Возможности TrueCrypt
Создание виртуального зашифрованного диска (криптоконтейнера):
- внутри файла (файловом контейнере) и монтирование его как настоящего диска, что позволяет легко работать с ним - переносить, копировать (в том числе на внешние устройства в виде файла), переименовывать или удалять;
- в виде целого зашифрованного раздела диска, что делает работу более производительной;
- полностью шифровать содержимое устройства, такого как флоппи-диск или USB флеш-память.
В список поддерживаемых TrueCrypt алгоритмов шифрования входят: AES, Serpent и Twofish. Все три алгоритма очень надежны, и сейчас не существует даже теоретического способа взлома, кроме метода полного перебора. Можно выбрать любой из них, и лучше сначала протестировать их на скорость на вашем компьютере (эта функция встроена в программу). Также возможно использование каскадного шифрования различными шифрами, к примеру: AES+Twofish+Serpent и т.п.
Все алгоритмы шифрования используют LRW-режим, который более безопасен, нежели CBC-режим для шифрования на-лету.
Программа позволяет выбрать одну из трёх хеш-функций: RIPEMD-160, SHA-1, Whirlpool для генерации ключей шифрования, соли, и ключа заголовка. Немного о хеш-функциях:
- SHA-1 - появилась теоретическая возможность взлома, и хотя это скорее относится к письмам и цифровым подписям, не рекомендуется к применению.
- RIPEMD-160 - стоит по умолчанию. Для этого алгоритма даже теоретически взлом пока не возможен. Но вот его предшественник RIPEMD уже себя дискредитировал.
- Whirlpool - теоретически самая медленная, некоторые источники утверждают, что медленнее в 2-3 раза, чем остальные. На сегодняшний момент это самый стойкий и молодой алгоритм.
Из всего выше изложеного видно, что лучше использовать RIPEMD-160 или Whirlpool.
Для доступа к зашифрованным данным программа позволяет задавать использование: пароля (ключевой фразы), ключевого файла (одного или нескольких) или все вместе. В качестве ключевых файлов можно использовать любые доступные файлы на локальных, сетевых, съемных дисках (при этом используются первые 1024 бит) или генерировать свои собственные ключевые файлы.
Одной из примечательных возможностей TrueCrypt является то, что он обеспечивает два уровня правдоподобной отказоспособности, полезной в случаях вынужденного открытия пароля пользователем (говоря по русски, предусмотрена защита против взломов методом паяльника и других телесных повреждений):
1. Создание скрытого тома, что позволяет задать второй пароль (и набор ключевых файлов) к обычному тому для доступа к данным, к которым невозможно получить доступ с основным паролем. При этом скрытый том может иметь любую файловую систему и располагается в неиспользованном пространстве основного тома (то есть другими словами внутри зашифрованного контейнера можно спрятать еще один).
2. Ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt, как с программой его создавшей, ни в какой форме и рамках)!
Другие возможности TrueCrypt:
- Переносимость, что позволяет запускать TrueCrypt без установки в операционной системе.
- Версии TrueCrypt доступны под Windows и Linux (говоря проще, вы можете использовать один и тот же том, как по сети, так и из различных операционных систем).
- Поддержка создания зашифрованного динамического файла на NTFS дисках. Такие тома TrueCrypt растут по мере накопления новых данных вплоть до указанного максимального размера. Однако, использование подобной возможности несколько уменьшает производительность и безопасность системы.
- Изменение паролей и ключевых файлов для тома без потери зашифрованных данных.
- Возможность резервного сохранения и восстановления заголовков томов (1024 байт). Это может быть использовано для восстановления заголовка повреждённого файла, позволяя подсоединить том после ошибки на аппаратном уровне, в результате которого повредился заголовок.
- Восстановление старого заголовка также сбрасывает пароли тома на те, что действительны для прежнего заголовка.
- Возможность назначать комбинации клавиш для монтирования/размонтирования разделов (в том числе и быстрого размонтирования со стиранием ключа в памяти, закрытием окна и очисткой истории), отображения и сокрытия окна (и значка) TrueCrypt.
- Возможность использовать TrueCrypt на компьютере с правами обычного пользователя (в том числе создавать и работать с контейнерами в файлах), правда, первоначальную установку программы должен сделать администратор.
Ложка дегтя:
- Сдаст то, что фейк-контент будет старым и древним, к которому никто не обращался давно (а обращаться нельзя, потому что есть риск убить новые данные). Что вызовет определенные вопросы.
- Реализация хоть и бесплатная, но возникли какие-то заморочки с лицензией.
Еще один вариант - аппаратные ключи (hardware token), пароль не известен даже владельцу и уничтожается физическим уничтожением чипа.
Однако вот еще подумалось: о наличии альтернативного контента легко догадаться, сравнив размер контейнера с размером [хранящихся файлов + свободное место на смонтированном диске]. Значит, вся информация должна храниться в сети-сетей и сетевой же интерфейс, не позволяющий определить действительное количество паролей (хоть 999 + тысячный действительно критичный). Это уже фактически ___.revjournal.com вырисовывается... :)