TrueCrypt - Partição do sistema ou criptografia de unidade sem autenticação de pré-inicialização

1

Não consigo encontrar uma maneira de criptografar toda a partição do sistema ou a unidade inteira e ser capaz de ignorar a autenticação pré-inicialização.

Eu preciso ser capaz de inicializar a máquina na partição do sistema criptografado normal sem uma autenticação de pré-inicialização, para que minha irmã possa usar o computador usando o login do Windows. Mas eu preciso da criptografia se ela tentar colocar o disco rígido em outro computador como uma unidade removível ...

EU PODERIA usar contêineres de arquivos, mas também queremos criptografar arquivos como "hosts" na pasta windows / system32 / drivers / etc.

Alguém sabe como fazer isso?

Obrigado

PS: Eu uso o Linux e o Windows, então, qualquer que seja a resposta, posso tentar.

Edit: Eu estava pensando em salvar um hash da minha senha para o carregador de boot TrueCrypt usar em algum lugar. Eu sei que seria possível encontrar este hash e até inverter esse hash dado tempo, mas eu só preciso de algo para torná-lo um pouco mais difícil do que apenas ligar o meu disco rígido em outro computador e navegar pelos meus arquivos ...

Desculpe, deixamos de fora uma informação importante. Minha irmã quer ver e usar os programas que eu faço para que ela possa aprender mais sobre coisas de computador. Eu acho que é uma coisa boa, então eu quero ajudá-la assim. A propósito, eu raramente a vejo, porque nós estudamos em momentos diferentes, então sempre digitar a senha sempre que ela quiser não é uma opção realmente viável.

    
por SleepyMan 08.03.2012 / 19:17

5 respostas

2

Se você usar o Sistema de Arquivos Criptografados do Windows, poderá Criptografar suas pastas de documentos confidenciais, no entanto CERTIFIQUE-SE DE FAZER BACKUP DO CERTIFICADO DE DESCRIPTAÇÃO e armazená-lo em algo fora do computador (uma chave USB ou outro computador). Existe uma razão muito boa para isso ser chamado de Lixeira de Retardação , se você não fizer backup do certificado e sua senha não for alterado usando os métodos normais de alteração de senha (digite o antigo, digite o novo duas vezes) você nunca conseguirá acessar os arquivos.

Se você reinstalar o Windows (mesmo que use o mesmo nome de usuário e senha), precisará do backup do certificado para recuperá-los, se não tiver feito backup do certificado antes de fazer a reinstalação NÃO HAVERÁ NENHUMA FORMA PARA RECEBER OS SEUS ARQUIVOS ).

Eu uso todas as letras maiúsculas em negrito porque sei que você vai pensar "Eu sou cuidadoso, nunca vou precisar" FAÇA ISSO DE MANEIRA !!!

Corrigir problema no arquivo de hosts :
Você pode corrigir o problema do arquivo Hosts usando as configurações de Proxy Automático do Windows . Crie um arquivo .pac, criptografe-o usando o EFS e informe ao seu navegador da Web para usar as configurações de configuração automática do arquivo.

Aqui está um exemplo do que colocar no arquivo

function FindProxyForURL(url, host)
{
    if (0
    || dnsDomainIs(host, ".cn")
    || dnsDomainIs(host, ".doubleclick.com")
    || dnsDomainIs(host, ".doubleclick.net")
    || shExpMatch(host, "205.180.85.*")
    || shExpMatch(host, "66.40.16.*")
    || (dnsDomainIs(host, ".overstock.com") && shExpMatch(url, "*/linkshare/*"))
    || (dnsDomainIs(host, ".amazonaws.com") && shExpMatch(url, "*/udm_img/mid*"))
    || dnsDomainIs(host, ".gator.com")
    ) {
        return "PROXY 127.0.0.1:80";
    }
    else
    {
    return "DIRECT";
    }
}

O exemplo é bastante auto-explicativo. ele redirecionará todos os itens listados para a porta 80 do localhost.

Resposta original , falando sobre TrueCrypt e TPM. Não é mais minha solução recomendada

O que você quer é possível através de um TPM , mas TrueCrypt não suporta um TPM . Se o hash não fosse armazenado em um hardware vinculado a um computador, como a unidade saberia que estava em um computador diferente e, felizmente, descriptografaria os dados automaticamente?

Além disso, você precisa perguntar a si mesmo, contra o que você está se protegendo. Criptografia de pré-inicialização apenas protege você de algumas coisas muito específicas:

  • alguém que está no computador e começa a usá-lo em um estado desligado
  • retirar a unidade do computador e usá-la em outro computador ou copiar a unidade e, em seguida, substituir sua unidade de volta.
  • Um sistema operacional em execução em uma parte não criptografada que vê o sistema operacional de desligamento na parte criptografada.

O que não faz é protegê-lo de alguém que esteja vendo / copiando seus arquivos se o SO já estiver em execução (pense em vírus / irmã bisbilhotando).

Lembre-se: quando você está dentro do envelope criptografado, tudo parece com dados normais não criptografados para o sistema operacional e para qualquer pessoa que use o sistema operacional. Explique o que você está tentando proteger e de quem você está tentando protegê-lo, e talvez possamos lhe oferecer uma solução melhor.

EDITAR : quando você diz I just want to make it a little harder to be able to browse through my files de quem você está tentando dificultar e de que maneira eles estarão realizando a navegação?

    
por 08.03.2012 / 20:42
2

O Truecrypt não oferece esse recurso, pelas razões expostas acima.

Por favor, note que a criptografia total de disco protege apenas os seus dados contra roubo do disco rígido se a chave, ou o acesso à chave protegida pela senha, é armazenada fora do sistema.

Qualquer criptografia em que a chave esteja no mesmo sistema que os dados criptografados pode (e geralmente será) comprometida. Xbox, Wii, PS3, Xbox 360 todos tentaram isso com suas chaves de firmware e software e, eventualmente, falhou em algum grau. Apenas compra tempo.

Parece que você quer permitir que sua irmã use o sistema normalmente, mas mantenha seu uso do sistema privado. Eu usaria o Truecrypt para criar um contêiner de arquivo criptografado e, em seguida, usar o VMWare Player para criar um disco rígido virtual dentro desse contêiner e instalar / executar seu próprio sistema operacional "auto-contido" e totalmente criptografado a partir dele. Haverá uma perda no desempenho, mas um ganho na privacidade; você tem que decidir o que é mais importante.

Como alternativa, você pode executar a criptografia completa de disco do Truecrypt em uma VM.

    
por 08.03.2012 / 20:52
1

Um sistema de arquivos criptografado sem autenticação de pré-inicialização é apenas um disco não criptografado lento. A autenticação é como o sistema sabe qual é a chave de criptografia .

    
por 08.03.2012 / 20:36
1

Um pouco atrasado para responder, mas aqui estão meus dois centavos:)

Talvez o modo sleep ofereça o que você precisa, quando o seu pc sair do modo sleep, você não precisa fornecer a senha de pré-inicialização. Se o PC desligar ou a unidade estiver conectada a outra máquina, a senha precisará ser dada novamente.

    
por 25.10.2013 / 15:59
0

Se você quiser que somente a descriptografia aconteça em uma máquina específica, a criptografia tem que ser feita por hardware na máquina, que não existe em outra máquina. Em seguida, eles precisam levar mais do que apenas um disco rígido para acessar os dados. O truecrypt é baseado em software, portanto, não é necessário.

Para o gerenciador de inicialização, a questão é como ele saberá que ele está nesta máquina e não em outro. O disco rígido é a única memória permanente e se você colocar a senha lá, eles irão usar o disco rígido para que ele funcione automaticamente, assim como na sua máquina, derrotando o propósito. Hashed ou não.

se você estiver pensando em configurar o carregador de boot para ler algo específico da sua máquina e usá-lo como senha. serialnumber, no modelo de placa-mãe não, endereço mac ou uma senha armazenada em outro disco rígido etc. Eu não recomendo isso aqui é o porquê.

primeiro, dado o que você está dizendo que eles vão quebrar isso facilmente. e nem vale o esforço. também isso não resolve o problema da irmã. ela pode descobrir isso facilmente. e eu não sei como configurar o TrueCrypt Loader para ler a senha das especificações de hardware que precisam ser exclusivas desta máquina como um número de série.

você pode ser criativo com isso, mas NÃO valerá a pena.

    
por 15.07.2013 / 17:38