Вопрос к специалистам по шифрованию диска

Discussion in 'Анонимность' started by vlad-repin1990, 8 Mar 2020.

  1. vlad-repin1990

    Joined:
    28 Jul 2018
    Messages:
    64
    Likes Received:
    8
    Reputations:
    0
    Товарищи специалисты скажите пожалуйста есть 5 программ для шифрования диска VeraCrypt не подходит про нее я написал ниже по тексту а на счет остального мне нужна ваша консультация какая прога будет надежнее лично я склоняюсь между Gpg4win и DiskCryptor А что думаете вы

    AxCrypt — это инструмент с открытым исходным кодом для Windows, который поддерживает только 128-битное шифрование AES.

    DiskCryptor — это инструмент с открытым исходным кодом для шифрования, который используется для блокировки разделов диска, а также системных разделов. Поддерживает алгоритмы AES-256, Serpent и Twofish.

    Lacie Private-public — программа с открытым исходным кодом. Поддерживает алгоритм шифрования AES-256.

    Gpg4win — используется для защиты ваших файлов и безопасной передачи ваших писем. Поддерживает все криптографические стандарты, такие как Open PGP и S / MIME (X.509).

    Gpg4win содержит несколько бесплатных программных компонентов:

    GnuPG — Бэкэнд; это фактический инструмент шифрования.
    Kleopatra — диспетчер сертификатов для OpenPGP и X.509 (S / MIME) и общих криптографических диалогов.
    GpgOL — плагин для Microsoft Outlook – поддерживает MS Exchange Server.
    GpgEX — плагин для Microsoft Explorer (шифрование файлов).
    GPA — альтернативный менеджер сертификатов для OpenPGP и X.509 (S / MIME).

    Ответ почему именно не стоит использовать VeraCrypt

    VeraCrypt может использовать следующие алгоритмы шифрования AES, Serpent, Twofish, Camellia, Кузнечик, Магма, а также комбинации этих алгоритмов.В эти алгоритмы входят и российская система шифрования ГОСТ 28147-89 (Магма).

    Используемые криптографические хэш-функции: RIPEMD-160, SHA-256, SHA-512, Стрибог ( ГОСТ Р 34.11-2012) и Whirlpool.

    На мой взгляд алгоритм шифрования Camellia хэш-функция Whirlpool заслуживают отдельного рассмотрения. Crypto++, GnuTLS, PolarSSL и OpenSSL включают в себя поддержку Camellia.
    Whirlpool используют Jacksum ,Crypto++,TrueCrypt,FreeOTFE ,DarkCrypt .
    На сегодняшний день WHIRLPOOL устойчива ко всем видам криптоанализа.

    Все они имеют как сильные ,так и слабые стороны.Все алгоритмы имеют теоретические уязвимости, но в виду слабых аппаратных возможностей VeraCrypt ни разу не был взломан. Все это вы можете прочитать в википедии.
    Но есть вещи которые не описаны в вики и я хочу поподробнее на них остановиться. Это подборка со статей форумов, сайтов и то что смог нарыть в инете.

    А теперь рассмотрим самое интересно это "подводные скалы и рифы" при работе с VeraCrypt.

    А их не мало,поэтому что бы перейти к настройке необходимо их знать как отче наш.
    Правильно отметили наши форумчане:
    1) Ключи VeraCrypt хранятся в открытом виде в памяти и при физическом допуске к компу и при наличии соответствующей тулзы,пароль можно выдернуть.
    Цитата из описания:
    VeraCrypt не может предотвратить кэшированных паролей, ключей шифрования, а также содержимое конфиденциальных файлов , открытых в ОЗУ могут быть не сохранены в незашифрованном виде в файлы дампа памяти. Обратите внимание , что при открытии файла , хранящегося на томе VeraCrypt, например, в текстовом редакторе, то содержимое файла хранится в незашифрованном виде в оперативной памяти (и она может оставаться в незашифрованном виде в памяти до тех пор , пока компьютер не будет выключен).

    2) Hybrid Boot and Shutdown (гибернация ядра при выключении). Файл гибернации.
    По умолчанию в Windows 8-10 используется функция Hybrid Boot and Shutdown (гибернация ядра при выключении). Ее влияние на VeraCrypt:
    - тома VeraCrypt, не размонтированные перед завершением работы ПК, останутся смонтированными после его включения;
    - если между завершением работы ОС и ее повторной загрузкой внести изменения на такие тома (загрузившись в другую ОС) — их файловая система будет повреждена;
    - в частности, если завершить работу ОС со смонтированными томами и сделать ее бэкап, то после восстановления ОС из бэкапа смонтированные тома будут повреждены;
    - если ОС зашифрована и включено монтирование системноизбранных томов при ее загрузке, то после завершения работы (с размонтированием всех томов) и последующего включения ПК эти тома не будут смонтированы.
    Решение: чтобы отказаться от гибернации ядра при завершении работы, следует отключить опцию Быстрого запуска (Fast startup) в разделе Панель управления > Электропитание > Действие кнопок питания
    http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=140&limit=1&m=1#1

    3)Файл подкачки.
    Все эти факты на касаются тех,кто полностью шифрует системный диск. Почему? Тут я думаю никому ничего не надо обьяснять,так как все шифруется.
    И для тех кто шифрует папку или не системный диск "лечится" отключением этих функций в настройках винды.
    Казалось,что все нормально шифруй всю систему и дело в шляпе,ан нет. И тут есть "подводные камни".
    Яркий пример обновление винды! Когда после отключения идет настройка обновленных файлов.

    4) Дефрагментация.Не дефрагментировать файловые системы, в которой хранятся объемы VeraCrypt
    5) Вы не должны хранить файлы-контейнеры VeraCrypt в журнальной файловой системы для предотвращения возможных проблем безопасности , связанных с журнальной файловой системы.
    Для этого:
    Используйте раздел организованный VeraCrypt
    Храните контейнер в файловой системе, не журнальной (например, FAT32).

    6) Цитата:
    - Есть поддержка UEFI BIOS?
    Ответ координатора проекта :
    -GPT и UEFI пока не поддерживаются.VeraCrypt выполняет тесты до начала шифрования системы, с тем, чтобы избежать нарушения системы. Так что, если UEFI включен, VeraCrypt будет просто отказаться от шифрования системы и ничего не произойдет.
    А вот ответ с форума,где это обсуждалось.
    Если вы не знаете, что такое SecureBoot и зачем оно вам нужно — просто отключите эту функцию в UEFI BIOS (см. ниже)

    Перед шифрованием системного раздела (или сразу после него) необходимо зайти в настройки UEFI BIOS (обычно нажатием Del или F2 при запуске компьютера) и отключить SecureBoot. Эта настройка, чаще всего, находится в разделе с названием Boot (впрочем, это зависит от производителя материнской платы). У SecureBoot, обычно, есть всего два состояния: Enabled/Windows UEFI Mode (точное название, опять же, зависит от производителя) и Disabled. Выставляем её в состояние Disabled, сохраняем настройки (обычно, F10) и перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot отключён.

    Снова перезагружаемся, заходим в настройки SecureBoot и ищем пункт, переводящий систему в Setup/Custom Mode. На материнских платах ASUS, например, для этого нужно зайти в настройки ключей SecureBoot (Key Management), выбрать управление PK (PK Management), удалить ключ PK (Delete key), после чего система объявит, что теперь она находится в Setup Mode. Сохраняем настройки, перезагружаемся, заходим в Windows.

    Скачиваем исходные коды VeraCrypt и распаковываем.
    Дальше я исхожу из того, что у нас теперь есть структура папок C:\VeraCrypt-master\src\Boot\EFI\

    Запускаем командную строку с правами администратора, выполняем команды:
    cd "C:\VeraCrypt-master\src\Boot\EFI"
    PowerShell.exe -ExecutionPolicy Bypass -File.\sb_set_siglists.ps1

    Снова перезагружаемся, заходим в настройки UEFI BIOS -> настройки SecureBoot и включаем SecureBoot (там же, где вы её отключали в самом начале). Сохраняем настройки, перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot настроен.

    Некоторые программы после этого могут лишаться способности использовать свои драйверы. На данный момент известно об одной такой программе - CoreTemp. Это баг программы, а не VeraCrypt.
    Вот ссылка на источник http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=0&limit=1&m=1#1
    7) хэш-функция Streebog плохо работает с алгоритмом шифрования "Кузнечик"

    И вот когда мы уже ознакомились с проблемами ,то можно зайти в настройки поставить галочки куда нужно.Меню не очень сложное и понятное.
    Отобразить всё в статье практически невозможно,так как требует громадного обьема. Буду рад если вы допишете еще и те недостатки,которых не выявлено в статье..

    Основные материалы
    https://veracrypt.codeplex.com/documentation
    http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=0
    https://ru.wikipedia.org/wiki/VeraCrypt
    https://habrahabr.ru/company/eset/blog/312990/
    https://xakep.ru/2014/10/14/veracrypt/
    https://github.com/veracrypt/VeraCrypt
    http://lifehacker.com/windows-encryption-showdown-veracrypt-vs-bitlocker-1777855025
    https://securityinabox.org/en/guide/veracrypt/windows/
     
Loading...