» »

Izšel TrueCrypt 6.0

Izšel TrueCrypt 6.0

TrueCrypt Foundation - Včeraj je izšla nova različica priljubljenega programa za enkripcijo podatkov v okoljih Windows in Linux, TrueCrypt 6.0. Najpomembnejše novosti so paralelizacija enkripcije in dekripcije na večjedrnih procesorjih, kar pomeni da bodo odslej dvojedrniki tudi v praksi dvakrat hitrejši. Zanimiva je tudi možnost poganjanja skritega operacijskega sistem, katerega obstoj je praktično nemogoče dokazati (plausible deniability). V Windows Visti in Windows 2008 je omogočena možnost enkripcije celotnega sistemskega diska, četudi vsebuje več particij - ta funkcionalnost žal ni na voljo za uporabnike Windows 2000 in XP. Tudi uporabniki Mac OS X in Linuxa bodo lahko ustvarjali skrivne razdelke. Poleg teh in še nekaterih drugih novosti obljubljajo 20 odstotokov hitrejše delovanje, odstranili pa so še hrošča, ki je onemogočal enkripcijo FAT16 ali FAT32 sistemske particije na Windows XP, in nekaj drugih manjših nepravilnosti. Celoten seznam novosti je tu, brezplačen prenos pa na sosednji strani.

61 komentarjev

«
1
2

zee ::

"V Windows Visti in Windows 2008 je omogočena možnost enkripcije celotnega sistemskega diska, četudi vsebuje več particij - ta funkcionalnost žal ni na voljo za uporabnike Windows 2000 in XP."

A to pomeni, da se C:\ diska ne da zakriptirati?
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

gtu ::

a me lahko nekaj zanima [xD]
a če si jaz zakriptiram ključ, ga lahko potem odprem kjerkoli ali ne? a to pač naredi mapco ali particijo(tudi ključ) in potem do tega dostopam samo z geslom?

ender ::

zee: če prav razumem, gre za enkripcijo celotnega diska, vključno s particijsko tabelo (tako, da brez gesla ne vidiš, koliko in kakšne particije so na disku).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

MrStein ::

Če si imel disk z eno particijo (C:) si jo lahko zakriptiral tudi s staro verzijo.
Če si imel več (C,D,E....) pa le z 6.0.
Tako jaz razumem.

gtu, zakriptiran fajl/particijo lahko odpreš vsepovsod, kjer imaš :
- program TrueCrypt
- geslo (mislim da je možno odpiranje tudi s ceritifkati in drugi načini, jaz uporabljam le geslo)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

gtu ::


gtu, zakriptiran fajl/particijo lahko odpreš vsepovsod, kjer imaš :
- program TrueCrypt
- geslo (mislim da je možno odpiranje tudi s ceritifkati in drugi načini, jaz uporabljam le geslo)


oboje al sam nekaj od tega. pomoje oboje ha?

jelengar ::


- program TrueCrypt


Samo za info, truecrypt imaš lahko tudi na ključku (seveda na nekriptirani particiji) in ga zaženeš od tam (torej brez instalacije), potrebuješ pa administratorske privilegije (torej v večini knjižnic/šol/e-točk ne dela)...

Izi ::

Poglej, poglej, pa je res 4-krat hitrejši kot prej 8-O
Popolnoma 4 niten. AES enkriptira in dekriptira z 400 MB/s kar pomeni, da se da sedaj končno splača popolnoma zakriptirati tudi najbolj zahtevne igričarske in grafične računalnike, brez, da bi kaj izgubil na končni hitrosti.

techfreak :) ::

Kje sem že slišal za TrueCrypt 6.0 ... hm ... Ah seveda, včeraj sem ga namestil in mi na Visti nič več ni delovalo. Čisto nič ni delovalo. Odprem IE napiše napako, odprem Slikar, napiše, da je zmanjkalo pomnilnika, odprem Adobe Acrobat Reader ne deluje, odprem Open Office, ne deluje, ....

Po obnovitvi na predhodnjo obnovitveno točko mi je šele delovalo.

Master_Yoda ::

Mogoče zato ker si [------] stisno da ti je disablalo paging file pri inštalaciji ?

Zgodovina sprememb…

  • spremenilo: gzibret ()

luky ::

V Visti dela TrueCrypt 6.0 čisto normalno. .......

lp.
luky!

G2 ::

V MacOS X Leopard 10.5.4 tut.
LP
G2

MrStein ::

oboje al sam nekaj od tega. pomoje oboje ha?

Ja itak. Kaj pomaga enkripcija, če bi lahko vsak brez gesla odprl ... ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BigWhale ::

A ze na 'boss-key'?

Izi ::

Na Visti dela celo bolje kot na starejših Windows.
Problemov niti približno ne more povzročiti nobenih, ker se sploh ne integrira v sistem. Ko je ugasnjen je enako, kot da ga sploh ni na računalniku, ko pa je zagnan pa je vedno samo v RAMU.
Na ostale programe ali sistem nima popolnoma nobenega vpliva, dokler jih ne spraviš v njegov kontejner ali vse skupaj zakodiraš.

Ob namestitvi sedaj po novem vpraša ali naj izključi izmenjevalno datoteko oz. swap ali page file. To je vsekakor pametno storiti, če daš kaj na varnost.
Kriptiranje je precej nesmiselno, če bo nekriptirana kopija vsega kar počneš posneta na disk v swap file.
Izmenjevalno datoteko se uporablja samo kadar je šifriran celotni sistemski disk, kar pomeni, da je znotraj tudi šifrirana izmenjevalna datoteka.

Windows deluje brez problemov če je izmenjevalna datoteka izključena, samo dovolj RAMa je treba imeti (na XP najmanj 2 GB na Visti najmanj 4 GB).
Kakšen zanič napisan program se seveda najde, ki brez izmenjevalne datoteke sploh noče delovati, pač najdeš drugega, ki je bolje napisan.
In pri kakšnem bolj zahtevnem grafičnem programu ali igri bi znalo zmanjkati RAMA. Tukaj pomaga nakup dodatnega RAMA. 8 GB je danes povsem dovolj, da lahko na swap file za vedno pozabiš.
Vseeno pa Microsoft tudi na Visti še vedno trdi, da je swap file nujno potreben in da z njim sistem deluje hitreje kot brez njega.

Če se vrnem na kodiranje celotnega sistemskega diska.
Potreben je vsaj dvojedrnik, še bolje pa štirijedrnik.
Tega se lotevajte izključno samo tisti, ki si računalnik sestavljate in servisirate povsem sami. Na servisu, ti z popolnoma zakodiranim diskom ne bodo mogli nič kaj dosti pomagati. Je enako, kot da bi na servis prinesel računalnik brez trdih diskov. Nobeni diagnostični programi, ki jih serviserji uporabljajo sploh ne bodo zaznali, da je na disku kaj naloženo. Ob popravilih je nujno potreben password in ponavadi tudi uporaba TrueCrypt Rescue diska, ki je bil narejen ob začetku šifriranja.

Druga stvar, ki jo je treba vedeti preden zakodirate sistemski disk je pomanjkanje RAMA preden se sistem začne nalagati.
Marsikdo ne ve, da smo omejeni samo na uporabo ubogih 640 KB RAMA, dokler pravi operacijski sistem ne naloži vsemogoče sistemske driverje, da lahko uporablja več kot samo 640 KB.
Ker pa imajo moderni računalnik poleg miške in tipkovnice integriranih še cel kup reči od zvočnih kartic, prek RAID kartic, do mrežnih kartic, imamo na koncu na voljo že manj kot 600 KB, kar pa se izkaže za premalo, da bi TrueCrypt sploh lahko izvedel dekodiranje sistemskega diska.
Zato je nujno, da vse kar ne uporabljate nujno izključite. Če naprimer na uporabljate diskov v RAID polju potem vsekakor izključite integrirani RAID kontroler v BIOS-u.
Treba je še vedeti, da različna šifriranja potrebujejo različno količino RAMA za dešifriranje.
Najmanj RAMA potrebuje AES, ki je tudi najhitrejši, zato ga močno priporočam za šifriranje sistemskega diska.
Katerokoli drugo šifriranje oz. kombinacija večih, bo potrebovala več kot 600 KB RAMA in ob zagonu računalnika boste obstali pred črnim ekranom z obvestilom Out of memory :D

ender ::

Windows deluje brez problemov če je izmenjevalna datoteka izključena, samo dovolj RAMa je treba imeti (na XP najmanj 2 GB na Visti najmanj 4 GB).
To ni res, zaradi delovanja samega memory managerja v Windows. Edini Windows, ki lahko deluje brez izmenjalne datoteke je XP Embedded, na vseh ostalih pa je minimum za normalno delovanje sistema 2MB.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Izi ::

ender, teorija je eno, praksa pa drugo. Preden nekaj trdiš, je to dobro preizkusiti v praksi :)

Če bi držalo, da je swap file nujno potreben potem ga TrueCrypt ne bi po defaultu izkjučil.

In jaz imam na Visti že več kot eno leto povsem izključen swap file in ni nobenih problemov niti pri zahtevnih grafičnih programih, niti pri igrah.
In to na dveh računalnikih.
Prvi je delovna postaja in server hkrati (Vista 64-bit, 4 GB RAMA), res je ravno na meji in premišljujem, da bi šel na 8 GB RAMa,
drugi pa je HTPC (Vista 64-bit, 2 GB RAMA) za gledanje 1080p filmov je tudi samo 2 GB RAMA dovolj in nobene izmenjevalne datoteke.

Torej praksa kaže, da izmenjevalna datoteka ni nujno potrebna. Tega se tudi izdelovalci TrueCrypta verjetno dobro zavedajo.
Seveda pa lahko osebno potrdim samo za 64-bitno Visto, za ostale pa nisem preizkusil v praksi.

Zgodovina sprememb…

  • spremenil: Izi ()

darkolord ::

Če bi držalo, da je swap file nujno potreben potem ga TrueCrypt ne bi po defaultu izkjučil.


Če bi držalo, da je swap file nepotreben potem ga Microsoft ne bi po defaultu vključil. :)

Izi ::

Če bi držalo, da je swap file nepotreben potem ga Microsoft ne bi po defaultu vključil. :)

Nikjer nisem rekel, da je nepotreben, celo omenil sem, da sistem deluje hitreje z vključenim swap filom.
Pravim samo, da NI NUJNO potreben.

Saj mi v sistemu lepo piše, da je minimalno potrebno 16 MB

Prepis iz mojega sistema:
Minimum allowed: 16 MB
Recommended: 6141 MB
Currently allocated: 0 MB

Zgodovina sprememb…

  • spremenil: Izi ()

elasto_mania ::

allowed=dovoljeno
system pa lepše dela če ima vse v ramu ampak more imet polno rama.

Jst ::

Jaz imam kontejner, ki je narejen z precej staro verzijo (ker tc uporabljam že lep čas). Včeraj si na visto64 naložim truecrypt 6.0 in mountam kontejner (ki ga imam na usb ključu). Vse datoteke sicer vidim in lahko berem, ampak ne morem ničesar spremeniti (edit, new file). Rahlo čudno....
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

poweroff ::

Verjetno je zaradi legacy supporta mountan kot read only. Naredi nov kontejner in datoteke skopiraj tja.
sudo poweroff

Macketina ::

Enako vprasanje imam jaz - uporabljam se v4.3, imam pa kriptirano particijo diska, tako na domacem kot na sluzbenih racunalnikih. Kaksne probleme lahko pricakujem, ce grem na v6.0?
Ali samo instaliram novo in ostane vse isto? :D

poweroff ::

Instaliras na novo, sportaš podatke na nove kontejnerje in to je to. BTW: stari kontejnerji so imeli neke varnostne pomanjkljivosti, zato se splača nadgraditi...
sudo poweroff

driver_x ::

smo omejeni samo na uporabo ubogih 640 KB RAMA, dokler pravi operacijski sistem ne naloži vsemogoče sistemske driverje, da lahko uporablja več kot samo 640 KB.


A ti uporabljaš še DOS?

detroit ::

vidim da se kregate če je swap nujn:D kar je izi reku je čist res ni nujen če imaš dost rama oz tud tak sistem k lahko naslovi zadost rama je skor boljš da ga nimaš ker swap je ful počasn...drgač pa uprašanje zate izi k vidim da neki veš o tem:D

v opisu piše da imaš lahko skrite sisteme (particije najbrž) kaj veš o temu? hvala za odgovore
Skero

MrStein ::

A ti uporabljaš še DOS?

Fant, BIOS dela v realnem načinu. Kar pomeni 640 KB RAM-a.

A ni Intel arhitektura super ? >:D
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

jinzo ::

@MrStein
http://duartes.org/gustavo/blog/post/ho...
this says 1MB.
In da, kar hitro prideš do tega da lahko kernel prepozna ves ram.

P.S: Naredi boljšo, ki bo zdržala 30 let ter potem pametuj :)

driver_x ::

Fant, BIOS dela v realnem načinu. Kar pomeni 640 KB RAM-a.


kaj pa ima realni način skupnega s TreuCryptom?

ender ::

Oxygenium: od teh 1MB, je za uporabo na voljo samo 640kB, ostalo uporablja hardware (grafična kartica, BIOS ipd.)
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Furbo ::

Moj PC ima Visto na dveh diskih v RAID 1 ( intel matrix ) , manj pomembne stvari pa na dveh diskih v RAID 0.

Dam lahko gor Truecrypt ali bo kaj narobe ?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

MrStein ::

Probaj.
Pomembne podatke pa bakupiraj prej ;)

Odvisno kaki tip RAID-a je. Če je BIOS, potem bi najbrž delalo. (99% RAID-ov na Windows so tega tipa)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Izi ::

detroit91, glede skritih particij oz. skritega operacijskega sistema je stvar zelo enostavna. Bistvo je, da so pri TrueCryptu diski na videz vedno prazni, zato nihče ne more vedeti koliko particij ali operacijskih sistemov je naloženo na takem disku.
Eden je vedno za vabo, ki je namenjena za primer, da te policija začne pretepati in mučiti in ti lahko poveš password, ki odpre vabo.
Znotraj te vabe pa je v resnici še ena skrita particija, ki se pokaže samo če vneseš pravi password.

Še lepše je z skritim operacijskim sistemom.
Računalnik na prvi in tudi drugi pogled diska sploh nima formatiranega.
Če se ga požene se pojavi okno za vpis passworda.
Na voljo imaš 2 passworda. Enega (po dolgem prepričevanju) izdaš preiskovalcem in na računalnik se naloži Linux z OpenOfficom, vse legalno. Tudi če podrobno preskenirajo celotni disk bo na njemu samo Linux in odprtokodni programčki.
Če pa kasneje resetiraš računalnik in vtipkaš tisti pravi drugi password pa se naloži piratska Vista, z Microsoftovim Officom, 100 piratskimi igrami, 10000 komadi ukradene muzike, zbirka otroške pornografije in načrti za izdelavo jedrskre bombe >:D

Furbo, TrueCrypt deluje odlično z vsemi vrstami RAID diskovnih polj. RAID polje je tako ali tako vidno samo samo v RAID kontrolerju, sam sistem in vsi programi vključno z TrueCrypt pa sploh ne vedo, da delajo z RAID poljem. Za njih je vidno samo kar jim pokaže RAID kontroler.
Lahko rečemo, da je vse odvisno od RAID kontrolerja in ne od TrueCrypt, ampak 99% je, da bo vse delovalo odlično.

Sammy73, ti se pa malo pouči o osnovah računalnika.
Omenil bom samo, da v primeru, če zakodiraš sistemski disk se TrueCrypt naloži izven Operacijskega Sistema iz boot sektorja na disku, ki je edini, ki ostane nešifriran. Naloži se v RAM, ki ga je zmožen upravljati BIOS. In BIOS lahko upravlja in vidi samo 640 KB RAMa in prav nič več, s tem, da ga že BIOS porabi okoli 40 KB za vse potrebne driverje. Okoli 600 KB pa ga ostane na voljo za TrueCrypt, kar je precej malo, če pogledaš, da mora preverjati passworde in nato še odšifrirati celotni disk. In tukaj moraš sam skrbeti, da ti pomnilnika ne zmanjka. Nobenega swap filea ni navoljo :D
Ko si že omenil DOS pa naj povem še, da je le ta lahko uporabljal že več kot samo 640 KB in sicer 1 MB RAMA, če si pognal gonilnike za uporabo podaljšanega pomnilnika.


Naj se še enkrat vrnem k swap datoteki. Sistem sicer deluje brez nje, ampak moraš vedeti kaj delaš.
Če RAMA ni dovolj za zagon dobiš obvestilo, če pa RAMA zmanjka med izvajanjem programa pa se vse skupaj zablokira brez obvestila in pomaga samo reset sistema.
Trenutno je situacija taka, da brez swap fila,
z 512 MB RAMA ne moreš zagnati nobenega programa niti Notepad ne deluje :)
z 1 GB RAMA se večina programov zažene ampak se vse skupaj ponavadi zablokira v nekaj minutah.
z 2 GB RAMA se že da uporabljati računalnik, če je namenjen samo za HTPC, brez iger in grafičnih programov.
z 4 GB RAMA deluje vse, se pa zna zna zgoditi, da se kakšna igra zablokira po kakšni uri igranja ali pa če poskušaš obdelovati kakšne gromozanske slike ali visokoločljivostni video.
z 8 GB RAMA pa ob trenutnih programih ni možnosti, da bi sesul računalnik brez swap datoteke.

Je pa še nekaj funkcij, ki brez swap fila ne delujejo. Recimo če hočeš, da se ti ob morebitni sistemski napaki naredi poročilo o dotični napaki potrebuješ najmanj 400 MB swap file. In še nekaj sistemskih opravil tudi ni mogočih.

Na splošno pa je računalnik hitrejši brez swap datoteke, dokler seveda deluje :D

Izi ::

Naj še dodam, da če šifriraš, sistemski disk se podatki šifrirajo "on the fly" in ostanejo nedotaknjeni.
V najslabšem primeru lahko zmanjka elektrike ravno med šifriranjem sistemskega diska in izgubil boš tisti file, ki ga ravno tisti hip šifrira.
Zadeva na hitrih računalnikih traja nekaj ur, na počasnih pa tudi cel dan :D
Precej je odvisno kako se odločiš glede praznega prostora, kjer je možnost od 1-kratnega do 35-kratnega prepisovanja praznega prostora z naključnimi podatki. Če imaš res kaj za skrivati in ti "men in black" že dihajo za vrat potem je 7-kratno prepisovanje minimum.

Če pa šifriraš nesistemski disk pa bodo vsi podatki obvezno izgubljeni saj je potrebno formatiranje.
Po mojem mnenju je najbolje odstraniti prav vse particije iz takega diska in nato šifrirati celotni disk in ne particije.
Disk v tem primeru izgleda kot, da je ravnokar prišel iz trgovine in na njem ni popolnoma ničesar pa če še tako podrobno pregledujejo.
Lahko se izgovoriš, da si ravnokar naredil 10-krat zapored pravi low level format in da na disku ni popolnoma ničesar.

Za začetnike pa vedno najprej priporočam samo uporabo kontejnerjev. Šele ko te dobro obvladaš je čas, za naslednjo stopnjo.
Kontejnerji so daleč najlažji za uporabo, seveda jim nikakor ne smeš dati končnico TC

MrStein ::

Izi:

Tudi če podrobno preskenirajo celotni disk bo na njemu samo Linux in odprtokodni programčki.

In par giga "naključnega šuma", ki sploh ne bo zgledal sumljiv ...



V najslabšem primeru lahko zmanjka elektrike ravno med šifriranjem sistemskega diska in izgubil boš tisti file, ki ga ravno tisti hip šifrira.

Ali pa crkne ravno med enkripcijo MFT in so ob vse fajle.
Sicer je to oboje ugibanje. Če so kaj pametni, potem prekinitiev ne uniči nič podatkov (primerjeva s prastarimi programi za defragmentacijo diska: eni pustijo za sabo ruševine, če se prekinejo, eni pa čist lepo delujoči brezhibni disk)

Če imaš res kaj za skrivati in ti "men in black" že dihajo za vrat potem je 7-kratno prepisovanje minimum.

O tem so že ble doktorske dizertacije. Na modernih diskih so trije prepisi več kot dovolj.

Disk v tem primeru izgleda kot, da je ravnokar prišel iz trgovine in na njem ni popolnoma ničesar pa če še tako podrobno pregledujejo.

Nov disk nikakor ni poln z nekimi navidez random podatki.

Lahko se izgovoriš, da si ravnokar naredil 10-krat zapored pravi low level format in da na disku ni popolnoma ničesar.

Še enkrat, prazen disk in disk poln random podatkov ne zgleda isto niti začetniku, kaj šele dobremu preiskovalcu.

Kontejnerji so daleč najlažji za uporabo, seveda jim nikakor ne smeš dati končnico TC

Ja, fajl z imenom "Porno filmi" in instaliran TrueCrypt sploh ne bo padel v oči ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

ender ::

O tem so že ble doktorske dizertacije. Na modernih diskih so trije prepisi več kot dovolj.
Jaz sem slišal ravno obratno - da nobena količina prepisovanja ni dovolj, da bi popolnoma uničila podatke (zato npr. ameriške agencije diske, ko gredo iz uporabe zmeljejo).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Sims ::

Vprašanje.

Človek se odloči da bo ZAČEL uporabljati TrueCrypt. Seveda, narediš kontainer in presnameš noter file, ki si jih imel na disku. Do sem še ok. Če pa poženeš program recimo "get data back" ti pa seveda pokaže vso nesnago ali karkoli si imel. Torej kakšen je postopek? Namen: računalniški servisi radi pogledajo po disku ...

- Narediti kontainer, presneti file, nato z recimo nekim Erazer programom parkrat prepisati prazna mesta?

LP.

Sims

Zgodovina sprememb…

  • spremenil: Sims ()

poweroff ::

Sims: hja... recimo Clean Disk Security. Ampak problem je, ker ti preprisuješ "prazen prostor" znotraj datotečnega sistema oz. znotraj particije. Rabil bi pa pobrisati celoten disk.

In ja - odvisno od varnosti. Za osnovno je dovolj, da prepišeš 1x. Za res dobro varnost pa je treba preprisati 35x po posebnem postopku (Guttmannov algoritem), pa še tam ni čisto OK.

Stvar je namreč v tem, da s časom med vrtenjem diska glava nekoliko zaide iz svoje poti. Firmware potem popravi "sled", vendar na residualih ostanejo prejšnje verzije podatkov.

Rešitev: uporabljati šifriranje že od začetka, od novega diska dalje.

P. S. Pa ne pozabit na swap, hibernacijsko in temp datoteke!
sudo poweroff

elasto_mania ::

Še enkrat, prazen disk in disk poln random podatkov ne zgleda isto niti začetniku, kaj šele dobremu preiskovalcu.

Sicer pa ko ti daš delete nekatero datoteko ti trdi disk jo ne izbriše jo samo označi za izbrisano tako da se lahko na to izgovoriš.

Ja, fajl z imenom "Porno filmi" in instaliran TrueCrypt sploh ne bo padel v oči

Sej če je kriptirano ti ne pokaže imena edino če nimaš kontejner z imenom porno filmi :)

poweroff ::

Sicer pa ko ti daš delete nekatero datoteko ti trdi disk jo ne izbriše jo samo označi za izbrisano tako da se lahko na to izgovoriš.

Seveda ne.

Če imaš poln disk nekih random podatkov - je to že znak, da so podatki gor kriptirani.
sudo poweroff

Izi ::

Preveč ste paranoični :D
Nekateri tukaj si predstavljajo forenzike kot nekakšne bogove :D

Res je kot je omenil Matthai, da glavo na disku rado malo zanaša sem in tja in zato pušča več zapisov enega zraven drugega po disku.
Najmanj 3 zapise je res brez problema prebrati, več je pa že precej težje.
Mislim, da so trenutno zmožni prebrati približno do 9 zapisov, venda tam od petega naprej dobijo smo še sem in tja kakšen majhen uporaben košček. V vsakem primeru pa potrebuješ zelo zelo drage naprave za prebiranje teh stranskih sledi in tega se bo država lotila, samo v primeru, če ti predstavljaš veliko grožnjo za celotno državo ali pa če si povzročil kakšno več milijonsko škodo.
Druga stvar je, da tudi če bodo prebrali večino diska bodo podatki precej neuporabni, če jim ne bo uspelo rešiti MFT tabele. Ena sama datoteka, sploh če je malo daljša je ponavadi razdeljena na precej delov in razmetana po celem disku. Čim bolj je disk fragmentiran bolj je vse skupaj kaotično in brez smisla. Brez MFT tabele tudi najboljši forenzik ne bo kaj dosti uporabnega potegnil iz diska.
Potem je važen format. Vsak format čisto po svoje organizira snemanje podatkov na diske, nekateri formati sploh ne potrebujejo defragmentacije, nekatere pa je treba defragmentirati vsak dan, drugače hitrost takoj opazno pade.
Da sploh ne omenjam, da ima lahko vsak disk drugačno razporeditev in velikost clustrov in sektorjev.
Če pri kakšnem od FAT formatov nekaj mesecev ne narediš defragmentacije še sam sistem komajda najde prave podatke kljub narančni MFT tabeli, kako bi potem forenzik kaj uspel dobiti iz takega diska, če se slučajno MFT tabela nepopravljivo pokvari.

MrStein pa očitno ni prebral, da sem priporočil, da se iz diska ODSTRANI PARTICIJA, kar pomeni, da na takem disku ni več formata podatkov.
Na takem disku ne moreš več govoriti, da so na njem naključni podatki. Dejansko so na njem samo ničle ali pa enke, enako kot takrat ko pride iz tovarne. Ker na disku ni particije in formata dejansko sploh ne moreš videti kaj je na disku, ne moreš videti tudi tistih naključnih podatkov.
Na takem disku obstaja dejansko samo en sektor (zagonski), do katerega se lahko dostopa in ta vsebuje navidez popolnoma naključna števila. Ves ostali disk je popolnoma nedostopen in neuporabne, ker sploh nima particije in formata.
Za tak disk tudi najboljši forenzik na svetu ne more dokazati, da je sploh kaj na njemu.

Tako se da šifrirati samo nesistemski disk.
Tak disk postane uporaben šele, ko ti iz sistema zaženeš TrueCrypt, ki preko vtipkanega passworda poskuša dešifrirati zagonski sektor drugega diska.
Zanimivo je, da niti TrueCrypt sam ne more vedeti ali je na disku kaj šifriranega ali ne. Če pasword ni pravi se ne zgodi nič in neben forenzik z TrueCryptom ali pa z katerimkoli drugim orodjem ne more vedeti ali je šlo samo za napačen password ali pa na disku dejansko ni ničesar.

Treba je vedeti, da tudi TrueCrypt nikoli ne ve ali je password pravi ali ne. On vedno proba dešifrirati karkoli mu ponudimo z tistim passwordom, ki ga utipkamo. Zato se pri TrueCryptu lahko sicer predvideva, da gre za šifrirane diske ali kontejnerje nikoli pa se ne da nič dokazati.
Tudi kontejnerji ne vsebujejo nobenega headerja. Tako, da se celo za kontejnerje ne more nikakor dokazati, da gre za karkoli šifriranega. Se pa seveda precej lahko ugiba, da so datoteke brez headerja kriptirani kontejnerji, ker kaj drugega skoraj ne morejo biti :D
Edino kjer se vidi, da gre resnično za šifriran disk je šifriran sistemski disk, ker ta pač sam vpraša za password ob zagonu, ker se TrueCrypr naloži v zagonski sektor diska. Ampak tudi tam lahko uporabiš en poassword za vabo, drugi pa za pravi sistem.
In še nekaj za MrSteina, ko odpreš sistem za vabo se odpre celoten disk in ne samo en del, ki bi dal slutiti, da se nekje še kaj skriva. Sistem za vabo ima precej praznega prostora po katerem lahko normalmo pišeš brez omejitev. Nobenih naključnih podatkov ni nikjer. Je popolnoma prazen prostor na voljo da počneš karkoli se ti zljubi. Seveda če boš pisal po tem praznem prostoru boš prepisal prostor namenjen skritemu sistemu, ki bo tako uničen. Enako je pri skritih kontejnerjih znotraj kontejnerja. Tako daleč so šli zato, da se skritega sistema nikakor in na noben način ne da dokazati, ker takrat dejansko ne obstaja. Ga pa zato lahko mimogrede uničiš, zato tisti del za vabo nikakor ni namenjen uporabi ampak samo za vabo v kritičnih trenutkih preiskave računalnika.

Če pa se vrnem k prej omenjenem neformatiranem disku brez particije pa se šele če na njegoven navidez nesmiselnem zagonskem sektorju uporabiš pravi password naredi v RAMU zagonski sektor diska, ki šele takrat pove, kakšna particija je na disku in kako je disk sploh formatiran. Šele takrat se sploh da dostopati do takega diska vendar samo iz tistega sistema, ki v RAMu vsebuje osnovne podatke o disku.
Če do diska poskusiš dostopati izven sistema ali preko mreže, je disk še vedno popolnoma prazen in brez formata.
Vse se dogaja v RAMU, sam disk pa dejansko za vedno ostane brez particije in formata.

ender ::

Izi: "prazen" prostor se da prebrati, in običajno v praznem prostoru na disku niso naključni podatki, pač pa kosi izbrisanih datotek (ali pa ničle). In kose izbrisanih datotek je precej lahko ločiti od povsem naključnih podatkov.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

MrStein ::

elasto_mania:
Sej če je kriptirano ti ne pokaže imena edino če nimaš kontejner z imenom porno filmi

Ja, saj je bilo govora o kontejner fajlu.


Izi, FAT nima MFT. Ima pa .... FAT !

Na takem disku obstaja dejansko samo en sektor (zagonski), do katerega se lahko dostopa in ta vsebuje navidez popolnoma naključna števila. Ves ostali disk je popolnoma nedostopen in neuporabne, ker sploh nima particije in formata.

Če ne prej, tukaj izvemo, da Izi nima pojma kak diski v računalnikih delujejo. (nič hudega, jaz tudi nimam pojma kak epoksi smola deluje... Le da jaz ne pametujem o epoksi smoli)

(razen če je zgodbo tako preveč poenostavil, da je izgubila smisel ;) )
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Matevžk ::

OK, Izi, tukaj si res brcal v temo, kot so ti že povedali.
V vsakem trenutku se da prebrati celotna vsebina diska. Če je kriptiran, seveda ni opaznega formata in ni "pričakovanih" podatkov. Ne more pa biti disk "prazen" (npr. same ničle). In niti forenzikov ne bo pretirano zanimala tabela particij, če bo očitno, da particij na disku (v standardnem smislu, torej s tabelo particij na prvem sektorju) ni. Tako ali tako lahko tudi navaden (nekriptiran; katerikoli) datotečni sistem deluje na celem disku, torej brez particij in tabele particij.
lp, Matevžk

Volk| ::

Mene pa zanima ali za verzijo 6.0 obstaja tudi neistalacijska verzija?
Na strani nisem zasledil tega.
za 4.3 verzijo mam, samo ni kompatibilna z 6.0
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

Jst ::

Traveller mode?
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Volk| ::

Zajebal sem...
Z truecrypt sem si naredil kontejner.
dal pod geslo in kljuc. Kljuc pa po pomoti zbrisal.:'(
Noben data recovery mi ne najde kljuca vec na disku.
Zdaj pa eno neumno vprasanje: Obstaja kaka možnost da kontener odprem brez kljuca?
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

McHusch ::

Ne. Če s forenzično aplikacijo na najdeš ključa, si oplel.

Volk| ::

Sem upal na čudež.
mater, zakaj mi recovery programi ne najdejo kljuca?
zato ker kljuc nima končnice?
_______________________________________________________
Izobražen je tisti človek, ki ve, kje bo našel tisto, česar ne ve.

darkolord ::

Ker ne iščeš prav.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Uporaba TrueCrypt

Oddelek: Programska oprema
123482 (2465) Jupito
»

Izšel TrueCrypt 7.0 (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
11932130 (28630) Jst
»

free-ware zaščita po fejst hudem napadu

Oddelek: Pomoč in nasveti
322743 (1639) Domini
»

Izšel TrueCrypt 5.1

Oddelek: Novice / Zasebnost
1125780 (25128) poweroff
»

Izšel TrueCrypt 4.0

Oddelek: Novice / Ostala programska oprema
265104 (4245) poweroff

Več podobnih tem