Шифрование на Маке. Часть 2: TrueCrypt

Опубликовано

Мы продолжаем недавно начатый цикл о шифровании ценной информации на платформе Macintosh. В прошлый раз наш обзор был посвящён встроенной в Mac OS X системе шифрования FileVault, которая, несмотря на тесную интеграцию с остальными системными приложениями, недостаточно стабильна, не всегда отключается и может испортить всю вашу учётную запись. Но главный недостаток FileVault в том, что он шифруется только домашняя папка пользователя. Сегодня мы поговорим о гораздо более гибком решении от сторонних разработчиков — программе TrueCrypt.

TrueCrypt — известнейшая бесплатная система шифрования, которая является кроссплатформенной, и охватывает как Windows, так и Mac OS вкупе с двумя самыми дистрибутивами Linux (openSUSE и Ubuntu). Но увы, круг функций TrueCrypt в разных операционных системах сильно отличается. Самым главным минусом программы является невозможность полного шифрования системного диска. Другие разделы, на которых не установлена система, а также флэшки, портативные HDD могут быть зашифрованы.

При запуске вы увидите окно с 64-мя слотами. Это не значит, что TrueCrypt позволит вам создать максимум 64 зашифрованных диска — количество их ничем не ограничено. Но вот одновременно подключить можно не более 64-х из них (что довольно трудно представить).

Главное окно TrueCrypt
Главное окно TrueCrypt

Подключать пока нечего, потому что ни один зашифрованный диск не создан. Нажмите кнопку Create Volume, чтобы запустить мастер создания зашифрованного контейнера. На первом шаге вас спросят, как именно организовать шифрование. Есть 2 варианта:

  • создаётся зашифрованный образ диска, который физически выглядит как один файл, но после монтирования появляется в Finder в качестве нового раздела, и с ним можно работать так же, как с обычной флэшкой или съёмным жёстким диском
  • шифруется реальный раздел диска
Выбор объекта шифрования
Выбор объекта шифрования

Вне зависимости от того, что вы выберете, остальные шаги мастера будут практически одинаковы. Далее вас ждёт второй важнейший выбор — создание обычного зашифрованного диска или скрытого раздела.

Выбираем тип зашифрованного контейнера
Выбираем тип зашифрованного контейнера

Скрытый раздел — это, пожалуй, главная фишка TrueCrypt. К одному и тому же разделу у вас будет два пароля. Введя один из них при монтировании диска, вы увидите открытую часть раздела, введя другой — скрытую часть. Скрытая часть прячется в свободном пространстве на жёстком диске и форматируется в специальной скрытой файловой системе, в результате чего обнаружить её наличие невозможно.

Устройство скрытой файловой системы
Устройство скрытой файловой системы

Возникает вопрос — а зачем это всё нужно? Приведём один пример: злоумышленники поймали вас и методами силового декриптования (допустим, утюг) пытаются добыть у вас пароль к зашифрованному разделу с ценной информацией. Вы сообщаете им пароль открытой части, они видят только те файлы, которые вы скопировали туда, не находят там ничего нужного и сдаются в бессильной злобе (либо продолжают силовое декриптование :). В любом случае, без пароля от скрытой части нельзя не только получить доступ к разделу, но и догадаться о его наличии.

Мы рассмотрим в картинках создание именно скрытого диска, поскольку это более длительный процесс. Если вы создаёте обычный зашифрованный контейнер, то к вам у TrueCrypt возникнет вдвое меньше вопросов. В первую очередь, вас попросят выбрать место для хранения файла-контейнера (или целевой раздел — если вы шифруете диск целиком). Затем вам предстоит выбор алгоритма шифрования (AES, Serpent или Twofish). Про это можно написать отдельную статью, поэтому мы не будем вдаваться в их отличия, отметим лишь, что любой из предложенных алгоритмов обеспечивает надёжную защиту, которую нереально взломать без знания пароля. Для приверженцев параноидальной безопасности возможно шифрование сразу двумя и даже тремя алгоритмами.

Алгоритмы шифрования
Алгоритмы шифрования

Затем у вас спросят размер зашифрованного раздела и пароль. Обратите внимание — в первую очередь вводится пароль открытого раздела. Ещё одна важнейшая деталь — размер скрытого раздела не может быть больше размера открытого. Файлы, которые вы скопируете в открытую часть, съедят место от скрытой части. После этого предстоит самая забавная часть шифрования — вы должны будете водить мышкой по экрану в самых разных хаотических направлениях и с различной скоростью. При этом происходит генерирование ключей, а бешеные движения курсора способствуют увеличению энтропии, т.е. случайности шифрования, что положительно скажется на его надёжности.

Генерация ключей и шифрование
Генерация ключей и шифрование

Никто не ограничивает вас во времени колыхания мышкой — можете заняться этим пару секунд, можете водить курсором хоть полчаса. Когда надоест, нажмите Format, чтобы запустить форматирование созданного образа. В конце концов, появится следующее сообщение:

Открытый раздел успешно создан
Открытый раздел успешно создан

Оно гласит, что видимая часть зашифрованного диска создана и смонтирована. Вы можете сразу скопировать туда какие-нибудь файлы для имитации того, что вы действительно работали с этим диском. Затем нажмите Next. Вас будут ждать те же процедуры, но теперь создаваться будет скрытая часть раздела.

Заметьте, что для видимой и скрытой частей можно задать разные алгоритмы шифрования:

Алгоритм шифрования для скрытой файловой системы
Алгоритм шифрования для скрытой файловой системы

После этого вам покажут максимально возможный объём скрытой части. Как мы уже говорили, он зависит от выбранного размера видимой части, от расположения свободных блоков на жёстком диске и от существующей файловой системы. Затем вы введёте пароль от скрытого раздела (он ни в коем случае не должен совпадать с паролем от видимой части) и выберете файловую систему для него (на выбор предлагаются FAT или Mac OS Extended), уточните, будет ли зашифрованный диск монтироваться на PC-компьютерах. После этого снова придётся подвигать мышкой для создания энтропии и отформатировать скрытую часть раздела. На этом долгий процесс создания надёжно защищённого хранилища данных будет окончен.

Чтобы смонтировать созданный зашифрованный контейнер, достаточно выбрать его внизу главного окна TrueCrypt (для этого предусмотрены кнопки Select File и Select Device) и нажать Mount.

Монтирование зашифрованного диска
Монтирование зашифрованного диска

От вас потребуется ввод пароля. Если монтируемый диск имеет скрытую файловую систему, помните, что у вас есть две альтернативы — в зависимости от введённого пароля вам откроется доступ либо к видимой, либо к скрытой части раздела.

Окно ввода пароля
Окно ввода пароля

Кнопка Options покажет много дополнительных опций, например, для монтирования диска только в режиме чтения или монтирования содержимого в другую папку диска.

Смонтированный диск в Finder не отличается от флэшки:

Смонтированный зашифрованный диск
Смонтированный зашифрованный диск

В окне TrueCrypt (в отличие от Finder) отображается, какой тип раздела подключён — видимая его часть или скрытая:

tc12
Подключён скрытый (Hidden) диск

И последнее: опции, которые вы задаёте при создании зашифрованного диска, всегда можно поменять. Для этого предназанчена кнопка Volume Tools, вызывающая меню команд:

Меню настроек зашифрованного диска
Меню настроек зашифрованного диска

Итак, TrueCrypt — отличная во всех отношения программа, Мак-версии которой сильно не хватает возможности полного шифрования диска с системой. Если бы эта функция присутствовала, мы рекомендовали бы TrueCrypt всем, кто хочет обезопасить информацию на своём Маке.

Следующая статья нашего цикла будет посвящена другой программе — PGP Desktop, которая, в отличие от TrueCrypt, умеет шифровать весь жёсткий диск, даже если на одном из его разделов стоит система. И в отличие от TrueCrypt, PGP Desktop уже не бесплатен.

truecryptСкачать TrueCrypt v6.3 (7,8 МБ)