DriveCrypt Plus Pack
Хочу отметить, что имеется весьма интересный продукт для защиты всего компа от несанкционированного доступа. PGP можно подслушать, как это было сделано с одним наркоторговцем, который юзал PGP-диск, но... агенты спецлужб сумели воткнуть ему троянца, который зафикчировал ввод пароля с клавиатуры.... Упомянутая мной выше программа исключает эту возможность. Цитирую статью (За забором 17.02.2003 Сергей Голубицкий):
Теперь переходим к настоящим партизанам. Много раз в Голубятнях я рассказывал о программах защиты приватной информации в компьютерах. Перепробовав поочередно PGP Disk, SafeDisk, StrongDisk и BestCrypt, я угомонился на DriveCrypt от франко-немецкой конторы Securstar. DriveCrypt позволяет создавать виртуальные диски с прямо-таки нездоровой 1344-битной криптозащитой. Собственно говоря, все перечисленные программы обладают таким уровнем шифрования, что проще открутить голову самому владельцу информации, чем ее дешифровывать. Поэтому главное преимущество DriveCrypt в надежности: я никогда не терял данных по вине этой программы, чего не скажешь об остальных.
Однако даже при использовании DriveCrypt защита информации на компьютере неполноценна, потому как остается незалатанной страшная дыра в виде файла подкачки (свопа) операционной системы. В этом файле сохраняются обрывки самой разнообразной информации, к которой вы обращались в процессе работы, и вытащить эту информацию из свопа — пустяковое дело. Самый простой способ залатать эту дыру — целенаправленно уничтожать своп после окончания рабочей сессии (как это делает StrongDisk). Именно уничтожать, а не просто стирать. Однако процесс уничтожения требует времени — иногда даже больше минуты, в зависимости от размера файла подкачки, — а времени этого как раз зачастую и не бывает («Тут примчались санитары и зафиксировали нас»).
Поэтому в программе BestCrypt реализовали иной подход: стали шифровать своп-файл, что называется, on-the-fly, то есть динамически. В любой момент времени все данные в файле подкачки находятся в криптозащищенном виде, точно так же, как и данные на виртуальном криптодиске. Таким образом, тандем DriveCrypt для дисков и BestCript для своп-файла можно считать почти идеальной формой защиты.
Но только почти. Потому что и в этом случае определенная часть информации остается открытой для постороннего взгляда. Какая? Да хотя бы программное наполнение вашего компьютера. Тут даже не нужно ничего моделировать, достаточно взять случай из россиянских реалий: сколько раз мы читали в газетах и журналах про то, как на ту или иную компанию по доброму навету конкурентов совершался наезд органов «правопорядка» под предлогом проверки легитимности используемого программного обеспечения. Даже если ваш софт полностью в порядке, у вас на пару месяцев изымают все оборудование, вышибая из бизнеса на радость доброжелателям. Ну а уж если софт у вас не совсем лицензирован (как это бывает в 99% случаев), то считайте, вы почти банкрот.
Короче говоря, идеальную защиту обеспечит только такая программа, которая окружала бы глухим забором весь компьютер целиком. Очевидно, что делать это нужно с самого момента включения, то есть до загрузки операционной системы. И вот, представьте себе, такая программа появилась! Она вышла из-под пера все той же Securstar и получила скромное название DriveCrypt Plus Pack. Если уж быть до конца точным, Плюс Пак появился аж в мае прошлого года, однако первом релизе был такой несчастной туфтой, что у меня рука не поднялась писать о ней в Голубятне. Однако уже через пару месяцев выскочили один за другим два новых релиза версии 1.0, причем последний — 1.0с — был достаточно стабильным. Наконец, в конце декабря вышла полностью обкатанная версия 2.0, которую с удовольствием и представляю читателям.
Вот что делает Плюс Пак с вашей машиной. Устанавливается криптозащита на все жесткие диски, включая и загрузочный вместе со всеми установленными операционными системами, программами и т.п. Для доступа используется процесс так называемой pre-boot authentication, то есть проверка прав осуществляется до начала загрузки операционной системы. Аутентификация может состоять только из пароля, либо дополняться железным решением типа Alladin USB-Token. Для шифрования данных используется 256-битный алгоритм AES, бронебойность гарантируется.
Полностью исключается возможность обхода защиты компьютера с помощью загрузки с флоппи-диска, CD, магнитооптики или других носителей. Физический перенос жесткого диска на другой компьютер тоже ни к чему не приведет, поскольку все данные на нем зашифрованы на секторном уровне. Плюс Пак работает таким образом, что никакая информация никогда не хранится на диске в открытом виде: при обращении к тому или иному файлу происходит динамическая расшифровка данных, которые переносятся в память, а затем опять шифруются. Для ускорения работы криптообработку проходят не файлы целиком, а только те сектора, которые используются в настоящий момент.
Единственное существенное ограничение сегодня: Плюс Пак работает только под операционными системами Windows NT/2000/XP. Поддержка Windows 95/98/Me на подходе.
Такой вот замечательный глухой забор, с которым и поздравляю всех партизан.
Сайт разработчика:http://www.drivecrypt.com/dcplus.html
Интересно, насколько замедляется скорость системы при полном ее шифровании DriveCrypt. И что будет если на винчестере внезапно появится bad-block, сможет ли программа расшифровать диск.
lapi, DriveCrypt может приводить к замедлению системы максимум на 30% в зависимости от её производительности. На современной мощной машине действие программы вообще незаметно.
Касательно бэд-блоков, DriveCrypt использует режим оперирования шифра, не способствующий распространению ошибки, иными словами, не будет читаться только повреждённый сектор и один его следующий сосед. Там другая проблема есть — если WinXP или 2000 полетит, непросто будет восстановить резервную копию системы. Хотя есть некоторые рекомендации по такой процедуре.
Когда я прочитал статью (см. моё первое сообщение здесь), то как-то сразу задумался:"А как это можно ломануть?". Выскажу один ход, может он "пустой", т.к. знатоком этой проги я не являюсь.
Правда, а как её ломануть, если оно грузится самым первым... Предположим ноутбук попал в руки злоумышленника... незаметно от хозяина.
Создать ему окружение. Т.е. сделать так, чтобы сперва запустилась некая оболочка, снабжённая кей-логгером. А уже под этой оболочкой и пусть стартует... защита. Задача скрасть пассфразу.... Интересно, есть-ли какие-то защитные функции от смены железа? Оболочка вероятно, должна быть на дополнительным устройстве. Boot-овом устройстве. Именно оттуда происходит старт системы, запуск кейлоггера, запуск DriveCrypt, а после ввода пассфразы, она записывается м.б. в микросхему BIOS для последующего считывания, а бутовое устройство переписывает BIOS на boot с прежнего устройства (скорее всего диск С:). Т.е. дело сделано, вертаем настройки взад..... Крадём ещё раз ноутбук, считываем пассфразу из временного хранилища во флэшке BIOS, демонтируем дополнительное устройство и... "постучали в дверь.... вам телеграмма". Такой сюжет возможен?
Наблюдатель, опять пытаемся обьять необьятное, стараясь обеспечить достойную защиту системы одним решением. ;-) Это и по поводу фин. директора из соседней темы.
Отсюда вывод — не используем клавиатуру для ввода! А используем USB-токен, который втыкаем в порт, чтобы запустить систему, а потом вешаем на цепочке на шею или цепляем к связке ключей от авто (в зависимости от ценности информации). Как я уже отмечал в предыдущей цитате, чисто программные решения (к коим принадлежит и DriveCrypt) от описанных тобой атак не спасают. Нужен комплекс мер, желательно, завязанных на биометрику или персональные средства аутентификации (те же смарт-карты и токены), и реализованных на аппаратном уровне. В общем, есть над чем подумать.
Но в целом DriveCrypt — решение очень удачное, поскольку не имеет очевидных слабых мест, к тому же разработано известной уважаемой компанией с большим опытом в данной области.
Да, конечно, комплекс – хорошо... Но зудит желание додуматься до простого решения, т.к. "всё гениальное просто"... токен... сорвал его с шеи и вся защита... Если помнишь в старом форуме... – лучшая отмычка – дубинкой под рёбра... Впрочем... Нет, не про то я... Здесь мы предлагаем хранить (сохранять в недоступности) вместо ноутбука USB-токен...., хотя, оба носимые, и разница в весе не более килограмма. Т.е. мне кажется, что клавиатурный ввод несёт на себе отпечаток воли владельца – он может выстоять и под пытками, в то время как USB-токен пропустит любого, в чьих руках он находится... Я категорически против этого устройства! Сколько фильмов снято на тему кражи ключей (механических)... :roll:
Вспоминается избитая фраза: "Криптография — это наука, позволяющая делать из больших секретов маленькие", в смысле, открытый текст заменять ключами.
"Социальная инженерия" и т.н. "бандитский криптоанализ" (между прочим, термин официальный), т.е. как раз дубиной по рёбрам, — это зло неизбежное. В конце концов, самое слабое звено любой системы безопасности, будь то криптосистема оборонного предприятия или забор с колючей проволокой под током с дядей-Васей-сторожем в будке, — это человек. В PGP хорошее решение реализовано: когда ключевую пару на токене сохраняешь, программа её ещё и PIN-кодом просит защитить. Неахти какая защита, но лучше, чем ничего.
Много дискуссий нынче идёт по поводу токенов, смарт-карт и цифровых подписей: можно ли последние считать полным аналогом собственноручной подписи, поставленной на листе бумаги. Такая подпись неотделима от человека, а ключ генерации ЭЦП могут выкрасть или сам его можешь передать коллеге на время отпуска, скажем. Какая ж тут аутентификация? Будущее же за биометрикой, когда ключи генерации ЭЦП формируются в зависимости от папиллярных линий отпечатка пальца или образа радужки глаза. В этом случае ни ты от подписи никуда не денешься, ни она от тебя (можно, конечно, топор в ход пустить, но и этому есть противодействие в виде дополнительных степеней защиты в виде дополнительных паролей и даже детекторов тепла). Единственное, что на сегодня сдерживает распространение этих технологий — их довольно высокая стоимость. Но это всё дело времени.
Не со всем и несовсем согласен, но... нужно исходить из того, что есть в наличии СЕЙЧАС... Я совершенно не знаком с USB-токенами (крупицы информации почерпнул из твоего сообщения), в биометрию совершенно не верю (многие оборзеватели отмечают преждевременную шумиху на этом сыром ещё, направлении)... остаётся старая добрая гроздь пальцев (этот оборот почерпнут из инструкции к моему "дипломату" с кодовым замком) на тёте клаве... Практика – критерий истины. Поюзаем – узнаем...
Правильно. Биометрия – туфта. Говорю, как сам занимавшийся ею на полулюбительском, правда, уровне. Может использоваться исключительно в качестве вспомогательного средства аутентификации. Или для доступа на некритические уровни безопасности. Либо требуются "шкафы" дорогой аппаратуры для съёма характеристик и существенные объёмы хранимой индивидуальной информации. И всё равно хуже пароля! Имеет правда некоторый смысл совместное применение. Например клавиатурный пароль+анализатор напряжений в голосе...
Туфта — этот ширпотреп, который, в основном, на рынке представлен по 50-100 у.е. за единицу. Как уже не раз говорил (в этой теме в частности), безопасность, и не только информационная, обеспечивается комплексом мер, и биометрика — один из элементов комплекса. Знаю, о чём говорю, поскольку вопросами безопасности занимаюсь профессионально.
ДА уж. У богатых свои причуды. А вообще – об одном и том же говорим. Биометрия как таковая клавиатурный пароль заменить не может. Но иногда как часть комплекса – не повредит.
Может я не совсем спец, но рискну спросить. Если не ставится задача совсем глухого забора, то какая из программ DriveCrypt или BestCript лучше, удобнее. Я попробовал обе и столкнулся со странной проблемой. DriveCrypt отказывается монтировать старые файлы от ScramDisk. Хотя авторы утвеждают что может. Может ли это зависеть от того, что она зарегистрирована с помощью keygen какого-то. Пишет она про себя, что нормально зарегистрирована.
Был у меня опыт использования и той, и другой, но давно. Насколько я помню, DriveCrypt (в отличие от BestCrypt) при установке предлагает себя замаскировать, установиться в любой каталог под любым именем. И в нём имеется функция защиты контейнера от удаления (если расширение проассоциированно). Это, на мой взгляд, удобнее. Возможно, сейчас что-то изменилось.
Ещё момент. Существует программа для взлома контейнеров BestCrypt, "BestCrypt BruteForcer". Производительность
небольшая (900 паролей в секунду), но всё же...
Функция защиты от удаления и возможность создавать скрытые контейнеры внутри контейнеров сейчас есть у обеих программ. У BestCrypt нет travell mode, красного экрана ну и насчет шифров не мне судить. Однако учитывая, что у нас в стране обычно не платят за программы (зарплаты маленькие), то приходится сравнивать не совсем легально зарегистрированные программы. Может ли так быть как я писалвообще? Программа взяла регистрационный код из генератора, перестала писать, что пришла к нам не надолго, но функции выполняет не все или не правильно? Последнее очень опасно в случае таких программ. Можно ведь данные потом потерять?!
Да кто его знает...
P. S. Вообще-то в Правилах не рекомендуется обсуждать нелегальное использование программ.
А что сейчас можно сказать про DriveCrypt Plus Pack? Он ещё поддерживается развивается или нет? А то комментариев больше трёх лет не было.
Нет ли каких более дешёвых/бесплатных альтернатив для шифрования загрузочных дисков?
Кстати, кто что думает о BitLocker (http://www.osp.ru/win2000/2006/05/2876527/) – встроенное в некоторые версии Vist'ы шифрование наподобие DCPP? Лично я по умолчанию не доверяю средствам безопасности выпущенным в Microsoft.
Поиском[link1] по сайту научить пользоваться?
Извиняюсь. Спасибо.
Действительно, из большого опыта работы с DCPP признаю его высокую скорость работы и производительность.
Цитатой на цитату:
Народ. А кто слышал о совершенном одноразовом шифре который невозможно расшифровать, независимо от уровня знаний дешифровщиков и мощности вычислительной техники.
Когда из определенного потока бит, вычисляеться или слагаеться другой случайный поток бит такого же размера. Тут без ключа я так думаю расшифровать невозможно, поскольку при любом ключе возможна любая конфигурация.
У меня есть книга по шифрованию, где обсуждаеться этот вопрос. Но хочеться узнать мнение множества специалистов. Именно специалистов, замедьте. Если вы некомпетентны в данном, не пишите пожалуйста.
У меня даже прога есть для одноразового шифра. Xorit кажись называеться. Она то работает, но откуда я знаю не всунули ли в нее "закладку", так что осторожно люди.
Этот шифр называется "Одноразовый блакнот". Он абсолютно надёжен, как и абсолютно неюзабелен.
ну почему... имхо вполне, в определённых обстоятельствах, в особенности для переписки и если вы знаете человека лично :)
/Библиотека/Словарь/ШифрВернама[link2]
Прога, говорите? Такую "прогу" можно написать в одной-двух строчках кода любого скриптового языка. Схема OTP (one-time pad) критична к источнику случайности, из которого получается шифроблокнот (ключ), это самое слабое место. Если ищете закладку, ищите в коде ГСЧ.
В случае OTP допустимо использовать только источники с гарантированой энтропией и минимальной алгоритмической обработкой собраных данных. Т.е. ключевая последовательность не должна быть псевдослучайной (пусть и сгенерированой сколь угодно стойким программным генератором), инача это будет не OTP.
Имхо для генерации ключевой последовательности проще всего будет использовать запись с входа звуковой карты. Следует складывать по модулю 2 все биты в паре тысяч соседних выборок для получения каждого бита последовательности, это исключит уязвимости связаные с неслучайным характером шума некоторых АЦП.
Данный проект продолжает совершенствоваться. На данный момент уже выпущена drivecrypt plus pack v 3.9G.
Был зашифрован не системный диск DCPP, переустановил винду поствил DСPP выбрал ключь (.dks) но после ввода пасса пишет что не верный пасс либо это не ключь. Есть еще файл .dk. Помогите пожалуйста решить вопрос, с меня причитается (вмз) (dcpphelpme@mail.ru оставите тут свой контакт)
Уважаемый Гость, одного сообщения более, чем достаточно. Прекратите кросс-постить его в каждую тему о DriveCrypt'е.