После 11 месяцев разработки опубликован выпуск проекта VeraCrypt 1.26.14, развивающего форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. Разработанный проектом VeraCrypt код распространяется под лицензией Apache 2.0, а заимствования из TrueCrypt продолжают поставляться под лицензией TrueCrypt License 3.0. Готовые сборки формируются для Linux, FreeBSD, Windows и macOS...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61775
Нужна PQC. И будем, надеяться, что она не будет сломана неквантовыми компьютерами случайно.
А толку, на симметрическое шифрование квантовый компьютер x2 дает. Зашифруй aes256, будет 128.
Классное название - "VeraCrypt". Типа верь, браток, верь... Надейся и верь! А на самом деле непонятно, насколько оно надежное. Что произошло с создателями оригинального "TrueCrypt" - до сих пор не ясно. Кто подхватил знамя - тоже непонятно. Как-то все странно с этим проектом.
Все еще плохо дружит с дуал бутом, пробовал ставить на винду шифрование, когда efi был на другом диске, так он совсем не пашет. Придется разбираться с внутрянкой, как он создает загрузчик, возможно солянку из нескольких efi разделов на разных дисках и грузить один из другого... Короче разраб мог бы и продумать этот юзер кейс для таких непытливых пользователей типа меня или хотя бы документацию по этой теме оставить, по cryptsetup-у у вики рача есть отличная статья, расписана вся внутрянка, весь процесс загрузки и как он работает, а тут для овощей с венды сделали чтобы тупо клацать кнопку "далее".
А смысл шифровать систему, если имеет практический смысл шифровать профиль пользователя/каталог /home/onanim?Вот этого никогда не понимал.
Зачем шифровать типовые файлы системы/типовой образ программы, если они все равно у всех одинаковы и никакой информации сверх факта своего наличия внешнему наблюдателю не дадут?
Чтоб не подсадили реверс шел, например пока ты в душе моешься
Пока ты моешься в душе, к тебе можно подойти с паяльником.
Жёсткие у вас фантази
это не фантазии, а отсутствие знаний
Вы что, используете ОС, которая не проверяет контрольные суммы своих же собственных файлов?
а какая проверяет?
и что будешь делать когда не совпадет?
Например, атомарно обновляемая ОС.
Загружусь с предыдущего раздела.
а как проверишь, что уже все что надо не вытекло?
> Чтоб не подсадили реверс шел, например пока ты в душе моешьсяБольшинство взломов удаленно происходит на расшифрованной системе.
А если физический доступ есть у злоумышленников, то они все равно могут напакастить, например пропатчить загрузчик и реверс шел уже будет через него загружаться.
загрузчик на другом носителе.
И?
Как раз таки дадут, и много, почитай в инете полно материала чем опасно частичное шифрование. Конечно от физических атак с подменой загрузчика и обхода секурбута защититься в 2024 все еще трудно, частично из за совместимости со старым железом и низкими требованиями безопасности у обычного пользователя. Но это не повод оставлять на виду свой системный раздел, потому что с доступом к нему легко получить и твою домашнюю папку, в итоге как в меме с бумажным замком будет, тупо мнимая безопасность. Продумывать секьюрити всегда нужно комплексно, без тупых лазеек которые сможет эксплуатировать школьник по методичке.
Проблема в том, что для этого нужен физический доступ к ПК и достаточно много времени для реализации.
Хотя бы просто загрузиться и, сбросив пароль от встроенного админа, что-то сделать.
Но возникает ещё один вопрос - зачем конфиденциальные данные хранить в системе, а не в отдельном шифрованном файле-образе (или наборе образов, которые могут подменять некоторые пути, типа профиля мессенджера/браузера), наличие которого можно в принципе отрицать?Отрицать шифрование системы не получится, а пароль у тебя выбьют. Это заложенный в саму идею изъян.
Отрицать наличие какого-то там шифрованного файла (особенно удаленного/скрытого в ФС/подменённого невинным образом-с-порно-с-Ленкой по триггеру) вполне возможно и обнаружить его можно только после качественного анализа аномалий.Все равно не понимаю необходимость шифрования системы, хоть убей. Минусов больше, чем плюсов. Ну кроме психологической удовлетворённости "я у мамы хакир, с бутовой флешки не увидят моё порно".
> Проблема в том, что для этого нужен физический доступ к ПК и достаточно много времени для
> реализации.ты с обрыганного дивана вообще не встаешь что-ли?
> Все равно не понимаю необходимость шифрования системы, хоть убей.
как минимум оно защищает от подмены системы на не совсем твою.
> Все равно не понимаю необходимость шифрования системы, хоть убей.когда у тебя в системной папке windows найдут ЦП, не удивляйся откуда оно там, и почему именно там, а не в домашней папке.
> когда у тебя в системной папке windows найдут ЦП, не удивляйся откудаЕсли ты настолько серьёзным людям перешёл дорогу, что к тебе пришли находить ЦП в системной папке (с изъятием носителей информации при понятых), то тут хоть шифруй, хоть не шифруй системный раздел - разницы нет ВООБЩЕ. Вернее есть - в количестве времени, в течении которого из тебя разводным криптоанализатором будут получать пароль, на целых 5-7 минут. Ты ж сам его и дашь, чтобы расшифровали и перестали, криптоанархист.
Так что нет, все равно не понимаю. Для 70% угроз достаточно шифрования самих данных, для дополнительных 10% - достаточно шифровать/безопасно удалять и некоторую метаинформацию (в т.ч и историю программ), для всего остального (20%) нужны уже специальные контуры с аирлоками и физической защитой ПК.
>Но это не повод оставлять на виду свой системный раздел, потому что с доступом к нему легко получить и твою домашнюю папкуА у вас что, системный раздел в ОС разрешен на запись кому угодно, а не "только на чтение"?
Я просто плохо представляю как так можно работать.
А в случае если кто то что то туда зальет, ну предположим бут через флешку и жесткое монтирование, так контрольные суммы файлов не сойдутся же - можно всегда откатиться на предыдущий раздел с ОС.
> ну предположим бут через флешкуу вас что кто угодно может внешний носитель примонтировать?
нууууу...
> откатиться на предыдущий раздел с ОС.чо-чо?? куда откатиться?
Ох, как много интересного вас ожидает, когда вы узнаете про атомарно обновляемые ОС.
> когда вы узнаете про атомарно обновляемые ОС.про бэкапы слышали че нить?
Ну, так-то возможны варианты...У кого-то в system32/drivers сборник уникальных многогигабайтных драйверов, которые неохота показывать родителям. У кого-то пачка интересных вещей по разным /opt и /var/lib раскидана. Кто-то просто побаивается, что враги подменят системные бинарники и напихают троянов с кейлоггерами.
А целиком закриптованный диск бОльшей частью вышеперечисленные проблемы решает.
так ЭТИ-то проблемы - и частичное шифрование решает. Просто положи в system32/drivers veracryptdriver.sys на терабайтик и расшифровывай, когда родители на даче.И то же самое с /opt и /var/lib, с поправкой на то что драйвер вызовет лично у меня...вопросы, а мусорка в /opt ни у кого вопросов не вызывает, потому что нет таких уникумов которые бы понимали что там может, а чего совсем не может лежать.
Для всего остального лучше использовать встроенные системные средства контроля integrity и/или полнодискового шифрования, в том числе и для plausible deniability - вот, товарищмайор - ввожу свой пароль, 1234, посмотрите - вот цитатник Фюрера (_нашего_ фюрера!) , вот французская лицензия на шифрование xor'ом, вот фотки котиков, все модели старше 18 лет и одетые! Ничего нелегального, нет, нет, не держу, как можно!
Ну только если так.С другой стороны снова:
1) зачем хранить многогигабайтные "драйвера" .mp4.sys в системной папке, если любое автоматическое восстановление системы может их и потереть? К тому же это ну просто классика жанра и даже далёкие от ПК родители могут это найти
2) зачем хранить что-то интересное в /opt, если раскатанный образ программы можно монтировать из зашифрованного образа в этот самый опт одной командой, а потом просто размонтировать?
3) Для этого нужен полноценный или физический доступ, или удалённый, под локальным рутом. Побаиваться подмены бинарей, но при этом держать открытым ssh на машину? Побаиваться подмены бинарей, но при этом дать кому-то вообще в принципе возможность загрузиться со съёмного носителя/залогиниться под рутом/иметь установленный sudo? Шизофрения, уж извини.
В /etc и /var можно найти много всего интересного. Это как минимум отличный трамплин для дальнейших действий. А как максимум часть софта до сих пор "не проч" что-нибудь вроде ключей, прешаредов или логинов-паролей открытым текстом хранить.
Можно. Если система не настроена и там свинарния (особенно в /var, в /etc такого не наблюдал лет 15, есть ссылочка на гадящий в эту директорию чем-то кроме дефолтных конфигов и конфигов-для-генерации-конфигов софт?) - от гигабайтов логов пакетника в текстовике до чувствительных кэшей - да, не спорю.
Правда первое что делается на такой системе - это настраивается очистка /var по событиям, только тссссс!
Ну а оставшийся гигабайтный текстовый лог пакмана с 2014 года - ну удачи в анализе, кулхацкер!
> /etc такого не наблюдал лет 15, есть ссылочка на гадящий в эту директорию чем-то кроме дефолтных конфигов и конфигов-для-генерации-конфигов софт?ну сходу могу:
- yggdrasil - конфиг, в конфиге приватный ключ
- wireguard - до сих пор самое популярное место хранения конфигов с ключами /etc/wireguard
- openvpn - /etc/openvpn/{server,client}
- openssh - /etc/ssh/ssh_host_*это то что в первую очередь приходит в голову, уверен если покопать /etc среднестатистического пользователя - можно еще что найти. И да, то что полтора землекопа руками меняют места хранения этих файлов - не показатель.
Самый страшный файл в /etc, это sudoers.А на остальное уже пофиг становится, при наличии физического доступа и пассатиж для зубов
странно..
обладая такими знаниями, вы тут сидите ))
за вами же должны носиться с паяльниками и пасатижами 24/7
другие модели угроз в голову никак не приходят?
> yggdrasilСам настраивает нужные права конфига при запуске. Скрывает от других пользователей и запрещает доступ не от рута.
> Правда первое что делается на такой системе - это настраивается очистка /var по событиям, только тссссс!Хз, мне вас с шифрохомяками не понять. Это все полумеры. Только полнодисковое, либо зачем вообще заморачиваться.
С перезаписью BIOS и выкарчеванным штеуд ME ;)
что совсем не сложно (!)
> штеуд MEТак вроде за него еще и заплатить вначале нужно? По крайней мере красны не всем дают PRO покатать. Или он как в BMW: есть у всех, но пользоваться можно только если раскошелиться.
>> штеуд ME
> Так вроде за него еще и заплатить вначале нужно? По крайней мереME - нет. Это управление цепями питания, инициализация оперативы и тому подобное (поэтому про "выкорчеванное" этого анонима поздравляем соврамши - даже и не загрузишься. Есть лишь патчи позволяющие после инициализации системы его отключить.)
А удаленное управление - это AMT. Оно требует для своей работы ME, но автоматически в него не включено, не на всяком процессоре вообще физически возможно, и да, за отдельную денежку.
Из всего моего зоопарка странных фиговин есть целый один недоноут 2016го года с этой фичей.
Всё ещё отвечает true на проверку существования скрытого раздела даже тогда, когда его нет?
и что в этом неправильного?
А ты попробуй товарищу доказать что у тебя нет скрытого раздела. Как думаешь, далёкий от технических тонкостей человек тебе поверит? "Ой, у меня нет скрытого раздела, это программа так говорит всегда" - звучит для обывателя как ложь и увёртки.
берешь чистый винт, а еще лучше диск т-ща майора, запускаешь программу, "ой а у вас тоже шифрованные разделы есть, вы что гостайну врагам сливаете"?
Фантазии, далёкие от реальности. В отличие от.
чо у вас все майоры мерещаться?
нет других упырей в мире?
какой человек то?
да и используй портабельный сабж,
если вокруг тебя такие люди крутяться ))
далекому от технических тонкостей человеку не придет в голову проверять какое-то там "тьфуе" возвращаемое чем-то там. Он и слов-то таких не знает.А близкий к техническим тонкостям - знает что так проверить отсутствие скрытого диска не выйдет. Его вообще никак проверить нельзя не зная пароль от внутреннего ключа.
К сожалению, раз он близкий к техническим тонкостям - он умеет пользоваться электричеством, и ты сам ему все расскажешь :-(
> ты сам ему все расскажешьрассказать дело не хитрое..
важнее поверят ли
Повторяю - далекий от технических тонкостей вообще ничего не знает ни про какие скрытые разделы.И да, если он настроен тебя вообще слушать - вполне можешь продемонстрировать на пустом или его собственном диске.
А если он без всяких технических тонкостей засунул тебе швабру - то уже в общем-то лучше бы чтоб у тебя этот скрытый раздел был, и содержал интересующее э... товарища, а не переписку Энгельса с Каутским.
На то это и скрытый раздел, что ты не знаешь когда он существует, а когда его нет
Зачем тогда эта опция, если она всегда возвращает true?
Изначально veracrypt реально скрывал наличие скрытого раздела. Не было возможности определить его наличие. Потом обнаружили баг, позволяющий определять наличие такого раздела. Разработчики не придумали ничего лучше, как возвращать всегда true на наличие скрытого раздела. Даже когда его нет.
Правдоподобно отрицать в такой ситуации такое себе.
если все так сложно и опасно,
пользуйтесь zulu
> Зачем тогда эта опция, если она всегда возвращает true?Чтобы его всегда можно было попытаться примонтировать
А успешное монтирование будет только при правильном ключе, и если раздел действительно существует, в остальных случаях ошибка что ключ не подходит
! true && true = false;)
Судя по релиз ноутсам поддерживает бетерфс
https://en.wikipedia.org/wiki/Paul_Le_Rouxно более интересная персона - это
https://en.wikipedia.org/wiki/Ari_Ben-Menashe
Который сидел единожды символический срок в 1 год.
И?
99,999% пользователей указанный софт нужен сугубо от "служб безопасностей сбербанка" и "вам звонит дознаватель из домодедова, сообщите ваш код из смс", где лежать тупо сканы своих документов и пароли к аккантам.
Порнуху современные школьники уже давно не прячут локально на компах- она открыто лежит в сети, да в аккаунтах вконтактика.
товарищмаер - у нас тут порнуха со школьниками, срочно выезжайте!
Линуксовая версия так и не поддерживает русский язык?
чо выпилили?
запустил 1.25.9 - русский есть
У меня 1.26.7, русского языка нет... Через "LANG=ru veracrypt" тоже русского языка нет.
А от шпионского кода избавили его?
Truecrypt и закрылся по причине шантажа спец службами, которые уже внедрили свой код в него.
> А от шпионского кода избавили его?нет. для олега спецом оставили.
Ну поставь версию 7.1, а не 7.2.
Никто в мире не знает причины «закрытия» TrueCrypt, выкладывания исходников и последующий ребрендинг в VeraCrypt. Даже имя прошлого разраба неизвестно и не он ли и сейчас работает
А какому-то олегу известно, что это шантаж спецслужб! Ахренеть! Олегу видимо те спецслужбы и рассказали. Олег, а эти голоса ты постоянно слышишь или редко? А кто-то другой эти голоса может слышать? А слышит?
>Никто в мире не знает причины «закрытия» TrueCryptАбсолютно точно, что есть в мире люди, которые знают.
>выкладывания исходниковИсходники TrueCrypt были доступны всегда
>последующий ребрендинг в VeraCryptVeraCrypt - это один из форков TrueCrypt
> Никто в мире не знает причины «закрытия»Даже тот, кто закрыл?
Ты не понимаешь образных выражений?
Ну видимо у тебя РАС в более сильной степени нежели у меня
Это было образно, означало, что не знает практически никто и главное это недоступно нам, недоступно публичноВерсия, что за VeraCrypt стоит все тот же автор, что за TrueCrypt вроде как подтверждалась анализом кода, вроде как стилистика совпадает(но это не точно)
Пруфы покажешь?
LUKS
На ноутбуке чувствительные данные лучше вообще не держать. Ваш К.О.Шифруют обычно от кражи, а не от товарища майора.
> На ноутбуке чувствительные данные лучше вообще не держать. Ваш К.О.да, лучше держать их в облачах. Белогривых лошариков. Ваш товарищ майор.
> Шифруют обычно от кражи, а не от товарища майора.да обдро4ись, блин. Мне ноут был ценен, а не это вот cp которого бесплатно полный телеграм (как говорят). И как вот шифрование помогло его вернуть?!
> И как вот шифрование помогло его вернуть?!майоров в этом мире все интересует? инфа на ноуте вообще может быть критична в ином смысле..
и майорам она может быть до лампочки той самой..
если только им заплатили иные упыри чтобы они достали содержимое твоего ноута, тогда они проявят рвение эквивалентное залитому баблу.
> майоров в этом мире все интересует?да они и со своей флэшкой могут зайти в гости.
Но лично у меня в ноуте - самое ценное наверное все же - ноут.
>Но лично у меня в ноуте - самое ценное наверное все же - ноут.Ну ты бедняк, прости.
Hardware is cheap. А цену имеет то, что уникально для нашей жизни.
> Ну ты бедняк, прости. Hardware is cheap.ок, давай свой макпук сюдой! Ты богатый, ценности он не имеет.
А уникального в твоей коллекции cp ничего нет, полный интернет того же самого.
А зачем тебе два ноута?
Будешь набирать код параллельно на двух ноутах или продавать второй на Авито?
Тебе реально нечем заняться?
> А зачем тебе два ноута?у меня оба - г-но. Патамушта жалко деньгов (ну ок, первый еще и потому что китайцы такое делать почему-то разучились...впрочем, опять же - не будь мне жалко деньгов, я бы нашел замену, пусть не такую же точно). А ты у нас (духовно?) бохатый, так что не обеднеешь, хардваря ж изчип?
> Будешь набирать код параллельно на двух ноутах или продавать второй на Авито?
нууу.... в принципе... если у тебя макбучек норм - продажа на авито неплохо поднимет мой бюджет.
Чёт после истории с Дуровым имеются сомнения в отсутствии бэкдоров от французских жандармов.