Andmete kaitsmine VeraCrypt'iga & Bitlocker'iga

Varem või hiljem võib teil tekkida vajadus käidelda delikaatseid andmeid, näiteks enda või tööandja saladusi. Alati leidub neid, kes kasvõi huvi pärast neid andmeid näha tahavad, kuid kindlasti ei tohiks. Et aga vähendada (ideaalses maailmas täielikult kaotada) juhtumeid, kus pargipingilt leitakse mälupulk sadade inimeste isikuandmetega, tuleb osata andmeid kaitsta.

Kõige turvalisem oleks andmete hoidmine isoleeritud keskkonnas, aga kuna see pole praktiline, siis on ka teine võimalus - teha andmed võõrastele kasutuskõlbmatuks. Üheks selle jaoks sobivaks meetodiks on krüpteerimine.

Krüpteerimise juures on olulisel kohal võti, mida krüpteerimiseks / dekrüpteerimiseks kasutatakse. Krüpteerimise võti on analoogne ukseluku võtmega, kaasnevad ka sarnased probleemid - võti tuleb hoida salajas, sest vastasel juhul on väga lihtne võtmest koopia teha ning teie teadmata andmete kallale minna. Võtit ei tohi ka ära kaotada, sest sel juhul ei saa krüpteeritud andmeid enam taastada. Seega tuleb võti alati hoida ainult enda teada ning garanteerida selle säilimine.

Üldjuhul on võtmed üsna suured bitijadad. Kuna inimestel on raskusi sadade bittide meeldejätmisega, krüpteeritakse võti (edaspidi peavõti) omakorda lühema võtmega (edaspidi parool), mis on inimesele lihtsam meelde jätta, ning krüpteeritud peavõti talletatakse mingile meediumile (failina, ID-kaardi kiipi, TPM-i).

Kas krüpteeritud faile on võimalik "murda" ehk saada neist kätte andmed võtit teadmata? Jah, on - selleks saab kasutada ära krüpteerimisalgoritmi nõrkusi (juhul kui neid leidub) või arvata ära parool. Laiatarbe krüptosüsteemides üldjuhul kasutatakse turvalisi algoritme, seega taandub krüpteeritud andmete murdmine parooli leidmisele. Et aga see mõistlikus ajas murtav ei oleks, tuleks valida piisavalt tugev parool. Tasub lugeda paroolide tugevusest ning paroolide murdmisest.

Käesolevas praktikumis õpite andmete krüpteerimist VeraCrypt ja BitLockeri abil.

Tarkvara VeraCrypt

VeraCrypt on populaarne vabavaraline tarkvara, mis võimaldab luua krüpteeritud kaustu ja ka terveid andmekandjaid (USB mälupulk, kõvaketas) ning pakub võimalust andmete krüpteerimiseks nende kasutamise ajal. VeraCrypt kasutab andmete kaitsmiseks sümmeetrilist krüptograafiat.

VeraCrypt eeliseks on avatud lähtekood (st läbipaistvus) ning et see on toetatud kõigil enamlevinud platvormidel: Windows, Linux, Mac OS X. Tänu sellele on VeraCryptiga krüpteeritud faile erinevate arvutite ja platvormide vahel lihtne jagada.

VeraCrypti eelkäija oli TrueCrypt, aga neil projektidel on erinevad arendajad. TrueCrypti arendamine lõpetati ootamatult 2014 aasta kevadel ning pärast seda tekkis mitmeid projekte, mis üritasid TrueCrypti lähtekoodi baasil antud tarkvara edasi arendada. VeraCrypt on nendest projektidest osutunud kõige elujõulisemaks. VeraCrypti peamiseks arendajaks on prantslasest konsultant Mounir Idrassi. TrueCrypti turvaauditist selgus, et TrueCrypt ei sisalda olulisi turvaauke ja ei sisalda tagauksi. VeraCrypti turvalisuses ja uue meeskonna turvaoskustes kaheldi esimesed aastad, kuid oktoobris 2016 avalikustatud turvaaudit näitas, et VeraCrypt on endiselt tugev ja populaarne krüpteerimistarkvara. https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit-Final-for-Public-Release.pdf

Probleemid ja küsimused VeraCrypt eelkäijaga TrueCrypt

TrueCrypti peetakse usaldusväärseks tarkvaraks, kuid siiski võib tekkida küsimusi.

• Ei ole teada, kes on TrueCrypti arendajad ja seega ei ole teada, mis on nende motivatsioon niisuguse tarkvara loomiseks.
• Raske on kontrollida kas TrueCrypti paigaldamiseks levitatav binaar põhineb avalikustatud lähtekoodil.
• TrueCrypt on 2015 aastal täielikult auditeeritud. 2013 aasta sügisel algatati krüptograafi Matthew Green'i poolt kampaania TrueCrypti auditeerimiseks. Audit ei tuvastanud olulisi turvaauke. Auditiga saate tutvuda veebilehelt http://istruecryptauditedyet.com/. TrueCrypt auditi kokkuvõte on järgmine:

"During the engagement, CS identified four (4) issues, and none led to a complete bypass of confidentiality in common usage scenarios. The standard workflow of creating a volume and making use of it was reviewed, and no significant flaws were found that would impact it.

The most severe finding relates to the use of the Windows API to generate random numbers for master encryption key material among other things. While CS believes these calls will succeed in all normal scenarios, at least one unusual scenario would cause the calls to fail and rely on poor sources of entropy; it is unclear in what additional situations they may fail.

Additionally, CS identified that volume header decryption relies on improper integrity checks to detect tampering, and that the method of mixing the entropy of keyfiles was not cryptographically sound. Finally, CS identified several included AES implementations that may be vulnerable to cache-timing attacks. The most straightforward way to exploit this would be using native code, potentially delivered through NaCl in Chrome; however, the simplest method of exploitation through that attack vector was recently closed off"

• 2014. aasta maikuus teatasid TrueCrypt'i arendajad ootamatult, et ei kavatse enam seda tarkvara edasi arendada ja ei soovita seda enam kasutada, sest see võib sisaldada turvaauke. Ei ole teada, mis on sellise avalduse tegelik põhjus. TrueCrypti veebileht on asendatud juhistega migreerumaks alternatiivsele tarkvarale. Kuna TrueCrypti edasi ei arendata, siis on selle asemel parem kasutada VeraCrypti. Siiski saab vajaduse korral leida auditeeritud TrueCrypt koodi auditi GitHub repositooriumist.

Programmi VeraCrypt paigaldamine

VeraCrypt'i saab alla laadida sellelt kodulehelt.

Laadige alla VeraCrypt Linux Setup 1.23

1. Pakkige lahti veracrypt-1.23-setup.tar.bz2
2. Käivitage lahti pakitud kaustas fail veracrypt-1.23-setup-gui-x64
3. Valige Install VeraCrypt
4. nõustuge pakutud litsentsige ja vajutage “Accept”
5. vajutage “OK”
6. lõpetage installeerimine ja avage programm VeraCrypt

VeraCrypt võimaldab krüpteeritud "konteinerite" loomist. Konteineri meediumiks võib olla fail, ketta partitsioon või terve ketas ning konteineri sisu on failisüsteem (saab mountida virtuaalse kettana).

1. Faili kasutamine krüpteeritud andmete hoidmiseks

Kõige lihtsam viis väikest kogust salajasi andmeid kaitsta on need krüpteerida ühte faili. See võimaldab vajadusel krüpteeritud andmeid hõlpsasti varundada ning näiteks arvuti vahetusel uude arvutisse üle viia. Kui on piisavalt tugev parool, siis pole hullu ka sellest, kui krüpteeritud failist jääb kuskile koopia vedelema - parooli teadmata pole sellega midagi peale hakata.

Konteineri loomine VeraCrypt abil

1. Vajuta Create Volume
2. Vali Create an encrypted file container
3. Vali Standard VeraCrypt volume
4. Vajuta Select File ning salvesta failina päevik.hc
5. Next
6. Suuruseks määrame 50 MB
7. Määrake parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
8. Next
9. Rakendus palub teil hiirt liigutada rakenduse aknas, see on mõeldud juhuslikkuse loomiseks, sest spetsifitseeritud turvataseme saavutamiseks peab krüpteerimisvõti olema täiesti juhulikult valitud. Tehke seda kuni roheline väli täitub. Siis valige: Format.
10. Exit

Konteineri kasutamine

1. Vajuta Select File ning sirvi fail päevik.hc
2. Vali mingi ketas, näiteks 6
3. Vajuta Mount
4. Proovi alguses vale parooli, seejärel kasuta õiget parooli
5. Tee varem valitud kettal parem klõps ning vali Open
6. Loo virtuaalmasinas fail päevik.txt ja kirjuta sinna mingi tekst, mis kindlasti meelde jääb, sest siis saad hijlem kontrollida, et tegu on tõesti sinu failiga.
7. Teisalda VeraCrypti haagitud kettale (ehk VeraCrypti konteinerisse) fail päevik.txt
8. Sulge ketta aken
9. VeraCrypt aknas vajuta Dismount
10. Korda samme 1-5 veendumaks, et kettal on fail päevik.txt. Seejärel ära unusta teha samme 8-9

Lisaülesanne

Tehke sama asi läbi, aga parooli määramise juures kasutage võtmefaili.

2. USB mälupulga krüpteerimine peidetud andmetega

Lihtsuse mõttes teeskleme, et üks kõvaketas on meil tegelikult USB mälupulk.

Tihti on vajadus andmeid liigutada. Levinud meedium selleks on USB mälupulk. Oma mõõtmete tõttu on kahjuks sellised seadmed kerged kaduma, seega tuleks neil olevad delikaatsed andmed kindlasti krüpteerida.

Oletame, et reisisite pulgaga teise riiki, kus ei ole krüptograafia vabadust (lisa), ning kaotasite selle ära. Riiklik organisatsioon sai selle enda kätte ning tuvastas, et seal asuvad krüpteeritud andmed ning nüüd sunnitakse teid parooli loovutama. Kuidas pääseda sellisest olukorrast säilitades andmete privaatsuse?

VeraCrypt pakub võimalust peita üks konteiner teise sisse (välimisse konteinerisse). Kuna terve konteiner näeb välja suvalise mürana, siis saab välimise konteineri poolt mittekasutatud (tühja ruumi) ala kasutada eraldi konteinerina ning see ei eristu välimisest konteinerist. Kummalgi konteineril on oma (erinev) parool ning vastava parooliga näeb ainult kas välimist või peidetud konteinerit. Välimisse konteinerisse saab panna nn petteandmed ning peidetud konteinerisse kaitstavad andmed. Surve avaldamisel võib loovutada välimise konteineri parooli, kusjuures pole võimalik tõestada, et seal leidub veel peidetud konteiner (Plausible Deniability kohta käiv Wikipedia artikkel, Plausible Deniability kirjeldus VeraCrypti lehel).

Välimisele konteinerile kirjutades kaasneb risk peidetud konteinerit kahjustada! See tuleneb sellest, et välimise konteineri kasutamisel ei ole teada, et seal peidetud konteiner asub ning võidakse kirjutada kohtadele, kus asuvad peidetud konteineri andmed. Hiljem õpime, kuidas seda vältida (Hidden Volume Protection).

Uue kõvaketta lisamine virtuaalmasinasse USB mängimiseks.

1. Pange virtuaalmasin täiesti seisma (shutdown)
2. VirtualBox Manager vaates tehke paremklikk oma virtuaalmasina peal ning valige Settings
   1. Sealt minge Storage -> Controller: IDE -> Add Hard Disk -> Create New Disk-> VDI -> Fixed Size -> 1 GB
3. Pange virtuaalmasin uuesti tööle.
4. Avage kettahalduse tööriist (Disks)
   1. Kõige lihtsam viis seda käivitada on Menu -> Search -> Disks
5. Vormindage (1GB suurus) lisatud kettas NTFS failisüsteemiga ja vabalt valitud kirjeldusega (LABEL).

Konteineri loomine

1. Vajuta Create Volume
2. Vali Create a volume within a partition/drive
3. Vali Hidden VeraCrypt volume
4. Vajuta Select Device ja vali eelnevalt lisatud 1GB Partitsioon (Juhul kui kuvatakse hoiatus, siis vajuta Yes avanevas hoiatusaknas)
5. Next, next, next
6. Määrake petteandmete parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
7. Format, hoiatusaknas Yes
8. Vajuta Open Outer Volume
9. Tekita avanenud kausta alamkaust vale ja tekita sellesse alamkausta andmed.txt
10. Sulge aken ning jätka VeraCrypt wizardis next vajutamisega
11. Next, next
12. Suuruseks määrame 50 MB
13. Määrake kaitstavate andmete parool (see peab erinema petteandmete paroolist ) ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
14. valige failisüsteemi tüübiks NTFS
15. Next
16. Vajutage Format (pärast seda kuvatakse kaks ketta formaatimise kohta käivat hoiatust, mis pole antud kontekstis olulised).

Kaitstavate / Peidetud andmete lugemine/kirjutamine (Hidden Partition)

1. Vajutage Select Device ning valige enda poolt loodud partitsioon
2. Vali mingi ketas, näiteks 6
3. Vajuta Mount
4. Proovi vale parooli
5. Kasuta kaitstavate andmete parooli
6. Ava ketas, tekita sinna alamkaust õige ja tekita sellesse alamkausta andmed.txt
7. Praktikumi Arvestus (osa 1): Tee siin ekraanivaade kus oleks näha nii õigete andmete kaust kui ka avatud konteineri tüüp VeraCrypt aknas (Hidden)
   • Ekraanivaatelt peab olema näha, et see on teie poolt individuaalselt tehtud. (Näiteks kirjutage oma nimi avatud teksti redaktorisse või muutke virtuaalmasina nimi ära lisades sinna oma perekonnanime)
8. Sulge aken
9. VeraCrypt aknas vajuta Dismount

Petteandmete kirjutamine, säilitades väärtuslikke andmeid

Kui jätate vahele sammud 4-6, siis ei pruugi väärtuslikud andmed säiluda

1. Vajutage Select Device ning valige enda poolt loodud partitsioon
2. Vali mingi ketas, näiteks 6
3. Vajuta Mount
4. Vajuta Mount Options
5. Vali Protect hidden volume when mounting outer volume
6. Sisesta petteandmete parool
7. Sisesta kaitstavate andmete parool (Hidden) ja vajuta OK. Vajuta OK avanevas aknas
8. Ava ketas, tekita sinna alamkaust petlik ja tekita sinna alamkausta fail andmed.txt
9. Praktikumi Arvestus (osa 2): Tee ekraanivaade kus oleks näha nii petlike andmete kaust kui ka avatud konteineri tüüp VeraCrypt aknas (Outer)
   • Ekraanivaatelt peab olema näha, et see on teie poolt individuaalselt tehtud. (Näiteks kirjutage oma nimi avatud teksti redaktorisse või muutke virtuaalmasina nimi ära lisades sinna oma perekonnanime)
10. Sulge aken
11. VeraCrypt aknas vajuta Dismount

3. Windows vahenditega andmekandja krüpteerimine

Selles ülesandes läheb vaja Windows (8.1 või 10) virtuaalmasinat.

• Soovitame kasutada eelmises praktikumis loodud Win10 nimelist virtuaalmasinat või,
• Alternatiivina saab alla laadida ametliku Windows'i testimiseks mõeldud virtuaalmasina
• Samuti kui teil on alles Operatsioonisüsteemi kursuses paigaldatud Win 10, siis võite kasutada seda.

Windows omab alates Windows Vistast sisseehitatud tuge ja tööriista nimega BitLocker andmete krüpteerimiseks ja turvaliseks säilitamiseks. Rohkem infot leiate wikipeediast.

Bitlockeri kasutamiseks vajame esmalt sobivat Windows operatsioonisüsteemi (Enterprise ja Professional versioonid). Selleks peaks sobima teie sülearvuti operatsioonisüsteem või eelmises praktikumis loodud Win10 nimeline virtuaalmasin.

• Käivitage Windows 10 virtuaalmasin.
• Esmalt loome omale uue andmekandja kasutades MS virtuaalse kõvaketta funktsiooni. Selleks vajutage WIN + X ja valige "Disk Management" / "Kettahaldur" ja seal: Action -> Create VHD -> looge uus muutuva suurusega (dynamic) 400MB suurune VHD tüübiga virtuaalne andmekandja.
• Järgnevalt vajutage parem klahv ketta nimel "Disk 1" ja "Initialize Disk" ning tüübiks valige MBR. Nüüd looge kettale maksimaalse suurusega NTFS partitisioon Volume Label lahtrisse kirjutage oma perenimi.
• Minge "My Computer" / "Minu arvuti" ja avage värskelt loodud virtuaalne ketas kuhu looge vabalt valitud tähtis fail näiteks "oluline.txt".
• Tuvastage virtuaalse kõvaketta (VHD) faili suurus teie virtuaalmasinas (peaks olema paarkümmend MB).
• Minge "My Computer" / "Minu arvuti" ja parem hiireklahv virtuaalsel kõvakettal ja valige "Turn on Bitlocker" ja valige parooliga krüpteerimine.
• Avage "Disk Management" / "Kettahaldur" ja vajutage parem klahv ketta nimel "Disk 1" ning Detach VHD (antud tegevus simuleeris andmekandja eemaldamist operatsioonisüsteemi küljest). Veenduge My Computeris et ketas on kadunud.
• Ühendame "Disk Mangement" aknas uuesti virtuaalse kõvaketta: Action -> Attach VHD. "My Computer" aknas proovime kettale ligi pääseda kõigepealt vale ja siis õige parooliga.
• Pärast krüpteerimist tuvastage uuesti virtuaalse kõvaketta (VHD) faili suurus teie virtuaalmasinas (Kas muutus oluliselt?).
• Praktikumi Arvestus (osa 3): Arvestuse saamiseks esitage pilt krüpteeritud kettast ja "Recovery Key" fail.

Lisaülesanne

Leidke sõber või sõbrad. Sama arvuti taga krüpteerige "USB pulk" VeraCrypt genereeritud võtmefailiga (kuid tühja parooliga). Peale seda loovad kõik endale krüpteeritud failipõhise konteineri ning sinna sisse panevad eelnevalt genereeritud võtmefaili. Igaüks määrab oma konteinerile ise parooli. Levitage scp abil "USB pulk" (USB pulk.vdi ning võibolla on veel sarnase nimega faile) teiste sõprade masinasse. Üritage kõik "USB pulka" avada oma konteinerisse pandud võtmefailiga.

Korduma kippuvad probleemid ja lahendused

host - peremeesoperatsioonisüsteem
guest - külalisoperatsioonisüsteem

• Ei saa faile liigutada virtuaalmasinasse
  • Aktiveerige "Shared Clipboard" virtuaalmasinas
    • Devices -> Shared Clipboard -> Bidirectional
  • Aktiveerige Drag & Drop virtuaalmasinas
    • Devices -> Drag & Drop -> Bidirectional
  • Võib proovida lohistamist nii, et vead faili virtuaalmasina aknasse, kui enne lahti laskmist ootad umbes 5 sekundit. Mõnedel juhtudel võttis lohistamise tuvastamine aega
  • Päris masinas parem klõps ja kopeeri, virtuaalmasinas parem klõps ja kleebi. Mõnedel juhtudel toimis see siis, kui lohistamisel veateade tuli
  • Jaga välja veracrypt kaust virtuaalmasinale:
    • Looge hostis kataloog. Näiteks O:\AndmeTurve\JagatudKaust
    • Seejärel minge virtuaalmasina menüüs Devices -> Shared Folders.
      *** Avanevas aknas vajutage Insert klahvi või klikkige rohelist plussmärgiga ikooni "Add shared folder".
      *** Valige oma punktis 1 tehtud kataloog ning lisage linnuke kastidesse Auto-mount ning Make Permanent.
    • Nüüd peaks see jagatud kaust ilmuma hostis võrgust nähtavate kaustade alla (VÕRK) nimega VBOXSVR
  • Kui kõik eelnevad meetodid ebaõnnestuvad, loo ise vajalikud failid virtuaalmasinas. Sisu pole tähtis, toimingud on
• Ei saa RescueDisc ISO virtuaalmasinast päris masinasse
  • Proovida sarnaseid samme eelneva probleemi juures
  • Kui ikka ei õnnestu, ehk leidub mõni vaba arvuti, kus proovida
  • Võib ka saata emailiga endale kui ikka kuidagi ei saa
• Linuksis ei õnnestu avada (või mountida) jagatud kausta.
  • Lisage Kasutaja vboxsf gruppi et tal oleksid vajalikud õigused.
    • sudo usermod -aG vboxsf kasutaja
    • Tehke virtuaalmasinale restart.

Tagasiside

Praktikumi lõpus palume anda tagasisidet, sest see võimaldab meil antud praktikumi ja ka järgmisi praktikume paremaks muuta. Tagasiside on anonüümne ja tagasiside vormi leiate järgneva lingi abil: tagasiside ankeet.

Praktikumi ülesanded

Praktikumi ülesannete lahendamine annab kaks punkti. Praktikumi ülesanne võiks valmis saada praktikumi lõpuks, aga juhul kui see ei õnnestu, siis on võimalik lahendust esitada kuni järgmise praktikumipäeva südaööni.

• Ülesanne: Arvestuse saamiseks tuleb vastata neljandale küsimusele (VHD) ning esitada kolm ekraanipilti, nende tegemise kohad on ülesannete teksti sees märgitud sinise tekstiga:
  • Arvestus 1: Tee siin ekraanivaade kus oleks näha nii õigete andmete kaust kui ka avatud konteineri tüüp VeraCrypt aknas
  • Arvestus 2: Tee ekraanivaade kus oleks näha nii petlike andmete kaust kui ka avatud konteineri tüüp VeraCrypt aknas
  • Arvestus 3: Tee ekraanivaade Bitlockeriga küpteeritud VHD kettast ja esita "Recovery Key" fail.
  • Arvestus 4: Tugeva krüpteeringuga (VeraCrypt) andmetele on ilma parooli teadmata suhteliselt keeruline ligi pääseda, kuid kindlasti mitte võimatu. Kirjeldage võimalikult detailselt ründeplaani krüpteeritud andmetele ligipääsemiseks. vihje: millal peab sisestama parooli andmete dekrüpteerimiseks? Mis hetkel on krüpteeritud andmed lahti krüpteeritud olekus?
• Ekraanivaatelt peab olema näha, et see on teie poolt individuaalselt tehtud. (Näiteks kirjutage oma nimi avatud teksti redaktorisse või muutke virtuaalmasina nimi ära lisades sinna oma perekonnanime)
• Pakkige need pildid kokku .zip faili ning laadige praktikumi lahendusena üles.

Juhul kui lahendus on ainult teksti kujul, siis saate lisada selle kommentaarina. Sellisel juhul on lahenduse esitamiseks vaja lisada tühi fail, sest antud vorm nõuab lahenduse esitamisel faili esitamist. Lahendusi võtame vastu järgmistes failiformaatides: .pdf, .zip.

5. Praktikum 5 - Krüpteerimine

Kodune ülesanne

Koduse ülesande lahendamine annab ühe punkti. Lahenduse esitamiseks on aega üks nädal, s.t selle päeva lõpuks, mil on järgmine praktikum. Küsimustele vastuste leidmiseks võib vaja minna lisamaterjalide, mille leiate allpool olevatest viidetest.

Süsteemiketta krüpteerimine Windowsis

Vahel on terve operatsioonisüsteem liiga hajusalt privaatseid andmeid täis või on risk, et süsteemikettale jäävad jäljed privaatsetest andmetest. Sel juhul tuleks krüpteerida terve operatsioonisüsteem või terve ketas, kus see asub. Sellisel juhul tuleb enne operatsioonisüsteemi käivitamist sisestada parool.

Käesoleva ülesande lahendamiseks võite kasutada VeraCrypti või uute Windowsite'ga kaasas olevat Bitlocker tarkvara. Seega järgnevalt on kaks erinevat juhendit, kuid peaksite valima neist ühe ... Bitlocker või VeraCrupt. Tarkvara valikust sõltub millist Virtuaalmasinat peaksid kasutama ja millisele lisaküsimusele vastama.

Koduse töö jaoks vajaminevat virutaalmasinat küsige praktikumijuhendaja käest enne praktikumist lahkumist!

VeraCrypt

Selles ülesandes läheb vaja Windows 10 virtuaalmasinat, milleks sobib Praktikum4 paigaldatud ja lahti murtud Windows 10.

Süsteemiketta krüpteerimise juures VeraCrypt tarkvaraga on oluline samm Rescue Disc loomine. See sisaldab boot loaderit (juhuks, kui arvuti ei peaks enam käivituma) ning konteineri päist (vajalik kui päis on kahjustunud ning haakimine (mountimine) ebaõnnestub ka õige parooli korral).

1. Otsige informatsiooni selle kohta, kuidas VeraCrypt võimaldab süsteemiketast krüpteerida
   1. Üks allikas on näiteks siin: https://www.veracrypt.fr/en/System%20Encryption.html
2. NB! Pärast Rescue Disk loomist tuleb see kindlasti kopeerida väljapoole virtuaalmasinat!
3. Peale krüpteerimise õnnestumist tehakse restart ning järgmisel käivitumisel küsitakse parooli. Proovi alguses vale parooli, ning seejärel kasuta õiget parooli.
4. Kodutöö arvestus (1 osa): Tee ekraanivaade virtuaalmasina olukorrast kus VeraCrypt aknas on kuvatud, et süsteemiketas on krüpteeritud.
   1. Ekraanivaatelt peab olema näha, et on kasutatud VirtualBox'i
   2. Ekraanivaatelt peaks olema ilmne, et see on teie poolt tehtud. Näiteks muutke ära virtuaalmasina nimi nii, et kasutate selles oma perekonnanime.
5. Kodutöö arvestus (2. osa) Laadige ülesande vastusena üles RescueDisc.iso fail.
6. Kodutöö arvestus (3. osa) vastake küsimusele: Kas Rescue Disk loomine VeraCrypt tarkvaraga vähendab krüpteeritud ketta turvalisust? Ehk teisisõnu: Kas pahalane, saades ligipääsu teie loodud Rescue Disk kettale, saab kergemini ligipääsu ka teie krüpteeritud andmetele?

Bitlocker

• Soovitame kasutada praktikumis 4 loodud Windows10 virtuaalmasinat.
• Alternatiivina saab alla laadida ametliku Windows'i testimiseks mõeldud virtuaalmasina.

1. Lubage Bitlocker süsteemiketta krüpteering virtuaalmasina (peate eemaldama nõude TPM mooduli kohta Local Group Policy Editor-i abil)
2. Aktiveeriga Bitlocker Win10 virtuaalmasina süsteemikettal (valige õiged seaded ise)
3. Salvestage Bitlocker Recovery key arvutisse
4. Laadige üles ekraanipilt win 10 masinast nii, et oleks näha et süsteemiketas on bitlockeri poolt krüpteeritud ja masin sisaldab teie nime.
5. Laadige üles Bitlocker Recovery Key fail
6. vastake küsimusele: Kas Bitlocker Recovery key loomine Bitlocker tarkvaraga vähendab krüpteeritud ketta turvalisust? Ehk teisisõnu: Kas pahalane, saades ligipääsu teie loodud Bitlocker Recovery key failile, saab kergemini ligipääsu ka teie krüpteeritud andmetele?

Koduse ülesande lahendus tuleks esitada aine kodulehelt. Lahendusi võtame vastu järgmistes failiformaatides: .pdf, .zip.

20. Kodune ülesanne 5

Lisamaterjalid

• IsTrueCryptAuditedYet? Yes!
• VeraCrypt Security Audit
• Pilveruum ja krüptitud failid
• Bitlocker (FAQ)
• Kas mu arvuti võimaldab terve ketta krüptimist?