Обновился сабж. Качать здесь.

Вообще-то, об этом первым сообщил

Автор: DemAS
Дата: 06.02.08

не я, если что Но сайт уже не лежит, можно качать и тестить.

Уже чуть протестил — действительно теперь умеет шифровать системный раздел. Про быстродействие — не скажу, т.к. тестил на виртуальной машине. Собираюсь попробовать на системном разделе ноутбука, будет интересно — потом напишу.

Помимо этого, говорят что значительно увеличено быстродействие некоторых операций, внесен ряд изменений/возможностей в плане криптографии, появилась версия под Mac OS X, GUI для линуксовой версии. Подробнее здесь

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Обновился сабж. Качать здесь.

KV>Вообще-то, об этом первым сообщил

Автор: DemAS
Дата: 06.02.08

не я, если что Но сайт уже не лежит, можно качать и тестить.

KV>Уже чуть протестил — действительно теперь умеет шифровать системный раздел. Про быстродействие — не скажу, т.к. тестил на виртуальной машине. Собираюсь попробовать на системном разделе ноутбука, будет интересно — потом напишу.

KV>Помимо этого, говорят что значительно увеличено быстродействие некоторых операций, внесен ряд изменений/возможностей в плане криптографии, появилась версия под Mac OS X, GUI для линуксовой версии. Подробнее здесь

А интересно, хардлинки (reparse points) внутрь зашифрованного раздела с нешифрованного он поймет?

Здравствуйте, Sergey, Вы писали:

S>А интересно, хардлинки (reparse points) внутрь зашифрованного раздела с нешифрованного он поймет?

Почему нет?

Здравствуйте, Sergey, Вы писали:

S>А интересно, хардлинки (reparse points) внутрь зашифрованного раздела с нешифрованного он поймет?
Это soft linkи

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Уже чуть протестил — действительно теперь умеет шифровать системный раздел. Про быстродействие — не скажу, т.к. тестил на виртуальной машине. Собираюсь попробовать на системном разделе ноутбука, будет интересно — потом напишу.

В общем, вчера уснуть спокойно не смог, пока не протестил шифрование системного раздела на живом ноуте

ТТХ теста:

Ноутбук:
HP nc6400, стандартная комплектация + 1Gb RAM. Винт 60Gb (17Gb + 43Gb) в native-SATA режиме.

Параметры шифрования:
Алгоритм шифрования — Twofish (Шнайеру верю как родному, кроме того — среди поддерживаемых TC, этот — самый быстрый). Алгоритм хеширования RIPEMD-160, единственный из доступных для работы с системными разделами. Зашифровать можно как отдельно системный раздел, так и весь винт на котором находится системный раздел. Для теста, исключительно субъективно, был выбран второй вариант. Также, можно настроить количество циклов перезаписи незашифрованных данных на диске, чтобы исключить возможность их восстановления всея спецслужбами. Чтобы не затягивать процесс, от перезаписи отказался вообще. Нечего мне от спецслужб скрывать

Достойна уважения та настырность, с которой разработчики подошли к вопросу решения возможных проблем, которые могут возникнуть в процессе шифрования раздела/диска. В первую очередь, TC вынуждает пользователя создать диск восстановления с мастер-ключом и бэкапом нового загрузчика. Сформированный ISOшник необходимо прожечь на болванку и дать TC убедиться что все прожглось правильно. Либо подсунуть TC этот образ эмулятором, чего делать не рекомендуется, т.к. диск-восстановления может и правда понадобиться, но будет уже поздно После того как TC убедился, что диск у вас есть и что на нем нет ошибок, он устанавливает собственный загрузчик и перезагружает систему. Если старт под новым загрузчиком прошел гладко, после успешного входа в систему, TC предлагает перейти к шифрованию. Шифрование происходит прямо в винде, в полупрозрачном режиме. В том смысле, что пока идет шифрование — вполне можно работать. Правда при любой "левой" дисковой активности шифрование приостанавливается, и возобновляется только тогда, когда активность прекращается. Запаузить, либо прервать шифрование можно в любой момент. Юзкейс с прерыванием — не тестил, но судя по описанию — в этом случае часть диска будет зашифрована, часть — нет. Но обещают, что все будет работать. Без всяких "левый" активностей с моей стороны, на шифровку всего диска ушло около 1,5 часов.

Далее, каждый раз перед загрузкой винды, у вас будут спрашивать пароль. Проблема забытого пароля решаема с помощью диска-восстановления. Как я понимаю, находящийся на нем мастер-ключ позволяет расшифровать диск без знания пароля + восстановить загрузчик в случае чего. После правильного ввода пароля все работает абсолютно прозрачно. Ждущий режим переживается нормально (было бы странно), хибернейт — не тестил, т.к. про отсутствие бэкапов вспомнил когда шифрование уже подходило к концу

Теперь самое интересное — быстродействие. Субъективно-визуально, практически не тормозит. Разве что чуть дольше стали загружаться приложения (процентов на 10-15%). Но тут есть один тонкий момент — буквально на этой неделе, я достаточно ощутимо "разогнал" ноут, переключив контроллер в SATA режим (до этого он был в эмуляции IDE, по некоторым причинам) и натравив на систему оптимизатор MS'овского BootVisTool'а. После чего, все стало буквально летать. Так вот после шифрования, все работает медленнее чем после "разгона", но точно — быстрее, чем до него.

Не субъективно — до и после шифрования прогнал диск PCWizard'ом (знаю что не лучший вариант, но под рукой ничего другого не было). Результаты такие:



Что в общем-то вполне ожидаемо. Решил пока остаться на зашифрованном диске, если будут проблемы — напишу сюда. Резюме — пять баллов (пока ), владельцам ноутов must have, если есть что скрывать/защищать.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV> Проблема забытого пароля решаема с помощью диска-восстановления. Как я понимаю, находящийся на нем мастер-ключ позволяет расшифровать диск без знания пароля + восстановить загрузчик в случае чего.

диск-восстановитель индивидуален или мастер-ключ может быть в принципе у разработчиков и тем, кому они его дали?

Здравствуйте, Michael7, Вы писали:

M>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>> Проблема забытого пароля решаема с помощью диска-восстановления. Как я понимаю, находящийся на нем мастер-ключ позволяет расшифровать диск без знания пароля + восстановить загрузчик в случае чего.

M>диск-восстановитель индивидуален или мастер-ключ может быть в принципе у разработчиков и тем, кому они его дали?

Посыпаю голову пеплом, предназначение диска восстановления я понял неправильно. Он поможет лишь в случае повреждения загрузчика либо области, в которой хранятся ключи. Расшифровать диск с него можно, но только зная пароль. Сам только что проверил. Если забыли пароль — либо вспоминаем, либо машем данным рукой и улыбаемся

Отвечая на вопрос: диск индивидуален и проблему забытого пароля не решает.

Здравствуйте, kochetkov.vladimir, Вы писали:

Лично я высокого мнения о TrueCrypt, но подожду 5.0.1 Кстати, обратите внимание ещё на один проект: http://freed0m.org/?index=dcrypt Вроде бы вдвое быстрее, чем TrueCrypt.

Здравствуйте, Delight, Вы писали:

D>Здравствуйте, kochetkov.vladimir, Вы писали:

D>Кстати, обратите внимание ещё на один проект: http://freed0m.org/?index=dcrypt Вроде бы вдвое быстрее, чем TrueCrypt.

В общем, внимание — обратил Про GUI, документацию, набор протоколов шифрования и управление из командной строки — писать не буду, ибо все плохо. Но это можно списать на крайне раннюю версию этого продукта (0.2.5 beta на момент тестирования). К сожалению — не умеет шифровать весь жесткий диск целиком, только по разделам. Поэтому для теста выбрал только шифрование С: на том же ноуте, что и в случае с TC. Диск я, разумеется, перед этим расшифровал и TC снес.

Результаты тестирования вкратце: поддерживается только один алгоритм шифрования (AES), раздел шифровался примерно с такой же скоростью, так же в винде, также прозрачно. Правда, никаких намеков на возможность прерывания или приостановки этого процесса я не нашел. Что будет, если тупо завершить процесс во время шифрования — не проверял, систему было жалко

Субъективно — никаких изменений в скорости работы ноута не обнаружил, все так же, что и при TC. Но! Под TC я использовал twofish, под DC пришлось довольствоваться AES'ом, который по всем параметрам несколько тормознутее twofish'а. Это наводит на определенные мысли

Результаты теста такие:



*Жутко извиняюсь за траблы с кодировкой — глюк pcwizard'a, а перетестировать увы — времени нету

Даже с учетом разницы протоколов, DC работает явно быстрее, хоть и не в два раза. Резюме: проекту еще нет и полугода, если будет развиваться такими же темпами, то к версии 1.0 из него получится весьма достойный конкурент TC'у.

Здравствуйте, Delight, Вы писали:

D>Здравствуйте, kochetkov.vladimir, Вы писали:

D>Лично я высокого мнения о TrueCrypt, но подожду 5.0.1

Ну, можно считать что он уже вышел: http://www.truecrypt.org/docs/?s=version-history Правда я на 5.0 за эти несколько дней так глюков и не заметил, хотя и специально не искал