Aplikace pro kryptovani dat/disku

V tomto threadu piste sve zkusenosti s nastroji pro tento ucel.
-------------

Truecrypt: Bezi to na Win i Tux platformach. Zajimavosti je, ze umi zakryptovat bud cely oddil nebo vytvorit soubor, ktery se do systemu pripoji jako dalsi disk. Spravna varianta zalezi na okolnostech, pokud jde o kryptovani jen vybranych dat(maly objem dat), lepsi bude asi soubor, jelikoz jej lze snadno nakopirovat na flash a podobne.

Bohuzel v ramci vlastniho virtualniho disku umi pouze FAT nebo NTFS. Pod tuxem lze pouzivat s pomoci ntfs3g a fuse. Zapis na kryptovany oddil probiha bez potizi (na cteni staci modul, ktery je soucasti jadra 2.6).

Prenosy jsou dostatecne rychle na to, aby se dalo rict ze nikterak vyrazne neomezuji praci s daty.

Bezpecnost je zavisla na zvolenem hesle, alternativne lze vyuzit jeste vybrane soubory. To je ovsem alespon z me zkusenosti celkem rizikova vec, jelikoz clovek zapomene ktere to jsou, pripadne je zmeni/smaze/... a ma data v trapu.

Jak moc jsou pouzite sifry rozlousknutelne nevim, jelikoz nejsem kryptoanalytik, ale podle informaci ktere jsou po netu pravdepodobne dostatecne na to, aby se k datum nedostal nikdo v dohledne dobe.

Mam TrueCryptem zakryptovany cely disk 320GB. Nikoli jako logickou jednotku, ale soubor, ktery zabira celou vyuzitelnou kapacitu disku. Sifrovani pouzivam AES, heslo vic nez 25 znaku. Rychlost cteni/zapis je velmi slusna, dlouhodobou spolehlivost prozatim nemuzu moc hodnotit - pouzivam neco kolem dvou mesicu. Silne nedoporucuju pouzivat nejake vedlejsi soubory. Neni nad to, mit heslo jen v hlave.

Na tema TrueCrypt snad jen toliko - po vyzkouseni nekolika komercnich nastroju a smutnych zkusenostech s mizernou kompatibilitou ve firemnim prostredi (velka cast aplikaci je psana na miru) jsem skoncil u TrueCryptu a zatim jen ty nejlepsi reference. Jedina chybicka na krase je, ze zatim neumi vyuzivat eTokeny, nebo SmartCard.

Tady je zhodnoceni od Vlastimila Klimy, ktereho povazuju za odbornika z nejpovolanejsich v tomto oboru. Opravdu nemam potrebu shanet jiny nastroj ;-)

Tak ja tu pridam jeden komecrni soft, ktery krom kryptovani umi spoustu dalsich veci (zakaz tisku, ukladani, znemozni printscreen, a dalsi... )
- kryptuje soubory, nikoliv cele disky ci partitiony...

EMC Information Rights Management - IRM

http://software.emc.com/microsites/r...tica/index.htm

informace u vyrobce jsou kuse a povrchni, na prani muzu dodat vice info po SZ

edit. male info:
IRM moduly zajišťují vlastníkům souboru úplnou kontrolu nad informacemi včetně: Určení, kteří konkrétní uživatelé mají mít přístup k dokumentům Zabránění přeposlání, zkopírování informace k neoprávněným osobám Zabránění tisku dokumentu, nebo jeho části Zamezení operací s clipboardem, případně se SW sloužícím k snímání obrazovek Možnost definovat vodoznaky, které jsou automaticky tištěny s informací Zajištění expirace informace Možnost sledování všech aktivit s dokumenty a vytváření kompletního audit trailu.

Citace:

---

Původně odeslal xvojta

edit. male info:
IRM moduly zajišťují vlastníkům souboru úplnou kontrolu nad informacemi včetně: Určení, kteří konkrétní uživatelé mají mít přístup k dokumentům Zabránění přeposlání, zkopírování informace k neoprávněným osobám Zabránění tisku dokumentu, nebo jeho části Zamezení operací s clipboardem, případně se SW sloužícím k snímání obrazovek Možnost definovat vodoznaky, které jsou automaticky tištěny s informací Zajištění expirace informace Možnost sledování všech aktivit s dokumenty a vytváření kompletního audit trailu.

---

Hmm, zajimave, ale obavam se ze to je ciste reseni na bazi OS => jakmile pripojim disk jinam, muzu si se souborem delat co chci ?

Citace:

---

Původně odeslal Jezevec

Hmm, zajimave, ale obavam se ze to je ciste reseni na bazi OS => jakmile pripojim disk jinam, muzu si se souborem delat co chci ?

---

jediny co potrebujes je konektivita na "kryptovaci server" a klientskou aplikaci... OS je sumak...

ale samozrejmosti je i moznost prace offline (po zvolenou dobu)

jakmile jednou soubor zasifrujes a nastavis politiku -> kamkoliv ho odneses/premistis -> potrebujes pro nasledne otevreni klientskou aplikaci (cca 12MB) -> ta incializuje spojeni se serverem (168bit TripleDES) -> overi prava pristupu a nastavenou politiku a posle dekryptovaci klic klientske aplikaci -> ta desifruje data a nastavi politiku

jen podotykam, ze reseni zatim umi "pouze" word, excel, powerpoint a acrobat...

uz je to trosku jasnejsi?

Jop, to pak jo, ale

Citace:

---

(zakaz tisku, ukladani, znemozni printscreen, a dalsi... )

---

to asi omezi jen na OS kde je nainstalovano.

Citace:

---

Původně odeslal Jezevec

Jop, to pak jo, ale to asi omezi jen na OS kde je nainstalovano.

---

ano, kde to nainstalovano neni, neotevres sifrovany soubor, tudiz netreba tyto funkcionality omezovat ;)

V praci pouzivame pro laptopy http://www.safeboot.com/ . Je to zakomponovane castecne do Active Directory. Co se tyce spolehlivosti, tak zatim za 1/2 roku zadny problem. Mame nastaveno sifrovani celych partition.
Neznam jak to vypada u ostatnich nastroju, ale fajn je moznost obnoveni hesla.

Niekde som cital(zrejme root alebo abclinuxu), ze pri pouziti Truecryptu je pouzitie subrov pre sifrovanie(neviem teraz ako sa to oznacuje) dost nestastne riesenie, nakolko je to riesene velmi slabo a da sa to prekonat doslova za par sekund, zatial co ochrana heslom je "neprleomitelna". A taktiez je vyhoda TC, ze umoznuje sifrovat kombinovanim sifier, ktore crackerovi mozu pripravit "nepekne" prekvapenie. Taktiez dalsim pozitivom je ze TC umoznuje vytvorit skritu cast sifrovaneho suboru so "skutocnimi" datami, co je vhodne v priapde ze ste nejako donuteny vydat zasifrovane data. Takto sa niekto iny dostane k zasifrovanym datam(bezcennym/podvrhnutym), ale k tym dolezitim sa nedostane a nema ako zistit ze tam este nejake data su.

Citace:

---

Původně odeslal SonnY

Niekde som cital(zrejme root alebo abclinuxu),...

---

aaano, dokonce presne v tom odkazu ktery uvadim hned ve tretim prispevku ;)

chtel bych poradit. Po dlouhe uvaze jsem si poridil externi HDD na zalohy. Chtel bych pouzit bud kryptovani, nebo ciste jen heslo tak, aby po pripojeni k jakemukoliv PC (USB) disk chtel zadat heslo, pres ktere by nejel vlak. Poradite, mam pouzit Trucrypt ? ci neco jineho ?
a pokud TC, poradite, jak nastavit to aby to okamzite po pripojeni pres usb vyzadovalo automaticky to heslo (ktere logicky kdyz se nezada spravne), tak se disk nepripoji ? dekuji

EDIT: tak studuju TC.

nejak mi neni jasny, chci udelat ten cestovni disk, ale oni tvrdi , ze exac TC + autorun.inf, se ulozi na unencrypted partisnu. Takze rozumim tomu spravne, ze na tom celym HDD musim udelat 2 partitiony ? jednu malinkou unencrypted, kam se ulozi ten exac + autorun.inf, a druha (v podstate cely disk, vyjma treba 5 MB) a ta se zakryptuje. Chapu to spravne ? help needed.

Musim odporucit komercni drivecrypt, umi sifrovat i bootovaci disk windows (vcetne falesneho systemu), zpomaluje v radu procent a predevsim funguje. Nasadil jsem ho v jedne firme na cca 6 pocitacu a bezi to tam jiz nekolik let bez jedineho problemu, zaklad je ale neulozit sifrovaci klic na diskovy oddil, ktery s nim zasifruji :) takze doporucuji nejdrive nastudovat pouziti, to plati pro vsechny tyto softy ;)

UPDATE: takze OS umi zasifrovat i truecrypt, to je skvele :)

UPDATE 2: nemate nekdo nejake benchmarky truecruptu? docela by me zajimalo jak se projevi zasifrovani OS na modernim CPU.

UPDATE 3: hm tak muj stroj dokaze cryptovat rychlosti 192MBps a cist 195MBps, coz je uchazejici. Pokud muj disk dokaze cist rychlosti 110MBps, tak to znamena za zatez CPU bude nekde kolem 60-70%.

ma tu nekdo zkusenost s TC a externim diskem ?

EDIT: zatim to vypada asi tak, ze by bylo dobre udelat 2 paritiony na tom externim HDD, jednu 10 mega a zbytek druhou. s tim ze me napada ze by nebylo od veci, tu velkou zakryptovat TC a dat jako skrytou. z te 10 megove poustet TC, a autorun.inf.

Co vy na to ?

@GreenOrchid:
já jsem se dostal jenom k možnymu řešení a to hodit TC do Traveller mode s nastaveným automountem + vytvoření kontejneru o velikosti zbytku kapacity. nicméně stále může být problém - potřeba administrátorských oprávnění na zavedení ovladače truecrypt.sys
ale jak na to koukám, tak ten tvůj rozdělenej disk taky nevypadá jako špatny řešení.

Partisny nedelej, to nemusej widle rozdejchat, neumej s tim na externim disku korektne pracovat. Naformatuj to na ntfs a pak na tom vyrob proste soubor pres vetsinu disku.

2Petrik: Truecrypt funguje naprosto vpoho, kdybys hledal, najdes tu pokud si pamatuju i bechmark. Navic funguje stejne vpoho i na tucnakovi.

Jeykey, Jezevec,

prijde mi az zarazejici ze tuhle varinatu nikdo nepouzil (v minulosti / nepotrebuje). t.j. bez instalace (o tom s temi admin pravy jsem cetl, ale to nebude problem, budu ho pripojovat na lokalnich domacich strojich (asi bez site), a tam admin prava budou temer vzdy.)

ten zasifrovanej soubor na zbytek disku nechci, v dokumentaci pisou , ze se tento typ hodi na USB flashky, na velky disk (muj pripad 500GB) se hodi spise zakryptovana partitiona.
take chci ochranu pouze heslem, zadne klice.


Dobre takze budu prukopnik.
Udelam to jak jsem psal v prubehu tydne, a dam vam vedet, moje poznatky.
jinak ten disk je EXTERNAL WD Passport Ess, 500GB, 5400rpm.

dnes urcite zacnu... budu sem psat poznatky.

EDIT: vcera prvni krok, byl naformatovani z FAT na NTFS.

EDIT2:
tak me napada jak vlasnte funguje kdyz vytvorim druhou partitionu na externim disku ? normalne kdyz disk ted pripojim k ruznym kompum, tak nekde je videt jako E , jinde jako F, podle toho kolik jednotek tam uz je.
Lze nastavit nejaka "permanentni pismena", treba K, L ? nebo si Winy vzdy nahodne prideli takove jake jsou zrovna volne ? Tohle asi nepatri primo sem, ale do disku, ale souvisi to s timhle problemem.

Ze zkusenosti wokna prideluji prvni volne pismenko eventuelne nahodne.
V truecryptu si to volis sam, takze s tim (nastesti :) ) nemaji nic spolecnyho.

Pouzivam zakryptovanej OS disk, dale automount po spusteni PC dalsich disku, externi disk v ramecku formou partisny a druhej formou fajlu (backup, vykon je mi sumak).

HollyG. ale ten postup s dvema partisnama, na jednom EXT HDD asi nemas ze ? (jde mi primarne o tu prenositelnost mezi ruznymi PC, bez toho abych musel TC instalovat a zaroven aby to chtelo heslo, automaticky po pripojeni disku do USB.)

EDIT: jeste k tem pismenum a externim diskum. Zjistil jsem ze pokud pismena priradite pres storage management ve winech, tak se tak na tom pocitaci bude vzdy hlasit. Treba K,L. nicmene na jinem kompu to naskoci zase treba jako E,F :o)))) jojo. muselo by se to ukladat nekam na ten ext.hdd.disk, ta informace, a to asi nende :o)

Citace:

---

Původně odeslal GreenOrchid

Zjistil jsem ze pokud pismena priradite pres storage management ve winech, tak se tak na tom pocitaci bude vzdy hlasit. Treba K,L. nicmene na jinem kompu to naskoci zase treba jako E,F :o)))) jojo. muselo by se to ukladat nekam na ten ext.hdd.disk, ta informace, a to asi nende :o)

---

Tohle se pokud vím ukládá někam do registru zhruba v podobě "písmenko" = id hardwaru.

tak jedeme. Uvadim muj postup, pouziti Truecrypt 6.2: (Windows Vista)

1) rozdeleni EXTERNIHO disku WD 500GB 5400rpm, na 2 partitiony.

- 15 MB FAT (disk M: ) - Partition2
- 465 GB NTFS (disk N: ) - Partition1

benchmark ukazuje toto (viz screen 1)

2) zakryptovat 465 GB partitionu (vybral jsem AES, SHA-512 hash).

3) vytvoreni cestovniho disku s parametry (viz screen 2)
- na disk M: se ulozi autorun.inf, slozka truecrypt - ta obsahuje 2x sys file, 1x exe file ,a v mem pripade cestinu (xml file).

Dulezita poznamka: jak vidite v te relativni ceste jsou dve promenne (prvni, Harddisk a cislo. Tak, jak to mam ja nastavene to bude fungovat na PCckach, kde je fyzicky 1 HDD. v pripade ze mate nekde disku vice staci zmenit cislici za "harddisk" na vyssi cislo (editace souboru autorun.inf) (popripade zjistit aktualni cestu primo pri prvnim rucnim mountovani zakryptovaneho disku)

4) HOTOVO a FUNGUJEEEEE !
- po vlozeni do USB, se automaticky spusti script, ktery chce rovnou heslo.
- po zadani spravneho hesla se objevi disk Z: (to je to nase ochraneny mistecko) vice viz screen 3.

Jupijajej
takze ted s tim muzu prijit k jakymukoliv kompu (XP, Vista/win7) a nemusim mit nainstaleny truecrypt a presto to pojede jako po masle, a samo. a HESLEM ochraneny.



EDIT:
ted me jeste napada jak odladit 2 mensi nedostatky: (na funkcni ale uz nemaji vliv, oba jsou dekoracniho charakteru):

1) pote, co disk pripojim do USB, se pri detekci disku N: ve vistach objevi textovy dialog, ze jednotka neni nafomatovana a zda chci format: moznosti jsou Format a Cancel. (toto je standartni chovani Windows Vista a encrypted partisen/disku) . Staci klepnout na cancel a je to. Ja ale nechci aby tam ten dialog vubec vyskakoval.
RESENI: odstranit pismeno na encrypted partisne, pres disk management, change letters and path, remove.

2) Disk Z: je mezi "removable devices". Vyhoda: Winy na nej nezapisuji $recycle bin, a System volume information. Nevyhoda: pres Tento pocitac, a klepnuti na disk neni videt zaplnene a volne misto (v Total Commanderu je vse ok samozrejme). Pokusim se zeeditovat autorun.inf tak, aby byl videt mezi normalnimi HDD disky.
RESENI: ze souboru autorun.inf smazte tento parametr "/m rm"

finalni reseni lze videt na screenu 4

jinak co se tyka Windows 7 + TC, , doporucuju precist minimalne tyto 2 linky: (snad je to jen problem pri instalaci Win7)

http://forums.truecrypt.org/viewtopic.php?t=16196
a pak
http://www.mydigitallife.info/2009/0...-installation/

Na tom linku to popisujou jako by to znamenalo konec sveta :)
Pritom jde jednoduse o to, ze online sifrovani OS nemuze fungovat kdyz je bootloader na jinym disku.
Ale taky me to vytrestalo, kdyz sem v instalatoru jen kliknul na next, ghost a win7 repair pomohl.

doplneny vsechny me poznatky a reseni.

dale procesor T7500 to vytezuje pri zapisu na disk, zhruba od 35-55 %, z ramky si to pri peaku ukouslo az 900 MB :)

Zdravim vsetkych...otazocka...ako sa mam zbavitkryptovanej particie...alebo miesta na disku?? Aby sa dajem tomu po formatovani particia javila ako "normalna" nie kryptovana. Pomoze klasicky format disku??? Lebo u mna to nejako nefunguje.
Dufam ze som to nedoplietol a ze ste ma pochopili.

Dakujem