16. joulukuuta 2007

TrueCrypt 5.0 tulee sisältämään koko kiintolevyn salauksen!

TrueCrypt on ilmainen, avoimen lähdekoodin salausohjelmisto tällä hetkellä Windows- ja Linux käyttöjärjestelmille. Ohjelmistolla on tällä hetkellä mahdollista tehdä salattuja levyosioita ja salattuja tiedostosäiliöitä, jotka molemmat avautuvat (oikean salausavaimen jälkeen tietysti) uusiksi virtuaalisiksi kiintolevyksi.

Suomeksi: Osoitat säiliötiedostoa tai kiintolevyn osiota TrueCryptillä, annat salasanan ja/tai avaintiedostot (jotka voivat olla mitä tahansa tiedostoja) ja jos ne ovat oikeat, tiedostojen hallintaan ilmestyy uusi kiintolevy. Kaikki mitä tuolla levyllä on sisällä, on aina vahvasti salattua. Voit helposti siirtää sinne tiedostoja ja ne salautuvat automaattisesti siirtyessään sinne (muista pyyhkiä selkokieliset versiot koneeltasi esim. Eraserilla). Voit avata tiedostoja suoraan sieltä, niiden salaus purkautuu tietokoneen muistissa huomaamattasi. Napin painallus ja salausavain häviää tietokoneen muistista ja sisältö on taas käyttökelvotonta kaikelle ja kaikille ilman pätevää salausavainta. Tarkemmat ohjeet TC:n käytöstä löydät esimerkiksi tästä.

Säiliöt ja levyosiot, jotka salaat TrueCryptillä, ovat kokonaisuudessaan satunnaiselta tiedolta vaikuttavaa mössöä, koska ne on kokonaan salattu. Niistä ei siis voi mitenkään päätellä, että ne ylipäätään on salattu mitenkään. Tästä on monenlaista hyötyä, koska tämänlainen tiedosto on helppo piilottaa väärällä nimellä jonnekin tai levyosion voi vain antaa olla sellaisenaan. Esimerkiksi kokonaisesta ulkoisesta kiintolevystä voit hyvin sanoa, että olet vain pyyhkinyt sen kokonaan koska aiot kierrättää sen tms.

Bonuksena mainittakoot, että voit piiloittaa jokaiseen salattuun säiliöön/osioon myös vielä erikseen piiloitetun ja salatun lisäosion. Lisäosion olemassaoloa on mahdotonta havaita varsinaisesta osiosta. Varsinainen osio aukeaa yhdellä salausavaimella ja lisäosio toisella. Jos joku esimerkiksi uhkaa sinua paljastamaan salatun osion, voit hyvin paljastaa hänelle "viattoman" osion, jossa ei ole mitään arkaluontoista materiaalia. Arkaluontoisen materiaalin voit piiloittaa tuonne lisäosioon ja se aukeaa siis eri salausavaimella. Koska on mahdotonta todistaa, että piilotettua lisäosiota edes on olemassa, mikään mahti maailmassa ei voi todistaa sellaista siellä olevan. Tämä antaa lisäsuojaa sinulle, koska esimerkiksi Iso-Britanniassa lain mukaan sinun on annettava salausavaimesi viranomaisille jos he niitä vaativat...voit hyvin antaa heille "viattoman" osion avaimet ja kieltää, että siellä olisi mitään piiloitettua osiota lainkaan, eivätkä he voi sille yhtään mitään!

Se, mikä TrueCryptistä tekee niin erinomaisen on, että siinä käytetään vain vahvoja, hyvin tutkittuja algoritmeja (AES, Twofish ja Serpent salaukseen, SHA-2 ja Whirlpool tiivistefunktioon & avainten luontiin), oikein sovellettuna ja riittävällä avainkoolla (256 tai 512bit). Koko paketti on avointa lähdekoodia ja vapaasti ja ilmaiseksi kaikkien saatavilla. Plussana mainittakoot, että kyseinen ohjelmisto on todella helppokäyttöinen ja opastaa askel askeleelta käyttäjäänsä.

Mutta nyt on lisäbonusta tulossa: Seuraava TrueCryptin versio, eli versio 5.0 valmistuu näillä näkymin tammikuussa 2008 ja se sisältää koko kiintolevyn salauksen (WDE = whole disk encryption) ja ennen käyttöjärjestelmän käynnistymistä avautuvan autentikoinnin (PBA = preboot authentication). Tähän mennessä ongelmana on ollut, että TrueCrypt ei pysty salaamaan käyttöjärjestelmäosiota (eli sitä jossa Windows majailee), koska Windowsia tarvitaan kyseisen ohjelman ajamiseen. Nyt tähän on tulossa muutos.

TrueCryptin 5.0 versio sisältää myös tuen Mac OS X käyttöjärjestelmälle. Ottaen huomioon, että Mac OS X Leopard mahdollistaa sekä Windowsin että Leopardin ajamisen samalla Mac koneella, tämä on erittäin hyvä ominaisuus TrueCryptille. Nyt voit luoda salatun säiliön tai osion ja avata sen, käynnistät Mac koneesi sitten kummalla käyttöjärjestelmä tahansa! Näin ollen samat dokumentit ja muut ovat helposti luettavissa ja muokattavissa käyttöjärjestelmästä riippumatta ja säilyvät kaiken aikaa vahvan salauksen takana!

Miksi koko fyysisen kiintolevyn salaaminen sitten on jotenkin niin loistavaa? Onhan siihen aikaisemminkin ollut saatavissa ohjelmistoja sitäpaitsi!

No tärkein ominaisuus koko kiintolevyn salauksessa on, että kun sen tekee, kaikki ne tuhannet lokitiedostot, väliaikaiset tiedostot, sattumalta koneelle tallentuvat tiedostot ja tuhat muutakin siellä olevaa tietovuotoa tulevat myöskin salatuiksi automaattisesti. Homma on myöskin todella helppoa, koska käytännössä (jos käytät konetta yksin etkä aio muiden antaa sitä käyttää) voit vaikka jättää salasanan käyttäjätililtäsi pois (järjestelmänvalvoja-tilillä tulee aina olla vahva salasana!) eikä sinun tarvitse tehdä mitään ihmeellistä koneellasi. Kaikki tiedostot siellä ovat kaiken aikaa salattuja, vaikka tietokoneesta menisi virrat pois tms.

Tähän mennessä kyseiseen tarkoitukseen saatavat ohjelmistot ovat kaikki olleet suljettua lähdekoodia, eli et ole voinut varmistaa onko siellä mahdollisesti takaportti tms. Miltei kaikki ohjelmat ovat myöskin olleet maksullisia (hintaluokka 50-200 euroa), paitsi Free Compusec.

Kenelle TrueCrypt ja etenkin tuleva 5.0 versio sopii? Kaikille, jotka haluavat pitää tietokoneensa sisällön turvassa esimerkiksi varkauden tai uteliaiden näppien ulottuvilta. Etenkin kannettavien tietokoneiden omistajien kannattaisi vakavasti harkita TrueCryptin käyttöä. Varoituksen sana kuitenkin: Tee varmuuskopiot (esimerkiksi tallentamalla TrueCrypt säiliöt jonnekin varmaan paikkaan) ja muista salasanasi ja/tai avaintiedostosi! Jos hukkaat ne, mikään mahti maailmassa ei pysty palauttamaan tiedostojasi mitenkään.

TrueCrypt, Gpg4win, CCleaner ja Eraser - siinä on neljä kovaa ilmaisohjelmaa sähköpostin, tiedostojen ja kiintolevyjen salaamiseen sekä pyyhkimiseen! Suosittelen ehdottomasti!

7 kommenttia:

ilaiho kirjoitti...

Muistutan nyt, ettei Windowsia voi asentaa G5- ja vanhemmille Macintosheille (joskus tosin taisi olla joku Mac, jossa oli PowerPC-prosessorin lisäksi 486). Uusille Intel-Macintosheille Windowsin asentaminen onnistuu.

Tuolle peiteosiolle pitää sitten varoa kirjoittamasta mitään, sillä se saattaa aiheuttaa salattujen tietojen katoamista.

Markus Jansson kirjoitti...

> Tuolle peiteosiolle pitää sitten
> varoa kirjoittamasta mitään, sillä
> se saattaa aiheuttaa salattujen
> tietojen katoamista.

Truecryptissä voit avatessa säiliötä/osiota avata/suojata samalla tuon peiteosion päällekirjoitukselta. Silloin pitää antaa molemmat salausavaimet. Tällöin on mahdollista kirjoittaa kumpaan osioon mitä haluaa eikä tietoja mene hukkaan.

Jake kirjoitti...

Siinä vaiheessa kun suunnittelee kryptausta koko kovalevylle tai tietylle osiolle suosittelen Norton Ghost ohjelmaa(löytyy esim boot cd hiren´s 9.1-9.3 versioista) jota käytetään todella usein esim tietokoneliikkeissä huollon puolella kun asiakkaan kovalevy on hajoamassa tai osin jo hajonnu ja tiedot halutaan talteen niin ghostilla otetaan image eli kloonaus/varmuuskopio ja se image voidaan polttaa vaikka dvd levylle jos on se tarpeeksi pieni tai isona tiedostona(useampi gigatavu) jopa jakaa osiin RAR pakkaajalla ja poltaa parille dvd levylle ja antaa sillekin salasana ettei sitä kuka vaan pysty purkamaan/käyttämään.


Ja sitte kun halutaan palauttaa image niin Ghostilla se käy helposti, esim jos cryptaus halutaan pois ja vanhat tiedot takaisin, tosiaan se image kannattaa laittaa varmaan talteen ettei se joudu vääriin käsiin tai tuhoudu.

Image voidaan ottaa jokaisesta kovalevystä tai kovalevyn osiosta mitä on ja tallentaa kaikki imaget samalle kovalevylle joka voidaan varastoida jonnekin ja tarpeen tullen palauttaa joku tietty image levyrikon takia.

Yleensäkin varmuuskopiota kannattaisi ottaa paljon useammin, varsinkin läppärin omistajat on suuressa riskiryhmässä koska läppärit joutuu usein kovemman kohtelun(iskut ja kolhut ja sään armoille eli kuivaa, kosteaa, kuumaa ja kylmää, Suomesta löytyy kaikkea näitä säätiloja.

Markus Jansson kirjoitti...

Joo, toi varmuuskopiointi tuntuu monelta unohtuvan. Välttämättä ei Ghostiakaan tarvita, ainoastaan ulkoinen USB-väyläinen kiintolevy ja Truecrypt riittää. Sinne voi viskata kaikki tärkeät tiedostot turvaan. Käyttis on sinällään aika äkkiä kyllä tehtävissä uudelleen ja se kannattaa joka tapauksessa sillointällöin tehdä.

Tietty Ghost nopeuttaa koko touhua huomattavasti.

Linux kirjoitti...

Toimiiko uusin TrueCrypt 5.0 myös Linuxilla?

Markus Jansson kirjoitti...

> Toimiiko uusin TrueCrypt 5.0 myös
> Linuxilla?

Eikös nykyinenkin toimi? WDE ei taida kyllä toimia.

Anonyymi kirjoitti...

Truecrypt 5.0 on ilmestynyt. Ensi kokeilu meni pieleen kun kryptauksen aikana tuli ilmoitus crc-virheestä. Tuossa vaiheessa salauksen pystyi vielä peruuttamaan.

Ilmeisesti xp-vindoukseen pitää aina ajaa chkdsk ja defrag tai vastaavat ohjelmat ennen kryptauksen asennusta.
Tai yleensä mitä tahansa radikaalia tehdessä.

Jatkamme harjoituksia.

Noista välttämättömistä ohjelmista vielä. Doc Scrubber on ehdoton jos on pakko käyttää Microsoftin tekstinkäsittelyä. Wordiin survotun tiedon määrä ja laatu on vähemmän hilpeää.