Comments 38
На рис. 11 я скопировал папку своего профиля пользователя (где есть множество мелких файлов) с диска С: на зашифрованный диск Z:.
У вас C и Z на одном физическом носителе, или на разных?
Далее откроется окно Крипо Диск (рис. 2). В нем нужно ввести пароль, который будет использоваться для расшифровки диска при его монтировании.
А шифрование с помощью сертификатов вы не поддерживаете?
Программа попросит ввести пароль, необходимый для расшифровки ваших данных
… а теперь вспомним про то, с чего началась статья:
Допустим, есть жесткий диск на 500 Гб и есть три пользователя, которые периодически работают с компьютером. [...] у одного из этих трех пользователей будут права администратора и он сможет получить доступ к файлам оставшихся двух пользователей. [...] Каждый из этих разделов будет зашифрован, а пароль доступа к зашифрованному разделу будет знать только тот пользователь, который зашифровал этот раздел. При этом администратор при всем своем желании не сможет расшифровать раздел другого пользователя и получить доступ к его файлам.
Что мешает администратору поставить банальный кейлоггер, и перехватить пароль?
И снова здравствуйте -) Это цепляние к словам. Админ может все. Имелось ввиду что в отличие от ACL метод шифрования априори надежнее.
Админ может все.
Если админ может все, то зачем вы пишете «администратор при всем своем желании не сможет расшифровать раздел другого пользователя и получить доступ к его файлам»?
Имелось ввиду что в отличие от ACL метод шифрования априори надежнее.
Зато ACL позволяет совместный доступ (что при работе нескольких людей на одной машине оправдано).
Ну и да, чем ваше решение лучше BitLocker, EFS и TrueCrypt? А если вдруг вам на ум пришло слово «ГОСТ», то скажите, пожалуйста, какой именно ГОСТ вы используете для шифрования, и чья у вас реализация?
зачем вы пишете «администратор при всем своем желании не сможет расшифровать раздел другого пользователя
Это цепляние к словам.
Зато ACL позволяет совместный доступ
Очень оправдано использовать криптодиск и совместно его юзать -) Если для предприятия, то у нас реализована система шифрования сетевых папок. Практически нет аналогов.
Ну и да, чем ваше решение лучше BitLocker, EFS и TrueCrypt?
EFS лучше, в одной из статей в ближайшее время. Только не надо путать EFS и криптодиски. У нас свой драйвер прозрачного шифрования файлов inplace. Намного более скоростной и надежный. Но об этом позже. Хуже Bitlockerа. Потому что битлокер использует аппаратное шифрование, опять же некорректное сравнение. Трукрипт? Считаем что не хуже. Но у нас рассчитан на коммерческие организации, которые требуют договор на техобслуживание и поддержку 24*7. Трукрипт это дает?
Ну то есть указать вам на заведомо — и вам это известно — ложное утверждение в вашей статье — это цепляние к словам? Ну ок.
А смысл? Что знают двое — знает и собака, preshared secrets неизбежно утекают.
Вы утверждаете, что у вас драйвер надежнее, чем то, что реализовано MS? Амбициозно.
Ничего некорректного в этом нет. Что вам мешает TPM использовать?
А вы даете поддержку 24х7? С каким SLA?
Очень оправдано использовать криптодиск и совместно его юзать
А смысл? Что знают двое — знает и собака, preshared secrets неизбежно утекают.
У нас свой драйвер прозрачного шифрования файлов inplace. Намного более скоростной и надежный.
Вы утверждаете, что у вас драйвер надежнее, чем то, что реализовано MS? Амбициозно.
Потому что битлокер использует аппаратное шифрование, опять же некорректное сравнение.
Ничего некорректного в этом нет. Что вам мешает TPM использовать?
Но у нас рассчитан на коммерческие организации, которые требуют договор на техобслуживание и поддержку 24*7.
А вы даете поддержку 24х7? С каким SLA?
Очень оправдано использовать криптодиск и совместно его юзать
Это была ирония на Ваши слова про АСЛ.
Вы утверждаете, что у вас драйвер надежнее, чем то, что реализовано MS? Амбициозно.
Да. Вот сколько дырок в ЕФС.
Что вам мешает TPM использовать?
Согласен.
А вы даете поддержку 24х7? С каким SLA?
Любому покупателю Enterprise.
Это была ирония на Ваши слова про АСЛ.
А вас удивляет, что бывают совместно используемые «секретные» данные?
Да. Вот сколько дырок в ЕФС.
А сколько в вашем драйвере? Сколько тестов прошла EFS, и сколько — ваша система?
Любому покупателю Enterprise.
С каким SLA?
Я не знаю что конкретно Вы имеете ввиду под уровнем слуг.
А что входит в ваше техобслуживание и поддержку, которыми вы так гордитесь?
Гордится — грех. На уровне просто покупки Enterprise емейл, телефон, удаленное подключение в рамках системы кейсов — тикетов. Если с договором техподдержки то обговаривается количество часов в офисе заказчика, или срок гарантийного обслуживания, или участие в проверках регуляторов. Так как в основном берут для защиты персональных данных у нас отдельная структура по услугам — persondata.ru
UFO just landed and posted this here
Да, про ГОСТ: на данный момент реализация OpenSSL. Крипто-Про в юзермоде нереально долго. Ведем переговоры с ними насчет драйвера ядра.
Все скрытие сводиться к разыменованию буквы раздела, делается парой кликов в Disk Management.
TrueCrypt может спрятать один раздел в конец другого. Вот это настоящие сокрытие, определить наличие такого раздела едва ли возможно в принципе.
TrueCrypt может спрятать один раздел в конец другого. Вот это настоящие сокрытие, определить наличие такого раздела едва ли возможно в принципе.
Все скрытие сводиться к разыменованию буквы раздела, делается парой кликов в Disk Management.
О чем черным по белому со скрином написано в статье. Никакое прятание не дает математической защиты.
Я бы постеснялся о таком нелепом сокрытии даже упоминать, чего там в заголовок его выносить.
Ваш способ не дает, в отличии от TrueCrypt.
Никакое прятание не дает математической защиты.
Ваш способ не дает, в отличии от TrueCrypt.
При чем тут трукрипт? Царство ему небесное, кстати. Он прячет разделы? Он прячет виртуальный диск в файле. Файл как спрячете? У нас, например, предусмотрено именно скрытие самого файла криптодиска. Файл нашли, знают что делали его трукриптом. Дальше нужно узнать пароль, который использует пользователь при работе с ним. И тут уже те же методы что и для любого ПО, в том числе и для нашего. Или это, типа, сказочки: нашли криптодиск, Вы выдали пароль №1, и тупые оперативники не догадались спросить Пароль №2? И максимум что они получат переписку с женой Агутина которая под паролем№1, а вот планы Кремля по захвату Киева, которые под паролем №2 — никак.
В нашей статье про скрытие мы пишем, что любое скрытие расчитано на определенную категорию ищущих. В данном случае метод в нашем ПО для разделов является почти единственным (не считая такие, которые очень легко похоронят оный), и да, рассчитан на среднего пользователя. Но даже найдя его, как отличить его от RAW диска? Вы сходу на глаз поймете что это шифродиск?
В нашей статье про скрытие мы пишем, что любое скрытие расчитано на определенную категорию ищущих. В данном случае метод в нашем ПО для разделов является почти единственным (не считая такие, которые очень легко похоронят оный), и да, рассчитан на среднего пользователя. Но даже найдя его, как отличить его от RAW диска? Вы сходу на глаз поймете что это шифродиск?
Он прячет разделы?
Именно так. Смысл в том, что скрытый раздел начинается с середины основного раздела. Так как основной раздел перед всей процедурой перезаписывается случайными данными, отличить скрытый раздел от шума не получится. Правда есть риск случайно перезаписать скрытый раздел, если заполнить основной больше половины.
Но даже найдя его, как отличить его от RAW диска?
Зависит от реализации в вашем ПО.
Или это, типа, сказочки: нашли криптодиск, Вы выдали пароль №1, и тупые оперативники не догадались спросить Пароль №2? И максимум что они получат переписку с женой Агутина которая под паролем№1, а вот планы Кремля по захвату Киева, которые под паролем №2 — никак.Допустим, они спросят пароль #2. Я отвечу — нет такого. Конец истории, наличие скрытого раздела недоказуемо.
И на самом деле, даже первый пароль мы отдавать не обязаны «по просьбе». По решению суда — пожалуйста, но суд не может обязать выдать то, чего нет.
UFO just landed and posted this here
У нас шифрование идет на OpenSSL. С использованием ускорения проца, в режиме CBC. Код доступен. Каждый желающий может посмотреть.
Замеры были относительно обычной скорости записи без шифрования, абсолютные цифры не говорят ни о чем, а только в % от обычной работы с этим же носителем. Сделано намерено таким образом, который может воспроизвести самый неквалифицированный пользователь.
Замеры были относительно обычной скорости записи без шифрования, абсолютные цифры не говорят ни о чем, а только в % от обычной работы с этим же носителем. Сделано намерено таким образом, который может воспроизвести самый неквалифицированный пользователь.
только в % от обычной работы с этим же носителем.
У вас замер сделан таким образом, что не понятно, кто является ограничителем — зашифрованное устройство или источник данных. У меня вот между двумя дисковыми устройствами скорость копирования около 50Мб/с — сколько у меня будет, если я поставлю вашу программу? И, что важнее, какая будет нагрузка на систему, что на ней параллельно можно будет делать, а что — нет?
UFO just landed and posted this here
Я по-моему насчет замеров уже сказал. Я и не говорил что для госта аппаратку используем, не надо передергивать. Без всех исходников конечно. Но вот есть такая замечательная штука — BestCrypt Jetico. Они берут 100€ только за одно шифрование дисков. Ни сорцов, ни споров, ни сертификатов -) И не парятся. Есть такая вещь как репутация. Вот над ней и работаем.
Эта публикация (IMHO) репутации не добавила.
А Jetico еще берет за поддержку UEFI, токенов, гарантированное обновление. И еще много чего.
А Jetico еще берет за поддержку UEFI, токенов, гарантированное обновление. И еще много чего.
У нас поддержка токенов, гарантированное обновление, 24*7 саппорт по телефону и с удаленным подключением. Но смысл какой, если ПО без сорцов (а значит с закладками ФСБ) по логике местного сообщества и доверять такому ПО — себя не уважать. И если тоже самое можно фантазировать о Jetico какая разница что они там дают в нагурзку к своему «бэкдорному» ПО? Так получается?
Это реклама, не вздумайте это использовать.
А как у вас с VSS на зашифрованном диске?
Вообще какое то не понятное решение- по функционалу хуже Трукрипта, стоит денег, исходники закрыты, работает не понятно с какой скоростью.
ГОСТ взломан. Не этот ГОСТ используете?
И да, при создании софта для шифрования нужно ориентироваться на параноиков и шпионов. Только они укажут на ваши слабые места.
Вообще какое то не понятное решение- по функционалу хуже Трукрипта, стоит денег, исходники закрыты, работает не понятно с какой скоростью.
ГОСТ взломан. Не этот ГОСТ используете?
И да, при создании софта для шифрования нужно ориентироваться на параноиков и шпионов. Только они укажут на ваши слабые места.
Что-то не вижу исходников на сайте. Мало кто из посетителей хабры будет использовать закрытое ПО для шифрования, зачем нам лишнее ПО с закладками.
LUKS/dm-crypt наше все, в хакере тоже писали.
LUKS/dm-crypt наше все, в хакере тоже писали.
Sign up to leave a comment.
Как зашифровать и скрыть раздел жесткого диска с помощью программы CyberSafe