id: Гость   вход   регистрация
текущее время 15:49 25/02/2021
Владелец: ntldr (создано 19/11/2007 23:21), редакция от 12/01/2008 09:02 (автор: ntldr) Печать
Категории: софт, инфобезопасность, защита дисков, truecrypt, исходные тексты, свободный софт
https://www.pgpru.com/Новости/2007/DiskCryptor-OpenSourceПрограммаДляШифрованияДисковыхРазделов
создать
просмотр
редакции
ссылки

19.11 // DiskCryptor - open source программа для шифрования дисковых разделов


DiskCryptor – единственное полностью открытое решение позволяющее шифровать все дисковые разделы включая системный. Программа является заменой проприетарных DriveCrypt Plus pack и PGP WDE. Для шифрования используется алгоритм AES256 в LRW режиме, и формат тома полностью совместим с TrueCrypt, благодаря чему вы можете открыть зашифрованый раздел на Linux с помощью TrueCrypt.

Установка


Программа работает на системах Windows 2000, XP, 2003 Server, XP x64, 2003 Server x64, Vista, Vista x64 (with driver signing disabled). Для установки программы скачайте нужную вам версию дистрибутива по ссылке http://freed0m.org/storage/dcrypt/ и запустите файл dcrypt.exe. Программа предложит установить драйвер и перезагрузиться. Вы можете произвольно менять имя драйвера, что может понадобиться для скрытия факта установки программы. После перезагрузки вы сможете начать работу с программой.

Удаление


Единственным устанавливаемым в систему элементом является драйвер, имя которому вы выбираете непосредственно во время установки. Полностью удалить его вы можете через пункт меню "File->Uninstall Driver", однако если ваш системный раздел зашифрован, то удаление драйвера будет недоступно. При установке новой версии старую удалять не обязательно, т.к. обновление драйвера произойдет автоматически.

Ограничения


Помните, что шифрование системного раздела невозможно при использовании динамических дисков. Также обязательное требование – использование для загрузки ОС только одного раздела. Конфигурации, когда ntldr и boot.ini находятся на одном разделе, а сама система на другом, не поддерживаются.


ВНИМАНИЕ: при шифровании/дешифровании диска нельзя перезагружать компьютер до завершения процесса. Диск должен быть либо полностью зашифрован, либо полностью расшифрован, иначе вы рискуете потерять данные. Рекомендую использовать UPS и делать бекапы перед шифрованием.

Особенности использования


Для удобства использования драйвер кеширует вводимые пароли в памяти ядра, и при монтировании тома выбирает подходящий пароль автоматически. Если подходящий пароль не обнаруживается, то программа выдаст окно ввода пароля. Пароли кешируются в неподкачиваемой памяти и не попадают в page-file. Вы можете очистишь кеш паролей через пункт меню "Tools->Clear Cached Passwords", либо полностью отключить кеширование в настройках программы. Внешние usb-диски, либо иные подключаемые тома, монтируются автоматически. exe файл нужен только для установки и управления программой, и, при постоянном использовании, можно обходиться без него. Зашифруйте все свои диски одним паролем, и тогда вам будет достаточно только лишь раз ввести пароль при загрузке.

Производительность


На Core Quad Q6600 скорость шифрования составляет 104мб/с на одно ядро. Максимальная скорость чтения данных с одиночного жёсткого диска – 80мб/с, следовательно на этом процессоре можно одновременно работать с 5ю жёсткими дисками без падения производительности. В том случае, если диски у вас не всегда используются с полной нагрузкой, можно без падения производительности работать с большим числом дисков и на более слабой системе. Реализация криптоалгоритмов для x86 версии написана на ассемблере и максимально оптимизирована под процессоры Intel Core, но довольно быстро работает и на любых других процессорах. Использованы практически все возможности оптимизации, в частности для алгоритма AES код генерируется динамически, с оптимизацией под конкретный ключ.

Безопасность


В программе используется AES256 с 128 битным блоком в режиме LRW 128. Режим LRW 128 создан специально для шифрования дисков, и защищает от ряда специфичных для этого применения атак. Ключ шифрования формируется случайным образом и хранится в зашифрованном виде в первом секторе тома. Первый сектор зашифрован аналогично всему диску, но его ключ формируется из введенного пароля с помощью sha1-hmac по стандарту pkcs5. Использование salt исключает атаки по rainbow tables, а 1000 итераций хеширования замедляют перебор паролей, добавляя стойкости даже относительно коротким паролям. Ключевым компонентом, определяющим реальную безопасность этой системы, является генератор случайных чисел (PRNG) с помощью которого генерируются ключи. В моей реализации используется PRNG на sha1-хешах с несколькими источниками энтропии. Он построен на основе модифицированного PRNG из TrueCrypt. Модификация сделана для повышения стойкости к атакам на предсказание внутреннего состояния PRNG. В качестве быстрых источников энтропии используется ряд функций ядра, счётчик тактов процессора и системное время. PRNG обновляет своё состояние с помощью этих функций при каждом использовании, а так же в момент ряда системных событий (таких как подключение тома, открытие/закрытие файлов, и. т.д.). В качестве медленного источника энтропии однократно используется PRNG Windows (CryptoAPI), движения мыши в окне программы (постоянно) и системная информация (добавляется периодически). Этого вполне достаточно для исключения возможности предсказания генерируемых ключей, однако в следующих версиях список источников энтропии будет пополнен, для большей гарантии стойкости. Наверняка у вас возникнет вопрос: "Не содержит ли программа бекдор, встроеный автором". Я отвечу – не содержит. Но вы можете мне не верить, и сами проверить и скомпилировать исходники. Я очень рекомендую вам это сделать, после чего отписаться о результатах проверки в гостевой книге и в соответствующих обсуждениях на форумах, ибо, чем больше людей это сделает, тем больше будет доверие к программе.

Риски использования и возможные каналы утечек данных


Я неоднократно слышал о случаях когда спецслужбы ломали различные криптодиски за несколько минут. Обычно такие слухи либо называют выдумкой, либо начинают рассуждать о бекдорах для спецслужб якобы встроеных в шифровальный софт. Бекдоры в проприетарном софте вполне возможны, но зачастую вскрыть зашифрованые данные можно и без них! Виной всему являются утечки конфиденциальных данных в ряд незашифрованых системных файлов. Наиболее опасными файлами в Windows являются реестр, файлы подкачки, crash dump и файл гибернации (hiberfil.sys). В файл подкачки пишеться большая часть памяти пользовательских приложений, в том числе и обрабатываемые ими конфиденциальные данные. DiskCryptor препятствует попаданию ключей и паролей в файл подкачки благоданя хранению их в неподкачиваемой памяти. К тому же пароли и ключи не храняться дольше, чем это нужно для их обработки, после чего занимаемая ими область памяти зануляется. Подобная защита есть во всех адекватных Open-Source криптографических продуктах, но ее не всегда достаточно для сведения риска утечек к нулю. Наиболее опасными являются утечки в hiberfil.sys и в crash дампы, так как при этом на диск сохраняется все содержимое памяти, включая неподкачиваемые области. Положение сильно осложняется тем, что механизм записи дампов и hiberfil.sys полностью недокументирован, и поэтому большинство существующих средств шифрования дисков не могут зашифровать эти файлы и они пишуться в открытом виде на в сектора диска! Последствия этого катострофичны, так как сохранение дампа памяти в открытом виде однозначно приводит к вскрытию всей зашифрованой информации в течении нескольких минут. В общем товарищи из Microsoft подложили нам такую свинью, что и никаких бекдоров в криптософте не надо. Наверняка этой особенностью Windows умеют пользоваться спецслужбы, откуда и пошли соответствующиеся слухи. Наиболее простым решением является отключение дампов и гибернации, о чем кстати сказано в документации к TrueCrypt. Проблема только в том, что большинство пользователей документацию не читают, и получают не безопасность, а только иллюзию таковой. В DiskCryptor начиная с версии 0.2.5 введены меры препятствующие утечкам ключевых данных. Если ваш системный раздел зашифрован, то DiskCryptor будет шифровать дампы и hiberfil.sys. Если не зашифрован, то при наличии подключеных криптодисков вход в гибернацию и запись дампов при крахе системы будут блокироваться, а если подключеных криптодисков нет, то перед входом в гибернацию или записью дампа будет автоматически очищаться кеш паролей в памяти. Таким образом программа препятствует попаданию ключевых данных на диск в открытом виде. Но учтите, что всегда остается вероятность утечки данных по вине стороннего приложения. Например если у вас стоит софт перехватывающий ввод с клавиатуры (это могут быть различные переводчики, программы автоматический смены раскладки клавиатуры, кейлоггеры), либо вы передаете пароли через буффер обмена, то пароли могут быть сохранены в не контролируемом DiskCryptor участке памяти, и попасть во всевозможные места утечки данных, вплоть до сохранения пароля в клавиатурный лог. Чтобы защититься от утечек вызываемых сторонним софтом, вам будет досаточно зашифровать все разделы на которые может идти сохранение подобной информации. Если вы их зашифровали одинаковым паролем, то можете вводить его единократно до загрузки системы. В этом случае пароль защищен от перехвата кейлоггерами и прочим подобным софтом. DiskCryptor дает вам максимально полную автоматическую защиту от основных каналов утечек ключевых данных, однако его использование не отменяет необходимости думать головой.

Компиляция


Для компиляции программы вам понадобится WDK (Windows Driver Kit), VisualStudio 2008 и FASM. Компиляция производится из IDE VisualStudio. Компиляция загрузчика производится отдельно, с помощью FASM.

Отзывы


Отзывы о работе программы оставляйте в гвестбуке. Только пожалуйста помните, что это еще beta версия, а значит мне важны любые ваши отзывы и багрепорты. На всякий случай очень рекомендую делать бекап данных перед шифрованием. Потерь данных при использовании программы пока не выявлено, однако бета тестерам стоит перестраховаться. Автор не несет никакой отвественности за использование или неиспользование вами этой программы. Программа распостраняется как есть, по лицензии GPL v2, без предоставления каких-либо гарантий. Желающие посодейтсвовать развитию проекта могут помочь в написании подробной многоязыковой документации, рисовании иконок для программы, а также пожеланиями по поводу следующих версий.


Источник: http://freed0m.org/?index=dcrypt


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— ent1 (28/11/2007 01:33)   <#>
Да и еще советуют сменить название во избежании конфликта в случае, если авторы TrueCrypt зарегистрируют торговую марку.

На сайте TC есть раздел http://www.truecrypt.org/third-party-projects/ Там уже имеются разработки TCtemp И TCgina. И никто не имеет ничего против. И даже если они зарегистрируют TrueCrypt™, имхо, можно будет назвать TrueCryptWDE, слитно, без пробела.
А за тех, кому приходится объяснять, действительно можно добавить на гл. страницу информацию, как позиционируется проект TC WDE.

Пишется нормально, но при произнесении могут быть жертвы.

:))) Это уже вторая фраза за сегодняшний день, которая меня просто очень порадовала (после псевдогенератора)! Тогда можно протсо ограничиться TrueCryptLoader – tcldr.

PS Всякие добавки Plus предлагаю оставить на откуп маркетологам и рекламщикам, для серьезного продукта они как-то не к лицу, имхо.
— Федор (28/11/2007 10:26)   <#>
TrueSystemCrypt
— Гость (28/11/2007 11:44)   <#>
TCwde?
Или, может, по аналогии с DCPP, TrueCrypt Plus Pack? Сразу становится ясно, что за программа.

В любом случае, очень сомневаюсь, что авторы TrueCrypt будут недовольны названием. Всё же OpenSource проект.
— ntldr (28/11/2007 13:42)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Сегодня open, завтра closed. Имхо лучше название сменить, и переписать те части исходников которые еще остались от TrueCrypt.
— Гость (28/11/2007 14:49)   <#>
Пробовал прогу. Зашифровал оба раздела. Все нормально работало. Запустил обратно расшифровку, разрушился диск Д. Дело было ночью, что с компом происходило не понятно. Перезагрузки небыло , UPS работал нормально. Данные вернул Final Data.
— ntldr (28/11/2007 15:42)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Можете сообщить точные симптомы? Диск не расшифровался полностью, или после расшифровки на нем битые данные с самого начала?
— Гость (28/11/2007 15:48)   <#>
завтра closed
НЕТ
Q: Will TrueCrypt be open-source and free forever?
A: Yes, it will. We will never create a commercial version of TrueCrypt, as we believe in open-source and free security software.

http://www.truecrypt.org/faq.php
TrueCrypt is and will remain open-source
and free software

TrueCrypt Collective License Version 1.2

лучше название сменить
ДА
The name of Your Product (or of Your modified version of This Product) must not contain the name TrueCrypt (for example, the following names are not allowed: TrueCrypt, TrueCrypt+, TrueCrypt Professional, iTrueCrypt, etc.) nor any of its variations that can be easily confused with the name TrueCrypt (e.g., True-Crypt, True Crypt, TrueKrypt, TruCrypt, etc.)


авторы TrueCrypt зарегистрируют торговую марку
УЖЕ
Note: TrueCrypt and the TrueCrypt logos are trademarks of the TrueCrypt Foundation. The goal is not to monetize the name or the product, but to protect the reputation of TrueCrypt, and to prevent support issues and other kinds of issues that might arise from he existence of similar products with the same or similar name. Even though TrueCrypt and the TrueCrypt logos are trademarks, TrueCrypt is and will remain open-source and free software.


переписать те части исходников которые еще остались от TrueCrypt
Не обязательно, но придётся: на них ссылаться
Phrase "Based on TrueCrypt, freely available at http://www.truecrypt.org/" must be displayed by Your Product (if technically feasible) and contained in its documentation. Alternatively, if This Product or its portion You included in Your Product comprises only a
minor portion of Your Product, phrase Portions of this product are based in part on TrueCrypt, freely available at http://www.truecrypt.org/" may be displayed instead. In each of the cases mentioned above in this paragraph, "http://www.truecrypt.org/" must be a hyperlink (if technically feasible) pointing to http://www.truecrypt.org/ and you may freely choose the location within the user interface (if there is any) of Your Product (e.g., an "About" window, etc.) and the way in which Your Product will display the
respective phrase.
и договориться с ними о лицензии
The source code must be available under license(s) that are/is compatible with this version of the TrueCrypt License

You must not change the license and distribution terms of This Product in any way (i.e., no part of This Product may be put under another license)

If you cannot comply with the above equirements, we may grant an exception under certain conditions. You may request an exception at: licensing@truecrypt.org

Кроме того, они не хотят, чтобы автор производной работы упоминал их "всуе" без их разрешения
f. Without specific prior written permission from the authors of This Product (or from their common representative), you must not use the name of This Product, the names of the authors of This Product, or the names of the legal entities (or informal groups) of which the authors were/are members/employees, to endorse or promote Your Product, or in a way that suggests that Your Product is endorsed by one or more authors of This Product, or in a way that suggests that one or more authors of This Product directly participated in the creation of Your Product.

Your Product (and any associated materials, e.g., the documentation, the content of the official web site of Your Product, etc.) must not present any Internet address containing the domain name truecrypt.org (or any domain name that forwards to the domain name truecrypt.org) in a manner that suggests that it is where information about Your Product may be obtained or where bugs found in Your Product may be reported or where support for Your Product may be available or otherwise attempt to indicate that the domain name truecrypt.org is associated with Your Product.

Вобщем, они просто заботятся о своей репутации и не хотят ею делиться.
— ntldr (28/11/2007 16:26, исправлен 28/11/2007 16:27)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Короче афтары трукрипта показали свою козью морду. Я теперь всерьез опасаюсь, что они могут взять мои исходники и встроить их в свою программу, тогда мой проект обречен, так как никогда не дотянет по популярности. Не подскажете менее либеральную лицензию чем GPL, которая бы не разрешала использовать мой код в своих программах без моего согласия?



А вот тут пускай идут в пешее эротическое путешествие. Я буду упоминать их в хелпах сколько угодно, и меня не колышыт хотят они этого или нет.
— ntldr (28/11/2007 16:31)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Надеюсь формат контейнера у них не патентованый? Если да, то придется послать их с лицензиями куда подальше, так как не хочеться делать ни с чем не совместимый продукт.
— Гость (28/11/2007 17:05)   <#>
не разрешала использовать мой код в своих программах без моего согласия?
Да возьмите сами и напишите, чего хотите разрешить, а чего нет. ;)
— ntldr (28/11/2007 17:18)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Мне нужна лицензия, а не филькина грамота. Ну напишу я, а что с этого толку, если у меня нет возможности заставить соблюдать свои требования?
Имхо GPL – это единственная не голосновная свободная лицензия, так как ее поддерживает FSF, и в случае нарушения я могу настучать на http://gpl-violations.org/, и с нарушителями будут судиться.
А если я напишу свою лицензию то что я могу сделать? Разве что наказать нарушителей незаконными способами (приехать и набить морду) :)
— Гость (28/11/2007 18:39)   <#>
The TrueCrypt Collective License consists of several distinct licenses
Лицензия TrueCrypt сборная(сollective) – разные участки кода идут под разными лицензиями. Надо ещё уточнить, имеют ли приведённые цитаты отношение к тем фрагментам кода, которые используются ntldr'ом.

они могут взять мои исходники и встроить их в свою программу
Если вы используете их исходники, они могут использовать ваши. И не только по справедливости, но и по их копилефтной лицензии.
— ntldr (28/11/2007 18:55, исправлен 28/11/2007 19:01)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Разница только в том, что их программа имеет немалую популярность, а моя мало кому известна. Поэтому я хочу избежать возникновения клонов или переноса функционала в другие программы до того, как моя прога станет не менее известной.
А от их исходников я собираюсь в близжайшее время избавиться.
— Гость (28/11/2007 19:05)   <#>

В чём проблема? Вас не собираются включать в соавторы/команду?


Хотите пойти по стопам Sorcerer Linux?
— ntldr (28/11/2007 19:24)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Проблема в том, что уже начался наезд на проект со стороны авторов TrueCrypt. И подстраиваться под их лицензию я не хочу, это МОЯ программа, Я ее написал, и не хочу отдавать лавры кому-либо еще. А сейчас украсть лавры разработчика проще простого, достаточно перетянуть код в любой раскрученый проект, и про меня никто и не вспомнит.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3