Принцип работы VeraCrypt?

Question

[r3b3l]

Заинтересовался принципом работы VeraCrypt.
В документации по VeraCrypt вычитал, что онная никогда не сохраняет расшифрованные данные на жесткий диск (все только временно в RAM - читает шифрованный файл с диска, на лету его расшифровывает в оперативной памяти, выгружает), т.е. шифрование/дешифрование происходят на лету. Даже если зашифрованный том смонтирован, данные все равно зашифрованы.

Ключ шифрования хранится в открытом виде опять же в оперативной памяти (это узнал не из документации).

Вопрос, который остался без ответа.
Допустим, ОС загрузилась, пользователь смонтировал том и ввел ключ. Сможет ли сторонняя программа (скажем какая-нибудь малварь, работающая параллельно с пользователем) считать осмысленные данные с такого тома? Именно этот момент непонятен до конца. Если я правильно понимаю, то все обращения к шифрованным данным идут через Веру, она знает где в RAM хранится ключ. Если последнее предположение верно, то никакой сторонний софт (кроме специально под это заточенного, который может обнаружить в RAM ключ) не сможет считать с диска ничего путного. Подскажите, кто знаком с Верой, прав я или нет?

Answer 1

[athacker]

Не очень понятен вопрос. Вера ставит драйвер работы с диском. Когда диск смонтирован, для любого приложения, работающего штатным образом с диском, шифрование/расшифрование данных происходит прозрачно, так как Вера всё это делает на более низком уровне. Данные, разумеется, пишутся сразу уже зашифрованные на диск.

Попытки читать с диска напрямую ничего не дадут -- будет прочитана зашифрованная информация. Шифрование в целом защищает от НСД в случае наличия у потенциального злоумышленника физического доступа к НЕСМОНТИРОВАННОМУ носителю. Т. е. от таких ситуаций, как утеря или кража носителя или всего компа. При работе, естественно, данные расшифровываются при доступе к ним, иначе как с ними работать вообще? Но в целом, если атака таргетированная (т. е. не метод широкого бредня, а именно ваш конкретный диск), то ничто не мешает врагам поставить троян на комп и читать носитель после того, как вы его смонтировали. Либо сдампить из RAM ключ шифрования, а затем, после получения каким-либо образом доступа к физическому диску, расшифровать его, пользуясь этим ключём.

Comments

[r3b3l]

Спасибо, вы ответили на мой вопрос)))

Answer 2

[15432]

При монтировании в системе создается обычный логический диск, с которым может работать любая программа. Фишка в том, что смонтировать и получить доступ без пароля нельзя

Comments

[r3b3l]

Согласен, именно факт его создания и стал причиной моего вопроса.

Но как тогда понимать это утверждение?
Последний абзац тут: https://veracrypt.codeplex.com/wikipage?title=Intr...
"Even when the volume is mounted, data stored in the volume is still encrypted."

[15432]

r3b3l: все запросы чтения/записи на этот логический диск идут через VeraCrypt. Чтение физического диска (или файла образа) напрямую даст только зашифрованный мусор. В этом утверждении говорится, что на физическом носителе данные всегда остаются зашифрованными

[r3b3l]

Спасибо, понял! До этого момента я наивно полагал, что шифрование в Вере не только предотвращает несанкционированный доступ, но и не дает возможности для утечек данных (мол рас они шифруются, значит и читать их без ключа бесполезно). Ан нет, печально. А вы не знаете есть ли инструменты для задач, которые я описал?

[15432]

r3b3l: вы можете смонтировать диск, поработать с файлами и сразу размонтировать диск. Правда, в этом промежутке сторонний софт может получить доступ к данным, но это же касается и любого другого решения - в фоне может висеть кейлоггер и перехватить ввод пароля.
Пока вы не вводите пароль, данные защищены и утечки не будет.

Answer 3

[Adamos]

Принцип работы VeraCrypt - взять оставленный разработчиком TrueCrypt, напихать туда своей криво реализованной дряни и выдавать это добро за инновации.

Comments

[r3b3l]

Предложите не проприетарную альтернативу...

[Adamos]

r3b3l: ошибка чтения. Попробуйте прочитать мой ответ еще раз.

[r3b3l]

Adamos: проект TrueCrypt был по непонятным причинам закрыт разрабами после того, в их дела вмешались известные службы. Кроме того, продукт содержал уязвимости, которые пофиксили в Вере (одна из них - из загрузчика можно было узнать длину ключа шифрования). Также уже для Веры делались независимые аудиты, тоже нашли баги, исправили. На мой взгляд использовать TrueCrypt на сегодняшний день рискованно и идти на такой риск стоит только если машина совсем слабая. Какие есть еще адекватные альтернативы без возможных закладок, бэкдоров и т.п. вещей?

[Adamos]

r3b3l: все альтернативы - это такие же *Крипты под другой вывеской.
Ни одна из них не заслуживает хотя бы такого доверия, как оригинал.
Ни одна из обнаруженных в нем уязвимостей мне лично не грозит (я системный диск не шифрую и убежден, что это бессмысленно в принципе).
А вот за закладками и бэкдорами - как раз добро пожаловать к "продолжателям дела".

[r3b3l]

Adamos: весьма интересно и разумно, возникает вопрос: почему вы так цените оригинал и не доверяете форкам? Ведь если консервативно относиться к новым продуктам, то мы бы до сих пор сидели на Windows 95 или других ранних ОС. Понимаю, что вопрос философский и холиварный, просто интересует ваше мнение. А еще почему вы думаете, что криптовать системный диск бессмысленно? Мы, конечно же, используем только купленный софт, но есть люди, которые юзают пиратские прелести, также в системе пароли, запомненные в браузере, да много чего от туда можно вытащить полезного.

[Adamos]

r3b3l: я не "ценю оригинал и не доверяю форкам", я пользуюсь продуктом, прошедшим независимый аудит и пренебрегаю тем, что из него могли сделать люди, цели которых мне неизвестны. Учитывая, что они из кожи вон лезли, чтобы доказать, что они закрыли какие-то уязвимости в оригинале, можно с уверенностью считать, что иных уязвимостей так и не было обнаружено. Если не ошибаюсь, именно VC облажался, допустив новые уязвимости именно в своих "улучшениях".

Софт и пароли вы можете прятать хоть до потери сознания - при чем здесь системный диск? Кто вам мешает поставить программы и хранить данные, используя отдельный контейнер? Впрочем, меня эти проблемы действительно не волнуют - я не пользуюсь виндой, мне не нужны пиратки (а то, что нужно - куплено), а пароли я предпочитаю либо помнить, либо прятать под мастер-пароль, а не в контейнер. В контейнере - действительно ценная информация (исходники, лицензионные ключи, записи об аккаунтах, которые требуется администрировать).

[r3b3l]

Спасибо!