Arvutiteaduse instituut
  1. Kursused
  2. 2023/24 kevad
  3. Andmeturve (LTAT.06.002)
EN
Logi sisse

Andmeturve 2023/24 kevad

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Lingid

Praktikum 6 - Andmete kaitsmine VeraCrypt'iga & Bitlocker'iga

Varem või hiljem võib teil tekkida vajadus käidelda delikaatseid andmeid, näiteks enda või tööandja saladusi. Alati leidub neid, kes kasvõi huvi pärast neid andmeid näha tahavad, kuid kindlasti ei tohiks. Et aga vähendada (elimineerida) juhtumeid, kus "pargipingilt" leitakse mälupulk sadade inimeste isikuandmetega, tuleb osata andmeid kaitsta.

Kõige turvalisem oleks andmete hoidmine isoleeritud keskkonnas, aga kuna see pole praktiline, siis on ka teine võimalus - teha andmed võõrastele kasutuskõlbmatuks. Üheks selle jaoks sobivaks meetodiks on krüpteerimine.

Krüpteerimise juures on olulisel kohal võti, mida krüpteerimiseks / dekrüpteerimiseks kasutatakse. Krüpteerimise võti on analoogne ukseluku võtmega, kaasnevad ka sarnased probleemid - võti tuleb hoida salajas, sest vastasel juhul on väga lihtne võtmest koopia teha ning teie teadmata andmete kallale minna. Võtit ei tohi ka ära kaotada, sest sel juhul ei saa krüpteeritud andmeid enam taastada. Seega tuleb võti alati hoida ainult enda teada ning garanteerida selle säilimine.

Üldjuhul on võtmed üsna suured bitijadad. Kuna inimestel on raskusi sadade bittide meeldejätmisega, krüpteeritakse võti (edaspidi peavõti) omakorda lühema võtmega (edaspidi parool), mis on inimesele lihtsam meelde jätta, ning krüpteeritud peavõti talletatakse mingile meediumile (failina, ID-kaardi kiipi, TPM-i).

Kas krüpteeritud faile on võimalik "murda" ehk saada neist kätte andmed võtit teadmata? Jah, on - selleks saab kasutada ära krüpteerimisalgoritmi nõrkusi (juhul kui neid leidub) või arvata ära parool. Laiatarbe krüptosüsteemides üldjuhul kasutatakse turvalisi algoritme, seega taandub krüpteeritud andmete murdmine parooli leidmisele. Et aga see mõistlikus ajas murtav ei oleks, tuleks valida piisavalt tugev parool. Tasub lugeda paroolide tugevusest ning paroolide murdmisest.

Käesolevas praktikumis õpite andmete krüpteerimist VeraCrypt ja BitLockeri abil.

Tarkvara VeraCrypt

VeraCrypt on populaarne vabavaraline tarkvara, mis võimaldab luua krüpteeritud kaustu ja ka terveid andmekandjaid (USB mälupulk, kõvaketas) ning pakub võimalust andmete krüpteerimiseks nende kasutamise ajal. VeraCrypt kasutab andmete kaitsmiseks sümmeetrilist krüptograafiat.

VeraCrypt eeliseks on avatud lähtekood (st läbipaistvus) ning et see on toetatud kõigil enamlevinud platvormidel: Windows, Linux, Mac OS X. Tänu sellele on VeraCryptiga krüpteeritud faile erinevate arvutite ja platvormide vahel lihtne jagada.

VeraCrypti eelkäija oli TrueCrypt, aga neil projektidel on erinevad arendajad. TrueCrypti arendamine lõpetati ootamatult 2014 aasta kevadel ning pärast seda tekkis mitmeid projekte, mis üritasid TrueCrypti lähtekoodi baasil antud tarkvara edasi arendada. VeraCrypt on nendest projektidest osutunud kõige elujõulisemaks. VeraCrypti peamiseks arendajaks on prantslasest konsultant Mounir Idrassi. TrueCrypti turvaauditist selgus, et TrueCrypt ei sisalda olulisi turvaauke ja ei sisalda tagauksi. VeraCrypti turvalisuses ja uue meeskonna turvaoskustes kaheldi esimesed aastad, kuid oktoobris 2016 avalikustatud turvaaudit näitas, et VeraCrypt on endiselt tugev ja populaarne krüpteerimistarkvara. https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit-Final-for-Public-Release.pdf

Probleemid ja küsimused VeraCrypt eelkäijaga TrueCrypt

TrueCrypti peetakse usaldusväärseks tarkvaraks, kuid siiski võib tekkida küsimusi.

  • Ei ole teada, kes on TrueCrypti arendajad ja seega ei ole teada, mis on nende motivatsioon niisuguse tarkvara loomiseks.
  • Raske on kontrollida kas TrueCrypti paigaldamiseks levitatav binaar põhineb avalikustatud lähtekoodil.
  • TrueCrypt on 2015 aastal täielikult auditeeritud. 2013 aasta sügisel algatati krüptograafi Matthew Green'i poolt kampaania TrueCrypti auditeerimiseks. Audit ei tuvastanud olulisi turvaauke. Auditiga saate tutvuda veebilehelt http://istruecryptauditedyet.com/. TrueCrypt auditi kokkuvõte on järgmine:

"During the engagement, CS identified four (4) issues, and none led to a complete bypass of confidentiality in common usage scenarios. The standard workflow of creating a volume and making use of it was reviewed, and no significant flaws were found that would impact it.

The most severe finding relates to the use of the Windows API to generate random numbers for master encryption key material among other things. While CS believes these calls will succeed in all normal scenarios, at least one unusual scenario would cause the calls to fail and rely on poor sources of entropy; it is unclear in what additional situations they may fail.

Additionally, CS identified that volume header decryption relies on improper integrity checks to detect tampering, and that the method of mixing the entropy of keyfiles was not cryptographically sound. Finally, CS identified several included AES implementations that may be vulnerable to cache-timing attacks. The most straightforward way to exploit this would be using native code, potentially delivered through NaCl in Chrome; however, the simplest method of exploitation through that attack vector was recently closed off"

  • 2014. aasta maikuus teatasid TrueCrypt'i arendajad ootamatult, et ei kavatse enam seda tarkvara edasi arendada ja ei soovita seda enam kasutada, sest see võib sisaldada turvaauke. Ei ole teada, mis on sellise avalduse tegelik põhjus. TrueCrypti veebileht on asendatud juhistega migreerumaks alternatiivsele tarkvarale. Kuna TrueCrypti edasi ei arendata, siis on selle asemel parem kasutada VeraCrypti. Siiski saab vajaduse korral leida auditeeritud TrueCrypt koodi auditi GitHub repositooriumist.

0. Programmi VeraCrypt paigaldamine

VeraCrypt'i saab alla laadida sellelt kodulehelt.

Laadige alla veracrypt-1.26.7-setup.tar.bz2

  1. Pakkige lahti veracrypt-1.26.7-setup.tar.bz2
  2. Käivitage lahti pakitud kaustas fail veracrypt-1.26.7-setup-gtk3-gui-x64 ja valige Run in Terminal
    • Ärge valige vanemat gtk2 toega veracrypt-1.26.7-setup-gui-x64 faili ekslikult, mis paigaldab ennast edukalt aga ketaste haakimise ajal annab veateate A critical error has occurred and VeraCrypt must be terminated. ...
  3. Avanenud aknas valige Install VeraCrypt.
  4. Nõustuge pakutud litsentsige ja vajutage “I accept and agree ...”.
  5. Vajutage “OK”
  6. Lõpetage installeerimine ja taaskäivitage Linux Mint virtuaalmasin.
  7. Avage programm VeraCrypt programmide loetelust või käsurealt veracrypt käsuga.

VeraCrypt võimaldab krüpteeritud "konteinerite" loomist. Konteineri meediumiks võib olla fail, ketta partitsioon või terve ketas ning konteineri sisu on failisüsteem (saab mountida virtuaalse kettana).

1. Faili kasutamine krüpteeritud andmete hoidmiseks

Kõige lihtsam viis väikest kogust salajasi andmeid kaitsta on need krüpteerida ühte faili. See võimaldab vajadusel krüpteeritud andmeid hõlpsasti varundada ning näiteks arvuti vahetusel uude arvutisse üle viia. Kui on piisavalt tugev parool, siis pole hullu ka sellest, kui krüpteeritud failist jääb kuskile koopia vedelema - parooli teadmata pole sellega midagi peale hakata.

Konteineri loomine VeraCrypt abil

  1. Vajuta Create Volume.
  2. Vali Create an encrypted file container.
  3. Vali Standard VeraCrypt volume.
  4. Vajuta Select File ning salvesta failina andmed.hc -> Next.
  5. Encryption Algorithm: AES, Hash Algorithm: SHA-512.
  6. Suuruseks määrame 200 MiB.
  7. Määrake parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida).
  8. Filesystem type: FAT -> Next.
  9. Rakendus palub teil hiirt liigutada rakenduse aknas. See on mõeldud juhuslikkuse loomiseks, sest spetsifitseeritud turvataseme saavutamiseks peab krüpteerimisvõti olema täiesti juhulikult valitud. Tehke seda kuni sinine joon täitub. Siis valige: Format.
  10. Exit.

Konteineri kasutamine

  1. Vajuta Select File ning sirvi fail andmed.hc.
  2. Vali mingi ketas, näiteks 6.
  3. Vajuta Mount.
  4. Proovi alguses vale parooli (lisaks paroolile võidakse teilt küsida kasutaja parooli administraatori õigustes haakimiseks), seejärel kasuta õiget parooli.
  5. Tee varem valitud kettal parem klõps ning vali Open.
  6. Loo virtuaalmasinas fail isikuandmed.txt ja kirjuta sinna mingi tekst, mis kindlasti meelde jääb, sest siis saad hiljem kontrollida, et tegu on tõesti sinu failiga.
  7. Teisalda VeraCrypti haagitud kettale (ehk VeraCrypti konteinerisse) fail isikuandmed.txt.
  8. Sulge ketta aken.
  9. VeraCrypt aknas vajuta Dismount.
  10. Korda samme 1-5 veendumaks, et kettal on fail isikuandmed.txt. Seejärel ära unusta teha samme 8-9.

Lisaülesanne

Tehke sama asi läbi, aga parooli määramise juures kasutage võtmefaili.

2. USB mälupulga krüpteerimine peidetud andmetega

Lihtsuse mõttes teeskleme, et üks kõvaketas on meil tegelikult USB mälupulk.

Tihti on vajadus andmeid liigutada. Levinud meedium selleks on USB mälupulk. Oma mõõtmete tõttu on kahjuks sellised seadmed kerged kaduma, seega tuleks neil olevad delikaatsed andmed kindlasti krüpteerida.

Oletame, et reisisite pulgaga teise riiki, kus ei ole krüptograafia vabadust (lisa), ning teilt konfiskeeriti see piiriületusel ära. Riiklik organisatsioon sai selle enda kätte ning tuvastas, et seal asuvad krüpteeritud andmed ning nüüd sunnitakse teid parooli loovutama. Kuidas pääseda sellisest olukorrast säilitades andmete privaatsuse?

VeraCrypt pakub võimalust peita üks konteiner teise sisse (välimisse konteinerisse). Kuna terve konteiner näeb välja suvalise mürana, siis saab välimise konteineri poolt mittekasutatud (tühja ruumi) ala kasutada eraldi konteinerina ning see ei eristu välimisest konteinerist. Kummalgi konteineril on oma (erinev) parool ning vastava parooliga näeb ainult kas välimist või peidetud konteinerit. Välimisse konteinerisse saab panna nn petteandmed ning peidetud konteinerisse kaitstavad andmed. Surve avaldamisel võib loovutada välimise konteineri parooli, kusjuures pole võimalik tõestada, et seal leidub veel peidetud konteiner (Plausible Deniability kohta käiv Wikipedia artikkel, Plausible Deniability kirjeldus VeraCrypti lehel).

Välimisele konteinerile kirjutades kaasneb risk peidetud konteinerit kahjustada! See tuleneb sellest, et välimise konteineri kasutamisel ei ole teada, et seal peidetud konteiner asub ning võidakse kirjutada kohtadele, kus asuvad peidetud konteineri andmed. Hiljem õpime, kuidas seda vältida (Hidden Volume Protection).

Uue kõvaketta lisamine virtuaalmasinasse USB mängimiseks.

  1. Pange virtuaalmasin täiesti seisma (shutdown).
  2. VirtualBox Manager vaates tehke paremklikk oma virtuaalmasina peal ning valige Settings.
    1. Sealt minge Storage -> Controller: SATA -> Adds Hard Disk -> Create Disk Image -> VDI -> Fixed Size -> 1 GB -Finish -> Choose -> OK
  3. Pange virtuaalmasin uuesti tööle.
  4. Avage kettahalduse tööriist (Disks).
    1. Kõige lihtsam viis seda käivitada on Menu -> Search -> Disks.
  5. Vormindage (Format Partition 1GB suurune lisatud kettas NTFS failisüsteemiga ja vabalt valitud kirjeldusega (Volume Label).

Konteineri loomine

  1. VeraCrypt programmis vajuta Create Volume.
  2. Vali Encrypt a non-system partition/drive.
  3. Vali Hidden VeraCrypt volume.
  4. Vajuta Select Device ja vali eelnevalt lisatud 1GB Partitsioon (Juhul kui kuvatakse hoiatus, siis vajuta Yes avanevas hoiatusaknas).
  5. AES, SHA-512, Next.
  6. Määrake petteandmete parool (Outer Volume Password) ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida).
  7. Next, Format, hoiatusaknas Yes.
  8. Vajuta Open Outer Volume.
  9. Tekita avanenud kausta alamkaust vale ja tekita sellesse alamkausta libaandmed.txt.
  10. Sulge aken ning jätka VeraCrypt wizardis Next vajutamisega.
  11. Next, AES, SHA-512, Next.
  12. Peidetud konteineri suuruseks määrame 100 MiB.
  13. Määrake salajastele andmete parool (see peab erinema petteandmete paroolist ) ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida).
  14. Valige failisüsteemi tüübiks NTFS -> Next -> I will mount the volume on other platforms -> Next.
  15. Vajutage Format (pärast seda kuvatakse kaks ketta formaatimise kohta käivat hoiatust, mis pole antud kontekstis olulised).

Kaitstavate / Peidetud andmete lugemine/kirjutamine (Hidden Partition)

  1. Vajutage Select Device ning valige enda poolt loodud partitsioon.
  2. Vali mingi ketas, näiteks 7.
  3. Vajuta Mount.
  4. Proovi vale parooli.
  5. Kasuta kaitstavate andmete parooli.
  6. Ava ketas, tekita sinna alamkaust oige-perenimi ja tekita sellesse alamkausta teie nimeline fail perenimi.txt.
  7. Ülesanne 1: Esita ekraanivaade kus oleks näha nii õigete andmete kaust oige, koos teie nimelise failiga, kui ka avatud konteineri tüüp Hidden VeraCrypt aknas.
    • Ekraanivaatelt peab olema näha, et see on teie poolt individuaalselt tehtud, seega kontrollige, et vajalik (teie perenimega) fail oleks ekraanivaatel olemas.
  8. Sulge aken.
  9. VeraCrypt aknas vajuta Dismount.

Petteandmete kirjutamine, säilitades väärtuslikke andmeid

Kui jätate vahele sammud 4-6, siis ei pruugi väärtuslikud andmed säiluda.

  1. Vajutage Select Device ning valige enda poolt loodud partitsioon.
  2. Vali mingi ketas, näiteks 8.
  3. Vajuta Mount.
  4. Vajuta Options.
  5. Vali Protect hidden volume against damage caused by writing to outer volume
  6. Sisesta petteandmete parool lahtrisse Password.
  7. Sisesta kaitstavate andmete parool lahtrisse Password for hidden volume ja vajuta OK. Vajuta OK avanevas aknas.
  8. Ava ketas, tekita sinna alamkaust petlik-perenimi (lisaks eelnevalt tehtud kaustale vale ja tekita sinna alamkausta fail petlik-perenimi.txt.
  9. Ülesanne 2: Esita ekraanivaade kus oleks näha nii petlike andmete kaust kui ka avatud konteineri tüüp Outer VeraCrypt aknas.
    • Ekraanivaatelt peab olema näha, et see on teie poolt individuaalselt tehtud, seega kontrollige, et vajalik (teie perenimega ) fail oleks ekraanivaatel olemas.
  10. Sulge aken.
  11. VeraCrypt aknas vajuta Dismount.

Ainult petliku andmete kuvamine

Nagu eelpool mainitud siis äärmuslikes oludes võib olla vajalik teil kõrvalistele isikutele avaldada enda krüpteerimise parool (võti). Vaatame nüüd olukorda mis juhtub siis kui haagite eelpool loodud topelt-konteineri ainult petlike andmete parooliga.

  1. Vajutage Select Device ning valige enda poolt loodud partitsioon.
  2. Vali mingi ketas, näiteks 8.
  3. Vajuta Mount.
  4. Sisesta petteandmete parool lahtrisse Password -> OK.
  5. Peaksite nägema ainult enda petteandmeid ja VeraCrypt aknas on nüüd konteineri tüübiks Normal nagu praktikumi esimeses harjutuses tavalise konteineri loomisel. Seega midagi ei viita sellele, et tegelikult asub konteineri sees veel teinegi niinimetatud õigete andmetega konteiner.
    • NB! Sellisel ainult petteandmete parooliga avamisel on küll oht, et andmete kirjutamisel kahjustate sisemist konteinerit ja kaotate nii enda sisemise konteineri andmed.
  6. VeraCrypt aknas vajuta Dismount.

Kui te olete ekraanipildid ära teinud ja salvestanud esitamiseks, siis võite nüüd Linux Mint virtuaalmasina sulgeda ja ajutiselt loodud 1GB virtuaalse ketta kustutada -> eemaldage 1GB kõvaketas nii virtuaalmasina seadetest kui Virtualbox -> File -> Virtual Media Manager.

3. Windows vahenditega andmekandja krüpteerimine

Selles ülesandes läheb vaja Windows (10) virtuaalmasinat.

  • Soovitame kasutada eelmises praktikumis loodud Win10 nimelist virtuaalmasinat või,
  • Alternatiivina saab alla laadida ametliku Windows'i testimiseks mõeldud virtuaalmasina

Windows omab alates Windows Vistast sisse-ehitatud tuge ja tööriista nimega BitLocker andmete krüpteerimiseks ja turvaliseks säilitamiseks. Rohkem infot leiate wikipeediast.

Bitlockeri kasutamiseks vajame esmalt sobivat Windows operatsioonisüsteemi (Enterprise, Professional ja Education versioonid). Selleks sobib eelmises praktikumis loodud Win10 virtuaalmasin. NB! Microsofti arvates on krüpteerimine mitte-vajalik funktsionaalsus kodukasutajale ja seega Microsoft Windows Home omavad BitLockeri avamise funktsionaalsust aga mitte loomise. Näiteks on teil võimalik USB mälupulk ära krüpteerida "töö"/"kooli" arvutis ja siis avada/kirjutada sinna andmeid ka koduse Windows Home versiooniga, kuid esmast krüpteerimist ja süsteemiketta krüpteerimist "odavam" Home versioon kahjuks ei toeta.

  • Käivitage Windows 10 virtuaalmasin.
  • Esmalt loome omale uue andmekandja kasutades MS virtuaalse kõvaketta funktsiooni. Selleks vajutage WIN + X ja valige "Disk Management" / "Kettahaldur" ja seal: Action -> Create VHD -> Looge uus muutuva suurusega (Dynamically expanding) 500MB suurune VHD tüübiga virtuaalne andmekandja.
  • Järgnevalt vajutage parem klahv ketta nimel "Disk 1" ja "Initialize Disk" ning tüübiks valige MBR. Nüüd looge kettale maksimaalse suurusega NTFS partitsioon. Volume Label lahtrisse kirjutage oma perenimi.
  • Minge "This PC" / "Minu arvuti" ja avage värskelt loodud virtuaalne ketas kuhu looge vabalt valitud tähtis fail näiteks "oluline.txt".
  • Tuvastage virtuaalse kõvaketta (VHD) faili suurus teie virtuaalmasinas (peaks olema umbes 32 MB).
  • Minge "File Explorer" / "Faili vaatur" This PC ja parem hiireklahv virtuaalsel kõvakettal ja valige "Turn on Bitlocker" ja valige parooliga krüpteerimine -> Print the recovery key (kasutage PDF printeri tarkvara) -> Encrypt used disk space only -> New encryption mode -> Start encrypting.
  • Avage "Disk Management" / "Kettahaldur" ja vajutage parem klahv ketta nimel "Disk 1" ning Detach VHD (antud tegevus simuleeris andmekandja eemaldamist operatsioonisüsteemi küljest). Veenduge This PC vaates, et ketas on kadunud.
  • Ühendame "Disk Mangement" aknas uuesti virtuaalse kõvaketta: Action -> Attach VHD. "My Computer" aknas proovime kettale ligi pääseda kõigepealt vale ja siis õige parooliga.
  • Ülesanne 3: Arvestuse saamiseks esitage pilt teie nimelisest krüpteeritud VHD kettast This PC vaates (vasakul ekraaniosal) ja Recovery Key faili sisust (võib olla osaline) (paremal ekraaniosal).
  • Ühendage VHD ketas lahti ja sulgege kõik eelnevalt avatud aknad.

4. Süsteemiketta krüpteerimine Windowsis (või Linuxis)

Vahel on terve operatsioonisüsteem liiga hajusalt privaatseid andmeid täis või on risk, et keegi võib operatsioonisüsteem sinu teadmata sokutada täiendavat tarkvara (näiteks eelmise praktikumi klahvisalvesti/klahviluger/keylogger). Sel juhul tuleks krüpteerida terve operatsioonisüsteem või terve ketas, kus see asub. Krüpteeritud süsteemiketta puhul tuleb enne operatsioonisüsteemi käivitamist sisestada parool. Windows arvuti süsteemiketta krüpteerimiseks võib kasutada erinevaid tarkvarasid näiteks VeraCrypti või uute Windowsite'ga kaasas olevat Bitlocker tarkvara.

Linux arvuti krüpteerimine pärast paigaldust on veidi tülikam ja seega enamasti soovitame Linux arvuti krüpteerida paigaldamise hetkel installeerimise tööriistaga või käsitsi vormindada sobivad partitsioonid ja seadistada krüpteerimise tarkvarad (Lisainfo Linux krüpteerimise: võimalustest https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system ). Järgnevalt toome ära detailse Windowsi juhendi, kui soovite proovida Linux süsteemiketta krüpteerimist on lubatud järgmiste ülesannete 4 & 5 asemel teha ka Linux süsteemiketta vormindamist ja krüpteeringu seadistamist, kuid peate ise leidma sobiva juhendi ja aruandesse esitama lühikese kirjelduse: Mis tarkvaradega lahenduseni jõudsite ning kuidas? Samuti esitama teienimelised pildid tõestuseks Linux süsteemiketta edukast krüpteerimisest.

Bitlocker

  • Soovitame kasutada praktikumis 5 loodud Windows 10 virtuaalmasinat.
  • Alternatiivina saab alla laadida ametliku Windows'i testimiseks mõeldud virtuaalmasina.
  1. Lubage Bitlocker süsteemiketta krüpteering virtuaalmasinas (peate eemaldama nõude TPM mooduli kohta Local Group Policy Editor-i abil)
    1. Proovige Googeldada ise abi (tegu on levinud probleemiga ning lahendusi veebis palju).
  2. Aktiveerige Bitlocker Win10 virtuaalmasina süsteemikettal (Encrypt used disk space only ülejäänud seaded valige ise).
    1. Salvestage Bitlocker Recovery key arvutisse.
  3. Ülesanne 4: Esitage ekraanipilt win 10 masinast nii, et oleks näha et süsteemiketas on BitLockeri poolt krüpteeritud ja Bitlocker Recovery Key (võib olla osaline).
  4. Kui olete teinud ekraanipildi arvestuse saamiseks, lülitame nüüd BitLocker krüpteeringu C: kettal välja.
    1. Avage tööriist Manage BitLocker.
    2. Vajutage nupule Turn off BitLocker.

5. Süsteemiketta krüpteerimine VeraCrypt tarkvaraga

NB! Käesolev ülesanne vajab, et teie host (enda arvuti) on vaba kõvakettaruumi vähemalt 15GB, sest Windowsi ketta krüpteerimine Veracryptiga krüpteerib ära ka vaba kettaruumi dünaamilist suureneval virtuaalkettal. Võite näiteks ära kustutada Andmeturve-Win10-2024.ova faili. Pärast selle harjutuse tegemist kustutame virtuaalmasina ja saate oma "vaba" kettaruumi tagasi kuni me seda jälle vajame järgnevates praktikumides.

Windows 10 Bitlocker on mugav kasutada ja piisav enamik juhtudel andmete kaitseks, kuid Microsoftil on kahjuks halb ajalugu krüptovõtmetega ringikäimisel. Samuti liiguvad ringi väited, et mitmetel luureasutustel on võimalik "kergendatud" korras Microsofti Bitlockeri avada. Ühe näitena võib tuua olukorra kus Microsoft salvestas aastaid Bitlockeri krüpteerimisvõtme "koopiat" igaks juhuks ka enda pilveteenusesse https://www.extremetech.com/computing/220129-no-microsoft-isnt-uploading-your-cryptographic-keys-so-it-can-hand-them-to-the-fbi .

Süsteemiketta krüpteerimise juures VeraCrypt tarkvaraga on oluline samm Rescue Disc loomine. See sisaldab boot loaderit (juhuks, kui arvuti ei peaks enam käivituma) ning konteineri päist (vajalik kui päis on kahjustunud ning haakimine (mountimine) ebaõnnestub ka õige parooli korral). Erinevalt Microsoft Bitlockeri Recovery Keyst (nn parooli asendaja), siis VeraCrypti rescue disk ei oma dekrüpteerimiseks vajalikku võtit vaid lihtsalt koopiat ketta alguses olevatest andmetest, mis on vajalikud olukorras, kus ketas on saanud kahjustada. Rescue disk kasutamisel küsitakse endiselt algset parooli.

  1. Paigaldage VeraCrypt tarkvara Windowsile
  2. Avage VeraCrypt -> System rippmenüü -> Encrypt System Partition/Drive -> Normal -> Encrypt the Windows system partition (Encrypt the whole drive on turvalisem aga meie harjutuses piisab kui on ainult windows partitsioon krüpteeritud -> Single-boot -> Encryption Options: vaikeväärtused -> määrake vähemalt 20 tähemaärki pikk parool; Use PIM -> Next -> Volume PIM: 1 -> liigutage hiirt -> Rescue Disk loomise küsimusele leidke ise sobiv vastus -> Wipe Mode: None (fastest) -> Test -> Restart -> Sisesta parool ja PIM ja oodake umbes 1 minut, millal VeraCrypt "turvalisuse" huvides superaeglaselt teie parooli verifitseerib. -> NB! Enne kui te jätkate veenduge, et teie host (enda arvuti) on vaba kõvakettaruumi vähemalt 15GB, sest Windowsi ketta krüpteerimine Veracryptiga krüpteerib ära ka vaba kettaruumi dünaamilist suureneval virtuaalkettal -> Encrypt.
  3. Peale krüpteerimise õnnestumist tehakse restart ning järgmisel käivitumisel küsitakse parooli. Proovi alguses vale parooli, ning seejärel kasuta õiget parooli.
  4. Ülesanne 5: Esita ekraanivaade virtuaalmasina olukorrast, kus VeraCrypt aknas on kuvatud, et süsteemiketas on krüpteeritud. Täiendavalt avage tekstifail (näiteks: Arvestuseks.txt ja lisage sinna enda nimi, et esitus sisaldaks ka teie nime.
    1. Ekraanivaatelt peab olema näha, et on kasutatud VirtualBox'i (pilt ei tohi olla liiga väikeseks lõigatud).
    2. Kui teil on probleeme praktikumis kasutatud Windows 10 süsteemiketta krüteerimisega Veracrypt tarkvaraga on alternatiivina võimalik kasutada ka vanemat Andmeturve_XP_SP3.ova https://owncloud.ut.ee/owncloud/index.php/s/CrtBMvRouATSgz8 lehelt , kus allalaadimise parooliks sisestage aine kood LTAT.06.002. Windows XP masinas peaks kasutama vanemat VeraCrypt versiooni 1.25.9.

Võite nüüd Andmeturve-Win10-2024v2.ova virtuaalmasina arvutist eemaldada. Virtualbox tarkvaras parem klahv virtuaalmasina nimel ja Remove -> Delete all files.

Kui teil tekib probleeme Veracrypt süsteemiketta krüpteerimise sammuga ja OSi sisselogimisel tekib error, siis andke sellest aine õppejõududele teada.

Praktikumi ülesanded

Praktikumi ülesande lahendamine annab neli punkti ja esitamiseks on umbes kaks nädalat alates praktikumi toimumisajast.

  • Ülesanne 1: Esita ekraanivaade kus oleks näha nii õigete andmete kaust oige , koos teie nimelise failiga, kui ka avatud konteineri tüüp Hidden VeraCrypt aknas. - 0.5p
  • Ülesanne 2: Esita ekraanivaade kus oleks näha nii petlike andmete kaust kui ka avatud konteineri tüüp Outer VeraCrypt aknas. - 0.5p
  • Ülesanne 3: Arvestuse saamiseks esitage pilt teie nimelisest krüpteeritud VHD kettast This PC vaates (vasakul ekraaniosal) ja Recovery Key faili sisust (võib olla osaline) (paremal ekraaniosal). - 1p
  • Ülesanne 4: Esitage ekraanipilt win 10 masinast nii, et oleks näha et süsteemiketas on BitLockeri poolt krüpteeritud ja Bitlocker Recovery Key (võib olla osaline). - 1p
  • Ülesanne 5: Esita ekraanivaade virtuaalmasina olukorrast, kus VeraCrypt aknas on kuvatud, et süsteemiketas on krüpteeritud. Täiendavalt avage tekstifail (näiteks: Arvestuseks.txt ja lisage sinna enda nimi, et esitus sisaldaks ka teie nime. - 1p

Praktikumi ülesande lahendamine annab neli (4) punkti ja esitamiseks on kaks nädalat alates praktikumi toimumisajast (kuni tähtajani). Esitada aine moodle keskkonda. Otselink: https://moodle.ut.ee/mod/assign/view.php?id=1266413

Võite nüüd Andmeturve-Win10-2023 virtuaalmasina arvutist eemaldada. Virtualbox tarkvaras parem klahv virtuaalmasina nimel ja Remove -> Delete all files -> Win10 virtuaalmasin kustutatakse ja te peaksite enda 30GB kettaruumi tagasi saama.

Lisamaterjalid

  • IsTrueCryptAuditedYet? Yes!
  • VeraCrypt Security Audit
  • Pilveruum ja krüptitud failid
  • Bitlocker (FAQ)
  • Kas mu arvuti võimaldab terve ketta krüptimist?
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused