JakiLinux
We wcześniejszym tekście opisywałem program Cryptsetup, który pozwalał nam na sprawne zaszyfrowanie naszych danych. Ktoś może zapytać: „Więc po co tracić czas i opisywać to samo, tylko wykonane w innym programie?”. Moja odpowiedź brzmi: „Po to, żeby użytkownik miał alternatywę i sam mógł zdecydować, którego programu chciałby użyć.” Ponadto TrueCrypt jest zdecydowanie łatwiejszy w użyciu, o czym przekonasz się w trakcie pracy z tym programem. Jeżeli jesteś zainteresowany odkrywaniem wspaniałych możliwości tego programu, zapraszam do lektury!
Autor: Marcin Lipiec
Krótkie przedstawienie funkcji programu
TrueCrypt jest darmowym programem, który szyfruje informacje „w locie” (ang. on-the-fly). W chwili pisania tekstu najnowsza wersja jest oznaczona numerkiem 4.3. Za pomocą TrueCrypt możesz zaszyfrować cały dysk, oddzielną partycję lub stworzyć szyfrowany folder. TrueCrypt nie tylko szyfruje całe zawartości plików, ale również ich nazwy i nazwy folderów w których się znajdują. Nie jest możliwe jest także odczytanie rozmiaru zaszyfrowanego folderu/dysku/partycji. W tym tekście pokażę jak zaszyfrować dowolny folder, znajdujący się na Twojej partycji. TrueCrypt dostępny jest zarówno na Windowsa i Linuksa.
Zalety TrueCrypt:
- tworzy zaszyfrowany wirtualny dysk i montuje go jak prawdziwy,
- szyfruje cały dysk, wybraną partycje/katalog a nawet USB,
- szyfrowanie następuje automatycznie, w locie i jest niewidzialne dla użytkownika,
- nie ma możliwości odczytania rozmiaru zaszyfrowanej partycji/katalogu,
- wykorzystuje m.in. takie algorytmy jak: AES-256, Serpent, Twofish,
- umożliwia stworzenie ukrytego wolumenu,
- tworzone wolumeny w żaden sposób nie różnią się od zwykłych danych,
- łatwy w obsłudze,
- wirtualne dyski tworzone przez TrueCrypt są całkowicie niezależne od systemu operacyjnego,
- klucze identyfikacyjne mogą być przechowywane na pendrivie.
- i wiele więcej…
Zabezpieczenie szyfrowanych danych może odbywać się na trzy sposoby:
- za pomocą wybranego przez Ciebie hasła,
- za pomocą specjalnego klucza,
- jednocześnie z użyciem hasła i klucza.
Ale co to jest ten klucz? Kluczem może być dowolny plik z Twojego dysku twardego np.: *.avi, *.mpg czy *.txt lub cały folder zawierający kilka plików. Uwaga! Lepiej być ostrożnym w używaniu jako klucza pliku tekstowego, ponieważ jeżeli zmienisz jego zawartość, zmieni się klucz, tym samym nie będziesz w stanie odszyfrować swoich danych. Co się stanie jak zgubisz klucz? Już nigdy nie odzyskasz swoich danych. Dlatego nie polecam wykorzystywania do identyfikacji tylko samego klucza. Najlepszą metodą jest użycie i klucza i hasła. W takim przypadku, gdy na przykład zgubimy klucz, mamy możliwość jego zmiany po wprowadzeniu odpowiedniego hasła i odwrotnie, jeżeli zapomnimy hasło, mamy możliwość jego zmiany po wskazaniu odpowiedniego klucza. Oczywiście żadne rozwiązanie nie jest idealne, ponieważ zawsze istnieje ryzyko, że zapomnisz hasło i zgubisz klucz.
Krótkie porównanie TrueCrypt i DM-Crypt
W rzeczywistości trudno stwierdzić, który z tych programów jest lepszy. Po żmudnym przeglądzie opisu opcji i rozważaniach stwierdziłem, że połączenie obu tych programów byłoby najlepszym rozwiązaniem. Oba programy pozwalają na stworzenie tzw. „kontenera” — kontener jest to szyfrowany plik, który działa tak jak katalog, więc możesz umieszczać w nim swoje pliki (przydatne rozwiązanie na przykład wtedy, gdy nie chcesz szyfrować całej partycji). Świetną zaletą obu programów jest również możliwość szyfrowania danych w czasie nagrywania ich na płytę CD lub DVD. Przy zmianie jądra Linuksa na nowszą wersję, będziesz musiał ponownie instalować moduł TrueCrypt, w przeciwieństwie do DM-Crypta. Z drugiej strony — w TrueCrypt możemy wykorzystać jednocześnie kilka algorytmów do szyfrowania! Działa on również na Windows, więc jeśli korzystasz z obu systemów, TrueCrypt będzie zdecydowanie lepszym wyborem. Jeżeli chcecie znaleźć bardzo szczegółowe informacje, zapraszam na stronę http://czytelnia.ubuntu.pl/index.php/2007/04/03/szyfrowane-systemy-plikow/. Znajdziesz tam świetny opis tych i innych programów.
Jak wybrać ten najlepszy klucz?
Osobiście nie polecam wybierania jako klucza plików czy folderów z naszego dysku. Najlepszą, więc metodą będzie użycie specjalnego generatora wbudowanego w TrueCrypt. RNG — Random Number Generator, bo taką nosi on nazwę, tworzy nam losowe dane o maksymalnej długości 320 bajtów i zapisuje je do wskazanego przez nas pliku. Jak odbywa się generowanie losowych danych? Jeżeli chodzi o Linuksa, RNG wykorzystuje do tego /dev/random lub /dev/urandom, czyli szumy powstałe przy używaniu urządzeń podłączonych do naszego komputera takie jak klawiatura czy myszka.
Jak działa TrueCrypt?
Cały proces szyfrowania jest zupełnie niewidzialny. W momencie kopiowania danego pliku na szyfrowany dysk, jego niewielkie kawałki (jeśli jest on zbyt duży np. film) kopiowane są najpierw do pamięci RAM a dopiero później zapisywane są w docelowym miejscu. Odszyfrowanie odbywa się na tej samej zasadzie, najpierw plik częściami kopiowany jest do pamięci RAM, następnie przekazywany jest użytkownikowi. TrueCrypt nigdy nie zapisuje nie zaszyfrowanych danych na dysku, zawsze dane szyfrowane są najpierw w RAM. Jest to bardzo wygodne rozwiązanie i zabezpiecza nas przed przypadkowym przechwyceniem plików.
Pobieramy TruceCrypt
Nowe wersje programu TrueCrypt znajdziesz zawsze na http://www.truecrypt.org. Aby TrueCrypt mógł działać poprawnie potrzebujemy także narzędzia jakim jest dmsetup. Dmsetup jest narzędziem, które umożliwia pracę z logicznymi dyskami zmapowanymi za pomocą sterownika device-mapper. Najnowszą wersję dmsetupa znajdziesz na http://sources.redhat.com/dm/. Gdy już masz wszystko pobrane, najpierw instalujemy narzędzie dmsetup:
tar zxvf device-mapper.twoja_wersja
cd device-mapper.twoja_wersja
./configure
make
make installJeżeli wszystko poszło bez problemów, instalujemy TrueCrypt:
tar zxvf truecrypt-twoja_wersja
cd truecrypt-twoja_wersja
Wchodzimy do katalogu Linux i instalujemy:
cd linux
./build.sh
Checking build requirements...
Building kernel module... Done.
Building truecrypt... Done.
Skrypt najpierw sprawdzi czy nasz system spełnia wymagania, może również zapytać nas o podanie paru informacji jeśli nie jest w stanie sam określić położenia określonych plików. Uwaga! Jeśli chcesz poprawnie zainstalować TrueCrypt, musisz mieć jądro 2.6.5 lub nowsze.
Następnie uruchamiamy:
./install.sh
Checking installation requirements...
Testing truecrypt... Done.
Install binaries to [/usr/bin]: wciskamy [Enter]
Install man page to [/usr/share/man]: wciskamy [Enter]
Install user guide and kernel module to [/usr/share/truecrypt]: [Enter]
Allow non-admin users to run TrueCrypt [y/N]:
jeżeli chcesz aby oprócz root'a
inni użytkownicy mogli także
korzystać z TrueCrypt wybierz y, jeśli nie N
Installing kernel module... Done.
Installing truecrypt to /usr/bin... Done.
Installing man page to /usr/share/man/man1... Done.
Installing user guide to /usr/share/truecrypt/doc... Done.
installing backup kernel module to /usr/share/truecrypt/kernel... Done.
Jeżeli wszystko przebiegło tak jak powyżej, możesz przejść dalej.
Generujemy klucz
Aby wygenerować klucz, wydajemy komendę:
truecrypt --keyfile-create key.txt możesz wybrać
inną nazwę klucza, rozszerzenie jest także dowolne
Is your mouse connected directly to computer where TrueCrypt is running?:
wpisz "Y", zostaniesz poproszony
o poruszanie myszką :)
Jeżeli wszystko poszło ok, dostaniesz komunikat: Keyfile created.
Tworzenie wirtualnego wolumenu
Aby utworzyć nowy wolumen, musimy zastanowić się nad jego nazwą oraz nad jego typem. Do wyboru mamy dwa typy: normalny(normal) i ukryty(hidden). Typ ukryty różni się od normalnego tym, że jest po prostu ukryty (także dane są rozmieszczane w inny sposób — więcej informacji znajdziesz na stronie TrueCrypt).
W konsoli wpisujemy:
truecrypt -c domowy.txt - tworzymy wolumen o nazwie domowy.txt,
uwaga rozszerzenie jakie wybierzesz jest zupełnie dowolne,
ja wybrałem *.txt, ponieważ dla napastnika trudniej
będzie odgadnąć, że ten plik to wolumen
Volume type:
1) Normal
2) Hidden
Select [1]: wybieramy jedynkę
Filesystem:
1) FAT
2) None
Select [1]: wybieramy dwójkę, ponieważ stworzymy
inny system plików na wolumenie
niż FAT, domyślnie FAT
Enter volume size (bytes - size/sizeK/sizeM/sizeG): 10M -
wybieramy wielkość
wolumenu, ja wpisałem 10 Mega
Hash algorithm:
1) RIPEMD-160
2) SHA-1
3) Whirlpool
Select [1]: wybieramy hash, ja polecam SHA-1,
domyślnie RIPEMD-160
Encryption algorithm:
1 ) AES
2 ) Blowfish
3 ) CAST5
4 ) Serpent
5 ) Triple DES
6 ) Twofish
7 ) AES-Twofish
8 ) AES-Twofish-Serpent
9 ) Serpent-AES
10 ) Serpent-Twofish-AES
11 ) Twofish-Serpent
Select [1]: wybieramy algorytm, domyślnie wybrany AES
Enter password for new volume 'domowy.txt':
wciskamy [Enter] jeżeli chcemy
aby hasła nie było
Re-enter password: ponownie wciskamy tylko [Enter]
Enter keyfile path [none]: tutaj wpisujemy ścieżkę do klucza,
jeżeli klucza nie mamy, zostawiamy puste
Enter keyfile path [finish]: zostajemy ponownie zapytani o ścieżkę
do klucza, w przypadku kiedy mamy kilka kluczy
podajemy następną ścieżkę, jeżeli wpisaliśmy
już wszystkie klucze, zostawiamy puste i [Enter]
TrueCrypt will now collect random data.
Is your mouse connected directly to computer where TrueCrypt is running?:
wciskamy "Y" jeżeli mamy podłączoną
myszkę do komputera, na potrzebny artykułu wpisz
"n" tak dla ciekawości, żeby
zobaczyć co się stanie
Please type at least 320 randomly chosen characters and then press Enter:
zostajemy poproszeni o wpisanie przynajmniej
320 przypadkowych znaków, jeżeli wpiszemy ich za
mało, program poinformuje nas ile
znaków jeszcze zostało do wpisania
Teraz zacznie się tworzenie wolumenu, czas trwania zależy od Twojego procesora i wielkości wolumenu jaką wpisałeś. Po zakończeniu otrzymasz komunikat: Volume created. W katalogu administratora powinien znajdować się plik „domowy.txt”. Możesz go otworzyć w edytorze tekstu, gratuluję jeżeli uda Ci się coś z niego odczytać.
Mapowanie wolumenu i tworzenie odpowiedniego systemu plików
Ponieważ w trakcie tworzenia wolumenu nie wybraliśmy jego dokładnego systemu plików, musimy teraz utworzyć system plików na wolumenie, ponieważ TrueCrypt do montowania używa linuksowego narzędzia mount, które wymaga podania typu plików.
Wpisujemy:
truecrypt /root/domowy.txt -k /root/key.txt
Enter password for '/root/domowy.txt':
jeżeli wcześniej nie podaliśmy
hasła do wolumenu to wciskamy tylko[Enter]
Ok. Aby sprawdzić czy mapowanie się udało wpisz: truecrypt -vl wyświetli informację o zmapowanych urządzeniach. Jeżeli nie wyświetli się żadna informacja, to znaczy, że coś poszło nie tak.
Teraz tworzymy system plików: mkfs.ext3 /dev/mapper/truecrypt0 — możesz wybrać dowolny system plików
System plików został stworzony.
Montowanie utworzonych wolumenów
Teraz, gdy już mamy utworzony system plików na wolumenie i jest on zmapowany, możemy go podmontować pod wybrany przez nas katalog.
W tym celu wykonujemy polecenia:
truecrypt -d /dev/mapper/truecrypt0
odmapowuje wolumen
mkdir szyfrowane -
tworzymy katalog szyfrowane, to właśnie pod niego będziemy podmontowywać
truecrypt /root/domowy.txt -k /root/key.txt /root/szyfrowane
podmontowuje wolumen pod szyfrowane katalogi
Gotowe! Od tej pory wszystkie dane zapisywane w katalogu „szyfrowane” będą szyfrowane.
A co zrobić kiedy chciałbyś zaszyfrować istniejący już katalog? Metoda ta jest trochę „łopatologiczna”. Po prostu przenieś chwilowo zawartość katalogu, który chcesz zaszyfrować, w inne miejsce, następnie podmontuj wolumen pod ten katalog i przywróć zawartość katalogu(skopiuj jego zawartość z powrotem). Pamiętaj, abyś w takiej sytuacji nadał odpowiedni rozmiar wirtualnemu wolumenowi, w przeciwnym przypadku nie pomieści on wszystkich danych. Rozmiar wolumenu powinien być nieco większy od rozmiaru katalogu.
Automatyczne montowanie po restarcie
Jak już pewnie się domyśliłeś, po restarcie komputera musisz ponownie zamontować wirtualny wolumen. Przyznam się, że jest prosty sposób, aby to zrobić. Przeglądając forum na stronie domowej projektu TrueCrypt natknąłem się na dwa sposoby:
- umieszczamy wpis w /etc/init.d lub w /etc/rc.d,
- tworzymy w katalogu domowym użytkownika plik .profile i odpowiednio go edytujemy.
My zajmiemy się sposobem drugim. Dlaczego? Przyczyna jest prosta. Załóżmy, że zabezpieczyłeś wirtualny wolumen nie tylko kluczem, ale i hasłem albo tylko hasłem. W takim wypadku wywołując program przez skrypty startowe zawarte w folderze init.d czy rc.d musiałbyś wywołać program z parametrem -p i podać hasło, co nie jest najmądrzejszym rozwiązaniem. W takiej sytuacji niepowołany użytkownik mógłby je przypadkowo odczytać.
Być może w Twoim katalogu domowym istnieje już plik .profile, jeśli nie:
touch .profile - tworzy pusty plik .profile
I dodaj do niego linijkę: truecrypt /root/domowy.txt -k /root/key.txt /root/szyfrowane
Zapisz zmiany i wyjdź z edytora. Teraz za każdym razem kiedy się zalogujesz truecrypt zapyta Cię o hasło (którego nie masz, ponieważ w tym przykładzie jesteśmy identyfikowani za pomocą klucza, więc wciskasz tylko [Enter]) i wirtualny wolumen zostaje zamontowany.
Czy mogę przechowywać klucz na pendrivie?
Tak, taka opcja jest możliwa i uwierz mi, nie jest to trudne. Pierwszą rzeczą jaką będziemy musieli wykonać jest automatyczne montowanie pendriva podczas startu systemu. Aby tego dokonać musimy edytować plik /etc/fstab. W tym celu w katalogu /mnt tworzymy katalog pendrive:
mkdir /mnt/pendrive
Musisz zorientować się pod jaką partycją masz pendrive. Włóż pendrive w USB i wykonaj polecenie dmesg > wynik.txt. Na końcu tego pliku powinieneś zobaczyć linijkę podobną to tej:
usb 1-1: configuration #1 chosen from 1 choice
uba: uba1
Jak widzisz, u mnie pendrive ukrywa się pod partycją /dev/uba1. U Ciebie może to być /dev/sda*.
Teraz należy zmodyfikować plik /etc/fstab. Dodajemy w nim linijkę:
/dev/uba1 /mnt/pendrive auto defaults 0 0
Wpisz: mount /mnt/pendrive.
Następnie przenosimy klucz na pendrive i edytujemy plik .profile zmieniając ścieżkę do klucza na /mnt/pendrive. Gotowe!
Teraz system sam montuje wirtualny wolumin po restarcie. Jakie są wady automatycznego montowania? Załóżmy, że masz młodsze (ciekawskie) rodzeństwo i nie chcesz, aby miało dostęp do niektórych części twojego systemu (bez względu czy pracujesz na Windowsie czy Linuksie). Jeżeli używasz autoryzacji tylko za pomocą klucza, a klucz masz zapisany gdzieś na dysku, po włączeniu komputera dane są już odszyfrowane. „Ale przecież ja przechowuję mój klucz na pendrivie”. A co będzie jeśli zapomnisz wyciągnąć pendriva po pracy?
Podsumowanie
W przyszłości projektanci TrueCrypt planują poszerzyć jego możliwości:
- zbudowanie wersji dla Mac OS,
- dodanie zewnętrznego modułu autoryzacji (będzie możliwość odszyfrowywania danych przez Internet),
- zbudowanie oficjalnego GUI (Graphical User Interface) dla TrueCrypt,
- i wiele więcej…
A czy istnieją jakieś nieoficjalne graficzne nakładki na TrueCrypt? Owszem, istnieją. Polecam zapoznanie się ze stroną http://code.google.com/p/truecryptgui/wiki/CurrentStatus. W celu zaczerpnięcia większej wiedzy zapraszam również na forum TrueCrypt.
korekta: t_ziel
Świetny artykuł, dzięki za kawał dobrej roboty.
Wszystko pieknie – sam go uzywam tylko jest jeden podstawowy problem – nie ma ZADNEGO bezpiecznego sposobu wprowadzenia hasla przy zalozeniu, ze w sprzecie jest np. sprzetowy keylogger podobny do tego ktory kiedys znalezniono w laptopie Dell'a a ktore pewnie sa juz w kazdym nowym kompie – klucze na dyskach usb sobie darujmy (nie mozna ich zapomniec i mozna je latwo skopiowac gdy akurat nie ma nas przy dysku).
Tak to prawda, na razie nie spotkałem się z konkretnym zabezpieczeniem.
Co do łatwości skopiowana klucza, może to i jest łatwe zakładając, że na USB masz tylko klucz bądź same klucze, ale jeżeli są tam jeszcze inne dane, to nie sądzę że zadanie jest takie łatwe. Kluczem może być dowolny plik.
Niby tak ale niestety wystarczy "sluchac" jakie pliki otwiera program o nazwie truecrypt… ;) Swoja droga to ciekawe ile takich mechanizmow jest zaszytych w sprzecie a ile np. w jakims XP'ku – oczywiscie w celu obrony uczyciwych obywateli ;>
Pingback: Blog Cytrynka
@RnR
Wystarzy podajac klucza dac focus innemu oknu, wklepac pare literek, i znowu do podawania klucza.
A ten keylogger w dell to byl fake.
pzdr!
no to ja mam pytanie
bo używam TC już jakiś czas …
ale czytając ten artykuł się przeraziłem
nie sprawdziłem tego jeszcze ale nie omieszkam
Czy naprawdę jest możliwe mając klucz (plik) zmienić hasło ????
przecież to strasznie oczywista dziura !!!!!!!!!!!
Zabezpieczam dane klucz+hasło po to aby podwoić skuteczność a nie obniżyć ją do połowy.
w końcu po to chyba trzeba mieć obie połówki .. żeby nie było możliwości otwarcia "zamka" połową klucza …
Pozdrawiam
Tak, taka opcja jest możliwa. Przynajmniej tak twierdzi jeden z twórców programu. Ja to sprawdziłem i jest to możliwe. Ta metoda jest jednak nie możliwa wtedy kiedy tworzymy dodatkowo partycję ukrytą. Wtedy zapominając hasło tracimy już wszystko i nie ma możliwości odzyskania danych.
"wykorzystuje m.in. takie algorytmy jak: AES-256, Serpent, Twofish,"
zainstalowalem no i ok, ale gdzies przeczytalem ze jest jeszcze blowfish, tylko gdzie ja nie mam go do wyboru…dlaczego? Czy to zalezy od sprzetu?
jakie algorytmu(lub ich kombinacje) najlepiej wybrac? Czy blowfish jest 'mocniejszy' niz inne?
A co ze skutecznością tego szyfrowania? Jaka jest szansa, że ktoś dorywając mój dysk odszyfruje dane z dysku/partycji/katalogu?
Wybór algorytmu nie zależy od twojego sprzętu. Większe znaczenie ma to jakie algorytmy szyfrowania masz wkompilowane w jądro swojego Linuksa. Możesz to sprawdzić wykonując polecenie: cat /proc/crypto.
Jeżeli chodzi o moc algorytmów to największą moc mają algorytmy mieszane np.: AES-Twofish-Serpent. Jak to działa? Najpierw dane szyfrowane są za pomocą AES potem Twofish i na końcu Serpent.
Skuteczność szyfrowania w dużej mierze zależy od tego jakiego hasła użyjesz. Polecam używanie takich znaków jak: $%^&@#**. Odszyfrowanie danych takim hasłem jest praktycznie niemożliwe, chyba że ktoś jest w stanie przeżyć 600 lat lub ma do dyspozycji wszystkie komputery na świecie. :)
@Baronek
A keylogger niby nie moze sie dowiedziec jakie okno ma focus? ;)
truecrypt dziala na windows i linuxie, poniewaz latwiej go testwac na windzie(linuxa dopiero probuje ujarzmic) wiec mam do wyboru tylko te ktore napisalem, moze wziac aes-twofish, serpent w testach wypada niezbyt pod wzgledem szybkosci (de)kodowania
a co do hasel:
o znaczkach duzych literkach i cyferkach wiem, natomiast jak to jest, czy:
-uzywac hasla i je pamietac
-wygenerowac jakies bardziej skomplikowane haslo i je gdzies przechowywac-pendrive
-czy szyfrowac plikiem(opcja w truecrypt)
-czy moze szyfrowac plikiem+haslo
-czy moze jeszcze inaczej
Jak wiadomo lepsze haslo mozna wygenerowac, ale sie go nie zapamieta, za to mozna je latwo przechwycic albo zgubic…
Jak wy to u siebie rozwiazaliscie?
Kolejna kwestia:
Co bedzie gdy uzywajac szyfrowanego wolumenu(ktory jest widziany jako plik) i kopiujac do niego dane(w locie-truecrypt) powiedzmy zresetuje kompa-odetne od pradu, to czy:
-dane ktore byly aktualnie kopiowane zostana utracone(ok)
-wszystkie dane w szyfrowanym woluminie zostana utracone(zla opcja)
hm?
Ja używam rozwiązania: hasło + klucz. Hasła nie generowałem i nie polecam również zapisywania go w pliku. chyba że zastosujesz gpg. Osobiście nie używałem jakiegoś skomplikowanego hasła. Jest ono naprawdę mocno szyfrowane, najważniejsze aby hasło nie było żadnym wyrazem słownikowym.
Jeżeli chodzi o kwestię zabrania prądu:
- dane, które były już wcześniej skopiowane na dysk szyfrowany nie ulegną zniszczeniu natomiast dane bieżąco kopiowane nie będą poprawnie zapisane.
no nie działa, zrobiłem wszystko krok po kroku jak trzeba było i nic.
jak wpisałem:
#truecrypt plik
żeby zmapować to zażądało ode mnie hasła użytkownika albo roota (!). podałem hasło użytkownika. jak wpisałem:
#truecrypt -vl
to nie pojawiło się nic.
montować też nie montuje.
w dmesg nic nie wypisuje.
a najlepsze jest to że chciał ode mnie tego hasła tylko jeden jedyny raz. nawet jak tworze nowy plik i to po restarcie kompa to wpisanie:
#truecrypt plik
nic nie daje, nawet o hasło nie pyta…
jaki klucz, chodzi ci o jakis plik, zeby zdekodowac potrzeba plik(klucz)+haslo? Jesli zapomnijsz hasla albo klucza to bez jednej polowki nie odpali?
co do utraty danych, to rzeczywiscie tak jest, sprawdzilem wczoraj doswiadczalnie…
wszystko jest napisane. nie używam żadnego klucza, bo nie chcę, a 'plik' to po prostu plik z zaszyfrowanym (stworzonym według opisu) dyskiem.
nie wiem, może mi się coś w systemie popsuło, ale po prostu nie działa
a co do truecrypta: jest tam opcja Algorytm skrotu: SHA-1
ktory jak wygoglowalem zostal zlamany!
http://hacking.pl/pl/news-4727-SHA_1_zlamany.html
to art. z 2k5 roku, wiec dlaczego ten alg. jest uzywany w najnowszej wersji truecrypta??
a, i ponawiam moje pytanie, jakim algorytmem szyfrowac, jakie sa podatne na metody tyou XSL?
@ja
sorki, pisalem do lipiec, to nie byla odp. na twoje pytanie ;)
aha… w każdym razie wydaje mi się, że problem może leżeć w jądrze. ściągnąłem paczkę dla ubuntu bo mam debiana, ale teraz doczytałem w pliku readme kodu źródłowego, że po skompilowaniu binarki nie na wszystkich jądrach może zadziałać… ogólnie to porażka. debian mógłby chociaż dodać truecrypt do non-free (licencja…).
Chciałem tylko zauważyć, że tworząc własny system plików (jak jest opisane w artykule) możemy sobie odpuścić montowanie wolumenu pod Windą.
Tak jak opisywałem w tekście. Aby poprawnie używać TrueCrypt trzeba mieć jądro co namniej w wersji 2.6.5.
Jeżeli chodzi o algorytmy szyfrowania to nie znam się na nich za bardzo, więc nie wiem co mam wam polecić. Osobiście używam blowfish lub AES.
jak juz sie zabezpieczac, to nie takim algorytmem co moga w ciagu 10lat zlamac :D
Minimum 20lat i nastepuje przedawnienie… :X
A tak bardziej serio, czytalem na wikipedi:
http://en.wikipedia.org/wiki/Advanced_Encryption_… http://en.wikipedia.org/wiki/Twofish http://en.wikipedia.org/wiki/Serpent_%28cipher%29
oraz:
http://www.velocityreviews.com/forums/t307894-whi… http://answers.google.com/answers/threadview?id=4…
Na Serpent dziala(chyba?) atak XSL (czy jak to sie nazywa), wiec ze swojej strony nie polecam uzywania jedynie tego algorytmu. Glupio byloby zaszyfrowac, ktos nam kradnie laptopa, a potem dowiadujemy sie ze algorytm zostal zlamany :P
hmm. z tym jądrem to mi nie chodziło o numer wersji, bo mam 2.6.18. raczej o to że paczka skompilowana dla ubuntu nie radzi sobie w debianie. albo to przez to że dokompilowywałem moduł od sterowników nvidii…
Witam
Mam pytanie odnośnie odczytu pod LInuxem(Fedora) partycji którą zaszyfrowałem TrueCryptem pod Windowsem Xp. Czy jest taka możliwość?
mi wyskakuje
# modprobe truecrypt
FATAL: Error inserting truecrypt (/lib/modules/2.6.17-5mdv/extra/truecrypt.ko): Invalid module format
Pingback: w o j c i e h . n e t » Truecrypt i maly skrypt
Wejda komputery kwantowe to kwestia zabezpieczen, szyfrowania ulegnie wielkiemu zdezaktualizowaniu. Z tych obecnie 600 lat potrzebnych do zlamania zabezpieczen wystarczy okolo jedna sekunda ;)
Kilka spraw:
Komputery kwantowe to taka sobie zabawa intelektualna – tego długo się nie doczekamy (o ile w ogóle…). W odróżnieniu od kwantowej kryptografii.
Stosowanie wielokrotnego szyfrowania nie ma sensu – dużo słabszym elementem i tak jest hasło oraz sam użytkownik.
"Złamanie" AES (dowolnego – tak się nazywał konkurs i projekt) w sensie złamania algorytmu – heh, wolne żarty :D Nawet jeżeli będzie to możliwe w przewidywalnej przyszłości (w co *wątpię*), to nie będzie tego mógł zrobić byle kto z ulicy.
Zresztą, praktycznie rzecz biorąc, teraz próbuje się łamać raczej konkretne implementacje, w których luk może być więcej i są łatwiejsze do zrozumienia niż potencjalne luki w algorytmach.
Dwa problemy – może nawet 3.
1. truecrypt /home/xxx/szyfrowany.txt -k /home/xxx/key.txt /home/xxx/szyfrowany
Pyta mnie o hasło moje lub roota. Przy próbie wpisania mojego hasła, wypluwany jest błąd mówiący o tym, ze jest nieprawidłowe. Działa tylko po wpisaniu hasła roota. Przy pierwszym podmontowaniu pliku do istniejącego katalogu właścicielem staje się root, pomimo iż wszystko (poza mkfs.ext3 /dev/mapper/truecrypt0) robię z konsoli jako użytkownik.
2. Dodanie do .profile komendy mapującej plik nic nie powoduje. Przy zalogowaniu na użytkownika jest pusty, dopiero ręczne wpisanie komendy (znów jedynie hasło roota jest poprawne). Mapuje plik jako katalog.
3. Czy jestem w stanie zmienić typ szyfrowania pliku z AES na coś innego na już utworzonym pliku. Czy lepiej po prostu zrobić wszystko na nowo?
No i dodatek.
Graficzka nakładka na truecrypt:
http://grzglo.jogger.pl/2007/06/27/forcefield-gra…
Jak zainstalować Forcefield – graficzną nakładkę dla linuksowego TrueCrypt, albo skąd pobrać .rpm-a na Mandrivę 2008 Free ?
Dobrym sposobem na budowanie mocnych haseł jest ustanawianie haseł kilku wyrazowych czuli używając spacji.
Dziwne jest to, że utarło się przekonanie, że hasło musi być jednym wyrazem, najlepiej z cyframi i znakami ASCII (i to nie tylko tymi z klawiatury).., nawet najprostsze wyrażeniem typu "internet jest modny" jest trudniejsze do odgadnięcia od "MiS13KWaw4" czy "90zDr06oo". Dodając do tego najprostsze znaki możemy mieć mocniejsze ")!nT3R*n*Et #jeS7 %m0dNy)"…
Jeśli chodzi o TrueCrypt jak wygląda sprawa, gdy policja znajduje prawdopodobny materiał dowodowy w postaci zaszyfrowanych dysków, płyt czy jakiegokolwiek innych medium ?
wiec tak, jak policja dorwie takie zaszyforwane medium to grzecznie poprasi cie o podanie hasla. oczywiscie jesli im nie podasz grosi ci odpowiedzialnosc karna za utrudnianie sledztwa – tak ci beda mowic i straszyc. LEcz wystarcxzy wtey ze zeznasz iz nie nie mozesz podac gdyz na danym medium sa informacje dzieki którym osobie ci bliskiej bedzie grozic odpowiedzialnosc karna – w takim przypadku wedlug prawa mozesz odmowic zeznań [ w tym wypadku podania hasla lub klucza]. I moge naskoczyc ci , bo jak masz zaszyfrowane w miare okto za chiny tego nie odszyruja – wierzcie mi :)
Mocowanie danych!!!
Jako laik, który dopiero co pokonał barierę uruchomienia z pozytywnym skutkiem TC, zastanawiam sie, czy niedowidziałem jakiejś opcji w ustawieniach, ale wydaje sie idiotycznym fakt, że zaszyfrowany plik czy partycje, mogę bez problemu skopiować albo usunąć. To jakieś nieporozumienie, wychodzę np. siku, a w tym czasie, ktoś przekopiuje moje zaszyfrowane dane na swój nośnik, a potem (może i 600lat) będzie sie zabawiał moimi plikami. Na dodatek będzie pocieszał mnie poklepując po ramieniu i mówił: "nie rozpaczaj po utracie danych, to nic że były one dorobkiem 15 lat pracy, jeszcze całe życie przed tobą" :o))) I tu jest moje pytanie, jak umocować dane na dysku lub penie, aby ich nikt bez mojej woli do domciu nie zabrał???
Chyba żartujesz ? Czy nie żartujesz ?
Co z tego że ktoś skopije zaszyfrowane dane do siebie jak nie zna hasła ? na tym polega kryptografia :) Wszyscy mogą podsłuchiwać zaszyfrowane dane ale tylko adresat może je odszyfrować.
Co do fizycznego uszkodzenia, skasowania danych to na to nie ma lekarstwa. Jak komus pozwolisz grzebać na komputerze to już Twoj problem, a wystarczy hasło na wygaszacz i przy odchodzeniu od pulpitu włącz wygaszacz. Zainteresuj sie też nową wersja 5.0 TrueCrypt, możesz zaszyfrować partyce systemową i nikt kompa nie uruchomi :)
Tu nie chodzi tyle o kompa, ile o nośniki zewnętrzne, dysk, pendrive. Jak zabezpieczyć wejście na nie. Tak aby bez hasła nie można było wejść do środka? Wtedy nikt mi nic nie zniszczy (pomijając oczywiście fizyczne rozwiązania )
—–>Utimaco SafeGuard Easy 4.2
I właśnie o to chodzi!!!
Możesz go sobie w prosty sposób zarchiwizować (i to dowolnym medium).
A co do usunięcia pliku.
W linux — to chyba nie ma o czym mówić!
A na windows umieszczam w katalogu "Recycler". Przypadkowe usunięcie bardzo mało prawdopodobne. Zazwyczaj nazwy kontenerów udają pliki iso dystrybucji linuksowych.
Pingback: myGeeBlog » Blog Archive » Truecrypt 5.0
Witam,
Mam pytanie czy mając dwa systemy windows i linux mogę zaszyfrować dyski widnowsowe ? W komercyjnym PGP jest taka możliwoćć. Szyfruje tylko dyski windowsa i linux i windows ładnie sobie współgrają.
Jedna wielka bzdura:
"…Najlepszą metodą jest użycie i klucza i hasła. W takim przypadku, gdy na przykład zgubimy klucz, mamy możliwość jego zmiany po wprowadzeniu odpowiedniego hasła i odwrotnie, jeżeli zapomnimy hasło, mamy możliwość jego zmiany po wskazaniu odpowiedniego klucza. "
Napisz jakim to sposobem zmieniłeś hasło lub klucz kontenera nie mając dostępu do jednego z nich.
w porzadku art, tyle ze tylko wolumen to bazar w wawie, raczej mowa tu o woluminie :)
Aby nie klikac enter przy podaniu hasla (gdy go nie mamy, a uzywamy klucza z pliku), wystarczy montowac z parametrem:
"-p ''"
Pozdrawiam
Eh… Czemu w komentarzach zmienia dwa apostrofy na cudzyslow ?
mialo byc :
myslnik, p, spacja, apostrof, apostrof, spacja
a w jaki sposob mozna zaszyfrowac caly dysk od poczatku do konca, razem z plikami systemowymi?
Nie można, jajko nie może zostać zaszyfrowane.
W jaki sposób można zaszyfrować całą partycję /home? U mnie jest to osobna partycja aniżeli ta na której znajduje się system plików /. Nie chce tworzyć kontenera w /home, ale chce zaszyfrować całe /dev/sda2 (czyli całe /home). W sumie nie byłoby problemu gdyby nie to, że takie szyfrowanie usuwa wszystkie pliki z /home. Czy system po usunięciu całego /home w ogóle w stanie i będę mógł przywrócić na nie dane, które na ten czas zgram gdzieś indziej? Jak to wygląda?
Bzdury. Do autora artykułu – Człowieku, jak się nie znasz to lepiej nie pisz o czymś wcale. True Crypt szyfruje na poziomie sektorów, a nie każdy plik z osobna
Bzdury. Człowieku, jak się nie znasz to lepiej nie pisz o czymś wcale. True Crypt szyfruje na poziomie sektorów, a nie każdy plik z osobna
W jaki sposób mogę zaszyfrować całą partycję /home?
Tego własnie, szukałem, SP5uhw-fan oczywiście, że możesz – można dowolną partycję, katalog czy plik.