел в область накрытую Whole Disk (по крайней мере так это было видно через PGP Desktop).
Ладно, перезагружаемся и загружаюсь с помощью Hirens BootCD, а потом под DOSом этот новый большой раздел (кстати, разбитый винт виден отдельными частями!!!, но типа недоступен ни один из них) удаляю/создаю/форматирую еще раз и снова перезагружаюсь.
Пароль PGP принимает нормально, начинается загрузка Винды и практически тут же второй Упс!- выдает BSD (что-то типа того, что найдено новое оборудование и Винда не может быть загружена посему. Типа – просьба через БИОС отключить новое оборудование и попытаться хотя бы через Safe Mode загрузиться...). Понятно, что диагноз окончателен (ну нет нового оборудования, не могу я в ноут его так просто вставить, а удаление с помощью Hirens BootCD этого нового раздела вообще на фиг – не помагает ) и остается только из Бэкапа полностью восстанавливать диски С и D.
Так что предварительный вывод следующий: при наличии одного винта в системе автоматизировать процесс создания образа диска зашифрованного с помощью PGP Whole Disk не получается, ибо нет возможности создать незакрытую Whole Disk партицию на винте... Решение проблемы – или наличие второго винта в системе (лично не пробовал, но судя по косвенным данным ДОЛЖНО получиться) или загрузка полного варианта Acronis True Image с CD-диска и слив создаваемого Бэкапа на подключаемый USB-винт, благо Acronis нормально такие винты поддерживает... Правда в этом случае ни о какой автоматизации речи и быть не может.
Я почему-то в начале этот вопрос не задал, но сейчас интересно, а какая у Вас версия PGP? Последняя 9.5.x умеет работать с логическими разделами (более ранние версии действительно шифровали диск целиком или вообще отказывались работать на размеченных), вроде бы даже поддерживает мультизагрузочные системы, хотя сам я это не проверял. Может быть Вам стоит обновить программу и попробовать зашифровать только один раздел ещё раз?
У меня было таже. Ну её нафик эту венду. BSD – наше всё. Выбирайте OpenBSD и будет вам счастие.
SATtva – версия 9.5.0 (первая, сентябрьская сборка, по-моему) так что выводы делайте сами... Ну не дает эта версия выбирать разделы! Или всё, или ничего, что дома на ноуте, что на работе на большой станции... :-(
Проверьте сами – а то мне очень хочется надеяться, что всё таки у меня руки кривые и решение существует...
А про мультизагрузку не скажу, ибо не проверял...
spinore- Юмор оценил! :-)
Но я то имел ввиду Blue Screen of Death...
Ну спутать BSOD и BSD это просто кощунственно :-) Будем надеятся, что это просто опечатка.
http://www.microsoft.com/techn.....eous/BlueScreen.mspx[link1]
Н-да... Попробовал снять образы при помощи загрузочного диска Acronis...
Короче, USB-винт видится, но на него не даёт сохранять образы. Пришлось выбирать 2 других метса – или на DVD-R писать или по сети на сервер лить...
DVD-R: диск С всего 15 гигов, используется примерно 2,5 гига, посекторное копирование такого диска требует 3 DVD и примерно 2,5-3 часа времени.
Копирование по сети: правда выбрал создание образов сразу 2 дисков, второй то же 15 гигов... Времени ушло почти 20! Часов.
Короче, всё не радует! Остается только найти версию Acrnis посвежее и таки попробовать лить посекторные образа дисков именно на USB-винт, ну или оставлять эту задачу на все выходные!...
Есть еще один вопрос который хочется прояснить для себя, но не хочется ТАК экспериментировать: если я создаю посекторные образы каждого зашифрованного диска отдельно, то в дальнейшем я смогу восстанавливать только один из дисков по моему выбору? Как себя поведет в такой ситуации PGP-WDE ?
С уважением,
Юрий
Есть программа PARAGON Partition Manager Professional 7.0 Build 1057, которая якобы делает образы диска, посекторно. Т.е. по идее – это идеальное средство для создания образов любых зашифрованных дисков. У меня пока руки не дошли её попробовать (уже её скачал себе – она в виде .iso-файла) с DriveCrypt Plus Pack, но... похоже, что она всталяется именно как Boot CD и делает свою работу именно под этим состоянием. Т.е. этот Бут СД будет загружен раньше, чем успеет подключиться система шифрования, что скорее всего обеспечит успех предприятия.
Цитата:
С труимадж у меня тоже не получилось, а с парогоном всё ОК. Я сделал виндовый раздел равный по размеру DVD, образ снимается (и одновременно записывается на DVD-RW) посекторно с сохранением мбр.
P. S. версия парагона – Partition Manager Professional 7.0 Build 1057
http://forum.ru-board.com/topi.....topic=5998&start=300[link2]
PS
Попробовал сделать Парагоном бэкап-образ системы зашифрованной DriveCrypt Plus Pack-ом – облом. Не видит она зашифрованный диск. Аналогичное было с флэшкой, которую я зашифровал с ключом от DriveCrypt Plus Pack. На "родном" компьютере читается отлично (ключ-то тут, рядом, на винчестере лежит), а на "чужом" компе пишет по-простому "диск не отформатирован. форматнуть?". 8)) Очень полезная особенность.
ЗЫЗЫ (19.02.07 1:03)
Прошу прощения, но напишу ещё чуток про диски и шифрование. Зачем подвергать свою информацию испытанию быть украденной при помощи элементарного кейлогера (установят когда вы спите, например), если... Короче, я предпочитаю не бороться с вирусами, а не пускать их на свой компьютер. Если возможна физическая установка кейлогера, то нафига все эти трюкрипты и прочие пиджипи? Сейчас у меня ноутбук выключен и никакая зараза (я про программы работы с партициями) не видит мой жёсткий диск – он полностью зашифрован вместе с операционной системой. Все программные утилиты видят его как неотформатированный. Ноутбук может быть украден, но доступ к моей информации вор не получит – он споткнётся на первых же секундах загрузки. Чтобы перейти к запуску ОС нужно миновать ввод пароля. И это не БИОС-пароль и не логИн Винды. Он между ними. А там, внутри ОС можно уже с чистой совестью использовать другие крипто-программы. Если оно надо... Вот я закрываю крышку ноута и система впадает в спячку (34 секунды). Когда я завтра утром открою крышку и нажму кнопку включения, у меня сразу запросит пароль... Я буду спать спокойно, т.к. НИКТО в это время мне не подложит свинью в ноутбук. Чего и вам желаю.
Ух, ребята вы жЖжЁте – ИМЕННО!
Особенно понравлось про BSD (BSoD) – я, валялся...
В целом, очень правильные веши высказаны в этой "теме" особенно меня поражает профессионализм SATtva.
Сразу замечу, что кто-то не понимает как работает FS+MBR+DiskDrive и с чем его едят.
1. Не нужно создавать дополнительных (extendet) разделов
2. Если записывеатся загрузчик отличный от NTLDR, то кончено он будет поврежден при устновке другой OS от микрософта,.. вывод, вторую ось нужно ставить до того как pgp-загрузчик пропишетсья, или скопировать mbr и в новой записи указать несколько вариантов загрузки с учетом разных mbr записей.
А, никто не пробывал, скопировать первые 512 кб винта на всякий случай, перед установкой второй форточки? (хотя Эникейщикам про это мало что извесно...)
Я новерно не совсем конкретно описал необходимый действия, но тот кто делал загрузку Unix like system из под винды должен меня понять. Для интереса – сам попробую все это проделать.
Но, есть ньюанс – у меня подобных проблем вообще не возникло тоже 1 винт и тоже испольщую WDE на системном разделе, другие разделы сами по себе не зашифровались... – что я делаюю не так :)???
Правда версия поновее v9.6.2 b2014
Насчет резервного копирования раздела, зашифрованного WDE.
Использую PGP 9.6.1 bild1012 и TrueImage 9.1 bild3718
Включаю комп, ввожу пароль wde, загружается система, запускаю trueimage и снимаю образ зашифрованного системного диска. В конце резервного копирования trueimage говорит, что не может получить доступ к некоторым секторам, игнорим эти сообщения, копирование продолжается.
Все. Получаем резервную копию системного диска в НЕЗАШИФРОВАННОМ виде.
После разворачивания такого образа на новый диск проверка не выявляет никаких повреждений файловой системы (вероятно те сектора, что были недоступны содержат сам загрузчик wde или типа того) и система полностью работоспособна. Остается только зашифровать диск заново.
Естественно, для хранения такую резервную копию нужно дополнительно зашифровать.
Это работает как при шифровании только системного раздела, так и при шифровании диска целиком.
FORWARD
Важный момент – любые операции с разбиением диска на разделы должны быть выполнены ДО зашифровывания диска целиком или одного раздела с помощью wde.
Допустим на диске был только системный раздел и некоторое количество неразмеченного пространства.
Если потом диск был зашифрован целиком, то создать новый раздел нельзя – стандартный диск манагер вываливается с ошибкой (другие средства не пробовал).
Если был зашифрован только системный раздел, то на сободном можно создать новые разделы.
НО!
1. Их нельзы будет зашифровать wde.
2. Если потом снять с системного раздела wde (и расшифровать раздел) то все новые созданные разделы слетают! (думаю это связано с тем, что при начале использования wde снимает mbr и таблицу разделов на диске, и при снятии защиты просто восстанавливает созраненную копию, соответсвенно новых разделов в этой таблице нет и они теряются)
В книге Н. Н. Федотова "Форензика – компьютерная криминалистика" указано, что оперуполномоченный в соответствии с инструкциями должен выдернуть сетевой шнур из блока питания ПК. Если присутствующий специалист обнаруживает наличие зашифрованного раздела, образ раздела снимается в обход шифрования. Вопрос: помимо экстренных хот-кеев перезагрузки системы, что можно посоветовать потенциальным жертвам правоохранительных органов?
quickfix, вы уж определитесь. Либо в инет только по паспорту и никакого шифрования, либо "свобода, равенство, коммунизм".Провод электропитания или всё-таки сетевой кабель?)Если к системе есть доустп (экран не залочен), то просто снимается образ файловой системы, которая доступна в расшифрованном виде. Иначе – производится атака типа cold boot (в слайдах unknown'а про MS кое-где писали про cold boot).Система проверяет доступность инета, и если таковой не обнаруживается втечение 60ти секунд, криптоконтейнеры автоматически размонтируются, а ключи шифрования удаляются из оперативной памяти, при этом система не перезагружается и внешне ничего не заметно. Ещё можно весь комплекс поставить в сейф чувствительный к вскрытию по куче параметров, при вскрытии сейфа у системы должно отключаться питание. Ну и, в качестве профилоактики – анонимность :)
Вам чесно или неочень?
Предположим, находящаяся на НЖМД информация не стоит вложенных средств на атаку методом "холодной" перезагрузки. Экран залочен, поэтому у правоохранительных органов есть предложение использовать методы индивидуальной работы с персоналом. Получаем пароль. При получении "верного" (?) пароля критическая информация перезписывается 36 раз без ведома оперуполномоченного и эксперта в фоновом режиме. Сработает?
От себя:
1) лок экрана после 60 секунд неподвижной мышки
2) лок экрана после 360 секунд отсутствия работы с жестким диском
После ввода "пароля под принуждением" информация, заранее заложенная в ПО (лок экрана) удаляется методом Гуттмана. А еще лучше, если эксперт с довольной ухмылкой щелкнет кнопку "Enter" на окне пароля вместо того, чтобы ввести комбинацию ключей "ALT+(некая буква)" на окне скринсейвера, в результате чего специалист-криминалистик сам приведет механизм безозвратного уничтожения информации методом Гуттмана в действие. Нужно просто сказать сотрудникам, что не надо нажимать "Вход", когда это необходимо. Ну вы меня поняли, да.
Мне по-всякому сойдет.
Детский подход.
Неужели Вы думате что кто-то будет запускать Вашу ОС?)
Если у Вас нету соответствующих финансовых средств – ничего не поможет.
Когда Вам устроят маски-шоу, можете разве что запастись памперсами.
И на кнопку никакую не умпеете нажать.
Я не думаю ©. Если господа из следственных органов узнают о том, что на системе имеется зашифрованный раздел, вряд ли они заимеют время на вскрытие общепризнанного шифра. Зато снять образ диска после ввода пароля, который приведет к уничтожению конфиденциальной информации в режиме "реального времени" они не откажутся. Разве что-то мешает сотруднику некой компании сказать следственным органам "неверный" пароль, который откроет доступ к системе, но, вместе с тем, сотрет всю чувствительную информацию? Хотя, конечно, если сотрудники соответствующих спецслужб до этого не будут использовать систему собственного мониторинга под наиболее распространенную систему Windows, которая предназначена для тотального мониторинга системы, где будут указаны все текущие процессы, нажатия клавиш, когда-либо ранее запущенные процессы и т.д. В
этом случае предложенный мной способ ненадежен постольку поскольку, существуют системы негласного снятия информации с монитора, клавиатуры, движений мыши методом установки "жучка" и пересылки информации до источника по радиоканалу (кстати, я не открыл здесь Америку – в Интернете открыто на продажу предоставляются системы, которые препятствуют либо проникновению радиосигнала, либо снятию аудио-"прослушки" через вибрации конструкций и т.д.). Постольку поскольку данные системы существуют, у меня нет сомнений в том, что существуют системы, которые регистрируют данную информацию. Данный способ расчитан лишь на тот вариант, когда негласная прослушка не используется.
Вы хоть понимаете о чем говорите?
Простыми словами:
Возьмут Ваш жесткий диск, подключат его к другому компу, на котором будет к примеру *nix, скопируют побайтово Ваш контейнер, а затем уже... :)
И кстатати, так можно наделать сколько угодно копий, и записать их на DVD-R-ки. А далее попробуйте программно стереть "методом Гуттмана" информацию с таких дисков))))
А потом будет дистрибутив Helix для вскрытия контейнеров TrueCrypt. Кстати, я прекрасно понимаю о чем говорю. Представьте себе ситуцацию, когда оперуполномоченный вместе с экспертом заходят в офис компании, которая подозревается в неком преступлении, которое сфабриковано по политическим мотивам. Сотрудники компании в открытую говорят эксперту и оперуполномоченному, что диски зашифрованы. Эксперт удовлетворен, просит сотрудников снять защиту с экрана для снятия информации, сотрудники говорят ему пароль "по принуждению", он вводит пароль, информация по "паролю по принуждению" стирается, эксперт снимает образ, Думаете, эксперт и оперуполномоченный будут снимать образ с зашифрованного раздела и вскрывать шифр? Ан нет. Снимут образ после требования предъявить пароль, а после пароля чувствительные данные будут удалены. Они сами же их удалят. :)
Вы уверены?)
Ладно, эта тему уже неоднократно обсуждалась на многих ресурсах, в том числе и на pgpru. Советую почитать, особенно комментарии тех кто прошел через это. Тогда, думаю, Ваш поток детективных фантазий поубавится немного.
Да, я уверен. А поскольку Вы не приводите ссылок на подобные ресурсы, в том числе на ресурсы, где указаны "те, кто прошел это" – могу считать данные утверждения необоснованным фарсом.
Заводим скрытый контейнер, а ключи храним на скрытом Tor-сервисе. При вводе пароля от открытого шифроконтейнера сервис уничтожает ключ от скрытого. ;)
Поправка на суровую действительность. Находимся в нейтральной к "Интерпол" стране, ставим синхронный спутниковый доступ по зашифрованному каналу от арабского спутникового провайдера, платеж осуществляется через "левые" счета на счетах на Багамах. Заводим скрытый контейнер, а ключи храним на закрытом Tor-сервисе. © Используем цепочки сервисов, конечный адрес которой – страна, не подписавшая договор о сотрудничестве правоохранительных органов против той страны, против которой уважаемый Гость собирается действовать (а вам оно надо, да?). При вводе пароля от открытого шифроконтейнера сервис уничтожает ключ от скрытого. ;) ©
Это стандартная процедура, которая уже давно "на вооружении".Фирмы и персонал – совершенно другая стихия, где всё надо делать концептуально иначе, не так как на домашнем компе.Насколько это мне представляется, никто и никогда (дятлы не в счёт) не производит диагностику с вашего же компа, как максимум подсоединят ваш диск к своему компу, и как минимум – будут грузиться со своего LiveCD. В тяжёлых случаях в первую очередь либо централизованно выключают свет, либо всех ложат на пол (в фирме). На кнопку действительно нажать не успеете, как вам сказал оперуполномоченный Migel, но это не вся правда. Если так нужно, делается внешнее наблюдение, садится человек на "красную кнопку", нанимается вооружённая охрана и т.п., но и это не даёт полной гарантии. Слушать истории с инета у кого как было – это, конечно, полезно, но следует понимать, что становится известно только о случаях, когда макси-шоу приходят, но раз они пришли, к защите в том месте относились наплевательски. В сводках рапортуют только об успехах, а не о средневзвешшенном положении дел, и это надо понимать.Это бред из даже если исходить из самых общих соображений, т.к.
- для уничтожения шифрованной информации достаточно стереть ключ шифрования
- незачем хранить ключ шифрования на диске – достаточно иметь его в оперативной памяти.
Далее задача уничтожения сводится к уничтожению носителя с ключом. Можно рискнуть хранить такой ключ на скрытом ресурсе Tor, но это даст с гарантией уничтожить "все его копии" в случае необходимости, и возникнут масса проблем при перебоях инета. В целом я бы посоветовал вам начать с тщательно обдумывания того, как ваши ad hoc'и (а давайте вот так, а если ещё вот так, а вот эдак вообще замечательно!) соотносятся с общей схемой[link3].Спасибо за объяснение, в принципе это все что я хотел узнать. И спасибо, что указали на ошибки и недочеты, в следующий раз буду соотносить свои мысли и соображения в соответствии с схемой.
Раз уж вспомнили форенсиковские слайды с cryptome.org, то там выносится тезис о том, что если подозреваемый использует шифрование системы, то необходимо использовать комбинированный подход к снятию данных — как с захваченной системы во включенном состоянии, так и в виде побайтовой копии с выключенной.
С включенной системой эксперт действительно рискует привести в действие некоторые ловушки, уничтожающие данные (но только ключи шифрования — фоновое затирание больших объёмов на винчестере было бы слишком медленно и заметно). Поэтому, если эксперт идёт на риск, то последнее, что он будет делать — это пользоваться подсказками подозреваемого по работе с включенной системой (вот про методы доступа и пароли к выключенной — пусть всё подробно потом рассказывает. В спокойной обстановке).
Высокооснащённые эксперты могут попробовать подключиться к разъёмам материнской платы, чтобы добраться до содержимого оперативной памяти (с ключами) или провести атаку с холодной перезагрузкой.
Навороченные схемы с уничтожением ключей по датчикам вскрытия, перемещения, отключения от сети и пр. — слишком ненадёжны, чтобы с ними мог работать обычный пользователь
По сигналу будут не ключи уничтожаться, а питание отключаться. Не так-то это и сложно, собрать такой сейф. Точнее, это может быть и не сейф, а просто коробка, которая отключает питание при: