WDE c мультизагрузкой

Действительно, интересно. В общем, если оно работает (раз уж WDE не распознал мультизагрузку на этапе зашифрования диска), то вряд ли здесь будут какие-то проблемы с безопасностью.

Хотелось бы узнать подробности. Обе ОС Вы ставили до зашифрования дисков? Зашифрованы оба диска с двумя ОС или только один? Можете привести ссылку на сайт BootMagic?

На одном из форумов я уже описал всё подробно, потому просто повторю изложенный материал.
Сайт BootMagic – www.powerguest.com
И если не сложно, ответьте на примитивный вопрос – какова устойчивость WDE пароля длинной 25 букв и одного пробела между ними, при декриптовании настоящими мощными дешифрующими комплексами?

---

Здравствуйте все.
Вот здесь изложен хак локальной машины с применением молотка, зубила и высоких технологий. Читать, и выискивать ГЛАВНОЕ, долго. Но оно того стоит:
http://www.bestfilez.net/forum.....? Showtopic=27807&hl=

После почтения появились грустные мысли о пользе контрацепции, кои привели к идее использовать PGP9 а вернее одну из её замечательных опций – WDE – Whole Disc Encrypt.
Тому, у кого на локальной машине только один Windows, дальше читать не обязательно, но как быть тем извращенцам, у кого их два, как у меня, и обе XP, и загружаются они через BootMagic, ведь в мануале к PGP9 прямо сказано – мультизагрузку не поддерживает.
Всё оно поддерживает! В моём случае это было так:
1. Разбил диск на разделы (с помощью Partition Magic 8.0), первый раздел, FAT32, располагался в диапазоне 0-1023 циллиндра, второй, тоже пока FAT 32, ВНИМАНИЕ, с 1025 по 4848 циллиндр, третий раздел, NTFS, с 4849 до упора, в моём случае до 38912.
Повторяю 1024 циллиндр НЕ ЗАНИМАТЬ НИЧЕМ! Мной потерянно 7Mb :) 1024 циллиндр используется BootMagic для установки своего загрузчика.
2. Установил оси. На ось первого, ремонтного, FAT 32 раздела установил BootMagic, второй раздел конвертировал в NTFS и в ОБЕ оси установил PGP9. При загрузке из второго раздела первый не доступен, чем достигается его чистота и непрошибаемость для вирей и пр.
Теперь имеем то, с чем мы хотели дальше жить, но ведь сняв наш хард, любой может узнать, чего мы туда напихали и потому пора сделать WDE.
3. Находясь в оси первого раздела запускаем этот процесс. Набиваем пароль, всё такое, процесс пошел.
Что приятно, несмотря на то, что процедура очень долгая, в моём случае 9 часов, она практически не потребляет системных ресурсов, не мешает делать что-либо ещё и даже позволяет перезагружаться. После перезагрузки процесс спокойно продолжается дальше, до победного финала.
4. Вот именно этим и надо воспользоваться. Два раза, на 2-ом и на 6-ом часе криптования я перезагружался в ось второго раздела. Как вы помните, там тоже стоит PGP, и эта софтина тоже не спит, и процесс подцепляет, если вы удалили PGP из автозагрузки, включите вручную. Но долго находиться там не стоит. После 20 минут грузитесь обратно в первый раздел и процесс добивайте там.
Может эти перезагрузки и не нужны, но у меня без них так и не получилось, а задавать по 10 раз 9-и часовой эксперимент чего-то не хотелось.
Вот и всё. При загрузке с других носителей на нашем харде появляются три неизвестных, неформатированных раздела, что на них – хрен разберешь.
У меня на первом разделе Каспер с ПОЛНОЙ версией, на втором, рабочем, Norton Internet Security. Юзеры нарезаны, в правах устаканены, никаких SAM файлов и прочих дыр. Даже БИОС паролировать не надо, грузись хоть с дискеты хоть с CD – ничего не получится! Хотя, конечно, БИОС лучше запаролить, чтобы ламерскими руками в master-boot, ничего не наковырялось, толковый то сразу поймет в чём тут дело. Но даже если порушить master-boot, то вот здесь _http://supportimg.pgp.com/WDErecovery/PGPDesktop903Win32_WDE_Recovery.iso берете загрузочный диск и всё исправляете. Конечно, при желании можно разрушить всё, но вот узнать что внутри без пароля WDE – невозможно.
И еще. Если вы решили перейти на WDE, то ни в коем случае не пользуйтесь дефрагментацией, оптимизацией диска. Вообще-то это не рекомендуют только при работе с корнем диска, но бережённого – БОГ бережёт. Возникающие при этом перемещения блоков данных приводят к фатальным ошибкам.
Если кто из укажет на какую-нибудь дыру в этой конфигурации, буду признателен за критику и подкинутую пищу для мозгов.

Интересно. Правда, на мой взгляд, пункт 4 здесь лишний.

Вот ещё вопрос: после включения компьютера что происходит раньше: выбор ОС в мультизагрузчике или аутентификация в WDE?

И если не сложно, ответьте на примитивный вопрос – какова устойчивость WDE пароля длинной 25 букв и одного пробела между ними, при декриптовании настоящими мощными дешифрующими комплексами?

Понятия не имею, я же не знаю, какой у Вас пароль. Можете вписать хоть сотню букв, но если это будет очевидный (и даже не самый очевидный) паттерн вроде "abcabcabc..." — защита будет иллюзорной. В то же время, случайный набор символов вроде "8hsDPbHP7p" даст существенно большее пространство поиска. Если в Вашем случае это просто два длинных слова, разделённых пробелом, такой пароль будет легко взломан по словарю.

О том как и какие создавать пароли и парольные фразы на этом сайте написано предостаточно.

Нет, пункт 4, скорее всего, не лишний, потому как первая, неудачная, попытка была без этого пункта.
При загрузке, после БИОС, появляется запрос пароля WDE, после него интерфейс BootMagic.
Поскольку появилась мысль сменить пароль, необходимость в 4 пункте еще проверим.

При загрузке, после БИОС, появляется запрос пароля WDE, после него интерфейс BootMagic.

Это хорошо. Единственная потенциальная проблема, которая приходит мне на ум, — это уязвимость загрузчика BootMagic. Поскольку он располагается в нераспределённых кластерах диска, то, скорее всего, не подвергается шифрованию PGP. Таким образом, оппонент, получивший доступ к диску, может подменить загрузчик для выполнения каких-то зловредных операций (скажем, считывание ключа расшифрования PGP из оперативной памяти после ввода Вами пароля; а поскольку загрузчик наверняка занимает не все выделенные 7Мб, то такой затрояненный загрузчик сможет сохранить шифровальный ключ в незанятом месте).

Поскольку появилась мысль сменить пароль, необходимость в 4 пункте еще проверим.

По идее, даже если диски были полностью зашифрованы одной инсталляцией PGP, то другая должна просто "подцепиться" к установленному компоненту WDE. Однако, гарантировать это не могу. Может быть действительно стоит хотя бы раз перезагрузить компьютер в процессе зашифрования дисков и переключиться из одной ОС в другую.

Да уж, нет в жизни счастья! Сооблазн поковыряться с неразмеченной областью велик и даже если не установят трояна, кривыми руками могут грохнуть диск. С публичным компьютером такие штуки лучше не делать, и ставить только одну ось. А для домашнего, думаю, сойдет.

В принципе, потенциальная уязвимость, описанная выше, мало чем отличается от риска подмены самого загрузчика WDE. Тем более, с учётом открытого исходного кода, сделать это даже проще, чем с BootMagic. Отличие Вашей ситуации заключается только в наличии неразмеченной области, в которую может быть произведена запись (правда, записать несколько байт ключевого материала можно и в служебные сегменты диска). Так или иначе, скрытый канал можно найти всегда.

Спасибо за предупреждение. Вывод следующий – постоянная охрана системного блока с ружъём+добровольная параноизация – залог полной безопасности!
Понимая вашу занятость, но желая услышать мнение эксперта, поскольку нет времени на изучение всех материалов полностью, ответьте, пожалуйста, на очерёдный банальный вопрос – какой из паролей надёжнее?
1. y@p0niy@ (роль буквы О выполняет ноль)
2. клаустропогенная деффебреливность
Вот чувствую что первый надёжнее, но не верится, что простым расширением регистров поиска 1-й пароль надежнее 2-го. Спасибо за консультацию.

Я бы не использовал ни первый, ни второй, но если бы пришлось выбирать, то остановился бы на втором: там хотя бы два слова, пусть и составленных правильным словообразованием. Первый пароль — это обычное словарное слово с заменой некоторых букв знаками с похожим начертанием — обычная и хорошо известная практика.

Вообще оба пароля сравнительное слабые. А вот если объединить методики и увеличить число слов, получится хорошая парольная фраза.

Большое спасибо.

У меня несколько другая проблема. Зашифровал свой диск 80 gb. Все было нормально. Затем купил новый диск 250 gb и подключил его. При попытке загрузится с зашифрованного диска выдается синий экран смерти и система уходит в перезагрузку. Если убрать второй диск – все нормально.
Попробовал такой прием. Расшифровал первый диск, а затем зашифровал его снова, но уже с подключенным предварительно вторым диском – все вроде бы ОК. Но! При попытке загрузится со второго диска появляется окно ввода пароля системы WDE!? Хотя сам диск не зашифрован. А мне этого как раз не надо. Что делать???

А зачем ты диски дёргаешь туда-сюда? Смотри, доиграешься до потери инфы. Сконфигурируй ПОЛНОСТЬЮ всю систему, на которой планируешь работать а потом ставь WDE.
Вообще у меня тоже такое было, в смысле после подключения нового харда, система не хотела загружаться. Вылечил подключением этого харда, строго через 2-й IDE, и кажется ещё пришлось шлейф применить не хардовый, а CD ROM -ный, низкоскоростной. Но это так данные перекинуть, юзать постоянно хард через ATA 33 не комильфо :-( .

У меня в системе 2 винта на 80 и 250. Windows стоит на обох. Через биос выбираю с какой грузится. Хочу зашифровать диск на 80 и при попытке загрузится с этого диска будет спрашиваться пароль к WDE. А при выборе загрузки со второго диска – чтоб ничего не спрашивало – ведь он не зашифрованнный. Но этого не получается. После шифровки первого диска на 80 гб, парольная защита ставится и соответсвенно запрашивается и на втором диске 250 гб. хотя он и не зашифрован. Шифровка первого диска с предварительно отключенным вторым приводит к вышеописаному результату :-(

Через биос выбираю с какой грузится.

Наверное, всё-таки, не через БИОС, а через мультизагрузчик.

Ладно, суть в том, что если Вы зашифруете первичный загрузочный диск, запрос пароля WDE будет запрашиваться в любом случае. А Вы как хотели? Попробуйте поменять винты местами. ;)

Что можно сделать в такой ситуации:
-Организовал по выше изложенному примеру мульти-WDE. На первом разделе аварийная ХР, на втором рабочая, и третий раздел – хранилище.
-Чтобы не раскриптовывать диск, при необходимости перестановки ХР, сделал начальные Acronis-образы системных дисков.
-При отладке восстановления ХР из этих образов, по невнимательности, вместо восстановления папок и файлов из образа, задал восстановление самого раздела, второго.
-После перезагрузки загрузчик WDE работал, а работа загрузчика операционных систем нарушилась, но система первого раздела грузилась, второй диск ХР предлагала отформатировать.
-Решил повторить восстановление, в этот раз копированием файлов и папок, но пришлось отформатировать в ХР этот второй раздел, иначе образ не переносился.
-Всё. После этого при загрузке с харда, сразу после БИОС на чёрном экране слева вверху появляется слово, "Bootguard" кажется, или что-то в этом духе. При использовании загрузочно-восстановительного диска PGP WDE выходит сообщение "internal error accessing disk 0x80" и предлагает нажать any key для system halt.
После этого, загрузившись в MS-DOS c CD-ROM, сделал fdisk /mbr. При загрузке с харда стало сообщаться о missing system operations, при загрузке с загрузочно-восстановительного диска PGP WDE начинается поиск PGP WDE дисков, и после нахождения предлагается нажать любую клавишу для начала операций, но после этого нажатия опять – "internal error accessing disk 0x80" и "press any key for system halt"
При просмотре из Acronis Disk на харде три раздела с одинаковой неопознаваемой структурой и неразмеченная область (с загрузчиком ОС)
Что можно предпринять? Хотя бы чтобы как-то восстановить третий раздел? Хотя конечно понятно что восстанавливать нужно весь WDE.