А вы уверены, что ваш TrueCrypt без программных закладок?
TrueCrypt — прекрасный способ защитить свои секреты от чужих сопливых носов. Но уверены ли вы, что ваша копия этого криптографического средства не была модифицирована изготовителем дистрибутива или взломщиками?
В наше неспокойное время, когда разработчики Linux-дистрибутивов беззастенчиво включают шпионские модули в состав дистрибутивов, телевизоры воруют и сливают пользовательские данные, а под крышкой унитаза может скрываться агент АНБ, заботу о безопасности личных данных требуется взять в собственные руки. Изучим каким образом можно самостоятельно скомпилировать TrueCrypt и тем самым значительно сократить цепочку людей, через которую прошел TrueCrypt, прежде чем оказаться у нас на компьютере.
1. Заходим на официальный сайт, переходим в раздел загрузки исходного кода и выбираем архив «Mac OS / Linux (.tar.gz)».
2. Распаковываем скаченный архив, распаковываем его и переходим в директорию с исходниками:
$ tar xf 'TrueCrypt 7.1a Source.tar.gz'
$ cd truecrypt-7.1a-source/
3. Если вы ранее не занимались самостоятельной сборкой программ, следует доустановить кое-какие пакеты для разработчиков:
$ sudo apt-get install build-essential nasm pkg-config wx2.8-headers libwxbase2.8-dev libwxgtk2.8-dev libfuse-dev libfuse2 libgtk2.0-dev
4. Из-за лицензионных ограничений часть кода не была включена в состав TrueCrypt. Ее потребуется загрузить самостоятельно:
$ wget ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-11/v2-20/pkcs11.h
$ wget ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-11/v2-20/pkcs11f.h
$ wget ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-11/v2-20/pkcs11t.h
5. Теперь можно запустить сборку командой make:
$ make
6. Готово! Теперь можно перейти в директорию Main и запустить TrueCrypt:
$ cd Main/
$ ./truecrypt
Вас поприветствует лаконичный и дружелюбный графический интерфейс:
Программой можно пользоваться либо в таком виде, либо, если есть желание, собрать собственный бинарный пакет — deb.
В статье использованы материалы с сайта https://scottlinux.com.
Сборка TrueCrypt для параноиков
Прежде всего, следует сказать, что загрузка исходного кода осуществляется по незащищенным каналам связи и ваш провайдер (или кто-то на пути к нему) теоретически может подменить часть кода. Чтобы проверить не произошло ли такое, нужно проверить цифровую подпись архива. Для этого потребуется установить программу gpg и загрузить открытый ключ разработчиков TrueCrypt с официального сайта.
Из-за того, что потребуется загружать дополнительный код с сайта rsasecurity.com по незащищенному протоколу FTP, вам нужно будет связаться со специалистами RSA Security и попросить у них удостоверить полученные файлы.
Комментарии
Чингачгук
21 ноября, 2013 - 23:15
А не проще использовать одно из шифрований включённых в само ядро Linux? Там их много видов, вплоть до возможности шифровать отдельные файлы.
pomodor
21 ноября, 2013 - 23:23
Мне кажется, это дело вкуса. Лично мне более симпатичен TrueCrypt. К тому же, эта программа обладает кроссплатформенностью. Можно зашифровать флешку в Линуксе, а потом легко получить к ней доступ в любом Вантузе.
В плане безопасности, думаю, разницы особой нет, ведь и там, и там — один и тот же алгоритм AES.
comrade
22 ноября, 2013 - 00:02
Я тоже пользовался в основном TrueCrypt'ом (из-за мультиплатформенности), да ещё архивами зашифрованными((-:
Но сейчас, похоже, надо будет к EncFS присмотреться – она шифрует не контейнер или том, а каталоги и файлы россыпью (и позволяет такой каталог прозрачно примонтировать, для работы).
Удобно для бэкапов или синхронизации в облачные хранилища. (См., например: http://tuksik.ru/encfs/ )
Для неё в линуксе тоже есть графическая оболочка – Cryptkeeper. (См., например: http://tuksik.ru/cryptkeeper/ и http://www.linux-info.ru/cryptkeeper.html )
И есть порт для виндовс http://members.ferrara.linux.it/freddy77/encfs.html
pomodor
22 ноября, 2013 - 00:12
Не совсем понял что значит россыпью? На уровне всей файловой системы? Так это может быть как плюсом, так и недостатком. Если требуется держать в секрете только небольшой объем личных и финансовых данных, то шифрование всего потока как минимум бесполезно, а на неторопливых компах еще и снизит производительность.
В связке с облачными хранилищами да — лучше шифровать по отдельности и TrueCrypt тут не очень.
comrade
22 ноября, 2013 - 00:19
Контейнера нет, шифруется на месте каждый файл. (Файлы и подкаталоги переименовываются при этом в абракадабру:-).
http://ru.wikipedia.org/wiki/EncFS
А вот сравнительный обзорчик:
http://www.xakep.ru/post/54794/
Действительно, в EncFS можно что-то понять по размерам, датам и количеству файлов. Но для облачного хранения-синхронизации вроде подходяще, т.к. огромный контейнер при каждом изменении качать – закачаешься((-:
Было бы ещё лучше – если бы шифрованная файловая система жила в куче небольших стандартных контейнеров ("дискетках":-), и синхронизировались бы, соответственно, только изменённые.
Может и такая уже есть, не натыкался пока.
pomodor
22 ноября, 2013 - 00:35
В Дропбоксе, вроде как, пересылаются только сами изменения, а не весь файл. Но на практике я этого не заметил. Возможно, из-за особенностей хранения файловой системы внутри файла или AES изменят данные фрагментами, равномерно раскиданными по всему файлу, но по ощущениям на синхронизацию контейнера уходит время, достаточное на пересылку всего контейнера целиком. Связка EncFS + Dropbox будет более эффективна.
Чингачгук
24 ноября, 2013 - 00:17
Мой выбор eCryptFS из-за pam_ecryptfs, который умеет прозрачно для юзера монтировать нужный юзеру каталог. Т.е. юзеру достаточно помнить только свой пароль от учётки и всё! При этом сразу несколько юзеров могут иметь доступ к шифрованному каталогу. А включено это удовольствие в ядро Linux, начиная с версии 2.6.19! Минус всего 1: в вантузе это не работает.
pomodor
24 ноября, 2013 - 22:13
То есть, залогинился и шифрованные данные стали доступны на все время работы под логином? Мне этот способ не очень нравится из-за того, что данные можно профукать, нарвавшись случайно на какой-нибудь троян. ИМХО, важные данные должны быть расшифрованы только на время работы с ними.
Чингачгук
25 ноября, 2013 - 19:07
Это вопрос соотношения удобства и безопасности. Например, шифрованный хомяк лучше монтировать автоматически, а вот действительно особо важные данные лучше не только шифровать отдельно от остальных, но и иметь резервную копию в физически другом месте на случай повреждения данных (даже неумышленного).
comrade
29 мая, 2014 - 14:37
Похоже, микрософт и спецслужбы прихлопнули проект трукрипта :((
http://www.opennet.ru/opennews/art.shtml?num=39881
"Новую" версию 7.2 скачивать не имеет смысла, раз это всего лишь 7.1а, из которого всё повыкидывали (нельзя новые диски делать). Да и не понятно уже – кто эту "7.2" выложил, и её исходников не видно что-то...
Предыдущую версию можно скачать с других сайтов, например:
Linux
http://fossies.org/linux/misc/TrueCrypt-7.1a-Source.tar.gz
http://freesoft.ru/truecrypt_linux?download
Windows
http://fossies.org/windows/misc/TrueCrypt-7.1a-Source.zip
http://fossies.org/windows/misc/TrueCrypt-Setup-7.1a.exe
Сайт truecrypt.org уже не работает, заходящие перекидываются на truecrypt.sourceforge.net , с похоронной информацией.
Авторы трукрипта сами подставились, когда сделали лицензию закрытой для форков:(( А то бы давить на них не имело никакого практического смысла.
pomodor
29 мая, 2014 - 15:01
Ничего себе новость! Ключевой софт в области безопасности удушили. Да, можно пользоваться встроенными средствами шифрования ядра, но теряется кроссплатформенность. В общем, очень неприятная проблема. Надеюсь хоть разработчиков не причпокнули.
comrade
30 мая, 2014 - 17:57
TrueCrypt всё-таки решили форкнуть:
http://truecrypt.ch/
Там же выложена версия 7.1а и исходники.
И, оказывается, в 2011 уже сделан совместимый с TrueCrypt, но свободный (лицензия BSD) вариант:
https://github.com/bwalex/tc-play
Новости взял отсюда:
http://www.opennet.ru/opennews/art.shtml?num=39889
Platon
30 мая, 2014 - 16:27
Внимание!
Официальный сайт truecrypt взломан, версия 7.2 скомпрометирована при этом предыдущие версии оказались не доступны для загрузки с sourceforge.net, на главной весит откровенно издевательская рекомендация переходить на Bitlocker
Пруф-линк
Версии происходящего
All TrueCrypt 7.1 Materials in zip archive
pomodor
30 мая, 2014 - 18:56
А почему пруфлинк на Оупеннет? :) Все же пруф — это trucrypt.org. Единственное, что можно понять — разработчикам вставили в попу кочергу и посоветовали завязывать с хобби.
Не советую использовать Trucrypt, ни каких версий, ни из каких источников.
Platon
30 мая, 2014 - 19:44
Пруф был на текст, а truecrypt.org сейчас выглядит неприглядно и WOT кричит о его внезапно плохой карме.
Нужны кроссплатформенные альтернативы, а их как бы нет.
pomodor
30 мая, 2014 - 19:58
Это единственный факт. Общественности дали сигнал: Truecrypt — всё. Все остальное — измышления аналитегов.
Пока только GPG приходит на ум, но в нем многого нет.
Texnoline
30 мая, 2014 - 18:15
Что и следовало ожидать, или проект стал кому-то сильно НЕнужен, или просто прикрылись пока кого-то НЕпосадили!:)
Классическая PGP рулит....и к тому же кроссплатформена:)
pomodor
30 мая, 2014 - 18:51
Тогда уж GPG. Да, вариант. Немного не то, но уж всяко лучше, чем BitLocker. ;)
comrade
30 мая, 2014 - 18:57
PGP рулит, конечно... Да только PGPdisk начиная с восьмой версии – платный:-(
А в GnuPG вроде крипто-контейнеров нету пока.
Чингачгук
12 августа, 2014 - 16:48
Да жаль закрытия проекта, хороший софт был.Тем кто на Win рекомендую посмотреть в сторону Rohos Mini Drive. эта софтинка позволяет держать профиль Skype и Chome на крипто контейнере. также может работать в гостевом режиме без наличия Админ прав.
pomodor
12 августа, 2014 - 20:21
К сожалению, сейчас нет альтернатив TrueCrypt.
Чингачгук
13 августа, 2014 - 11:23
я бы так не сказала.всё же,обратите внимание на Rohos mini drive.мне недавно посоветовали.довольно таки интересный софт
Platon
13 августа, 2014 - 11:36
Софтина интересная, но:
1) Freeware, но не Open-Source
2) Windows only
Чингачгук
13 августа, 2014 - 11:52
зато много преимуществ.
pomodor
13 августа, 2014 - 16:14
Много преимуществ не надо. Надо одно — криптостойкость. И как раз по этому критерию Ваша программулина непонятно что. TrueCrypt был хорош своей практикой. Мы знали, что ФБР ловило каккеров и потом не могло расшифровать их данные, зашифрованные TrueCrypt. И независимый аудит исходного кода проводился. А что мы знаем о рекомендованной Вами программе, кроме того, что она написана непонятными разработчиками из Молдавии, а исходный код зажат?
Комментировать