TrueCrypt - łatwy sposób na szyfrowanie poufnych danych
36 komentarzy | Kategorie: Narzędzia, Techblog | trackbackTagi: filesystem security system tools truecrypt
Do tej pory pisałem tylko na temat Rubiego. Jednak nie samym Rubym człowiek żyje :). Tym razem chciałbym opisać bardzo fajny program, którego nazwę wymieniłem w tytule. Jest nim TrueCrypt - program dzięki któremu możemy w łatwy sposób szyfrować dane (a co za tym idzie chronić przed dostępem przez niepowołane osoby). Oczywistym jest, że jak każde narzędzie, tak i to można użyć w złym celu np. ukrywając nielegalne oprogramowanie, pliki mp3 czy też filmy divx. Nasze cele mogą być jednak jak najbardziej słuszne. Być może chcemy uniemożliwić dostęp do prywatnych zdjęć (rozbieranych?:)), danych (pliki z hasłami, numerami kont), tajnym projektem (konkurencja) i innych rzeczy. To w jakim celu wykorzystacie ten program pozostawiam Wam i Waszym sumieniom.
Siłą tego programu jest prostota. Stosując się do prostych wskazówek, praktycznie każdy użytkownik komputera jest w stanie w taki sposób ukryć (zaszyfrować) dane, że nawet przy pomocy mega wydajnego komputera nikt nie będzie w stanie ich odszyfrować. Nie pomoże żadne hackowanie, żaden spec, tudzież informatyk (oficjalnie zaprzeczam plotkom jakoby Gorion potrafił złamać zabezpieczenia tego programu...). Dodatkowo program ten działa w przeźroczysty dla nas i systemu sposób (dostępne wersje zarówno na linux jak i windows, ale o tym za chwilę). Poniższy diagram przedstawia sposób działania TrueCrypt.
Po odpowiednim jego zainstalowaniu i przygotowaniu będziemy pracować dokładnie w taki sam sposób jak do tej pory (kopiowanie, usuwanie plików). Przystąpmy zatem do instalacji.
Instalacja
Na stronie domowej programu TrueCrypt znajdujemy zakładkę download. W zależności od systemu operacyjnego, na którym pracujemy, wybieramy wersję dla Windows (przykład będzie opierał się na tym systemie) lub Linux (ściągamy paczkę .deb, .rpm bądź też źródła programu). Gdy piszę ten artykuł, aktualnie dostępna wersja to 4.3a. Jeśli już jesteśmy na stronie downloadu, ściągnijmy od razu wersję spolszczenie programu bądź też inną wersję językową.
Po ściągnięciu plik .zip należy postępować w standardowy sposób: rozpakować, odpalić setup.exe i potwierdzić chęć zainstalowania programu na dysku (domyślne ustawienia są jak najbardziej w porządku). Jeśli ściągnęliśmy wcześniej plik ze spolszczeniem programu to kopiujemy jego zawartość (plik Language.pl.xml) bezpośrednio do katalogu z programem.
Uruchomienie
Zanim uruchomimy program polecam przynajmniej rzucić okiem na tutorial dla początkujących. Postaram się pokrótce pokazać jak korzystać z tego programu, ale tak czy siak nie jestem w stanie pokazać wszystkiego. Ok, uruchommy program. Po uruchomieniu widzimy okno, które większość miejsca zajmuje spis szyfrowanych dysków. A ponieważ jeszcze nie posiadamy takiego dysku spis ten nie zawiera żadnych informacji, prócz kolejnych literek alfabetu. Dlatego kolejnym krokiem będzie utworzenie szyfrowanego dysku.
Tworzymy szyfrowany dysk
Zanim utworzymy szyfrowany dysk muszę wytłumaczyć na jakiej zasadzie działa TrueCrypt. Gdy pracujemy na standardowych systemach plików (fat32, ntfs czy też linuksowe ext2, ext3) każdy plik jest reprezentowany na dysku w postaci kolejnych bajtów. A więc jeśli utworzysz plik "file.txt", wpiszesz do niego "Ala ma kota" to na dysku gdzieś zostanie zapisany taki ciąg bajtów (jest to oczywiście uproszczenie, ale sens jest zachowany). Mówiąc krótko: system operacyjny nie modyfikuje twoich plików. W momencie gdy system operacyjny próbuje odczytać, zmodyfikować bądź zapisać coś do pliku zaczyna działać "magia". Wspomniany wcześniej plik, z zawartością "Ala ma kota", będzie zapisany na dysk z zupełnie innymi danymi, które nikt poza osobą znającą hasło dostępu nie odczyta. Dane te dla osób trzecich będą zupełnie losowe (jeden wielki śmietnik). TrueCrypt daje 2 sposoby na utworzenie takiego szyfrowanego dysku. Pierwszym (najmniej bolesnym) sposobem jest wygospodarowanie odpowiedniej ilości miejsca na jednym z naszym dysków (c, d). Następnie w programie zostanie utworzony specjalny plik we wskazanym miejscu. Plik ten będzie służyć jako miejsce na nową, ale szyfrowaną partycję. Następnie taki plik zostanie podmontowany w systemie jako całkowicie odrębny dysk (np. G) i będziemy z niego korzystać tak jak z normalnego dysku. Jednak wszystkie pliki z tego dysku tak na prawdę będą zapisywane do tego pliku. Innym sposobem jest wydzielenie miejsca na dysku fizycznym i utworzenie całkowicie nowej partycji, która także będzie szyfrowana. O wadach i zaletach porozmawiamy sobie za chwilę. Spróbujmy najpierw utworzyć szyfrowaną partycję.
Pokażę pierwszy sposób, gdyż jest łatwiejszy. Sposób drugi wymaga pewnej wiedzy o dyskach, bez której osoba niewprawiona może narobić sobie tylko kłopotów (dodatkowo nie obyłoby się prawdopodobnie bez pomocy takiego programu jak Partition Magick lub podobnego). Klikamy kolejno (korzystam z angielskiej wersji programu):
- Create Volume
- Create standard TrueCrypt volume. Next.
- Select File... (wybieramy dysk, a potem wpisujemy nazwę pliku w którym będzie trzymana szyfrowana partycja, np. D:\volume). Next.
- Wybór algorytmów szyfrujących i haszujących - o każdym z algorytmów można poczytać klikając linki 'More information about...'. Jeśli nas to nie interesuje możemy zostawić domyślne opcje (AES, RIPEMD-160). Next.
- Określenie rozmiaru partycji. W ten sposób określamy pojemność naszego szyfrowanego dysku. Pamiętajmy, że to przekłada się na wielkość naszego pliku i od samego początku ten plik będzie miał taki rozmiar (nie będzie zmieniać rozmiaru). Pamiętajmy także o ograniczeniu wielkości pliku do 4GB, jeśli system plików partycji na której znajduje się plik szyfrowanej partycji to FAT32. NTFS potrafi obsługiwać pliki do 16TB. Next.
- Ustawienie hasła zabezpieczającego. Dobrze jest przeczytać poradę i użyć mocnego hasła, tj. przynajmniej 20 znaków, zawierającego znaki liter, cyfr i znaków specjalnych (@ # $ itp.). Next.
- Określenie systemu plików na dysku. W zależności od preferencji możemy wybrać FAT bądź NTFS. Next.
- Naciskamy przycisk 'Format' (spokojnie, żadne dane nie zostaną utracone ;)).
Szyfrowany dysk mamy, co dalej?
No tak, dysk jest, ale jeszcze system go nie widzi. Musimy go podmontować, czyli sprawić, że dysk (partycja) będzie widziany dokładnie w taki sam sposób przez system jak pozostałe dyski. W tym celu z listy literek wybieramy jakąś wolną, następnie klikamy 'Select File' i wybieramy wcześniej utworzony plik z partycją. Dalej klikamy 'Mount'. Zostaniemy poproszeni o hasło (podawaliśmy je podczas tworzenia partycji). Po poprawnym wpisaniu hasła powinniśmy mieć w systemie dodatkowy dysk. By odmontować partycję należy ją zaznaczyć i nacisnąć 'Dismount'. W ten sposób musimy postępować za każdym razem gdy chcemy podłączyć dysk (np. po uruchomieniu systemu).
Inne możliwości
Z dodatkowych możliwości pozwolę sobie wymienić: możliwość utworzenia całkowicie odrębnej, szyfrowanej partycji (sprawdzenie tej możliwości pozostawiam Wam), a także możliwość utworzenia tzw. ukrytej partycji. Ta druga opcja jest bardzo ciekawa. Otóż wyobraźmy sobie taką sytuację. Ktoś pod groźbą (np. pobicia) wymusza od nas hasło do szyfrowanego dysku i dostaje do niego pełny dostęp. Tyle wysiłku na nic. Otóż nie do końca. TrueCrypt umożliwia utworzenia tzw. podwójnej partycji (jedna z nich jest ukryta). Polega to mniej więcej na tym, że podczas tworzenia partycji podajemy 2 hasła: jedno do udawanej partycji (fake-owej) i drugie do tej prawdziwej (ukrytej). Podczas montowania partycji podajemy jedno z tych haseł, a to która partycja zostanie podmontowana zdecyduje podane hasło. Nawet jeśli napastnik wie o istnieniu takiej opcji to nie jest w stanie udowodnić, że tą opcję wykorzystaliśmy. Wynika to z faktu, że na dysku są tak na prawdę "śmieci", niezależnie czy jest to wolna przestrzeń czy też zajęta przez pliki.
Podsumowanie
TrueCrypt to świetne narzędzie, a przede wszystkim bardzo proste w użyciu. W zasadzie każdy z nas ma dane, którymi nie chcielibyśmy dzielić się z innymi (np. maile). Warto więc poświęcić trochę czasu na opanowane go i zabezpieczenie takich danych.
Rozumiem, że warto? :D
Szukam właśnie czegoś do szyfrowania danych. Testowałeś ten program? Zastanawiam się, jak jest z szybkością dostepu do danych i użyciem zasobów (proc, pamięć) przy odczycie czy zapisie szyfrowanych danych.
Może wiesz też, co w przypadku awarii systemu. Jak zrobie reinstalkę, to starczy instalacja TrueCrypt i znajomość hasła (pisze o przypadku osobnej szyfrowanej partycji)?
Dobra, to teraz jaka jest biblioteka w Rubym do obslugi tego, bo jestem pewien ze do tego zmierzales, tylko wstydziles sie dopisac :P
…i jak wrażliwe są tak zaszyfrowane partycje na uszkodzenia? Czy to nie jest czasem kolejna z zabawek „zawieszka = żegnajcie, dane”?
Ja swego czasu bawiłem się w szyfrowanie partycji przez CryptoLoop, ale znudziło mi się wpisywanie hasła ( ;. A jak już ktoś ma coś znaleźć — i tak to znajdzie… chyba że przy każdym odejściu od komputera odmontowujesz owe szyfrowane partycje, kilkakrotnie czyścisz RAM i swap (żeby przypadkiem gdzieś tam hasło nie zostało).
Wymaga praw admina…Btw. Czy ktos zna cos co tego nie wymaga (kafejki i te sprawy)?
Pewnie coś na FUSE by się znalazło. Tylko że w kafejce to ani FUSE nie będzie, ani Linuksa ( ;.
No wlasnie lepiej, aby pod win. to bylo. Szukalem ostatnio ale ciezko cos z tym.
Tylko z drugiej strony… w kawiarence zawsze możesz keyloggera trafić ( ;.
Ja używam tego na linuksie. Podejrzewam że tak jak Peres mówił, jakiś błąd na dysku i bye bye dane. A używam tego jako że jestem student polibudy i mieszkam w akademiku… tyko czekać jak policja mnie odwiedzi ;)
MG: az taki paranoiczny nie jestem. Bardziej chodzi o to, ze jak zgubie to albo haslo albo format :-PSiergiej: gdzies czytalem, ze jak cos ma sie na haslo i POlicja odwiedza to musisz im haslo tez dac. bla bla bla :-)@Barthalion oczywiście, że tak :)
@Clou, co do wydajności to przy tworzeniu partycji jest taki przycisk ‘Benchmark’, dzięki czmeu można przetestować szybkość szyfrowania/deszyfrowania danych w pamięci RAM (a więc badasz szybkość algorytmów, a nie Twojego dysku). U mnie mam wyniki od około 10MB/s do 40MB/s. Oto wyniki na moim komputerze:
Chyba są wystarczające? (pamiętajmy, że stosowane są silne algorytmy, niektóre z nich używane są przez rząd USA).
Co do awarii systemu, to zachowanie będzie takie samo jak przy zwykłym dysku. Reinstalacja systemu także nie ma znaczenia (no chyba, że system zrobi Ci format tego dysku to nie spodziewaj się miłej niespodzianki;)). Tak, wystarczy znajomość hasła i instalacja TrueCrypt.
@ajgon, nie ma tu żadnego podstępu :P.
@Michał Górny, awaria ma takie same skutki jak przy każdym innym systemie plików.
@majkolaj, na tę okazję jest właśnie ‘hidden volume’ (ukryta partycja). Masz 2 hasła, jedno do udawanej partycji, drugie do prawdziwej. Nikt nie jest w stanie udowodnić Ci, że masz 2 partycje (doczytajcie szczegóły w dokumentacji TrueCrypt:)).
Jeszcze odnośnie jakiegoś błędu, utraty danych itp. Można zminimalizować ten fakt, poprzez robienie backupu nagłówka partycji (jest do tego osobna opcja w programie).
Zawsze mozesz powiedziec ze zapomniales hasla – zgodnie z zasada domniemania niewinnosci, musza Ci udowodnic ze jest inaczej ;]
No tak też można. Ale przy ukrytej partycji podajesz hasło do tej fejkowej (po podmontowaniu na to hasło widać jakieś pliki, które wcześniej skopiowaliśmy, reszta dysku jest pusta) i po kłopocie.
@radarek, to jeszcze jak uzywac jak nie jest sie adminem i praca obroniona ;-). A propo drugiej partycji: Rozumiem, ze nawet w jakims oknie ze statystykami w TC nie widac, ze sa dwie partycje na tym napedzie?
<upierdliwiec mode off> :-P
@majkolaj, rozumiem, że pytasz o linuksa? Nie testowałem tego programu pod tym systemem, ale zapewne bez uprawnień roota się nie obędzie. Ew. musisz mieć uprawnienia do montowania partycji, ale niestety nie wiem. Pod windowsem wystarczy, że administrator zainstaluje TrueCrypt, potem każdy może go normalnie używać.
Co do drugiego pytania: tak, widać tylko i wyłącznie 1 partycję :).
o windowsa:-P. I sa sytuacje kiedy admin nie moze/nie chce instalowac…
No to chyba musisz mieć uprawnienia do instalacji softu. Trzeba by sprawdzić. Ktoś chętny?:)
majkolaj: nie musisz dać hasła. Jest takie magiczne słowo ,,nie pamiętam’‘. Tylko nie możesz się wkopać mówiąc coś więcej. Mówisz TYLKO ,,nie pamiętam’‘. Żadne ,,dawno nie korzystałem’‘ bo być może umieją udowodnić, że korzystałeś niedawno. Mówisz magiczne ,,nie pamiętam hasła’‘ i nie są w stanie udowodnić, że pamiętasz.
Inna sprawa, że zawsze mnie dziwili akademikowcy który koniecznie chcą być ekstremalnie nielegalni…
Tak, jestem studentem, tak, mieszkam w akademiku. I nie uważam by studenci (lub jak to nazwałeś „akademikowcy” :)) odróżniali się jakoś od innych ludzi pod względem legalności oprogramowania. Tylko proszę mi tu nie wywoływać wojny z cyklu „nie pochlebiam używania pirackiego softu” :P. Niech każdy odpowiada sam za siebie…
Myślę jednak że studenci się odróżniają. A akademikowcy odróżniają się jeszcze bardziej.
To już jest choroba, co robią niektórzy. Z przerażeniem patrzyłem w czasach studiów na ludzi, którzy zbierali nielegalne oprogramowanie jak żebracy rzeczy ze śmietnika. Wszystkie najnowsze wersje wszystkiego co kiedykolwiek się objawiło. Olać że ani razu nie użyte… Ważne, że jest, jest, jest..
Wiesz, to może wynikać z faktu, że nie ma net jest za darmo, ewentualnie za małą lub jednorazową (u mnie tak jest) opłatą. Dodatkowo net na akademikach przeważnie jest bardzo szybki (transfery po kilkaset kB/s, a nawet czasem liczony w MB/s). To sprawia, że czasem ludzie nie zastanawiają się co ściągają. Jak masz przykładowo limity na transfer to już sobie na to nie możesz pozwolić. Ale tak czy siak to o czym mówisz to margines. Pozostali to typowi użytkownicy komputera.
Odnośnie tych kwestii prawnych – mówię „nie wiem”|„nie pamiętam”|„nie znam” i nie są w stanie mi niczego udowodnić, niczego. A puki co posiadanie zaszyfrowanej partycji nie jest nielegalne, więc nie mają prawa zrobić Ci cokolwiek.
W kwestii linuksa to potrzebujesz uprawnień do montowania i przy montowaniu truecrypt pyta o hasło roota lub hasło usera.
Nieee… Nie wolno rzeczy sprawdzalnych. Nie wolno ,,nie znam’‘ albo ,,nie wiem’‘ bo udowodnią że znasz i wiesz. Mówisz tylko ,,nie pamiętam’‘. Jak udowodnią że wiesz, to masz że kłamałeś, jeśli mówiłeś że nie wiesz. A jak udowodnią że wiesz, jak mówiłeś ,,nie pamiętam’‘ to po prostu sobie przypomniałeś.
No to teraz pytanie: czy ktoś jest w stanie udowodnić, że jednak pamiętasz? Rozumiem, że do tego dążysz, że tego udowodnić się nie da?
No właśnie się da udowodnić, że coś wiesz czasami. Więc jak mówiłeś wcześniej, że nie wiesz —> kłamałeś. A jeśli mówiłeś ,,nie pamiętam’‘, to w końcu zawsze mogłeś sobie przypomnieć.
No dobrze, ale Ty nie mówisz, że nie wiesz. Bo wiedziałeś to kiedyś, ale zupełnie zapomniałeś. No to nie ma siły, żeby Ci kazali sobie coś przypomnieć, bo nie jest to zależne tylko od Ciebie (twoja słaba pamięć itp). Musiałoby istnieć urządzenie czytające w myślach, a z tego co wiem takowego jeszcze nie ma :P.
Panowie. Sytuacja jest taka: Wszystko co nielegalne mam na partycji zaszyfrowanej. Nie da się udowodnić że jest to partycja zaszyfrowana(truecrypt to gwarantuje). Czyli nie ma żadnego powodu by postawić mi jakiekolwiek zarzuty. Domniemanie niewinności.
Oskarżony ma prawo odmówić zeznań jeśli mogły by pogrążyć jego lub jego rodzinę. Tak samo jest również w tym przypadku.
Tak jest napisane (nie dosłownie) w dziale prawnym CHIPa (06/2007 str. 137).
Ważne info: polecam wyłączyć System Volume Restore dla dysku na którym macie pliki z partycjami jeżeli macie WinXP.
Ja odpaliłem jeden plik 60G na partycji 140G i mi system zabiło. Po restarcie nie dało się odpalić nawet go w trybie awaryjnym. CHKDSK szedł ponad godzinę, jak skończył uruchomił się system i na szczęście wpadło mi do głowy wyłączenie SVR (przeglądałem ich forum i była wzmianka o tym ale przy okazji innego wątku). Teraz chodzi OK.
Ja zawsze wyłączam SVR zaraz po instalce windozy. Zawsze uważałem że to marnowanie miejsca na partycji ;). Ale dobrze wiedzieć, że z dużymi plikami sobie nie radzi. Dzięki za info.
fajny artykuł – przezorny zawsze ubezpieczony tak więc lepiej mieć tak wrazie co zaszyfrowane dane – chociaż te najbardziej istotne :)
Pewnego dnia postanowiłem zaszyfrować jedną z dwoch partycji na dysku. Udało się wszystko było ok. Po restarcie systemu (system miałem na zupełnie innym dysku) gdy wpisalem haslo w TC nagle wyskoczyło: błędne hasło lub „cos tam…” byłem w szoku. Co wiecej gdy chciałem wejsc do partycji niezaszyfrowanej pokazało mi że: „dysk jest niesformatowany. System windows musi sformatowac partycję” – tą niezaszyftowaną!!! (Zaszyfrowanej wogole nie bylo widac, nawet w TC…)
W koncu doczytalem sie gdzies ze przyczyna mogl byc antyvir – NOD32, ktory cos spie***ł...!
Odzyskalem czesc danych za 50 zeta, ale odradzam łączenia tego programu chocby z Nodem i partycji NTFS...
POZDRO
mam problem i proszę cię o pomoc, a więc sprawa wygląda tak że mam na kompie pewne rzeczy i nie chce żeby ktokolwiek je ruszał (zwłaszcza tata który od nie dawna się tym interesuje i grzebie we wszystkich plikach), tak że mam już ściągnięty ten program i spolszczenie ale w nijak sposób nie mogę zrobić tak żeby było po polsku, w „language” w programie jest polski ale jak dam ok to wyskakuje jakiś komunikat i dalej jest po angielsku, błagam pomóż miii,
@zdesperowana: odezwij się do mnie na jabbera, albo maila (zakładka „Kontakt”) to spróbuję Ci pomóc.
swietny przewodnik, jano i przejrzyscie, polecam dla braku watpliwosci i ułatwienia sprawy spolszczenie wrzucic po przerobieniu tutorialu;p
Wielkie dziękczynienie wobec autora , a nawet komentarzy z ktorych niemalo sie mozna bylo dowiedziec cieawego
Pozdrawiam:)
Ja się tylko zastanawiam jak zapamiętać, że dana partycja jest fejk i że jest jeszcze druga. Jak zrobi się wiele partycji, szczególnie z opcją hidden to się ich nie pamięta a przecież nie zapiszę sobie na pulpicie w pliku txt "Ala ma kota i ma hidden" haha. Tak czy siak program dobry. Byleby haseł nie zapomnieć.
Co do formatowania- mi na viście też kazal formatować partycję hidden i też mam NODa, ale nie wydaje mi się, że to w nim przyczyna. Poza tym są programy, które pokazują ostatnio wpisywane słowa i hasło ma się wtedy jak na dłoni- szczególnie łatwe na komputerze używanym przez kilka osób. Jedynie hasła jednorazowe + truecrypt dałyby jako tako naprawdę ochronę danych :)