Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Szyfruj dane i bądź bohaterem w swoim domu

Potencjalnemu użytkownikowi komputera (a konkretnie chodzi mi o zwykłych użytkowników komputera) – szyfrowanie kojarzy się z jakimiś strasznymi utrudnieniami i zaawansowanymi, niepotrzebnymi czynnościami. Wynika z niewiedzy, bowiem w dobie dzisiejszego ułatwiania wszelakich działań (szczególnie w systemach operacyjnych) – szyfrowanie danych również zostało znacznie ułatwione. Na szczęście dla tych co tak strasznie boją się tego ;)

W dzisiejszym prawie świątecznym wpisie, chciałbym krótko omówić istotę szyfrowania na przykładzie dwóch ważnych dla nas rzeczy:

  • Danych, które przetrzymujemy na dysku twardym,
  • A także haseł, które umożliwiają nam dostęp do informacji
Obydwa przykłady, omówię na podstawie dwóch naprawdę, bardzo dobrych programów - TrueCrypt i KeePassX - które od dzisiaj powinny stać się jednymi z naszych najlepszych programów-przyjaciół, z którymi utrzymujemy kontakt codziennie ;)

Są takie 3 algorytmy szyfrowania, które nie dość że są najpopularniejsze to jeszcze do tej pory nie zostały złamane i raczej na pewno nie zostaną złamane w najbliższej przyszłości. To jest taki mały ewenement w dziedzinie bezpieczeństwa komputerowego, że bardzo popularna rzecz - jednocześnie zapewnie wysoki poziom bezpieczeństwa.

Owymi algorytmami są - AES, Twofish i Serpent.

Warto zauważyć, że wszystkie te algorytmy oprócz tego że operują na blokach danych o wielkości 128 bitów to jeszcze zapewniają długość klucza od 128 do 256 bitów, co jeszcze bardziej zwieksza bezpieczeństwo szyfrowanych danych (im dłuższy klucz, tym lepiej).

Właśnie wykorzystujące powyższe algorytmy, TrueCrypt oraz KeePassX - pozwalają zarządzać gromadzonymi przez użytkownika danymi, szyfrując je.

TrueCrypt

TrueCrypt - jest przeznaczony do szyfrowania danych w postaci plików, partycji niesystemowych i systemowych. Czyli tak naprawdę TrueCrypt pozwala zaszyfrować zarówno mały pliczek, jak i cały system - korzystając z następujących dobrodziejstw:

Zaprezentowałem tylko sam proces wyboru algorytmu szyfrowania, natomiast jedną z zalet TrueCrypta jest to iż przez cały proces szyfrowania danych - w sposób uniwersalny informuje o kolejnych krokach (i ich następstwach) - przez co jest dostowany do użytku zarówno dla zwykłych użytkowników, jak i ekspertów.

To co najbardziej uwielbiam w tym programie, to możliwość użycia kombinacji trzech algorytmów - nie wpływa to znacząco na wydajność dysku, a jeszcze bardziej upewnia w przekonaniu "Tak. Jestem bezpieczny ;)".

KeePassX

KeePassX - jest menedżerem haseł zgromadzonych przez użytkownika w bazie programu. Zadaniem programu, jest intuicyjne zarządzanie, a także zwiększania bezpieczeńswa haseł, poprzez np. generowanie takowych haseł.

Cała idea programu, polega na tworzonej przez użytkownika bazie - do której ustalamy hasło, a dalej szyfrowana jest dwoma algorytmami - AES i Twofish z kluczami o długości 256 bitów.

I to tyle szyfrowania w tym wszystkim - wystarczy znać takie podstawy, które wymieniłem powyżej - ażeby zwykły użytkownik komputera mógł przyzwoicie zatroszczyć się o własne dane.

Zdecydowanie lepiej zaufać takim programom jak TrueCrypt lub KeePassX i innym tego typu, niźli stosować metody konwencjonalne... ;)

Ważne wskazówki:

>> Sprytnym podejściem do sprawy, jest stworzenie zaszyfrowanej partycji w TrueCrypt, a na tej partycji - umieszczamy naszą bazę z hasłami. Przy najlepszej kombinacji, ażeby dostać się do bazy z hasłami trzeba pokonać 4 algorytmy ;)

To że wymienione przeze mnie algorytmy szyfrowania nie zostały złamane - nie powinno usypiać naszej czujności. Albowiem, aby dostać się do naszej bazy danych lub zaszyfrowanej partycji - są też inne sposoby.

>> Jednym z takich sposobów jest przechwycenie hasła za pomocą keyloggera, którego napastnik zamieści w naszym systemie.

>> Innym sposobem jest też wychwycenie hasła z pamięci operacyjnej. Sytuacja taka może mieć miejsce nawet po tym jak się wylogujemy - hasło będzie siedzieć zapamiętane w pamięci, a kumaty napastnik, który wykorzysta fakt że odeszliśmy od komputera - mając fizyczny dostęp do komputera wykorzysta w pełni tą szanse ;)
 

oprogramowanie bezpieczeństwo porady

Komentarze

0 nowych
Frankfurterium   10 #1 26.12.2012 14:16

1.
a) Jak to jest z podatnością zaszyfrowanych danych na uszkodzenia? Czy po "obsunięciu" się jednego bitu plik nadaj jest do użytku?
b) Szyfrowanie odbywa się automatycznie i przy każdym przejawie zapisu (kopiowanie, pobieranie z internetu, nadpisywanie plików np. Notatnikiem)?
c) Widzę, że istnieje wersja dla Linuksa. To znaczy, że mogę zaszyfrować za jednym razem wszystkie partycje (windowsowe i linuksowe) i używać ich jak gdyby nigdy nic?

2.
a) Czy KeePassX ma możliwość przechowywania bazy w jakiejś bezpiecznej chmurze i łączenia się z nią przez przeglądarkę (jak w LastPass)?
b) Czy KeePassX integruje się z przeglądarkami internetowymi (automatyczne wstawianie loginów/haseł, autologowanie etc.)?

Wiadomo, że pewnie znalazłbym to sam, ale skoro mamy tu eksperta... ;-]

januszek   19 #2 26.12.2012 14:44

Samo szyfrowanie jest banalne, nawet dla kogoś kto obsługuje komputer metodą plug&play ;) Schody zaczynają się w chwili, nawet całkiem banalnej awarii... ;)

dragonn   11 #3 26.12.2012 14:59

@Frankfurterium ad 2. a) oficjalnie nie, ale możesz sobie plik np. wrzucić na dropbox, co prawda web interface nie uświadczysz, ale dzięki aplikacji na Android nie jest to jakiś szczególny problem, a prawdę powiedziawszy, nie powierzył bym jakieś firmie moich haseł, a tak masz pełną kontrolę gdzie, jak i co jest, KeepassX to program open-source, czyli nie mam mowy o jakiś backdoor itp. b) - możesz jeszcze frytki do tego ;p, wiesz jak to zmniejsza bezpieczeństwo twoich haseł, programy tego typu nie powinny działać w tle z otwartą sobię bazą haseł :/.

necrordian   2 #4 26.12.2012 15:23

Plik bazy na dropboxie nie jest ani mądrym ani bezpiecznym rozwiązaniem :)

dragonn   11 #5 26.12.2012 15:33

@necrordian a niby dlaczego? Baza jest szyfrowana, bez głównego hasła nawet NASA nie dostanie się do haseł w nim, a hasło jest 12 znakowe z liczbami i dużymi znakami, tak że nie ma szans by ktoś coś z niego wydostał.

Autor edytował komentarz.
GBM MODERATOR BLOGA  20 #6 26.12.2012 15:40

@Frankfurterium:

1. a) Nie wiem, nie spotkałem się z takim przypadkiem. Aczkolwiek myślę że producenci na pewno przewidzieli taką rzecz - i nie sądzę aby obsunięcie jednego bitu miał wpływ na zaszyfrowane dane :)
1. b) Yep, to co wrzucisz na zaszyfrowaną partycję - od razu jest szyfrowane ;)
1. c) Co rozumiesz pod pojęciem "zaszyfrować za jednym razem wszystkie partycje" ?

2. a) Trzymanie danych w chmurze, szczególnie tak cennych jak baza haseł - imho nie jest dobrym pomysłem ;) Zwłaszcza jeśli nie masz gwarancji że administrator odzyska Ci wszystkie dane z chmury :)
2. b) Nie wiem :)

W_tym_temaciE   5 #7 26.12.2012 16:36

BTW, "odzyskanie" hasła z RAMu jest możliwe nawet po wyłączeniu komputera - wystarczy że szybko schłodzi się RAM do bardzo niskich temperatur, to dane powinny dłużej się w nich utrzymać.
Aczkolwiek prawdopodobieństwo, że ktoś błyskawicznie przytaszczy butlę z ciekłym azotem, nałoży na pamięci pojemnik na ln2 i zaizoluje płytę jest raczej mała ;)

  #8 26.12.2012 18:59

Mnie zastanawia co innego, w zasadzie (musiałbym się upewnić) jest opcja w truecrypt (domyślnie włączona), która ma nie zapisywać hasła w pamięci komputera, w zasadzie nie wiem czy to możliwe, ale ...

  #9 26.12.2012 19:52

@GBM
W takim razie zapoznaj się bardziej z kryptografią i tym, co dany program oferuje. Wszystko zależy od użytego trybu szyfrowania (podpowiedź: CBC, CFB ... ) ;)

Tomasz Wołoszyński   5 #10 26.12.2012 21:35

KeePassX ma jakąś przewagę w stosunku do standardowego KeePass'a?

deepone   10 #11 26.12.2012 22:13

@GBM
1 a) - zależy gdzie ten bit się "obsunie".

"...to możliwość użycia kombinacji trzech algorytmów - nie wpływa to znacząco na wydajność dysku..."
Nie zgodzę się. Sprawdź jeszcze raz benchmark i pokaż wyniki to zobaczysz, że jednak jest różnica zwłaszcza jak chcesz tam często wrzucać duże ilości danych. Dodatkowo jeżeli masz wsparcie sprzętowe AES to różnica w wydajności jest ogromna przy stosowaniu różnych algorytmów.

ziggurad   12 #12 26.12.2012 23:46

Prawię nie wiem nic o szyfrowaniu, ale jak wygląda dostęp do zaszyfrowanej partycji? Np szyfruję D i jak chce dobrać się do jakiegoś pliku z niej za każdym razem muszę podawać hasło? Przy włączeniu komputera to robię? A co się dzieje jak jakiś program chce skorzystać z plików?

Over   9 #13 27.12.2012 00:03

Mugłbyś napisać poradnik jak krok po kroku zaszyfrować partycje całą to by moim zdaniem było bardziej przydatne, ale wpis jako taki sam w sobie nie jest zły ;)
@depone
Masz racje przy AESIE jest duuuża róznica względem innych gdy ma się szyfrowanie od CPU, sprawdzałem to kiedyś, Sprzetowy AES z nie sprzetowym szyfrowaniem to różnica 60% na korzyść AESa.

Autor edytował komentarz.
deepone   10 #14 27.12.2012 06:22

@Overclocker - to się zgadza, bo około 60% więcej sprzętowy AES potrafi dać "kopa".
Jednak pisanie, że nie wpływa zbytnio na wydajność jest mocnym błędem. Przykładowo na lapku mam (encryption/decryption) AES 144 MB/s / 144 MB/s a przy Serpent-Twofish-AES jest tylko 33MB/S / 34MB/s to jednak chyba znacząca różnica?
Patrząc na wyniki na innej maszynie AES 867MB/s / 850MB/s przy Serpent-Twofish-AES 255MB/s / 257MB/s bez włączonej obsługi sprzętowej obsługi AES z procka to już różnica spora (TC średnio wspiera AES w niektórych prockach pomimo, że inne aplikacje go widzą). Dopiero przy bardzo mocnych CPU możemy mówić o znikomej różnicy w wydajności - tam gdzie transfery dysków będą i tak niższe niż możliwości szyfrowania.
Oczywiście benchmark nie jest idealnym odzwierciedleniem (działa w ramie, nie na dysku) ale przynajmniej pokazuje możliwości sprzętowe.

  #15 27.12.2012 08:08

@deepone
Dlatego wszędzie trąbią żeby używać gołego AES'a który w zupełności wystarczy, a na dodatek jest ogólnie przyjętym standardem, a co za tym idzie jest zaimplementowany w większości procesorów. Zresztą... podstawa to dobre przede wszystkim dobre hasło!

@Frankfurterium

1
a) Co masz na myśli pisząc "obsunięcie jednego bitu"? jedyne co może się popsuć to chyba tylko bootloader tc, i to jeszcze z Twoją dodatkową pomocą. Jeśli uwalisz np filesystem na windows to pójdzie go normalnie naprawić po odszyfrowaniu partycji. Samo szyfrowanie nie wpływa ogólnie na "uszkadzanie plików", nie stosuje się tutaj żadnej kompresji itd tylko po prostu na podstawie wygenerowanego klucza zapisuje inaczej dane.

b) szyfrowanie odbywa się "w locie", ponieważ dysk który wskażemy ma szyfrowane nawet wolne miejsce. Stąd też po podłączeniu zaszyfrowanego (nie zamontowanego!) nośnika nie będzie wiadomo ile miejsca jest faktycznie zajęte przez pliki a ile jest wolne.

c)Nie, nie możesz. Musisz mieć linuksową partycję /boot poza zaszyfrowanymi partycjami a na niej iso ratunkowe TC z wpisem do gruba. Same partycje linuxowe najlepiej spiąć w LVM i użyć dm-crypta który jest zintegrowany z jądrem systemowym.

ichito   11 #16 27.12.2012 08:11

Szyfrowanie partycji to jedna z możliwości TC i to wcale nie ta najbardziej popularna i prosta w obsłudze - coś czego zabrakło w opisie to możliwość tworzenia tzw. kontenerów czyli szyfrowanych plików, które stworzone a potem podłączone/zamontowane za pomocą TC stają się dla systemu kolejnym lokalnym dyskiem lub dyskami, co zależy tylko od naszych potrzeb. Stąd m.in. wynika niesamowita i cudowna prostota obsługi tego programu...po zamontowaniu kontenera wszystkie operacje na plikach odbywają się w tym kontenerze w czasie rzeczywistym - w locie - dokładnie tak samo, jak operacje na plikach/folderach między normalnymi dyskami.

Andre692   2 #17 27.12.2012 11:45

Czy istnieje jakiś program na zasadzie Truecrypt dla platformy android? Lub czy są jakieś plany stworzenia takowego?

arlid   14 #18 27.12.2012 11:57

Wpis ciekawy i godny uwagi. jak pisał @Overclocker przydałby się poradnik szyfrowania, jednak fajnie, ze są na początku jakieś "podstawy", bo często od razu jesteśmy rzucani na głęboką wodę, co wiele osób odrzuca - może nie tyle od czytania co od robienia :P

Vidivarius   14 #19 27.12.2012 15:46

@GBM
Przyłączam się do pytania Tomasz Wołoszyński
"KeePassX ma jakąś przewagę w stosunku do standardowego KeePass'a?"
I poza tym jeszcze inne:
Czym one się różnią (chodzi o funkcjonalność)? Czy bazy stworzone w KeePass są kompatybilne z KeePassX?
Używam KeePass i bardzo sobie go chwalę.
A tu całkiem sensowny tekst na jego temat http://wampir.mroczna-zaloga.org/archives/907-jak-korzystam-z-keepass.html

True Crypta też używam i też sobie chwalę.
Dla zainteresowanych link do rozbudowanego opisu obsługi http://dyski.cdrinfo.pl/artykuly/truecrypt5/index.php

Autor edytował komentarz.
dragonn   11 #20 27.12.2012 19:20

@Andre692 jest - Cryptonite, z tym że nie jest to program do szyfrowania partycji a folderów - osoba nie posiadającą hasła może odczytać strukturę katalogów i rozmiaru zaszyfrowanych plików. Ale muszę przyznać że dla mnie dużo lepsze rozwiązanie od TrueCrypt - nie wymaga tworzenia osobnej partycji czy pliko partycji o sztywnej wielkości. Dla podglądu tak wygląda struktura takiego zaszyfrowywanego folderu:
drwxr-xr-x 7 dragonn dragonn 4096 11-10 15:56 to7W,Nji1nHukTUvRHXDTCRz
drwxr-xr-x 2 dragonn dragonn 20480 11-10 15:53 drBnhg6gBvNmgu1Rg-bo9Sit
drwxr-xr-x 5 dragonn dragonn 4096 11-10 15:52 VSvTzsFb,lE10yCNlEAsTNWj
-rw-r--r-- 1 dragonn dragonn 1076 11-10 15:52 .encfs6.xml
drwxr-xr-x 2 dragonn dragonn 4096 11-10 15:57 .encfs
Całość korzysta z encfs https://pl.wikipedia.org/wiki/EncFS , niestety aplikacja na Androida do pełnej funkcjonalności potrzebuje root

  #21 27.12.2012 21:23

Szyfrować katalogi i pliki można przy pomocy GPG - np. Kgpg, ale nie wiem jak pod Windowsem

dragonn   11 #22 28.12.2012 13:46

@fervi.doctor gpg szyfruje pojedyncze pliki, encfs po zamontowaniu zaszyfrowanego katalogu daje się przeglądać jak każdy normalny katalog (podobnie jak szyfrowanie partycji) i automatycznie co wrzucisz do tego zamontowanego katalogu jest od razu szyfrowane, można w ten sposób zaszyfrować nawet całą zawartość na Dropbox i wygodnie z tego korzystać.

  #23 29.12.2012 00:28

Frankfurterium:
1.
a) tak, z tym, że uszkodzenie zmienia blok danych 128 bitów.
http://wampir.mroczna-zaloga.org/archives/700-truecrypt-integralnosc-i-dostepnos...
b) Odpowiedziano
c) NabitVVVV trochę namieszał. Nie obraz ratunkowy TrueCrypta, tylko bootloader idzie do /boot
http://blog.4zal.net/2009/01/24/techblog-calodyskowe-szyfrowanie-dla-ubuntu-i-wi.../

2.
a) nie
b) można z niego jednym skrótem klawiszowym otworzyć przeglądarkę, a drugim zmusić, by automatycznie wstawił login [tab] hasło [enter]. sekwencja jest możliwa do ustalenia na inną dla każdego wpisu użytkownik/hasło.

ziggurad
Jak wyłączysz truecrypta/komputer zapominane jest hasło, po włączeniu komputera windows nawet nie pokazuje danego dysku w eksploratorze. wystarczy podać hasło i windows myśli, że podpięto dysk np. S.

GBM
>> Innym sposobem jest też wychwycenie hasła z pamięci operacyjnej. Sytuacja taka może mieć miejsce nawet po tym jak się wylogujemy - hasło będzie siedzieć zapamiętane w pamięci, a kumaty napastnik, który wykorzysta fakt że odeszliśmy od komputera - mając fizyczny dostęp do komputera wykorzysta w pełni tą szanse ;)
http://keepass.info/features.html
"In-Memory Passwords Protection: Your passwords are encrypted while KeePass is running, so even when the operating system caches the KeePass process to disk, this wouldn't reveal your passwords anyway.
[2.x] Protected In-Memory Streams: When loading the inner XML format, passwords are encrypted using a session key."

Choć oczywiście "jeżeli ktoś ma dostęp do twojego komputera, to już nie jest twój komputer"

GBM MODERATOR BLOGA  20 #24 30.12.2012 14:37

Anonim: Ostatnim zdaniem, dokładnie podsumowałeś całą sytuację :)

Tomasz Wołoszyński && Vidivarius: Szczerze to nawet nie wiem, najpierw trafiłem na KeePassX, a dopiero potem odkryłem że jest jeszcze KeePass - może infrastruktury systemowe różnią te dwa programy ? ;)

Overclocker && Arlid: Jasne, w wolnej chwili takowy poradnik postaram się stworzyć :)

Deepone: A widzisz, i tutaj mnie masz - przyznaję w takim razie rację. dziękuję za te cenną uwagę, bowiem poprawiła mnie ona - jeśli chodzi o wady szyfrowania :)

rm7   5 #25 30.12.2012 19:08

GBM: KeePassX to fork KeePass który działa zarówno na Linuksie, jak i na Windows (KeePass 1 tylko na Windows).
Ogólnie, jak używasz Windows, to raczej należy użyć KeePass 2, chyba, że potrzebujesz zachować zgodność z typem bazy haseł z KeePass 1[bo używasz tej samej bazy na Linuksie, albo Androidzie - tak, jest program w Google Play który otwiera bazy KeePass 1], to wtedy albo KeePass 1, albo KeePassX. Na Linuksie zasadniczo nie ma wyboru, albo KeePassx [używam i polecam], albo KeePass 2 który pod Linuksem działa tak sobie.

Autor edytował komentarz.
GBM MODERATOR BLOGA  20 #26 30.12.2012 19:17

Czyli wychodzi na to, że lepiej jest używać KeePassX - przy korzystaniu z Windowsa i Linuxa (jak ja :)

  #27 09.03.2013 14:07

mi nie zależy na aż tak dobrym szyfrowaniu , chce podstawowe szyfrowanie czy poprostu założyc hasło ale ważne żeby program był prosty i najważniejsze żeby był pewny żebym mógł potem odszyfrować . Jaki polecacie ?
chociaż czasem czytam że true crypt też jest prosty ,
czytałem że czasem są problemy z odszyfrowaniem i co wtedy ?
co zrobic żeby mieć pewność że odszyfruje jak będe chciał ? Nagrać jakieś pliki zapasowe na płyte ?

  #28 08.05.2015 18:54

DiskCryptor - opensourcowy, szybki i montuje transparentnie, czyli nie trzeba zmieniac nazw dyskow.