Текст книги "Анонимность и безопасность в Интернете. От «чайника» к пользователю"

Как уже было отмечено, TrueCrypt умеет создавать зашифрованный виртуальный диск тремя способами:

✓ в виде файла, который легко использовать. Вы можете перенести или скопировать этот файл, скажем, на флешку или на USB-диск, не заботясь о файловой системе, в которой отформатирован носитель. Даже если он будет отформатирован как FAT32, это никак не повлияет на качество шифрования. Размер такого файла – динамический и увеличивается по мере добавления в него новых файлов и каталогов – вплоть до всего свободного места на разделе. Однако если предполагается работа с большим объемом зашифрованных данных, лучше сразу зашифровать весь раздел – так производительность работы с зашифрованными данными будет выше;

✓ с помощью полного шифрования содержимого устройства. Этот способ подходит для флешек и внешних USB-дисков. Дискеты, увы, уже не актуальны, поэтому не поддерживаются современными версиями TrueCrypt;

✓ с помощью шифрования одного из разделов жесткого диска. Вы можете зашифровать раздел жесткого диска и поместить на него все ваши конфиденциальные документы, в том числе и базу данных своего почтового клиента.

Шифрование TrueCrypt очень надежно. Программа поддерживает алгоритмы шифрования AES, Serpent, Twofish и др. Поддерживается и "вложенное" шифрование различными алгоритмами – например, можно сначала зашифровать данные алгоритмом AES, затем – Serpent, а затем – Twofish.

Все алгоритмы шифрования используют безопасный режим работы, что позволяет выполнять шифрование и дешифровку данных "на лету", не боясь их потерять.

Примечание

Шифрование TrueCrypt настолько надежно, что спецслужбам и органам власти частенько приходится прибегать к не совсем законным методам, дабы расшифровать данные. Да, намного проще запугать человека, чтобы узнать пароль к данным, нежели заниматься их расшифровкой.

В подтверждение своих слов привожу ссылку на один из проектов, посвященных программе TrueCrypt: http://truecrypt.org.ua/content/пользователь-truecrypt-был-арестован-по-причине-отказа-назвать-пароль-0.

Для доступа к зашифрованным данным может использоваться пароль (ключевая фраза), ключевые файлы или и пароль, и ключевые файлы. Самый надежный способ – это использование для доступа к данным и пароля, и ключевых файлов. Чуть менее надежный – только ключевых файлов. Ну и самый простой (конечно, относительно – все зависит от пароля) – только пароля.

С ключевыми файлами все не так просто. Ведь возникает необходимость их постоянно копировать, хранить где-нибудь и т. д. Нет смысла хранить ключевые файлы вместе с зашифрованным томом TrueCrypt – сами понимаете почему. Поэтому зачастую пользователи предпочитают использовать для доступа к данным только пароль. Пароль, в конце-концов, можно просто запомнить. Не надо беспокоиться о том, что нужно скопировать его куда-нибудь, он всегда с вами.

Особенность TrueCrypt заключается также и в том, что в качестве ключевых файлов могут использоваться любые файлы на вашем жестком диске, а не специальные сертификаты, кем-то проверенные и кем-то подписанные. Вы создаете любой файл, пусть это будет обычный документ, и с его помощью зашифровываете целый раздел. Злоумышленник никогда не догадается, какой именно файл вы выбрали.

Впрочем, неприятный момент присутствует и здесь – если вы потеряете этот файл (вы или кто-то другой его случайно удалит, или же произойдет сбой на жестком диске и будет поврежден хотя бы один байт этого файла), то уже не сможете получить доступ к своим данным.

Итак, если вы не храните государственную тайну, то вполне подойдет обычный надежный пароль. Из главы9 вы уже знаете, как его создать.

Программу TrueCrypt можно запускать без установки в операционной системе – для ее запуска не требуются права членов группы администраторов. А это очень удобно – для установки той или иной программы иногда может не хватить прав доступа. В случае же с TrueCrypt вы можете использовать программу с обычными правами пользователя.

Вот некоторые второстепенные особенности программы:

✓ возможность изменения пароля и ключевых файлов зашифрованного тома без потери зашифрованных данных – так что пароли менять не только можно, но и нужно;

✓ возможность назначения "горячих клавиш" для различных операций – например, для монтирования или размонтирования зашифрованного тома;

✓ возможность резервного сохранения заголовка тома, что полезно при восстановлении информации в случае повреждения тома и для восстановления старого пароля, который был действителен для старого заголовка;

✓ шифрование системного физического или логического диска. Да, вы можете зашифровать даже системный диск, аутентификация (ввод пароля) будет дозагрузочной – очень удобно.

Примечание

Такая же функция – BitLocker – имеется и в Windows 7 (в редакциях Корпоративная и Максимальная), но ходят слухи, что в BitLocker встроена лазейка для обхода защиты. Правда это или нет, точно не знаю, но в неофициальных кругах такие сведения циркулируют. А дыма без огня, как известно, не бывает…

Первая версия программы появилась 2 февраля 2004 года. Изначально она основывалась на проекте E4M (Encryption for the Masses), появившемся еще в 1997 году. Проект был очень популярен среди пользователей, еще бы – бесплатная программа с открытым кодом для шифрования «на лету». Но в 2000 году работу над проектом приостановили, поскольку создатель E4M переключился на коммерческие разработки.

Как уже отмечалось, разработчики TrueCrypt взяли за основу код программы E4M. И в 2004-м году TrueCrypt стала единственной программой с открытым исходным кодом для шифрования на лету и с полной поддержкой Windows XP, чем не могли похвастаться другие бесплатные программы.

Настоящий прорыв в развитии TrueCrypt произошел с выходом четвертой версии в 2005-м году – тогда программа стала кроссплатформенной (появилась ее Linux-версия). Кроме этого появились поддержка x86–64, хэш-алгоритм Whirlpool и многое другое. В том же 2005-м году (в версии 4.1) была существенно увеличена стабильность работы благодаря использованию нового режима работы (LRW).

В 2006-м году программа "научилась" создавать тома, изменять пароли и ключевые файлы, генерировать ключевые файлы и создавать резервные копии заголовков томов. А для Windows NT появилась поддержка динамических томов.

В 2007-м году появилась полная поддержка 32– и 64-разрядных версий Windows Vista, были также исправлены некоторые ошибки. Linux-версия отставала – для этой операционной системы пока не был разработан даже графический интерфейс. Его добавили только лишь в пятую версию, вышедшую в 2008 году. В этой же версии появилась поддержка шифрования всей файловой система Windows, в том числе и системного раздела.

В версии 5.1 (тоже 2008-й год) реализация алгоритма AES была переписана на языке ассемблера (ранее она была написана на языке C). В результате производительность шифрования диска существенно выросла.

В шестой версии тоже появились довольно интересные возможности:

✓ параллельное шифрование/дешифрование, что повышает производительность на многоядерных и многопроцессорных системах;

✓ возможность создания скрытых разделов при работе с Linux и Mac OS;

✓ возможность установки скрытых операционных систем, существование которых невозможно доказать (интересная возможность для пиратов).

Поддержка Windows 7 появилась только в версии 6.3. Так что, если по какой-то причине вам придется использовать непоследнюю версию программы (на момент написания этих строк – 7.1), то версию ниже 6.3 устанавливать не стоит.

В версии 7.0 еще больше ускорили алгоритм AES, появилась возможность автоматического монтирования томов, поддержка больших томов с размером сектора 1024, 2048 и 4096 байтов; кроме того, теперь TrueCrypt умеет шифровать файл подкачки Windows, который может содержать конфиденциальную информацию.

Вы уже столько знаете о TrueCrypt, что наверняка хотите ее скачать. Зайдите на сайт разработчика http://www.truecrypt.org/ в раздел Downloads и скачайте самую последнюю версию для Windows (на данный момент – это версия 7.1). Там же можно найти версии для Linux и Mac OS, если они вам нужны.

Внимание!

Не следует загружать TrueCrypt с неофициальных сайтов. Популярность программы огромная, и о ней знают не только законопослушные пользователи. Поскольку исходники программы доступны на сайте разработчиков всем желающим, каждый может их скачать, встроить "черный ход" и выложить на своем сайте. Да и немало вирусов распространяется под видом различных популярных программ. Например, думаешь, что устанавливаешь Firefox, а на самом деле – троян. Поэтому только официальный сайт!

Локализацию для программы тоже можно взять с официального сайта: http://www.truecrypt.org/localizations. Локализация для русского языка неполная, поэтому для создания иллюстраций в книге использована нелокализированная, английская версия программы. Если вы решите локализировать программу, то распакуйте скачанный со странички локализации архив с русскими языковыми файлами в каталог, в который установили TrueCrypt. Далее запустите программу и из меню выберите Settings | Language, а затем – из списка – Русский язык.

Запустите программу установки. Первым делом она предложит прочитать лицензию TrueCrypt – она чем-то напоминает GPL, но все же отличается от нее. В подробности можете не вдаваться, примите лицензию и нажмите кнопку Next. А вот дальше вам будут предложены два режима установки (рис. 10.12):

✓ Install – обычная установка, для выбора этого варианта вам нужны права администратора. В большинстве случаев (если вы сам владелец компьютера, на который устанавливается программа) нужно выбрать этот вариант;

✓ Extract – простое извлечение файлов программы в выбранный вами каталог. Фактически происходит извлечение мобильной (Portable) версии программы. Этот вариант не требует установки, следовательно, права администратора не понадобятся.

Рис. 10.12. Выбор варианта установки программы

Вы можете вообще извлечь программу на флешку и на этой же флешке создать зашифрованный файл, в котором и станете хранить все ваши конфиденциальные данные. Для запуска программы надо будет запустить исполнимый файл TrueCrypt.exe непосредственно из каталога установки. У этого способа есть один недостаток, иначе все бы только и работали с TrueCrypt в portable-режиме. Система UAC в этом случае будет «ругаться» каждый раз при запуске TrueCrypt, что очень неудобно, когда работаешь с зашифрованным томом каждый день. Другое дело, если, действительно, нужно записать на флешку что-то такое, чтобы никто посторонний не смог прочитать. Или когда нет другого выхода – нет, например, прав администратора.

Далее установка программы ничем не отличается от установки других программ– нажимаем кнопку Next столько раз, сколько требуется, и ждем, пока программа будет установлена (рис. 10.13). Сразу после установки инсталлятор предлагает ознакомиться с руководством. Если вы сначала отказались, но потом посчитали, что все-таки руководство следовало прочитать, специально для вас я сохранил ссылку, открываемую программой, когда пользователь хочет ознакомиться с документацией: http://www.truecrypt.org/docs/?s=tutorial.

Рис. 10.13. Программа успешно установлена

Запустите программу (рис. 10.14). Вы увидите список незанятых букв устройств. Их набор зависит от количества разделов на вашем жестком диске (или дисках) и подключенных носителей данных.

Нажмите кнопку Create Volume. Не беспокойтесь – хоть в названии этой кнопки и есть слово Volume (том), создавать еще один раздел на жестком диске никто не будет. Программа просто предложит вам один из вариантов (рис. 10.15):

Create an encrypted file container – создать виртуальный зашифрованный диск, который будет сохранен в файловой системе как обычный файл. В большинстве случаев рекомендуется именно этот вариант. Конечно, при условии, что у вас относительно немного данных (скажем, несколько гигабайт), подлежащих шифрованию. Если же нужно зашифровать несколько сотен гигабайт, то подойдет следующий вариант;

Encrypt a non-system partition/drive – зашифровать несистемный раздел или диск. Вы можете зашифровать раздел вашего жесткого диска или полностью все устройство, например флешку. Подходит, когда нужно зашифровать все устройство (сменный носитель), или же когда данных много и приходится шифровать весь раздел;

Рис. 10.14. Программа TrueCrypt

Рис. 10.15. Мастер создания зашифрованного тома

Encrypt the system partition or entire system drive – зашифровать системный раздел или весь системный диск. Будьте осторожны – программа вносит изменения в процесс загрузки системы – ведь ей нужно запросить пароль до запуска Windows. Этот же вариант можно использовать для создания скрытой операционной системы.

Неопытным пользователям не рекомендуется связываться с шифрованием системного диска, поскольку в случае малейшего сбоя все может закончиться переформатированием жесткого диска и потерей данных. А вот опытным пользователям могу порекомендовать нажать кнопку Help – откроется PDF-файл с документацией о программе. Перейдите в раздел System encryptipon (страница 33) и читайте, читайте и еще раз читайте.

Примечание

Шифрование системного диска в этой книге не рассматривается намеренно. Большинство читателей этой книги – начинающие пользователи (опытным такие книги не нужны), и я не хочу брать на себя ответственность, если читатель потеряет все свои данные.

Какой вариант выбрать? Самый удобный – первый, поскольку вы можете перемещать файл виртуального зашифрованного диска в пределах всей файловой системы, как вам заблагорассудится. Можно, например, вообще скопировать его на внешний жесткий диск и спрятать в сейф.

Второй вариант менее удобен, и его желательно использовать в двух случаях:

✓ когда шифруемых данных очень много, и для обеспечения приемлемой производительности при работе с зашифрованным диском имеет смысл зашифровать целый раздел;

✓ когда вам нужно зашифровать весь носитель, например флешку.

Совет

Не следует шифровать все данные подряд. Шифруйте только те, которые действительно представляют для вас ценность, и вы не хотите, чтобы кто-то их увидел. Шифрование всего подряд приводит к снижению производительности работы системы. Если разобраться, то конфиденциальных данных не столь уж и много.

Поэтому выбираем первый вариант. Теперь программа предложит выбрать тип тома (рис. 10.16):

✓ Standard TrueCrypt Volume – стандартный зашифрованный том. Он будет виден в системе как обычный диск. Это не слишком хорошо, поскольку том будет виден всем, следовательно, кто-то может попытаться подобрать к нему пароль. А вдруг у него получится?

✓ Hidden TrueCrypt Volume – скрытый том. Скрытый том не будет виден в списке дисков, и о его существовании будете знать только вы.

Рис. 10.16. Выбор типа тома

Рекомендую пока выбрать стандартный том – для начинающего пользователя TrueCrypt этого вполне достаточно. Тем более, что при надежном пароле вскрыть ваш том будет очень непросто.

Далее программа предложит выбрать местоположение для файла виртуального зашифрованного диска (рис. 10.17). Файл можно расположить в любом каталоге, к которому у вас есть доступ, а также на флешке или внешнем жестком диске. Нажмите кнопку Select File для выбора файла (рис. 10.18).

Рис. 10.17. Выбор местоположение для файла зашифрованного диска

Рис. 10.18. Ввод имени файла

На следующем шаге вам будет предложено выбрать алгоритм шифрования и алгоритм хэширования (рис. 10.19). Вы можете выбрать алгоритмы шифрования AES, Serpent, Twofish или же их комбинации AES-Twofish или Seprent-Twofish-AES и т. п. Но имейте в виду, что при двойном или тройном шифровании у каждого алгоритма будет свой ключ, и вам придется помнить не один, а три пароля. Возрастает как надежность шифрования, так и вероятность забыть пароль. Тут уж решать вам.

Рис. 10.19. Выбор алгоритмов шифрования и хэширования

В качестве алгоритма хэширования вам предлагается на выбор три варианта: RIPEMD-160, SHA-512 и Whirlpool. Длина хэша первого – 160 битов, двух последних – 512 битов. Понятно, что два последних алгоритма – надежнее. Какой из них выбрать? Оба алгоритма в равной степени надежны. Если вы когда-нибудь имели дело с шифрованием, точнее с хэшированием, то наверняка выберите привычный SHA-512. Я же выбрал Whirlpool – уж очень это название напоминает производителя моего холодильника. Шутка. Алгоритм Whirlpool более свежий – появился в 2004 году (точнее, окончательно стандартизирован), поэтому должен быть надежнее, чем SHA-512.

Далее нужно ввести размер виртуального диска (рис. 10.20). Программа сообщает, сколько свободного места осталось на разделе, где хранится файл виртуального диска. У меня конфиденциальных данных мало, поэтому и установил такой размер (всего 50 Мбайт). Если же вы планируете хранить на зашифрованном диске, скажем, базу почтового клиента, потребуется как минимум несколько гигабайт.

Рис. 10.20. Размер виртуального диска

А теперь самое важное – ввод пароля (рис. 10.21). Не нужно выбирать в качестве пароля словарное слово (или комбинацию таких слов), пароль не должен содержать дату вашего рождения. Регистр символов пароля должен быть разный, в пароле должны быть цифры и неалфавитные символы (@, ^, =, $, * и др.). Рекомендуемая разработчиком минимальная длина пароля – 20 символов, максимальная возможная длина – 64 символа. Если вы пропустили главу 9, настоятельно рекомендую ее прочитать, – там мы рассмотрели вопросы выбора надежного пароля.

Рис. 10.21. Установка пароля

Программа не устанавливает ограничение на длину пароля, но обязательно сообщит вам, если вы попробуете предложить ей ненадежный пароль. Решение принимать вам – или ввести надежный пароль, или оставить как есть.

Включив режим Use Keyfiles, вы можете задать использование ключевых файлов для доступа к тому. Указать ключевые файлы можно, нажав кнопку Keyfiles.

Следующий шаг – форматирования тома (рис. 10.22). Просто нажмите кнопку Format и подождите, пока форматирование не будет завершено (рис. 10.23). Время ожидания зависит от выбранного размера диска.

Рис. 10.22. Форматирование виртуального тома

Рис. 10.23. Процесс форматирования виртуального диска

В конце концов вы увидите сообщение, свидетельствующее об успешном создании виртуального диска (рис. 10.24). Нажмите кнопку OK.

Рис. 10.24. Виртуальный диск успешно создан

Если вы желаете создать еще один зашифрованный диск, в следующем окне (рис. 10.25) нажмите кнопку Next, в противном случае – Exit.

Рис. 10.25. Мастер создания зашифрованного диска завершил свою работу

Виртуальный жесткий диск после создания нужно подмонтировать. Для этого в основном окне программы (рис. 10.26) выберите букву устройства, которая будет использоваться для доступа к виртуальному диску, затем – файл виртуального диска (нажав кнопку Select File) и нажмите кнопку Mount.

Рис. 10.26. Выбор файла виртуального диска

Программа попросит указать пароль для доступа к тому (рис. 10.27). Если при создании тома вы решили использовать ключевые файлы, установите флажок Use keyfiles и нажмите кнопку Keyfiles для выбора ключевых файлов.

Рис. 10.27. Ввод пароля при монтировании тома

В основном окне программы (рис. 10.28) вы увидите, что том подмонтирован (конечно, при условии правильного ввода пароля). В нашем случае том подмонтирован как диск Q:, размер тома – 49,8 Мбайт, алгоритм – AES.

Рис. 10.28. Виртуальный диск подмонтирован

После монтирования вы можете открывать окно Компьютер и работать с зашифрованным диском как с самым обычным диском (рис. 10.29). Никаких ограничений на использование виртуального диска нет.

Рис. 10.29. Виртуальный диск Q: в окне Компьютер

Закончив работу с виртуальным диском, перейдите в окно программы TrueCrypt (см. рис. 10.28), выберите смонтированный диск и нажмите кнопку Dismount.

Как видите, ничего сложного в использовании TrueCrypt нет. На досуге рекомендую прочитать PDF-файл, поставляемый вместе с программой, – в нем вы найдете много интересного. Одно плохо – нет его русской версии, поэтому если с английским не все хорошо, можете посетить сайт русскоязычного сообщества TrueCrypt: http://truecrypt.org.ua/docs.

Когда вы удаляете файл, на самом деле он с жесткого диска не удаляется. Просто запись о файле удаляется из таблицы размещения файлов (не говоря уже о том, что существует копия этой таблицы – по ней и производится восстановление удаленных файлов). И несмотря на то, что файл якобы удален, все данные, содержащиеся в нем, физически все еще на жестком диске находятся. Система перезапишет их только тогда, когда ей понадобится дисковое пространство, которое раньше занимал удаленный файл. Учитывая огромную емкость современных жестких дисков, может пройти несколько месяцев с момента удаления файла, а содержащиеся в нем данные все еще будут находиться на жестком диске с возможностью их восстановления.

Из личной практики

Вообще-то, как подмечено лично мной, при удалении файлов работает закон Мерфи, который вполне можно назвать законом подлости. Если вы случайно удаляете важный файл, его зачастую нельзя восстановить или удается восстановить только частично – видите ли, системе срочно понадобилось место, которое раньше занимал важный для вас файл.

Когда же вы удаляете, например, компрометирующие вас файлы, физически они еще долго находятся на жестком диске и свободно могут быть восстановлены…

Существует несколько способов безвозвратного удаления данных:

✓ микроволновка – жесткий диск извлекается из компьютера и помещается в микроволновую печь. Включаете печь на одну минуту, а сами немедленно покидаете помещение и вызываете пожарную охрану или готовите огнетушитель. Недостаток у этого способа один – кроме жесткого диска будет повреждена еще и ни в чем не повинная печь;

✓ молоток – достаточно несколько раз изо всех сил ударить увесистым молотком по жесткому диску, и все данные будут удалены.

Оба эти способа хороши, когда вашу дверь уже взламывают, и нет времени искать утилиту для безопасного удаления файлов. Но недостатки у них тоже имеются: вы несете определенные финансовые потери (в первом случае пострадает печь и жесткий диск, во втором – только жесткий диск), а также данные удаляются все без разбора. Дабы не прибегать к помощи молотка, нужно заранее позаботиться о выборе программы для безопасного удаления данных. Перед удалением файла такие программы вычищают все блоки жесткого диска, занимаемые файлом. После удаления записи о файле из таблицы размещения все блоки данных файла перезаписываются случайной информацией или просто нулями, то есть происходит физическое удаление данных с жесткого диска.

Существует много программ подобного рода, но я остановил свой выбор на программе Eraser, скачать которую можно абсолютно бесплатно с сайта разработчика: http://eraser.heidi.ie/. Почему именно эта программа? Да потому что она, в отличие от некоторых других, нормально работает с Windows 7.

Разобраться с использованием программы очень просто – с этим вы справитесь и без моих комментариев. Единственное, что нужно отметить – программа требует. NET Framework, поэтому перед установкой программы нужно скачать и установить эту платформу. Благо, она доступна бесплатно и ее скачать можно с сайта Microsoft: http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=9cfb2d51-5ff4-4491-b0e5-b386f32c0992.

В четвертой части книги вы узнаете, как не допустить ошибок, ведущих к потере анонимности, и какие лучше использовать программы для работы в Интернете.