TrueCrypt - надёжное шифроване данных

Опубликовано 11.02.11 / Автор: Артём Вечеров

comments Комментариев 0

Для чего нужно шифровать данные

У всех есть свои скелеты в шкафах. И не уверяйте нас в обратном. И рано или поздно начинают возникать сомнения в надёжности этих шкафов. Модное нынче английское слово "privacy" означает, что каждый имеет право на личное неприкосновенное пространство. Применяя сие понятие к нашим компьютерам, просто необходимо иметь программу, которая позволит нам хранить наши тайны в безопасности даже на домашнем компьютере, независимо от операционной системы. И вы сами понимаете, насколько это бывает важно на рабочих компьютерах.

TrueCrypt — это открытое кроссплатформенное программное обеспечение для шифрования информации. Поддерживаются платформы Windows 7/Vista/XP, Mac OS X и Linux. Файловая система шифруется в полном объёме (шифруются имена файлов, каталогов, содержимое каждого файла, свободное место, мета-данные и т.п.). Информация, находящаяся в зашифрованном разделе, не может быть прочитана (расшифрована) без введения правильного пароля/использования ключевого файла или правильных ключей шифрования. Более того, в заголовке созданного диска отсутствует специфическая сигнатура, характерная для других подобных программ, что не позволяет идентифицировать диск TrueCrypt, поскольку ни одна из его частей не отличается от случайных данных.

Основные функции программы:

Создание виртуального шифрованного диска внутри файла и монтирование его как обычного диска.

Шифрование всего раздела или дискового устройства (например, USB-флешки или жёсткого диска).

Шифрование раздела или дискового устройства, на котором установлена Windows (с предзагрузочной аутентификацией).

Шифрование является автоматическим, происходит в режиме реального времени (на лету) и прозрачно.
Параллельный принцип обработки данных и их «конвейерная» обработка позволяют читать и записывать данные, как будто диск не зашифрован.
На современных процессорах шифрование может быть ускорено аппаратно.

Предоставление двух уровней правдоподобного отрицания, на случай рассекречивания паролей:

Скрытый раздел (стеганография) и скрытая операционная система.
Автоматическое прекращение доступа к данным при перезагрузке или отключении питания.

Временное хранение данных в памяти ОЗУ - TrueCrypt никогда не сохраняет расшифрованные данные на диск.
Алгоритмы шифрования: AES (256-bit key), Serpent (256-bit key), Twofish (256-bit key).

Установка

Идём на страницу загрузки (http://www.truecrypt.org/downloads) и скачиваем версию для своей операционной системы. Последняя стабильная версия на момент написания статьи — 7.0a. Запускаем, соглашаемся с лицензией, устанавливаем.

Работа с Truecrypt

Запускаем программу. Для создания своего зашифрованного тома нажимаем кнопку Create Volume:

Truecrypt

Видим две опции:

Create an encrypted file container (шифрованный том создаётся внутри файла).
Create a volume within a partition/drive (создаётся несистемный том на жёстком диске или внешнем носителе, флешке и т.д. Внимание! — если там содержатся данные, то они будут отформатированы и утрачены!).

Truecrypt

Для новичков рекомундуется первый вариант - создание файла-контейнера. Кроме того, данный файл-контейнер можно будет скопировать и перенести на другой компьютер. Итак, создадим файл-контейнер.

Создание зашифрованного тома

Режим Standard TrueCrypt volume означает, что создаётся обычный том TrueCrypt. Режим Hidden TrueCrypt volume (создание замечательной кубышки с двойным дном!) мы рассмотрим чуть-чуть позже, а пока разберёмся со стандартным.

Кликните кнопку Select File... и выберите имя файла для создаваемого контейнера и его местоположение. Внимание — если вы выберите существующий файл, TrueCrypt его НЕ зашифрует, а удалит исходный файл и заменит его созданным файлом-контейнером. Вы сможете зашифровать существующие файлы позже, путём перемещения их в созданный вами контейнер TrueCrypt.

Truecrypt

Выбираем алгоритм шифрования и хеш-алгоритм.

Truecrypt

Задаём размер контейнера в мегабайтах:

Truecrypt

Затем вводим и подтверждаем пароль к контейнеру (просят использовать не менее 20 символов, с использованием букв в верхнем и нижнем регистре, цифр и спецсимволов). Максимальная длина пароля — 64 символа.

Truecrypt

Можно также задать использование ключевого файла — файла любого типа, уже имеющегося на компьютере (.mp3, .jpg, .avi и т.д., причём TrueCrypt никоим образом не изменит его содержимое), или же файла, сгенерированного самой программой (Generate Random Keyfile). Можно выбирать несколько ключевых файлов (их порядок не имеет значения). Если вы добавите каталог, то все содержащиеся в нём файлы будут использоваться в качестве ключевых. Кликните Add Token Files для выбора файлов, которые будут храниться на токене авторизации или смарт-карте (или для импорта ключевых файлов на токены авторизации или смарт-карты). Предупреждение — если ключевой файл будет утрачен, или же первые его 1024 килобайта будут изменены, открыть тома, защищённые данными ключевыми файлами, станет невозможно!

Truecrypt

Далее выбираем файловую систему, принимая во внимание то, в каких операционных системах вы собираетесь использовать файл-контейнер (например, если вы намереваетесь использовать файл-контейнер как в Linux, так и в Windows — то следует выбирать FAT, а не Linux Ext3). Жмём Format. Готово — TrueCrypt рапортует нам о создании файла-контейнера и тут же предлагает создать следующий. Если вам вполне достаточно одного файла-контейнера — кликаем Exit. Если же нужно ещё — кликаем Next.

Truecrypt

Работа с зашифрованным томом

Чтобы открыть созданный файл-контейнер, запустим программу, и кликнем Select File.

Truecrypt

Выбрав на диске наш файл-контейнер, выбираем для него слот (один из 64-х) и кликаем Mount (примонтировать). Вводим пароль. Теперь наш зашифрованный том примонтирован, и мы можем скопировать туда файлы, которые хотим скрыть. Чтобы постоянно не искать файл-контейнер по папкам через опцию Select File, но и не держать его на виду в корне диска, имеет смысл кликнуть по примонтированному тому правой кнопкой мыши и нажать Add to Favorites. После этого файл-контейнер можно будет выбирать из ниспадающего меню Favorites. Для отмонтирования зашифрованного тома выделяем этот том и кликаем Dismount.

Hidden TrueCrypt volume / Скрытый том TrueCrypt

Итак, как я и обещал выше, рассмотрим создание кубышки с двойным дном. Кубышка — это внешний зашифрованный том, в котором дополнительно размещается скрытый зашифрованный том — своеобразное двойное дно.

Снова выбираем Create Volume — Create an encrypted file container (Создать том - Создать зашифрованный файл-контейнер). В окне Volume Type (Тип тома) выбираем Hidden TrueCrypt volume.

Truecrypt

Проходим процедуру, аналогичную стандартной — выбор имени файла-контейнера, его местоположения, алгоритма шифрования, размера в мегабайтах. Далее начинается самое интересное. Вводим пароль к Outer Volume — это пароль к внешнему зашифрованному тому — самой кубышке, где вы будете хранить якобы секретные документы для отвода глаз, на случай, если пароль к кубышке узнают или вынудят сказать (ваша не в меру любопытная вторая половина или суровый ОБЭП, обстоятельства в жизни бывают разные). Обозначим этот пароль как 'aaaaaa'.

Truecrypt

Форматируем внешний том - Format.

Truecrypt

После данной процедуры внешний том будет создан и примонтирован. Теперь туда нужно скопировать якобы секретные документы — фото с последнего корпоратива, например, или несекретные пустые формы документов.

Truecrypt

Скопировав во внешний том некое количество несекретных файлов, займёмся двойным дном. Кликаем Next.

Truecrypt

Нас просят выбрать размер нашего двойного дна — скрытого тома. Максимальный его размер указывается исходя из общего размера внешнего раздела (кубышки) и скопированных в неё якобы секретных файлов. Всё оставшееся свободное место в кубышке — и есть максимально возможный размер нашего двойного дна.

Truecrypt

Нас снова просят ввести пароль — на сей раз к двойному дну — Hidden Volume Password, обозначим его 'bbbbbb'.

Truecrypt

Затем выбираем его файловую систему. Жмём Format и программа рапортует о создании скрытого раздела.

Truecrypt

Теперь вы можете смело дать пароль от внешнего тома ('aaaaaa') своей второй половине или злому дяде в камуфляже и маске, мол, у нас от вас секретов нет. Когда они его введут, то ничего более компрометирующего, чем ваше фото на горшке в трёхлетнем возрасте или видео танца на столе на последнем корпоративном вечере (смотря что вы туда скопируете), они не увидят. А вот если в то же окно ввести пароль от скрытого тома ('bbbbbb'), то отобразятся реально секретные вещи — интимные фотографии ваших бывших подружек (эх, приятно вспомнить...) и документы по работе, которые никому не стоит показывать.

Важное примечание!

Если вы лишь читаете данные из тома, в котором есть скрытый том, то никакого риска нет. Но если вы (или операционная система) сохраняете данные в этот внешний том, то есть опасность, что содержимое скрытого тома будет повреждено (перезаписано). Чтобы этого избежать, следует скрытый том защитить.

При монтировании внешнего тома, введите пароль к нему, и перед тем, как кликнуть OK, клините Options.

Truecrypt

Установите галочку для опции Protect hidden volume when mounting outer volume (Защищать скрытый том при монтировании внешнего тома) и введите ниже пароль к скрытому тому.

Truecrypt

Появится окно, подтверждающее, что теперь ваш внутренний раздел защищён от случайного повреждения.

Truecrypt

Когда защита скрытого тома включена, при монтировании внешнего тома TrueCrypt скрытый том в действительности больше не монтирует. Он лишь расшифровывает его заголовок (в ОЗУ) и получает информацию о размере скрытого тома (из расшифрованного заголовка). Когда примонтирован внешний том, любая попытка сохранить данные в область, занимаемую скрытым томом, будет отклонена (пока не будет отмонтирован внешний том).