TrueCrypt | Введение
Защита данных – это очень важная и насущная тема. Растущее число функций операционных систем и web-служб предоставляют всё больше опций для доступа, модификации (и потери) данных. А тем временем, у многих пользователей нет настоящего сценария для того, чтобы обезопасить свои данные.
Что будет, если какой-нибудь злоумышленник получит доступ к вашим личным файлам? А если кто-то чужой найдёт информацию, которая предназначена только для ваших глаз? Независимо от того личные это данные или бизнес-файлы, важная информация должна быть защищена. И вот тут нам на глаза попалось очень интересное решение: TrueCrypt.
TrueCrypt | Способы защиты данных
Большинство систем не защищены, хотя такие известные средства “безопасности”, как пароли Windows, пароли ZIP-файлов, пароли BIOS и FTP/Web подразумевают защиту. На самом деле правда вот в чём: всё, что обрабатывается или хранится в открытом виде (как в случае с только что перечисленными примерами), можно обойти. Пароли Windows хранятся в системной памяти и обеспечивают защиту, только если не доступны другие пути доступа, например, через сеть или загрузку с USB-накопителя. Если запастись терпением, то можно вскрыть ZIP-файлы путём подбора пароля методом грубой силы (brute-force), а многие web-службы вообще не используют никакого шифрования при обработке данных для входа. Настоящая безопасность возможна только в том случае, если данные и каналы защищены с помощью современных алгоритмов шифрования при использовании надёжных паролей.
Когда мы задумались о средствах защиты информации, нам вспомнились такие технологии, как модуль Trusted Platform Module, реализуемый в виде чипа на материнской плате, который проверяет состояние системы при включении компьютера, валидирует программное обеспечение или пользователей. Есть компоненты со встроенным аппаратным ускорением шифрования и дешифровки; свежий пример тому процессор VIA Nano. Есть даже компоненты, которые обладают встроенным шифрованием: сейчас популярны самошифрующиеся жёсткие диски, а дорогие версии Windows Vista Ultimate и Enterprise поддерживают функцию аппаратного шифрования диска под названием “Bit Locker” (при наличии чипа TPM).
Однако большинство решений содержат “подводные камни”. Они либо требуют, чтобы вы купили соответствующие программы или компоненты, либо вам придётся изменить способ работы со своей системой. Кроме того, ни одно из решений не обеспечивает истинной безопасности, поскольку для них есть обходные пути, которые подвергают опасности ваши данные. Внешние жёсткие диски со встроенным шифрованием иногда содержат намеренные или ненамеренные бэкдоры; другие примеры мы назвали выше.
Почему именно TrueCrypt?
Уже несколько лет на рынке присутствует программа для шифрования с открытым исходным кодом (OpenSource) под названием TrueCrypt. Основное её назначение заключалось в создании так называемых зашифрованных контейнеров для хранения файлов в защищённом виде. В последних версиях данной утилиты контейнеры могут даже монтироваться как диски Windows. С выпуском версии TrueCrypt 6.0 у программы появилась возможность шифровать текущую операционную систему Windows “на лету”, что означает дополнительный уровень безопасности за счёт шифрования всего системного диска или раздела. Тестирование показало, что эта функция действительно хорошо работает. Надо сказать, что к написанию этой статьи нас побудил наш собственный положительный опыт работы с утилитой TrueCrypt: мы на собственном опыте убедились, что TrueCrypt не “тормозит” систему, даже несмотря на то, что шифрование и дешифровка всего системного диска и данных происходит в реальном времени, “на лету”.
TrueCrypt | Функции
Программу TrueCrypt можно скачать здесь. До сих пор мы вели речь только о Windows, однако есть версии данной утилиты и для Mac OS X и Linux. Самая свежая стабильная версия – 6.1a, в ней исправлены многие ошибки и содержится ряд улучшений в отношении защиты данных. В данном обзоре мы использовали версию 6.1 со следующими основными возможностями.
- Создание виртуального зашифрованного диска в виде файла-контейнера, который монтируется в системе как обычный диск.
- Шифрование целого раздела как на жёстком диске, так и на USB-накопителе.
- Шифрование системы Windows “на лету” с предзагрузочной аутентификацией (как раз это мы и использовали для данной статьи).
- Поддержка скрытых и неидентифицируемых томов (тома TrueCrypt невозможно отличить от набора случайных данных).
- Поддержка различных алгоритмов шифрования, а также каскадного шифрования различными шифрами.
Производительность.
- Шифрование данных происходит автоматически в реальном времени “на лету”, прозрачно для системы и пользователя.
- Благодаря многопоточной архитектуре приложение хорошо масштабируется на многоядерных процессорах.
TrueCrypt | Тестирование TrueCrypt на ноутбуке
Мы решили протестировать эту многообещающую утилиту TrueCrypt и выяснить, так ли уж хорошо в реальной жизни сработает шифрование системы “на лету”, а также проверить его влияние на производительность системы и на время автономной работы современного ноутбука. Понятно, что шифрование системы имеет большое значение, когда дело касается ноутбуков и возможно даже нетбуков, хотя их производительности может быть недостаточно для обеспечения действительно “прозрачного” шифрования в реальном времени.
TrueCrypt | Данные могут быть ценнее, чем ноутбук
Хотя все понимают, что ноутбук – это ценная вещь, мало кто задумывается о последствиях кражи ноутбука, пока не будет слишком поздно. Особенно бизнесмены должны осознать, что информация, хранящаяся в ноутбуке, почти всегда является гораздо более ценной, чем сам ноутбук, который можно быстро заменить. Пароль Windows и запароленные zip-файлы не помогут, поскольку воры смогут вскрыть большую часть данных, как только получат доступ к жёсткому диску вашего ноутбука. А вот TrueCrypt может обеспечить на самом деле сильный уровень защиты, как только вы зададите надёжный пароль (на всякий случай, рекомендуется использовать от 20 символов и выше). TrueCrypt поддерживает также маркеры (token) и смарт-карты (smart card).
TrueCrypt | Шифрование системного раздела Windows
А сейчас вы увидите, как выглядит процесс шифрования. Во-первых, нужно скачать программу TrueCrypt 6.1 и запустить мастера шифрования.
Нажмите на картинку для увеличения.
Прежде всего, нужно выбрать какой раздел создавать: только зашифровать ваш системный раздел, или создать скрытый системный раздел, который будет совершенно не виден. Последняя опция очень полезна в той ситуации, когда вас вынуждают расшифровать раздел: если раздел скрытый, то доказать его существование будет невозможно, а значит вас не смогут заставить расшифровывать то, чего нет. Поскольку данная функция имеет смысл только в том случае, если вы создаёте две операционные системы (одна из них “подставная”, которую вы можете выдать в угрожающей вам ситуации), она на самом деле применима лишь в некоторых чрезвычайных сценариях, поэтому сейчас мы не будем подробно на неё останавливаться. (Стоит упомянуть, что предыдущие версии TrueCrypt были скомпрометированы тем, что они не гарантировали срабатывания правдоподобного отрицания (plausible deniability). Программа могла выдать существование данных в скрытом разделе).
Нажмите на картинку для увеличения.
В следующем открывшемся окне вам нужно будет выбрать опцию шифрования. Вы можете шифровать либо только системный раздел Windows, и при этом все другие разделы будут доступны, либо весь жёсткий диск со всеми его разделами. Мы выбрали второй вариант, поскольку хотим, чтобы все данные были защищены основным паролем, который запрашивается начальным загрузчиком при запуске операционной системы.
Нажмите на картинку для увеличения.
В третьем окне мастер предложит вам подтвердить или отклонить шифрование скрытых, защищённых разделов жёсткого диска (Host Protected Area). Эти разделы производители ноутбуков могут использовать для хранения данных для восстановления системы.
Нажмите на картинку для увеличения.
В четвёртом окне предлагается выбрать один из двух вариантов: “Single-boot” или “Multi-boot”, поскольку загрузчик TrueCrypt работает ещё и как менеджер загрузки. Если у вас уже установлены две разные операционные системы, то выбирайте опцию “Multi-boot”; на скриншоте видны примеры возможных комбинаций операционных систем. Мы выбрали опцию “Single-boot”, поскольку у нас установлена одна операционная система – Windows Vista.
TrueCrypt | Алгоритм шифрования, производительность, восстановительный диск
Нажмите на картинку для увеличения.
А сейчас немного технических деталей. Пятое окно мастера предлагает варианты алгоритмов для шифрования. Здесь вы можете выбрать алгоритм шифрования, протестировать его на вашей системе и диске, а также выбрать хэш-алгоритм, который будет использовать TrueCrypt. Мы протестировали две разные опции: в первый раз мы запустили алгоритм AES, а во второй раз – комбинацию алгоритмов AES-Twofish-Serpent, которая обеспечивает двойное шифрование, правда ценою снижения производительности.
Мастер шифрования TrueCrypt включает в себя тестовую утилиту, доступ к которой можно получить при выборе алгоритма шифрования (см. картинку выше). Данный тест отражает производительность при шифровании и дешифровке и сильно зависит от процессора, а также от диска, который вы собираетесь шифровать. Алгоритмы AES и Twofish обеспечивают самую высокую пропускную способность на нашем ноутбуке Dell Latitude D610 с процессором Core 2 Duo. Как только начинаешь сочетать сразу несколько алгоритмов шифрования, например Twofish и Serpent, производительность значительно снижается. Пока работаешь с Windows и популярными приложениями, это не заметно, а вот при повышенной нагрузке (например, во время интенсивного многозадачного режима, или при такой большой нагрузке, как перекодировка видео) производительность системы существенно падает.
Нажмите на картинку для увеличения.
Далее Мастер предлагает задать главный пароль (master password), который будет использоваться для предоставления доступа к зашифрованной системе.
Нажмите на картинку для увеличения.
Здесь TrueCrypt предлагает вам создать случайные данные для ключей шифрования, перемещая мышку случайным образом. Чем больше творчества вы проявите, тем сильнее будут защищены ваши данные.
Нажмите на картинку для увеличения.
Готов ключ заголовка (header key) для зашифрованного диска и главный ключ (master key).
Нажмите на картинку для увеличения.
Осталось создать только восстановительный диск (rescue disc). Это обязательно нужно сделать, потому что это единственный способ получить доступ к вашим зашифрованным данным, в случае если начальный загрузчик будет повреждён или удалён с зашифрованного диска. Нарочно такого, конечно, никто делать не будет, но ведь это может произойти случайно или в результате выхода из строя жёсткого диска. Только позаботьтесь о том, чтобы восстановительный диск хранился в надёжном месте.
Нажмите на картинку для увеличения.
TrueCrypt создаёт ISO-образ, так что его можно хранить на жёстком диске или сразу записать на CD или DVD.
TrueCrypt | Безопасное удаление, предтест и шифрование
Нажмите на картинку для увеличения.
Функция безопасного удаления (wipe) может показаться излишней, однако если вы не желаете, чтобы на жёстком диске остались какие-то следы и хотите работать только с зашифрованными данными, то она необходима. Во время этой процедуры эффективно удаляются существующие фрагменты файлов, которые могут остаться на жёстком диске от предыдущих инсталляций. Выберите стирание неиспользуемых участков за 3, 7 или даже 35 циклов, и они будут систематически перезаписываться.
Нажмите на картинку для увеличения.
Прежде чем на самом деле зашифровать вашу систему, TrueCrypt проверяет правильность загрузки системы, используя начальный загрузчик, но пока без шифрования и пароля.
Нажмите на картинку для увеличения.
Как только предварительное тестирование завершится, можно будет приступить непосредственно к шифрованию.
Нажмите на картинку для увеличения.
Наша тестовая система Dell Latitude D610 была оснащена 45-нм процессором Core 2 Duo Penryn T9500 (2,6 ГГц) и новым 500-Гбайт жёстким диском Western Digital WD5000BEVT Scorpio, одним из самых быстрых на сегодняшний день. Весь процесс шифрования с помощью алгоритма AES занял восемь часов, во время чего мы могли продолжать пользоваться системой (хотя мы не стали этим злоупотреблять). Процесс шифрования происходил в фоновом режиме и использовал ресурсы CPU только во время простоя. Понятно, что интенсивная работа с системой замедляет процесс шифрования.
TrueCrypt | Первый запуск, ограничения, расшифровка
Нажмите на картинку для увеличения.
Спустя почти восемь часов шифрования, система была готова к перезапуску, сейчас уже полностью зашифрованная с помощью алгоритма AES. После перезагрузки начальный загрузчик TrueCrypt 6.1 запросит ваш главный пароль, который был задан в процессе установки программы.
TrueCrypt | Ограничения пароля
Введя пароль, мы сразу же заметили ограничение: для всей системы существует только один главный пароль. Это значит, что невозможно создать несколько по-разному зашифрованных систем, которые имели бы разные пароли. В результате, любой пользователь, знающий пароль для расшифровки, будет иметь доступ к системе Windows и, возможно, к данным от других пользователей.
TrueCrypt | Расшифровка
Хотя данное решение предназначено только для одного пользователя на зашифрованную систему, с ним легко работать и, следовательно, его так же легко удалить, как и установить. Нужно просто запустить программу TrueCrypt и выбрать функцию дешифровки, инициирующую процесс удаления программы. Всё сработало, как надо, и процесс удаления прошёл быстрее, чем шифрование.
TrueCrypt | Производительность
Далее мы расскажем вам о результатах нашего тестирования, но прежде отметим некоторые основные моменты, которые влияют на производительность.
- Процесс шифрования занимает больше времени, если применять комбинированные алгоритмы.
- Производительность системы может быть значительно ниже, если использовать комбинированные алгоритмы.
- Если у вас установлен скоростной жёсткий диск (а ещё лучше твёрдотельный SSD-накопитель на основе флэш-памяти) и быстрый процессор с двумя или более ядрами, то TrueCrypt будет очень ровно работать в фоновом режиме, пока вы не запустите приложения, которые действительно активно используют жёсткий диск.
- Четырёхъядерные процессоры на самом деле имеют существенное преимущество по сравнению с двуядерными процессорами, если вам нужна высокая производительность.
- Вам может понадобиться RAID-массив или скоростной SSD-накопитель, чтобы избежать проблемы “узкого места” во время шифрования/дешифровки в случае с быстрыми многоядерными процессорами.
А сейчас давайте посмотрим, что у нас получилось.
TrueCrypt | Тестовая конфигурация
Тестовый ноутбук | |
Модель | Dell Latitude D630 Mobile Intel GM965 Express Chipset |
Процессор | Intel Core 2 Duo T9500, 45 нм, 2600 МГц, 6 Мбайт кэша L2 |
Память | Corsair ValueRAM 2x 2048 Мбайт DDR2-667 SDRAM 5-5-5-15 |
DVD-ROM | 8x DVD+/-RW |
Беспроводная сеть | Intel 4965 WLAN (802.11a/g/n) mini Card |
Дисплей | 14,1″ WideScreen WXGA+ LCD (1400×900) |
Графика | Встроенный графический процессор Intel X3100 |
Звук | Встроенный |
Батарея | 9-элементная / 85 ватт-час |
Системное ПО и драйверы | |
ОС | Windows Vista Ultimate 6.0 Build 6000 SP1 |
Версия DirectX | DirectX 10 |
Драйвер платформы Intel | Version 8.2.0.1014 |
Графические драйверы | igdumd32.dll (7.14.00.10.1253) |
Тесты и настройки | |
VLC | Version 0.8.6h Playing VOB File |
Bapco Mobilemark 2007 | Version 1.04 Productivity 2007 |
PCMark Vantage | Version: 1.00 PCMark Benchmark Memories Benchmark Windows Media Player 10.00.00.3646 |
WinRAR 3.80 | Version 3.80 BETA 3 Compression = Best Dictionary = 4096 KB Benchmark: THG-Workload |
WinZIP 11 | Version 11.2 WinZIP Commandline Version 2.3 Compression = Best Benchmark: THG Workload |
Grisoft AVG Anti-virus 8 | Version: 8.0.134 Virus base: 270.4.5/1533 Benchmark Scan: some compressed ZIP and RAR archives |
TrueCrypt | PCMark Vantage
Понятно, что каждый слой шифрования сокращает производительность на несколько процентов. Максимальная степень шифрования с помощью нескольких алгоритмов (AES-Twofish-Serpent) сильнее всего снизила производительность.
TrueCrypt | Приложения
В тесте WinRAR 3.80 разница в производительности значительная.
Тест WinZIP показал лишь небольшое влияние на производительность, поскольку он ограничен процессором. В отличие от WinRAR, WinZIP поддерживает только один поток.
TrueCrypt | MobileMark 07
Мы также решили запустить тест MobileMark, чтобы проверить влияние TrueCrypt 6.1 и полностью зашифрованного системного раздела на время автономной работы нашего ноутбука Dell Latitude D610.
Баллы, набранные в MobileMark, варьируются несильно и ненамного отличаются в случае применения одного или нескольких алгоритмов шифрования.
Большой разницы во времени автономной работы при запуске MobileMark 07 на системе TrueCrypt 6.1, зашифрованной с помощью алгоритма AES, нет, а вот применение более надёжного шифрования с помощью нескольких алгоритмов снижает время автономной работы на 15 минут. Очевидно, что более сильное шифрование влияет на время автономной работы ноутбука. В нашем ноутбуке использовалась 9-элементная батарея; если поменять её на шести- или трёхэлементную батарею, то время автономной работы соответственно уменьшится.
TrueCrypt | Заключение
TrueCrypt 6.1 является зрелым решением, обеспечивающим защиту данных, которое позволяет пользователям не только создавать зашифрованные файлы-контейнеры и отображать их в системе, как если бы это были физические диски, но и шифровать целый системный раздел или жёсткий диск. Это значит, что все данные на жёстком диске, включая временные файлы, всегда будут шифроваться с помощью выбранного вами алгоритма. TrueCrypt можно считать одним из самых полных и надёжных решений, поэтому некоторые производители включают программу TrueCrypt в комплект поставки со своими накопителями. Впрочем, чтобы получить эту программу, вам не нужно ничего покупать: скачать TrueCrypt можно совершенно бесплатно.
TrueCrypt | Лёгкость в применении
Развёртывание и удаление TrueCrypt заняло несколько часов после скачивания и установки этого небольшого пакета. Этот процесс можно запустить на ночь, хотя во время процесса шифрования и дешифровки вы всё равно сможете использовать свою систему. В отличие от других подобных решений, программа TrueCrypt не зависит от операционной системы (есть версии для Mac OS X и Linux) и может быть использована в дополнение ко многим существующим (корпоративным) средствам защиты данных, если у вас есть администраторский доступ к системе, которую вы намерены защитить. После шифрования TrueCrypt использует свой начальный загрузчик, который первым выполнятся при загрузке компьютера, запрашивая главный пароль. Восстановительный диск позволяет получить доступ к системе, в случае если начальный загрузчик будет повреждён.
TrueCrypt | Высокая степень защиты при приемлемом снижении производительности
В нескольких тестах мы обнаружили, что TrueCrypt влияет на производительность, однако это влияние несущественно, если разумно работать с популярными настольными приложениями, шифруя данные одним алгоритмом. В зависимости от приложения или теста, процесс шифрования/дешифрования в реальном времени может заметно повлиять на производительность. Использование быстрого многоядерного процессора и скоростного системного диска, предпочтительно SSD-накопителя на основе флэш-памяти, до такой степени расширяет “узкое место”, что TrueCrypt становится почти прозрачным – требовательные пользователи могут пожаловаться на падение производительности в некоторых программах, но обычные пользователи его вряд ли вообще заметят.
Мы рекомендуем прибегать к шифрованию сразу несколькими алгоритмами только в тех случаях, когда такие серьёзные меры действительно необходимы. Снижение производительности здесь более заметно, его можно сравнить со сценарием одновременной работы с несколькими приложениями и сканированием жёсткого диска на вирусы в фоновом режиме.
TrueCrypt | Тест на время автономной работы пройден
Тестирование с помощью MobileMark 07 проводилось на ноутбуке Dell Latitude D610 с 9-элементной батареей. При шифровании алгоритмом AES время автономной работы сократилось на 1%, а комбинация алгоритмов шифрования AES-Twofish-Serpent снизила время автономной работы на 3%. При использовании батарей меньшей ёмкости время автономной работы соответственно сокращается.
TrueCrypt | Попробуйте сами
Мы рекомендуем вам скачать и попробовать TrueCrypt, даже если вы не ищите никаких решений для защиты данных. Это программа с открытым исходным кодом (OpenSource), которую легко можно удалить, если она вам не понравится, поэтому грех не воспользоваться этим. Даже однократное шифрование буквально “запечатает” ваши данные, запретив к ним несанкционированный доступ, при условии, что вы используете надёжный пароль. Однако имейте в виду, что TrueCrypt не заменяет другие средства защиты, такие как использование антивирусов и обновление программ.