Задание Написать статью по работе с VeraCrypt

Discussion in 'Безопасность и Анонимность' started by GoodGoogle, 1 May 2016.

  1. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Страница проекта: VeraCrypt Home

    Формат статьи - текст и картинки.
    За выполнение задания, вы получите репутацию (от 1 до 5 пунктов).
    Участники предоставившие качественную статью получат +5 пунктов репутации.

    С уважением
     
    #1 GoodGoogle, 1 May 2016
    Last edited: 1 May 2016
  2. Anklav

    Anklav Active Member

    Joined:
    14 Aug 2016
    Messages:
    165
    Likes Received:
    113
    Reputations:
    4
    GoodGoogle достаточно странное задание, учитывая что работа с VeraCrypt мало чем отличается от работы с TrueCrypt. Последний, к слову, имеет достаточно объемное руководство за перевод которого мало кто возьмётся (более сотни страниц) а главное - мало кто его станет изучать полностью. У форка VeraCrypt есть краткий туториал https://veracrypt.codeplex.com/wikipage?title=Beginner's Tutorial
    Фактически речь можно ставить о переводе. Либо о создании максимально сжатой (для широких масс) статьи. Последнее, возможно, имеет смысл.

    Но куда интереснее по-моему было бы раскрыть тему компрометации TrueCrypt, результатов его аудита, случаев взлома хранилищ (если они были), анализа исходников VeraCrypt. Для меня, лично, основной вопрос не в том как работать с этими программами, а стоит ли вообще их устанавливать и скомпрометированы ли они? Кроме того, интересно было бы узнать подробно обо всех отличиях этого форка от TrueCrypt.
     
    Olivia Dunham and Absurd like this.
  3. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Тут требуется описать "оптимальный вариант настроек" при работе с VeraCrypt. Оптимальный в плане безопасности, а не просто стандартной работы. По поводу аудитов и прочего, в данный момент, нет оснований не доверять данному проекту. К тому же, аудиты не панацея и далеко не конечный фактор надежности программы.

    С уважением
     
  4. net_cat

    net_cat New Member

    Joined:
    19 Oct 2016
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
  5. Anklav

    Anklav Active Member

    Joined:
    14 Aug 2016
    Messages:
    165
    Likes Received:
    113
    Reputations:
    4
    Я бы сказал - более чем не гладко. Потому решил пока повременить со статьёй.
    Дело в том, что VeraCrypt развивается силами некоего idrassi - специалиста по ИБ из Парижа (но какого уровня он спец - вопрос открытый). Он имеет свою аудиторскую контору idrix (есть ли там кто-то кроме него неизвестно), судя по сайту не блещущую большими успехами. За пару лет VeraCrypt раздулась по непонятным причинам с 3Мб до 20 с лишним. Причём последний скачок объёма в 2 раза был в последние пару месяцев. Такие необоснованные объемы кода значительно усложняют анализ, при это изменений в функционале практически нет.
    Нет смысла объяснять что факт отустствия анонимности разработчика, да ещё и бизнесмена - даёт отличную возможность давить на него. Подход к обеспечению безопасности у него тоже странный - выдаёт достаточно глупые решения вроде повышения числа итераций шифрования системного раздела в десятки и сотни раз, по сравнению с TrueCrypt, за огромное достижение и выгодное отличие (что, очевидно, не более чем рекламный трюк). Что как бы намекает на попытку завлечь юзера к своему продукту дешёвой рекламой.

    Особенно доставил "аудит". Провела его неизвестная конторка Quarkslab с сайтом, состоящим из одной странички, без каких-либо полезных данный о её деятельности или данных о её участниках, руководстве. Выполнен сайт на скорую руку и в цветовом стиле лого VeraCrypt, что как бы намекает.
    [​IMG]

    Не сложно догадаться что она также расположена в Париже. На сайте не скрывается что Quarkslab является всего-лишь стартапом и у них открыты 2 вакансии (т.е. пока даже не сформирован даже штат). Аудитом сие действие назвать язык не поворачивается, работой над ошибками - куда ни шло.

    Но при этом всём абсурде idrassi поспешил громогласно заявить про проведенный аудит (сам себя проверил?). Так что вопрос доверия VeraCrypt открыт и должен обсуждаться в первую очередь.
     
  6. severa

    severa Banned

    Joined:
    11 May 2011
    Messages:
    33
    Likes Received:
    49
    Reputations:
    0
    А с GPT разделами уже умеет веракрипт работать? или еще нет?
     
  7. capuletti

    capuletti Member

    Joined:
    19 Jun 2015
    Messages:
    66
    Likes Received:
    43
    Reputations:
    1
    Ну на сколько мне известно тру крипт сейчас с кучей уязвимостей, которые в открытом доступе лежат. Его использование тоже совсем не комильфо.
     
  8. Anklav

    Anklav Active Member

    Joined:
    14 Aug 2016
    Messages:
    165
    Likes Received:
    113
    Reputations:
    4
    Да
    Из кучи важны лишь критические. Я слышал об одной. И только для подмонтированных разделов (лол, вдумайтесь в смысл!).
    https://habrahabr.ru/company/pt/blog/268087/
    "Ошибка позволяет сделать скорее не Privilege Escalation, а получить доступ к тому TrueCrypt, смонтированному под другим пользователем, не имея прав администратора. То есть получить контроль над машиной уязвимость не позволяет, но зато обеспечение конфиденциальности явно хромает." Я честно говоря так и не понял что конкретно имеется в виду и как можно похитить информацию. Написано невнятно, и без конретики.
    Если на ПК 2 юзера один может снять инфу с подмонтированного раздела второго? Ну достаточно просто знать о такой уязвимости и всегда размонтировать диск, прежде чем пустить под другой учеткой на ПК кого-то. Вообще если вдуматься - какой смысл юзать трукрипт если вы не размонтируете раздел, прежде чем компом начинает пользоваться кто-то другой??? И это уязвимость?! А если трукриптом зашифрован весь диск её реализация невозможна в принципе!

    Нашёл её некий James Forshaw из Project Zero (Google). Я вот не думаю что разрабы трукрипта назвали бы её критической. Так что ещё разобраться насколько эта уязвимость реально представляет угрозу. В верке её подлатали сразу. Но вера раздулась так сильно что открыт вопрос сколько теперь в ней их? Аудит который она прошла, как я уже написал, вызывает только недоумение!

    С прекращением поддержки у трукрипт проблемы могут всплыть и серьёзнее - я согласен. Честно сказать, уже и не знаю что безопаснее из всех шифровальщиков. Наиболее очевидным решением, в плане безопасности, является DiskCryptor. Хотя по нему я знаю не так много, может и там есть вопросы. Но он считается очевидной заменой трукрипту. Писался украинцем под впечатлением трукрипта и изначально был даже совместим с ним.
    Если стоит задача исключить утечку особо ценных данных - необходимо полное шифрование физического диска, вместе с системным разделом. Это обязательное условие обеспечения сохранности данных. DiskCryptor для этого идеально подходит.
    Сам принцип использования шифровальщика в виде монтируемого раздела на незашифрованном диске безопасноть данных обеспечивает недостаточно. Очень много вариантов утечки файлов и их частей в системный раздел, естественно уже в расшифрованной форме.
     
    #8 Anklav, 21 Oct 2016
    Last edited: 21 Oct 2016
  9. net_cat

    net_cat New Member

    Joined:
    19 Oct 2016
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    Проект DiskCryptor вообще живой? с 2014 года вроде как и не обновлялся. К сожалению, альтернатив VeraCrypt не так уж и много, если рассматривать по критериям
    1. OpenSource,
    2. Windows, Mac, Linux
    3. Независимость разработки. Вот тут кстати вопрос к VeraCrypt, а точно ли там нет скрытых заплаток от француза-разработчика))? А сам сайт с дистрибутивом вообще хостится у Microsoft. Не странно ли ? )
     
    Olivia Dunham likes this.
  10. Anklav

    Anklav Active Member

    Joined:
    14 Aug 2016
    Messages:
    165
    Likes Received:
    113
    Reputations:
    4
    Хватает.
    Последний гвоздь в крышку гроба :D
     
    Olivia Dunham likes this.
  11. lifescore

    lifescore Elder - Старейшина

    Joined:
    27 Aug 2011
    Messages:
    651
    Likes Received:
    511
    Reputations:
    72
    окей, готов накалякать, постить в этот раздел?
     
  12. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Да, в данном разделе.

    С уважением
     
  13. SHP!ON

    SHP!ON Elder - Старейшина

    Joined:
    7 Sep 2005
    Messages:
    15
    Likes Received:
    2
    Reputations:
    0
    Ну ок, и чем тогда пользоваться посоветуете?
     
  14. lifescore

    lifescore Elder - Старейшина

    Joined:
    27 Aug 2011
    Messages:
    651
    Likes Received:
    511
    Reputations:
    72
    Заключительную часть дописываю, завтра-после завтра будет пост, почитаете, выберите для себя нужный продукт)
     
    CyberTro1n likes this.
  15. Anklav

    Anklav Active Member

    Joined:
    14 Aug 2016
    Messages:
    165
    Likes Received:
    113
    Reputations:
    4
    А воз и поныне там...

    Народ а почему никто не рассматривает GnuPG??? У неё есть возможность создавать крипторазделы, монтировать/размонтировать их. Кроме того куча других фич вроде шифровки почты, создания эцп.
    Как-то необоснованно все на неё дружно забили. Как и на PGP.
     
  16. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Задание все еще актуально!
     
  17. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    Наверное по этому.
    Подпись
    Стандарт OpenPGP определяет несколько методов для подписанных цифровой подписью сообщений. Из-за ошибки, допущенной в результате попытки сделать эти методы более эффективными, появилась уязвимость. Это затрагивает только один метод в цифровой подписи сообщений, только для некоторых релизов GnuPG (1.0.2 до 1.2.3), и было меньше чем 1000 таких ключей, перечисленных на ключевых серверах.[3]

    CVE-2016-6313
    Уязвимость (CVE-2016-6313) была найдена специалистами Технологического института Карлсруэ, Феликсом Дёрре и Владимиром Клебановым; баг присутствует во всех версиях GnuPG и Libgcrypt, вышедших до 17 августа 2016 года.

    Суть проблемы: если атакующему удастся извлечь 4620 бит данных из генератора случайных чисел, то последующие 160 бит последовательности он сумеет легко предсказать.

    В заявлении разработчиков отдельно сообщается, что проблема не должна сказываться на безопасности существующих RSA-ключей. Также специалисты считают крайне маловероятным, что кто-то сумеет использовать публичную информацию для предсказания приватных ключей DSA и Elgamal, однако в документе сообщается, что проблему все еще продолжают изучать.

    https://ru.wikipedia.org/wiki/GnuPG
    В VeraCrypt есть много шифрований кстати и тот который используется в GnuPG.
    Запилить можно,но что конкретно нужно? Скинь техзадание в личку. Я посмотрю и скажу смогу или нет.
     
  18. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Благодарю за проявленный интерес. В данный момент требуется написать статью по подробной (тонкой и правильной) настройке самой программы, выбора самых стойких алгоритмов шифрования, ускорение открытия зашифрованных разделов, обзор новых функций (например при работе с UEFI).

    Оформление может быть представлено в свободном формате, для удобства можно использовать скриншоты.

    С уважением
     
  19. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    Попробую за время праздника подобрать материал.
     
    GoodGoogle likes this.
  20. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    https://forum.antichat.ru/threads/veracrypt-plox-ili-xorosh.448576/