VeraCrypt плох или хорош?

Discussion in 'Безопасность и Анонимность' started by Veil, 25 Feb 2017.

  1. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    В этой статье я не буду объяснять как устанавливать VeraCrypt. Я хочу поднять вопрос о элементарной безопасности при работе с Верой. Краткий обзор VeraCrypt.
    Таблица производительности

    [​IMG]

    VeraCrypt может использовать следующие алгоритмы шифрования AES, Serpent, Twofish, Camellia, Кузнечик, Магма, а также комбинации этих алгоритмов.В эти алгоритмы входят и российская система шифрования ГОСТ 28147-89 (Магма).

    Используемые криптографические хэш-функции: RIPEMD-160, SHA-256, SHA-512, Стрибог ( ГОСТ Р 34.11-2012) и Whirlpool.

    На мой взгляд алгоритм шифрования Camellia хэш-функция Whirlpool заслуживают отдельного рассмотрения. Crypto++, GnuTLS, PolarSSL и OpenSSL включают в себя поддержку Camellia.
    Whirlpool используют Jacksum ,Crypto++,TrueCrypt,FreeOTFE ,DarkCrypt .
    На сегодняшний день WHIRLPOOL устойчива ко всем видам криптоанализа.

    Все они имеют как сильные ,так и слабые стороны.Все алгоритмы имеют теоретические уязвимости, но в виду слабых аппаратных возможностей VeraCrypt ни разу не был взломан. Все это вы можете прочитать в википедии.
    Но есть вещи которые не описаны в вики и я хочу поподробнее на них остановиться. Это подборка со статей форумов, сайтов и то что смог нарыть в инете.

    А теперь рассмотрим самое интересно это "подводные скалы и рифы" при работе с VeraCrypt.

    А их не мало,поэтому что бы перейти к настройке необходимо их знать как отче наш.
    Правильно отметили наши форумчане:
    1) Ключи VeraCrypt хранятся в открытом виде в памяти и при физическом допуске к компу и при наличии соответствующей тулзы,пароль можно выдернуть.
    Цитата из описания:
    VeraCrypt не может предотвратить кэшированных паролей, ключей шифрования, а также содержимое конфиденциальных файлов , открытых в ОЗУ могут быть не сохранены в незашифрованном виде в файлы дампа памяти. Обратите внимание , что при открытии файла , хранящегося на томе VeraCrypt, например, в текстовом редакторе, то содержимое файла хранится в незашифрованном виде в оперативной памяти (и она может оставаться в незашифрованном виде в памяти до тех пор , пока компьютер не будет выключен).

    2) Hybrid Boot and Shutdown (гибернация ядра при выключении). Файл гибернации.
    По умолчанию в Windows 8-10 используется функция Hybrid Boot and Shutdown (гибернация ядра при выключении). Ее влияние на VeraCrypt:
    - тома VeraCrypt, не размонтированные перед завершением работы ПК, останутся смонтированными после его включения;
    - если между завершением работы ОС и ее повторной загрузкой внести изменения на такие тома (загрузившись в другую ОС) — их файловая система будет повреждена;
    - в частности, если завершить работу ОС со смонтированными томами и сделать ее бэкап, то после восстановления ОС из бэкапа смонтированные тома будут повреждены;
    - если ОС зашифрована и включено монтирование системноизбранных томов при ее загрузке, то после завершения работы (с размонтированием всех томов) и последующего включения ПК эти тома не будут смонтированы.
    Решение: чтобы отказаться от гибернации ядра при завершении работы, следует отключить опцию Быстрого запуска (Fast startup) в разделе Панель управления > Электропитание > Действие кнопок питания
    http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=140&limit=1&m=1#1

    3)Файл подкачки.
    Все эти факты на касаются тех,кто полностью шифрует системный диск. Почему? Тут я думаю никому ничего не надо обьяснять,так как все шифруется.
    И для тех кто шифрует папку или не системный диск "лечится" отключением этих функций в настройках винды.
    Казалось,что все нормально шифруй всю систему и дело в шляпе,ан нет. И тут есть "подводные камни".
    Яркий пример обновление винды! Когда после отключения идет настройка обновленных файлов.

    4) Дефрагментация.Не дефрагментировать файловые системы, в которой хранятся объемы VeraCrypt
    5) Вы не должны хранить файлы-контейнеры VeraCrypt в журнальной файловой системы для предотвращения возможных проблем безопасности , связанных с журнальной файловой системы.
    Для этого:
    Используйте раздел организованный VeraCrypt
    Храните контейнер в файловой системе, не журнальной (например, FAT32).

    6) Цитата:
    - Есть поддержка UEFI BIOS?
    Ответ координатора проекта :
    -GPT и UEFI пока не поддерживаются.VeraCrypt выполняет тесты до начала шифрования системы, с тем, чтобы избежать нарушения системы. Так что, если UEFI включен, VeraCrypt будет просто отказаться от шифрования системы и ничего не произойдет.
    А вот ответ с форума,где это обсуждалось.
    Если вы не знаете, что такое SecureBoot и зачем оно вам нужно — просто отключите эту функцию в UEFI BIOS (см. ниже)

    Перед шифрованием системного раздела (или сразу после него) необходимо зайти в настройки UEFI BIOS (обычно нажатием Del или F2 при запуске компьютера) и отключить SecureBoot. Эта настройка, чаще всего, находится в разделе с названием Boot (впрочем, это зависит от производителя материнской платы). У SecureBoot, обычно, есть всего два состояния: Enabled/Windows UEFI Mode (точное название, опять же, зависит от производителя) и Disabled. Выставляем её в состояние Disabled, сохраняем настройки (обычно, F10) и перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot отключён.

    Снова перезагружаемся, заходим в настройки SecureBoot и ищем пункт, переводящий систему в Setup/Custom Mode. На материнских платах ASUS, например, для этого нужно зайти в настройки ключей SecureBoot (Key Management), выбрать управление PK (PK Management), удалить ключ PK (Delete key), после чего система объявит, что теперь она находится в Setup Mode. Сохраняем настройки, перезагружаемся, заходим в Windows.

    Скачиваем исходные коды VeraCrypt и распаковываем.
    Дальше я исхожу из того, что у нас теперь есть структура папок C:\VeraCrypt-master\src\Boot\EFI\

    Запускаем командную строку с правами администратора, выполняем команды:
    cd "C:\VeraCrypt-master\src\Boot\EFI"
    PowerShell.exe -ExecutionPolicy Bypass -File.\sb_set_siglists.ps1

    Снова перезагружаемся, заходим в настройки UEFI BIOS -> настройки SecureBoot и включаем SecureBoot (там же, где вы её отключали в самом начале). Сохраняем настройки, перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot настроен.

    Некоторые программы после этого могут лишаться способности использовать свои драйверы. На данный момент известно об одной такой программе - CoreTemp. Это баг программы, а не VeraCrypt.

    Вот ссылка на источник http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=0&limit=1&m=1#1
    7) хэш-функция Streebog плохо работает с алгоритмом шифрования "Кузнечик"

    И вот когда мы уже ознакомились с проблемами ,то можно зайти в настройки поставить галочки куда нужно.Меню не очень сложное и понятное.
    Отобразить всё в статье практически невозможно,так как требует громадного обьема. Буду рад если вы допишете еще и те недостатки,которых не выявлено в статье..

    Основные материалы
    https://veracrypt.codeplex.com/documentation
    http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=0
    https://ru.wikipedia.org/wiki/VeraCrypt
    https://habrahabr.ru/company/eset/blog/312990/
    https://xakep.ru/2014/10/14/veracrypt/
    https://github.com/veracrypt/VeraCrypt
    http://lifehacker.com/windows-encryption-showdown-veracrypt-vs-bitlocker-1777855025
    https://securityinabox.org/en/guide/veracrypt/windows/
     
    #1 Veil, 25 Feb 2017
    Last edited: 25 Feb 2017
    shanton and GoodGoogle like this.
  2. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    Статья получилась не полной,так как концовку я явно смазал.Исправляюсь и дописываю буквально пару строк.

    Лезем в настройки и видим

    [​IMG]

    Ставим галочки туда ,куда вы считаете нужным,в зависимости от желаний и потребностей.
    Жмем дальнейшие настройки. На случай прихода незваных гостей вводим горячую клавишу завершения сеанса.


    [​IMG]

    И радуемся жизни и безопасности.
    Кстати, для того что бы не затирать весь диск 15 проходами CCleaner.Достаточно зашифровать весь диск и отформатировать.Уйдет меньше времени.
     
    CyberTro1n and Triton_Mgn like this.
  3. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
  4. asterics

    asterics New Member

    Joined:
    8 Jul 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    в новой версии исправили ошибки?
     
  5. DrCry1

    DrCry1 Member

    Joined:
    9 Dec 2017
    Messages:
    48
    Likes Received:
    16
    Reputations:
    0
    что можно ожидать от человека который за два года даже окно не исправил есть и другие форки надо же так изуродовать такую культовую программу как TrueCrypt

    [​IMG]
     
    #5 DrCry1, 15 Dec 2017
    Last edited: 15 Dec 2017
  6. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    В криптографии дизайн не главное. Главное - это правильная организация алгоритмов и их высокая надежность.
     
    CyberTro1n and Veil like this.
  7. DrCry1

    DrCry1 Member

    Joined:
    9 Dec 2017
    Messages:
    48
    Likes Received:
    16
    Reputations:
    0
    я сомневаюсь что данный разработчик вообще сможет написать вообще какой либо алогиритм если уж он графическую оболочку не смог нормально сделать за два года форкунул и грухнул концепцию по заказу спецслужб

    оригинальный TrueCrypt это шедевр программирования его проверяли лутьше в мирери спецы и ошибок не нашли
     
  8. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    У нас демократия. Можешь пользоваться TrueCrypt - тебе никто не запрещает. Это дело вкуса.
     
    GoodGoogle likes this.
  9. DarkMist

    DarkMist Elder - Старейшина

    Joined:
    20 Feb 2007
    Messages:
    201
    Likes Received:
    24
    Reputations:
    0
    Насколько я понимаю трукрипт пошабашил....вера еще жива?? какой сейчас софт юзаете??
     
    CyberTro1n likes this.
  10. Deem3n_r

    Deem3n_r New Member

    Joined:
    8 Jun 2019
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    ansible-vault для обычных текстовиков
     
  11. aberkroft

    aberkroft Member

    Joined:
    9 Feb 2020
    Messages:
    43
    Likes Received:
    14
    Reputations:
    3
    Хорош.