Главная > Hi-Tech > Шифрование и скорость. Сравнительный тест средств шифрования диска

Шифрование и скорость. Сравнительный тест средств шифрования диска

  • Продолжать использовать TrueCrypt, ведь даже несмотря на серьёзный анализ, в нём не выявлено каких-либо проблем с безопасностью. Это хороший вариант действий, ведь TrueCrypt зарекомендовал себя как отличная и надёжная во всех смыслах программа. К тому же, бесплатная. Возможно, при смене операционных систем на более свежие, в будущем могут возникнуть проблемы совместимости с TrueCrypt.
  • Пользоваться одним из форков TrueCrypt. Также хорошо как первый вариант, при этом появляется надежда на актуализацию программы и добавление новых функций и алгоритмов. Главное преимущество - у них сохранён весь функционал TrueCrypt.
  • Выбрать сторонний продукт. Таких продуктов много, некоторые из них мы рассмотрим.
Программы вместо TrueCrypt

Скрыто от гостей

VeraCrypt - это бесплатная программа по шифрованию от IDRIX (

Скрыто от гостей

), эта программа базируется на TrueCrypt.

Она увеличивает безопасность используемых для шифрования системы и разделов алгоритмов, делая их невосприимчивыми к новым разработкам в атаках подбора. Например, когда шифруется системный раздел, TrueCrypt использует PBKDF2-RIPEMD160 с 1000 итерациями, в то время, как в VeraCrypt используются 327661! И для стандартных контейнеров и других разделов TrueCrypt использует не более 2000 итераций, а VeraCrypt использует 655331 для RIPEMD160 и 500000 итерация для SHA-2 и Whirlpool.

Эти усиления безопасности добавляют только некоторую задержку при открытии разделов, без потери производительности на стадии использования. Это приемлемо для истинных владельцев, но это сильно усложняет атакующим получение доступа к зашифрованным данным.

Скрыто от гостей

Эта программа может зашифровать системный раздел и не системные разделы, поддерживает все последние версии ОС Windows, сторонние бут-лоадеры и много другое. DiskCryptor поддерживает несколько алгоритмов шифрования и их комбинации, аппаратное ускорение AES, если оно поддерживается системой и полная поддержка внешних дисков. По функциональности эта программа ближе всех подобралась к TrueCrypt.

Скрыто от гостей

(коммерческая)

Позволяет создавать зашифрованные контейнеры. Эта программа официально объявляет, что не содержит бэкдоров, закладок, т. к. располагается в стране, законодательство которой не может её принудить сделать это. Из интересных функций - файловый менеджер (Disk Firewall) который защищает данные от нелегального копирования, вирусов. Он позволяет только разрешённым программам вносить изменения в данные на зашифрованном диске.

Скрыто от гостей

Эта программа не может шифровать разделы, только отдельные файлы. Пусть и не являясь полной альтернативой TrueCrypt, она может быть использована для шифрования важных файлов в системе. Программа использует алгоритм шифрования AES 128-bit и также поддерживает файлы-ключи.

Скрыто от гостей

Доступна для Windows, Mac, Linux и мобильных операционных систем. Она поддерживает только файловое шифрование, это только означает, что вы можете кликнуть правой кнопкой по файлу и зашифровать или расшифровать его.

Скрыто от гостей

Bitlocker это часть Windows только в изданиях Enterprise и Ultimate и Pro versions на Windows 8. Утверждения, что Bitlocker имеет встроенный бэкдор для правоохранительных органов и других служб, никогда не было доказано, но он имеет функционал восстановления по ключу, который может быть использован для дешифровки защищённых этой программой дисков, которые могут находится на серверах Microsoft, а не локально.

Скрыто от гостей

(а также Boxcryptor, CryptSync и Viivo from PKWare)

Специально создана для защиты данных, которые вы синхронизируете с облачными сервисами, такими как Google Drive, OneDrive или Dropbox. Она использует 256bit и будет определять поддерживаемых провайдеров автоматически после инсталяции. Не доступна для Linux.

Сервис прекратил свою работу (Sophie Hunt - спасибо за информацию). На сайте красуется надпись следующего содержания:

The Cloudfogger project has been stopped, Cloudfogger is not available anymore.
Current Cloudfogger users should re-encrypt their files with a new solution as we will also turn off our keyservers in the following weeks.
Looking for an alternative? How about

Скрыто от гостей

Возможно, стоит взглянуть на

Скрыто от гостей

Как на альтернативу Cloudfogger.

Скрыто от гостей

Может быть использована для синхронизации зашифрованных копий файлов на облачном сервисе.

Скрыто от гостей

Ещё одна программа, если вы хотите шифровать на облаке.

Скрыто от гостей

(бесплатная для личного использования)

Эта программа может быть использована для шифрования отдельных файлов, каталогов или дисков на Windows. На веб-сайте проекта не хватает информации об используемых шифрах и алгоритмах шифрования.

Скрыто от гостей

Доступна только для Linux. Поддерживает диски TrueCrypt и другие. Исходный код доступен.

Программы для шифрования данных

Конечно, в одно заметке все программы охватить не получится. Но если вы хотите продолжить исследование в этом направлении, то вот вам ещё список программ для защиты данных. Пробуйте, отписывайтесь о своих результатах в комментариях.

  • Encrypt4all
  • Exlade Cryptic Disk
  • Folder Encryption Dog
  • GiliSoft Private Disk
  • G-Soft Easy Crypter
  • HiTek Software AutoKrypt
  • idoo Full Disk Encryption
  • Jetico BCArchive
  • Jetico BestCrypt
  • KakaSoft KaKa Private Disk
  • Kruptos 2
  • NCH MEO Encryption Software
  • Odin HDD Encryption
  • Odin U Disk Encrypt Creator
  • PC-Safety Advanced File Vault
  • Rohos Disk Encryption
  • SafeEnterprise ProtectDrive
  • SafeHouse Professional
  • SecurStar DriveCrypt
  • Steganos Safe Professional
  • Symantec Encryption Desktop Professional
  • Utimaco SafeGuard Easy
  • Utimaco Safeware AG PrivateDisk
  • ZardsSoftware SafeKeeping
  • AbelsSoft CryptBox Pro
  • Comodo Disk Encryption
А теперь вы: есть другие альтернативы, не упомянутые здесь? Поделитесь ими со всеми в комментариях. Расскажите, какую и почему программу предпочитаете вы?

Существует масса причин зашифровать данные на своем жестком диске, но расплатой за безопасность данных будет снижение скорости работы системы. Цель этой статьи - сравнить производительность при работе с диском, зашифрованным разными средствами.

Чтобы разница была более драматичной, мы выбрали не суперсовременную, а среднестатистическую машину. Обычный механический хард на 500 Гбайт, двухъядерный AMD на 2,2 ГГц, 4 гига оперативки, 64-битная Windows 7 SP 1. Никаких антивирусов и прочих программ во время теста запущено не будет, чтобы ничто не смогло повлиять на результаты.

Для оценки производительности я выбрал CrystalDiskMark. Что до тестируемых средств шифрования, то я остановился на таком списке: BitLocker, TrueCrypt, VeraCrypt, CipherShed, Symantec Endpoint Encryption и CyberSafe Top Secret.

BitLocker

Это стандартное средство шифрования дисков, встроенное в Microsoft Windows. Многие просто используют его, не устанавливая сторонних программ. Действительно, зачем, если все уже есть в системе? С одной стороны, правильно. С другой стороны, код закрыт, и нет уверенности, что в нем не оставили бэкдоров для ФБР и прочих интересующихся.

Шифрование диска осуществляется по алгоритму AES с длиной ключа 128 или 256 бит. Ключ при этом может храниться в Trusted Platform Module, на самом компьютере или на флешке.

Если используется TPM, то при загрузке компьютера ключ может быть получен сразу из него или после аутентификации. Авторизоваться можно при помощи ключа на флешке или введя PIN-код с клавиатуры. Комбинации этих методов дают множество вариантов для ограничения доступа: просто TPM, TPM и USB, TPM и PIN или все три сразу.

У BitLocker есть два неоспоримых преимущества: во-первых, им можно управлять через групповые политики; во-вторых, он шифрует тома, а не физические диски. Это позволяет зашифровать массив из нескольких дисков, чего не умеют делать некоторые другие средства шифрования. Также BitLocker поддерживает GUID Partition Table (GPT), чем не может похвастаться даже наиболее продвинутый форк «Трукрипта» VeraCrypt. Чтобы зашифровать с его помощью системный GPT-диск, придется сначала конвертировать в формат MBR. В случае с BitLocker это не требуется.

В целом, недостаток один - закрытые исходники. Если ты хранишь секреты от домочадцев, BitLocker отлично подойдет. Если же твой диск забит документами государственной важности, лучше подыскать что-то другое.

Можно ли расшифровать BitLocker и TrueCrypt

Если попросить Google, то он найдет интересную программу Elcomsoft Forensic Disk Decryptor, пригодную для расшифровки дисков BitLocker, TrueCrypt и PGP. В рамках этой статьи испытывать ее не стану, но поделюсь впечатлениями о другой утилите от Elcomsoft, а именно Advanced EFS Data Recovery. Она превосходно расшифровывала EFS-папки, но при условии, что пароль пользователя не был задан. Если задать пароль хоть 1234, программа оказывалась бессильной. Во всяком случае, расшифровать зашифрованную EFS-папку, принадлежащую пользователю с паролем 111, у меня не получилось. Думаю, с продуктом Forensic Disk Decryptor ситуация будет такой же.

TrueCrypt

Это легендарная программа шифрования дисков, разработка которой была прекращена в 2012 году. История, которая приключилась с TrueCrypt, до сих пор покрыта мраком, и толком никто не знает, почему разработчик решил отказаться от поддержки своего детища.

Есть лишь крупицы информации, не позволяющие сложить пазл воедино. Так, в 2013 году начался сбор средств для проведения независимого аудита TrueCrypt. Причиной прослужила полученная от Эдварда Сноудена информация о намеренном ослаблении средств шифрования TrueCrypt. На аудит было собрано свыше 60 тысяч долларов. В начале апреля 2015 года работы были завершены, но никаких серьезных ошибок, уязвимостей или других существенных недостатков в архитектуре приложения выявлено не было.

Как только закончился аудит, TrueCrypt снова оказался в центре скандала. Специалисты компании ESET опубликовали отчет о том, что русскоязычная версия TrueCrypt 7.1a, загруженная с сайта truecrypt.ru, содержала малварь. Более того, сам сайт truecrypt.ru использовался как командный центр - с него отправлялись команды инфицированным компьютерам. В общем, будь бдителен и не скачивай программы откуда попало.

К преимуществам TrueCrypt можно отнести открытые исходники, надежность которых теперь подкреплена независимым аудитом, и поддержку динамических томов Windows. Недостатки: программа больше не развивается, и разработчики не успели реализовать поддержку UEFI/GPT. Но если цель - зашифровать один несистемный диск, то это неважно.

В отличие от BitLocker, где поддерживается только AES, в TrueCrypt есть еще Serpent и Twofish. Для генерации ключей шифрования, соли и ключа заголовка программа позволяет выбрать одну из трех хеш-функций: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512. Однако о TrueCrypt уже много чего было написано, так что не будем повторяться.

VeraCrypt

Наиболее продвинутый клон TrueCrypt. У него собственный формат, хотя есть возможность работы в режиме TrueCrypt, в котором поддерживаются зашифрованные и виртуальные диски в формате «Трукрипта». В отличие от CipherShed, VeraCrypt может быть установлена на один и тот же компьютер одновременно с TrueCrypt.

INFO

Самоустранившись, TrueCrypt оставил богатое наследие: у него множество форков, начиная с VeraCrypt, CipherShed и DiskCryptor.

В TrueCrypt используется 1000 итераций при генерации ключа, которым будет зашифрован системный раздел, а VeraCrypt использует 327 661 итерацию. Для стандартных (не системных) разделов VeraCrypt использует 655 331 итерацию для хеш-функции RIPEMD-160 и 500 000 итераций для SHA-2 и Whirlpool. Это делает зашифрованные разделы существенно более устойчивыми к атаке прямым перебором, но и значительно снижает производительность работы с таким разделом. Насколько значительно, мы скоро выясним.

Среди преимуществ VeraCrypt - открытый исходный код, а также собственный и более защищенный по сравнению с TrueCrypt формат виртуальных и зашифрованных дисков. Недостатки те же, что и в случае с прародителем, - отсутствие поддержки UEFI/GPT. Зашифровать системный GPT-диск по-прежнему нельзя, но разработчики уверяют, что работают над этой проблемой и скоро такое шифрование будет доступно. Вот только работают они над этим уже два года (с 2014-го), и когда будет релиз с поддержкой GPT и будет ли он вообще, пока не известно.

CipherShed

Еще один клон TrueCrypt. В отличие от VeraCrypt, он использует исходный формат TrueCrypt, поэтому можно ожидать, что его производительность будет близка к производительности TrueCrypt.

Преимущества и недостатки все те же, хотя к недостаткам можно еще добавить невозможность установки TrueCrypt и CipherShed на одном компьютере. Мало того, если попытаться установить CipherShed на машину с уже установленным TrueCrypt, то инсталлятор предлагает удалить предыдущую программу, но не справляется с задачей.

Symantec Endpoint Encryption

В 2010 году компания Symantec выкупила права на программу PGPdisk. В результате появились такие продукты, как PGP Desktop и, впоследствии, Endpoint Encryption. Именно ее мы и рассмотрим. Программа, конечно же, проприетарная, исходники закрыты, и одна лицензия стоит 64 евро. Зато тут есть поддержка GPT, но только начиная с Windows 8.

Другими словами, если нужна поддержка GPT и есть желание зашифровать системный раздел, то придется выбирать между двумя проприетарными решениями: BitLocker и Endpoint Encryption. Вряд ли, конечно, домашний пользователь будет устанавливать Endpoint Encryption. Проблема в том, что для этого требуется Symantec Drive Encryption, для установки которого нужны агент и сервер управления Symantec Endpoint Encryption (SEE), а сервер хочет поставить еще и IIS 6.0. Не многовато ли всякого добра ради одной программы для шифрования диска? Мы прошли через все это только ради того, чтобы замерить производительность.

Момент истины

Итак, приступаем к самому интересному, а именно к тестированию. Первым делом нужно проверить производительность диска без шифрования. Нашей «жертвой» будет раздел жесткого диска (обычного, не SSD) размером 28 Гбайт, отформатированный как NTFS.

Открываем CrystalDiskMark, выбираем количество проходов, размер временного файла (во всех тестах будем использовать 1 Гбпйт) и сам диск. Стоит отметить, что количество проходов практически не влияет на результаты. На первом скриншоте показаны результаты измерения производительности диска без шифрования с числом проходов 5, на втором - с числом проходов 3. Как видишь, результаты практически идентичны, поэтому остановимся на трех проходах.



Результаты CrystalDiskMark нужно трактовать так:

  • Seq Q32T1 - тест последовательной записи / последовательного чтения, количество очередей - 32, потоков - 1;
  • 4K Q32T1 - тест случайной записи / случайного чтения (размер блока 4 Кбайт, количество очередей - 32, потоков - 1);
  • Seq - тест последовательной записи / последовательного чтения;
  • 4K - тест случайной записи / случайного чтения (размер блока 4 Кбайт);

Начнем с BitLocker. На шифрование раздела размером 28 Гбайт было потрачено 19 минут.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Идея этой статьи зародилась, когда перед специалистами EFSOL была поставлена задача анализа рисков информационной безопасности в ресторанном бизнесе и разработки мер противодействия им. Одним из весомых рисков оказалась возможность изъятия управленческой информации, а одной из контрмер — шифрование баз бухгалтерского учета.

Сразу же оговорюсь, что рассмотрение всех возможных криптопродуктов или решений на базе конкретных систем учета не входит в цели данной статьи. Нас интересует лишь сравнительный анализ персональных средств шифрования, для которого мы выбрали популярнейшее бесплатное решение с открытым исходным кодом и пару самых продвигаемых коммерческих аналогов. Пусть неискушенных пользователей не пугает фраза «открытый исходный код» - она означает лишь то, что разработкой занимается группа энтузиастов, которые готовы принять любого желающего помочь им.

Так почему мы избрали такой подход? Мотивация предельно проста.

  1. В разных компаниях используется своя система учета, поэтому выбираем средства шифрования не привязанные к конкретной платформе - универсальные.
  2. Персональную криптозащиту разумнее использовать в небольших предприятиях, где с программой учета работают 1-5 пользователей. Для больших компаний изъятие управленческой информации повлечет более крупные финансовые потери - потому и решения по защите обойдутся значительно дороже.
  3. Анализ множества коммерческих продуктов шифрования информации лишен смысла: достаточно оценить несколько из них, чтобы сформировать для себя понимание цены и функциональности.

Перейдем к сравнению продуктов, которое удобно сделать на основании сводной таблицы. Я намеренно не включал в анализ множество технических деталей (таких как поддержка аппаратного ускорения или многопоточности, нескольких логических или физических процессоров), от которых у обычного пользователя начинает болеть голова. Остановимся лишь на том функционале, пользу от которого мы можем реально выделить.

Сводная таблица
TrueCrypt Secret Disk Zecurion Zdisk
Последняя версия на момент обзора 7.1a 4 Нет данных
Стоимость Бесплатно От 4 240 руб. на 1 компьютер От 5250 руб. на 1 компьютер
Операционная система Windows 7, Windows Vista, Windows XP, Windows Server 2003, Windows Server 2008: (32-х и 64-разрядные версии);
Windows Server 2008 R2;
Windows 2000 SP4;

Mac OS X 10.7 Lion (32- и 64-разрядные версии);
Mac OS X 10.6 Snow Leopard; Mac OS X 10.5 Leopard;
Mac OS X 10.4 Tiger;

Linux (32-х и 64-разрядные версии, ядро 2.6 или совместимое)

Windows 7, Windows Vista, Windows XP: (32-х и 64-разрядные версии) Windows 98;
Windows Me;
Windows NT Workstation;
Windows 2000 Professional;
Windows XP;
Windows Vista
Встроенные алгоритмы шифрования AES
Serpent
Twofish 		Нет Нет
Использование поставщиков криптографии (криптопровайдеров CSP) Нет Microsoft Enhanced CSP: Triple DES и RC2;
Secret Disk NG Crypto Pack: AES и Twofish;
КриптоПро CSP, Signal-COM CSP или Vipnet CSP: ГОСТ 28147-89 		RC5,
AES,
КРИПТОН CSP: ГОСТ 28147-89
Режим шифрования XTS Да Нет Нет
Каскадное шифрование AES-Twofish-Serpent;
Serpent-AES;
Serpent-Twofish-AES;
Twofish-Serpent 		Нет Нет
Прозрачное шифрование Да Да Да
Шифрование системного раздела Да Да Нет
Аутентификация до загрузки ОС Пароль Пин + токен Нет
Шифрование разделов диска Да Да Нет
Создание файлов-контейнеров Да Да Да
Создание скрытых разделов Да Нет Нет
Создание скрытой ОС Да Нет Нет
Шифрование переносных накопителей Да Да Да
Работа с переносных накопителей Да Нет Нет
Работа по сети Да Нет Да
Многопользовательский режим Средствами NTFS Да Да
Аутентификация только по паролю Да Нет Нет
Аутентификация по ключевому файлу Да Нет Нет
Поддержка токенов и смарт-карт Поддерживающие протокол PKCS #11 2.0 или выше USB-ключ eToken PRO/32K (64К);
USB-ключ eToken PRO/72K (Java);
Смарт-карта eToken PRO/32K (64К);
Смарт-карта eToken PRO/72K (Java);
Комбинированный ключ eToken NG-FLASH
Комбинированный ключ eToken NG-OTP
eToken PRO Anywhere 		Rainbow iKey 10xx/20xx/30xx;
ruToken;
eToken R2/Pro
Экстренное отключение шифрованных дисков Горячие клавиши Горячие клавиши Горячие клавиши
Защита от ввода пароля под принуждением Нет Да Да
Возможность использования «Правдоподобного отрицания причастности» Да Нет Нет
Комплект поставки Нет коробочной версии - дистрибутив загружается с сайта разработчиков USB-ключ eToken PRO Anywhere с лицензией на использование продукта;
Краткое руководство в печатном виде;
CD-ROM (дистрибутив, подробная документация, загрузочную часть MBR;
Упаковочная DVD-коробка 		Лицензия;
USB-ключ и USB-удлинитель;
Диск с дистрибутивом; Документация в печатном виде;
Устройство чтения-записи смарт-карт ACS-30S

Следуя законам жанра, осталось только прокомментировать отдельные пункты и выделить преимущества того или иного решения. С ценами на продукты все понятно, как и с поддерживаемыми операционными системами. Отмечу лишь тот факт, что версии TrueCrypt для MacOS и Linux имеют свои нюансы использования, а установка его на серверные платформы от Microsoft хоть и дает определенные плюсы, но совершенно не способна заменить огромный функционал коммерческих систем защиты данных в корпоративной сети. Напомню, что мы рассматриваем все же персональную криптозащиту.

Встроенные алгоритмы, криптопровайдеры, XTS и каскадное шифрование

Криптопровайдеры, в отличии от встроенных алгоритмов шифрования,- это отдельно подключаемые модули, которые определяют метод кодирования (раскодирования), используемый программой. Почему именно коммерческие решения используют пакеты криптопровайдеров? Ответы незатейливы, но финансово обоснованы.

  1. Нет необходимости вносить изменения в программу для добавления тех или иных алгоритмов (оплачивать труд программистов) - достаточно создать новый модуль или подключить решения сторонних разработчиков.
  2. Во всем мире разрабатываются, тестируются и внедряются международные стандарты, но для российских государственных структур необходимо соответствие требованиям ФСТЭК и ФСБ. Эти требования подразумевают лицензирование создания и распространения средств защиты информации.
  3. Средствами шифрования данных являются криптопровайдеры, а сами программы не требуют сертификации разработки и дистрибуции.

Каскадное шифрование - возможность кодировать информацию одним алгоритмом, когда она уже была закодирована другим. Такой подход, хоть и замедляет работу, позволяет увеличить стойкость защищенных данных против взлома - чем больше знает «оппонент» о методах шифрования (например, используемый алгоритм или набор символов ключа), тем проще ему раскрыть информацию.

Технология шифрования XTS (XEX-based Tweaked CodeBook mode (TCB) with CipherText Stealing (CTS)) - логическое развитие предыдущих блочных методов шифрования XEX и LRW, в использовании которых обнаружены уязвимости. Так как операции чтения/записи на носителях информации производятся посекторно блоками, то использование потоковых методов кодирования неприемлемо. Таким образом, 19 декабря 2007 года метод шифрования XTS-AES для алгоритма AES был описан и рекомендован международным стандартом защиты хранимой информации IEEE P1619.

Этот режим использует два ключа, первый из которых используется для генерации вектора инициализации, а вторым шифруются данные. Метод работает по следующему алгоритму:

  1. генерирует вектор, шифруя номер сектора первым ключом;
  2. складывает вектор с исходной информацией;
  3. шифрует результат сложения вторым ключом;
  4. складывает вектор с результатом шифрования;
  5. умножает вектор на порождающий многочлен конечного поля.

Национальный институт стандартов и технологий рекомендует использование режима XTS для шифрования данных устройств с блочной внутренней структурой поскольку он:

  • описан международным стандартом;
  • имеет высокую производительность за счет выполнения предварительных вычислений и распараллеливания;
  • позволяет обрабатывать произвольный блок сектора за счет вычисления вектора инициализации.

Так же отмечу, что в IEEE P1619 рекомендуется использовать метод XTS с алгоритмом шифрования AES, однако архитектура режима позволяет использовать его совместно с любым другим блочным шифром. Таким образом, в случае необходимости сертификации устройства, реализующего прозрачное шифрование, в соответствии с требованиями российского законодательства является возможным совместное использование XTS и ГОСТ 28147-89.

Экстренное отключение дисков, ввод пароля «под принуждением», отрицание причастности

Экстренное отключение шифрованных дисков - неоспоримо необходимая функция в ситуациях, требующих мгновенного реагирования для защиты информации. Но что же происходит дальше? «Оппонент» видит систему, на которой установлена криптозащита и недоступный для чтения системными средствами диск. Вывод о сокрытии информации очевиден.

Наступает этап «принуждения». «Оппонент» будет использовать физические или юридические меры воздействия, чтобы заставить владельца раскрыть информацию. Отечественное устоявшееся решение «ввод пароля под принуждением» из разряда «умру, но не выдам» становится неактуальным. Невозможно удалить информацию, которую предварительно скопировал «оппонент», а он это сделает - не сомневайтесь. Удаление ключа шифрования лишь подтверждает то, что информация действительно важна, а запасной ключ обязательно где-то спрятан. Да и без ключа информация все еще доступна для криптоанализа и взлома. Не буду распространяться, насколько эти действия приближают владельца информации к юридическому фиаско, но расскажу о логическом методе правдоподобного отрицания причастности.

Использование скрытых разделов и скрытой ОС не позволит «оппоненту» доказать существование информации, которая защищена. В таком свете, требования раскрыть информацию становятся абсурдными. Разработчики TrueCrypt рекомендуют еще больше запутывать следы: помимо скрытых разделов или операционных систем создавать шифрованные видимые, которые содержат обманные (фиктивные) данные. «Оппонент», обнаружив видимые шифрованные разделы, будет настаивать на раскрытии именно их. Раскрыв такую информацию под принуждением, владелец ни чем не рискует и снимает с себя подозрения, потому что настоящие секреты останутся невидимыми на скрытых шифрованных разделах.

Подведение итогов

Нюансов в защите информации великое множество, но освещенного должно хватить для подведения промежуточных итогов - окончательное решения каждый примет для себя сам. К преимуществам бесплатной программы TrueCrypt стоит отнести ее функционал; возможность для всех желающим участвовать в тестировании и улучшении; избыточное количество открытой информации по работе приложения. Это решение создано людьми, которые многое знают о безопасном хранении информации и постоянно совершенствуют свой продукт, для людей, которым важен действительно высокий уровень надежности. К недостаткам отнесем отсутствие поддержки, высокая сложность для рядового пользователя, отсутствие двухуровневой аутентификации перед стартом ОС, невозможность подключать модули сторонних криптопровайдеров.

Коммерческие продукты полны заботой о пользователе: техническая поддержка, превосходная комплектация, низкая стоимость, наличие сертифицированных версий, возможность использовать алгоритм ГОСТ 28147-89, многопользовательский режим с разграниченной двухуровневой аутентификацией. Огорчает лишь ограниченная функциональность и наивность в поддержании секретности хранения зашифрованных данных.

Обновлено: июнь 2015 года.

Не смотря на то, что версия TrueCrypt 7.1а вышла 7 февраля 2011 года, она остается последней полноценной функциональной версией продукта.

Любопытна загадочная история с прекращением разработки TrueCrypt. 28 мая 2014 года с сайта разработчиков удалены все предыдущие версии продукта и выложена версия 7.2. Данная версия умеет только расшифровывать ранее зашифрованные диски и контейнеры - возможность шифрования была удалена. С этого момента на сайте и в программе появляется призыв использовать BitLocker, а использование TrueCrypt называется небезопасным.

Это вызвало волну пересудов в интернете: авторов программы заподозрили в установке «закладки» в коде. Подогреваемые информацией от бывшего работника АНБ Сноудена о том, что спецслужбы намеренно ослабляют средства криптографии, пользователи начали сбор средств для проведения аудита кода TrueCrypt. На проверку программы было собрано более 60 тысяч долларов.

Аудит был полностью окончен к апрелю 2015 года. Анализ кода не выявил каких-либо закладок, критических недостатков архитектуры или уязвимостей. Было доказано, что TrueCrypt - качественно спроектированное криптографическое средство, хоть и не идеальное.

Теперь совет разработчиков переходить на Bitlocker рассматривается многими как «свидетельство канарейки». Авторы TrueCrypt всегда высмеивали Bitlocker и его безопасность в частности. Использование Bitlocker также неразумно по причине закрытости программного кода и недоступности его в «младших» редакция Windows. Из-за всего вышесказанного интернет-сообщество склонно считать, что на разработчиков оказывается воздействие спецслужбами, и они своим молчанием намекают на что-то важное, неискренне рекомендуя Bitlocker.

Повторно подведем итоги

TrueCrypt продолжает оставаться самым мощным, надежным и функциональным средством криптографии. И аудит, и давление спецслужб только подтверждают это.

Zdisk и Secret Disk имеют версии сертифицированные ФСТЭК. Следовательно эти продукты имеет смысл использовать для соответствия требованиям законодательства РФ в области защиты информации, например, защиты персональных данных, как того требует Федеральный Закон 152-ФЗ и подчиненные ему нормативные акты.



Для тех, кто всерьез обеспокоен безопасностью информации, есть комплексное решение «Сервер в Израиле» , в котором осуществляется комплексный подход к защите данных предприятия.

Системная интеграция. Консалтинг


Это первая из пяти статей в нашем блоге посвященная VeraCrypt, в ней рассматриваются отличия VeraCrypt от своего предка TrueCrypt, где скачать VeraCrypt, portable установка и русификация.

Если Вы ищите инструкции по шифрованию, читайте:

С момента закрытия проекта TrueCrypt в 2014 году VeraCrypt остается его самым популярным форком, который не просто повторяет возможности оригинала, но и исправляет ряд уязвимостей TrueCrypt, а также приносит дополнительный функционал, которого не хватало ранее.

Особенности VeraCrypt и отличия от TrueCrypt

  1. TrueCrypt производил недостаточное количество итераций для PBKDF2 (стандарт формирования ключа шифрования на основе пароля), в VeraCrypt число итераций для системного раздела увеличено с 1000 до 327661, а для остальных разделов и файловых контейнеров с 2000 до 655331, что существенным образом увеличивает крипто стойкость полученных ключей.
  2. В VeraCrypt исправлены ошибки и оптимизирован код загрузчика, что позволило использовать алгоритм SHA-256 в качестве хеш-функции при шифровании системного раздела жесткого диска, в то время как TrueCrypt использовал менее надежный алгоритм RIPEMD-160.
  3. Драйверы VeraCrypt подписаны цифровой подписью Microsoft, что необходимо для корректной установки в Windows 10.
  4. Версии 1.18 и старше позволяют шифровать компьютеры Windows с EFI вместо BIOS, в них также исправлена уязвимость которая позволяла обнаружить скрытые разделы.
  5. Начиная с версии 1.0f VeraCrypt поддерживает загрузку разделов и контейнеров зашифрованных при помощи TrueCrypt, так же добавлена возможность конвертации зашифрованных TrueCrypt контейнеров и не системных разделов жесткого диска в формат VeraCrypt.
  6. Исправлены многие программные ошибки: утечки памяти, переполнения буфера и уязвимости загрузки dll.
  7. Был проведен полный анализ и рефакторинг кода
  8. Доступны версии для MACOS и Linux
VeraCrypt развивается, выходят новые версии, исправления и улучшения. Спустя три года после закрытия TrueCrypt, пришло окончательное время от него отказаться и начать использовать более современный и защищенный инструмент.

Где скачать VeraCrypt

Официальная страница загрузки на сайте VeraCrypt , доступны версии для Windows, Linux, MacOSX, так же PGP подписи установщика и руководство пользователя на английском языке.

VeraCrypt Portable (портативная) версия или традиционная установка

Если Вы собираетесь зашифровывать системный раздел диска с Windows, то Вам необходимо установить VeraCrypt, для этого выберите Install в процессе инсталляции, для всех остальных случаев подойдет простое извлечение файлов программы в указанную папку – Extract (это и есть портативная версия).

Русификатор VeraCrypt

Русский язык среди прочих доступен в главном меню программы. Выберите Settings -> Languages , в открывшемся окне найдите Русский и нажмите Ок . Все инструкции и рекомендации в следующих статьях будут приводится для английской и русских версий интерфейса.

Постскриптум

Надеемся, наша статься оказалась полезной, и Вы надежно зашифровали свои данные, но не забудьте позаботиться о безопасности связи – попробуйте наш

С открытым исходным кодом была популярна на протяжении 10 лет благодаря свой независимости от основных вендоров. Создатели программы публично неизвестны. Среди самых известных пользователей программы можно выделить Эдварда Сноудена и эксперта по безопасности Брюса Шнайера. Утилита позволяет превратить флеш-накопитель или жесткий диск в защищенное зашифрованное хранилище, в котором конфиденциальная информация скрыта от посторонних глаз.

Таинственные разработчики утилиты объявили о закрытии проекта в среду 28 мая, объяснив, что использование TrueCrypt небезопасно. «ВНИМАНИЕ: Использовать TrueCrypt небезопасно, т.к. программа может содержать неустраненные уязвимости» - такое сообщение можно увидеть на странице продукта на портале SourceForge. Далее следует еще одно обращение: «Вы должны перенести все данные, зашифрованные в TrueCrypt на зашифрованные диски или образы виртуальных дисков, поддерживаемые на вашей платформе».

Независимый эксперт по безопасности Грэм Клули вполне логично прокомментировал сложившуюся ситуацию: «Настало время подыскать альтернативное решение для шифрования файлов и жестких дисков» .

Это не шутка!

Первоначально появлялись предположения, что сайт программы был взломан киберпреступниками, но теперь становится ясно, что это не обман. Сайт SourceForge сейчас предлагает обновленную версию TrueCrypt (которая имеет цифровую подпись разработчиков), во время установки которой предлагается перейти на BitLocker или другой альтернативный инструмент.

Профессор в области криптографии университета Джона Хопкинаса Мэтью Грин сказал: «Очень маловероятно, что неизвестный хакер идентифицировал разработчиков TrueCrypt, украл их цифровую подпись и взломал их сайт».

Что использовать теперь?

Сайт и всплывающее оповещение в самой программе содержит инструкции по переносу файлов, зашифрованных TrueCrypt на сервис BitLocker от Microsoft, который поставляется вместе с ОС Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise и Windows 8 Pro/Enterprise. TrueCrypt 7.2 позволяет дешифровать файлы, но не позволяет создавать новые зашифрованные разделы.

Самой очевидной альтернативой программе является BitLocker, но есть и другие варианты. Шнайер поделился, что он возвращается к использованию PGPDisk от Symantec. Symantec Drive Encrpytion (110 долларов за одну пользовательскую лицензию) использует хорошо известный и проверенный метод шифрования PGP.

Существуют и другие бесплатные альтернативы для Windows, например DiskCryptor . Исследователь по компьютерной безопасности, известный как The Grugq в прошлом году составил целый список альтернатив TrueCrypt , который актуален и по сей день.

Йоханнес Ульрих, научный руководитель технологического института SANS пользователям Mac OS X рекомендует обратить внимание на FileVault 2, который встроен в OS X 10.7 (Lion) и более поздние ОС данного семейства. FileVault использует 128-битное шифрование XTS-AES, которое применяется в агентстве национальной безопасности США (NSA). По мнению Ульриха пользователи Linux должны придерживаться встроенного системного инструмента Linux Unified Key Setup (LUKS). Если Вы используете Ubuntu, то установщик этой ОС уже позволяет включить полное шифрование дисков с самого начала.

Тем не менее, пользователям понадобятся другие приложения для шифрования переносных носителей, которые используются на компьютерах с разными ОС. Ульрих сказал, что в этом случае на ум приходит PGP/GnuPG .

Немецкая компания Steganos предлагает воспользоваться старой версией своей утилиты шифрования Steganos Safe (актуальная версия на данный момент - 15, а предлагается воспользоваться 14 версией), которая распространяется бесплатно.

Неизвестные уязвимости

Тот факт, что TrueCrypt может иметь уязвимости в безопасности вызывает серьезные опасения, особенно учитывая, что аудит программы не выявил подобных проблем. Пользователи программы накопили 70 000 долларов для проведения аудита после слухов о том, что агентство национальной безопасности США может декодировать значительные объемы зашифрованных данных. Первый этап исследования, в котором анализировался загрузчик TrueCrypt был проведен в прошлом месяце. Аудит не выявил ни бэкдоров, ни умышленных уязвимостей. Следующая фаза исследования, в которой должны были проверяться используемые методы криптографии была запланирована на это лето.

Грин был одним из экспертов, участвующих в аудите. Он рассказал, что не имел никакой предварительной информации о том, что разработчики планирую закрыть проект. Грин рассказал: «Последнее что я слышал от разработчиков TrueCrypt: «Мы с нетерпением ждем результаты 2 фазы испытания. Спасибо за ваши старания!». Нужно отметить, что аудит продолжится, как было запланировано, несмотря на остановку проекта TrueCrypt.

Возможно, создатели программы решили приостановить разработку, потому что утилита является устаревшей. Разработка прекратилась 5 мая 2014 года, т.е. уже после официального прекращения поддержки системы Windows XP. На SoundForge упоминается: «Windows 8/7/Vista и более поздние системы имеют встроенные средства для шифрования дисков и образов виртуальных дисков». Таким образом, шифрование данных встроено во многие ОС, и разработчики могли посчитать программу больше не нужной.

Чтобы добавить масла в огонь отметим, что 19 мая TrueCrypt была удалена из защищенной системы Tails (любимой системы Сноудена). Причина до конца не ясна, но использовать программу явно не следует – отметил Клули.

Клули также написал: «Будь то обман, взлом или логичный конец жизненного цикла TrueCrypt, становится ясно, что сознательные пользователи не будут чувствовать себя комфортно, доверяя свои данные программе после произошедшего фиаско».


Рекомендуем также