Andmete kaitsmine VeraCrypt'iga & Bitlocker'iga
Varem või hiljem võib teil tekkida vajadus käidelda delikaatseid andmeid, näiteks enda või tööandja saladusi. Alati leidub neid, kes kasvõi huvi pärast neid andmeid näha tahavad, kuid kindlasti ei tohiks. Et aga vähendada (ideaalses maailmas täielikult kaotada) juhtumeid, kus pargipingilt leitakse mälupulk sadade inimeste isikuandmetega, tuleb osata andmeid kaitsta.
Kõige turvalisem oleks andmete hoidmine isoleeritud keskkonnas, aga kuna see pole praktiline, siis on ka teine võimalus - teha andmed võõrastele kasutuskõlbmatuks. Üheks selle jaoks sobivaks meetodiks on krüpteerimine.
Krüpteerimise juures on olulisel kohal võti, mida krüpteerimiseks / dekrüpteerimiseks kasutatakse. Krüpteerimise võti on analoogne ukseluku võtmega, kaasnevad ka sarnased probleemid - võti tuleb hoida salajas, sest vastasel juhul on väga lihtne võtmest koopia teha ning teie teadmata andmete kallale minna. Võtit ei tohi ka ära kaotada, sest sel juhul ei saa krüpteeritud andmeid enam taastada. Seega tuleb võti alati hoida ainult enda teada ning garanteerida selle säilimine.
Üldjuhul on võtmed üsna suured bitijadad. Kuna inimestel on raskusi sadade bittide meeldejätmisega, krüpteeritakse võti (edaspidi peavõti) omakorda lühema võtmega (edaspidi parool), mis on inimesele lihtsam meelde jätta, ning krüpteeritud peavõti talletatakse mingile meediumile (failina, ID-kaardi kiipi, TPM-i).
Kas krüpteeritud faile on võimalik "murda" ehk saada neist kätte andmed võtit teadmata? Jah, on - selleks saab kasutada ära krüpteerimisalgoritmi nõrkusi (juhul kui neid leidub) või arvata ära parool. Laiatarbe krüptosüsteemides üldjuhul kasutatakse turvalisi algoritme, seega taandub krüpteeritud andmete murdmine parooli leidmisele. Et aga see mõistlikus ajas murtav ei oleks, tuleks valida piisavalt tugev parool. Tasub lugeda paroolide tugevusest ning paroolide murdmisest.
Käesolevas praktikumis õpite andmete krüpteerimist VeraCrypt ja BitLockeri abil.
Tarkvara VeraCrypt
VeraCrypt on populaarne vabavaraline tarkvara, mis võimaldab luua krüpteeritud kaustu ja ka terveid andmekandjaid (USB mälupulk, kõvaketas) ning pakub võimalust andmete krüpteerimiseks nende kasutamise ajal. VeraCrypt kasutab andmete kaitsmiseks sümmeetrilist krüptograafiat.
VeraCrypt eeliseks on avatud lähtekood (st läbipaistvus) ning et see on toetatud kõigil enamlevinud platvormidel: Windows, Linux, Mac OS X. Tänu sellele on VeraCryptiga krüpteeritud faile erinevate arvutite ja platvormide vahel lihtne jagada.
VeraCrypti eelkäija oli TrueCrypt, aga neil projektidel on erinevad arendajad. TrueCrypti arendamine lõpetati ootamatult 2014 aasta kevadel ning pärast seda tekkis mitmeid projekte, mis üritasid TrueCrypti lähtekoodi baasil antud tarkvara edasi arendada. VeraCrypt on nendest projektidest osutunud kõige elujõulisemaks. VeraCrypti peamiseks arendajaks on prantslasest konsultant Mounir Idrassi. TrueCrypti turvaauditist selgus, et TrueCrypt ei sisalda olulisi turvaauke ja ei sisalda tagauksi. VeraCrypti turvalisuses ja uue meeskonna turvaoskustes kaheldi esimesed aastad, kuid oktoobris 2016 avalikustatud turvaaudit näitas, et VeraCrypt on endiselt tugev ja populaarne krüpteerimistarkvara. https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit-Final-for-Public-Release.pdf
Probleemid ja küsimused VeraCrypt eelkäijaga TrueCrypt
TrueCrypti peetakse usaldusväärseks tarkvaraks, kuid siiski võib tekkida küsimusi.
- Ei ole teada, kes on TrueCrypti arendajad ja seega ei ole teada, mis on nende motivatsioon niisuguse tarkvara loomiseks.
- Raske on kontrollida kas TrueCrypti paigaldamiseks levitatav binaar põhineb avalikustatud lähtekoodil.
- TrueCrypt on 2015 aastal täielikult auditeeritud. 2013 aasta sügisel algatati krüptograafi Matthew Green'i poolt kampaania TrueCrypti auditeerimiseks. Audit ei tuvastanud olulisi turvaauke. Auditiga saate tutvuda veebilehelt http://istruecryptauditedyet.com/. TrueCrypt auditi kokkuvõte on järgmine:
"During the engagement, CS identified four (4) issues, and none led to a complete bypass of confidentiality in common usage scenarios. The standard workflow of creating a volume and making use of it was reviewed, and no significant flaws were found that would impact it.
The most severe finding relates to the use of the Windows API to generate random numbers for master encryption key material among other things. While CS believes these calls will succeed in all normal scenarios, at least one unusual scenario would cause the calls to fail and rely on poor sources of entropy; it is unclear in what additional situations they may fail.
Additionally, CS identified that volume header decryption relies on improper integrity checks to detect tampering, and that the method of mixing the entropy of keyfiles was not cryptographically sound. Finally, CS identified several included AES implementations that may be vulnerable to cache-timing attacks. The most straightforward way to exploit this would be using native code, potentially delivered through NaCl in Chrome; however, the simplest method of exploitation through that attack vector was recently closed off"
- 2014. aasta maikuus teatasid TrueCrypt'i arendajad ootamatult, et ei kavatse enam seda tarkvara edasi arendada ja ei soovita seda enam kasutada, sest see võib sisaldada turvaauke. Ei ole teada, mis on sellise avalduse tegelik põhjus. TrueCrypti veebileht on asendatud juhistega migreerumaks alternatiivsele tarkvarale. Kuna TrueCrypti edasi ei arendata, siis on selle asemel parem kasutada VeraCrypti. Siiski saab vajaduse korral leida auditeeritud TrueCrypt koodi auditi GitHub repositooriumist.
Programmi VeraCrypt paigaldamine
VeraCrypt'i saab alla laadida sellelt kodulehelt.
Laadige alla VeraCrypt Linux Setup 1.21
- Pakkige lahti
veracrypt-1.21-setup.tar.bz2
- Käivitage lahti pakitud kaustas fail
veracrypt-1.21-setup-gui-x64
- Valige
Install VeraCrypt
- nõustuge pakutud litsentsige ja vajutage “Accept”
- vajutage “OK”
- lõpetage installeerimine ja avage programm VeraCrypt
VeraCrypt võimaldab krüpteeritud "konteinerite" loomist. Konteineri meediumiks võib olla fail, ketta partitsioon või terve ketas ning konteineri sisu on failisüsteem (saab mountida virtuaalse kettana).
1. Faili kasutamine krüpteeritud andmete hoidmiseks
Kõige lihtsam viis väikest kogust salajasi andmeid kaitsta on need krüpteerida ühte faili. See võimaldab vajadusel krüpteeritud andmeid hõlpsasti varundada ning näiteks arvuti vahetusel uude arvutisse üle viia. Kui on piisavalt tugev parool, siis pole hullu ka sellest, kui krüpteeritud failist jääb kuskile koopia vedelema - parooli teadmata pole sellega midagi peale hakata.
Konteineri loomine
- Vajuta
Create Volume
- Vali
Create an encrypted file container
- Vali
Standard VeraCrypt volume
- Vajuta
Select File
ning salvesta failinapäevik.hc
- Next
- Suuruseks määrame
10 MB
- Määrake parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
- Next
- Rakendus palub teil hiirt liigutada rakenduse aknas, see on mõeldud juhuslikkuse loomiseks, sest spetsifitseeritud turvataseme saavutamiseks peab krüpteerimisvõti olema täiesti juhulikult valitud. Tehke seda kuni roheline väli täitub. Siis valige: Format.
- Exit
Konteineri kasutamine
- Vajuta
Select File
ning sirvi failpäevik.hc
- Vali mingi ketas, näiteks
6
- Vajuta
Mount
- Proovi alguses vale parooli, seejärel kasuta õiget parooli
- Tee varem valitud kettal parem klõps ning vali
Open
- Loo virtuaalmasinas fail päevik.txt ja kirjuta sinna mingi tekst, mis kindlasti meelde jääb, sest siis saad hijlem kontrollida, et tegu on tõesti sinu failiga.
- Teisalda VeraCrypti haagitud kettale (ehk VeraCrypti konteinerisse) fail
päevik.txt
- Sulge ketta aken
VeraCrypt
aknas vajutaDismount
- Korda samme 1-5 veendumaks, et kettal on fail
päevik.txt
. Seejärel ära unusta teha samme 8-9
Lisaülesanne
Tehke sama asi läbi, aga parooli määramise juures kasutage võtmefaili.
2. USB mälupulga krüpteerimine peidetud andmetega
Lihtsuse mõttes teeskleme, et üks kõvaketas on meil tegelikult USB mälupulk.
Tihti on vajadus andmeid liigutada. Levinud meedium selleks on USB mälupulk. Oma mõõtmete tõttu on kahjuks sellised seadmed kerged kaduma, seega tuleks neil olevad delikaatsed andmed kindlasti krüpteerida.
Oletame, et reisisite pulgaga teise riiki, kus ei ole krüptograafia vabadust (lisa), ning kaotasite selle ära. Riiklik organisatsioon sai selle enda kätte ning tuvastas, et seal asuvad krüpteeritud andmed ning nüüd sunnitakse teid parooli loovutama. Kuidas pääseda sellisest olukorrast säilitades andmete privaatsuse?
VeraCrypt pakub võimalust peita üks konteiner teise sisse (välimisse konteinerisse). Kuna terve konteiner näeb välja suvalise mürana, siis saab välimise konteineri poolt mittekasutatud (tühja ruumi) ala kasutada eraldi konteinerina ning see ei eristu välimisest konteinerist. Kummalgi konteineril on oma (erinev) parool ning vastava parooliga näeb ainult kas välimist või peidetud konteinerit. Välimisse konteinerisse saab panna nn petteandmed ning peidetud konteinerisse kaitstavad andmed. Surve avaldamisel võib loovutada välimise konteineri parooli, kusjuures pole võimalik tõestada, et seal leidub veel peidetud konteiner (Plausible Deniability kohta käiv Wikipedia artikkel, Plausible Deniability kirjeldus VeraCrypti lehel).
Välimisele konteinerile kirjutades kaasneb risk peidetud konteinerit kahjustada! See tuleneb sellest, et välimise konteineri kasutamisel ei ole teada, et seal peidetud konteiner asub ning võidakse kirjutada kohtadele, kus asuvad peidetud konteineri andmed. Hiljem õpime, kuidas seda vältida (Hidden Volume Protection).
Uue kõvaketta lisamine virtuaalmasinasse USB mängimiseks.
- Pange virtuaalmasin täiesti seisma (shutdown)
- VirtualBox Manager vaates tehke paremklikk oma virtuaalmasina peal ning valige
Settings
- Sealt minge
Storage -> Controller: IDE -> Add Hard Disk -> Create New Disk-> VDI -> Fixed Size -> 1 GB
- Sealt minge
- Pange virtuaalmasin uuesti tööle.
- Avage kettahalduse tööriist (
Disks
)- Kõige lihtsam viis seda käivitada on
Menu -> Search -> Disks
- Kõige lihtsam viis seda käivitada on
- Vormindage (1GB suurus) lisatud kettas
NTFS
failisüsteemiga ja vabalt valitud kirjeldusega (LABEL
).
Konteineri loomine
- Vajuta
Create Volume
- Vali
Create a volume wintin a partition/drive
- Vali
Hidden VeraCrypt volume
- Vajuta
Select Device
ja vali eelnevalt lisatud 1GB Partitsioon (Juhul kui kuvatakse hoiatus, siis vajutaYes
avanevas hoiatusaknas) Next, next, next
- Määrake
petteandmete
parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida) Format
, hoiatusaknasYes
- Vajuta
Open Outer Volume
- Tekita avanenud kausta alamkaust
vale
ja tekita sellesse alamkaustaandmed.txt
- Sulge aken ning jätka
VeraCrypt
wizardisnext
vajutamisega Next, next
- Suuruseks määrame
50 MB
- Määrake kaitstavate andmete parool (see peab erinema petteandmete paroolist ) ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
- valige failisüsteemi tüübiks NTFS
- Next
- Vajutage
Format
(pärast seda kuvatakse kaks ketta formaatimise kohta käivat hoiatust, mis pole antud kontekstis olulised).
Kaitstavate / Peidetud andmete lugemine/kirjutamine (Hidden Partition)
- Vajutage
Select Device
ning valige enda poolt loodud partitsioon - Vali mingi ketas, näiteks
6
- Vajuta
Mount
- Proovi vale parooli
- Kasuta kaitstavate andmete parooli
- Ava ketas, tekita sinna alamkaust
õige
ja tekita sellesse alamkaustaandmed.txt
- Praktikumi Arvestus (osa 1): Tee siin ekraanivaade kus oleks näha nii õigete andmete kaust kui ka avatud konteineri tüüp VeraCrypt aknas (Hidden)
- Ekraanivaatelt peab olema näha, et see on teie poolt individuaalselt tehtud. (Näiteks kirjutage oma nimi avatud teksti redaktorisse või muutke virtuaalmasina nimi ära lisades sinna oma perekonnanime)
- Sulge aken
VeraCrypt
aknas vajutaDismount
Petteandmete kirjutamine, säilitades väärtuslikke andmeid
Kui jätate vahele sammud 4-6, siis ei pruugi väärtuslikud andmed säiluda
- Vajutage
Select Device
ning valige enda poolt loodud partitsioon - Vali mingi ketas, näiteks
6
- Vajuta
Mount
- Vajuta
Mount Options
- Vali
Protect hidden
volume when mounting outer volume - Sisesta kaitstavate andmete parool
- Sisesta petteandmete parool ja vajuta
OK
. VajutaOK
avanevas aknas - Ava ketas, tekita sinna alamkaust
petlik
ja tekita sinna alamkausta failandmed.txt
- Praktikumi Arvestus (osa 2): Tee ekraanivaade kus oleks näha nii petlike andmete kaust kui ka avatud konteineri tüüp VeraCrypt aknas (Outer)
- Ekraanivaatelt peab olema näha, et see on teie poolt individuaalselt tehtud. (Näiteks kirjutage oma nimi avatud teksti redaktorisse või muutke virtuaalmasina nimi ära lisades sinna oma perekonnanime)
- Sulge aken
VeraCrypt
aknas vajutaDismount
3. Windows vahenditega andmekandja krüpteerimine
Selles ülesandes läheb vaja Windows (8.1 või 10) virtuaalmasinat.
- Soovitame kasutada eelmises praktikumis loodud Win10 nimelist virtuaalmasinat või,
- Alternatiivina saab alla laadida ametliku Windows'i testimiseks mõeldud virtuaalmasina1. või virtuaalmasina2
Windows omab alates Windows Vistast sisseehitatud tuge ja tööriista nimega BitLocker andmete krüpteerimiseks ja turvaliseks säilitamiseks. Rohkem infot leiate wikipeediast.
Bitlockeri kasutamiseks vajame esmalt sobivat Windows operatsioonisüsteemi (Enterprise ja Professional versioonid). Selleks peaks sobima teie sülearvuti operatsioonisüsteem või eelmises praktikumis loodud Win10
nimeline virtuaalmasin.
- Käivitage Windows 10 virtuaalmasin.
- Esmalt loome omale uue andmekandja kasutades MS virtuaalse kõvaketta funktsiooni. Selleks vajutage
WIN + X
ja valige "Disk Management
" / "Kettahaldur
" ja seal:Action
->Create VHD
-> looge uusmuutuva suurusega (dynamic) 400MB suurune VHD
tüübiga virtuaalne anmdekandja. - Järgnevalt vajutage parem klahv ketta nimel "
Disk 1
" ja "Initialize Disk
" ning tüübiks valigeMBR
. Nüüd looge kettale maksimaalse suurusegaNTFS
partitisioonVolume Label
lahtrisse kirjutage omaperenimi
. - Minge "
My Computer
" / "Minu arvuti
" ja avage värskelt loodud virtuaalne ketas kuhulooge vabalt valitud tähtis fail
näiteks "oluline.txt". - Tuvastage virtuaalse kõvaketta (
VHD
) faili suurus teie virtuaalmasinas (peaks olema paarkümmend MB). - Minge "
My Computer
" / "Minu arvuti
" ja parem hiireklahv virtuaalsel kõvakettal ja valige "Turn on Bitlocker
" ja valige parooliga krüpteerimine. - Avage "
Disk Management
" / "Kettahaldur
" ja vajutage parem klahv ketta nimel "Disk 1
" ningDetach VHD
(antud tegevus simuleeris andmekandja eemaldamist operatsioonisüsteemi küljest). VeendugeMy Computeris et ketas on kadunud
. - Ühendame "Disk Mangement" aknas uuesti virtuaalse kõvaketta:
Action
->Attach VHD
. "My Computer
" aknas proovime kettale ligi pääseda kõigepealtvale
ja siisõige parooliga
. - Pärast krüpteerimist tuvastage uuesti virtuaalse kõvaketta (
VHD
) faili suurus teie virtuaalmasinas (Kas muutus oluliselt?). Kas Bitlocker kasutab vaikimisi "Andmete krüpteerimist" või "kogu ketta" krüpteeringut? data vs full disk encryption? Põhjendage vastust VHD faili suuruste põhjal. - Praktikumi Arvestus (osa 3): Arvestuse saamiseks esitage pilt krüpteeritud kettast ja "Recovery Key" fail.
- Praktikumi Arvestus (osa 4): Mis vahe on "andmete krüpteerimisel" ja "kogu ketta" (
Full Disk
) krüpteeringul? Vastake praktikumis saadud katselistele tulemustele tuginedes järgmisele küsimustele: Kas Bitlocker kasutab VHD krüpteerimiseks "ainult andmete krüpteerimist" või "kogu ketta krüpteerimist"? Lisage vastusele kas arutluskäik või viide väitele.
Lisaülesanne
Leidke sõber või sõbrad. Sama arvuti taga krüpteerige "USB pulk" VeraCrypt genereeritud võtmefailiga (kuid tühja parooliga). Peale seda loovad kõik endale krüpteeritud failipõhise konteineri ning sinna sisse panevad eelnevalt genereeritud võtmefaili. Igaüks määrab oma konteinerile ise parooli. Levitage scp abil "USB pulk" (USB pulk.vdi ning võibolla on veel sarnase nimega faile) teiste sõprade masinasse. Üritage kõik "USB pulka" avada oma konteinerisse pandud võtmefailiga.
Korduma kippuvad probleemid ja lahendused
host - peremeesoperatsioonisüsteem
guest - külalisoperatsioonisüsteem
- Ei saa faile liigutada virtuaalmasinasse
- Aktiveerige "Shared Clipboard" virtuaalmasinas
- Devices -> Shared Clipboard -> Bidirectional
- Aktiveerige Drag & Drop virtuaalmasinas
- Devices -> Drag & Drop -> Bidirectional
- Võib proovida lohistamist nii, et vead faili virtuaalmasina aknasse, kui enne lahti laskmist ootad umbes 5 sekundit. Mõnedel juhtudel võttis lohistamise tuvastamine aega
- Päris masinas parem klõps ja kopeeri, virtuaalmasinas parem klõps ja kleebi. Mõnedel juhtudel toimis see siis, kui lohistamisel veateade tuli
- Jaga välja veracrypt kaust virtuaalmasinale:
- Looge hostis kataloog. Näiteks O:\AndmeTurve\JagatudKaust
- Seejärel minge virtuaalmasina menüüs Devices -> Shared Folders.
*** Avanevas aknas vajutage Insert klahvi või klikkige rohelist plussmärgiga ikooni "Add shared folder".
*** Valige oma punktis 1 tehtud kataloog ning lisage linnuke kastidesse Auto-mount ning Make Permanent. - Nüüd peaks see jagatud kaust ilmuma hostis võrgust nähtavate kaustade alla (VÕRK) nimega VBOXSVR
- Kui kõik eelnevad meetodid ebaõnnestuvad, loo ise vajalikud failid virtuaalmasinas. Sisu pole tähtis, toimingud on
- Aktiveerige "Shared Clipboard" virtuaalmasinas
- Ei saa RescueDisc ISO virtuaalmasinast päris masinasse
- Proovida sarnaseid samme eelneva probleemi juures
- Kui ikka ei õnnestu, ehk leidub mõni vaba arvuti, kus proovida
- Võib ka saata emailiga endale kui ikka kuidagi ei saa
- Linuksis ei õnnestu avada (või mountida) jagatud kausta.
- Lisage Kasutaja vboxsf gruppi et tal oleksid vajalikud õigused.
sudo usermod -aG vboxsf kasutaja
- Tehke virtuaalmasinale restart.
- Lisage Kasutaja vboxsf gruppi et tal oleksid vajalikud õigused.
Tagasiside
Praktikumi lõpus palume anda tagasisidet, sest see võimaldab meil antud praktikumi ja ka järgmisi praktikume paremaks muuta. Tagasiside on anonüümne ja tagasiside vormi leiate järgneva lingi abil: tagasiside ankeet.
Praktikumi ülesanded
Praktikumi ülesannete lahendamine annab kaks punkti. Praktikumi ülesanne võiks valmis saada praktikumi lõpuks, aga juhul kui see ei õnnestu, siis on võimalik lahendust esitada kuni järgmise praktikumipäeva südaööni.
- Ülesanne: Arvestuse saamiseks tuleb vastata neljandale küsimusele (VHD) ning esitada kolm ekraanipilti, nende tegemise kohad on ülesannete teksti sees märgitud sinise tekstiga:
- Arvestus 1: Tee siin ekraanivaade kus oleks näha nii õigete andmete kaust kui ka avatud konteineri tüüp VeraCrypt aknas
- Arvestus 2: Tee ekraanivaade kus oleks näha nii petlike andmete kaust kui ka avatud konteineri tüüp VeraCrypt aknas
- Arvestus 3: Tee ekraanivaade Bitlockeriga küpteeritud VHD kettast ja esita "Recovery Key" fail.
- Arvestus 4: Mis vahe on "andmete krüpteerimisel" ja "kogu ketta" (
Full Disk
) krüpteeringul? Vastake praktikumis saadud katselistele tulemustele tuginedes järgmisele küsimustele: Kas Bitlocker kasutab VHD krüpteerimiseks "ainult andmete krüpteerimist" või "kogu ketta krüpteerimist"? Lisage vastusele kas arutluskäik või viide väitele.
- Ekraanivaatelt peab olema näha, et see on teie poolt individuaalselt tehtud. (Näiteks kirjutage oma nimi avatud teksti redaktorisse või muutke virtuaalmasina nimi ära lisades sinna oma perekonnanime)
- Pakkige need pildid kokku .zip faili ning laadige praktikumi lahendusena üles.
Juhul kui lahendus on ainult teksti kujul, siis saate lisada selle kommentaarina. Sellisel juhul on lahenduse esitamiseks vaja lisada tühi fail, sest antud vorm nõuab lahenduse esitamisel faili esitamist. Lahendusi võtame vastu järgmistes failiformaatides: .pdf, .zip.
4. 4. VeraCrypt & BitLockerKodune ülesanne
Koduse ülesande lahendamine annab ühe punkti. Lahenduse esitamiseks on aega üks nädal, s.t selle päeva lõpuks, mil on järgmine praktikum. Küsimustele vastuste leidmiseks võib vaja minna lisamaterjalide, mille leiate allpool olevatest viidetest.
Süsteemiketta krüpteerimine Windowsis
Vahel on terve operatsioonisüsteem liiga hajusalt privaatseid andmeid täis või on risk, et süsteemikettale jäävad jäljed privaatsetest andmetest. Sel juhul tuleks krüpteerida terve operatsioonisüsteem või terve ketas, kus see asub. Sellisel juhul tuleb enne operatsioonisüsteemi käivitamist sisestada parool.
Käesoleva ülesande lahendamiseks võite kasutada VeraCrypti
või uute Windowsite'ga kaasas olevat Bitlocker
tarkvara. Seega järgnevalt on kaks erinevat juhendit, kuid peaksite valima neist ühe ... Bitlocker
või VeraCrupt
. Tarkvara valikust sõltub millist Virtuaalmasinat peaksid kasutama ja millisele lisaküsimusele vastama.
Koduse töö jaoks vajaminevat virutaalmasinat küsige praktikumijuhendaja käest enne praktikumist lahkumist!
VeraCrypt
Selles ülesandes läheb vaja Windows XP
virtuaalmasinat, mille saate alla laadida siit https://owncloud.ut.ee/owncloud/index.php/s/CrtBMvRouATSgz8 Parool "LTAT.06.002"
- VeraCrypt tarkvara ei võimalda praktikum 3 jagatud Win10 süsteemiketast krüpteerida ja kui soovid Praktikum 3 Win10 masinat kasutada peaksid kasutama
BitLocker
tarkvara süsteemiketta krüpteerimiseks. .
Süsteemiketta krüpteerimise juures VeraCrypt tarkvaraga on oluline samm Rescue Disc loomine. See sisaldab boot loaderit (juhuks, kui arvuti ei peaks enam käivituma) ning konteineri päist (vajalik kui päis on kahjustunud ning haakimine (mountimine) ebaõnnestub ka õige parooli korral).
- Otsige informatsiooni selle kohta, kuidas VeraCrypt võimaldab süsteemiketast krüpteerida
- Üks allikas on näiteks siin: https://www.veracrypt.fr/en/System%20Encryption.html
- NB! Pärast Rescue Disk loomist tuleb see kindlasti kopeerida väljapoole virtuaalmasinat!
- Peale krüpteerimise õnnestumist tehakse restart ning järgmisel käivitumisel küsitakse parooli. Proovi alguses vale parooli, ning seejärel kasuta õiget parooli.
- Kodutöö arvestus (1 osa): Tee ekraanivaade virtuaalmasina olukorrast kus VeraCrypt aknas on kuvatud, et süsteemiketas on krüpteeritud.
- Ekraanivaatelt peab olema näha, et on kasutatud VirtualBox'i
- Ekraanivaatelt peaks olema ilmne, et see on teie poolt tehtud. Näiteks muutke ära virtuaalmasina nimi nii, et kasutate selles oma perekonnanime.
- Kodutöö arvestus (2. osa) Laadige ülesande vastusena üles
RescueDisc.iso
fail. - Kodutöö arvestus (3. osa) vastake küsimusele: Kas Rescue Disk loomine VeraCrypt tarkvaraga vähendab krüpteeritud ketta turvalisust? Ehk teisisõnu: Kas pahalane, saades ligipääsu teie loodud Rescue Disk kettale, saab kergemini ligipääsu ka teie krüpteeritud andmetele?
Bitlocker
- Soovitame kasutada praktikumis 3 loodud Win10 nimelist virtuaalmasinat.
- Alternatiivina saab alla laadida ametliku Windows'i testimiseks mõeldud virtuaalmasina.
- Lubage Bitlocker süsteemiketta krüpteering virtuaalmasina (peate eemaldama nõude TPM mooduli kohta)
- Aktiveeriga Bitlocker Win10 virtuaalmasina süsteemikettal (valige õiged seaded ise)
- Salvestage
Bitlocker Rescue key
arvutisse - Laadige üles
ekraanipilt win 10 masinast
nii, et oleks näha et süsteemiketas on bitlockeri poolt krüpteeritud ja masin sisaldab teie nime. - Laadige üles
Bitlocker Rescue Key fail
- vastake küsimusele: Kas Bitlocker Rescue key loomine Bitlocker tarkvaraga vähendab krüpteeritud ketta turvalisust? Ehk teisisõnu: Kas pahalane, saades ligipääsu teie loodud Bitlocker Rescue key failile, saab kergemini ligipääsu ka teie krüpteeritud andmetele?
Koduse ülesande lahendus tuleks esitada aine kodulehelt. Lahendusi võtame vastu järgmistes failiformaatides: .pdf, .zip.
19. 4. VeraCrypt - kodune ülesanne