Как русифицировать veracrypt в linux
Этичный хакинг и тестирование на проникновение, информационная безопасность
VeraCrypt – это наследница программы TrueCrypt. Она предназначена для шифрования дисков и обеспечивает очень надёжную безопасность. Программа полностью бесплатная, у неё открыт исходный код, автор программы регулярно выпускает обновления, которые не только исправляют ошибки, но и приносят новые функции и улучшения.
Установка VeraCrypt в Linux
VeraCrypt отсутствует в стандартных репозиториях ряда популярных дистрибутивов Linux. Поэтому без достаточной информации у некоторых пользователей могут быть затруднения. Эта инструкция описывает процесс установки VeraCrypt в Kali Linux, Linux Mint, Ubuntu, Arch Linux и BlackArch.
По аналогии, описанные здесь действия могут использоваться и для других дистрибутивов Linux. Кроме версий под Windows и Linux, также имеются версии VeraCrypt для FreeBSD и Raspbian (Raspberry Pi ARMv7).
Установка с помощью скрипта
Я написал скрипт, который упрощает установку VeraCrypt в Linux. Скрипт успешно протестировался в Kali Linux, Linux Mint, Ubuntu.
Чтобы воспользоваться этим скриптом создайте файл VeraCrypt-manager.sh, например, следующим образом:
И скопируйте в него следующий скрипт:
Будет выведена информация об использовании:
Для установки VeraCrypt запустите скрипт следующим образом:
Скрипт сам определит последнюю версию и скачает её с официального сайта.
Далее скрипт спросит:
После ввода цифр, скрипт запустит нужный установщик:
Будет показано окно с информацией для удаления:
Закройте это окно, после этого откроется ещё одно консольное окно, когда в нём завершаться все операции, также закройте его:
Всё, на этом установка завершена. Для запуска выполните
С помощью этого же скрипта вы можете проверить текущую последнюю версию, а также удалить VeraCrypt.
Ручная установка VeraCrypt
Все программы, а в особенности имеющие отношение к безопасности, крайне важно скачивать только с официальных сайтов.
Официальными местами размещения установочных файлов VeraCrypt являются:
Скачайте версию для Linux – это файл с расширением .tar.bz2.
Распакуйте скаченный архив. Будет извлечено четыре новых файла с примерно следующими именами (номер версии может отличаться):
- veracrypt-1.21-setup-console-x64
- veracrypt-1.21-setup-console-x86
- veracrypt-1.21-setup-gui-x64
- veracrypt-1.21-setup-gui-x86
x64 и x86 здесь обозначают битность, gui – это версия с графическим интерфейсом, а console – версия с интерфейсом командной строки. Т.е., например, для запуска установки 64-битной версии с графическим интерфейсом нужно запустить файл veracrypt-1.21-setup-gui-x64.
Чтобы запустить установщик, откройте консоль (командную строку), перетащите туда нужный файл, и допишите перед ним sudo, чтобы получилось примерно так:
Нажмите ENTER и начнётся описанная выше установка.
Особенности установки консольной версии VeraCrypt
У консольной версии установка проходит в текстовом интерфейсе. В начале нужно выбрать:
При выборе первого пункта, будет произведена установка. При выборе второго пункта будет извлечён архив.
Далее нужно будет нажать Enter, чтобы была показана лицензия. Лицензия длинная, для её прокрутки можно использовать клавишу пробела (Space).
В самом конце нужно будет ввести yes, что будет подтверждать принятие лицензии:
Установка VeraCrypt в Arch Linux/BlackArch
И Arch Linux, и BlackArch имеют в своих репозиториях VeraCrypt, поэтому установка предельно проста:
Этой командой будет установлена версия с графическим интерфейсом. Чтобы открыть программу выполните:
Портативная версия VeraCrypt для Linux
Для Linux нет специального архива с портативной версией. Тем не менее, любой установщик VeraCrypt на выбор предлагает установить или просто разархивировать программу:
В папку /tmp будет извлечён архив вида veracrypt_*_console_amd64.tar.gz или veracrypt_*_amd64.tar.gz.
Каталог /tmp очищается при каждой перезагрузке. Поэтому извлечённый файл нужно скопировать в другую папку:
Чтобы распаковать архив:
Теперь портативная версия будет доступна по пути
Как одновременно установить версии VeraCrypt с консольным и графическим интерфейсом в Linux
Чтобы иметь в системе VeraCrypt с различными интерфейсами, можно установить одну из версий как обычную программу, а вторую использовать как портативную. Либо обе версии использовать как портативные.
VeraCrypt в Linux на русском
В настоящее время предварительные версии VeraCrypt имеют интерфейс на русском и других языках. Когда поддержка локализаций будет добавлена в стабильную версию, а это будет сделано в VeraCrypt 1.25, то для получения VeraCrypt с переведённым на ваш язык интерфейсом будет достаточно установить её как это показано выше.
Но в настоящее время локализованный интерфейс VeraCrypt можно получить только установив предварительную версию. При этом в портативной версии локализация не работает!
Скачайте и распакуйте VeraCrypt 1.25-RC1:
Запустите распаковщик нужной вам версии, в следующей команде выбрана 64-битная версия с графическим интерфейсом:
Выберите вариант 1, то есть «1) Install veracrypt_1.25-RC1_amd64.tar.gz»:
Кстати, в другой системе вместо текстового интерфейса был показан графический, но в любом случае, выбираем установку.
Пролистните с помощью пробела лицензионное соглашение и введите «yes»:
В настройках интерфейса VeraCrypt вы не найдёте пункт для смены языка — язык устанавливается исходя из значения переменной LANG. То есть VeraCrypt выберет такой же язык, какой у вашей ОС.
Для смены языка вы можете устанавливать различные значения переменной LANG:
- Установить английский язык (по умолчанию):
- Установить русский язык:
Обратите внимание, что вы можете запустить VeraCrypt в меню или набрав команду
Изменения переменной LANG имеют эффект только для окна терминала, в котором они были сделаны. То есть если вы поменяли значение LANG в терминале, но запустили VeraCrypt через меню, то она проигнорирует (не узнает) значение LANG и язык интерфейса VeraCrypt будет на английском.
VeraCrypt — это наследница программы TrueCrypt. И первая и вторая, видимо, являются единственными программами, которым можно доверять шифрование по-настоящему важных данных. Они используют надёжнейшие алгоритмы шифрования. Обе эти программы проходили публичный аудит.
Программам с закрытым исходным кодом я бы не доверял по определению. Что касается других программ с открытым кодом, то среди них вряд ли найдётся такое же законченное решение по шифрованию файлов и папок, применяющее подобные алгоритмы.
Главная функция программы VeraCrypt: шифровать файлы, папки, съёмные носители (флешки), а также диски целиком.
Инструкции по использованию:
Последняя стабильная версия: VeraCrypt 1.24-Hotfix1-Preview (20 октября 2019)
Вышла VeraCrypt 1.24-Beta0
Это бета версия, не нужно её использовать для работы с важными данными!
Различия между 1.23-Hotfix-2 и 1.24-Beta0 (18 декабря 2018) :
Windows:
- MBR загрузчик: динамическое определение сегмента памяти загрузчика системы вместо жёстко прописанных значений (предложил neos6464)
- MBR загрузчик: обход проблемы связанной с созданием скрытой ОС на некоторых SSD дисков.
- Добавлена опция монтирования, которая позволяет монтирования тома без присоединения его к определённо букве диска.
- Обновлена libzip до версии 1.5.1
- В стартовом меню не создаётся ярлык на удаление программы при установке VeraCrypt. (нашёл Sven Strickroth)
- Включение выбора Быстрого формата (Quick Format) для создания файловых контейнеров. В графическом Мастере разделены опции Быстрого формата (Quick Format) и Динамического тома (Dynamic Volume).
- Обновления и корректировки переводов и документации.
Как можно увидеть — изменения касаются только операционной системы Windows. Ещё раз повторю: не используйте бета версии VeraCrypt для шифрования и хранения действительно важных данных!
Вышла VeraCrypt 1.24-Beta1
Вышла новая бета.
Различия между 1.24-Beta0 и 1.24-Beta1:
- Исправлена проблема относящаяся к Windows Update ломающего загрузчик VeraCrypt UEFI.
- Поддержка Multi-boot для систем шифрования EFI.
- Новые функции безопасности:
- Стирание системных ключей шифрования из памяти во время выключения/перезагрузки для помощи в уменьшении некоторых атак cold boot.
- Добавлена опция чтобы когда используется системное шифрование стирать все ключи шифрования из памяти при подключении нового устройства в систему.
- Добавлена новая точка входа драйвера, которая может быть вызвана приложениями для стирания ключей шифрования из памяти в случае чрезвычайной ситуации.
- Исправлен редактор конфигурационного файла системного шифрования EFI, не принимавший нажатие ENTER для добавления новых строк.
Изменения касаются только операционной системы Windows. Не используйте бета версии VeraCrypt для шифрования и хранения действительно важных данных!
Вышла VeraCrypt 1.24-Beta2
Различия между 1.24-Beta1 и 1.24-Beta2:
Все ОС:
- Увеличена максимальная длина пароля до 128 байт в UTF-8 кодировке.
- Оптимизация скорости режима XTS на 64-битных машинах использующих SSE2 (быстрее до 10%).
- Исправлено определение CPU функций AVX2/BMI2. Добавлено определение функций RDRAND/RDSEED CPU. Определение Hygon CPU как AMD.
Windows:
- Нескольку улучшений и исправлений для загрузчика EFI:
- Реализован механизм таймаута для ввода пароля. По умолчанию значение таймаута установлено на 3 минуты и для таймаута действием по умолчанию является "shutdown" (выключение).
- Реализованы новые действия shutdown" и "reboot" для конфигурационного файла EFI DcsProp.
- Улучшенная реализация Rescue Disk для восстановления загрузчика VeraCrypt.
- Исправлена ESC при запросе ввода пароля во время Pre-Test not starting Windows.
- Добавлен пункт меню в Rescue Disk, который включаете запуск оригинального загрузчика Windows.
- Улучшенная поддержка Multi-boot для систем шифрования EFI.
- Когда доступны использование CPU RDRAND или RDSEED как дополнительного источника энтропии для случайного генератора.
Вышла VeraCrypt 1.24-Beta3
Различия между 1.24-Beta2 и 1.24-Beta3:
Все ОС:
Windows:
- Реализовано шифрование ключей и паролей в оперативной памяти используя шифр ChaCha12, не криптографический быстрый хеш t1ha и CSPRNG, основанную на ChaCha20.
- Доступно только на 64-битных машинах.
- По умолчанию отключено. Можно включить в интерфейсе пользователя.
- Менее 10% накладных расходов на современных процессорах.
- Смягчены некоторые атаки на память, сделав память приложений VeraCrypt недоступной для пользователей, не являющихся администраторами (на основе реализации KeePassXC)
- Добавлена опция (по умолчанию отключена), чтобы использовать CPU RDRAND или RDSEED в качестве дополнительного источника энтропии для нашего генератора случайных чисел, если он доступен
- Избегаются одновременные вызововы монтирования избранного, например, если соответствующая горячая клавиша нажата несколько раз.
- Проверка, что только один поток за раз может создать безопасный рабочий стол.
Вышла VeraCrypt 1.24 (6 октября 2019)
Различия между 1.23-Hotfix-2 и 1.24:
Все ОС:
- Увеличена максимальная длина пароля до 128 байт в кодировке UTF-8 для не-системных томов.
- По причинам совместимости добавлена опция для использования устаревшей максимальной длины пароля (64) вместо нового.
Windows:
- Реализовано шифрование оперативной памяти для ключей и паролей используя шифр ChaCha12, быстрый некриптографический хэш t1ha и CSPRNG основанный на ChaCha20.
- Доступно только на 64-битных машинах.
- По умолчанию отключено. Можно включить используя настройку опций в пользовательском интерфейсе.
- Меньше 10% накладных расходов на современных процессорах.
- Побочный эффект: Windows Hibernate невозможен, если также используется системное шифрование VeraCrypt.
- Память приложений VeraCrypt сделана недоступной для не административных пользователей, что нивелировало некоторые атаки на память (основывается на реализации KeePassXC)
- Новые функции безопасности:
- Очистка ключей системного шифрования из памяти во время выключения/перезагрузки для помощи в нивелировании некоторых атак cold boot
- Добавлена опция когда используется системное шифрование для очистки всех ключей шифрования из памяти когда к системе подключено новое устройство.
- Добавлена новая точка входа драйвера, которая может быть вызвана приложениями для очистки ключей из памяти в случае чрезвычайной ситуации.
- MBR Bootloader: динамично определяет сегменты памяти системного загрузчика прописанных в коде величин (предложил neos6464)
- MBR Bootloader: рабочее решение для проблемы, затрагивающей создание скрытой ОС на тех же SSD дисках.
- Исправлена проблема связанная с тем, что Windows Update ломает загрузчик VeraCrypt UEFI.
- Несколько улучшений и исправлений для EFI bootloader:
- Реализован механизм таймаута для ввода пароля. Установлен таймаут по умолчанию, равный 3 минутам и действие по умолчанию при наступлении таймаута "shutdown" (выключение).
- Реализованы новые действия "shutdown" и "reboot" для конфигурационного файла EFI DcsProp.
- Улучшена реализация Rescue Disk для восстановления загрузчика VeraCrypt.
- Исправлен ESC на запросе пароля во время Pre-Test not starting Windows.
- В Rescue Disk добавлен пункт меню, который включает запуск оригинального загрузчика Windows.
- Исправлена проблема, которая не позволяла вручную выбрать хеш Streebog во время аутентификации до загрузки.
- Если папка "VeraCrypt" отсутствует на Rescue Disk, то он загрузит ПК напрямую с загрузчика, хранимого на жёстком диске
- Это упрощает создание загрузочных дисков для VeraCrypt с Rescue Disk простым удалением/переименованием папки "VeraCrypt".
- Добавлена опция (по умолчанию она отключена) для использования CPU RDRAND или RDSEED (когда доступны) в качестве дополнительного источника энтропии для нашего генератора случайных чисел.
- Добавлена опция монтирования (для графического интерфейса и командной строки), которая позволяет монтировать том без подсоединения его к определённой букве диска.
- Обновление libzip до версии 1.5.2
- Не создаётся ссылка на uninstall в стартовом меню при установке VeraCrypt.
- Включение выбора Быстрого форматирования для создания контейнеров файлов. Разделены опции Быстрое форматирование и Динамический том в графическом интерфейсе мастера.
- Исправлен редактор конфигурационного файла системного шифрования EFI, который не принимал кнопку ENTER для добавления новой строки.
- Предотвращаются одновременные вызовы монтирвоания избранных томов, например, если соответствующая комбинация клавиш нажата несколько раз.
- Гарантировано, что только один поток за раз может создать безопасный рабочий стол.
- Исправлена высокая загрузка процессора при использовании избранного и добавлен переключатель, чтобы отключить периодическую проверку на устройствах, чтобы уменьшить загрузку процессора.
This archive contains the source code of VeraCrypt. It is based on original TrueCrypt 7.1a with security enhancements and modifications.
You may use the source code contained in this archive only if you accept and agree to the license terms contained in the file 'License.txt', which is included in this archive.
Note that the license specifies, for example, that a derived work must not be called 'TrueCrypt' or 'VeraCrypt'
I. Windows Requirements for Building VeraCrypt for Windows. Instructions for Building VeraCrypt for Windows. Instructions for Signing and Packaging VeraCrypt for Windows.
II. Linux and Mac OS X Requirements for Building VeraCrypt for Linux and Mac OS X. Instructions for Building VeraCrypt for Linux and Mac OS X. Mac OS X specifics
IV. Third-Party Developers (Contributors)
V. Legal Information
VI. Further Information
Requirements for Building VeraCrypt for Windows:
The 64-bit editions of Windows Vista and later versions of Windows, and in some cases (e.g. playback of HD DVD content) also the 32-bit editions, do not allow the VeraCrypt driver to run without an appropriate digital signature. Therefore, all .sys files in official VeraCrypt binary packages are digitally signed with the digital certificate of the IDRIX, which was issued by GlobalSign certification authority. At the end of each official .exe and .sys file, there are embedded digital signatures and all related certificates (i.e. all certificates in the relevant certification chain, such as the certification authority certificates, CA-MS cross-certificate, and the IDRIX certificate). Keep this in mind if you compile VeraCrypt and compare your binaries with the official binaries. If your binaries are unsigned, the sizes of the official binaries will usually be approximately 10 KiB greater than sizes of your binaries (there may be further differences if you use a different version of the compiler, or if you install a different or no service pack for Visual Studio, or different hotfixes for it, or if you use different versions of the required SDKs).
Instructions for Building VeraCrypt for Windows:
Create an environment variable 'MSVC16_ROOT' pointing to the folder 'MSVC15' extracted from the Visual C++ 1.52 self-extracting package.
Note: The 16-bit installer MSVC15\SETUP.EXE cannot be run on 64-bit Windows, but it is actually not necessary to run it. You only need to extract the folder 'MSVC15', which contains the 32-bit binaries required to build the VeraCrypt Boot Loader.
If you have installed the Windows Driver Development Kit in another directory than '%SYSTEMDRIVE%\WinDDK', create an environment variable 'WINDDK_ROOT' pointing to the DDK installation directory.
Open the solution file 'VeraCrypt.sln' in Microsoft Visual Studio 2010.
Select 'All' as the active solution configuration and WIN32 as the active platform.
Build the solution.
Select x64 as the active platform and build the solution again.
Open the solution file 'VeraCrypt_vs2019.sln' in Microsoft Visual Studio 2019.
Select 'All' as the active solution configuration and ARM64 as the active platform.
Build the solution.
If successful, there should be newly built VeraCrypt binaries in the 'Release\Setup Files' folder.
Instructions for Signing and Packaging VeraCrypt for Windows:
First, create an environment variable 'WSDK81' pointing to the Windows SDK for Windows 8.1 installation directory. The folder "Signing" contains a batch file (sign.bat) that will sign all VeraCrypt components using a code signing certificate present on the certificate store and also build the final installation setup and MSI package. The batch file suppose that the code signing certificate is issued by GlobalSign. This is the case for IDRIX's certificate. If yours is issued by another CA, then you should put its intermediate certificates in the "Signing" folder and modify sign.bat accordingly.
In order to generate MSI packages, WiX Toolset v3.11 must be installed.
VeraCrypt EFI Boot Loader:
II. Linux and Mac OS X
Requirements for Building VeraCrypt for Linux and Mac OS X:
Instructions for Building VeraCrypt for Linux and Mac OS X:
Change the current directory to the root of the VeraCrypt source code.
If you have no wxWidgets shared library installed, run the following command to configure the wxWidgets static library for VeraCrypt and to build it:
The variable WX_ROOT must point to the location of the source code of the wxWidgets library. Output files will be placed in the './wxrelease/' directory.
To build VeraCrypt, run the following command:
or if you have no wxWidgets shared library installed:
If successful, the VeraCrypt executable should be located in the directory 'Main'.
By default, a universal executable supporting both graphical and text user interface (through the switch --text) is built. On Linux, a console-only executable, which requires no GUI library, can be built using the 'NOGUI' parameter:
On MacOSX, building a console-only executable is not supported.
Mac OS X specifics:
Under MacOSX, the SDK for OSX 11.3 is used by default. To use another version of the SDK (i.e. 10.15), you can export the environment variable VC_OSX_TARGET:
The script build_veracrypt_macosx.sh available under "src/Build" performs the full build of VeraCrypt including the creation of the installer pkg. It expects to find the wxWidgets 3.1.2 sources at the same level as where you put VeraCrypt sources (i.e. if "src" path is "/Users/joe/Projects/VeraCrypt/src" then wxWidgets should be at "/Users/joe/Projects/wxWidgets-3.1.2")
The build process uses Code Signing certificates whose ID is specified in src/Main/Main.make (look for lines containing "Developer ID Application" and "Developer ID Installer"). You'll have to modify these lines to put the ID of your Code Signing certificates or comment them if you don't have one.
Because of incompatibility issues with OSXFUSE, the SDK 10.9 generates a VeraCrypt binary that has issues communicating with the OSXFUSE kernel extension. Thus, we recommend using a different OSX SDK version for building VeraCrypt.
FreeBSD is supported starting from version 11. The build requirements and instructions are the same as Linux except that gmake should be used instead of make.
IV. Third-Party Developers (Contributors)
- That the feature has not been implemented (we may have already implemented it, but haven't released the code yet).
- That the feature is acceptable.
- Whether we need help of third-party developers with implementing the feature.
V. Legal Information
This software as a whole:
Copyright (c) 2013-2021 IDRIX. All rights reserved.
For more information, please see the legal notices attached to parts of the source code.
Any trademarks contained in the source code, binaries, and/or in the documentation, are the sole property of their respective owners.
Создание зашифрованного диска с «двойным» дном с помощью Veracrypt
VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров.
В этой статье мы рассмотрим интересную возможность VeraCrypt для создания зашифрованного диска со скрытым разделом, этот метод, также называемый методом «двусмысленного шифрования», обеспечивает возможность правдоподобного отрицания наличия второго тома, т.к. не обладая нужным паролем, доказать существование скрытого тома не представляется возможным.
Для работы с зашифрованным разделом наличие ключевого файла не является обязательным, но если защищать данные по-максимуму, то лишним не будет, например, как еще один фактор для обеспечения достаточно высокой стойкости к принуждающим атакам, также известным как «метод терморектального криптоанализа». В данном случае предполагается наличие двух ключевых файлов на внешних носителях, один из которых будет хранится в достаточно надежном месте, например, в защищенной банковской ячейке. Вторая же копия при возникновении угрозы уничтожается. Таким образом, даже если наличие скрытого раздела стало известно, а пароль от него извлечен методом силового воздействия — без ключевого файла доступ к зашифрованной информации получить не удастся. В VeraCrypt есть инструмент для генерации ключевого файла, позволяющий создать файл со случайными данными заданного размера. Для этого необходимо запустить из меню Сервис — Генератор ключевых файлов, задать необходимое количество ключевых файлов и их размер, и сгенерировать энтропию, совершая хаотичные движения мышкой. После этого сохранить ключевой файл (в нашем случае, также сделав и его копию).
Для того чтобы создать скрытый зашифрованный раздел, нужно сначала подготовить обычный (внешний) зашифрованный том. Для его создания запустим из меню Сервис — Мастер создания томов.
Монтирование тома может занимать некоторое время, это связано с большим количеством итераций при генерации ключа, что повышает стойкость при атаках «в лоб» в десятки раз.
Атаки методом перебора, при наличии стойкого пароля малоэффективна — это тот сценарий, к которому и готовились разрабочики VeraCrypt, а при наличии ключевого файла — неэффективны абсолютно. Теоретически, получив доступ к выключенному компьютеру, есть некоторый шанс извлечь ключи шифрования из памяти или файла гибернации и файла подкачки. Для противодействия такого рода атакам рекомендуется включить опцию шифрования ключей и паролей в ОЗУ в меню Настройка — Быстродействие и отключить файл подкачки и спящий режим. Хранение данных в зашифрованном виде убережет их в случае утери, конфискации или кражи устройства, но в случае, если злоумышленники получили скрытый контроль над компьютером по сети, например, с использованием вредоносного ПО с возможностями удаленного управления, им не составит труда получить ключевой файл и пароль в момент использования. Варианты противодействия этим типам атак рассматривать не будем, так как тема сетевой безопасности довольно обширна, и выходит за рамки данной статьи.
Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными
Ты пользуешься VeraCrypt и всегда выбираешь самый надежный алгоритм шифрования и длинный пароль, надеясь, что так ты сделаешь контейнер неприступным? Эта статья перевернет твои представления о том, как работает безопасность криптоконтейнеров, и покажет, что на самом деле влияет на стойкость контейнера к взлому.
VeraCrypt — наиболее популярный форк знаменитого средства шифрования TrueCrypt.
Почему ему часто отдают предпочтение? На стороне VeraCrypt — открытый исходный код, а также собственный и более защищенный по сравнению с TrueCrypt формат виртуальных и зашифрованных дисков.
Исходники VeraCrypt проходили независимый аудит, и найденные уязвимости с тех пор закрыли, что сделало «Веру» еще надежнее.
Эта статья не о том, как ломать криптоконтейнеры. Однако, если ты не знаешь, как станут действовать эксперты, пытающиеся получить доступ к зашифрованным данным, будет трудно понять смысл описанных действий.
Действия эксперта в лаборатории зависят от того, что именно и каким именно образом изъято при обыске.
Самый типичный случай — изъятие внешних накопителей целиком; компьютеры выключаются и также изымаются целиком, но в лабораторию к эксперту попадает не целый компьютер в сборе, а только извлеченные из него диски.
Подобный сценарий — тот самый случай, противостоять которому так долго готовились разработчики всех криптоконтейнеров без исключения. Лобовые атаки на криптоконтейнеры малоэффективны, а на некоторые их разновидности (в частности, загрузочные разделы, зашифрованные в режиме TPM или TPM + ключ) неэффективны абсолютно.
В типичном случае эксперт попытается сначала проанализировать файлы гибернации и подкачки.
Если пользователь пренебрег настройками безопасности криптоконтейнера (кстати, при использовании BitLocker эти настройки далеко не очевидны), то ключи шифрования спокойно извлекаются из этих файлов, а зашифрованные тома расшифровываются без длительных атак. Разумеется, в ряде случаев эта атака не сработает. Она будет бесполезна, если выполнено хотя бы одно из описанных ниже условий.
1. Загрузочный диск зашифрован. В этом случае и файл подкачки, и файл гибернации будут также зашифрованы.
Например, если для шифрования загрузочного раздела используется BitLocker (это имеет смысл, даже если остальные данные зашифрованы в контейнерах VeraCrypt), то Microsoft подробно описывает модель безопасности в FAQ и BitLocker Security FAQ (раздел What are the implications of using the sleep or hibernate power management options?).
Кстати, из этого правила есть исключения — например, если файл подкачки вынесен на отдельное от загрузочного устройство (довольно распространенный случай для пользователей, которые таким образом «экономят» ресурс загрузочного SSD).
2. Компьютер был выключен штатным образом (через команду Shutdown) или был изъят в состоянии гибридного сна либо гибернации; при этом криптоконтейнер настроен таким образом, чтобы автоматически размонтировать зашифрованные тома и уничтожать ключи шифрования в оперативной памяти при переходе компьютера в сон, гибернацию или при его отключении.
Немного сложно для восприятия? Упрощу: если в момент изъятия зашифрованный том был смонтирован, а полиция просто выдернула вилку из розетки, то ключ шифрования, скорее всего, останется в файле гибернации (удастся ли его оттуда вытащить — зависит от пункта 1). А вот если компьютер выключили командой Shutdown, то наличие или отсутствие ключа будет зависеть от настроек криптоконтейнера. О том, как правильно настроить VeraCrypt, мы поговорим дальше.
3. Наконец, очевидное: анализ файлов подкачки и гибернации совершенно бесполезен, если в момент изъятия компьютера зашифрованный том не был подмонтирован.
Если извлечь ключи шифрования не удается, эксперт поищет их в облаке или корпоративной сети (для томов, зашифрованных штатными средствами BitLocker или FileVault 2). Только после этого в ход пойдет лобовая атака — перебор паролей.
С перебором паролей тоже непросто. Во-первых, давно прошли времена, когда под «лобовой атакой» понимался простой брутфорс. Скорость атаки будет такой, что полный перебор всего пространства паролей становится бесполезен, если длина пароля к криптоконтейнеру превышает 7–8 символов.
Соответственно, для атак используются словари, в первую очередь — словари, составленные из паролей самого пользователя (извлечь их можно как из компьютера пользователя, так и из его мобильных устройств или напрямую из облака Google Account).
Давно разработаны методы анализа паролей и составления правил-шаблонов, на основе которых будут генерироваться «похожие» пароли.
Для атаки в полиции будут использовать один из немногих пакетов программ, позволяющих запустить атаку на множестве (в теории — до нескольких тысяч, в реальности — порядка сотен) компьютеров, каждый из которых будет оснащен несколькими графическими ускорителями.
Звучит неправдоподобно? Тем не менее во время тренингов для полиции в разных частях земного шара я видел помещения с компьютерами, использующимися для распределенных атак. Могу сказать о них следующее.
Создателей фантастических фильмов в эти помещения, очевидно, не пускают, поэтому на экранах кинотеатров нам приходится наблюдать жалкие плоды убогой фантазии.
Просто чтобы обозначить масштаб, поделюсь поразившим меня фактом: на рабочих столах полицейских экспертов одного британского захолустья стоят компьютеры с GeForce 2080 и 40 процессорными ядрами.
Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.
Дальше опробуют атаку с мутациями (берется слово из словаря, и проверяются его варианты, составленные по довольно простым правилам, которыми пользуется подавляющее большинство обычных пользователей). Кстати, на мутациях чаще всего и заканчиваются попытки атак в тех случаях, когда у полиции нет зацепок — не удалось получить ни одного пароля пользователя.
Если это не сработает, в ход пойдут маски (попытки вручную сконструировать пароли, «похожие» на те, которые были найдены у пользователя).
В особо сложных случаях дело дойдет до гибридных атак (использование комбинаций из одного или двух словарей в комбинации со скриптованными правилами, масками и/или префиксами).
Нестандартно действовать полиция начинает в редких случаях, когда у подозреваемого заранее предполагается наличие зашифрованных «цифровых улик». В этом случае вместе с оперативниками выезжают подготовленные эксперты, которые проконтролируют изъятие и попытаются исследовать включенные, работающие компьютеры прямо на месте. Эксперт попробует сделать следующее.
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Как установить VeraCrypt в Linux
VeraCrypt – это наследница программы TrueCrypt. Она предназначена для шифрования дисков и обеспечивает очень надёжную безопасность. Программа полностью бесплатная, у неё открыт исходный код, автор программы регулярно выпускает обновления, которые не только исправляют ошибки, но и приносят новые функции и улучшения.
Установка VeraCrypt в Linux
VeraCrypt отсутствует в стандартных репозиториях ряда популярных дистрибутивов Linux. Поэтому без достаточной информации у некоторых пользователей могут быть затруднения. Эта инструкция описывает процесс установки VeraCrypt в Kali Linux, Linux Mint, Ubuntu, Arch Linux и BlackArch.
По аналогии, описанные здесь действия могут использоваться и для других дистрибутивов Linux. Кроме версий под Windows и Linux, также имеются версии VeraCrypt для FreeBSD и Raspbian (Raspberry Pi ARMv7).
Установка с помощью скрипта
Я написал скрипт, который упрощает установку VeraCrypt в Linux. Скрипт успешно протестировался в Kali Linux, Linux Mint, Ubuntu.
Чтобы воспользоваться этим скриптом создайте файл VeraCrypt-manager.sh, например, следующим образом:
И скопируйте в него следующий скрипт:
sudo bash VeraCrypt-manager.sh
Будет выведена информация об использовании:
Для установки VeraCrypt запустите скрипт следующим образом:
sudo bash VeraCrypt-manager.sh install
Скрипт сам определит последнюю версию и скачает её с официального сайта.
Далее скрипт спросит:
После ввода цифр, скрипт запустит нужный установщик:
Будет показано окно с информацией для удаления:
Закройте это окно, после этого откроется ещё одно консольное окно, когда в нём завершаться все операции, также закройте его:
Всё, на этом установка завершена. Для запуска выполните
С помощью этого же скрипта вы можете проверить текущую последнюю версию, а также удалить VeraCrypt.
Ручная установка VeraCrypt
Все программы, а в особенности имеющие отношение к безопасности, крайне важно скачивать только с официальных сайтов.
Официальными местами размещения установочных файлов VeraCrypt являются:
Скачайте версию для Linux – это файл с расширением .tar.bz2.
Распакуйте скаченный архив. Будет извлечено четыре новых файла с примерно следующими именами (номер версии может отличаться):
- veracrypt-1.21-setup-console-x64
- veracrypt-1.21-setup-console-x86
- veracrypt-1.21-setup-gui-x64
- veracrypt-1.21-setup-gui-x86
x64 и x86 здесь обозначают битность, gui – это версия с графическим интерфейсом, а console – версия с интерфейсом командной строки. Т.е., например, для запуска установки 64-битной версии с графическим интерфейсом нужно запустить файл veracrypt-1.21-setup-gui-x64.
Чтобы запустить установщик, откройте консоль (командную строку), перетащите туда нужный файл, и допишите перед ним sudo, чтобы получилось примерно так:
Нажмите ENTER и начнётся описанная выше установка.
Особенности установки консольной версии VeraCrypt
У консольной версии установка проходит в текстовом интерфейсе. В начале нужно выбрать:
При выборе первого пункта, будет произведена установка. При выборе второго пункта будет извлечён архив.
Далее нужно будет нажать Enter, чтобы была показана лицензия. Лицензия длинная, для её прокрутки можно использовать клавишу пробела (Space).
В самом конце нужно будет ввести yes, что будет подтверждать принятие лицензии:
Установка VeraCrypt в Arch Linux/BlackArch
И Arch Linux, и BlackArch имеют в своих репозиториях VeraCrypt, поэтому установка предельно проста:
sudo pacman -S veracrypt
Этой командой будет установлена версия с графическим интерфейсом. Чтобы открыть программу выполните:
Портативная версия VeraCrypt для Linux
Для Linux нет специального архива с портативной версией. Тем не менее, любой установщик VeraCrypt на выбор предлагает установить или просто разархивировать программу:
В папку /tmp будет извлечён архив вида veracrypt_*_console_amd64.tar.gz или veracrypt_*_amd64.tar.gz.
Каталог /tmp очищается при каждой перезагрузке. Поэтому извлечённый файл нужно скопировать в другую папку:
/veracrypt.tar.gz Чтобы распаковать архив:
tar xvzf
Теперь портативная версия будет доступна по пути
Как одновременно установить версии VeraCrypt с консольным и графическим интерфейсом в Linux
Чтобы иметь в системе VeraCrypt с различными интерфейсами, можно установить одну из версий как обычную программу, а вторую использовать как портативную. Либо обе версии использовать как портативные.
Читайте также: