TrueCrypt: šifrovací legenda ve verzi 7

Měl bych dotaz.

TrueCryptem jsem zašifroval systémový HDD (PC a notebook) a od té chvíle mi nefunguje Exchange email v Office 2010. To je na hlavním PC. Na notebooku mám Office 2007 a tam mi taky přestal fungovat Exchange email.

Problém je v tom, že všechno vypadá normálně, ale nefunguje prostě push a tak mi nechodí nové emaily.

Nemáte někdo podobný problém ?

Mám TrueCryptový konejner, který si při nalogování mapuji ve Windows 7 na drive B:

Problém je v tom, že když se mi na počítač přihlásí kdokoliv jiný (přičemž já zůstanu nalogovaný), má přístup k mému šifrovanému disku přes B drive dokud ho nedismountnu. Jde tomu zamezit? Chtěl bych, aby B drive byl viditelný jen pro mě.

Zkuste poradit. Díky.

Sice Truecrypt používám, ale toto jsem nikdy neřešil. Zkuste na disku upravit práva pro čtení jinými uživateli. Sice asi přijdou na to, že disk máte připojený, ale nepřečtou ho.

Na 80% se ale ty práva po odhlášení ztratí. Ztrácela se mi, jenom nevím, jestli to bylo na Linuxu nebo na Windows. Řešil jsem tam sdílení přes SMB a nefungovalo to dvakrát dobře. Navíc jsem sdílení musel zapínat po každém mountování.

A to se odehrávalo na Windows 7. Na XP to může být ještě horší.

>Na 80% se ale ty práva po odhlášení ztratí.

no po odhlaseni se ztrati 100% pokud je zatrzeno patricne nastaveni v truecrypt. ale uzivatel ma patrne na mysli "prepnuti uzivatelu", je tak?

Nebyl jsem si jistý, Windows 7 používám minimálně. Ale ty práva by měly fungovat jak po síti, tak na jednom počítač, ne?

Prává pravděpodobně fungovat budou, ale problém je v tom, že pokud má ten druhý uživatel administrátorská práva, tak si může prává u jakéhokoli disku změnit. Jediné řešení je ten disk vždy odpojit ručně nebo se dá nastavit automatické odpojení po nějaké době nečinnosti.

Pravda, Winodws a jeho administrátorská práva... to mi nedošlo. A to ho používám už pomalu víc, jak Linux.

Takže jedině odpojovat, to je robustní, bezpečné a často se na to zapomene...

nedavno jsem resil mountovani ext3 disku pomoci ExtFS na Windows 7... nakonec jsem to vyresil pres "naplanovane ulohy" (nebo jak se to jmenuje) - bylo tam nekolik udalosti, jako treba: spusteni systemu, zalogovani uzivatele ABC, zalogovani kohokoliv ... atd... mozna bych se podival tam, jestli jsou nejake udalosti na odhlaseni/prepnuti uzivatele a na tyto udalosti nalepil odmountovani oddilu.

ale... je to jen muj dohad :s

Mám v PC jeden HDD a chystám se na jeho šifrování Truecryptem.

Jde tedy o šifrování systémového disku.

Má s tím někdo zkušenosti?

Má někdo zkušenosti s HW podporou šifrování (AES) ?

No ja sifruju Bitlockerem, protoze mam Ultimate verzi a TPM a nemuzu si to vynachvalit, jednoduche a funkcni. Ma to jedinou nevyhodu v tom, ze pokud potrebuju treba externi disk sdilet s XP nebo jinym pocitacem ajinym OS, tak muze byt problem. Coz ovsem neni muj pripad. Ohledne AES a Truecrypt, tam nemas moc co resit, bud mas procesor, ktery to podporuje a nebo ne a podle toho se to da v truecrypt pouzit nebo neda. Zadna veda v tome neni.

Muzu se zeptat, jak na sifrovani Bitlockerem? Mam Win7 Ultimate a premyslim o sifrovani systemoveho disku, ale trochu se toho bojim. Zpomali to PC?

Běžně to používám, na notebooku mám zašifrovaný celý disk. Nemám hardwarovou podporu AES. Moje dvoujádro zvládá šifrovat asi 130 MB/s, rychlost notebookového disku je max 50 MB/s. Měřil jsem rychlost bootování před a po zašifrování a nezměnila se ani o sekundu. S HW podporou by mělo být šifrování 10 krát rychlejší (cca 1-2 GB/s) to už se dá použít i na SSD bez jakéhokoli snížení výkonu. (u SSD je problém s bezpečností kvůli funkci trim)

Díky za odpověď, perfektní!

Máte někdo nějaký nápad, jak vkládat heslo k TrueCryptu nějak jinak než přes klávesnici - opět v případě šifrovaného systémového disku?

nikdy jsem nezkousel jak presne to funguje ale je tam moznost ho nacitat ze souboru.

v době, kdy je systémový disk zašifrován, tak kde je uložen ten soubor ?

ze souboru.. tuším keyfile tomu říkají

muze byt treba na flashce

ok, ale to jsme jen posunuli problém z HDD na flash,

já bych rád tu flashku měl také zašifrovanou

Nejjednodušší je používat normální heslo, při délce 20 znaků je naprosto stejně bezpečné jako nějaký klíč na flashce. Pro normální lidi by mělo stačit i 10 znaků (pokud to nebude slovníkové heslo a použijí se všechny kombinace malá/velká písmena čísla a speciální znaky). Jediná nevýhoda hesla je, že ho může někdo odkoukat, jak ho zadáváte, ale při dostatečné délce, náhodnosti a rychlostí psaní si to stejně nikdo nezapamatuje, jedině, že by si to nahrál na kameru.

Myslím, že největší nebezpečí TrueCryptu je, když má někdo opakovaně přístup k vypnutému počítači. Může změnit ten program, který se ptá před spuštěním windows na heslo tak, aby to heslo někam na disk uložil, a pak, když se útočník vrátí, tak tam na něj heslo bude čekat.

Díky, rozumím. Takže, abych chránil program TrueCrypt, budu ho spouštět z exteni flash a bootovat z externí flash. Ale nemá smysl, abych na klávesnici počítače zadával heslo. Nemá také smysl, abych heslo měl otevřeně na flash. Kde ho teda mám mít?

Heslo bys měl mít v hlavě a nikde jinde. Bootovat můžeš normálně z disku, a jestli jseš opravdu hodně paranoidní, tak Truecrypt vytvoří bootovací CD ze kterého se dá spustit zašifrovaný OS, pravděpodobně se to dá dát i na flashku. Teď jsem si zjistil, že při zašifrování celého disku truecrypt nepodporuje žádné keyfiles, musíš prostě normálně zadat heslo.

Copak to nelze vyřešit? Heslo nemůžu zadávat z klávesnice, může na ní viset keylogger.

TrueCrypt jinou možnost nenabízí.

Myslíš SW nebo HW keylogger? V případě HW -> nosit si vlastní klávesnici. SW by v případě systémového disku musel být někde na úrovni BIOSu (upravený flash? to by bylo zajímavé!) nebo MBR kódu. Asi by to vyžadovalo další kroky proti možnosti neautorizované manipulace s HW... Nicméně myšlenka zajímavá.

No právě že to nejde vyřešit. Ať už na sebe budeš vrstvit kolik chceš bezpečnostních opatření, tak stejně dokážeš vymyslet nějaký scénář, ve kterém se útočník dostane k tvým datům. Nic není v absolutním bezpečí.

Koukni na tenhle článek: 10 Immutable Laws of Security

http://technet.microsoft.com/cs-cz/library/cc722487%28... ...

Pokud se bojíš HW keyloggeru na cizí klávesnici, tak se podívej na YubiKey, který sice v základu generuje OTP, ale dá se přenastavit na pevné heslo vhodné pro TrueCrypt. Cenově dostupné. Vhodné jako doplněk pro heslo, které budeš nosit v hlavě.

http://yubico.com/...

To je sice pravda, ale HW podporu AES mají jenom nové i? procesory od Intelu. Takové Core 2 vám nebude nic platné. Jo a pak ještě Via Nano má podporu AES.

Šifrujete? Předešlé téma na Fóru http://zkracene.cz/ejS0...

= (7-zip, PeaZip, Crypt4Free, Safetica, AxCrypt) = jsou jednodušší

Další alternativy pro slovo "crypt"

http://zkracene.cz/jjIQ... Softpedia

http://zkracene.cz/vQZ2... FileHippo

http://zkracene.cz/pM5G... SourceForge

http://zkracene.cz/z4Ej... GoogleCode

http://zkracene.cz/5gLK... CodePlex

Jak na To - Jednoduše - Přímo funkcí ve Windows

BitLocker ,,, BitLocker To Go

http://zkracene.cz/Uh40...

http://zkracene.cz/32nh...

http://zkracene.cz/NH1z...

http://zkracene.cz/nEEr...

Příspěvek byl 2× upraven, naposled 05. 08. 2010 10:12

Pane Petržálek, doporučuji kouknout na

http://zkracene.cz/s488...

a hlavně na

http://zkracene.cz/YrZHt...

Snad pochopíte, kde je chyba...

pardon, druhé URL je http://zkracene.cz/YrZH...

Zdravím, nezná někdo nějakou aplikaci na lámání hesel pro tento program? Jen bych si chtěl vyzkoušet tu bezpečnost hesla... přeci jen 20 znaků se vším všudy je docela dost ;)

bez hesla proste desifrovat nejde. otazka je jen jak prolomit heslo, moznosti je vice, u 20 znakoveho hesla pokud splnuje dalsi kriteria(ruzne velka pismena, cisla a spec znaky) tak bez superpocitace to bude tak na nekolik stoleti(hruby odhad)

Podle mých výpočtů je to ještě mnohem horší. Pokud pro heslo použiju pouze ASCII znaky od 32 po 127 to je 96 možností na jeden znak. 20 znaků je 4 * 10^39 možností. Superpočítače mají výkon kolem 10^12 operací za sekundu. Předpokládám, že ověření hesla trvá asi 1000 operací. Superpočítač tedy dokáže za 1 sekundu ověřit 10^9 hesel. Útok hrubou silou na heslo dlouhé 20 znaků superpočítačem by trval 1,4 * 10^23 let (stáří vesmíru je 13,8 * 10^9 let). Na heslo dlouhé 10 znaků by útok trval 2000 let, 9 znaků - 22 let a 8 znaků skoro 3 měsíce. Normální počítač je zhruba 1000 krát pomalejší než superpočítač. To co jsem tady napsal ještě neznamená, že se heslo nedá prolomit nějakou chytřejší metodou než útok hrubou silou. Například pokud má útočník opakovaný přístup k zašifrovanému disku může mu práci velmi urychlit analýza změn v zašifrovaných datech.

no jak jsem psal - hruby odhad chtel jsem mu predevsim naznacit, ze pokud z nej nekdo nevymlati heslo (a je jedno jestli kladivem nebo keyloggerem) tak je jeho domaci sbirka porna v bezpeci

tvuj odhad je jeste dost optimisticky. Pocitej, ze skutecny klic se z hesla derivuje 1000 nebo 2000 iteracema hashovaci funkce. Tedy, vsechno bude trvat jeste 1000x dele. Dale, je tu jeste jeden problem, a to ten, ze neni znam sifrovaci ani hashovaci algoritmus. Hlavicka disku je totiz taky sifrovana. TrueCrypt urci sifrovaci/hashovaci algoritmus tak, ze se pokusi desifrovat tuto hlavicku vsemi moznymi kombinacemy sifrovaciho a hashovaciho algoritmu. Tech je zhruba... 6*3... nevim...? Takze, cely odhad bude jeste mnohem, mnohem horsi.

Na beznem PC bys pak mohl byt schopen vyzkouset desitky, mozna stovky hesel za sekundu. Superpocitac na tom nebude na procesoru o moc lepsi. Bude mit jen vyhodu v tom, ze tech procesoru ma mraky.

kedze je to open-source, tak samozrejme algoritmus zjavne znamy bude.

takisto existuje minimalne jeden program specialne urceny na dekryptovanie truecryptom zasifrovanych dat

-> http://www.lostpassword.com/hdd-decryption.htm...

samozrejme pri pouziti dostatocne silneho hesla je brute-force prelomenie sifry casovo extremne narocne

Tak si laskavě ten článek PŘEČTI a zjistíš, že aby to fungovalo, tak musíš mít:

1) Zapnutý a nabootovaný PC s přihlášeným uživatelem

2) Namountované šifrované svazky

3) Plný přístup k FireWire (takže žádné účty s restrikcemi)

--

Když máš tohle všechno, tak ale nemusíš platit 795 USD za takovýhle program k ničemu a rovnou si ty data můžeš zkopírovat nebo vypálit na DVD, která Tě zajímají DDD

Ale asi těžko Ti někdo jenom tak nechá notebook nebo PC s plným přístupem a admin právy jen tak k dispozici To je docela sci-fi DD

Mimchodem tady je ještě článek:

http://www.theregister.co.uk/2010/06/28/brazil_banker_... ...

Pro neangličtináře: Jedná se o to, že Brazilský bankéř podezřelý z finančních podvodů (docela velká ryba) měl šifrovaných TrueCryptem a šifrou AES-256 celkem 5 pevných disků. Ty mu zabavila Brazilská policie a první se je pokusili dešifrovat sami na speciálním oddělení INC (Národní Institut Kriminologie) a za pět měsíců práce neměli ani čárku. Tak poprosili o pomoc FBI z USA a ti se pokoušeli disky lousknout dalších 12 měsíců a vrátili jim je nakonec zpět s tím, že opět nemají ani čárku!

Takže když to nedokáže lousknout brazilský INC ani americká FBI, tak asi těžko bude existovat nějaký "jednoduchý postup z Internetu (nebo snad z facebooku )" či prográmek, který to umí "cracknout" To jsou prostě BLBOSTI a lidi, kteří tomu věří, ani netuší jak vlastně šifrování funguje.

Jediný, kdo to dokáže prolomit je Chuck Norris - podívá se na HDD a on se sám strachy dešifruje!

proc to delali tak slozite? uplne s prehledem by mi na to stacil den, kdyby hodne vzdoroval tak tyden. jednodussi nez lamat nejaky sifry by bylo zlomit bankere. neexistuje clovek ktery by se nedal zlomit :o)

od toho ma TrueCrypt hidden volume. Chvilku se nechas mucit, a kdyz uz to nemuzes vydrzet, reknes heslo k hidden volume. Musis tam mit data, ktera uspokoji utocnika na tolik, aby uveril v jejich dulezitost a nechal te jit.

TrueCrypt ma na viber nekolik algoritmu, ktere jsou sice zname, jenze nikde neni napsano, ktery z nich se pouzil. Takze se musi zkusit vsechny. To same plati u hashovaci funkce pro derivaci klice.