VeraCrypt: Difference between revisions
(Created page with "''Work in progress'' == Autor == Indrek Pruul <br/> Rühm IDAR 2018 <br> Category:Andmesalvestustehnoloogiad") |
No edit summary |
||
| (12 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
VeraCrypt on avatud lähetkoodiga tööriist, mis võimaldab reaal ajas krüpteerimist (OFTE). <ref name="VeraCrypt Official Site">[https://veracrypt.fr "VeraCrypt Official Site"]</ref> See võimaldab teha virtuaalse krüpteeritud ketta jao või Windowsi keskkonnas kogu ketta jao koos autentimisega enne süsteemi laadimist (PBA või POA). <ref name="OS Supported for System Encryption">{{cite web | url=https://veracrypt.codeplex.com/wikipage?title=Supported%20Systems%20for%20System%20Encryption | title=Operating Systems Supported for System Encryption | work=VeraCrypt Official Website | accessdate=February 16, 2015}}</ref> | |||
VeraCrypt on haru ([[Fork (software development)|fork]]) nüüdseks maha jäetud projektist [[TrueCrypt| TrueCrypt ]] .<ref name="VeraCrypt a Worthy TrueCrypt Alternative">{{cite web | url=http://www.esecurityplanet.com/open-source-security/veracrypt-a-worthy-truecrypt-alternative.html | title=VeraCrypt a Worthy TrueCrypt Alternative | publisher=Quinstreet Enterprise | work=eSecurity Planet | date=October 13, 2014 | accessdate=February 16, 2015 | author=Rubens, Paul}}</ref> VeraCrypt lasti algselt välja 22 juunil 2013 aastal ja on omab värskeimat versiooni (versioon 1.22) mis lasti välja 30 märts 2018. <ref>[https://www.veracrypt.fr/en/Downloads.html "VeraCrypt Downloads"]</ref> | |||
Tarkvara on saanud mitmeid turvalisuse uuendusi pealee TrueCrypty turva auditeid, mis järel on need vead kõrvaldatud ([[#Security improvements|Vaata järgnevalt]]). | |||
VeraCrypt sisaldab rakendusi optimiseeritud krüptograafilisi räsidele ja šifritele, mis tõstavad kiiruseid kaasaegsetel protsessoritel. | |||
== Litsents == | |||
VeracCrypt on litsetseerinud Apache Litsentsi 2.0 alusel alates 28 juuni 2015 <ref>{{cite web | title =Apache License 2.0 (Apache) | accessdate =2015-07-01 | url=https://veracrypt.codeplex.com/license }}</ref> Varasemalt see oli lastud välja Microsofti Avaliku litsentsi alusel. <ref>{{cite web | title =Microsoft Public License (Ms-PL) | accessdate =2015-07-01 | url=https://veracrypt.codeplex.com/license?LicenseHistoryId=120858}}</ref> VeraCrypt onm pärinud suure osa oma koodist TrueCryptilt. | |||
== Krüpteering == | |||
=== Algoritmid === | |||
VeraCrypti toetatavad krüpteetingud on [[Advanced Encryption Standard|AES]], [[Serpent (cipher)|Serpent]], [[Twofish]], [[Camellia (cipher)|Camellia]] ja [[Kuznyechik]]. [[GOST (block cipher)|Magma]] šifer eemaldati versioonis 1.19 peale turva auditi tulemusi.<ref>https://www.theregister.co.uk/2016/10/18/veracrypt_audit/</ref> | |||
Lisaks nendele algoritmidele on saadaval kümme järjestik kombinatsioonidega algoritmi: AES–Twofish, AES–Twofish–Serpent, Camellia–Kuznyechik, Camellia–Serpent, Kuznyechik–AES, Kuznyechik–Serpent–Camellia, Kuznyechik–Twofish, Serpent–AES, Serpent–Twofish–AES, and Twofish–Serpent. <ref>{{cite web |title=Encryption Algorithms |work=VeraCrypt Documentation |publisher =IDRIX |url=https://www.veracrypt.fr/en/Encryption%20Algorithms.html |accessdate=2018-03-31}}</ref> VeraCryptis saadaval olevad krüptograafilised räsi algoritmid on [[RIPEMD-160]], [[SHA-256]], [[SHA-512]], [[Streebog]] ja [[Whirlpool (cryptography)|Whirlpool]].<ref>{{cite web |title=Hash Algorithms |work=VeraCrypt Documentation |publisher=IDRIX |url=https://www.veracrypt.fr/en/Hash%20Algorithms.html |accessdate=2018-03-31}}</ref> | |||
== Jõudlus == | |||
VeraCrypt toetab [[data parallelism|paraliseeritud]]<ref name=guide-1.0f>{{cite web|title=VeraCrypt User Guide|url=https://veracrypt.codeplex.com/documentation |publisher=IDRIX|date=2015-01-04 |edition=1.0f}}</ref> krüpteeringut mis võimaldab kasutada ära mitme tuumaliste arvutite võimsust Microsoft Windowsi all, optimiseeritud lugemise ja kirjutamise operatsioonid et vähendada kiiruse kadu šifreerimise ja dešifreerimise protsesside juures. Uuemad protsessorid mis toetavad [[AES-NI]] käsustiku (instruction set) saavad kasutada AES riistvaralist kiirendust, mis tõstab jõudlust märgatavalt. [[data parallelism|paraliseeritud]]<ref name=guide-1.0f>{{cite web|title=VeraCrypt User Guide|url=https://veracrypt.codeplex.com/documentation |publisher=IDRIX|date=2015-01-04 |edition=1.0f}}</ref> | |||
== VeraCrypti audit == | |||
VeraCrypt 1.18 läbis turvaauditi mille koostas QuarksLab, mille palus teha Open Source Technology Improvement Funt, võttes aega 32 tööpäeva tundi mis avaldati 17 oktoober 2016 <ref name="VeraCrypt Audit">{{cite web | url=https://ostif.org/the-veracrypt-audit-results/ | title=VeraCrypt Audit | date=October 17, 2016 | accessdate=October 18, 2016 | author=OSTIF}}</ref><ref name="VeraCrypt Audit Results">{{cite web | url=http://blog.quarkslab.com/resources/2016-10-17-audit-veracrypt/16-08-215-REP-VeraCrypt-sec-assessment.pdf | title=VeraCrypt Audit Results | date=October 17, 2016 | accessdate=October 18, 2016 | author=QuarksLab}}</ref> | |||
== Turva meetmed == | |||
Igal tarkvaralisel ketta krüpteerimise tootel on mitmeid nõrkusi. Nagu TrueCrypti puhul, VeraCrypti dokumentatsioon juhendan kasutajaid järgima erinevaid turvameetmeid et vähendada riski. <ref name="Security Requirements and Precautions">{{cite web | url=https://veracrypt.codeplex.com/wikipage?title=Security%20Requirements%20and%20Precautions | title=Security Requirements and Precautions | publisher=IDRIX | work=VeraCrypt Documentation | accessdate=February 16, 2015}}</ref> | |||
=== Krüpteeringu võtmeid hoitakse mälus === | |||
VeraCrypt hoiab võtmeid muutmälus, tavalisel koduarvutil hoiab [[DRAM]] mitu sekundit pärast voolu eemaldamist. Isegi kui osa mälust on juba kustunud, erinevad tarkvarad võimaldavad suure osa sellest taastada. Seda ründe meetodit kustsutakse cold boot ründeks, mille puhul on tõestatud ründed mida on kaitsnud TrueCrypt. <ref>{{cite web |url=http://www.usenix.org/event/sec08/tech/full_papers/halderman/halderman_html/ |title=Lest We Remember: Cold Boot Attacks on Encryption Keys |author=[[Alex Halderman]]|display-authors=etal}}</ref> | |||
=== Füüsiline turvalisus === | |||
VeraCrypt ei suuda kaitsta füüsilise sekkumise eest nagu näiteks tarkvaralise või riistvaralise keyloggeri eest või muul moel kui saadakse enne krüpteerimist andmed ja/või paroolid. Seega füüsiline turvalisus on eelduseks turvaliseks süsteemiks. | |||
=== Pahavara === | |||
Mõned pahavarad on loodud klahvi vajutusi korjama, kaasa arvatud sisestatud paroole, mis võidakse saata ründajale üle interneti või salvestatakse krüpteerimata kettale, mida saadakse hilisemal ajal lugeda. | |||
=== TPM moodul === | |||
VeraCrypt tarkvara käsiraamatus <ref>{{cite web | url=https://www.veracrypt.fr/en/FAQ.html |title =FAQ | accessdate =2018-05-05 }}</ref> on kirjas, et TPM moodulitele ei saa kindlaks jääda, kuna ründajal on tihti peale varasemalt saadud administraatori õigused ja kasutaja on hilisemalt mõjutatud eelnevalt paigaldatud moodulitest. | |||
== Plaanitavad uuendused == | |||
Unicode paroolid on hetkel toetatud vaid Windows platvormil, tulevikus plaanitakse Unicode läbi kogu toote. | |||
= Rakendus = | |||
=== Ülevaade === | |||
Rakenduse ava kuva | |||
[[File:Veracrypt1.PNG]] | |||
== Rakenduse kasutamine == | |||
=== VeraCrypt ketta loomine === | |||
Esmalt tuleb tekitada ketas (Create Volume) ülemisel pildil | |||
[[File:VeraCrypt2.PNG]] | |||
Seejärel tekitame krüpteeritud konteineri valides esimese valiku (Create an encrypted file conteiner) | |||
[[File:VeraCrypt3.PNG]] | |||
Standardse VeraCrypt konteineri | |||
[[File:VeraCrypt4.PNG]] | |||
Valida konteineri asukoht arvutis (Select file...) valides suvalise nime(nt. G:\test) | |||
Krüpteerimise valikud, kõige lihtsam ja kindlam on valida vaikeseaded ehk AES ja SHA-512 | |||
[[File:VeraCrypt5.PNG]] | |||
==== Kiiruse võrdlus ==== | |||
AES kiiruse võrdlus: Xeon X3450 2.67(3.20@3.5)GHz 4/8 | |||
[[File:VeraCrypt6.PNG]] | |||
I5 2540M 2.60(3.30)GHz 2/4 | |||
[[File:VeraCrypt6_1.PNG]] | |||
Ehkki riisvaraline AES kiirenus aitab kaasa jõudlusele, on vahed ainult üsna minimaalsed. | |||
Nagu eelnevatelt piltidelt nägime võimaldab VeraCrypt kasutatada ära mitut tuuma. | |||
[[File:VeraCrypt7.PNG]] | |||
Järgmisena on vaja määrata ära konteineri suurus, mille ulatuses saab krüpteeritud faile luua, antud juhul 10 GB | |||
[[File:VeraCrypt8.PNG]] | |||
Edasi tuleb määrata konteinerile parool, mida tuleb kaks korda sisestada, VeraCrypt hoiatab, kui kasutada nõrka parooli, soovitatav on üle 20 tähe | |||
[[File:VeraCrypt9.PNG]] | |||
Edasi kas soovid suuri faile salvestada sinna? Hekel mitte. | |||
[[File:VeraCrypt10.PNG]] | |||
Järgne ketta jao tüübi määramine ja juhuslikkuse kogumine. | |||
Kettale saab peale panna ntfs, fat, exFAT, ReFS või jätta ilma tüübist. | |||
[[File:VeraCrypt11.PNG]] | |||
VeraCrypt vormindamise kiirus on praktiliselt võrdne ketta enda kiirusega, esialgu oli kiirus suurem kuid lõpetas 10GB vormindamise keskmise kiirusega 61.3MB/s. | |||
[[File:VeraCrypt12.PNG]] | |||
Viimaseks sammuks pakub programm kas veel teha mõni ketta jagu või väljuda. | |||
=== Ketta jao lugemine === | |||
[[File:VeraCrypt13.PNG]] | |||
Nüüd avame VeraCrypt programmi, navigeerime kausta kuhu eelnevalt sai test fail tekitatud, valime Mount ja mõne vaba tähe, näiteks A: ketas ja sisestame parooli. | |||
[[File:VeraCrypt14.PNG]] | |||
Natuke läheb aega ja siis monteeritakse ketas A: kaustale G:\test külge | |||
[[File:VeraCrypt15.PNG]] | |||
VeraCrypt kürptimatta 15 faili on 960KB | |||
[[File:VeraCrypt16.PNG]] | |||
VeraCrypt momentaalselt krüpteeris need väiksed failid. | |||
[[File:VeraCrypt17.PNG]] | |||
Suure faili kopeerimine krüpteeritud kettale (G: to A:) | |||
Nähtavat kiiruse kadu krüpteerimata kopeerimisel krüpteeritud kettale ei ole märgata. | |||
[[File:VeraCrypt18.PNG]] | |||
Küll aga on see tuntav teistpidisel kopeerimisel. | |||
=== Lõpetamine === | |||
Töö lõpetamisel tuleb Dismount All vajutada ja kõik krüpteeritud kettad haagitakse lahti. | |||
VeraCrypt artikli failid | |||
== Autor == | == Autor == | ||
Indrek Pruul <br/> | Indrek Pruul <br/> | ||
Rühm IDAR 2018 <br> | Rühm IDAR 2018 <br> | ||
== Viited == | |||
[[Category:Andmesalvestustehnoloogiad]] | [[Category:Andmesalvestustehnoloogiad]] | ||
Latest revision as of 16:27, 20 May 2018
VeraCrypt on avatud lähetkoodiga tööriist, mis võimaldab reaal ajas krüpteerimist (OFTE). [1] See võimaldab teha virtuaalse krüpteeritud ketta jao või Windowsi keskkonnas kogu ketta jao koos autentimisega enne süsteemi laadimist (PBA või POA). [2]
VeraCrypt on haru (fork) nüüdseks maha jäetud projektist TrueCrypt .[3] VeraCrypt lasti algselt välja 22 juunil 2013 aastal ja on omab värskeimat versiooni (versioon 1.22) mis lasti välja 30 märts 2018. [4] Tarkvara on saanud mitmeid turvalisuse uuendusi pealee TrueCrypty turva auditeid, mis järel on need vead kõrvaldatud (Vaata järgnevalt). VeraCrypt sisaldab rakendusi optimiseeritud krüptograafilisi räsidele ja šifritele, mis tõstavad kiiruseid kaasaegsetel protsessoritel.
Litsents
VeracCrypt on litsetseerinud Apache Litsentsi 2.0 alusel alates 28 juuni 2015 [5] Varasemalt see oli lastud välja Microsofti Avaliku litsentsi alusel. [6] VeraCrypt onm pärinud suure osa oma koodist TrueCryptilt.
Krüpteering
Algoritmid
VeraCrypti toetatavad krüpteetingud on AES, Serpent, Twofish, Camellia ja Kuznyechik. Magma šifer eemaldati versioonis 1.19 peale turva auditi tulemusi.[7] Lisaks nendele algoritmidele on saadaval kümme järjestik kombinatsioonidega algoritmi: AES–Twofish, AES–Twofish–Serpent, Camellia–Kuznyechik, Camellia–Serpent, Kuznyechik–AES, Kuznyechik–Serpent–Camellia, Kuznyechik–Twofish, Serpent–AES, Serpent–Twofish–AES, and Twofish–Serpent. [8] VeraCryptis saadaval olevad krüptograafilised räsi algoritmid on RIPEMD-160, SHA-256, SHA-512, Streebog ja Whirlpool.[9]
Jõudlus
VeraCrypt toetab paraliseeritud[10] krüpteeringut mis võimaldab kasutada ära mitme tuumaliste arvutite võimsust Microsoft Windowsi all, optimiseeritud lugemise ja kirjutamise operatsioonid et vähendada kiiruse kadu šifreerimise ja dešifreerimise protsesside juures. Uuemad protsessorid mis toetavad AES-NI käsustiku (instruction set) saavad kasutada AES riistvaralist kiirendust, mis tõstab jõudlust märgatavalt. paraliseeritud[10]
VeraCrypti audit
VeraCrypt 1.18 läbis turvaauditi mille koostas QuarksLab, mille palus teha Open Source Technology Improvement Funt, võttes aega 32 tööpäeva tundi mis avaldati 17 oktoober 2016 [11][12]
Turva meetmed
Igal tarkvaralisel ketta krüpteerimise tootel on mitmeid nõrkusi. Nagu TrueCrypti puhul, VeraCrypti dokumentatsioon juhendan kasutajaid järgima erinevaid turvameetmeid et vähendada riski. [13]
Krüpteeringu võtmeid hoitakse mälus
VeraCrypt hoiab võtmeid muutmälus, tavalisel koduarvutil hoiab DRAM mitu sekundit pärast voolu eemaldamist. Isegi kui osa mälust on juba kustunud, erinevad tarkvarad võimaldavad suure osa sellest taastada. Seda ründe meetodit kustsutakse cold boot ründeks, mille puhul on tõestatud ründed mida on kaitsnud TrueCrypt. [14]
Füüsiline turvalisus
VeraCrypt ei suuda kaitsta füüsilise sekkumise eest nagu näiteks tarkvaralise või riistvaralise keyloggeri eest või muul moel kui saadakse enne krüpteerimist andmed ja/või paroolid. Seega füüsiline turvalisus on eelduseks turvaliseks süsteemiks.
Pahavara
Mõned pahavarad on loodud klahvi vajutusi korjama, kaasa arvatud sisestatud paroole, mis võidakse saata ründajale üle interneti või salvestatakse krüpteerimata kettale, mida saadakse hilisemal ajal lugeda.
TPM moodul
VeraCrypt tarkvara käsiraamatus [15] on kirjas, et TPM moodulitele ei saa kindlaks jääda, kuna ründajal on tihti peale varasemalt saadud administraatori õigused ja kasutaja on hilisemalt mõjutatud eelnevalt paigaldatud moodulitest.
Plaanitavad uuendused
Unicode paroolid on hetkel toetatud vaid Windows platvormil, tulevikus plaanitakse Unicode läbi kogu toote.
Rakendus
Ülevaade
Rakenduse ava kuva
Rakenduse kasutamine
VeraCrypt ketta loomine
Esmalt tuleb tekitada ketas (Create Volume) ülemisel pildil
Seejärel tekitame krüpteeritud konteineri valides esimese valiku (Create an encrypted file conteiner)
Standardse VeraCrypt konteineri
Valida konteineri asukoht arvutis (Select file...) valides suvalise nime(nt. G:\test)
Krüpteerimise valikud, kõige lihtsam ja kindlam on valida vaikeseaded ehk AES ja SHA-512
Kiiruse võrdlus
AES kiiruse võrdlus: Xeon X3450 2.67(3.20@3.5)GHz 4/8
I5 2540M 2.60(3.30)GHz 2/4
Ehkki riisvaraline AES kiirenus aitab kaasa jõudlusele, on vahed ainult üsna minimaalsed.
Nagu eelnevatelt piltidelt nägime võimaldab VeraCrypt kasutatada ära mitut tuuma.
Järgmisena on vaja määrata ära konteineri suurus, mille ulatuses saab krüpteeritud faile luua, antud juhul 10 GB
Edasi tuleb määrata konteinerile parool, mida tuleb kaks korda sisestada, VeraCrypt hoiatab, kui kasutada nõrka parooli, soovitatav on üle 20 tähe
Edasi kas soovid suuri faile salvestada sinna? Hekel mitte.
Järgne ketta jao tüübi määramine ja juhuslikkuse kogumine.
Kettale saab peale panna ntfs, fat, exFAT, ReFS või jätta ilma tüübist.
VeraCrypt vormindamise kiirus on praktiliselt võrdne ketta enda kiirusega, esialgu oli kiirus suurem kuid lõpetas 10GB vormindamise keskmise kiirusega 61.3MB/s.
Viimaseks sammuks pakub programm kas veel teha mõni ketta jagu või väljuda.
Ketta jao lugemine
Nüüd avame VeraCrypt programmi, navigeerime kausta kuhu eelnevalt sai test fail tekitatud, valime Mount ja mõne vaba tähe, näiteks A: ketas ja sisestame parooli.
Natuke läheb aega ja siis monteeritakse ketas A: kaustale G:\test külge
VeraCrypt kürptimatta 15 faili on 960KB
VeraCrypt momentaalselt krüpteeris need väiksed failid.
Suure faili kopeerimine krüpteeritud kettale (G: to A:)
Nähtavat kiiruse kadu krüpteerimata kopeerimisel krüpteeritud kettale ei ole märgata.
Küll aga on see tuntav teistpidisel kopeerimisel.
Lõpetamine
Töö lõpetamisel tuleb Dismount All vajutada ja kõik krüpteeritud kettad haagitakse lahti.
VeraCrypt artikli failid
Autor
Indrek Pruul
Rühm IDAR 2018
