Эта очень удобная бесплатная оупенсорсная программка (русскоязычный интерфейс имеется) под OS Windows (хотя существуют и версии под линукс и макос, но с меньшим функционалом) позволяет создавать шифрованные диски. Либо в виде криптоконтейнера в файле, который монтируется как отдельный диск, либо, что самое интересное, зашифровав целую партицию - в том числе и системную, с которой грузится Windows.
Т.е., можно целиком взять, да и зашифровать полностью партицию, где стоит винда, так, что не зная секретного пароля, получить доступ к ней будет невозможно вообще. Загрузится только загрузчик программы ТруКрипт, и будет ждать пароля, чтобы получить доступ к виндовой партиции и начать грузить систему.
Что очень полезно, загрузчик можно настроить так, чтобы он при ожидании пароля выдавал не стандартную надпись, а какую-нибудь типа "NON SYSTEM DISK OR DISK ERROR", так, что любой непосвященный решил бы, что системы на диске нет, и можно даже не пытаться её исследовать. Можно сделать и так, чтобы никаких надписей вообще не было, и компьютер выглядел полностью повисшим, пока не введешь правильный пароль.
Во время работы весь обмен данными с зашифрованными дисками для пользователя полностью прозрачен - т.е. криптование/декриптование происходит на лету (благодаря установке специального драйвера), причем каких-либо тормозов в работе винды от этого я не заметил. Бенчмарков, конечно, не делал, но на глаз разницы с некриптованной системой не ощутил.
Что очень приятно - программа крайне проста в работе. Желающему закриптовать свою систему наглухо достаточно установить программку и выбрать в меню пункт "Закриптовать системную партицию", после чего программка установит свой загрузчик в MBR и начнет криптовать партицию в фоновом режиме, не мешая работе с компьютером. У меня 100 гигов криптовались примерно час. Затем программа скажет вам, что все вуаля, и теперь без знания пароля доступа к системе не получить. Не получить вообще никак, даже если снять винт и переставить на другой компьютер, например, или внезапно выключить питание компьютера.
Закриптовать системную партицию одним нажатием кнопки, к сожалению, будет нельзя, если у вас не виндовый загрузчик (а, например, линуксовый, с возможностью выбора вариантов загрузки между линуксом и виндой), но для абсолютного большинства пользователей, у которых кроме винды ничего на компе нет, программа никаких лишних телодвижений не потребует. Остальные тоже могут закриптовать все, что надо, просто повозиться придется подольше.
В каких случаях это все может пригодиться?
Воображение аспера с ходу нарисовало следующие варианты.
Предположим, какой-нибудь милый человек, создавший экстремистскую организацию с целью захвата власти в Российской Федерации путем пикетов и голодовок, переписывается с многочисленными членами своей организации посредством электронной почты. И, допустим, оба члена его организации, часто допускают в своих письмах оскорбление представителя власти или называют свои реальные имена. Таким образом, архив его переписки явно окажется небезынтересен центру "Э". И в один прекрасный день толпы людей с табельным оружием ворвутся в дом нашего экстремиста и с криками "Блядь, пиздец, сука, лежать, сука, блядь, пиздец" скрутят его и не смогут не заметить чудесный компьютер у него на столе. Эти милые люди в черном, конечно же, поспешат схватить компьютер, выдернуть его из розетки и отвести в управление, чтобы ознакомиться с содержимым жесткого диска. И какой же сюрприз будет их ждать, когда они начнут читать системную партицию, а увидят вместо неё числовой мусор!
Не менее интересна и ситуация, когда какой-нибудь ОБЭП совершает рейд на несчастную маленькую фирму, торгующую гвоздодерами, чтобы изъять компьютеры с черной бухгалтерией. Понятно, что загрузить систему они уже не смогут, и даже чтение винта на другом компьютере мало что даст.
Также у подавляющего количества людей в этой стране на компьютерах стоят совершенно бесплатные версии операционных систем и программ корпорации Майкрософт и других корпораций. Изъятие компьютера с набором таких программ - штука для следствия весьма полезная, поскольку может легко позволить добавить шесть лет к вашему сроку. Что, однако, не получится сделать, поскольку доказать, что винда вообще стоит на вашем компьютере, невозможно, не зная пароля от партиции.
Стоит ли говорить о простых тружениках, снимающих кино про детей, или, что более вероятно, просто скачавших такое кино из сети и хранящих на своих жестких дисках. Что смогут предъявить им борцы за нравственность, если партиция с кино будет зашифрована?
Итак, каждому теперь понятно, что если у вас на компьютере венда, то к ней совершенно обязательно надо доставить программу TrueCrypt.
Однако, возможности этой программы больше, чем может казаться.
Все дело в том, что простое шифрование партиции, к сожалению, не избавит вас от возможности добыть ваш пароль путем терморектального криптоанализа.
Именно для таких случаев в программке ТруКрипт предусмотрен хинт ушами - возможность создавать скрытые криптоконтейнеры внутри криптоконтейнеров, что позволяет в том числе установить и скрытую операционную систему.
Как это работает? По-английски можно прочитать здесь. Суть такова:
Предположим, у нас винт на 100 гигабайт. Мы его делим. Создаем, предположим, партицию на 30 гигов, и ставим на неё винду со всеми необходимыми для работы вещами
Затем устанавливаем в неё программку ТруКрипт, и кнопочкой "Закриптовать системную партицию" криптуем систему наглухо, чтобы без пароля загрузить её было нельзя. Но на этом все только начинается!
После этого мы берем и тыкаем кнопочку "Создать скрытую операционную систему".
Программка ТруКрипт берет оставшиеся 70 гигабайт и создает там еще одну зашифрованную партицию (для доступа нужен будет еще один пароль). С виду это будет обычная шифрованная партиция, ага. Но уже в ней, в конце, программа выделит 30 гигабайт, и скопирует туда образ установленной системы, зашифровав и его (уже третьим паролем). И прикол в том, что не зная этого третьего пароля, догадаться о том, что внутри второй партиции есть скрытая, третья - невозможно!
Будет это выглядеть вот так:
Третья партиция располагается в области свободного места второй партиции. Второй при этом можно пользоваться, примонтировав её, главное следить, чтобы последние 30 гигабайт были свободны, если заполнить их данными, скрытая партиция будет уничтожена. Хотя, в некоторых обстоятельствах это может быть желанным для владельца.
Какую винду грузить, зависит от того, какой пароль введет пользователь при старте компьютера - от первой партиции, или от третьей.
Общение владельца компьютера с нехорошими людьми, в таком случае может выглядеть примерно так:
(1) В дом вторгаются люди с оружием, кричат много нехороших слов, кладут хозяина лицом в пол, обнаруживают компьютер и изымают его для исследования.
(2) Включив компьютер, исследователь видит, что компьютер не загружается - черный экран или надпись о том, что система не найдена.
Далее исследователь может написать в экспертизе, что комп сломан и на нем ничего нет. На этом все заканчивается. Если исследователь дотошный, то:
(3) Исследователь снимает винт, исследует его побайтово на другом компьютере и видит, что на нем установлен загрузчик программы TrueCrypt (ну типа дотошный исследователь и знает, что есть такая программа)
(4) Исследователь сообщает об этом людям в черном - мол на компьютере есть трукрипт, наверное присутствуют зашифрованные партиции.
(5) Люди в черном приходят в камеру к задержанному, достают ПР-74 и, демонстрируя его задержанному путем нанесения побоев средней тяжести вежливо интересуются: "Сука, блядь, самый умный, нахуй, шифровать умеешь, пароль сказал, да?"
(6) Задержанный сообщает пароль, которым зашифрована системная партиция. Люди в черном относят пароль исследователю, тот вводит этот пароль, система загружается.
(7) Исследователь исследует эти 30 гигабайт, не находит там ничего предосудительного, на этом все заканчивается.
Если исследователь дотошный, он видит, что винт на 100 гигов, а системная партиция - только 30 гигов. Тогда, предположив, что на оставшихся 70 гигах тоже есть зашифрованная партиция, он снова зовет людей с ПР и просит их узнать пароль от второй партиции.
(8) Люди приходят в камеру, далее подследственный долго клянется, что винт на 100 гигов ему нафиг был не нужен, и он использует только 30 гигабайт, а остальные даже не форматировал.
(9) После очередной демонстрации ПР подследственный сообщает пароль от второй партиции.
(10) Исследователь монтирует вторую партицию с помощью второго пароля, и видит 70-гигабайтную партицию, в которой лежит, например, 20 гигабайт порнухи (самой обычной, легальной, ну там, с неграми-пидарасами, например). Исследователь понимает, что подследственный просто стыдится своего увлечения неграми пидарасами, и для этого завел отдельную криптованную партицию в 70 гигабайт, 20 из которых успел заполнить фильмами с предметом своей постыдной страсти. На этом все заканчивается.
(11) Если исследователь особо дотошный, он может, конечно, предположить, что на пустом месте второй партиции есть скрытый криптоконтейнер. Но доказать даже его существование, не зная пароля - невозможно, анализ диска выдаст просто цифровой мусор, который может быть как и скрытым контейнером, так и просто случайными данными, которыми программа TrueCrypt забивает пустое место. Исследователь может, конечно, посылать людей с ПР к задержанному, и требовать пароль от скрытого контейнера, но тот будет мамой клясться, что выдал все пароли, не убивать же его в конец.
Понятно, что при большой степени паранойи, можно насоздавать криптоконтейнеров какой угодно степени вложенности, так что любой следователь заколебется выбивать из вас пароли. Конечно, если он точно знает, что вы храните что-то важное, он найдет способ на вас воздействовать так, что вы все ему выдадите. Но на практике это бывает не так часто, например, ради поиска контрафактной винды таких усилий прикладывать никто не будет. И в случае банального изъятия компа по какому-нибудь левому делу вы избавите себя от лишнего геморроя, а это немало, тем более, что установить программку TrueCrypt куда проще, чем дочитать мой пост до конца.
Напоминаю адрес сайта программы: http://www.truecrypt.org/
Саму программу качать тут: http://www.truecrypt.org/downloads
Русскую локализацию, кому надо, тут: http://www.truecrypt.org/localizations
По материалам asper.livejournal.com
|