Main Loengud Praktikumid Referaat Kirjandus

---

› Tartu Ülikool › Arvutiteaduse   instituut › Courses

Andmete kaitsmine TrueCryptiga

Varem või hiljem võib teil tekkida vajadus käidelda sensitiivseid andmeid, näiteks enda või tööandja saladusi. Alati leidub neid, kes kasvõi huvi pärast neid andmeid näha tahavad, kuid kindlasti ei tohiks. Et aga vähendada (ideaalses maailmas täielikult kaotada) juhtumeid, kus pargipingilt leitakse mälupulk sadade inimeste isikuandmetega, tuleb osata andmeid kaitsta.

Kõige turvalisem oleks andmeid suletud keskkonnas hoida, aga kuna see pole praktiline, siis on ka teine võimalus - teha andmed võõrastele kasutuskõlbmatuks. Üheks selliseks meetodiks on krüptimine.

Krüptimise oluline osa on võti. Krüptimise võti on analoogne ukseluku võtmega. Kaasnevad ka sarnased probleemid - võti tuleb hoida salajas, sest vastasel juhul on väga lihtne võtmest koopia teha ning teie teadmata andmete kallale minna. Võtit ei tohi ka ära kaotada, sest sel juhul ei saa krüptitud andmeid enam taastada. Seega tuleb võti alati hoida ainult enda teada ning garanteerida selle säilimine.

Üldjuhul on võtmed üsna suured bitijadad. Kuna inimestel on raskusi sadade bittide meelde jätmisega, krüptitakse võti (edaspidi peavõti) omakorda lühema võtmega (edaspidi parool), mis on inimesele lihtsam meelde jätta, ning krüptitud peavõti talletatakse mingile meediumile (failina, ID-kaardi kiipi, TPM-i).

Kas krüptitud faile on võimalik "murda", saada neist kätte andmed võtit teadmata? Jah, on - kas kasutada ära krüptimisalgoritmi omadusi või leida parool. Laiatarbe krüptosüsteemides üldjuhul kasutatakse turvalisi algoritme, seega taandub murdmine parooli leidmisele. Et aga see mõistliku murtav ei oleks, tuleks valida piisavalt tugev parool. Tasub lugeda paroolide tugevusest ning paroolide murdmisest.

Käesolevas praktikumis õpite andmete krüptimist TrueCrypt abil.

Praktikumi alustamine

Veenduge, et teie arvutis oleks pakitud virtuaalmasina kujutis XP-truecrypt.tar.gz Pakkige XP-truecrypt.tar.gz lahti, kustutades vana kataloogi kui see olemas on:

Pakkige lahti (tavakasutajana) fail XP-truecrypt.tar.gz, eemaldades vana:

$ rm -r XP

$ tar -xf XP-truecrypt.tar.gz

Käivitage tavakasutajane VMWare Player:

$ vmplayer

1. Vajutage Open a Virtual Machine
2. Valige kodukataloogi alt kataloog XP ning selle seest virtuaalmasina kujutis Windows XP Pro SP3.vmx
3. Vajuage Play Virtual Machine
4. Logige sisse kasutajaga admin
5. Downloadige, installige ja käivitage TrueCrypt

TrueCrypt võimaldab krüptitud "konteinerite" loomist. Konteineri meediumiks võib olla fail, ketta partitsioon või terve ketas ning konteineri sisu on failisüsteem (saab mountida virtuaalse kettana).

1. Faili kasutamine krüptitud andmete hoidmiseks

Kõige lihtsam viis väikest kogust salajasi andmeid kaitsta on need krüptida ühte faili. See võimaldab vajadusel krüptitud andmeid hõlpsasti varundada ning näiteks arvuti vahetusel uude arvutisse üle viia. Kui on piisavalt tugev parool, siis pole hullu ka sellest, kui krüptitud failist jääb kuskile koopia vedelema - parooli teadmata pole sellega midagi peale hakata.

Konteineri loomine

1. Vajuta Create Volume
2. Vali Create an encrypted file container
3. Vali Standard TrueCrypt volume
4. Vajuta Select File ning salvesta failina päevik.tc
5. Next
6. Suuruseks määrame 10 MB
7. Määrake parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
8. Format.

Konteineri kasutamine

1. Vajuta Select File ning sirvi fail päevik.tc
2. Vali mingi ketas, näiteks Z
3. Vajuta Mount
4. Proovi alguses vale parooli, seejärel kasuta õiget parooli
5. Tee varem valitud kettal parem klõps ning vali Open
6. Teisalda kettale fail päevik.txt
7. Selle faili leiad päris arvutist truecrypt kataloogist (kui ei leia, siis tekita ise). Teisaldamiseks lohista fail pärisarvutist virtuaalmasinasse. Kui see ei tööta, loe alternatiivsetest meetoditest juhendi lõpus.
8. Sulge ketta aken
9. TrueCrypt aknas vajuta Dismount
10. Korda samme 1-5 veendumaks, et kettal on fail päevik.txt. Seejärel ära unusta teha samme 7-8

Lisaülesanne

Tehke sama asi läbi, aga parooli määramise juures kasutage võtmefaili.

2. USB mälupulga krüptimine peidetud andmetega

Lihtsuse mõttes teeskleme, et üks kõvaketas on meil tegelikult USB mälupulk.

Tihti on vajadus andmeid liigutada. Levinud meedium selleks on USB mälupulk. Oma mõõtmete tõttu on kahjuks sellised seadmed kerged kaduma, seega tuleks sensitiivsed andmed kindlasti krüptida.

Oletame, et reisisite pulgaga teise riiki, kus ei ole krüptograafia vabadust (lisa), ning kaotasite selle ära. Riiklik organisatsioon sai selle enda kätte ning tuvastas, et seal asuvad krüptitud andmed ning nüüd sunnitakse teid parooli loovutama. Kuidas pääseda sellisest olukorrast, säilitades andmete privaatsuse?

TrueCrypt pakub võimalust peita üks konteiner (peidetud konteiner) teise sisse (välimisse konteinerisse). Kuna terve konteiner näeb välja suvalise mürana, siis saab välimise konteineri poolt mittekasutatud (tühja ruumi) ala kasutada eraldi konteinerina ning see ei eristu välimisest konteinerist. Kummalgi konteineril on oma (erinev) parool ning vastava parooliga näeb ainult kas välimist või peidetud konteinerit. Välimisse konteinerisse saab panna nn petteandmed ning peidetud konteinerisse kaitstavad andmed. Surve avaldamisel võib loovutada välimise konteineri parooli, kusjuures pole võimalik tõestada, et seal veel peidetud konteiner leidub (Plausible Deniability).

Välimisele konteinerile kirjutades kaasneb risk peidetud konteinerit kahjustada! See tuleneb sellest, et välimise konteineri kasutamisel ei ole teada, et seal peidetud konteiner asub ning võidakse kirjutada kohtadele, kus asuvad peidetud konteineri andmed. Hiljem õpime, kuidas seda vältida (Hidden Volume Protection).

Konteineri loomine

1. Vajuta Create Volume
2. Vali Encrypt a non-system partition/drive
3. Vali Hidden TrueCrypt volume
4. Vali Normal mode
5. Vajuta Select Device ja vali Harddisk 1. Vajuta Yes avanevas hoiatusaknas ning uuesti Yes järgmises hoiatusaknas.
6. Next, next, next
7. Määrake petteandmete parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
8. Format, hoiatusaknas Yes
9. Vajuta Open Outer Volume
10. Teisalda avanenud kausta fail vale/andmed.txt
11. Sulge aken ning jätka TrueCrypt wizardis next vajutamisega
12. Next, next
13. Suuruseks määrame 50 MB
14. Määrake kaitstavate andmete parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
15. Vajutage OK

Kaitstavate andmete lugemine/kirjutamine

1. Vajutage Select Device ning valige Harddisk 1
2. Vali mingi ketas, näiteks Z
3. Vajuta Mount
4. Proovi vale parooli
5. Kasuta kaitstavate andmete parooli
6. Ava ketas, teisalda sinna fail õige/andmed.txt
7. Sulge aken
8. TrueCrypt aknas vajuta Dismount

Petteandmete kirjutamine, säilitades väärtuslikke andmeid

Kui jätate vahele sammud 4-6, siis ei pruugi väärtuslikud andmed säiluda

1. Vajutage Select Device ning valige Harddisk 1
2. Vali mingi ketas, näiteks Z
3. Vajuta Mount
4. Vajuta Mount Options
5. Vali Protect hidden volume against damage caused by writing to outer volume
6. Sisesta kaitstavate andmete parool ja vajuta OK
7. Sisesta petteandmete parool ja vajuta OK. Vajuta OK avanevas aknas
8. Ava ketas, teisalda sinna fail petlik/andmed.txt
9. Sulge aken
10. TrueCrypt aknas vajuta Dismount

Lisaülesanne (edasijõudnutele)

Leidke sõber või sõbrad. Sama arvuti taga krüptige "USB pulk" TrueCrypt genereeritud võtmefailiga (kuid tühja parooliga). Peale seda loovad kõik endale krüptitud failipõhise konteineri ning sinna sisse panevad eelnevalt genereeritud võtmefaili. Igaüks määrab oma konteinerile ise parooli. Levitage scp abil "USB pulk" (USB pulk.vmdk ning võibolla on veel sarnase nimega faile) teiste sõprade masinasse. Üritage kõik "USB pulka" avada oma konteinerisse pandud võtmefailiga.

3. Süsteemiketta krüptimine

Vahel on terve operatsioonisüsteem liiga hajusalt privaatseid andmeid täis või on risk, et süsteemikettale jäävad jäljed privaatsetest andmetest. Sel juhul tuleks krüptida terve operatsioonisüsteem või terve ketas, kus see asub.

Sellisel juhul tuleb enne operatsioonisüsteemi käivitamist sisestada parool.

Süsteemiketta krüptimise juures on oluline samm Rescue Disc loomine. See sisaldab boot loaderit (juhuks, kui arvuti ei peaks enam käivituma) ning konteineri päist (see ei sisalda võtit; vajalik kui päis on kahjustunud ning mountimine ebaõnnestub ka õige parooli korral).

Süsteemiketta krüptimine

1. Vajuta Create Volume
2. Vali Encrypt the system partition or entire system drive
3. Vali Normal
4. Vali Encrypt the whole drive
5. Vali No
6. Igaks juhuks ei krüpti ketta lõpuosast väikest ala. Mõned programmid/seadmed hoiavad seal olulist seadistust (näiteks RAID seadistust)
7. Vali Single-boot
8. Next
9. Määrake parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
10. Next, next, next
11. Kopeerige My Documents kaustast fail TrueCrypt Rescue Disk.iso oma arvutisse
12. Valige VMware Player menüüst VM > Removable Devices > CD/DVD > Connect to Disk Image File (iso) ning sirvige TrueCrypt Rescue Disk.iso
13. Next, next, next
14. Vajutage Test. Ilmub juhend, vajutage OK
15. Küsitakse restardi tegemist, vajutage Yes
16. Käivitumisel küsitakse parooli. Sisestage õige parool
17. Peale sisselogimist ilmub TrueCrypt aken. Vajutage Encrypt. Ilmub juhend, vajutage OK
18. Krüptimine kestab umbes 15 min. Hea aeg e-maile lugeda :)
19. Vajuta OK ja seejärel Finish
20. Tee restart
21. Käivitumisel küsitakse parooli. Proovi alguses vale parooli, seejärel kasuta õiget parooli

Võib juhtuda, et süsteemiketta krüptimine on ebapraktiline (liiga suur või pole vajadust). Sellisel juhul võib teha vajaliku suurusega partitsiooni ning ainult selle krüptida. TrueCrypt pakub ka võimalust seda ketast arvuti käivitumisel automaatselt mountida

Lisaülesanne

Dekrüptige süsteemiketas.

Arvestus

Arvestuse saamiseks kirjutada oma praktikumi juhendajale muljeid praktikumi teemast. Konkreetseid küsimusi ei ole, aga abiks võivad olla:

1. Mis meeldis? Mis ei meeldinud?
2. Kas oli raske? Mis oli raske? Või oli lihtne? Oli midagi liiga lihtsat, mida seal muuta?
3. Mis oli kasulik? Mis polnud? Mida võiks eemaldada? Mida oleksite tahtnud veel teada?
4. Mis oli uus? Mis tuttav? Olete võibolla sarnaseid lahendusi kasutanud?
5. Mis oli hästi tehtud? Mis halvasti?
6. Võibolla on soovitusi teiste praktikumide/materjalide kohta? On pakkuda uusi teemasi/ideid?

Korduma kippuvad probleemid ja lahendused

• Ei saa faile liigutada virtuaalmasinasse
  • Võib proovida lohistamist nii, et vead faili virtuaalmasina aknasse, kui enne lahti laskmist ootad umbes 5 sekundit. Mõnedel juhtudel võttis lohistamise tuvastamine aega
  • Päris masinas parem klõps ja kopeeri, virtuaalmasinas parem klõps ja kleebi. Mõnedel juhtudel toimis see siis, kui lohistamisel veateade tuli
  • Jaga välja truecrypt kaust virtuaalmasinale:
    • Vali VM > Settings
    • Mine Options lehele
    • Vali Shared Folders
    • Vali Always Enabled
    • Vajuta Add
    • Sisesta Name: truecrypt Host Path: /home/kasutaja/truecrypt
    • OK ja Save
    • My Computer all peaks tekkima võrgukaust Shared Folders on 'vmware-host'
  • Kui kõik eelnevad meetodid ebaõnnestuvad, loo ise vajalikud failid virtuaalmasinas. Sisu pole tähtis, toimingud on
• Ei saa RescueDisc ISO virtuaalmasinast päris masinasse
  • Proovida sarnaseid samme eelneva probleemi juures
  • Kui ikka ei õnnestu, ehk leidub mõni vaba arvuti, kus proovida
  • Võib ka saata emailiga endale kui ikka kuidagi ei saa