Truecrypt – Różne

Dziś zajmiemy się następującymi zagadnieniami:

 

Używanie TrueCrypt bez uprawnień administratora

W systemie Windows użytkownik, który nie posiada uprawnień administratora może używać programu TrueCrypt, pod warunkiem, że administrator komputera zainstaluje na nim program. Jest tak ze względu na to, że TrueCrypt od sterownika urządzenia wymaga zagwarantowania transparentnego szyfrowania/deszyfrowania w locie, a w Windowsie użytkownik bez praw admina nie może instalować/uruchamiać sterowników urządzenia.

Kiedy już administrator zainstaluje TrueCrypt na komputerze, inni użytkownicy będą mogli go uruchamiać, montować i demontować każdy wolumen, odczytywać dane z wolumenu i zapisywać na nim dane, a także tworzyć wolumeny w pliku. Nie mogą jednak szyfrować/formatować partycji, tworzyć wolumenów NTFS, instalować ani odinstalowywać TrueCrypt, zmieniać haseł ani plików klucza dla partycji/urządzeń, tworzyć kopii zapasowych nagłówków partycji/urządzeń TrueCrypt ani ich przywracać, nie mogą także uruchamiać samego programu w trybie przenośnym.

Uwaga: Niezależnie od rodzaju używanego oprogramowania, z uwagi na kwestie prywatności, nie powinno się (nie jest to bezpieczne) pracować z poufnymi danymi na systemie, na którym nie posiadamy uprawnień administratora – admin ma wtedy dostęp do naszych danych (z hasłami i kluczami włącznie) i może je skopiować.

 

Dzielenie przez sieć

Dostęp do wolumenu TrueCrypt jednocześnie z poziomu kilku systemów operacyjnych uzyskuje się na dwa sposoby:

1. Wolumen jest zamontowany tylko na jednym komputerze (na przykład na serwerze) i tylko zawartość zamontowanego wolumenu (tj. systemu plików z wolumenu) jest dzielona przez sieć. Użytkownicy innych komputerów lub systemów nie muszą montować wolumenu (jest już zamontowany).

Plusy: Każdy użytkownik może zapisywać dane na wolumen. Dzielony wolumen może być utworzony zarówno w pliku jak i w partycji/urządzeniu.

Minusy: Dane przesyłane przez sieć nie są szyfrowane. Można je zaszyfrować używając np. SSL, TLS, VPN czy inną metodą.

Uwagi: Kiedy uruchomisz ponownie system, udziały w sieci zostaną automatycznie przywrócone jeśli wolumen jest ulubionym wolumenem systemowym lub zaszyfrowaną partycją systemową/dyskiem systemowym (jak skonfigurować wolumen jako ulubiony wolumen systemowy dowiesz się w dziale Ulubione wolumeny systemowe).

2. Zdemontowany plik-kontener TrueCrypt jest przechowywany na jednym komputerze (na przykład na serwerze). Zaszyfrowany plik jest udostępniany w sieci. Użytkownicy innych komputerów lub systemów będą mogli lokalnie zamontować dzielony plik. W ten sposób wolumen będzie zamontowany jednocześnie na wielu systemach operacyjnych.

Plusy: Dane przesyłane przez sieć będą zaszyfrowane (jednak mimo to zalecamy szyfrowanie ich za pomocą SSL, TLS, VPN lub inną metodą, która zachowa integralność danych i utrudni ewentualną analizę ruchu danych.

Minusy: Udostępniany wolumen może być tylko wolumenem utworzonym w pliku. Musi być też zamontowany w trybie tylko do odczytu na każdym z systemów (w sekcji Opcje montowania znajdują się informacje jak zamontować wolumen w tym trybie). Pamiętaj, że dotyczy to również niezaszyfrowanych wolumenów, m. in z powodu możliwej niespójności danych, która może wyniknąć, kiedy zechcemy odczytać dane z typowego systemu plików na jednym systemie operacyjnym, kiedy ten system plików jednocześnie jest modyfikowany na drugim systemie operacyjnym przez inną osobę, co może skutkować uszkodzeniem danych.

 

Zadanie TrueCrypt w tle

Kiedy główne okno programu TrueCrypt jest zamknięte, zadanie w tle dba prawidłowe funkcjonowanie poniższych czynności/funkcji:

1) Klawisze skrótu

2) Funkcja automatycznie zdemontuj (np., w momencie wylogowania, podczas nieprawidłowego usunięcia urządzenia-hosta, osiągnięciu limitu czasu, itp.)

3) Funkcja automatycznie zamontuj (ulubione wolumeny)

4) Powiadomienia (np., o fakcie uchronienia ukrytego wolumenu przed uszkodzeniem)

5) Ikona w zasobniku

UWAGA: Wypisane powyżej funkcje nie działają, jeśli wyłączony jest program TrueCrypt i jego zadanie tle.

 

Wolumen zamontowany jako usuwalny nośnik

Ta konkretna sekcja dotyczy wolumenów zamontowanych z włączoną jedną z poniższych opcji.

  • Narzędzia -> Preferencje -> Montuj wolumeny jako usuwalne nośniki
  • Opcje montowania -> Montuj wolumen jako usuwalny nośnik
  • Ulubione -> Organizuj ulubione wolumeny -> Montuj wybrany wolumen jako usuwalny nośnik
  • Ulubione -> Organizuj ulubione wolumeny systemowe -> Montuj wybrany wolumen jako usuwalny nośnik

Wolumeny TrueCrypt zamontowane jako usuwalne nośniki mają swoje wady i zalety:

  • Windows nie tworzy automatycznie folderów ‚Recycled‚ i/lub ‚System Volume Information‚ w wolumenach TrueCrypt (w Windowsie te foldery są używane przez Kosz i funkcję Przywracanie systemu).
  • Windows może używać metod zapisu danych do pamięci podręcznej i opóźnionego zapisu normalnie wykorzystywanych dla usuwalnych nośników (np., pamięć USB). Może to nieznacznie zmniejszać wydajność operacji, jednocześnie zwiększając szanse szybkiego zdemontowania wolumenu bez potrzeby wymuszania demontowania.
  • System operacyjny zwykle stara się sprowadzać liczbę otwieranych uchwytów do minimum. Dlatego w przypadku wolumenów zamontowanych jako usuwalne nośniki rzadziej trzeba wymuszać ich demontowanie (w porównaniu do innych wolumenów).
  • W systemach Windows Vista i starszych, lista ‚Mój komputer’ nie pokazuje wolnego miejsca na wolumenach-usuwalnych nośnikach (nie jest to usterka programu TrueCrypt, a jedynie ograniczenie nałożone przez Windowsa).
  • W Windowsie Vista desktop i nowszych, sektory wolumenu-usuwalnego nośnika są dostępne dla wszystkich użytkowników systemu (także dla użytkowników bez uprawnień admina).
  • System operacyjny może mieć inny sposób indeksowania plików (z którego korzysta np. podczas wyszukiwania błyskawicznego) dla wolumenów zamontowanych jako usuwalne nośniki.

 

Pliki systemowe i dane aplikacji TrueCrypt

Ważne: %windir% jest główną ścieżką instalacji Windows (np. C:\WINDOWS)

Sterownik TrueCrypt

%windir%\SYSTEM32\DRIVERS\truecrypt.sys

Ważne: Ten plik jest niewidoczny kiedy TrueCrypt jest uruchomiony w trybie przenośnym.

UstawieniaTrueCrypt, Dane aplikacji i inne pliki systemowe

UWAGA: TrueCrypt nie szyfruje żadnego pliku wypisanego w tej sekcji (jeśli nie szyfruje partycji systemowej/dysku systemowego).

Następujące pliki są zapisywane w folderze %APPDATA%\TrueCrypt\. W trybie przenośnym są one zapisywane w folderze, z którego uruchamiany jest program TrueCrypt (tam, gdzie znajduje się plik TrueCrypt.exe):

Configuration.xml (główny plik konfiguracji).

System Encryption.xml (tymczasowy plik konfiguracji używany w początkowej fazie szyfrowania/deszyfrowania partycji/dysku systemowego w locie).

Default Keyfiles.xml
Uwaga: Ten plik może być niewidoczny, jeśli nie zastosujesz odpowiedniej funkcji TrueCrypt.

Favorite Volumes.xml
Uwaga: Ten plik może być niewidoczny, jeśli nie zastosujesz odpowiedniej funkcji TrueCrypt.

History.xml (lista ostatnich dwudziestu plików/urządzeń, które użytkownik próbował zamontować jako wolumeny lub użyć jako hostów dla wolumenów; ta opcja może być wyłączona – więcej informacji w podsekcji Nigdy nie zapisuj historii w dziale Główne okno programu).
Uwaga: Ten plik może być niewidoczny, jeśli nie zastosujesz odpowiedniej funkcji TrueCrypt.

In-Place Encryption
In-Place Encryption Wipe Algo
(tymczasowe pliki konfiguracji używane w początkowej fazie procesu szyfrowania/deszyfrowania niesystemowego wolumenu w locie).

Post-Install Task – Tutorial
Post-Install Task – Release Notes
(tymczasowe pliki konfiguracji używane podczas procesu instalacji lub aktualizacji TrueCrypt).

Poniższe pliki są zapisywane w folderze %ALLUSERSPROFILE%\TrueCrypt\:

Original System Loader (kopia zapasowa oryginalnej zawartości pierwszej ścieżki dysku utworzona zanim został zapisany na nią Program rozruchowy TrueCrypt).
Uwaga: Ten plik może być niewidoczny, jeśli nie zastosujesz odpowiedniej funkcji TrueCrypt.

Poniższe pliki są zapisywane w folderze %windir%\system32:
TrueCrypt System Favorite Volumes.xml
Uwaga: Ten plik może być niewidoczny, jeśli nie zastosujesz odpowiedniej funkcji TrueCrypt.

TrueCrypt.exe
Uwaga: Kopia tego pliku znajduje się w tym folderze tylko, gdy został zdefiniowany przynajmniej jeden ulubiony wolumen systemowy.

 

Jak usunąć szyfr

Używając TrueCrypt, bierz pod uwagę to, że program może rozszyfrowywać w locie tylko partycje systemowe i dyski systemowe (wybierz System -> Trwale rozszyfruj partycję/dysk systemowy). Aby usunąć szyfr z niesystemowego wolumenu, wykonaj poniższe kroki:

1. Zamontuj wolumen TrueCrypt.
2. Przenieś wszystkie pliki z wolumenu poza wolumen (zostaną one rozszyfrowane w locie).
3. Zdemontuj wolumen TrueCrypt.
4. Jeśli wolumen jest utworzony w pliku, usuń go (kontener) tak, jak usuwasz każdy inny plik.

Dla wolumenu utworzonego w partycji (i pamięci USB), poza krokami 1-3 wykonaj też dodatkowe czynności opisane poniżej:
a. Prawym kliknij na ikonę Mój komputer i wybierz Zarządzaj. Powinno pojawić się okno Zarządzania komputerem.
b. W oknie, z listy po lewej wybierz Zarządzanie dyskiem (w poddrzewie Magazynowanie).
c. Prawym kliknij na partycję, którą chcesz rozszyfrować i wybierz ‚Zmień literę dysku i ścieżki‚.
d. Powinno pojawić się okno zmiany litery dysku i ścieżki. Jeżeli nie pojawiła się żadna litera dysku, to w okienku Dodaj literę dysku lub ścieżkę wybierz literę dysku, którą chcesz przypisać do partycji i kliknij OK.
e. W oknie Zarządzanie komputerem kliknij jeszcze raz prawym na partycję, którą chcesz rozszyfrować i wybierz Formatuj. Powinno pojawić się nowe okno formatowania.
f. W nowym oknie kliknij OK. Po sformatowaniu partycji będzie można ładować pliki na/z niej bez potrzeby montowania partycji.

Dla wolumenu utworzonego w urządzeniu (tj., wtedy, gdy na urządzeniu nie ma partycji i urządzenie jest całkowicie zaszyfrowane), poza krokami 1-3 wykonaj też dodatkowe czynności:
a. Prawym kliknij na ikonę Mój komputer i wybierz Zarządzaj. Powinno pojawić się okno Zarządzania komputerem.
b. W oknie Zarządzania komputerem, na liście po lewej stronie, wybierz Zarządzanie dyskiem (w poddrzewie Magazynowanie).
c. Powinno pojawić się okno ‚Inicjuj dysk‚. W nim zainicjujesz dysk.
d. W oknie Zarządzania komputerem, kliknij prawym na pole reprezentujące przestrzeń do przechowywania danych zaszyfrowanego urządzenia i wybierz ‚Nowa partycja‚ lub ‚Nowy prosty wolumen‚.
e. UWAGA: Zanim przejdziesz dalej, upewnij się, że wybrałeś właściwe urządzenie, ponieważ wszystkie przechowywane na nim pliki zostaną utracone. Powinno pojawić się okno Kreatora nowej partycji lub Kreatora nowego prostego wolumenu; wykonuj wszystkie polecenia kreatora. Po utworzeniu partycji na urządzeniu będzie można odczytywać i zapisywać pliki na urządzenie bez potrzeby montowania urządzenia za pomocą programu TrueCrypt

 

Odinstalowywanie TrueCrypt

Aby odinstalować TrueCrypt w systemie Windows XP, wybierz Menu Start -> Ustawienia -> Panel sterowania -> Dodaj lub usuń program -> TrueCrypt -> Zmień/usuń.

Aby odinstalować TrueCrypt w systemie Windows Vista lub nowszym, wybierz Menu Start -> Komputer -> Odinstaluj lub zmień program -> TrueCrypt -> Odinstaluj.

Razem z odinstalowaniem programu TrueCrypt nie zostaną usunięte żadne wolumeny. Ponowne zamontowanie wolumenu(-ów) będzie możliwe dopiero po ponownym zainstalowaniu programu/uruchomieniu go w trybie przenośnym.

 

 

Cyfrowe sygnatury

Dlaczego trzeba sprawdzać cyfrowe sygnatury

Zdarza się, że paczka instalacyjna, którą pobrałeś z naszego serwera została utworzona bądź wcześniej zmodyfikowana przez atakującego. Mógł on na przykład wykorzystać jakąś lukę w zabezpieczeniach oprogramowania serwerowego i zmienić zawartość paczki bądź zamienić konkretne pliki.

Dlatego zawsze sprawdzaj integralność i autentyczność każdej paczki TrueCrypt, którą pobierasz, nieważne z jakiego źródła, nawet z serwera TrueCrypt. Autentyczna paczka to ta utworzona przez nas (paczka autorska), niezmieniona w żaden sposób przez osoby trzecie. Jednym ze sposobów na sprawdzenie, czy z właśnie takim zaufanym plikiem mamy do czynienia jest sprawdzenie jego cyfrowego podpisu/podpisów.

Rodzaje używanych cyfrowych sygnatur

Obecnie używamy tych dwóch cyfrowych sygnatur:

  • Sygnatury PGP (dostępne dla wszystkich paczek binarnych i paczek z kodem źródłowym we wszystkich obsługiwanych systemach).
  • Sygnatury X.509 (dostępne dla wszystkich paczek binarnych w Windowsie)

Zalety sygnatur X.509

Sygnatury X.509 mają kilka plusów (w porównaniu do sygnatur PGP):

  • O wiele łatwiej jest sprawdzić, czy klucz który podpisał plik jest faktycznie nasz i że nie należy do atakującego.
  • Nie trzeba pobierać ani instalować dodatkowego oprogramowania sprawdzającego sygnaturę X.509 (patrz poniżej).
  • Nie trzeba pobierać ani importować naszego klucza publicznego (jest połączony z podpisanym plikiem).
  • Nie trzeba pobierać żadnych oddzielnych plików sygnatur (sygnatura jest połączona z podpisanym plikiem).

Zalety sygnatur PGP

Sygnatury PGP (w porównaniu do sygnatur X.509) cechują się tym, że:

  • Nie są zależne od żadnych urzędów certyfikacji (niewiarygodne z wielu względów, np. mogą być przejęte bądź szpiegowane przez atakującego).

Jak sprawdzać sygnatury X.509

Na tą chwilę sygnatury X.509 są dostępne tylko w Windowsie i tylko dla samorozpakowujących się plików instalacji TrueCrypt. Cyfrowa sygnatura X.509 jest połączona z tymi plikami zawierającymi cyfrowy certyfikat Organizacji TrueCrypt wydany przez publiczny organ certyfikujący. Wykonaj poniższe kroki, by sprawdzić integralność i autentyczność samorozpakowujących się plików instalacyjnych dla Windowsa:

1. Pobierz samorozpakowującą się paczkę instalacyjną TrueCrypt.

2. W eksploratorze Windows, prawym kliknij na pobrany plik (‚TrueCrypt Setup.exe‚) i z menu wybierz ‚Właściwości‚.

3. W oknie Właściwości wybierz zakładkę ‚Cyfrowe sygnatury‚.

4. W zakładce ‚Cyfrowe sygnatury‚ na Liście sygnatur kliknij dwa razy na linijkę „Organizacja TrueCrypt„. (Jeśli widzisz tam inną nazwę, paczka prawdopodobnie została zmieniona przez kogoś innego od momentu jej wypuszczenia. W takim wypadku przerwij operację i zgłoś nam taką sytuację).

5. Powinno pojawić się okno ‚Szczegóły cyfrowej sygnatury‚. Jeśli widzisz następujące zdanie:
„Cyfrowa sygnatura jest OK. „, to sprawdzenie integralności i autentyczności powiodło się.

6. Jeśli nie widzisz tego zdania, to plik jest najprawdopodobniej uszkodzony – nie uruchamiaj go.

Uwaga: Na starszych wersjach Windowsa (np. Windows 2000), brakuje niektórych ważnych certyfikatów, przez co nie da się sprawdzić sygnatury.

Jak sprawdzić sygnatury PGP

Aby sprawdzić sygnatury PGP, wykonaj te kroki (dodatkowe informacje znajdziesz w dokumentacji oprogramowania szyfrującego):

1. Zainstaluj oprogramowanie szyfrujące kluczem publicznym obsługujące sygnatury PGP. Znajdziesz je tutaj.

2. Utwórz prywatny klucz.

3. Pobierz nasz klucz publiczny PGP z naszego serwera lub innego zaufanego miejsca i importuj pobrany klucz do swojego keyring’u.

4. Aby oznaczyć go jako zaufany podpisz importowany klucz swoim prywatnym kluczem. Uwaga: Jeśli pominiesz ten krok i będziesz próbował sprawdzić którąś z sygnatur PGP to wyświetli ci się powiadomienie o błędzie (podpisujący klucz jest nieprawidłowy).

5. Pobierz cyfrową sygnaturę (z jednej ze stron pobierania). Kliknij na przycisk Sygnatura PGP obok pliku, który chcesz sprawdzić.

6. Sprawdź pobraną sygnaturę.

 

 

Cyfrowa Matka

Może Ci się również spodoba

1 Odpowiedź

  1. Chamokultura napisał(a):

    Fajna strona, dopiero „wchodzę” w temat prywatności w sieci. Temat jest tu dość jasno opisany. Pzdr

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *