возможности TrueCrypt

Добрый день! подумываю о переходе с PGP WDE на TrueCrypt. Привлекают полезные дополнительные функции – двойные контейнеры, возможность отключить экран приглашения ввода пассфразы перед загрузкой системы, отрицаемость (с известными оговорками) и т.д.

В то же время в форуме встречаются комментарии о том, что TrueCrypt написан на низком уровне (кодирования), уровень авторов PGP значительно выше и т.д. Кроме того, была найдена критическая ошибка TrueCryp 5.1 (была быстро исправлена). Эти посты в основном – 2008 года и относятся к 5-ой ветви продукта.

Если говорить про современную ветвь TrueCrypt – исправлены ли в ней недостатки 5-ой версии? Как вы считаете, при явном выигрыше по функциональности (по сравнению c PGP WDE), как обстоит дело с надежностью TrueCrypt? В смысле а) надежности защиты данных и б) склонности к сбоям и потере данных?

Можно ли в TrueCrypt использовать аппаратные токены Alladin? В частности, при пребутовой аутентификации?

заранее благодарю.

Комментарии
Гость (04/03/2010 07:32)   
[offtopic]
Не совсем в тему, но тем не менее: а что конкретно Вам не хватает в DiskCryptor[link1]? Также см. http://diskcryptor.net/index.php/Main_Page. Он писался как бы с оглядкой на уже существующий TrueCrypt, что может намекать на. И, может быть, вы не обратили внимание, но те ошибки в 5ой версии, про которые Вы здесь пишете, были обнаружены именно автором DC. Вполне возможно, что в противном случае они бы там были и по сей день.
[/offtopic]
— SATtva (04/03/2010 12:00)   
как обстоит дело с надежностью TrueCrypt? В смысле а) надежности защиты данных и б) склонности к сбоям и потере данных?

Про "б" в форуме много нареканий на PGP, но я за все годы пользования PGP ни разу не сталкивался на собственном опыте и в практике моих клиентов ни с одним из описанных случаев. (Может такой везучий, не знаю, хотя вряд ли.) К TrueCrypt в этом плане тоже не имею нареканий.
Гость (04/03/2010 14:30)   
[off]
DiskCryptor is even the better product than TrueCrypt (the source is cleaner).

http://diskcryptor.net/forum/index.php?topic=608.0
[/off]
— _owl (06/03/2010 19:57)   
Спасибо, скачаю и попробую.

Однако из беглого просмотра сайта DiskCryptor видно, что он а) не поддерживает двойные контейнеры, б) не позволяет менять экран пребутовой аутентификации, имитируя сбой загрузки ОС и т.п. (можно конечно дописать ручками и перекомпилить). Эти функции, поддержка которых декларируется в TrueCrypt, представляются мне существенными. Собственно ради них я намереваюсь отойти от PGP WDE. Еще одна, на мой взгляд важная функция – это возможность выноса загрузчика на внешний носитель – имеется и в TrueCrypt, и в DiskCryptor.

Кроме того не ясно, можно ли использовать для пребутовой аутентификации токены Alladin; это не ясно и в случае с TrueCrypt. Кто-нибудь знает, можно или нет?
— Migel (06/03/2010 22:13, исправлен 06/03/2010 22:32)   

Мое мнение:
Лучше всего чтобы программа не выдавала никаких сообщений о неправильности пароля, а пыталась расшифровать данные. Просто в результате получиться набор символов.


Иначе или:
1. Программа берет хеш от введенного пароля и сравнивает с хешем в контейнере. Тогда зачем ломать шифр, если можно заняться хеш-функцией?
2. Программа расшифровывает первый блок контейнера и если получается наперед заданный указатель, производит далее расшифровку. Но в таком случае противнику известен этот указатель, и возможность атаки на основе известного открытого текста.

Гость (06/03/2010 23:05)   
можно ли использовать для пребутовой аутентификации токены Alladin
А искать не пробовали? google: alladin site:pgpru.com.

менять экран пребутовой аутентификации, имитируя сбой загрузки ОС и т.п.
Защита от дурака? А если у противника в руках копия всего диска? Как тогда с отрицаемостью? А эта копия у него рано или поздно появится. К тому же... ну вы ведь и сами знаете, да?[link2].
— SATtva (06/03/2010 23:10)   
К тому же... ну вы ведь и сами знаете, да?.

То исследование, которое приводится по ссылке, рассматривало TC 5.1. Реализованная по его результатам поддержка скрытой ОС устраняет выявленные риски, что отмечал и Шнайер (однако, исследования новой версии и реализации скрытой ОС не проводилось, так что неизвестно, какие новые проблемы она могла или не могла повлечь).
— _owl (06/03/2010 23:33)   
Защита от дурака? А если у противника в руках копия всего диска? Как тогда с отрицаемостью? А эта копия у него рано или поздно появится. К тому же... ну вы ведь и сами знаете, да?.


Да, в первую очередь от дурака. Коих не мало, и обидно перед ними оплошать... Понятно что это не гарантия на все случаи. но при (первом) обычном, не самом детальном таможенном досмотре это поможет. А после первого досмотра, если уж он случился, можно и переписать диск и другие меры принять, чтобы сопоставление образов диска, снятых в разные моменты времени, не произошло.

А если дополнить это загрузчиком на флэшке, оставив диск 100% зашифрованным, т.е. заполненным псевдослучайными данными? Флэшку можно с собой не тащить кстати, а послать её образ по мэйлу. а на просьбу включить ноут можно пожимать плечами, типа "не знаю что случилось, вчера перестал запускаться. вот везу в ремонт..." Ну это так, экспромт. Комментарии?
Гость (07/03/2010 02:14)   
DiskCryptor не позволяет менять экран пребутовой аутентификации, имитируя сбой загрузки ОС и т.п.
позволяет[link3]
Гость (07/03/2010 06:19)   
при (первом) обычном, не самом детальном таможенном досмотре это поможет.
Можно с целью отрицаемости иметь загружаемую нормальную ОС, где не будет никаких секретных данных, зато будет много нейтральных. Крипторазделы при этом монтироваться не будут – раз, доказать что они на самом деле есть на диске, а не просто там "неиспользуемое пространство" может доказать только экспертиза – два. Раз скрытых разделов как бы нет, то и пароль требовать не будут.
не знаю что случилось, вчера перестал запускаться. вот везу в ремонт
Не убедительно.
— _owl (07/03/2010 17:18)   
DiskCryptor не позволяет менять экран пребутовой аутентификации, имитируя сбой загрузки ОС и т.п.

позволяет

там говорится что приглашение можно отключить. Про изменение не сказано. но это не суть важно, конечно можно проредактировать исходники

можно ли использовать для пребутовой аутентификации токены Alladin
А искать не пробовали? Google: alladin site:pgpru.com.

пробовал, не нашел

вот в документации[link4] на TrueCrypt нашел следующее:
Note: Keyfiles are currently not supported for system encryption.
Надо понимать, что, следовательно, и токен для шифрования системной партиции не поддерживается. Это плохо.

как с этим обстоит дело в DiskCryptor пока не раскопал.
Гость (07/03/2010 18:07)   
как с этим обстоит дело в DiskCryptor пока не раскопал.
Почти точно не поддерживается. Это даже из идеологии самого DC следует. На проприетарные полумеры (alladin) там автор не полагался.
— SATtva (07/03/2010 19:30)   
не знаю что случилось, вчера перестал запускаться. вот везу в ремонт

Не убедительно.

При въезде в США на такую отмазу компьютер просто изымут. Да и на любой таможне в случае подозрений — тоже.
— _owl (07/03/2010 22:24)   
При въезде в США на такую отмазу компьютер просто изымут. Да и на любой таможне в случае подозрений — тоже.

возможно. а что, по Вашему мнению, лучше? Наличие криптоконтейнеров, в т.ч. скрытых, палится очевидно. причем наверняка существуют средства автоматизированного поиска ссылок на файлы, размещенные на несуществующих в системе томах и т.п. Остается только скрытая ОС.

Я вот ни разу еще такую не ставил и не юзал. Поясните пожалуйста, как там обстоит дело с размером ЖД? Вот например у вас 100 гб диск. Т.е. если вы в биос войдете, то увидите размер 100 Гб. Теперь вы загружаете не секретную ОС. Какой размер она показывает? Если 100 Гб, значит она запросто может начать что-то писать (своп например) в область, где ваши настоящие рабочие данные лежат. а если крипто-ОС на изолированном разделе, то разница в объемах ЖД (в биосе – 100 а в не секретной ОС – 50 например) будет бросаться в глаза любому.

скажем что это не отформатированная и неиспользуемая партиция? Это похлеще чем версия "винт накрылся". Что остается делать?
Гость (07/03/2010 22:38)   
скажем что это не отформатированная и неиспользуемая партиция?

Почему бы и нет? Я многих часто стоят несколько операционных система на диске. Так и скажите: диск разметил, на второй раздел хотел поставить, например, FreeBSD, но руки пока не дошли. Можете даже сказать, что там раньше был криптораздел, но теперь он стёрт и ключей у вас к нему нет. Даже если программно всё чисто, то суровая экспертиза (если очень-очень надо будет) конечно покажет, что те места диска последнее время интенсивно использовались, которые "не используются", что может несколько поставить под сомнение ваши слова.

Вот например у вас 100 гб диск. Т.е. если вы в биос войдете, то увидите размер 100 Гб. Теперь вы загружаете не секретную ОС. Какой размер она показывает?

Интересный вопрос. Мне представляется, что "внешняя ОС" видит всё пространство и считает его своим, включая крипторазделы. То, что на крипторазделе есть внутренний криптораздел, где есть ещё и своя ОС, и её можно загрузтить... (в виртуалке) вы должны отрицать, и тогда нельзя доказать существование скрытого раздела. Если же вы загрузите скрытую ОС, то это равносильно вскрытию всех имевшихся шифрованых данных, как мне представляется. Как всё это хозяйство реализовано в TC – не курил.
— SATtva (07/03/2010 23:22)   
Здесь[link5] описано в общих чертах.
— unknown (08/03/2010 00:43, исправлен 08/03/2010 00:45)   

2 Migel 06/03/2010 22:13, исправлен 06/03/2010[link6]


Обсуждалось отсюда[link7] и далее.

— _owl (08/03/2010 01:39)   
Так и скажите: диск разметил, на второй раздел хотел поставить, например, FreeBSD, но руки пока не дошли. Можете даже сказать, что там раньше был криптораздел, но теперь он стёрт и ключей у вас к нему нет.

По-моему, версия с "грохнутым" ЖД лучше. Основное преимущество – на ЖД нет никаких нешифрованных данных вообще (т.е. весь диск – массив псевдослучайных данных). главное – нет загрузчика ТС (помните, мы образ флэшки с загрузчиком сами себе отправили в PGP-ZIP виде мылом, отдельно от своей тушки).

Нет следов крипто – меньше подозрений. Даже если появились подозрения – как доказать? Ок, конфисковали ноут, отвезли в лабораторию, там сказали что диск недавно работал и такие-то области модифицировались недавно, а остальные – давно. Мера энтропии данных – такая то. Дальше что?

Конечно, повторюсь, я рассматриваю именно ситуацию первого контакта. если же "у них" уже есть образы вашего диска в разные моменты времени – это может усложнить дело.

Но все равно, даже если есть образы, главное – нет следов крипто (т.е. загрузчика). А нет крипто, значит нечего и пароль требовать, и паяльником махать :)))
Гость (08/03/2010 02:05)   
мы образ флэшки с загрузчиком сами себе отправили в PGP-ZIP виде мылом, отдельно от своей тушки

Нет следов крипто – меньше подозрений.

Это всё очень разумно, только проблема в том, что на диске реально должен быть отрицаемый криптораздел, что, как правило, наиболее сложная задача (никаких посторонних логов, намекающих на, следов от стёртых файлов на ФС и т.п.).
— spinore (08/03/2010 02:27)   
[offtopic]
мы образ флэшки с загрузчиком сами себе отправили в PGP-ZIP виде мылом, отдельно от своей тушки
В связи с такими "удалёнными" бэкапами у меня возник вопрос по поводу такого суперфункционала: системы, позволяющие сделать одноразовую подпись (не более n-подписей) какого-то текста (каких-то текстов) PGP-ключом. Сейчас существует аналог – сертификат отзыва на ключ, которым можно отозвать ключ, даже если доступ к приватному уже утерян. Допустим, что при такой утрате хочется создать новый ключ и подписать его старым, утерянным. Был бы некий аналог "сертификата отзыва" с помощью которого можно было бы сделать несколько подписей по желанию нового ключа старым... Пока доступ к ключу есть, можно было бы нагенерить несколько таких "одноразовых подписей", которыми бы можно было подписать любой текст. Какие теоретические разработки есть по такому делу?

В качестве менее изящного решения можно заранее создать новый "пожарный" ключ, положив его в удалённое место, и подписав его отпечаток уже существующим ключом. Правда, то, что дата подписи будет слишком в прошлом, может настораживать пользователей. Ну или можно время от времени обновлять такую подпись :)
[/offtopic]
Гость (08/03/2010 10:23)   
там говорится что приглашение можно отключить. Про изменение не сказано.
Обратите внимание на пункт 3.
Вообще, какое поведение при загрузке вы бы хотели видеть, для которого нужно менять исходники?



А отсутствие в программе возможности сделать скрытый раздел поможет сохранить вам здоровье в случае неюридического принуждения. ;)
— _owl (08/03/2010 11:07)   
Это всё очень разумно, только проблема в том, что на диске реально должен быть отрицаемый криптораздел, что, как правило, наиболее сложная задача (никаких посторонних логов, намекающих на, следов от стёртых файлов на ФС и т.п.).

в этом то и разница. если у вас есть открытый раздел и еще скрытый, то возникает опасность наличия на открытом разделе логов, следов удаленных файлов, ссылок в реестре на объекты на скрытой ФС. Вы как бы оставляете ниточку, за которую можно потянуть. А если у вас открытого раздела нет вообще, то отрицаемость сводится к отсутствию хедоров. это согласитесь задача на порядок проще и можно однозначно убедиться в отсутствии таковых.

Правда теоретически остается возможность в случае снятия образа диска, или конфискации, в лаборатории, провести статистический анализ превдослучайного содержимого ЖД и, возможно, сделать выводы типа "те или иные статистические характеристики содержимого ЖД не похожи на стат. характеристики реально испорченных (размагниченных, неформатированных и т.п.) дисков". Но это а) косвенное, наводящее соображение, а не доказательство существования криптораздела, и б) теоретически, на сколько я понимаю, стат. параметры массива крипто-данных на нашем ЖД должны быть реально близки к параметрам массива случайных чисел.

Кстати интересно, криптораздел статистически "похож" на неотформатированный или испорченный (размагниченный) ЖД, как вы думаете?

Обратите внимание на пункт 3. Пункт 3 позволяет изменить сообщение аутентификации.
действительно, чего то я протупил, извиняюсь.

Пункт 4 позволяет задать встраиваемый ключевой файл для предзагрузочной аутентификации. При наличии встроенного ключевого файла, он применяется в дополнении к введенному паролю, либо вместо пароля, если отключен запрос на ввод пароля.
тогда остается один шаг до поддержки использования токенов... Может, уважаемый автор DC внесет её в планы развития продукта?
Гость (08/03/2010 11:26)   
наверняка существуют средства автоматизированного поиска ссылок на файлы, размещенные на несуществующих в системе томах
А если говорить, что это были внешние подуключаемые диски?
— SATtva (08/03/2010 11:36)   
[offtopic]
Был бы некий аналог "сертификата отзыва" с помощью которого можно было бы сделать несколько подписей по желанию нового ключа старым... Пока доступ к ключу есть, можно было бы нагенерить несколько таких "одноразовых подписей", которыми бы можно было подписать любой текст. Какие теоретические разработки есть по такому делу?

Сертификат отзыва — это не подпись, генерируемая в какой-то будущий момент времени при его использовании. Это OpenPGP-пакет с подписью над материалом ключа, генерируемой в момент создания сертификата и просто сохраняемой отдельно от связки. Т.е. при создании сертификата отзыва имеется и ключ подписи, и подписываемые данные.

А теперь подумайте, как можно создать нечто (назовём это ваучером подписи), имея в данный момент только ключ подписи, чем в будущем можно будет заверить произвольные данные, но только один раз? Вы же и сами прекрасно понимаете, что применить такое ограничение на уровне математического аппарата невозможно (если подписываемые данные действительно произвольны, то что мешает наделать копии этого ваучера?). Если ограничение применяется на программном уровне, это DRM.
[/off-topic]
Гость (08/03/2010 12:10)   
Кстати интересно, криптораздел статистически "похож" на неотформатированный или испорченный (размагниченный) ЖД, как вы думаете?

Он может быть похож только на исправленный жесткий диск, информация с которого удалена специальной wipe-утилитой, с многократным прописыванием секторов псевдослучайными данными. В поврежденном диске не просто данные не имеют смысла, но еще и разрушена служебная информация (разметка секторов и дорожек).
— unknown (08/03/2010 13:10, исправлен 08/03/2010 13:12)   

[off]
2 spinore:


Может создадите отдельную тему и внятно изложите, что вас интересует, а то так непонятно и действительно далёкий оффтопик по отношению к криптоконтейнерам.


2 spinore and SATtva:


Одноразовые подписи существуют — Lamport signature or Lamport one-time signature scheme[link8], но возможно это не то что вы думаете или для чего их предполагает применить spinore (для отрицаемости?).
[/off]



2 — Гость (08/03/2010 12:10)


Совершенно верно.

— SATtva (08/03/2010 13:24)   
unknown, спасибо. Что интересно, в реализации схема крайне проста.
Гость (09/03/2010 00:37)   
провести статистический анализ превдослучайного содержимого ЖД и, возможно, сделать выводы типа "те или иные статистические характеристики содержимого ЖД не похожи на стат. характеристики реально испорченных (размагниченных, неформатированных и т.п.) дисков". Но это а) косвенное, наводящее соображение, а не доказательство существования криптораздела, и б) теоретически, на сколько я понимаю, стат. параметры массива крипто-данных на нашем ЖД должны быть реально близки к параметрам массива случайных чисел.

Если экспертизе будет доступен для исследования крупный кусок данных с диска, и на нём не обнаружится ни одной осмысленно string, это будет намекать (man strings).

А если говорить, что это были внешние подуключаемые диски?

Остаточные ссылки на них будут, как правило, другие.
— Adviser (11/03/2010 09:54)   
Почти точно не поддерживается. Это даже из идеологии самого DC следует. На проприетарные полумеры (alladin) там автор не полагался.

Любая смарт карта гораздо надежнее даже самой сложной парольной фразы. Во-первых по причине двухфакторной авторизации, во вторых из за стойкости к атакам, основанным на подмене загрузчика.
Гость (11/03/2010 10:31)   
Любая смарт карта гораздо надежнее даже самой сложной парольной фразы.
Сложность извлечения ключа из смарткарты vs сложность получения пассфразы паяльником? Хм, интересная дилемма :-) но первое следует из второго.
— _owl (11/03/2010 10:49)   
Любая смарт карта гораздо надежнее даже самой сложной парольной фразы. Во-первых по причине двухфакторной авторизации
я тоже так думаю. В любом случае, на мой взгляд, целесообразно предоставить пользователю продукта возможность выбора, использовать токен/смарткарту или нет.

Сложность извлечения ключа из смарткарты vs сложность получения пассфразы паяльником? Хм, интересная дилемма :-) но первое следует из второго.
Паяльником или "сывороткой правды" теоретически можно извлечь все что угодно откуда угодно. Но, думается, от этого не стоит отказываться от крипто и от приватности вообще. Что-то наверное это меня на флэйм потянуло...
Гость (11/03/2010 11:00)   
Я выше всего лишь хотел сказать, что сравнивать полезность смарткарты (я тоже согласен что полезна при прочих равных) с "надёжностью парольной фразы" не логично. Что такое надёжность пароля? Сложность его подбора/брутфорса или сложность его получить у "испытуемого образца"? Многозначность трактовок и привелка к флейму :)
Гость (11/03/2010 22:01)   
А учат ли где-нибудь правильному обращению с паяльником?
— unknown (11/03/2010 22:03)   
Животрепещущее обсуждения вопросов использования детекторов лжи, сыворотки правды и возможно паяльников перенесено в отдельную тему[link9].

Ссылки
[link1] https://www.pgpru.com/soft/diskcryptor

[link2] https://www.pgpru.com/novosti/2008/skrytyerazdelytruecryptmogutbytjnedostatochnoskrytymi

[link3] http://diskcryptor.net/index.php/DiskCryptor_bootloader

[link4] http://www.truecrypt.org/docs/keyfiles

[link5] https://www.pgpru.com/novosti/2008/truecrypt60iskrytajaos

[link6] https://www.pgpru.com/comment37762

[link7] https://www.pgpru.com/comment37353

[link8] http://en.wikipedia.org/wiki/Lamport_signature

[link9] https://www.pgpru.com/forum/offtopik/lozhjnadetektorelzhi