Bitlocker truecrypt

Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker

Bitlocker truecrypt

Разработчики TrueCrypt ответили: сайт | твиттер
Разработчик TrueCrypt «David»: «Мы были счастливы, что аудит ничего не выявил. Мы усердно работали над проектом 10 лет, но ничего не длится вечно.

» Steven Barnhart: (перефразировано) разработчик считает, что форк навредит еще больше: «Исходный код в любом случае доступен, можете подглядывать» (The source is still available as a reference though).

«Я спросил, и было очевидно в последнем ответе, что разработчики считают форк вредным, т.к. только они сами разбираются в коде». «Также он сказал, что никакого контакта с правительством, кроме когда ему предлагали „контракт на поддержку“, у него не было».

Разработчик TrueCrypt «David»: «Битлокер 'достаточно хорош' и Windows был основной целью разработки»

Цитируя разработчика: «Больше нет интереса».

TL;DR: «Новая» версия может только дешифровывать данные, и может содержать троян (хотя я и не нашел, но вы мне не верьте на слово). Бинарник подписан верным ключом разработчика. Все старые версии удалены, репозиторий тоже очищен. На странице рассказывается о том, что разработка TrueCrypt была прекращена в мае этого года, после того, как Microsoft прекратила поддержку Windows XP, и что TrueCrypt более небезопасен и может содержать уязвимости. Далее, на странице содержится подробная инструкция миграции с TrueCrypt на BitLocker. На сайте есть также ссылки на бинарный файл TrueCrypt, которые ведут в раздел загрузок SourceForge, вместе с цифровой подписью. Этот файл подписан корректным (старым) ключом, а внутри него:
22 мая SourceForge сменили алгоритм хеширования паролей и предложили всем их сменить, чтобы использовался новый алгоритм. Возможно, что-то пошло не так.

SourceForge говорят, что ничего не произошло:

Providing some details from SourceForge: 1. We have had no contact with the TrueCrypt project team (and thus no complaints). 2. We see no indicator of account compromise; current usage is consistent with past usage.

3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see sourceforge.net/blog/forced-password-change

Thank you,

The SourceForge Team communityteam@sourceforge.net

Предположение №1

Вебсайт взломан, ключи скомпрометированы. Не скачивайте эту версию и не запускайте. И не переходите на BitLocker. Последняя рабочая версия: 7.1a. Версия 7.2 — подделка. Почему я так думаю: странное изменение ключей (сначала залили новый, потом удалили и вернули старый), и почему битлокер?

Предположение №2

Что-то случилось с разработчиками (угрожают лишить жизни) или с самим TrueCrypt (нашли серьезную уязвимость), что привело к выпуску такой версии.

Почему я так думаю: все файлы имеют правильную подпись, выпущены все релизы (Windows; Linux x86, x86_64, console versions, Mac OS, sources), бинарники, похоже, скомпилированы на ПК разработчика (пути к pdb, метаданные компилятора совпадают). Текст лицензии тоже был изменен (см. diff ниже).

Почему совет использовать BitLocker выглядит возмутительно? TrueCrypt всегда был яро против поддержки TPM, а в BitLocker он широко используется. Почему не советовать другие Open-Source альтернативы? Похоже на то, что разработчик просто не может ничего сказать прямыми словами. Это очень похоже на Свидетельство канарейки. К сожалению, это предположение пока выглядит более реалистично, чем первое. Sad but true.

Предположение №3

Версия 7.1a содержит троян и разработчик хочет уберечь всех пользователей от ее использования.

Почему я так думаю: существует такой блог truecryptcheck.wordpress.com с хеш-суммами для всех релизов версии 7.1a. В нем всего одна запись от 15 августа 2013 года. Несколько странно делать сайт, где есть только хеш-суммы только одной программы и только одной ее версии.

Предположения со страницы на etcwiki:

Предположение №4

Кампания по сбору средств на аудит TrueCrypt набрала $62000, чтобы выяснить, есть ли в коде лазейки, которые позволяют расшифровать данные. В то же время, TrueCrypt Foundation почти не получала пожертвований, и разработчики разочаровались, что все настроены против них.

Почему я так думаю: разработчики TrueCrypt почти не получали пожертвований. Конечно, я не знаю конкретные цифры, но вероятно, аудит набрал больше, чем TrueCrypt за время своего существования. Так как разработчики анонимны, они не получают никаких слов благодарности.

Все это подозрительно, но, вероятно, это было сделано либо самими разработчиками, либо TrueCrypt Foundation.

Предположение №5

Разработчикам надоело разрабатывать проект, или же у них возникли трудности в реальной жизни Почему я так думаю: это случается с каждым. Заявление о том, что TrueCrypt более не является безопасным кажется адекватным, если учесть, что обновлений больше не будет. Похоже, что все изменения были сделаны разработчиками.

Предположение №6

Правительство пытается найти («выкурить») разработчиков. Кто-то заполучил доступ к логинам и ключам разработчиков TrueCrypt, но не смог найти самих разработчиков.

Почему я так думаю: у правительства может быть достаточно ресурсов для того, чтобы взломать ключи разработчика и попасть на сайт.

Абсурдное заявление переходить на BitLocker может заставить настоящего разработчика сделать какое-то заявление или ответить другим образом.

Как заметил postdig:

truecrypt.org.ua/news: 12 апреля 2014 года сайт переведен в режим только для чтения. Аккаунты пользователей удалены. Спасибо всем, кто принимал участие в развитии проекта!

Как бы намекает что процесс ни разу не внезапный.

Из твиттера Wikileaks:
(1/4) Truecrypt has released an update saying that it is insecure and development has been terminated truecrypt.sf.net (2/4) the style of the announcement is very odd; however we believe it is ly to be legitimate and not a simple defacement (3/4) the new executable contains the same message and is cryptographically signed. We believe that there is either a power onflict…

(4/4) in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys.

Из твиттера Matthew Green (один из аудиторов TrueCrypt):
@SteveBellovin @mattblaze @0xdaeda1a I think this is legit. TrueCrypt Setup 7.1a.exe:

  • sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
  • md5: 7a23ac83a0856c352025a6f7c9cc1526

TrueCrypt 7.1a Mac OS X.dmg:

  • sha1: 16e6d7675d63a9bb75a9983397e3610459a1
  • md5: 89affdc42966ae5739f673ba54b7c5

truecrypt-7.1a-linux-x86.tar.gz:

  • sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
  • md5: 093552e43cf51697a15421816899be

truecrypt-7.1a-linux-x64.tar.gz:

  • sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
  • md5: bb355096348383987447151eecd6dc0e

Другие мысли и интересная информация:

www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt/chu5bhr

krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/comment-page-1/#comment-255908
bradkovach.com/2014/05/the-death-of-truecrypt-a-symptom-of-a-greater-problem
boingboing.net/2014/05/29/mysterious-announcement-from-t.html
steve.grc.com/2014/05/29/an-imagined-letter-from-the-truecrypt-developers Ссылки на новости и записи в блогах:

news.ycombinator.com/item?id=7812133

www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814
www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead
www.reddit.com/r/crypto/comments/26px1i/truecrypt_shutting_down_development_of_truecrypt
arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns
krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure
www.pcworld.com/article/2241300/truecrypt-now-encouraging-users-to-use-microsofts-bitlocker.html#tk.twt_pcworld
www.coindesk.com/popular-encryption-tool-truecrypt-mysteriously-shuts
business.kaspersky.com/truecrypt-unexplained-disappearance
www.forbes.com/sites/jameslyne/2014/05/29/open-source-crypto-truecrypt-disappears-with-suspicious-cloud-of-mystery ­— вот эта достаточно неплохо написана
news.softodrom.ru/ap/b19702.shtml — очень хорошая статья (написана, кстати, 15.05.2014)
pastebin.com/7LNQUsrA — еще немного информации о разработчиках

stream: .com/search?q=truecrypt&src=typd

Diff между нормальной версией 7.1a и «текущей» 7.2

diff на github

Link for your English-speaking friends

truecrypt.sourceforge.net

  • truecrypt
  • шифрование
  • взлом

Хабы:

  • Информационная безопасность
  • 4 мая 2010 в 22:57
  • 3 ноября 2008 в 22:28
  • 6 февраля 2008 в 11:59

Источник: https://habr.com/ru/post/224491/

Азы безопасности: шифрование данных

Bitlocker truecrypt

В современном мире шифрование является краеугольным камнем анонимности, безопасности и сохранности информации.

С точки зрения аналитиков, шифрование данных — единственный разумный способ защиты от утечек данных с потерянных носителей. Однако шифровать требуется не только «мобильную» информацию, но и массу других хранилищ данных.

Переход к использованию криптоконтейнеров

В рамках этой статьи поговорим о практике использования шифрования для защиты данных. Если вам пока сложно воспринимать слово криптоконтейнер, читайте вместо него «надёжно зашифрованная папка с паролем, где можно хранить и редактировать файлы». Криптоконтейнер — это надежный сейф внутри вашего компьютера.

Я на своем примере расскажу о начале применения криптоконтейнеров, а вы, опираясь на мой опыт, настроите работу криптоконтейнеров на компьютере или мобильном устройстве. Как у многих из вас, файлы у меня были разложены по папкам.

Я всегда пытался навести порядок на своем компьютере: у меня была папка «Работа» с множеством вложенных папок, была папка «Учёба» с образовательными материалами, были различные папки с фотографиями, видео и всяким хламом. Была, конечно, и папка XXX, предусмотрительно переименованная в «Лекции».

Общий объём файлов составлял порядка 112 ГБ. При переходе к использованию криптоконтейнеров я разделил файлы на три группы.

В первую группу вошли очень ценные для меня файлы, но которые я не использую ежедневно. Во вторую вошли важные файлы, которые используются мной каждый день для работы или учебы. В третью вошёл всякий хлам, который я даже не думал как-то защищать и перенёс в криптоконтейнер только ради общего порядка.

Есть одно общее правило: чем меньше у вас файлов в криптоконтейнере, тем лучше с точки зрения безопасности. Когда вы монтируете криптоконтейнер, в котором лежит десять файлов, то открываете доступ ко всем десяти из-за одного. В идеале на каждый файл должен быть отдельный криптоконтейнер, но на практике это несбыточная утопия.

Когда файлы находятся в несмонтированном криптоконтейнере, они надёжно защищены. Забросят ли вам на компьютер трояна или, вынеся дверь, проведут криминалистический анализ — всё это бесполезно при надёжном пароле. Если, конечно, вы сами не выдадите его, или он у вас не сохранен в txt документе на рабочем столе.

О способах взлома криптоконтейров мы подробно расскажем в заключительном параграфе.

Думаю, стоит детальнее объяснить, что такое смонтированный криптоконтейнер. Представьте, что криптоконтейнер — это зашифрованная папка с паролем. Вы ввели пароль и пользуетесь находящимися там файлами, потом вы закрыли папку, и для доступа к данным снова нужен пароль.

В состоянии, когда вы пароль уже ввели, и доступ открыт, троянская программа, попавшая на ваш компьютер, или третье лицо, получившее доступ к компьютеру, имеют доступ и к файлам. Это называется смонтированным криптоконтейнером, а сам процесс введения пароля и открытие доступа — монтирование. Криптоконтейнер можно сравнить с сейфом. Сейф защищён, только когда закрыт.

В открытом состоянии любой может получить доступ к его содержимому. Хранить вещи в открытом сейфе ничуть не безопаснее, нежели на столе рядом с ним.

Совет: создавайте как можно больше криптоконтейнеров. Хранить все данные в одном криптоконтейнере небезопасно. Вернёмся к моим криптоконтейнерам. Я создал криптоконтейнеры, создал резервную копию файлов (на всякий случай) и перенёс файлы в созданные криптоконтейнеры.

Весь хаос папок и файлов на моём жёстком диске преобразовался в три надёжно зашифрованных файла. Всё просто: вы продумываете, сколько криптоконтейнеров вам понадобится, создаёте их и переносите в них файлы.

Перенос данных в криптоконтейнеры — один из важнейших шагов на пути к построению защищённой системы.

Совет: храните всю информацию только в криптоконтейнерах. У криптоконтейнера есть ещё одно преимущество. Например, вам надо экстренно уничтожить ваши данные, занимающие 100 ГБ жесткого диска. Сколько времени будет происходить удаление их безопасным способом? В зависимости от возможностей жёсткого диска это может занять до 30 минут.

А если эти 100 ГБ будут в криптоконтейнере, то с помощью технологии CryptoCrash данные можно уничтожить за несколько секунд. В следующих параграфах мы познакомим вас с программами, позволяющими создавать и использовать криптоконтейнеры.

История TrueCrypt

TrueCrypt — почти образцовая программа шифрования папок и файлов. Первая версия программы вышла в свет ещё в далеком 2004 году, и на тот момент TrueCrypt оказалась фактически единственной программой с открытым исходным кодом для шифрования «на лету».

Что значит «на лету»? Обычные программы для работы с зашифрованными файлами требуют сначала расшифровать файл или папку, выполнив необходимые манипуляции с данными, затем создать зашифрованную копию файла или папки, а незашифрованный оригинал удалить.

TrueCrypt позволяла создавать зашифрованную папку, указав в программе пароль, и работать с зашифрованной папкой, шифруя и расшифровывая данные «на лету». С 2004 по 2014 программа TrueCrypt регулярно обновлялась. Некоторые функции исключались.

Так, например, была убрана поддержка дискет, когда этот формат канул в лету, удалялись и некоторые протоколы шифрования.

С развитием компьютерной индустрии совершенствовались и технологии взлома методов шифрования, из-за этого ряд протоколов перестал считаться надёжным. Так, в последней, 7-й, версии TrueCrypt вы уже не увидите протоколов шифрования с размером блока в 64 бита (Тройной DES, Blowfish, CAST5).

Десять лет проект TrueCrypt активно развивался и превратился в фундаментальный софт для защиты данных. Всё это время имена разработчиков программы оставались загадкой, что породило ряд слухов о причастности спецслужб к разработке приложения.

Некоторые говорили, что программа разработана ФБР, другие утверждали, что если и не ФБР, то в софте непременно есть закладки. Популярность TrueCrypt росла, пока весной 2014 года не произошло необъяснимое событие, повергшее интернет-общественность в шок.

28 мая 2014 проект TrueCrypt был закрыт. Точные причины закрытия проекта никому не известны по сей день. Сами разработчики сообщили на официальном сайте, что использование TrueCrypt небезопасно, и предложили переходить на BitLocker, который всегда высмеивали.

Есть много версий и догадок о случившемся, мы приведём основные.

Первая версия гласит, что разработчикам угрожали спецслужбы, вторая — что их переманили на работу в Microsoft, чем и объясняется реклама BitLocker, третья — им надоело продвигать и поддерживать проект, не приносящий денег, четвертая — они действительно обнаружили в продукте критическую уязвимость, которую не способны были исправить.

Интернет-сообщество погрузилось в споры о безопасности TrueCrypt, и одному Богу известно, сколько бы они продлились, если бы к началу апреля 2015 не был завершен независимый аудит TrueCrypt, на который было собрано свыше 60 000 USD пожертвований.

Он не выявил никаких уязвимостей или серьёзных недостатков в архитектуре приложения и показал, что TrueCrypt является хорошо спроектированной криптографической программой. Источник: здесь. Мы считаем, что, TrueCrypt 7.1 надежен, и закрытие проекта не связано с его безопасностью. А вот хронологически последняя версия программы (7.

2) не является безопасной и полнофункциональной, по крайней мере, об этом предупреждают сами разработчики, и это мнение разделяют многие эксперты.

Потому мы рекомендуем использовать последнюю стабильную и надежную версию — TrueCrypt 7.1а. TrueCrypt

Недоказуемость криптоконтенейра

У TrueCrypt масса преимуществ, одно из которых заключается в невозможности идентифицировать зашифрованный контейнер. Даже если недоброжелатели получат доступ к вашему диску, укажут на криптоконтейнер и скажут «это — криптоконтейнер», вы смело можете сказать, что это не так, что это какой-то неизвестный вам файл. Доказать обратное невозможно.

Разумеется, вы можете «случайно» прищемить палец дверью и тогда не только признаете в файле криптоконтейнер, но и вспомните пароль. Но и от этого есть защита, о которой мы расскажем в главе, посвященной антикриминалистике, а сейчас просто запомните, что доказать наличие криптоконтейнера исследованием файла невозможно.

Опираясь на это, мы рекомендуем вам называть свои контейнеры как-нибудь нейтрально и пробовать их маскировать под программные файлы. Например, открываем у себя папку с менеджером паролей KeePassX и видим какие-то непонятные файлы с расширением *.dll. Создавая криптоконтейнер, назовем его LsQN7.dll и положим в эту папку. Только мы будем знать, что LsQN7.

dll на самом деле криптоконтейнер. После создания криптоконтейнера и размещения его в папке KeePassX. Вы видите отличия? Только дата? Менять дату мы вас научим в части, посвященной маскировке криптокойнтейнеров. Но не спешите создавать криптоконтейнер. Совет Называйте криптоконтейнеры так, чтобы название не выдавало криптоконтейнер.

Указывайте у криптоконтейнеров расширение *.dat и размещайте в папке с другими файлами с расширением *.dat.

Хотим предупредить, что наличие на рабочем компьютере TrueCrypt действует на некоторых недоброжелателей, как красная тряпка на быка. У вас сразу начинают искать криптоконтейнеры, требовать пароли, а вам приписывать различные криминальные намерения от торговли ПАВ до поддержки международного терроризма.

VeraCrypt

Вот уже четыре года как проект TrueCrypt — легендарный софт для шифрования данных — не поддерживается разработчиками. Но TrueCrypt — программа с открытым исходным кодом, и любой на его основе может начать разрабатывать свой продукт.

Именно так поступил француз Мунир Идрасси, летом 2013 представив миру проект VeraCrypt. Основной идей было создание более безопасного, чем TrueCrypt, решения.

Например, в TrueCrypt использовалась довольно посредственная генерация ключа, по мнению экспертов, не способная обеспечить высокий уровень защиты против имеющихся в арсенале спецслужб компьютерных мощностей.

VeraCrypt предложил ощутимо более устойчивое против брутфорса решение, о котором мы подробнее расскажем, когда дойдем до сравнения программ.

При «живом» TrueCrypt форки не пользовались популярностью; все изменилось, когда весной 2014 года разработчики TrueCrypt сообщили о прекращении поддержки проекта.

Тогда о VeraCrypt заговорили как о надежной альтернативе TrueCrypt (хотя были и другие форки, такие как GostCrypt, CipherShed например). Часть пользователей TrueCrypt сразу перешла на использование VeraCrypt, а часть осталась верна TrueCrypt.

Многим понравился VeraCrypt, однако нашлось и немало критиков. В сети активно поддерживалась версия, что VeraCrypt — проект спецслужб, имеющий закладки.

Многие относятся к форкам с большой долей скептицизма, этого же мнения придерживаются и разработчики TrueCrypt, считая форк опасным.

В основе их опасения лежит убеждение в неспособности сторонних разработчиков до конца разобраться с их кодом, и, как вы узнаете дальше, эти опасения были не напрасны.

VeraCrypt vs TrueCrypt

Давайте сравним TrueCrypt и VeraCrypt. Эти программы очень близки по функционалу и дизайну, что неудивительно для форка и оригинала, потому мы сравним быстродействие и безопасность. Скорость монтирования криптоконтейнеров.

https://www.youtube.com/watch?v=JAZ8sfuMC7I

Первый негативный момент, с которым сталкиваются пользователи TrueCrypt, первый раз попробовав VeraCrypt, — время монтирования криптоконтейнера. Когда в TrueCrypt вы указываете верный пароль, время ожидания до доступа к зашифрованным данным составляет на современном компьютере десятые доли секунды. При использовании VeraCrypt ждать приходится заметно дольше. TrueCrypt vs VeraCrypt

Устойчивость к брутфорсу

Брутфос, если говорить простыми словами, — попытка подобрать пароль (ключ) путем перебора всех возможных вариантов. Современные суперкомпьютеры, имеющиеся в распоряжении спецслужб, умеют перебирать варианты очень быстро.

За счёт более совершенного метода генерации ключей VeraCrypt от 10 до 300 раз более устойчив к атакам прямого перебора. Для многих это самое главное преимущество VeraCrypt. Поддержка со стороны разработчиков.

TrueCrypt уже не поддерживается разработчиками, используемые решения устаревают с каждым днем, потенциальные уязвимости не исправляются. Это безусловно плюс для VeraCrypt, который активно поддерживается и развивается.

TrueCrypt vs VeraCrypt: уязвимости

Казалось бы, наличие поддержки со стороны разработчиков должно было обеспечить VeraCrypt преимущество, но на самом деле все наоборот. В главе, посвященной TrueCrypt, мы рассказывали о проведенном аудите программы, который не выявил критических уязвимостей.

Подобному аудиту было подвергнуто и программное обеспечение VeraCrypt. По результатам аудита были выявлены 36 уязвимостей, 8 из которых получили статус критических, 3 — умеренных и 15 — незначительных.

8 критических уязвимостей в таком приложении нельзя назвать иначе как катастрофа. С полной версией отчета об аудите вы можете познакомиться по этой ссылке.

В настоящий момент большинство обнаруженных уязвимостей успешно исправлены, однако некоторые из них требуют существенной переработки архитектуры и до сих пор присутствуют в VeraCrypt.

TrueCrypt vs VeraCrypt: уровень команды разработчиков

Как было сказано ранее, аудит VeraCrypt обнаружил 8 критических уязвимостей, а при аудите TrueCrypt не было обнаружено ни одной. Это вызывает опасения по поводу уровня команды разработчиков VeraCrypt. У нас нет никаких сомнений, что программное обеспечение TrueCrypt разрабатывалось более компетентными специалистами.

Допустим, обнаруженные в ходе аудита 8 критических уязвимостей в VeraCrypt будут закрыты, но где гарантии, что команда разработчиков не допустит еще столько же новых критических уязвимостей? TrueCrypt vs VeraCrypt А какую программу выберете вы?

В нашем противостоянии победил TrueCrypt. Но не все так просто. Вы сами должны все взвесить и принять решение. С одной стороны, TrueCrypt использует устаревающие технологии, уступающие в криптостойкости технологиям VeraCrypt. К тому же TrueCrypt больше не поддерживается разработчиками.

С другой стороны, VeraCrypt постоянно обновляется и поддерживает более устойчивые к атакам технологии, но обнаруженные уязвимости и вопросы по поводу уровня команды разработчиков дают повод серьезно задуматься.

В группе нашей редакции единого мнения нет, но есть единое решение — параллельное использование двух инструментов.

Проще говоря, вы создаете один криптоконтейнер, например, при помощи программного обеспечения TrueCrypt, внутри него создаете второй криптоконтейнер при помощи VeraCrypt и уже в нем размещаете файлы. Такая связка в разы надежнее каждой из программ в отдельности.

Источник: https://zen.yandex.ru/media/id/5cbe05954500ff00b30ab688/azy-bezopasnosti-shifrovanie-dannyh-5cbe08aa88da1e00b5608d80

СОФТ

Bitlocker truecrypt

Редакция THG,  4 марта 2010

Введение

Microsoft поставляет систему шифрования BitLocker в операционных системах Windows Vista и Windows 7, но она доступна только в high-end версиях Enterprise и Ultimate. В то же время существует мощная альтернатива BitLocker: программа TrueCrypt с открытым исходным кодом и с лучшей гибкостью. Мы решили сравнить функции и производительность обоих решений.

Больше года назад мы опубликовали довольно подробную статью об утилите TrueCrypt 6.1.

В ней мы рассмотрели то, как можно зашифровать системный раздел Windows, после чего провели тесты и измерили время автономной работы на ноутбуке.

Заключение было вполне многообещающим: TrueCrypt 6 позволяет шифровать и защищать паролем вашу систему целиком “на лету”, при этом утилита незначительно сказывается на производительности и на времени автономной работы.

Мы считаем, что вряд ли имеет смысл обсуждать причины, по которым многие пользователи переходят на шифрование данных или системы целиком. Потеря данных – это одна проблема, но её можно предусмотреть (пусть даже иногда это весьма накладно), но если ваши данные попадут в руки злоумышленника, то это может представлять серьёзную угрозу для бизнеса или для вашей безопасности.

На этот раз мы решили узнать, верны ли данные результаты только для TrueCrypt, или внедрение Microsoft BitLocker даёт такие же преимущества – эта система шифрования поставляется с версиями Enterprise и Ultimate операционных систем Windows Vista и Windows 7. Имеет ли смысл доплачивать за версии Windows, поддерживающие BitLocker? Или можно использовать утилиту TrueCrypt, которое сделает то же самое, но совершенно бесплатно?

Ещё одной причиной для тестов решений шифрования можно считать появление дополнительных новых инструкций AES (AES-NI) в двуядерных процессорах Intel Core i5 для массового рынка (Clarkdale). Могут ли функции шифрования BitLocker и TrueCrypt выигрывать от этих инструкций? Это мы тоже исследуем в нашей статье.

BitLocker на Windows 7 Ultimate x64

Функция BitLocker является вполне логичным решением для шифрования томов, при этом вы можете использовать эту функцию для разных томов, которые как включают в себя несколько жёстких дисков, так и занимают только часть пространства винчестера. BitLocker для своей работы требует двух разделов NTFS. Один из разделов – загрузочный, который нельзя шифровать; второй раздел предназначен для вашей операционной системы.

Данное решение использует 128-битное шифрование AES, при этом доступны разные способы аутентификации.

Microsoft поддерживает аутентификацию через модуль Trusted Platform Module (TPM), TPM с PIN-кодом, TPM с ключом на USB-брелоке и комбинацию TPM, PIN-кода и ключа на USB-брелоке. В зависимости от функциональности каждого решения, вы можете выбирать разные опции.

Например, простая поддержка модуля TPM приведёт к потере работоспособности системы, если вы установите жёсткий диск на другой компьютер, а другие решения требуют активной аутентификации.

Аппаратные требования для активации BitLocker. Нажмите на картинку для увеличения.

Существуют определённые аппаратные требования, которым следует соответствовать перед активацией BitLocker. Они приведены на иллюстрации выше.

Нажмите на картинку для увеличения.

Вы можете вывести панель управления BitLocker, введя соответствующее слово в панели поиска меню программ или ручным запуском соответствующего ярлыка.

Нажмите на картинку для увеличения.

В нашем случае использование BitLocker без дополнительных мер было невозможно, поскольку у тестовой системы не было модуля TPM. Поэтому мы выбрали опцию проверки ключа запуска при каждой загрузке системы. Ключ, как правило, находится на USB-брелоке.

Нажмите на картинку для увеличения.

Вы также можете выбрать, куда копировать ключ восстановления, который потребуется, если вы забудете PIN-код или потеряете USB-брелок, содержащий ключ.

Нажмите на картинку для увеличения.

Можно приступать к шифрованию!

Нажмите на картинку для увеличения.

TrueCrypt 6.3a на Windows 7 Ultimate x64

По информации на сайте TrueCrypt, утилиту скачали больше 13 миллионов раз. Следует понимать это число правильно: если утилиты для массового пользователя, такие как WinZip, скачиваются намного чаще, TrueCrypt и схожие утилиты вряд ли относятся к массовым приложениям. Поэтому подобное количество скачиваний потрясает.

Утилита TrueCrypt намного более гибкая, чем BitLocker, при этом она также позволяет создавать и зашифрованные файлы-контейнеры. Эти контейнеры можно будет монтировать как отдельные диски под операционной системой.

Система при этом может быть не только Vista или Windows 7, как того требует BitLocker, но также Windows XP, Mac OS X или Linux. TrueCrypt на самом деле и начиналась с файлов-контейнеров, поскольку прозрачное шифрование дисков в реальном времени появилось только в последних версиях.

Всегда скачивайте последнюю версию (6.3a на момент публикации), если вы хотите зашифровать всю текущую установку Windows.

Есть также несколько факторов, которые необходимо принять во внимание перед установкой TrueCrypt. Первое: вы не получите способа восстановления зашифрованного раздела, если потеряете пароль.

Единственное, что останется – это атака методом “грубой силы”, но если используется шифрование AES 256 или каскадное шифрование (несколько алгоритмов одновременно), то шансы практически равны нулю. Кроме того, TrueCrypt позволяет создавать так называемые скрытые разделы, даже не определяя их в обычных условиях.

Вы можете создавать два зашифрованных системных раздела и скрыть один из них. Второй будет работать в качестве отвлекающего следа, который вы тоже должны использовать регулярно, чтобы злоумышленник принимал его за вашу рабочую систему.

А загрузка скрытого раздела или отвлекающего следа определяется по тому, какую фразу-пароль вы введёте при старте. На сайте TrueCrypt есть довольно подробная информация о скрытых операционных системах.

Нажмите на картинку для увеличения.

Нужно указать, хотите ли вы создать обычную зашифрованную систему, либо скрытую установку.

Нажмите на картинку для увеличения.

Нажмите на картинку для увеличения.

Нажмите на картинку для увеличения.

TrueCrypt также поддерживает окружения multi boot, в которых параллельно установлено несколько операционных систем.

Нажмите на картинку для увеличения.

Вы можете выбирать разные алгоритмы шифрования и хэширования.

Нажмите на картинку для увеличения.

Этот раздел очень важен, поскольку не существует бэкдора или лазейки для восстановления забытых паролей!

Нажмите на картинку для увеличения.

Нажмите на картинку для увеличения.

Нажмите на картинку для увеличения.

TrueCrypt также создаёт диск восстановления, который можно использовать для расшифровки зашифрованного раздела в случае сбоя загрузчика TrueCrypt, Windows или первой дорожки винчестера.

Нажмите на картинку для увеличения.

Имеет смысл сразу же прожечь диск восстановления, поскольку на это уходит минимальное время.

Нажмите на картинку для увеличения.

Нажмите на картинку для увеличения.

Нажмите на картинку для увеличения.

Нажмите на картинку для увеличения.

Нажмите на картинку для увеличения.

Тестовая конфигурация

Системное аппаратное обеспечение
Материнская плата (Socket LGA1156)Gigabyte P55A-UD7 (Rev. 1.0), чипсет: P55, BIOS: F3 (01/26/2010)
CPU IntelIntel Core i5-750 (45 нм, 2,66 ГГц, 4x 256 кбайт кэша L2 и 8 Мбайт кэша L3, TDP 95 Вт)
Память DDR3 (два канала)2x 2 Гбайт DDR3-1600 (OCZ OCZ3G2000LV4GK), DDR3-1333 8-8-8-24 1T
Жёсткий дискWestern Digital VelociRaptor, 300 Гбайт (WD3000HLFS), 10 000 об/мин, SATA/300, кэш 16 Мбайт
картаSapphire Radeon HD 5850, GPU: Cypress (725 МГц), память: 1024 Мбайт GDDR5 (2000 МГц), число потоковых процессоров: 1440
Блок питанияPC Power & Cooling, Silencer 750EPS12V 750W
Системное ПО и драйверы
Операционная системаWindows 7 Ultimate X64, Updated 2010-02-11
Драйверы и настройки
Драйверы чипсета IntelChipset Installation Utility Ver. 9.1.1.1025
Графические драйверы ATIRadeon Version 10.1

Нажмите на картинку для увеличения.

Для тестов мы использовали материнскую плату Gigabyte P55A-UD7, процессор Core i5-750 и видеокарту Sapphire Radeon HD 5850.

Тесты и настройки

Тесты приложений
7-zipVersion 9.1 betaLZMA2Syntax “a -t7z -r -m0=LZMA2 -mx=5″Benchmark: 2010-THG-Workload
PCMark VantageVersion 1.0.1.0
Sysmark Preview 2007Version 1.06
WinRARVersion 3.92 Beta 1RARSyntax “a -r -m3″Benchmark: 2010-THG-Workload
WinZip 14Version 14.0 Pro (8652)WinZIP Commandline Version 3ZIPXSyntax “-a -ez -p -r”Benchmark: 2010-THG-Workload

Результаты тестов

Архиваторы

Мы запустили несколько утилит сжатия файлов, чтобы посмотреть, окажет ли какое-либо влияние использование зашифрованных разделов, однако вычислительная нагрузка сжатия оказалась намного более существенной, чем нагрузка на шифрование/расшифровку данных. Процесс архивации оказался чуть медленнее на зашифрованных разделах, но разница очень мала.

PCMark Vantage

Мы получили самый высокий результат продуктивности без шифрования системного раздела, но технология BitLocker, по всей видимости, выигрывает от новых инструкций Intel AES (AES-NI) в случае двуядерного Core i5-661, поскольку результаты производительности оказались такими же высокими, как и в случае незашифрованного раздела.

Тест Memories дал более высокие результаты на четырёхъядерном Core i5-750; BitLocker на двуядерном процессоре даёт не такой ощутимый провал, что можно, опять же, связать с аппаратной поддержкой ускорения AES на этом CPU.

SYSmark 2007 Preview

Тест 3D-моделирования SYSmark выполняется быстрее на незашифрованном разделе.

Тест создания видео использует Sony Vegas 7.0 и Adobe After Effects, при этом мы наблюдаем преимущество четырёхъядерного процессора Core i5-750, но мы видим неплохие результаты и на двух ядрах – в частности, из-за аппаратной поддержки шифрования AES в случае BitLocker. Но на разделе TrueCrypt результаты в этом тесте всё же не такие высокие.

Мы наблюдаем небольшую разницу в тесте продуктивности. Опять же, незашифрованный системный раздел даёт лучшую производительность, но разница невелика.

Заключение

Два ядра, четыре ядра, средние тактовые частоты, высокие тактовые частоты, поддержка AES: все эти факторы влияют не так сильно. Работа шифрования в реальном времени на системном жёстком диске оказывает влияние на производительность, будь то BitLocker от Microsoft или TrueCrypt 6.3a.

Однако с падением производительности зашифрованных систем вполне можно смириться, да и оно оказывается практически одинаковым независимо от того, тестируем ли мы двуядерный Core i5-600 или четырёхъядерный Core i5-700.

Впрочем, мы всё же рекомендуем быть очень осторожным со старыми и, особенно, одноядерными системами, где шифрование в реальном времени может более существенно снижать производительность.

У Microsoft BitLocker всё же есть некоторые преимущества благодаря новым инструкциям Intel AES.

Они присутствуют на всех двуядерных настольных процессорах Core i5 (и на большинстве мобильных моделей), да и также будут интегрированы на всех грядущих процессорах Intel для массового рынка или для более высокого сегмента.

Но, опять же: преимущества не такие существенные, так что не стоит принимать решение о покупке только на основе этого фактора.

Итак, влияние на производительность незначительное, поэтому мы получаем, в основном, битву разных наборов функций. И эту битву Microsoft уже не может выиграть с текущей версией BitLocker.

И дело не в том, что данная функция потенциально менее мощная; просто она нацелена на корпоративный рынок.

Шифрование BitLocker поддерживает TPM и множественные способы аутентификации, но гибкость в реальной жизни весьма существенно ограничена.

Утилита TrueCrypt намного более гибкая благодаря поддержке нескольких операционных систем, возможности выбора алгоритмов шифрования и нескольких способов защиты системы.

Вы даже можете создавать скрытые разделы, а также защищать системы на основе скрытого основного и обманного вторичного разделов, которые добавляют ещё один психологический уровень защиты – атакующие даже не знают, что они имеют дело не с основной операционной системой.

Наконец, нам понравился тот факт, что утилита TrueCrypt прекрасно работает на любой системе, то есть она действительно аппаратно независима. Поскольку раздел будет легко превратить обратно в незашифрованный, эту утилиту можно без проблем попробовать в работе.

Обсуждение в форуме Подписаться на рассылку Другие статьи 

Источник: http://www.thg.ru/software/bitlocker_truecrypt/onepage.html

Шифрование жесткого диска в Windows 10: зачем это нужно и как сделать

Bitlocker truecrypt

Безопасность данных на компьютере — одна из главных прерогатив для многих пользователей. Комплексный подход — это защитить от стороннего вмешательства весь жесткий диск.  Сделать это можно с помощью стандартного средства шифрования в Windows 10.

Зачем выполнять шифрование данных, если есть учетная запись пользователя с паролем? На самом деле это самая простая защита, которую могут сломать даже новички, четко выполняя действия определенной инструкции.

Проблема заключается в том, что злоумышленник может использовать загрузочную флешку и получить доступ к файлам и реестру операционной системы. Далее всего в несколько действий  легко узнать введенный пароль или просто отключить его и получить доступ к рабочему столу. 

Вопрос защиты файлов будет особенно важен для корпоративного сектора. Например, только в США ежегодно в аэропортах  теряются больше 600 тысяч ноутбуков.

Стоит отметить, что с помощью встроенного средства BitLocker шифруются даже флеш-накопители, поскольку они распознаются системой как отдельные тома. При необходимости можно создать виртуальный диск VHD с важными данными и шифровать его, а сам файл хранить на обычной флешке.

Шифрование всего диска действительно скажется на производительности системы, в частности, на скорости чтения/записи данных. Тесты различных пользователей показывают, что на относительно современном железе  падение скорости на SSD — не более 10%, у жестких дисков падения могут быть больше.

Например, на ноутбуке Dell Inspiron 15 7577 с процессором i7-7700HQ  и накопителем Samsung 950 Pro с 256 ГБ разница в ежедневном использовании будет практически незаметна.

Средство BitLocker использует шифрование AES 128/256. Соответственно, задействуются вычислительные ресурсы процессора. Если вы используете старые модели на 1-2 ядра, то BitLocker или аналогичный софт может ухудшить производительность.

Чип TPM (Trusted Platform Module) — это специальный модуль, в котором хранятся криптографические ключи для защиты информации. Обычно он располагается на материнской плате, но далеко не каждая модель оснащается TPM. Ключ для расшифровки логического тома выдается только  в коде загрузчика ОС, поэтому злоумышленникине смогут достать его непосредственно из жесткого диска. 

Чтобы проверить, есть ли на вашем компьютере или ноутбуке модуль TPM, в окне «Выполнить» введите команду «tpm.msc».

При наличии чипа вы увидите окно с основной информацией, включая состояние модуля и версию.

Перед использованием системы шифрования TPM модуль необходимо инициализировать по следующей инструкции:

1.  В панели управления зайдите в раздел «Шифрование диска BitLocker».

2. Напротив системного диска кликните по строке «Включить BitLocker». Система начнет проверку на соответствие конфигурации компьютера.

3. В следующем окне система предупредит пользователя, что для продолжения процесса будут выполнены два действия: активация оборудования безопасности и последующий запуск шифрования. Необходимо нажать «Далее».

4. Для включения TPM система попросит перезагрузить компьютер, поэтому нажмите соответствующую кнопку.

5. При следующей загрузке перед пользователями появится окно активации чипа TPM. Нажмите соответствующую клавишу для подтверждения (в данном случае F1).

6. Как только Windows прогрузится, мастер шифрования продолжит свою работу и предложит следующее меню с выбором места сохранения ключа восстановления.  

Данные логического тома будут зашифрованы, а для разблокировки вам придется ввести пароль от учетной записи.  При попытке войти в систему через загрузочную флешку или путем перемещения HDD в другой компьютер посторонние не смогут получить доступ к вашим данным. Ключ доступа будет надежно спрятан в TPM модуле.

Преимущество TPM заключается в простоте настройки и высокой безопасности — ключи хранятся в отдельной микросхеме. С другой стороны, если злоумышленники каким-либо образом узнают пароль от учетной записи, то без проблем смогут зайти в нее даже с шифрованием. 

Что делать, если при вводе команды «tpm.msc» TPM модуль не был найден? Использовать BitLocker вы сможете по-прежнему, но теперь ключ вам придется сохранять в другом месте. 

Для активации BitLocker следуйте инструкции:

1. Перейдите в меню групповых политик. В окне выполнить введите «gpedit.msc» и нажмите Enter. Необходимо открыть раздел «Конфигурация компьютера», а в нем перейти по «Административные шаблоны» и далее открыть «Компоненты Windows».

2. В компонентах найдите папку «Шифрование диска» и выберите подпункт «Диски операционной системы». Перейдите на вкладку «Стандартный» и дважды кликните ЛКМ по строке «Этот параметр позволяет настроить требования дополнительной проверки подлинности» (выделен на скриншоте).

3. Параметр необходимо перевести в состояние «Включено», а также поставить галочку в строке «Использовать BitLocker без совместимого TPM». Для сохранения изменений нажмите кнопку «Применить» и OK.

На этом настройка групповой политики завершена, и пользователи могут защититься стандартным средством шифрования BitLocker. Как и в предыдущей инструкции, вам необходимо перейти в раздел шифрования и включить BitLocker для системного или другого диска, на котором вы собираетесь зашифровать данные.

Меню настройки будет немного отличаться от вышеописанного:

1. Уже на первом окне вас попросят выбрать способ разблокировки диска. Пароль аналогичен предыдущей защите, вам будет достаточно ввести его при входе в учетную запись. Более надежный способ — флешка + PIN. Для входа в систему вам придется также вставить накопитель в USB-порт, после чего ввести  пароль.  

2. Если вы указали flash-накопитель, то система предложит выбрать его. В случае с паролем вам достаточно дважды ввести его и перейти в следующее окно.

3. Пользователь должен выбрать, куда сохранить ключ восстановления. Поскольку на шифруемый диск его записать нельзя, то доступны 4 варианта: учетная запись Майкрософт, флеш-накопитель, в качестве отдельного файла на другом диске или просто распечатать.

4. Выберем «Сохранить в файл». В этом случае достаточно указать место и убедиться, что соответствующий txt файл появился по указанному пути.

5. Выберите, как будет шифроваться диск — полностью или только занятая информацией часть. Второй вариант  оптимален для новых ПК, на которых только недавно был установлен весь необходимый софт.

6. Выбор режима шифрования. Для несъемных накопителей укажите «новый», но для флешек или переносимых HDD лучше выбрать «Режим совместимости», чтобы при необходимости получить доступ к файлам на другом компьютере.

7. После завершения настроек в трее появится иконка BitLocker. Кликните по ней и подтвердите перезагрузку компьютера.

8. После перезагрузки начнется процесс шифрования, а его прогресс можно узнать из соответствующего значка в трее.

Теперь диск зашифрован и при каждом включении Windows будет просить ввести пароль BitLocker. Это относится и к съемным накопителям, если они были зашифрованы таким способом.

В разделе шифрования также появятся подробные настройки, где вы сможете удалить или сменить пароль, приостановить защиту, архивировать ключ восстановления или отключить шифрование.

Неправильный ввод пароля несколько раз приведет к блокировке, и получить доступ к диску можно будет только с помощью ключа восстановления

Самыми надежными считаются специальные смарт-карты, которые визуально выглядят как обычные флешки. Однако они имеют специальные библиотеки и отображаются отдельными устройствами в диспетчере задач. Соответственно, воспроизвести смарт-карту намного сложнее в отличие от обычной флешки-ключа. 

Если по каким-либо причинам стандартная система шифрования вас не устраивает или в вашей редакции Windows ее просто нет, то можно воспользоваться сторонним софтом.

Однако будьте осторожны. Во-первых, сторонние программы в отличие от системных средств могут ощутимо сказываться на производительности компьютера, особенно, если они не оптимизированы под конкретные ОС. Во-вторых, нет гарантий, что такой софт не имеет уязвимостей, которыми могут воспользоваться злоумышленники или даже разработчики.

BitLocker Anywhere

Популярный софт для шифрования дисков, работающий под операционными системами Windows 7/8/10 различных редакций.  У софта есть пробная версия на 15 суток, однако в ней запрещено шифровать системный раздел, поэтому пользователи смогут защитить только флешки и другие логические тома жесткого диска.

Базовая версия стоит 14,99$, а профессиональная с возможностью шифровать тома больше 2 ТБ — 19,99$.

В функционал BitLocker Anywhere входит шифрование и дешифрование дисков, создание ключей восстановления с их экспортом.

По сути, это аналог стандартному BitLocker с технической поддержкой со стороны разработчиков. Очевидный минус — в качестве защиты доступен только пароль, никаких смарт-карт или USB Flash здесь нет.  

Для шифрования достаточно выбрать диск, указать пароль, место для сохранения ключа восстановления и дождаться окончания процесса. Интерфейс на английском языке, но программой можно пользоваться даже с минимальными знаниями иностранного.

7 zip

Если вы предпочитаете создавать VHD-образы  и при необходимости подключать их к системе, то для шифрования вполне подойдет обычный архиватор 7zip.

Выберите виртуальный образ жесткого диска (формат VHD/VHDX) и нажмите «Добавить в архив». Далее в окне настроек укажите имя, пароль для шифрования и метод (желательно, AES-256).

Теперь для дешифровки вам придется ввести пароль и только потом монтировать VHD файл.

Что делать, если Windows с зашифрованным логическим диском не запускается? Это не проблема, если у вас есть необходимые данные доступа. Чтобы снять блокировку BitLocker, вам следует иметь хотя бы один из следующих элементов:

  • пароль шифрования BitLocker, который вы вводили в самом начале;
  • ключ восстановления (его предлагали сохранить на флешке, в учетной записи или распечатать);
  • USB-ключ запуска системы, если вы использовали флешку.

Если ничего этого у вас нет, то про данные можно забыть и единственный способ вернуть диск — отформатировать его. Конечно, есть специфические способы «выловить» ключ среди метаданных или дампа оперативной памяти, но и они не дают стопроцентной гарантии успеха, не говоря о сложности реализации. К этим методикам могут прибегать специализированные сервисы. 

Если Windows не прогружается, то вам необходимо запустить среду восстановления, или воспользоваться установочным диском. Если  это возможно, запустите командную строку (для стандартных средств Windows это команда Shift+F10). Теперь выполните следующие действия:

  1. Проверьте состояние зашифрованных дисков командой «manage-bde –status». Если все хорошо, то должна появиться надпись с BitLocker Drive Encryption: Volume X, где вместо Х буква зашифрованного тома. 
  2. Далее разблокируйте диск командой «manage-bde -unlock D: -pw». Вас попросят ввести пароль. 
  3. После успешной дешифровки появится соответствующее окно и можно приступить к восстановлению. 

Если пароль не известен, то можно использовать ключ восстановления, напечатав в командной строке:

repair-bde F: G: -rp 481385-559146-955173-133053-357710-316682-137633-983682 –Force

В этом случае поврежденные данные с диска F будут перекопированы на диск G, при этом последний должен быть по объему больше диска F. Ключ восстановления — это 48-цифровой код, который и печатается в этой команде.

Для flash-ключа формата «.bek», который в данном примере находится на флешке I, используется следующая строка:

repair-bde F: G: -rk I:\3F449834-943D-5677-1596-62C36BA53564.BEK –Force

Перед открытием расшифрованного диска обязательно выполните проверку на ошибки стандартной командой Chkdsk.

Источник: https://club.dns-shop.ru/blog/t-107-jestkie-diski/36971-shifrovanie-jestkogo-diska-v-windows-10-zachem-eto-nujno-i-kak-sd/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.