Ближе к телу

Человеческая деятельность пока (к счастью) не переехала целиком в Сеть, и плоды её приходится хранить на осязаемом компьютере, будь то свой, рабочий или флешка, принесённая к кому-то. Хранить – в том числе означает и охранять от посягательства чужих, бесстыжих и/или корыстных глаз и рук.

Программные решения защиты файлов, встроенные в Windows, привязаны к конкретной инсталляции. Железные средства –
шифрование винчестеров и флешек – добавляют иногда ощутимую сумму к стоимости железяки. И те, и другие не могут использоваться для бэкапа на компакт-диски. Паковать файлы в зашифрованные архивы – неудобно. Нужно универсальное и гибкое решение, работающее независимо от системы.
Оптимальный выбор сейчас – шифрование файлов на виртуальном диске, естественно кроссплатформенное и open source’ное. Практически единственная программа, подходящая под эти условия – TrueCrypt.

TrueCrypt 4.2a
Лицензия: собственная open source
Автор: TrueCrypt Foundation
ОС: Windows 2000/XP/2003, Linux
Сайт: www.truecrypt.org
Размер: 2,6 Мбайт (с установщиком и User Guide’ом)
Язык: многоязычная (в т.ч. русский)

TrueCrypt позволяет подключить файл или раздел диска как виртуальный раздел, целиком шифруя его содержимое на лету. Всё содержимое раздела недоступно без правильного пароля. Помимо переноса файлов, TrueCrypt можно использовать для шифрования бэкапов – нужно только создать файл-контейнер подходящего размера и записать его на диск.
Интерфейс программы прост, и использование её не вызывает вопросов. Первым делом нужно создать зашифрованный файл или отформатировать раздел в любую файловую систему. TrueCrypt поддерживает шесть алгоритмов шифрования и их комбинации. Тест позволяет выяснить, какие из них быстрее работают: скорости шифрования-дешифрования по AES, Blowfish и Twofish в 20-25 Мбайт/с (на моём довольно слабом компьютере) вполне достаточно для комфорта. Помимо пароля, для шифрования можно использовать несколько файлов-ключей. Затем файл или раздел можно подключить на любую свободную букву диска и приступать к копированию туда-сюда драгоценных данных. При желании можно подключить раздел в режиме read-only.

Если ваши секреты действительно ценны, может получиться, что злодеи перейдут от компьютерной атаки к народной, подкрепив свою уверенность железными или резиновыми аргументами (особенно если считают, что злодей – это вы, а они вполне себе служители закона). В таком печальном случае вам поможет фича под названием «Hidden Volume»: в свободном от файлов месте зашифрованного раздела создается ещё один раздел – на нём вы и храните свои тайны. Под угрозой расправы выдаёте
пароль только к внешнему разделу, а там – файлы, лишь выглядящие важными. При монтировании внешнего раздела (в безопасном окружении) можно также указать пароль для скрытого, тогда TrueCrypt предотвращает запись поверх него.
TrueCrypt не требует установки, достаточно запустить файлы программы. Таким образом, можно носить её на флешке, нужно будет только выделить для неё незашифрованный раздел. Визард в программе позволяет упростить создание переносимой инсталляции – с автозапуском TrueCrypt при подключении диска. Поскольку виртуальный диск работает с помощью драйвера, потребуются права администратора. Обычный пользователь может использовать TrueCrypt, если администратор установил программу в системе.
TrueCrypt под Linux представляет собой модуль ядра, поэтому должен быть установлен root’ом, после чего может использоваться и обычными пользователями. Графического интерфейса нет, только консольная программа.
На сайте TrueCrypt можно найти сторонние проекты на его основе: TCGINA позволяет шифровать профиль пользователя в Windows, TCTEMP – временные файлы Windows, включая своп.

Альтернативы
Другая программа для шифрования разделов на лету – CrossCrypt: open source и совместима со стандартным линуксовым модулем Cryptoloop (loop-AES). К несчастью, loop-AES содержит уязвимости, позволяющие обнаружить помеченные данные на зашифрованном разделе (watermarking attack), а также не позволяет задействовать современные техники шифрования. Поэтому сейчас Cryptoloop не используется, уступив место dm-crypt.


Рекомендуем почитать: