Релиз VeraCrypt 1.17, форка TrueCrypt

14.02.2016 17:20

Доступен релиз проекта VeraCrypt 1.17, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и OS X, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. При этом, VeraCrypt предоставляет режим совместимости с разделами TrueCrypt и содержит средства для преобразования TrueCrypt-разделов в формат VeraCrypt. Код VeraCrypt поставляется под лицензией Apache 2.0.

Основные изменения:

Поддержка использования Unicode-символов в паролях;
Внесены оптимизации, позволившие наполовину сократить время монтирования и загрузки;
В реализации Whirlpool PRF некоторые критичные к производительности участки переписаны на языке ассемблера, что ускорило работу кода примерно на 25%;
Добавлена поддержка создания разделов exFAT;
Добавлен графический индикатор энтропии, показывающий уровень случайных данных, накопленных при движении мышью;
В состав включены новые пиктограммы и графически элементы;
В сборках для Linux и OSX решены проблемы с генерацией через интерфейс командной строки разделов с ФС, отличными от FAT;
В опции "--size" теперь можно использовать суффиксы K/M/G/T для определения размерности задаваемой величины;
Внесена большая порция исправлений, специфичных для платформы Windows, в том числе устранены несовместимости с антивирусными пакетами Comodo и Kaspersky, а также устранена уязвимость (CVE-2016-1281), позволяющая осуществить атаку через загрузку в инсталляционную директорию подставной DLL-библиотеки.

исправить +24 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/43871-veracrypt

Ключевые слова: veracrypt, truecrypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (61)

1.2, Кир (?), 21:14, 14/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+2 +/–
завтра потестим, монтировалось действительно значительнее медленнее старого трукрипта.

2.5, Anonplus (?), 21:29, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Монтировалось оно медленнее, потому что добавили раундов шифрования. Если не устраивает время монтирования, поиграйтесь с числом PIM (только сначала поглядите в мануале, что это и до каких величин его сравнительно безопасно можно снижать).

2.9, Gedeon (ok), 22:21, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Сейчас монтируется дольше, чем в TrueCrypt, но конкретно в этой версии монтирование сильно ускорили. Сразу чувствуется, я ещё на бета версиях это заметил.

1.3, Аноним (-), 21:24, 14/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+8 +/–
Пользуюсь с момента форканья, было много инцидентов, когда доступ к зашифрованным данным был необходим гос. органам, веракрипт всегда спасал.

Часть нити удалена модератором

3.7, Аноним (-), 21:55, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+19 +/–
Какое узкое у вас воображение, видимо задача взята из личного.

4.10, кверти (ok), 22:24, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Ну да, вы финансовую информацию шифруете, оно и понятно - офшоры, черная бухгалтерия и т.д.

5.17, ix.. (?), 23:08, 14/02/2016 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+2 +/–
Не обязательно, обычное делопроизоводство предприятия, совершенно белое, не подотчётное лучше шифровать максимально. Защищает от быстрого рейдрества. В лучае захвата друзьями, детьми и прочими хорошими знакомыми чиновников, управлять предприятием будет чуть сложнее. Ни один работник всё равно не держит всего в голове.

6.40, Аноним (-), 12:46, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Ему достаточно держать в голове только пароли =) Да и у вас по гост все зашифровано?

5.18, Вареник (?), 23:10, 14/02/2016 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	–9 +/–
Платите все налоги, храните в рублях - и будет Вам персональное счастье.

6.20, A.Stahl (ok), 23:13, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+7 +/–
Нет денег -- нет проблем?

5.38, freehck (ok), 11:59, 15/02/2016 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+5 +/–
Вы не поверите, но шифровать диск необходимо не только для сокрытия незаконной инофрмации, но и для вполне легальных вещей. Например, если Вы храните на машине приватный ключ, то наличие шифрования диска может Вас сравнительно обезопасить от злоумышленника, получившего физический доступ к Вашей машине.

6.45, тоже Аноним (ok), 14:38, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
> обезопасить от злоумышленника, получившего физический доступ к Вашей машине. Если бы только к машине. Флешки и внешние винты с критичной информацией могут загулять ничуть не хуже, чем корпоративные ноутбуки. У меня всегда с собой в кармане флешка с ключами к купленному софту и паролями к почтам и прочим аккаунтам - никогда не знаешь, в каком филиале что понадобится. И я таки совершенно не боюсь ее однажды потерять...

2.8, Аноним (-), 22:20, 14/02/2016 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
это Вы к тому, что у органов есть бэкдоры для веры?

3.12, Аноним (-), 22:38, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Если вдруг есть... Где у нас проживает основатель форка?

2.25, Мимокрокодил (?), 00:29, 15/02/2016 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
А как же спаслись от анального криптоанализа? Только не говорите что ваши шифрованные миллионы нефти никто не обнаружил, а Вам поверили на слово что там "не подотчетное".

1.11, Alting (ok), 22:25, 14/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+7 +/–
SSL сертификат сайта выдан Microsoft Corporation? Нет-нет, я не параноик и шапочки из фольги у меня нет. Но, как-то...

2.13, Аноним (-), 22:44, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
А смысл, если аудит неотвратим?

2.14, Аноним (-), 22:45, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Вероятно потому что это майкрософтовский сайт вообще.

2.21, Аноним (-), 23:16, 14/02/2016 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
Мне вот интересно, чем шифруют инфу во всяких АНБ? У них там проприетарщина с бэкдурами на случай потери пароля? Или открытые популярные решения вроде трукрипта?

3.22, Аноним (-), 23:28, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
самописный софтваре с самописными же алгоритмами

3.41, Аноним (-), 12:48, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Не шифруют вообще, ибо так самим проще за собой следить.

4.60, Андрей (??), 03:46, 16/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Одни шифруют самописным кодом, другие коллеги ломают. Потом наоборот.

2.24, Ujcnm (?), 00:08, 15/02/2016 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
CodePlex is Microsoft's free open source project hosting site.

1.15, Аноним (-), 22:53, 14/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
Без достоверного знания о причинах сворачивания TrueCrypt всегда будут оставаться сомнения в продолжателях )

2.16, Аноним (-), 23:06, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
А если получишь достоверное знание, то сразу поверишь продолжателям? :) Пользователи TrueCrypt/VeraCrypt не должны никому верить!

3.19, Вареник (?), 23:13, 14/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
> А если получишь достоверное знание, то сразу поверишь продолжателям? :) Пользователи TrueCrypt/VeraCrypt > не должны никому верить! От родных карателей - TrueCrypt/VeraCrypt, от буржуйских - соответственно GOST/IDEA.

3.28, Аноним (-), 01:40, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Если он узнает, что P = NP, то побежит всем рассказывать. Поэтому он не узнает.

1.23, АнонимХ (ok), 23:37, 14/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
А GPT разметку оно видит?

2.33, Аноним (-), 06:07, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> А GPT разметку оно видит? Пока нет.

2.62, Андрей (??), 03:53, 16/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> А GPT разметку оно видит? А баг у них хотя бы открыт? Известно с чем задержка?

1.26, Аноним (-), 00:31, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
ГОСТовых алгоритмов не увидел, русские криптоманьяки, расходимся :)

2.32, Аноним (-), 06:07, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Российские криптоманьяки больше боятся родного ФСБ, чем заморского АНБ. Поэтому и российское крипто стараются не юзать. Для зарубежных товарищей есть GOSTCrypt.

3.34, Аноним (-), 06:47, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Правительство каждой из стран дешифровали на брудершафт

1.27, Аноним (-), 01:22, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
> Добавлен графический индикатор энтропии, показывающий уровень случайных данных, накопленных при движении мышью; Это явно не случайность

2.29, cmp (ok), 01:51, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Ага, на случай зонда, который управляет рукой, которая держит мышь.

3.42, Аноним (-), 12:51, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Ага, на случай зонда, который управляет рукой, которая держит мышь. Не, просто уровень энтропии теперь можно будет перехватывать по эм излучению монитора, что понижает криптоскойкость на 239.567%

1.30, Наркоман (?), 02:48, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
А ещё ретина теперь поддерживается.

1.31, Нимано (?), 03:37, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]

–1 +/–

> уязвимость (CVE-2016-1281)

https://github.com/veracrypt/VeraCrypt/commit/5872be28a243acb3b5aafdf13248e07d

+static void LoadSystemDll (LPCTSTR szModuleName, HMODULE *pHandle)
+{
+ wchar_t dllPath[MAX_PATH];
+
+ /* Load dll explictely from System32 to avoid Dll hijacking attacks*/
+ if (!GetSystemDirectory(dllPath, MAX_PATH))
+ StringCbCopyW(dllPath, sizeof(dllPath), L"C:\\Windows\\System32");
+

Н-да. Прям ... не встать. Обратная совместимость (и заодно, назначение виноватых) а ля ынтырпрайз эдишн.
Этой "уязвимости" уже -цать лет. Только она не в VeraCrypte и еще в куче другого софта, а в "гениальном" загрузчике, подгружаещем первую попавшуюся либу по списку "текущая директория:дир. с екзешником:$WINDOWS:$WINDOWS\system:eще куча:$PATH"
Но да, загрузчик конечно же не при чем – ведь кому, как не злобному разрабу лучше знать и контролировать, откуда правильнее и лучше грузить системные либы *рукалицо*

Просто тогда это была типа фичи или особенности загрузчика, так же довольно широко используемая в узких круга REшников, да и малварь одно время не брезговала таким простым способом заинжектить ДЛЛку.

Помню, RTF документ, плюс самописная, "скрытая" riched20.dll (честно при автозагрузке предуреждавшая, что она скомпилирована урезанной версией шестой вижуал студии типа "Introductory Edition" )) даже когда-то на дискете видел.

И да, при желании можно вполне нагуглить "пруфцы"
https://www.sans.org/security-resources/malwarefaq/32-nimda-exploit.php (2001 год)
> worm looks for .DOC and .EML files on remote systems
> when it finds these files, it copies its binary image with RICHED20.DLL name with system and
> hidden attributes to folders where these files reside (RICHED20.DLL is used to open OLE files)

2.50, 1 (??), 16:00, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> + StringCbCopyW(dllPath, sizeof(dllPath), L"C:\\Windows\\System32"); А что, современная венда всегда на диске Це?

3.52, Нимано (?), 16:52, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]

+/–

>> + StringCbCopyW(dllPath, sizeof(dllPath), L"C:\\Windows\\System32");
> А что, современная венда всегда на диске Це?

А чем вас

+ if (!GetSystemDirectory(dllPath, MAX_PATH))
+ StringCbCopyW(dllPath, sizeof(dllPath), L"C:\\Windows\\System32");

конкретно не устраивает? Это же на случай, если GetSystemDirectory не сработал.

1.35, seven_s (??), 10:34, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Во я все ещё сижу на старом добром TrueCrypt, стоит ли мигрировать на этот форк?

2.36, Gedeon (ok), 10:37, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> Во я все ещё сижу на старом добром TrueCrypt, стоит ли мигрировать > на этот форк? Я бы сказал, что стоит. Защита надежней, все уязвимости починены, исходный код доступен для аудита. Хотя если вам нужно использовать контейнеры вместе с другими пользователями, то проще остаться на трукрипте. Иначе смысл тогда в веракрипт? Хотя смысл есть. Обратная совместимость есть, и веракрипт умеет монтировать и даже создавать контейнеры трукрипта. А сторонние уязвимости все починены. Если пользуетесь трукриптом на линуксе, то веракрипт также означает для вас повышенное удобство в виде графического интерфейса.

3.43, тоже Аноним (ok), 14:35, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]

+2 +/–

> Защита надежней

... чем грузины.

> все уязвимости починены
> сторонние уязвимости все починены

Эти заявления совсем не эквивалентны "прикрыто несколько некритичных мест", которое имело место в действительности.

> повышенное удобство в виде графического интерфейса

То есть вы даже не в курсе, что у ТС есть гуй, и беретесь давать такие советы?

По теме: по-прежнему полагаю, что менять ТС на какой-то из его форков не только не нужно, а скорее вредно. Ждем их грызни между собой - глядишь, кто-то кого-то поймает на горячем.

4.44, Gedeon (ok), 14:37, 15/02/2016 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
Да, не в курсе. Покажите пожалуйста.

5.46, тоже Аноним (ok), 14:40, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> Да, не в курсе. Покажите пожалуйста. Даже если вас забанили в репозиториях - гугль по запросу "truecrypt gui" отнюдь не отмалчивается.

6.47, Gedeon (ok), 14:42, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> Даже если вас забанили в репозиториях - гугль по запросу "truecrypt gui" > отнюдь не отмалчивается. То есть его отдельно качать надо? Я так и думал. А речь о большем удобство, когда все эти дела из коробки идут.

7.48, тоже Аноним (ok), 14:47, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> Я так и думал. Возможно. Вот только ваши думы опять не совпадают с действительностью.

4.54, Нимано (?), 17:28, 15/02/2016 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

>> Защита надежней
> ... чем грузины.

Ну а че – защиту от Evil Maid ведь запилили! Тонко и изящно – проверкой загрузчика после загрузки им же.
Это ведь не глупые разработчики ТС, которых одно время, после того, довольно нашумевшего буткита Клейснера, чуть ли не травили[0], но которые упорно отказывались впилить такую же защиту. Просто придерживались мнения, что проверка целостности ПОСЛЕ возможного запуска левого кода – гиблое дело, в котором не особо преуспели даже Великие Защитники От Вирусов, т.к. хитрая малварь в случае буткитов тупо подсовывала при запросах оригинальный МБР.

А то, что такая малварь, кроме тупого подсовывания оригинальных секторов может вообще после прочтения пароля самоудалится, восстановив "все как было" и записав пароль в неиспользуемый сектор – да не, слишком уж за уши притянуто, не может быт!1
Не говоря уже о том, что для таких сценариев встроенная камера или аппаратный кейлоггер сработают не менее эффективно.

[0] я конечно утирую, но не слишком – новости в бложиках и масс-медиях типа "ТС можно расшифровать и усю защиту обойти!11" как и о(б)суждения всевозможными "специалистами" все еще можно нагуглить.

5.58, тоже Аноним (ok), 22:55, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Насколько я понимаю, эта атака актуальна только для зашифрованных системных дисков. Признаться. никогда не видел необходимости в подобном шифровании. Что-то в нем есть от попытки спрятаться в толпе, надев маску.

6.63, Нимано (?), 01:19, 17/02/2016 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Насколько я понимаю, эта атака актуальна только для зашифрованных системных дисков.

Там, имхо, вообще многое было притянуто "за уши":
1. Буткит использовал "удаленную уязвимость" в адоб ридере – типа "открой пдфку в браузере и у тебя уведут пароль".
Однако, такому трояну, который получил рута и смог перезаписать МБР, этот самый пароль нужен, как рыбе зонтик – ведь у него уже есть доступ ко всем файлам.

2. Сценарий "злобная горничная", т.е. у злоумышленника есть доступ непосредственно к компютеру/лэптопу:
Обычному персоналу делать больше нечего, как тайком дампить диск и ставить буткиты ...
А у "спецперсонала" в загашнике для этого дела наверняка и аппаратные кейлогеры и скрытые камеры с микрофонами и все остальное найдется.

> никогда не видел необходимости в подобном шифровании.

Частично, из-за легаси – хоум, как таковой, раньше ведь не использовался и ПО хранило данные по принципу "кто в лес, кто по дрова" – частично в реестре, частично в том же каталоге с программой. Да и сами пользователи не отставали.
Вроде бы только в семерке МС стал жестче "продавливать" "правильное хранение" для ПО, но опять же, куча $TEMP (в каталоге с виндой, в профиле пользователя, просто в C:\), своп в виде файла на C:, невозможность безопасного удаления файлов на уровне ФС ... в общем, данные по всему диску разбросаны.

Да и просто зашифровать профиль пользователя уже проблема, ведь с документацией "как оно работает" туговато и в код не глянешь.

Ну и да, в теории, засунуть втихаря, при наличии физического доступа, малварь уже сложнее – только хардкор^W буткит, наличие которого можно обнаружить, загрузившись с флэшки и сравнив хэши.

1.37, Аноним (-), 11:55, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
Чем оно лучше, dm-crypt(-a)?

1.39, Аноним (-), 12:05, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
А чем dmcrypt не устраивает ?

2.49, Anonymous4245345 (?), 15:31, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Например тем, что позволяет понять, что контейнер/файл зашифрован. Должен быть какой-то механизм вывода мета финформации в отдельный файл. Или лучше вообще отсутствие его структуры.

3.51, 1 (??), 16:02, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Вы не поверите, но --header

1.53, robux (ok), 17:13, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+2 +/–
Тела-то разработчиков TrueCrypt нашли?

1.55, ALex_hha (ok), 18:43, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+/–
> Пользуюсь с момента форканья, было много инцидентов, когда доступ к зашифрованным данным был необходим гос. органам, веракрипт всегда спасал. и давно оно начало спасать от анального криптоанализа?

2.56, Kodesu (ok), 19:20, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
С самого начала могло. https://u.pomf.is/jsqmbv.png

3.59, Мимокрокодил (?), 23:58, 15/02/2016 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> С самого начала могло.
> https://u.pomf.is/jsqmbv.png

При анальном криптоанализе спрашивают два пароля

4.61, Андрей (??), 03:51, 16/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Надо идею матрёшки и матрицы реализовать. Можно вводить пароль за паролем и всё равно не понятно, когда ты уже там.

5.64, Мимокрокодил (?), 15:05, 17/02/2016 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ага. Сделать целое дерево матрешек. И каждому сотруднику выдать свою комбинацию паролей для доступа в свою матрешку.

1.57, Аноним (-), 19:47, 15/02/2016 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
нет поддержки GPT (

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: