Шифрование почты и файлов в GnuPG и TrueCrypt

Установка и подготовка к работе ПО TrueCrypt.

Для начала, нам надо скачать это самое ПО. Доступно оно по ссылке http://www.truecrypt.org/. Вообще, сама софтинка на английском, но можно скачать файл русской локализации, и оно будет на русском. Но я на всякий случай рассмотрю англоязычную версию. На данный момент текущая версия 6.3a. Скачали? Запускайте файл на установку.

Установка TrueCrypt шаг 1
Установка TrueCrypt шаг 1

В этом вот окошке, выбирайте Install. Хотя, если желаете всё на флешке носить — выбирайте Extract, в выданном предупреждении тыкайте Да, и распаковывайте куда-нибудь на флешку. Распаковали? Запускаем. Появится окошко следующего вида:

Установка TrueCrypt шаг 2
Установка TrueCrypt шаг 2

Покамест никаких шифрованных дисков у вас нет, и они, соответственно, не примонтированы. Надо создать. Жмём “Volumes” → “Create new volume”, и пред ваши очи предстанет мастер создания:

Создание тома TrueCrypt шаг 1
Создание тома TrueCrypt шаг 1

Большинству пользователей хватит галочки “Create an encrypted file container”. Жмём Next >

Создание тома TrueCrypt шаг 2
Создание тома TrueCrypt шаг 2

Здесь выбирается тип контейнера. Выбираем “Standart TrueCrypt Volume”, и кстати, если вам вряд ли угрожает терморектальный криптоанализ либо нарко-правовой допрос, то это и будет единственный тип раздела, который вам нужен. Жмите Next >. Пред ваши очи предстанет окно выбора места, где будет храниться файл-контейнер:

Создание тома TrueCrypt шаг 3
Создание тома TrueCrypt шаг 3

Вообще, чтобы ввести в заблуждение всяких Вась, стоит давать менее вызывающее название, и расширение типа mkv – видео из него конечно, не будет воспроизводиться, но в заблуждение всяких дилетантов ввести может — тем хотя бы, что не будет привлекать внимание к себе, если контейнер хранится среди множества фильмов, которые у вас, разумеется, хранятся без всяких на то лицензий :) Жмите Next.

Создание тома TrueCrypt шаг 4
Создание тома TrueCrypt шаг 4

Тут мы выбираем алгоритм, которым будет шифроваться наш файловый контейнер. Крайне рекомендую выбрать каскадный из двух-трёх алгоритмов. Хэш можно оставить по-умолчанию. Жмите Next.

Создание тома TrueCrypt шаг 5
Создание тома TrueCrypt шаг 5

Здесь выбираем размер будущего тома. Для пущей противодилетантской маскировки стоит выбрать размер совпадающий с образами DVD5, DVD9, либо Blue Ray. Хотя фактически — выбирайте столько, сколько планируете на флешку поместить, ибо вряд ли у вас на 2 ГБ пространства влезет 4,5 ГБ образ…

Создание тома TrueCrypt шаг 6
Создание тома TrueCrypt шаг 6

Здесь задаём пароль для доступа к нашему разделу. Разумеется, «123456» — это пароль для примера. Фактически рекомендуются пароли длиной более 20 символов. Например фраза типа «Мама мыла раму мылом хозяйственным, вредным противным», набранная в английской раскладке да ещё с заменой букв «О» на символ «0» — ноль: «Vfvf vskf hfve vsk0v [0pzqcndtyysv? Dhtlysv gh0nbdysv». Использование спецсимволов (№#$%…) весьма приветствуется. Задали? Жмите Next.

Создание тома TrueCrypt шаг 7
Создание тома TrueCrypt шаг 7

Тут выбираем файловую систему для контейнера — если размер оного мал, то стоит выбрать FAT (да и вариантов особо нет)… А вот если счёт идёт на многия гигабайты, то лучше NTFS, ну или FAT32. Некоторое время пошевелите мышкой в пределах окна, чтобы сформировать Random Pool – случайный элемент типа. Стойкость шифра от этого повышается. Только вот не переусердствуйте, не надо полдня дёргать мышку — 20-30 сек. вполне достаточно для практического применения. Пошевелили? Ну жмякайте Format.

Создание тома TrueCrypt шаг 8
Создание тома TrueCrypt шаг 8

Вот и пошло форматирование. Ждите окончания. Когда закончится оно, то выдастся вам такое вот окошко:

Создание тома TrueCrypt шаг 9
Создание тома TrueCrypt шаг 9

И после того, как вы нажмёте Окэй, предложит вам либо продолжить создание тома, либо выйти:

Создание тома TrueCrypt шаг 10
Создание тома TrueCrypt шаг 10

Теперь небольшое отступление. Вот, рекомендуется для наполнения внешнего тома использовать порнографию — дескать, и смысл имеется это скрывать, и вроде как не противозаконно. Короче, упирают великие умы на правдоподобность контента в том томе, который изначально предполагается для сдачи врагу. Но вообще-то, распространение порнографии на территории РФ карается. Об этом забывают. И вообще, что за идиотизм? Вот у людей многих порнуха лежит в открытом виде, они не занимаются её РАСПРОСТРАНЕНИЕМ, а используют исключительно в личных целях. Не, конечно можно хранить и на шифрованном томе… Только вот вопрос зачем.

Намного лучше и законнее использовать информацию, относящуюся к вашей частной жизни — например фотографии семейные, и так далее. Можно некий интим, аля хоум порно. Это у нас не карается, так как подпадает под определение частной жизни, и защищено законами конституции. Нарушить эту неприкосновенность можно только в судебном порядке, и вроде как скрывать эти данные вам есть смысл — вдруг дети будут рыться на жёстком диске? Так вот, надо заранее подготовить подобный контент, и заполнить внешний диск. Вообще, по созданию скрытых дисков я рекомендую вам обратиться по этой ссылке, там всё подробно описано. А для целей статьи сказано достаточно. А пока нажимайте Exit, и переходите в главное окно.

Создание тома TrueCrypt шаг 11
Создание тома TrueCrypt шаг 11

Здесь нас интересует область, выделенная красным. Для начала, выделите в списке букаф — незанятую никаким жёстким диском, я вот выбрал U:. Затем, тыкайте кнопку выделенную зелёным, откроется стандартное окно выбора файла, в нём откройте файл-контейнер, созданный только что. Получится так:

Создание тома TrueCrypt шаг 12
Создание тома TrueCrypt шаг 12

Жмите кнопку Mount, и в появившемся окне вводите пароль. В нашем случае это «123456»:

Создание тома TrueCrypt шаг 13
Создание тома TrueCrypt шаг 13

Жмите OK, и вуаля! Если пароль правильный, то вам покажут вот такое окошко:

Создание тома TrueCrypt шаг 14
Создание тома TrueCrypt шаг 14

А теперь идите в проводник, и там вы найдете новый диск U:. С ним можно работать как с обычным жёстким диском, также как C: и прочее, прочее. Все скопированные данные — будут защищены. После размонтирования (кнопкой Dismount) — этот файл превращается в тот самый сейф. Впрочем, не питайте особых иллюзий — файл-то может быть и сейф, а вот операционная система и разные вирусы позволяют получить ваш супер-пароль в обход лобовой атаки. Потому методика полностью безопасной работы включает в себя массу мер, которые требуется предпринять. Впоследствии у меня в планах есть описать безопасную настройку операционной системы для работы с шифрованными дисками. По крайней мере я постараюсь охватить наиболее типичные ошибки которые ведут к взлому, и как их избежать. Для начала рекомендую вам, если вы умеете — отключить файл подкачки и файл гибернации, плюс запретить ведение списков недавно использованных документов и открытых программ. В идеале же, работать с разделом TrueCrypt с использованием LiveCD — тогда подобные проблемы в известной мере исчезают.
В общем-то вот…

Наверх

Автор

Алекс Разгибалов

Сумасшедший мужчина, неопределённого возраста, наслаждающийся манией преследования. Паталогически недоверчив, эгоистичен, авторитарен. Вторичные диагнозы - программист и поц. Владеет английским языком на уровне около хренового разговорного. Также знаком с некоторыми другими языками. Интересуется всем и вся, за счёт чего в любой области знания являются поверхностными, неглубокими. Характер невыдержанный. Крепость - 55 градусов.

Шифрование почты и файлов в GnuPG и TrueCrypt: 19 комментариев

  1. Очень доступно отписал, спасибо! Поржал над персонажами, малолетним подонком Васей, охотник за криптоключами)) Водправь ссылочку на свой my_public_key.asc, а то чет 404ю выдает.. Еще раз спасибо тебе за GnuPT Portable — очень удобная, я пользовался всякой чушью, либо стандартной убунтовской либо еще чем-нить, а эта очень уж приглянулась, жаль под линь нет ее, ну ниче, мб когда-нить напишут. Кста, посмотрел тут короткометражный мульт КодХантерс, чем-то цепанул он меня..Это трейлер, вот жду полнометражки))Мб и тебе понравится http://www.codehunters.tv/

    1. Данке за багрепорт, поправил :) Кстати под линукс ГнуПТ же вроде есть? Я просто как-то привык, что сначала всё такого вот рода появляется в никсах, а потом портируется на винду :))

      Мультег порадовал)) Чем-то напомнило последнюю фантазию… Особенно улыбнула картина в поезде: когда хрупкая девушка с шуменом и бахом снимала часового с автоматом в руках… :)) Любят же творцы нереалистичную зрелищность… Этим кстати грешит и manhunt — игрушка в смысле, симулятор маньяка :) Ну, или нечто близкое к оному… Мда… Правда игра созданная с нужной долей реализма не пройдёт цензуру))

  2. Но получается, что кто угодно может удалить этот файл (контейнер).
    Есть ли возможность защитить этот файл от удаления ?
    Кстати когда я создал этот файл на диске С, то удалить его не мог
    (выскакивало окно, что файл в system или что то похожее, но вырезав
    его смог переместить на другой диск и уже там удалил).

    1. Да, кто угодно :) Такова цена за сокрытие данных… Вообще, можно поставить ему владельца, тогда оперировать им смогут только админ и конкретный юзер. В принципе — файл-контейнер такой же файл, как скажем фильм, или исо-образ, лежащий на диске, со всеми достоинствами и недостатками. Кстати модель угроз довольно интересная — скажем, данные из контейнера, когда он примонтирован как диск, могут утекать в файл подкачки, в hiberfil.sys, в список последних документов… Т.е. анонимность требует некоторого подхода.

  3. А данные шифруются автоматически, сразу, как только попадают в контейнер со скоростью в зависимости от алгоритма шифрования ?
    Я правильно понял ?

    1. Да, шифрование происходит в поточном режиме. А скорость зависит от носителя — например на жёстком диске она мало отличается от скорости копирования без шифрования. На флешке если контейнер — у меня меньше получается скорость. Скажем, в обычном режиме — 12 мб/с, а с шифрованием на контейнер — 7 — 7,5. Это я про троекратное шифрование говорю. Одним алгоритмом смысла не имеет мучать — он конечно надёжен, но паранойя, паранойя мешает установить один AES :)

  4. Есть ли какое нибудь существенное различие между программами True Crypt и Drive Crypt?
    Можно ли сказать, что платная программа Drive Crypt чем то лучше бесплатной программы True Crypt ?

    1. Ну для начала хотя бы то, что платный софт содержит «черный ход» для любого рода власть имущих. Как правило, для тех, кто правит бал в стране, где софт пытается пройти сертификацию: если производитель отказывается делать подобную лазейку — то сертификацию (и разрешение на продажу) он вряд ли получит. Черный ход должен предоставлять возможность либо 1. Получить доступ к данным без ввода ключей доступа, либо 2. Получить, собственно, сам пароль доступа.

      В TrueCrypt есть гарантия, что любые подобные закладки отсутствуют, так как ПО распространяется совместно с исходными кодами, а сборка — подписана производителем. Здесь, вообще, надо выявить круг тех, от кого вы защищаете информацию. Если от всех и вся, и вам плевать на техподдержку — выбирайте TrueCrypt. Если же от недобросовестных конкурентов, а на власть имущих вам положить — то есть вы собираетесь использовать софт в коммерческих целях — то вам однозначно требуется сертифицированное ПО, ибо если вы предоставляете кому-то услугу на основе такого ПО, то вам требуется только «разрешённое» согласно федеральному закону 149 «о связи».

  5. Что будет происходить со скрытым томом и с его информацией, на отдельном диске (флешке), когда я начну заполнять открытый том до отказа ?
    И что подумает злоумышленник, если увидит, что заявленная емкость флешки не заполняется до конца (если такая функция предусмотрена для сохранения информации в скрытом томе) ?
    Надеюсь смысл вопроса понятен, не смотря на его витиеватость.

    1. ) Вообще, происходить будет вполне логичное — у вас скрытый том затрётся, чтобы не выдавать его наличие. Реально — trueCrypt сам не знает о наличии скрытого тома во внешнем, пока ему об этом не сообщил пользователь.

      Но в TrueCrypt реализована функция «монтировать внешний том в режиме защиты скрытого», т.е. требуется ввести сразу два пароля — от внешнего и от скрытого, и с внешним в этом случае работать можно уже более или менее нормально (правда мои эксперименты показали что, нифига не нормально, а очень даже глючно).

      Впрочем есть там ещё одна засада — это утечки данных при работе в операционной системе. Т.е. том сам — безупречен, он стойко зашифрован и без закладок. А вот ОС может провоцировать утечку данных — начиная от временных файлов при работе специфичного софта (если на томе что-то хранится), и заканчивая утечками областей памяти в файл подкачки. Но это не актуально при шифровании всего диска с операционной системой.

  6. Есть ли в TrueCrypt такие функции как автомонтирование (файла или диска) при запуске системы и мгновенное размонтирование по горячим клавишам в случае неожиданной опасности (много ли разнообразных вариантов) ?

  7. Очень неплохая программа, но видел ли кто-нибудь исходники этого фронтенда? В случае защиты информации, имхо, это критично. Пока юзать не буду

    1. Ну, вообще видели)) Они просто открыты — дело в том, что стоит появиться малейшему подозрению (а тем более, если его подтвердят и документируют) программой резко перестанут пользоваться многие. Оно им просто не надо. Да и услышали бы мы если так. По крайней мере данный софт однозначно надёжнее коммерческих сертифицированных решений.

  8. Дело в том, уважаемый, что на официальном сайте GnuPT есть сырцы только компонентов GnuPT, а никак не самого GnuPT-Portable. Имхо, использование приложения с закрытым исходным кодом для защиты информации — моветон, даже если оно оперирует опенсорсными компонентами. Именно из-за этого я в своё время отказался от использования данной прграммы, а наткнувшись на Вашу статью, решил поинтересоваться, где Вы нашли её исходники. Хотелось бы порекомендовать Вам внимательней читать комментарии, а не отписываться саркастическими ссылками на гугл. Успехов.

    1. Ну вы же нашли сами зато информацию — а это и предполагалось. А кто вам мешает самостоятельно сделать сборку из открытых исходников? Портативная версия ничем не отличается от обычной, кроме путей к файлам ключей и настроек. Согласитесь, помех к этому в общем-то нет, если софтина не использует системно-ориентированные возможности, по типу реестра в винде или путей типа /etc/ прошитых в код… Остальное в принципе поправимо :) К тому же зависит от целей использования — в большинстве случаев абсолютной защиты всё равно не получить, на уровне прикладных задач, и появляется понятие приемлемого уровня защиты. Чтобы переговорить с коллегой, например, совсем не обязательно скрывать тотально всё. Я думаю, что данный способ шифрования подойдёт даже для более специального применения, к примеру, для слива информации каким-нибудь учёным за рубеж, заказчику. Правда за ними то как раз присматривают обычно. И в том и в другом случае, расшифровать данную информацию у начальства, или гэбни — не выйдет. Ключики-то на западе (если они вообще есть, замечу). Потому до определённого уровня применимости — данный софт вполне пригоден к использованию.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Собирать идеально - не обязательно, просто приблизительно соберите картинку (должен быть включен JavaScript).WordPress CAPTCHA