Часовой пояс: UTC + 3 часа




Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 62 • Страница 1 из 41  2  3  4  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 

Member
Статус: Не в сети
Регистрация: 04.03.2005
Откуда: Планета Солярис
Есть ноутбук.
На нем два винта - SSD и HDD.
Хочу закодировать их через TrueCrypt.

Обьясните пожалуйста на пальцах, как эта вещь работает? Как правильно все сделать дабы не пострадала информация и не потерялись никакие данные?

Цель - скрыть от посторонних глаз то что находится на винтах.

Т.е. что бы до загрузки винды был какой то пароль, а в случае извлечение жестких дисков и ноута - их содержимое невозможно было прочитать.

Мне посоветовали TrueCrypt. Скачал, начал пробовать, но потом решил запостить сюда, дабы не упороть ничего. Информация для меня очень важна.


Спасибо за внимание и советы. :beer:



Партнер
 

Member
Статус: Не в сети
Регистрация: 06.07.2012
Я слышал, что TrueCrypt по надёжности сильно уступает BitLocker и это ни как не связано с дампом памяти и длинной бит. п.с. Что собираетесь скрывать? Есть неплохое решение в недорогой коробочки ZM-VE400 (и значительно дорогой, и значительно надёжной - Lenovo ThinkPad Secure Hard Drive), как минимум получите независимое от ПК - аппаратное AES 256bit + ваш TrueCrypt - двойная защита лучше, чем одинарная.
У первой есть ещё замечательная вешь Write Protect - что бы на диск нельзя было сделать запись, изменения, удаления -защищает от проникновения вредного ПО; эту функцию можно включать и отключать. Почитайте обзоры.
Ну а вторая хороша тем, что после ввода неправильного пароля - автоматически уничтожается криптоключ, по-моему после 50-ой попытки а пред-этим тоже создаёт сложности после 5-ой вроде требует переподключения (кстати VE400 тоже самое делает); а ещё там есть не только 0-9 (как у VE400) но и a-z / A-Z разница в цене конечно значительная. Вы же не думаете, что за надёжность данные можно обойтись только бесплатным ПО, к которому кстати у владельца этого ПО, наверняка есть "чёрный вход" - бэкдор.
Есть ещё "ложное шифрование". Двойное шифрование можно оставить и создать скрытую зону внутри самой таблице, (создавать я не умею, но слышал о таком методе). S.M.A.R.T, если прошивка диска не изменена, то легко можно определить размер диска и смысла создавать скрытую зону - нет, даже если поменять на самом диске этикетку - например отклеить от 1.5Тб и на её место приклеить от 1ТБ, что бы затерять некоторый объём, поэтому это нужно сделать после всего, если сможете остальное. Более ёмкий диск, сделать визуально и технически более НЕёмким, что бы Вы сами не смогли определить его размер, без определённых знаний и тонкостей прошивки смарта, которые известны только Вам. Разбор механики может показать, что за диск внутри, по этому его нужно аккуратно доработать из нутри, но это уже другой уровень - в комнате не должно быть одной пылинки на кв. метр. И всё равно, спецы вынут из диска пластины и будут их инициализировать на спец. оборудовании, свяжутся с производителем и отправят им а те скажут их объём. Потом Вас будут долго пытать и мучать рассказать, что там прячите, затем люди из ANB собирут всё в обратной последовательности, если всё пройдёт идеально, то данные будут извлечены на 100% и переданы в архив ЦРУ Но с каким трудом :?: а потому вероятность, что этим реально кто-то займётся - равняется 0%

_________________
Смотри-ка какой усатый


 

Member
Статус: Не в сети
Регистрация: 04.03.2005
Откуда: Планета Солярис
Pavel12

Нет, конечно же скрывать ничего серьезного я не собираюсь, но допустим зарыть все свои данные на двух жестких дисках на ноуте - хотелось бы.
Т.е. еду я скажем, на отпуск, с ноутом. ( я могу его потерять, у меня его могут украсть, отнять) - что бы в этом случае - ни "пяди родной земли врагу", что бы диски в мусорку полетели.


 

Member
Статус: Не в сети
Регистрация: 06.07.2012
Индульгатор писал(а):
Pavel12
Нет, конечно же скрывать ничего серьезного я не собираюсь, но допустим зарыть все свои данные на двух жестких дисках на ноуте - хотелось бы.
Т.е. еду я скажем, на отпуск, с ноутом. ( я могу его потерять, у меня его могут украсть, отнять) - что бы в этом случае - ни "пяди родной земли врагу", что бы диски в мусорку полетели.

Ну тогда Вам наверное сюда: Панель управления\Учетные записи пользователей и семейная безопасность\Учетные записи пользователей
Ставить пароль и как бы всё. Вроде как надёжно, но больно уж подозрительно просто делается. Ну можно ещё поставить пароль на Bios а батарейку на материнке залить супер клеем, что бы никто её не вынул. Я серьёзно :-( В любом случае, если диск достанут, то начнут шаманить и если он не будет зашифрован, то с него достанут информацию.

Виндовс 7 Корпоративная и Максимальная 64 версия умеет делать шифрованную файловую систему EFS - самую сильную защиту.
К примеру:
64 бита: 18446744073709551616
128 бит: 340282366920938463463374607431768211456 Вот где-то тут...
256 бит: 115792089237316195423570985008687907853269984665640564039457584007913129639936

Вот как надо, если надёжно.
1. Запаять корпус, на материнке залить смолой батарейку, оперативку, интерфейс жёсткого диска и все шлейфы.
2. Поставить пароль на Bios, поставить пароль на учётную записть пользователя.
3. Диск заBitLocker'ить. Затем в свойствах зашифровать содержимое (на усмотрение), что бы названия файлов стали зелёного цвета, взамен чёрным, что бы их нельзя было угнать.
4. Поставить CCleaner и настроить очищение корзины - Гутман 35 проходов перезаписи, что бы нельзя было ничего восстановить, кроме как названия ZZZZZZ в 0 байт.
5. Убрать все возможности всякой связи: инет, вай-фай, блю-тус, короче полное отрубание от внешнего мира...
6. И последний штрих: зайти в "Все программы" - "Стандартные" найти "Выполнить" и создать ярлык на раб. столе, туда прописать команду shutdown -s -f -t 50000, где цифры означают время в секундах, после чего операционная система закончит работу и обесточит PC, на случай, если во время работы Вы по каким-то обстоятельствам не сможете в нужный момент его выключить сами. За десять минут до истечения времени появится меню с предупреждением об выключении PC, на отмену вводить команду shutdown -a Я называю эту команду как "Мёртвая рука" или "Кнопка мертвеца".

_________________
Смотри-ка какой усатый


 

Member
Статус: Не в сети
Регистрация: 04.03.2005
Откуда: Планета Солярис
Pavel12 писал(а):
Ну тогда Вам наверное сюда: Панель управления\Учетные записи пользователей и семейная безопасность\Учетные записи пользователей
Ставить пароль и как бы всё. Вроде как надёжно, но больно уж подозрительно просто делается. Ну можно ещё


Встроеный в винду пароль дизейблиться одним взмахом руки. Есть проги, в атозапуск ее, она анализирует диск, находит учетку, и ресетит ей пароль. Все. Заходи кто хочешь.

Плюс. Диск достал - и переписывай ЧТО хочешь вобще. Это не приемлемо.

Можно заблокировать из биоса ноутбука, и поставить пароль как на старт ноута, так и на винт - т.е. он будет общий. Но тогда если бук сдохнет, то придется перепрошивать флешу винта, потому как он не запустится на другом буке. (т.е. он будет работать только с этим буком)

Далее...

Pavel12 писал(а):
поставить пароль на Bios а батарейку на материнке залить супер клеем, что бы никто её не вынул. Я серьёзно В любом случае, если диск достанут, то начнут шаманить и если он не будет зашифрован, то с него достанут информацию.


Заливка батарейки ничего не дает в ноутбуках. У них защита на сброс биоса. Т.е. такие данные как ДАТА, сбросятся от вынятой батарейки, но если есть пароль на винт и на систему, то сброс батарейки ничего не даст. НО. Опять же. Можно найти сервисные пароли, которые работают для каждой серии буков, и зайти в любой запароленый биос. Сервисные пароли есть у офф. сервисных центров.

Pavel12 писал(а):
Вот как надо, если надёжно.
1. Запаять корпус, на материнке залить смолой батарейку, оперативку, интерфейс жёсткого диска и все шлейфы.
2. Поставить пароль на Bios, поставить пароль на учётную записть пользователя.
3. Диск заBitLocker'ить. Затем в свойствах зашифровать содержимое (на усмотрение), что бы названия файлов стали зелёного цвета, взамен чёрным, что бы их нельзя было угнать.
4. Поставить CCleaner и настроить очищение корзины - Гутман 35 проходов перезаписи, что бы нельзя было ничего восстановить, кроме как названия ZZZZZZ в 0 байт.
5. Убрать все возможности всякой связи: инет, вай-фай, блю-тус, короче полное отрубание от внешнего мира...
6. И последний штрих: зайти в "Все программы" - "Стандартные" найти "Выполнить" и создать ярлык на раб. столе, туда прописать команду shutdown -s -f -t 50000, где цифры означают время в секундах, после чего операционная система закончит работу и обесточит PC, на случай, если во время работы Вы по каким-то обстоятельствам не сможете в нужный момент его выключить сами. За десять минут до истечения времени появится меню с предупреждением об выключении PC, на отмену вводить команду shutdown -a Я называю эту команду как "Мёртвая рука" или "Кнопка мертвеца".


Похоже больше на параною.

Интернет нужен обязательно. Это рабочий ноут. Все что необходимо, это закодировать диск так, что бы если я потеряю ноут, или у меня его, не дай Бог, -украдут- никто не смог бы слить данные с винта. т.е. что бы винт был пригоден только под форматирование.

т.е. 2 раздела винта, если его вставить в другой ноут или комп, - должны быть недоступны. Я так понимаю это - True Crypt?


 

Member
Статус: Не в сети
Регистрация: 06.07.2012
Индульгатор писал(а):
Все что необходимо, это закодировать диск

Системный диск не просто закодировать программно, если только программно-аппаратным методом, тогда легко. Будет гораздо надёжнее, независим и мобильнее: ноутом по голове а диск в руки и бегом :D Например всё тот же ZM-VE400 как самый недорогой и удобный вариант для шифрования AES256Bit
Можно внутри зоны Encryption, создать VHD контейнер для портативного Виндовс или же просто установить. Тогда системный диск будет внешним а внутрений под файлохранилища.

Что касается уничтожения данных нажатием "кнопки".
1. Такой кнопки на корпусе нет, но!
2. До ввода пин-кода, в разделе форматирования дисков возможно инициализировать в таблицу MBR или GPT - что приравнивается к уничтожению всех данных. (на другой машине например) Плохо это или хорошо, решать вам и для дискуссии: "Было бы лучше, если том диска не был бы виден ОС, до ввода пин-кода, что бы случайно или же намеренно нельзя было уничтожить данные?" Вот в чём вопрос. Я не проверял и не проводил этот эксперимент на практике, но скоро его проведу. На одном из дисков HGST5K1500, имеется 1.30ТБ ненужных данных и я ими пожертвую во имя науки :) К этому эксперименту будут привлечены все имеющиеся силы и знания. Для инициализации модифицированной оболочки тома ВНЕ коробке VE400, послужит замена её аппаратной микропрограммы, которая записана и используется мостом контроллера MB86C311А и обработкой сигналов на микроконтроллере PIC32MX150F128D на программное ПО от Zalman ZM-HE135 Что касается процессора MIPS 50МГц, то он не интерсен а вот продукт распада коробочного ПО, является скрипт защиты от метода перебора. Уникальный хэш оболочки таблицы, находящийся на определённых секторах диска, последовательность которых записывает контроллер HDD
После пятого раза неверного пин-кода, будет просить разрыв с диском, это значит даже если бы код состоял всего из одной цифры, то шансы на разблокировку грубой силой были бы равны ~50/50 (5 попыток из 10)
из двух ---(5 из 0-9х0-9) ------------------------(5 попыток из 100)
из трёх ---(5 из 0-9х0-9х0-9) --------------------(5 попыток из 1000)
из четырёх (5 из 0-9х0-9х0-9х0-9) ----------------(5 попыток из 10.000)
из пяти ---(5 из 0-9х0-9х0-9х0-9х0-9) ------------(5 попыток из 100.000),
из шести --(5 из 0-9х0-9х0-9х0-9х0-9х0-9) --------(5 попыток из 1.000.000)
из семи ---(5 из 0-9х0-9х0-9х0-9х0-9х0-9х0-9) ----(5 попыток из 10.000.000)
из восьми -(5 из 0-9х0-9х0-9х0-9х0-9х0-9х0-9х0-9) (5 попыток из 100.000.000)

Ещё варинат диск Тошиба с шифрованием, если извлекут и поставят в другой ПК, то
#77
При удалении жесткого диска из системы возможны два варианта развития событий:
1. Жесткий диск установлен обратно в ту же систему, из которой был извлечен. В данном случае идентификация проходит нормально, потому что МФУ распознано диском, соответственно, ключ шифрования активизирован, данные на диске доступны пользователю и эксплуатируются системой МФУ.
2. Жесткий диск установлен в другое устройство – компьютер, МФУ, или другое устройство, идентификационный ключ разрушается. При этом все данные с жесткого диска становятся постоянно зашифрованными и в дальнейшем не могут быть использованы.

_________________
Смотри-ка какой усатый


 

Member
Статус: Не в сети
Регистрация: 10.09.2006
Индульгатор
И чё вы тут темните? Какие воры будут разбираться с вашим ноутом? У вора задача украсть\продать, а не копаться в содержимом. Нужны ему ваши диски "как собаке пятая нога". :)


 

Member
Статус: Не в сети
Регистрация: 06.07.2012
Я тоже так подумал и потому посоветовал просто поставить пароль на учётную запись.

Добавлено спустя 7 часов 6 минут 9 секунд:
Вот нашёл ролик на ютюбе, оказывается можно выбрать 256 бит с диффузором http://www.youtube.com/watch?v=0GE7bev9pJc

_________________
Смотри-ка какой усатый


 

Member
Статус: Не в сети
Регистрация: 04.03.2005
Откуда: Планета Солярис
kondor06 писал(а):
И чё вы тут темните? Какие воры будут разбираться с вашим ноутом? У вора задача украсть\продать, а не копаться в содержимом. Нужны ему ваши диски "как собаке пятая нога".


Мляя.. ну хорошо.
Продадут ноут. На нем пароли от учеток, пароли от ящиков. Инфа по бизнесу. Фотки с телефона, в папке dropbox и т.п. и т.д Как вы считаете, сильно приятно будет? Кто то же но посмотрит.
Или потом лихорадочно менять везде пароли, учетки, кошельки?

Да даже простой, банальный вариант. Летишь с ноутом, останавливают в аэропорту. Лицензионное ПО или нет?(на ноуте музыка,фильмы)
Да пох если винт правильно заблокирован. (смотрите сколько угодно - тех спецов там нет, а заказывать экспертизу никто не будет.) Повертят в руках и отдадут назад.(тем более если винда сразу даже грузиться не будет) -тупо черный экран.

Мне хочется сделать вот так.
Можно это или нет?

Добавлено спустя 3 минуты 10 секунд:
Pavel12 писал(а):
Я тоже так подумал и потому посоветовал просто поставить пароль на учётную запись.


Еще раз, обьясняю. Для тех кто в танке.
Вынять винт с ноута- 2 минуты дел. Вкидываешь его в SATA-USB переходник и на другом компе вся инфа перед тобой. ПОх. есть пароль на учетке или нет.

Далее.
Пароль на учетку ломается прогой, с флешки. Ровно за 5 минут. (даже винта доставать не надо)

Это не защита - это фикция. От детей.
Мне нужно - от "взрослых". Что бы даже если ноут пропадет - все что могли сделать с винтом или format C: или на помойку.


 

Member
Статус: Не в сети
Регистрация: 06.07.2012
Ещё раз повторяю: системный диск HDD/SSD/SSHD внутри внешнего корпуса с аппаратным шифрованием AES 256bit. Куда ещё надёжнее-то?
Я бы посоветовал поставить в него недорогой SSD, из-за 1. малого потребления энергии (очень важно для корпуса USB3.0 без под. питания), 2. отличного быстродействия (очень важно для ОС), 3. болеее трудного восстановления данных (под. защита), 4. не обязательно покупать быстрый и дорогой SSD, ведь смысла в этом нет, он всё равно будет упиратся в ограничение интерфейса USB3.0 а если у Вас USB2.0, то ещё сильнее, однако в этом есть свои плюсы - стабильность - шифрование "на лету" точно успеет за записью и частых разрывов с контроллерным мостом корпуса - не будет. п.с. главное случайных скоростей SSD будт достаточно даже по USB2.0 Это самый простой и надёжный способ, воры будут искать системный диск внутри а его там нет :-)

Ещё один способ!
Короче если у тебя стоит Win 7 Copr / Max, то можно сделать так средствами виндовс:
1. Щелчком по значку Виндовс, "найти программы и файлы" вписать gpedit.msc и щёлкнуть по нему, появится меню "редактор локальной групповой политики"
2. В конфигурации компьютера зайти в "Административные шаблоны", в состояние "Компоненты Виндовс", пролистать столбец в самый низ и найти "Шифрование диска BitLocker", зайти туда.
3. Зайти в диски операционной системы, "обязательная дополнительная проверка подлинности" - включить а в параметрах поставить галочку. Выйти на шаг назад.
4. Зайти во вторую сверху и там сделать тоже самое, ну и так далее пошамань с остальными.
В итоге системный диск забитлочит а ключ сохранит на флешку и при запуске будет спрашивать с неё этот ключ и разбитлочивать системный диск.

обущающий ролик

_________________
Смотри-ка какой усатый


 

Member
Статус: Не в сети
Регистрация: 04.03.2005
Откуда: Планета Солярис
Pavel12 писал(а):
Ещё один способ!
Короче если у тебя стоит Win 7 Copr / Max, то можно сделать так средствами виндовс:
1. Щелчком по значку Виндовс, "найти программы и файлы" вписать gpedit.msc и щёлкнуть по нему, появится меню "редактор локальной групповой политики"
2. В конфигурации компьютера зайти в "Административные шаблоны", в состояние "Компоненты Виндовс", пролистать столбец в самый низ и найти "Шифрование диска BitLocker", зайти туда.
3. Зайти в диски операционной системы, "обязательная дополнительная проверка подлинности" - включить а в параметрах поставить галочку. Выйти на шаг назад.
4. Зайти во вторую сверху и там сделать тоже самое, ну и так далее пошамань с остальными.
В итоге системный диск забитлочит а ключ сохранит на флешку и при запуске будет спрашивать с неё этот ключ и разбитлочивать системный диск.


О. Спасибо. Как вариант - отличный.

У меня в ноуте сейчас стоит один SSD и один HDD.
Можно ли таким же "макаром" залочить и HDD? ( Ну что бы все разделы были недоступны, если снять винты и проверить их на SATA-USB переходнике)

Аппаратное шифрование AES 256bit- это конечно круто, но мне так много не нужно. Думаю вышеописанного хватит.

Один вопрос еще.

Если похерится флешка, на которой этот ключ будет записан. Что дальше? (всю инфу с диска можно в утиль или сам ключ хранить как зеницу ока и многократно размоножить)


 

Member
Статус: Не в сети
Регистрация: 06.07.2012
Ну так что получилось забитлочить с помощью флешки или Вы пошли другим способом? Мне это тоже интересно, сам чуть было не забитлочил ОС, но после перезагрузки сразу вынул флешку (Micro SD) и съел... шучу, просто вынут и в итоге нечего, только сообщение, что вы типа чего-то вынули а оказывается вынимать не нужно было, в общем повезло и не пришлось ставить бэкап оси из-за вас и моего любопытства.

Добавлено спустя 16 минут 24 секунды:
Индульгатор писал(а):
Можно ли таким же "макаром" залочить и HDD? ( Ну что бы все разделы были недоступны, если снять винты и проверить их на SATA-USB переходнике)

Аппаратное шифрование AES 256bit- это конечно круто, но мне так много не нужно. Думаю вышеописанного хватит.

Один вопрос еще.

Если похерится флешка, на которой этот ключ будет записан. Что дальше? (всю инфу с диска можно в утиль или сам ключ хранить как зеницу ока и многократно размоножить)


Гораздо легче, если том MBR не более 2ТБ, что скорее всего, ибо более 2ТБ 9.5мм.- 15мм. 2.5" не существуют, если только единичные прототипы...
1. В "найти ПО и файлы" вбить gpedit.msc
2. В шаблоны (Вы уже знаете где это), "Шифрование диска BitLocker", в "Выберите метод шифрования и стойкость ключа" по умолчанию он битлочит 128-ми битным ключом с диффузором, выберите AES 256 с диффузором для надёжности.
3. Диск если не системный то просто включаете шифрование, придумать пин-код желательно из русской раскладки вместе с английской, не менее 10 знаков и оно пошло ~ 3 - 12 часов в зависимости от объёма и скорости. Открывать диск при помощи придуманного пин-кода без флешки можно.

Если похерится флешка, то капут данным только на сис.диске (делайте бэкап как нибудь, даже не знаю как в данном случае это сделать, наверно ни как), флешку лучше брать надёжную и не за 100 рублей,
например такую, но это конечно я перегнул, значит без аппаратного.
- http://habrahabr.ru/post/135378/


Вроде только 1 раз ключ даёт на флешку не проверял, не скажу, скорее уникальный хэш. Можно попробовать её клонировать Акронисом :beer:

Теперь про "рабочий инструмент", Вы сказали ноут будет подключён к инету, стоит задуматся о браузере и протоколах шифрования. Но тут я не силён а потому поступил по простому в Opera 12:10 - пожалуй единственная нормальная версия из всех других и кстати я её скачал вроде здесь на сайте оверклокерса!: Не мало важно где качать, а то можно и трояна накачать, на рутрекере например. Альтернативы за это время не нашёл, ни одно обнавление не устроило!

Заходим opera:config
Подробнее о всех или почти всех настроек здесь - http://wm-silva.ru/help_opera/operaini.htm
Но нужно самое главное:
---------

Поставить галочки в Security Prefs а именно:

Enable SSL v3
Enable TLS v1.0 - лучше не ставить из-за возможного конфликта с SSL
Enable TLS v1.1
Enable TLS v1.2
Crypto Method Overrides включить 1, выключить 0

.........

Network можно включить для ускорения
Use Spdy3 включено (поставить галочку - в самом низу где-то)

--------

В [User Prefs]
Enable referrer (выключить = изменить 1 на 0) - дабы не отслеживали Вас сайты. (Значение этого - отправлять данные о ссылающейся странице. Позволяет веб-сайтам узнавать, с какого сайта вы пришли.)

-------

Теперь кэш на диске решать Вам, я убрал, мне кажется без него быстрее работает и на диске не хранит все эти картинки и FLV , что обычно не мало весит и долго ищет. А так будет в RAM грузить и все летать, если отключить хэш на диск и оставит хэш в RAM

Disk Cache убрать все галочки на:
Cache Docs
Cache Figs
Cache HTTPS
Cache Other

Я про этот мусор кэша имел ввиду
image/jpeg video/mp4 audio/x-wav text/html
image/gif video/mpeg audio/midi text/css
image/png video/flv audio/mpeg application/x-javascript
image/bmp video/x-flv audio/mp3 application/xml
image/webp text/plain
image/svg+xml
image/x-icon


-------

Не помню где находятся настройки RAM, возможно там ничего не нужно менять, иначе бы я запомнил или бы записал, и да, можно сделать наоборот - увеличить хранилище для хэша на диске, и накоплять весь этот мусор гигами, будто скачивали сайт-грабберами.

Последний штрих - бэкап браузера делается простым копированием папок Opera из трёх путей:
1. C:\Program Files (x86)
2. C:\Users\тут ваше имя пользователя\AppData\Local\Opera\
3. C:\Users\тут ваше имя пользователя\AppData\Roaming\Opera

Восстановление бэкапа браузера делается так, сначала удаляете все что связано с Opera, затем устаналиваете Opera exe, закрываете её и меняете на ваши папки, (там всё: куки, хэши, закладки, короче всё что было, то и останется), главное не перепутать \Opera\Opera, там папка внутри папки, внимательнее.


"Ну что бы все разделы были недоступны, если снять винты и проверить их на SATA-USB переходнике"
Проверял и через переходник не видит и программами для восстановления данных не понимает.
Но кажись чёто там есть а что фиг знает
#77


Добавлено спустя 3 часа 20 минут 3 секунды:
Нашёл: "Multimedia Stream in RAM" находится в "Disk Cache"

_________________
Смотри-ка какой усатый


 

Member
Статус: Не в сети
Регистрация: 21.08.2007
Можно рассмотреть и Linux (Solaris, BSD и т.д.) c их многообразием различных файловых систем, средств виртуализации, тот же TrueCrypt есть под Linux, Mac OS X.
Касательно Microsoft BitLocker:
Цитата:
В опубликованной разработчиками информации сказано, что взломать BitLocker можно даже в случае его работы совместно с аппаратным решением Tusted Platform Module.

Инфа старая 2009 год - но все равно осадочек остался, как то склонен вообще не доверять защиту важной инфы мелкософту (особенно если вспомнить его судебную историю),
больше доверяю TrueCrypt и виртуалкам - тут все зависит только от фантазии и творческого подхода к созданию своей системе защиты.
Да и вообще самое ценное лучше держать на отдельном носителе, а уж в каком виде и где его открывать - повторюсь, все зависит только от подхода к выполнению задачи.
Касательно TrueCrypt - есть приятная фишка в виде отличного управления из командной строки, что дает самые разнообразнейшие способы выполнения авторизации,
достаточно вдумчиво почитать документацию..
Вот простенький пример открытого ключика для монтирования зашифрованного контейнера для винды, а ведь его можно сделать
- закрытым\составным\с перекрестными проверками различных условий\со своим паролем.
Код:
R:\PATH\TrueCrypt\TrueCrypt.exe /qE /v \Device\Harddisk1\Partition1 /lU /a /p ХХ....XX...XX..XX.XX /b

Где R:\PATH - диск и путь к TrueCrypt.exe, U - монтируемый диск (контейнер), ХХ..ХХ - пароль..
А уж в Linux то сам бог велел делать вообще малопонятные и непредсказуемые для сторонних лиц вещи, продолжать не буду, думаю уже и так понятно к чему я..
Про виртуалки вообще молчу - отдельная тема..

Добавлено спустя 32 минуты 8 секунд:
Да, хотел добавить о вреде криптования физических дисков целиком - ничто не имеет абсолютной надежности в физическом плане, кроме того наблюдается падения производительности
и подобный способ явно не добавляет здоровья SSD (+ добавляются проблемы со сложностью восстановления инфы), плюс иногда приходится работать с загрузочными\ремонтными дисками и что оттуда можно увидеть на закриптованном полностью полудохлом диске = 0.
Актуальная инфа потеряна - а в активе имеем только бекап недельной давности и стоит ли оно того..


 

Member
Статус: Не в сети
Регистрация: 06.07.2012
vsk94 писал(а):
наблюдается падения производительности

Отвратительное падение производительности у дисков, вот их краткий список: Seagate 7200 Barracuda ST2000DM001

У других дисков такого падения производительности не наблюдалось. К примеру что означает "отвратительное падение производительности", диск ST2000DM001 подключённый по UBS3 во внешем боксе USB3 , показывает скорость по CrystalDiskMark RW 180/130 МБ/С, после шифрования AES 256 бит, показывает RW 22/63 МБ/С! По ЮСБ3!! Где до шифрования показывало 180/130 МБ/С! Заключение: диск ST2000DM001 непригоден для шифрования.

п.с. С зашифрованного системного диска снять бэкап у меня не получилось, однако с аппаратно-зашифрованного системного диска - без проблем снялся бэкап тем же Акронисом, который сам может быть зашифрован :ok:

_________________
Смотри-ка какой усатый


 

Member
Статус: Не в сети
Регистрация: 21.08.2007
Можно использовать и такой вариант - добавить еще одну *.dll к какой нибудь программе, которая и будет являться зашифрованным контейнером, открываемым каким нибудь хитрым ключом, а в TrueCrypt убрать все ассоциации и логи монтирования.
Так же в Total Commander есть функция разбивки и склейки файлов, т.е. существует масса возможностей для того чтобы спрятать искомое подальше и заодно разорвать шаблон у интересующихся лиц))
Впрочем винда не очень хороший инструмент (к примеру - достаточно открыть планировщик задач) - тут лучше делать ложные закладки с порнухой и спамом, а работать в изолированной среде.


 

Member
Статус: Не в сети
Регистрация: 04.03.2005
Откуда: Планета Солярис
Pavel12 писал(а):
Ну так что получилось забитлочить с помощью флешки или Вы пошли другим способом? Мне это тоже интересно, сам чуть было не забитлочил ОС, но после перезагрузки сразу вынул флешку (Micro SD) и съел... шучу, просто вынут и в итоге нечего, только сообщение, что вы типа чего-то вынули а оказывается вынимать не нужно было, в общем повезло и не пришлось ставить бэкап оси из-за вас и моего любопытства.


Нет. Еще не делал. На этой неделе думаю начать заниматься.
Достаточно времени не было дабы адекватно вникнуть в эти премудрости.


Pavel12 писал(а):
Если похерится флешка, то капут данным только на сис.диске (делайте бэкап как нибудь, даже не знаю как в данном случае это сделать, наверно ни как), флешку лучше брать надёжную и не за 100 рублей,


Насколько я понял. TrueCrypt не подходит для кодировки системного раздела, так как он тупо, не даст загрузить винду.
С битлокером такого не будет? Т.е. если сделать им кодировку и ключ положить на флешу, то флеша нужна будет при загрузке ноута, - в противном случае он дальше просто не будет грузится?

Pavel12 писал(а):
"Ну что бы все разделы были недоступны, если снять винты и проверить их на SATA-USB переходнике"
Проверял и через переходник не видит и программами для восстановления данных не понимает.


Круто!

Я вот еще что хотел понять.
Получается у меня на ноуте, будет залочены оба диска и инфа на них.

Когда я загружу винду, у меня все разделы станут доступными, равно как их содержимое. Если я, запишу любой файл, на отдельный носитель, он будет закодированый или в нормальном виде?

P.s.
Почему спрашиваю. У меня кошельки с крипто на ноуте, не побьет ли кодировка их так, что они потом станут непригодные или не будут восприниматься прогами-кошельками?

Добавлено спустя 5 минут 57 секунд:
vsk94 писал(а):
Можно рассмотреть и Linux (Solaris, BSD и т.д.) c их многообразием различных файловых систем, средств виртуализации, тот же TrueCrypt есть под Linux, Mac OS X.


Можно расмотреть, но ни разу не работал с ним. Это начать и кончить.
Мне в первую очерень ценны следущие факторы.
1) Сохранность инфы.
2) Невозможность кому либо взять и посмотреть что там на ноутбуке. (хотя бы временно, пока вы куда то едете) Потом приехав из точки А в точку В, в принципе хотелось бы кодировку убрать.(она действтиельно не нужна и только перегружает систему и винт)

vsk94 писал(а):
больше доверяю TrueCrypt и виртуалкам - тут все зависит только от фантазии и творческого подхода к созданию своей системе защиты.
Да и вообще самое ценное лучше держать на отдельном носителе, а уж в каком виде и где его открывать - повторюсь, все зависит только от подхода к выполнению задачи.
Касательно TrueCrypt - есть приятная фишка в виде отличного управления из командной строки, что дает самые разнообразнейшие способы выполнения авторизации,
достаточно вдумчиво почитать документацию..
Вот простенький пример открытого ключика для монтирования зашифрованного контейнера для винды, а ведь его можно сделать
- закрытым\составным\с перекрестными проверками различных условий\со своим паролем.



Я с криптом не разобрался. Как я понял, он не даст загрузить ОС если закодировать все все.

Добавлено спустя 3 минуты 36 секунд:
P.s.
Я просто чего так подробно распрашиваю, потому что сейчас боюсь че то сделать не так, а потом ваще хоть вой. )


Добавлено спустя 1 минуту 38 секунд:
В качестве бэкапа юзаю Transend флешу на 16гб, с фингрпринтом.
В осномном то что бэкапится - кошельки и документы.


 

Member
Статус: Не в сети
Регистрация: 13.06.2010
Откуда: СПб
Фото: 2
Индульгатор писал(а):
Насколько я понял. TrueCrypt не подходит для кодировки системного раздела, так как он тупо, не даст загрузить винду

TrueCrypt вполне может шифровать и системный диск. Еще могу порекомендовать DiskCryptor (https://diskcryptor.net/wiki/Main_Page). И он тоже шифрует системный диск, причем его можно настроить так, что он при загрузке будет выдавать сообщение об отсуствии системного диска и, при этом, ожидать ввод пароля.

BitLocker - решение закрытое, и, соответственно, хрен его знает, какие бекдоры содержит. Против родственников покатит, а вот против спецслужб - я б не рискнул...
При шифровании SSD имеет смысл создать на нем раздел в 70% объема. Проблема в том, что системный диск шифруется полностью, т.е. забивается псевдослучайными даными. Т.е. на нем вообще не будет блоков, заполненных нулями и из-за этого жизнь его будет коротка и печальна :) А так оставшиеся 30% хоть как-то обеспечат его жизнь.

TrueCrypt и DiskCryptor имеют механизмы, позволяющие бекапить зашифрованные тома, но это все равно не отменяет обязательных бекапов важной информации на других носителях. Которые тоже могут быть зашифрованы.

Индульгатор писал(а):
Если я, запишу любой файл, на отдельный носитель, он будет закодированый или в нормальном виде?

Он будет в нормальном виде.

Индульгатор писал(а):
1) Сохранность инфы.

Бекакпы, бекапы и еще раз бекапы. На разные носители

Индульгатор писал(а):
2) Невозможность кому либо взять и посмотреть что там на ноутбуке

Шифрование с нормальным паролем это обеспечит. Но вот если к вам пробрался вирус или хакер по сети - шифрование уже не поможет.

Индульгатор писал(а):
Я просто чего так подробно распрашиваю, потому что сейчас боюсь че то сделать не так, а потом ваще хоть вой. )

Очень вероятно, что вы так и сделаете. Поэтому рекомендую сначала потренироваться на кошках - на виртуальных машинах или на старом компьютере, который не жалко.

Индульгатор писал(а):
В качестве бэкапа юзаю Transend флешу на 16гб, с фингрпринтом.

Загляните сюда: http://www.apricorn.com/products/hardwa ... rives.html
К сожалению, у нас это не продают :(


 

Member
Статус: Не в сети
Регистрация: 04.03.2005
Откуда: Планета Солярис
Tempname писал(а):
При шифровании SSD имеет смысл создать на нем раздел в 70% объема. Проблема в том, что системный диск шифруется полностью, т.е. забивается псевдослучайными даными. Т.е. на нем вообще не будет блоков, заполненных нулями и из-за этого жизнь его будет коротка и печальна А так оставшиеся 30% хоть как-то обеспечат его жизнь.


У меня в буке 2 диска.
SSD 64Gb Kingstone и HDD 500 WD 7200.
На кингстоне осталось свободных, ну где то 3-5 гб. Один биткоин кошелек весит 18 гб. Может имеет смысл тогда перести кошель на HDD, и бэкапить его на флешку? А системный, тогда просто переразбить 70\30.

Кстати, так и не понял, а что делать с оставшимися 30% их просто не юзать, выделить в неразмеченую область или создать из этих 30% отдельный диск, который ничем не заполнять?
Как быть с 500й? Он переразбит на 2 раздела, и там 90% свободного места.

Tempname писал(а):
Очень вероятно, что вы так и сделаете. Поэтому рекомендую сначала потренироваться на кошках - на виртуальных машинах или на старом компьютере, который не жалко.


Будет как раз еще одна машина, с Win 8.1.
Кстати, вот еще вопрос. На буках, есть предустановленый заводской раздел в котором лицензионная винда, дрова и проги. Он не гробанется после шифрования винта? (или разделы для шифрования можно выбрать ручками) ?

Добавлено спустя 3 минуты 17 секунд:
Tempname писал(а):
Загляните сюда: http://www.apricorn.com/products/hardwa ... rives.html
К сожалению, у нас это не продают


Да. Видел такое. Хорошая вещь, но мне столько защиты не надо, да и плюс сильно привлекает внимание к себе подобный девайс. Еще минус в том, что что бы провести синхронизацию кошелька - нужно будет каждый раз подключать его по USB.
Хотя, согласен - решение хорошее. Купить, скинуть туда доки, кошельки, важную инфу и запереть в сейф.
Когда стану богатым и уважаемым, так и сделаю. :D


 

Member
Статус: Не в сети
Регистрация: 21.08.2007
Цитата:
Невозможность кому либо взять и посмотреть что там на ноутбуке

Механизм таков что данные на диске всегда закриптованы, даже при работе, в открытом виде они в RAM.
Так же свою рабочую 7\8 всегда можно тупо ставить на *.VHD, в то время как при обычной загрузке можно грузить всякую фигню с имитацией неисправности.. (BSOD\убитый винт\загрузчик)
Цитата:
Но вот если к вам пробрался вирус или хакер по сети - шифрование уже не поможет.

Именно, поэтому и существуют "чистые" комнаты в некоторых учреждениях, простым юзерам больше пойдут полностью изолированные от сети виртуалки и желательно с другой OS.
Цитата:
Можно расмотреть, но ни разу не работал с ним.

Это зря, там целый мир и к тому же очень интересный и поучительный, и вовсе несложный как может показаться поначалу.
Пока как рабочий вариант - на ноуте использую Linux, а на нем стоят виртуалки под разные задачи, как плюс - при слове Linux нездоровый интерес к содержимому сразу теряется))
Интерес к криптованию диска целиком быстро прошел, как только понял что само наличие зашифрованного винта в явном виде это совсем не айс,
соответственно могут возникнуть вопросы, что нежелательно и при лучшем раскладе все закончится потерей времени..
+ природная наклонность винды стучать на юзеров + всеобщая нездоровая тенденция всё завязывать на облако: даже проверку файлов у некоторых антивирей
+ военное вирусное ПО для различных задач, причем подписанное реальными цифровыми подписями - думаю продолжать не нужно, тут кота в мешке не утаишь при всем желании..
ну и в дополнении картины - спец прога от мелких, которая при запуске быстро вытянет всю подноготную (не помню уже название),
на самом же деле - все должно выглядеть прозрачно, естественно и понятно.. ну на первый взгляд))
Да и вот еще, думаю в тему:
Подобрать отмычку к «Обручу» АНБ оказалось не в силах


 

Member
Статус: Не в сети
Регистрация: 13.06.2010
Откуда: СПб
Фото: 2
Индульгатор писал(а):
На кингстоне осталось свободных, ну где то 3-5 гб. Один биткоин кошелек весит 18 гб. Может имеет смысл тогда перести кошель на HDD, и бэкапить его на флешку? А системный, тогда просто переразбить 70\30.

Рискуете здоровьем SSD. Рекомендуется всегда держать 20-30% свободными - это снижает износ. Я думаю, правильнее будет перейти на SSD 128Gb и, естественно, бекапиться и еще раз бекапиться на флешку / внешний HDD.
Может, Вам все же стоит ограничиться созданием шифрованного раздела или контейнера? Это проще, надежнее, да и смысл шифровать винду целиком как-то исчезающе мал - от вирусов и троянов шифрование в принципе не защищает.

Индульгатор писал(а):
Кстати, так и не понял, а что делать с оставшимися 30% их просто не юзать, выделить в неразмеченую область или создать из этих 30% отдельный диск, который ничем не заполнять?

Просто не распределять, чтоб не было соблазна заполнить :)

Индульгатор писал(а):
Он не гробанется после шифрования винта? (или разделы для шифрования можно выбрать ручками) ?

Если шифровать раздел с данными, то ничего фатального не произойдет - за исключением того, что процесс шифрование удаляет все данные на разделе :) А вот в случае с шифрованием системного раздела возможны нюансы. Сам раздел останется нетронутым (и зашифрованным), но вот загрузочная область будет модифицирована. И останется ли возможность запустить систему восстановления, я не знаю. Подозреваю, что восстановление уже не запустится. Нужно ставить эксперимент... Немного погуглил сейчас, вот кусочек информации по теме: http://truecrypt.org.ua/node/340 Рекомендуют diskcryptor :)
Индульгатор писал(а):
Хорошая вещь, но мне столько защиты не надо, да и плюс сильно привлекает внимание к себе подобный девайс.

Все же подумайте о шифрованном диске с данными / разделе или контейнере. Плюс хороший антивирус. Это гораздо проще, чем системный раздел шифровать.

Добавлено спустя 17 минут 15 секунд:
vsk94 писал(а):
Интерес к криптованию диска целиком быстро прошел, как только понял что само наличие зашифрованного винта в явном виде это совсем не айс,

Кстати, соглашусь. При пересечении государственной границы какой-нибудь Америки вполне можно с зашифрованным диском нарваться на углубленный анальный досмотр :) А если често выдать пароли по первому требованию, то и зачем это шифрование было нужно?

vsk94 писал(а):
Пока как рабочий вариант - на ноуте использую Linux, а на нем стоят виртуалки под разные задачи, как плюс - при слове Linux нездоровый интерес к содержимому сразу теряется))

Ну, я так понял, что Индульгатор не с "кровавым режимом" борется и не банки удаленно ломает, так что подсаживать его на linux рановато :) Пусть пока с truecrypt'ом попробует разобраться.


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 62 • Страница 1 из 41  2  3  4  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория














Новости

Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan