Журнал LinuxFormat - перейти на главную

LXF161:Шифрование TrueCrypt при вас

Материал из Linuxformat
Версия от 03:22, 6 октября 2018; Olkol (обсуждение | вклад)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск


Сде­лай­те шиф­ро­ва­ние пор­та­тив­ным с по­мо­щью TrueCrypt

Безо­пас­ность: Шиф­руем дан­ные

Нейл Бот­вик по­ка­жет, как обезо­па­сить ва­ши дан­ные с по­мо­щью TrueCrypt, не­за­ви­си­мо от то­го, на сколь­ких ПК или ОС вы со­би­рае­тесь их ис­поль­зо­вать.

(thumbnail)
Наш эксперт.У Ней­ла Бот­ви­ка по ком­пь­ю­те­ру в ка­ж­дой ком­на­те, но по со­об­ра­же­ни­ям безо­пас­но­сти он ни за что не ска­жет, где на­хо­дит­ся цен­траль­ный сер­вер.

Шиф­ро­ва­ние дан­ных бывает жизненно важ­ным – как для лич­ной жиз­ни, так и для ра­бо­ты. Есть раз­ные воз­мож­но­сти для хра­не­ния шиф­ро­ван­ных дан­ных: так, Ubuntu применя­ет вир­ту­аль­ную фай­ло­вую сис­те­му ecryptfs, вклю­че­нную в яд­ро, для шиф­ро­вания до­маш­них ди­рек­то­рий. Яд­ро так­же вклю­ча­ет dmcrypt для шиф­ро­вания це­лых раз­де­лов – имен­но так я пред­по­чи­таю за­щи­щать свой но­ут­бук от посторонних глаз. Од­на­ко иногда ну­жен бо­лее мо­биль­ный под­ход: иногда важ­ные дан­ные приходится хранить на USB-брел­ке, что­бы смот­реть их на дру­гом ком­пь­ю­те­ре или в дру­гой ОС. Здесь-то и вы­хо­дит на пер­вый план TrueCrypt. TrueCrypt (www.truecrypt.org) – это ин­ст­ру­мент, ко­то­рый шиф­ру­ет все уст­рой­ст­во или соз­да­ет шиф­ро­ван­ный файл, рас­смат­ри­вае­мый как уст­рой­ст­во, где хра­нят­ся фай­лы. Про­грам­ма муль­ти­п­лат­фор­мен­ная, и дан­ные, шиф­ро­ван­ные ею, мож­но про­чи­тать в сис­те­мах Mac или Windows; и в ней име­ют­ся ста­тич­ные пор­та­тив­ные би­нарники, так что вам да­же не нуж­но уста­нав­ли­вать ника­ких про­грамм на ком­пь­ю­тер, в ко­то­ром вы со­би­рае­тесь чи­тать свои фай­лы. Так­же, в от­ли­чие от оп­ций яд­ра, TrueCrypt име­ет GUI, и вам нуж­но ­лишь помнить свой па­роль, что­бы по­лу­чать доступ к сво­им дан­ным.

Соз­дание то­ма

Ус­та­но­вив TrueCrypt обыч­ным для ва­ше­го ди­ст­ри­бу­ти­ва спо­со­бом – прак­ти­че­­ски все ди­ст­ри­бу­ти­вы име­ют этот па­кет в сво­их ре­по­зи­то­ри­ях, так что ис­поль­зуй­те стан­дарт­ный менед­жер па­ке­тов – под­клю­чи­те но­си­тель USB с доста­точ­ным объ­е­мом сво­бод­но­го мес­та, за­пусти­те TrueCrypt и на­жми­те на Create Volume [Соз­дать том]. У вас есть вы­бор: соз­дать том в фай­ле или за­шиф­ро­вать весь диск или раз­дел; на дан­ный мо­мент вы­би­рай­те файл. Это не толь­ко про­ще, но так­же по­зво­лит вам оста­вить ме­сто на но­си­те­ле для неза­шиф­ро­ван­ных фай­лов, что очень важ­но, ес­ли вы хо­ти­те вклю­чить про­грам­му TrueCrypt. Соз­дай­те стан­дарт­ный том и вы­бе­ри­те имя фай­ла. При по­пы­тке ис­поль­зо­вать су­ще­ст­вую­щий файл тот бу­дет пе­ре­за­пи­сан – от­дель­ные фай­лы TrueCrypt не шиф­рует. Ес­ли вы соз­дае­те кон­тейнер на уст­рой­ст­ве, от­фор­ма­ти­ро­ван­ном в FAT, на­при­мер, USB-бре­лке, раз­мер то­ма не дол­жен пре­вы­шать 4 ГБ, по­то­му что FAT не ра­бо­тает с фай­ла­ми та­ко­го раз­ме­ра.

Да­лее вам пред­ло­жат вы­брать при­ме­няе­мый ал­го­ритм шиф­ро­вания; для боль­шин­ст­ва слу­ча­ев пре­крас­но по­дой­дет вы­бор по умол­чанию. По кноп­ке Test можно убе­дить­ся, что вы­бран­ный ва­ми ал­го­ритм под­дер­жи­ва­ет­ся ва­шей сис­те­мой – на­жми­те Test, за­тем Auto-Test All. Кноп­ка Benchmark де­мон­ст­ри­ру­ет про­из­во­ди­тель­ность ал­го­рит­мов. Ес­ли вы на­ме­ре­ны шиф­ро­вать боль­шие фай­лы в мед­лен­ной сис­те­ме, вам, воз­мож­но, сто­ит вы­брать ал­го­ритм побы­ст­рее, но ес­ли вы со­хра­няе­те дан­ные на USB-бре­лок, основ­ным ог­раничи­ваю­щим фак­то­ром бу­дет, ско­рее все­го, ско­рость за­пи­си уст­рой­ст­ва. Ус­та­но­ви­те раз­мер то­ма и вы­бе­ри­те, ис­поль­зо­вать ли па­роль или файл клю­ча; здесь мы вы­бе­рем па­роль. Вы­бе­ри­те фай­ло­вую сис­те­му. Максимальную пор­та­тив­ность обеспечит оп­ци­я FAT; для ис­поль­зо­вания толь­ко в Linux бо­лее ло­гич­ным бу­дет вы­брать од­ну из фай­ло­вых сис­тем ext. На­жми­те Next, дай­те мы­ши по­ра­бо­тать, что­бы сгенери­ро­вать слу­чай­ные дан­ные, ис­поль­зуе­мые для шиф­ро­вания, и на­жми­те Format.

Мон­ти­ро­вание ва­ше­го за­шиф­ро­ван­но­го то­ма так­же дела­ет­ся из GUI. На­жми­те на Select File и вы­бе­ри­те толь­ко что соз­дан­ный файл, за­тем два­ж­ды щелкните по од­но­му из но­ме­ров сло­тов в вер­ху дис­плея. Вам пред­ло­жат вве­сти па­роль, а за­тем на дис­плее ото­бра­зит­ся ин­фор­ма­ция о то­ме, в том чис­ле и точ­ка мон­ти­ро­вания – по умол­чанию это /media/truecryptN, где N – но­мер сло­та. Кноп­ка Options [Па­ра­мет­ры] в окне за­про­са па­ро­ля по­зво­лит из­менить точ­ку мон­ти­ро­вания и дру­гие на­строй­ки. Раз­мон­ти­ро­вание не менее про­сто: вы­бе­ри­те слот и на­жми­те Dismount. Можно сде­лать это и команд­ной стро­кой, вме­сто то­го, что­бы за­гру­жать GUI – на­при­мер, при мон­ти­ровании из скрип­та:

truecrypt /path/to/file

Вам пред­ло­жат вве­сти па­роль и за­тем мон­ти­ро­вать том в пер­вом имею­щем­ся сло­те, ис­поль­зуя точ­ку мон­ти­ро­вания /media/truecryptN. Мо­же­те мон­ти­ро­вать ее где угод­но, ука­зав точ­ку мон­ти­ро­вания в команд­ной стро­ке:

truecrypt /mnt/scratch/lxfcrypt ~/secretstuff

При этом долж­на су­ще­ст­во­вать точ­ка мон­ти­ро­вания. Раз­мон­ти­ро­вание про­из­во­дит­ся до­бав­лением оп­ции -d или --dismount:

truecrypt --dismount /path/to/file

Вы так­же мо­же­те ука­зать па­роль в команд­ной стро­ке с по­мо­щью оп­ции -p или --password:

truecrypt --password “some r3ally 10ng pa55word” /path/to/file

од­на­ко ис­поль­зо­вать в дан­ном слу­чае скрипт – не осо­бен­но ум­ная мысль. Ка­выч­ки нуж­ны, ес­ли па­роль со­дер­жит про­бе­лы или лю­бые дру­гие сим­во­лы, ко­то­рые мо­гут запутать обо­лоч­ку. Из GUI соз­давать то­ма TrueCrypt про­ще, но можно это де­ла­ть и из команд­ной стро­ки – вот при­мер соз­дания то­ма:

truecrypt --text --non-interactive –password=notmyrealone –volume-type=normal --size=1073741824 –encryption=AES --hash=RIPEMD-160 --filesystem=FAT –keyfiles=”” --create somefile

Но нуж­но про­честь до­ку­мен­та­цию, что­бы ра­зо­брать­ся с оп­ция­ми.

Ес­ли вы про­пусти­те ка­кую-ли­бо на­строй­ку, TrueCrypt со­об­щит об этом, что обесце­нива­ет ис­поль­зо­вание команд­ной стро­ки как аль­тер­на­ти­вы (ес­ли толь­ко вы не соз­дае­те том в сис­те­ме без ра­бо­че­го сто­ла). Оп­ция --non-interactive нуж­на, что­бы TrueCrypt перестал про­сить вас ис­поль­зо­вать кла­виа­ту­ру для генера­ции слу­чай­ных дан­ных для шиф­ро­вания; но тогда дан­ные будут менее слу­чай­ны, а зна­чит, менее безо­пас­ны. Вооб­ще-то сто­ит ис­поль­зо­вать GUI для соз­дания то­мов при лю­бом удоб­ном слу­чае. TrueCrypt снаб­жен боль­шим ру­ко­во­дством в фор­ма­те PDF, но там за­тро­нуты толь­ко вер­сии оп­ций команд­ной стро­ки для Windows. Бо­лее под­роб­ную и по­лез­ную ин­фор­ма­цию вы по­лу­чи­те, за­пустив

truecrypt --help

Ис­тин­ной пор­та­тив­но­сти ра­ди, вам нуж­но быть в со­стоянии рас­шиф­ро­вать ва­ши то­ма TrueCrypt, где бы вы ни на­хо­ди­лись. Есть от­дель­ные про­грам­мы для Windows и Linux, доступ­ные на truecrypt.org. Ска­чай­те 32-бит­ные па­ке­ты для Windows и Linux и за­пусти­те ка­ж­дый из них в со­от­вет­ст­вую­щей ОС. Па­кет для Linux нуж­но рас­па­ко­вать до то­го, как вы смо­же­те за­пустить от­ту­да хоть один файл. Мо­же­те за­пустить про­грам­му уста­нов­ки Windows с по­мо­щью Wine, ес­ли у вас нет под ру­кой Windows. В лю­бом слу­чае, вы­бе­ри­те оп­цию Extract. Про­грам­ма уста­нов­ки Windows раз­мес­тит фай­лы в TrueCrypt в те­ку­щей ди­рек­то­рии, а про­грам­ма уста­нов­ки Linux соз­даст tar-ар­хив в /tmp, ко­то­рый вы долж­ны рас­па­ко­вать. Ско­пи­руй­те Windows TrueCrypt.exe и Linux Truecrypt на уст­рой­ст­во, ко­то­рая со­дер­жит ваш том, и мо­же­те за­пускать их непо­сред­ст­вен­но с него, без необ­хо­ди­мо­сти уста­нов­ки.

Прячь­те свои сек­ре­ты

Одним из недостат­ков шиф­ро­ван­ных фай­ло­вых сис­тем яв­ля­ет­ся то, что, скры­вая со­дер­жи­мое фай­ло­вой сис­те­мы, они в то же вре­мя не скры­ва­ют то­го фак­та, что вы что-то пря­че­те. TrueCrypt за­пол­ня­ет но­вое уст­рой­ст­во слу­чай­ны­ми дан­ны­ми, и у него нет под­пи­си в на­ча­ле фай­ла, в от­ли­чие от раз­де­лов dmcrypt; по­это­му раз­дел TrueCrypt вы­гля­дит, как неис­поль­зо­ван­ный раз­дел, за­полнен­ный слу­чай­ны­ми дан­ны­ми, но там нет скры­то­го мно­го­гига­байт­но­го фай­ла, со­дер­жа­ще­го слу­чай­ные дан­ные. Так­же мо­гут возник­нуть си­туа­ции, когда вам при­дет­ся пе­ре­дать ко­му-то клю­чи шиф­ро­вания. В TrueCrypt име­ет­ся воз­мож­ность най­ти об­ход­ной путь – скры­тые то­ма, о ко­то­рых мы го­во­ри­ли ранее.

TrueCrypt соз­да­ет два за­шиф­ро­ван­ных то­ма, один внут­ри дру­го­го. Внешний файл – это стан­дарт­ный том TrueCrypt, где вы мо­же­те со­хра­нять фай­лы, как обыч­но. Внут­ри него на­хо­дит­ся еще один том, ко­то­рый не по­яв­ля­ет­ся ни в од­ном спи­ске ди­рек­то­рии, и ме­сто, за­ня­тое им, ви­дит­ся все­ми стан­дарт­ны­ми ин­ст­ру­мен­та­ми как сво­бод­ное. По ме­ре то­го, как TrueCrypt за­пол­ня­ет лю­бой но­вый том слу­чай­ны­ми дан­ны­ми, тот факт, что все «сво­бод­ное» ме­сто во внешнем про­стран­ст­ве со­дер­жит дан­ные, не яв­ля­ет­ся по­доз­ри­тель­ным. Ка­ж­дый том име­ет свой па­ро­ль; ис­поль­зуй­те па­роль к внешнему то­му – и вы уви­ди­те толь­ко со­дер­жа­щие­ся в нем дан­ные; но ес­ли ис­поль­зо­вать па­роль к скры­то­му то­му, мон­ти­ру­ет­ся имен­но он. Это оз­на­ча­ет, что вы мо­же­те пе­ре­дать па­роль к ва­ше­му скры­то­му то­му, зная, что осталь­ные дан­ные, ко­то­рые вам нуж­но со­хранить в безо­пас­но­сти, спря­та­ны. Име­ет смысл ис­поль­зо­вать для скры­то­го то­ма бо­лее длин­ные и бо­лее безо­пас­ные па­ро­ли, что­бы взлом­щи­ки па­ро­лей сна­ча­ла взло­ма­ли па­роль внешнего то­ма.

Про­цесс соз­да­ния скры­то­го то­ма на­чи­на­ет­ся во мно­гом так же, как и для стан­дарт­но­го то­ма; за­тем вас про­сят ско­пи­ро­вать не­ко­то­рые дан­ные в том пе­ред тем, как бу­дет соз­да­на скры­тая часть. Это – по­вто­ре­ние ша­гов для соз­да­ния стан­дарт­но­го то­ма. Те­перь вы мо­же­те от­крыть лю­бой том, вве­дя па­роль. Од­на­ко, ес­ли вы от­крое­те внеш­ний том и за­пи­ше­те что-то в не­го, вы рис­куе­те по­вре­дить скры­тый том, по­то­му что ин­ст­ру­мен­ты фай­ло­вой сис­те­мы не мо­гут рас­по­знать, где он на­хо­дит­ся. Спра­воч­ник рас­ска­жет, как из­бе­жать по­доб­ной си­туа­ции. |

Персональные инструменты
купить
подписаться
Яндекс.Метрика