Статья о программе TrueCrypt. Узнайте, что это за приложение, как им пользоваться, а также есть ли аналоги утилиты для шифрования данных и какие.
Возможности[править | править код]
С помощью TrueCrypt можно создавать зашифрованный виртуальный диск:
- в файле-контейнере, что позволяет легко работать с ним — переносить, копировать (в том числе на внешние устройства как любой другой обычный файл), переименовывать или удалять;
- в виде зашифрованного раздела диска, что делает работу более производительной и удобной, в версии 5.0 появилась возможность шифровать системный раздел;
- путём полного шифрования содержимого устройства, такого как флеш-накопитель USB (дискеты не поддерживаются начиная с версии 7.0).
В список поддерживаемых TrueCrypt 6.2 алгоритмов шифрования входят AES, Serpent и Twofish. Предыдущие версии программы также поддерживали алгоритмы с размером блока 64 бита (Triple DES, Blowfish, CAST5) (включая версии 5.х, которые могли открывать, но не создавать разделы, защищённые этими алгоритмами). Кроме того, возможно использование каскадного шифрования различными шифрами, например AES+Twofish+Serpent.
Все алгоритмы шифрования используют режим XTS, который более надёжен для шифрования «на лету», нежели CBC и LRW, применявшиеся в предыдущих версиях (работа с уже созданными шифроконтейнерами в этих форматах также возможна).
Программа позволяет выбрать одну из трёх хеш-функций: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512 для генерирования ключей шифрования, соли и ключа заголовка.
Для доступа к зашифрованным данным можно применять пароль (ключевую фразу), ключевые файлы (один или несколько) или их комбинации. В качестве ключевых файлов можно использовать любые доступные файлы на локальных, сетевых, съёмных дисках (при этом используются первые 1 048 576 байт) и генерировать свои собственные ключевые файлы.
Одна из примечательных возможностей TrueCrypt — обеспечение двух уровней правдоподобного отрицания наличия зашифрованных данных, необходимого в случае вынужденного открытия пароля пользователем:
- Создание скрытого тома, что позволяет задать второй пароль (и набор ключевых файлов) к обычному тому для доступа к данным, к которым невозможно получить доступ с основным паролем, при этом скрытый том может иметь любую файловую систему и располагается в неиспользованном пространстве основного тома.
- Ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt как с программой, его создавшей, ни в какой форме и рамках).
Другие возможности TrueCrypt:
- Переносимость, что позволяет запускать TrueCrypt без установки в операционной системе (необходимы права группы администраторов в NT).
- Поддержка создания зашифрованного динамического файла на дисках NTFS. Такие тома TrueCrypt увеличиваются в размере по мере накопления новых данных вплоть до указанного максимального размера. Однако это несколько уменьшает производительность и безопасность системы.
- Шифрование системного физического либо логического диска для Windows-систем с предзагрузочной аутентификацией (TrueCrypt не способен выполнять шифрование GPT-дисков, которые установлены в большинстве современных компьютеров, поэтому перед шифрованием их необходимо преобразовать в MBR (master boot record). Такая же функциональность встроена в Windows Vista (не всех редакций), Windows 7 (Корпоративная и Максимальная), Windows Server 2008, Windows 8.1 под именем BitLocker. Однако BitLocker не предлагает функции правдоподобного отрицания и имеет закрытый исходный код, что делает невозможной проверку на наличие уязвимостей или встроенных лазеек для обхода защиты. Своя система шифрования — FileVault — встроена в Mac OS X, начиная с версии 2.0 она умеет шифровать весь диск. Как и BitLocker, FileVault не предлагает функции правдоподобного отрицания и имеет закрытый исходный код, что делает невозможной проверку на наличие уязвимостей или встроенных лазеек для обхода защиты).
- Изменение паролей и ключевых файлов для тома без потери зашифрованных данных.
- Возможность резервного сохранения и восстановления заголовков томов (1024 байта).
- Это может быть использовано для восстановления заголовка повреждённого файла, чтобы монтировать том после ошибки на аппаратном уровне, в результате которой повредился заголовок.
- Восстановление старого заголовка также сбрасывает пароль тома на тот, который действовал для прежнего заголовка.
- Возможность назначать комбинации клавиш для монтирования/размонтирования разделов (в том числе и быстрого размонтирования со стиранием ключа в памяти, закрытием окна и очисткой истории), отображения и скрытия окна (и значка) TrueCrypt.
- Возможность использовать TrueCrypt на компьютере с правами обычного пользователя (в том числе создавать файловые контейнеры и работать с ними), однако первоначальную установку программы должен выполнить администратор.
Установка TrueCrypt
После скачивания по вышеприведенной ссылке архива с файлами программы TrueCrypt получаем файл TrueCrypt.zip. Чтобы открыть этот файл, на компьютере должен быть установлен какой-нибудь архиватор, например, бесплатный архиватор 7-Zip.
Нажимаем на скачанный файл правой кнопкой мыши и в контекстном меню выбираем Распаковать в TrueCrypt, как показано на снимке:Получаем папку TrueCrypt, в которой находится несколько файлов. Для начала установки программы нажимаем на файл (1), как показано на снимке:
В начале установки нужно принять соглашение:
Если Вы устанавливаете программу впервые, то интерфейс установки будет на английском языке. Далее я покажу установку на русском языке (я уже русифицировал программу раньше), так что можете проследить, что означает каждый шаг.
Рассмотрим стандартный случай, когда программа устанавливается прямо в операционную систему в общую папку программных файлов:Показывается, где будет установлен TrueCrypt. Это место можно не менять. А вот значок программы на рабочем столе не обязательно оставлять, чтобы не захламлять рабочий стол лишними ярлыками (далее я покажу, как запускать программу через меню Пуск). Жмем Установить:
Программа установлена! Жмем Ок:
В следующем окне жмем сначала Готово, далее предлагается ознакомиться с Руководством пользователя, но оно на английском языке. Это Руководство на русском языке рассмотрим позже, поэтому жмем Нет:
1
На процессе установки я останавливаться не буду — там всё довольно стандартно. Перейдём сразу к делу. Не стоит пугаться обилия непонятного нам пока интерфейса, просто нажимаем «Create Volume», чтобы создать зашифрованный том.
Главное окно программы
2
В нашем случае создавать зашифрованный файл-контейнер или несистемный раздел жёсткого диска нам не нужно, поэтому, выбираем «Encrypt the system partition or entire system drive», чтобы зашифровать системный жёсткий диск, и нажимаем «Next».
Мастер создания зашифрованного раздела. Шаг первый
3
«TrueCrypt» позволяет дополнительно создать скрытый раздел, который может пригодиться, если вы по каким-либо причинам будете вынуждены сообщить свой пароль злоумышленникам. Процесс создания такой системы довольно заморочен, и в большинстве случаев не нужен, поэтому выбираем «Normal» и жмём «Next».
Выбор типа шифрования системы
Что случилось с TrueCrypt
Помимо того, что разработчики программы сообщили на сайте (о невозможности дальнейшего обеспечения безопасности TrueCrypt и возможных уязвимостях в её коде), о произошедшем известно немного.
Попытка установить новую версию программы (7.2) приводила к появлению сообщения об ошибке. В выскакивающем окне было прописано всё то же предупреждение о небезопасности использования TrueCrypt.
То, что своё решение прекратить развитие проекта создатели cофта объяснили отказом Microsоft от поддержки Windows XP, многим показалось странным. У пользователей даже возникли сомнения в достоверности информации на странице TrueCrypt и в достоверности самой новой версии.
Тем не менее, текст на сайте сопровождался ключом, который создатели программы раньше использовали для подписи других своих сообщений. Всё говорило о том, что это не шутка и не результат взлома или хакерской атаки.
В остальном, пользователям несколько дней оставалось лишь строить догадки. Основных версий, появившихся за 28 и 29 мая, было несколько. Все их достаточно хорошо удалось обозреть одному из пользователей «Хабрахабра».
Многие предполагали, что сайт TrueCrypt был взломан, и ключи безопасности, использовавшиеся создателями программы, оказались скомпрометированы.
Кто-то видел в происходящем вокруг TrueCrypt руку властей или спецслужб, сделавших разработчикам программы какое-то «предложение» или «надавившим» или пригрозившим кому-то из них.
Другие увязывали неожиданное сворачивание проекта с куда более банальными причинами, отмечая, что, возможно, причастным к нему энтузиастам просто надоело заниматься программой, не получая никакой финансовой отдачи.
Наконец, сторонники ещё одной версии предполагали, что создатели софта таким образом хотели продемонстрировать своё недовольство успешной краудфандинговой кампанией, проведённой так называемым Open Crypto Audit Project.
В рамках этого проекта несколькими специалистами по кибербезопасности на сайте IndieGoGo и в виде биткоин-пожертвований было собрано более 70 тысяч долларов на проведение независимого аудита кода TrueCrypt.
Первая часть аудита уже успешно завершилась, и по её итогам никаких уязвимостей выявлено не было. В настоящее время готовится вторая часть проверки.
Эта версия основывалась на том, что разработчики TrueCrypt посчитали себя обделёнными, так как их собственные попытки собрать деньги на поддержку TrueCrypt никогда не приводили к таким внушительным суммам.
6
«TrueCrypt» поддерживает шифрование одновременно нескольких операционных систем. В нашем случае установлена одна операционная система, поэтому выбираем «Single-boot» и жмём «Next».
Выбор количества операционных систем
7
Далее, на выбор предлагаются различные варианты шифрования и хеширования. Если вы во всём этом ничего не смыслите, просто нажмите «Next», по-умолчанию выбраны самые оптимальные параметры. Если же вы — параноик, и вам нужен адовый уровень шифрования, то не забудьте, что расплатой за это будет значительное снижение производительности.
Выбор параметров шифрования
Аудит[править | править код]
В 2013 году начался сбор средств[10] для проведения независимого аудита TrueCrypt, толчком к которому послужила в том числе полученная от бывшего сотрудника АНБ Сноудена информация о намеренном ослаблении спецслужбами средств шифрования. Планировалось, что в ходе проверки будет проведён анализ совместимости лицензии TrueCrypt с другими открытыми лицензиями, будет произведён криптографический анализ и будет разработана технология, позволяющая делать компиляцию исходного кода программы с одинаковым результатом на разных компьютерах[11][12].
На аудит было собрано свыше 60 000 долларов. 14 апреля 2014 года завершился первый этап проверки, критических ошибок обнаружено не было[13][14].
К началу апреля 2015 года аудит был завершён. Он не выявил никаких уязвимостей или серьёзных недостатков в архитектуре приложения и показал, что TrueCrypt является хорошо спроектированной криптографической программой, хоть и не идеальной[15][16][17].
После прекращения разработки TrueCrypt на основе его исходных кодов появилось несколько форков, среди которых стоит отметить проект VeraCrypt, созданный ещё до закрытия TrueCrypt с целью усиления методов защиты ключей шифрования (заменой алгоритма RIPEMD-160 на SHA-512 и SHA-256) и CipherShed (в котором авторы попытались учесть замечания, выявленные в процессе аудита TrueCrypt)[18].
9
Далее, нам предлагается хаотично и долго водить мышкой по экрану, чтобы ещё сильнее запутать возможных хакеров. Подёргали мышку, нажимаем «Next».
Генерирование случайных данных
10
Программа сообщает, что ключи сгенерированы, со спокойной душой нажимаем «Next».
Подтверждение сгенерированных данных
См. также
- Список ПО для шифрования
13
Кроме сохранённого файла образа, для создания загрузочной флешки «TrueCrypt» нам так же понадобятся: дистрибутивы «Bart’s Boot Image Extractor» и «SysLinux». И так, поехали:
-
Вставляем флешку в USB-порт.
-
На диске «C» создаём папку, например «C:tc», копируем в неё наш образ, переименовав его, например, в «tcrd.iso».
-
Из дистрибутива «BBIE» копиуем в эту же папку файл «bbie.exe», а из «SysLinux» — файлы «syslinux.exe» (или «syslinux64.exe») и «memdisk».
-
Запускаем командную строку («cmd.exe») и выполняем:
cd C:tc
bbie.exe tcrd.isoВ нашей папке должен создаться файл «image1.bin». Копируем его на флешку.
-
В командной строке запускаем:
syslinux.exe F:
или
syslinux64.exe F:
для 64-битной операционки, где «F» — это буква флешки. Флешка становится загрузочной и на ней создаётся скрытый системный файл «ldlinux.sys».
-
Копируем на флешку файл «memdisk».
-
Создаём на флешке файл «syslinux.cfg» со следуюшим содержанием:
default memdisk initrd=image1.bin
Если вы всё сделали верно, то загрузочная флешка «TrueCrypt» готова.
P.S.: С некоторыми флешками, это, почему-то не работает. Причину пока выяснить не удалось.
Если подобную процедуру приходится делать регулярно, то можно создать подобный bat-файл и упростить себе жизнь.
@set /p drive=Flash drive:
@if not exist “%drive%” exit
bbie.exe “TrueCrypt Rescue Disk.iso”
move image1.bin %drive%image.bin
syslinux64.exe %drive%
copy memdisk %drive%memdisk
copy syslinux.cfg %drive%syslinux.cfg
copy autorun.inf %drive%autorun.inf
copy autorun.ico %drive%autorun.ico
label %drive% TRUECRYPT
@pause
Если у вас уже есть диск восстановления и пароли совпадают, то создавать его заново не нужно, просто убедитесь он работает.
Ссылки[править | править код]
- Официальный сайт (англ.)
- TrueCrypt (англ.) на сайте SourceForge
- Почти полная копия прежнего сайта (англ.)
- Неофициальная копия сайта (англ.)
- Сайт проекта TCNext (англ.) — который планирует продолжить дело TrueCrypt!
- Страница на Gibson Research Corporation (англ.) — Первоисточник информации по случившемуся инциденту, ответ Дэвида и т. д. И, конечно же, ссылки на все сборки и исходники последней актуальной версии TrueCrypt.
- Репозиторийна сайте GitHub (англ.) — с полным архивом всех версий TrueCrypt, начиная с самой первой (даже когда программа ещё называлась Scramdisk).
- TrueCrypt API – a project to create a programmatic API layer for TrueCrypt
- Open Crypto Audit Project — Проект по независимому аудиту и криптографическому анализу TrueCrypt 7.1a
- Кто создал TrueCrypt?
17
Настройка завершена, но, прежде чем преступить к шифрованию, наш «TrueCrypt» хочет убедиться, что всё работает нормально. После нажатия на «Test» компьютер будет перезагружен, вам нужно будет ввести пароль, и после загрузки системы преступить непосредственно к шифрованию.
Предварительное тестирование
23
Ну, вот и всё, шифрование диска наконец, началось. В данном примере шифруется диск объёмом 640 Гб со скоростью вращения шпинделя 5 400 об/мин на ноутбуке с процессором 2,4 Ггц. Шифрование можно приостановить, нажав кнопку «Defer» и, в случае перезапуска программы, продолжить его, выбрав в главном меню «System / Resume Interrupted Process».
Шифрование