Institute of Computer Science
  1. Courses
  2. 2023/24 spring
  3. Information Security (MTAT.07.028)
ET
Log in

Information Security 2023/24 spring

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Terminoloogia
  • Eksam
  • Viited

1. Praktikum: privaatsuse ja konfidentisaalsuse tagamine läbi krüpteerimise

Sisukord

  • Praktikumi korraldus
  • Ettevalmistus
    • Juhend virtuaalmasina käivitamiseks
  • Taastamine ja turvaline kustutamine
    • Ülesanne ja lahenduse esitamine (1p)
  • Foto metaandmete otsimine ja eemaldamine
    • Lahenduse esitamine (2p)
  • Windows Encrypting File System
  • Zip faili krüpteerimine
    • Lahenduse esitamine (2p)
  • Bitlockeri tutvustus
  • VeraCrypt
    • VeraCrypti abil krüpteeritud konteiner
      • Lahenduse esitamine (2p)
    • VeraCrypti abil krüpteeritud USB pulk
    • VeraCrypti eelkäija TrueCrypt
  • Pilvteenuses olevate failide krüpteerimine
  • Praktikumi lõpetamine
  • Lisamaterjalid
  • Tagasiside ankeet

Teil on nelja praktilise ülesande sooritamiseks kolm järgnevalt kirjeldatud võimalust.

  1. Ülesandeid saate lahendada Delta õppehoone arvutiklassis. Arvutiklassi arvutites on ette valmistatud virtuaalne töökeskkond (virtuaalmasin) kuhu on vajalik tarkvara juba paigaldatud.
  2. Teil on võimalik ülesandeid lahendada enda arvutis kui paigaldate ise vajaliku tarkvara (eelduseks on Windowsi operatsioonisüsteemi kasutamine). Kõik peaks toimima Windowsi operatsioonisüsteemiga arvutites ja seega Windowsi arvutiga peaksite saama kõik ülesanded läbi teha. Vajamineva tarkvara leiate esimese praktikumi materjalidest (iga ülesande juures on kirjas, mis tarkvara me kasutame ja seal peaksid olema ka lingid vastava tarkvara allalaadimiseks). Mõnda ülesannet võite saada lahendada ka muude operatsioonisüsteemidega, kuid selle jaoks juhendeid ei ole (me eeldame, et tudengid sooritavad ülesandeid arvutiklassis). NB! Me eeldame, et tudengid kasutavad ülesannete lahendamiseks meie poolt loodud virtuaalmasinat kas siis enda arvutis või siis arvutiklassis. Juhul kui valite teise võimaluse ning ei kasuta virtuaalmasinat, siis ei saa me teid tekkivate tehniliste probleemidega aidata (sellisel juhul soovitame nõu küsida Moodle foorumist).
  3. Eelmised kaks võimalust on oluliselt lihtsamad, aga alternatiivina pakume võimalust praktikumiülesannete lahendamiseks kasutada virtuaalmasinat (parooli leiate Moodle foorumi praktikumiteema esimesest postitusest), mille sees on kõik vajalik tarkvara juba olemas. Seda virtuaalmasinat saate kasutada enda arvutis, kuid paigaldamiseks on vaja ~42GB vaba ruumi. Sellest 21GB kulub allalaetava faili jaoks, mille võib keskkonna lahtipakkimise ajaks salvestada ka välisele salvestusseadmele ja pärast eemaldada. Virtuaalmasina allalaadimiseks on vaja kiiret ja ilma mahupiiranguta internetiühendust. Virtuaalmasina kasutamiseks läheb teil vaja Oracle VirtualBox tarkvara. Kindlasti tuleks samalt lehelt paigaldada ka Oracle VM VirtualBox Extension Pack. Täpsemad juhised virtuaalmasina kävitamise kohta leiate allpool olevatest praktikumimaterjalidest.

Ettevalmistus - virtuaalmasina käivitamine

Virtuaalmasin on virtuaalne arvuti, milles jookseb virtuaalne operatsioonsüsteem. Näiteks saate enda Windowsi arvutis panna tööle virtualiseerimistarkvara ning selle abil kasutada arvuti olemasolevat riistavara virtuaalse arvuti loomiseks. Sellele virtuaalsele arvutile saab paigaldada sobiliku operatsioonisüsteemi, näiteks spetsiifilise Windowsi versiooni, Androidi versiooni, Linuxi distributsiooni või siis näiteks macOS.

Virtuaalmasina abil saab katsetada erinevaid tarkvarasid ilma päris operatsioonissüsteemi ning sellega ühendatud salvestusseadmeid ohustamata (juhul kui virtuaalmasin õigesti isoleerida). Me kasutame praktikumi jaoks virtuaalmasinat, sest klassiarvutites pole tudengitel administraatori õiguseid ning sellisel juhul ei pea tudengid vajaminevat tarkvara enda arvutisse hakkama paigaldama.

Virtuaalmasina kasutamiseks on vaja keskmisest võimsamat arvutit, kuna virtuaalne operatsioonisüsteem peab jagama mälu (RAM-i) ja protsessorit päris operatsioonisüsteemiga. Vaikimisi on antud virtuaalmasinale 5GB RAM-i, aga juhul kui teie arvutis on 8GB RAM-i, siis peaksite vastavat väärtust vähendama virtuaalmasinat importides, kuna muidu muutub teie arvuti liiga aeglaseks. Lisaks võib mõnikord tekkida probleeme VirtualBox-i kasutamisega juhul kui arvutil pole virtualiseerimise tehnoloogia aktiveeritud. Niisuguste probleemide lahendamiseks soovitame kõigepealt üles kirjutada kuvatav veateade. Seejärel tuleks seda veateadet googeldada. Juhul kui google abil ei õnnestunud probleemi tuvastada ja lahendada, siis tuleks veateade ja täpsem selgitus lisada Moodle foorumisse. Üldiselt jääb selliste olukordade lahendamine tudengi enda lahendada, aga mõningatel juhtudel saame kas meie või siis kaastudengid aidata. Niisuguste probleemide vältimiseks soovitame osaleda praktikumis, kuna sellisel juhul saate kasutada arvutiklassi arvutit.

Juhend virtuaalmasina importimiseks ja käivitamiseks

  1. Käivitage tarkvara "Oracle VirtualBox".
  1. Avage VirtualBoxi menüüst "File -> Preferences -> General -> Default Machine Folder". Seejärel vajutage paremalpool olevale noolekesele ning määrake "Other ..." nuppu kasutades see kaust, kuhu teie virtuaalmasin lahti pakitakse. Arvutiklassi arvutites peaksite selleks valima asukohaga "D:\infsec2024" (mõnes arvutiklassis on D asemel C). Seejärel vajutage märkige ära see kaust ning valige "Select Folder" ja siis "OK".
  2. Virtuaalmasina importimiseks valige menüüst: "File -> Import Appliance ... -> vajutage kollase kausta nupu peale ning otsige üles kaustast D:\infsec2024\ fail infsec-win10_2024k.ova ((mõnes arvutiklassis on D asemel C)). Vajutage "Open"ja "Next". Juhul kui vajutasite .ova faili peal topeltklõpsu, siis jätsite selle punkti vahele ja jõudsite otse neljanda punkti juurde.
  1. Kui olete .ova faili avanud, siis järgnevalt näete seadistuse akent. Seadistuse aknas peaksite muutma imporditava masina nime (lisage näiteks enda perekonnanimi olevasoleva nime lõppu), et vältida nimekonflikti. Nime muutmiseks tuleks teha "Name" välja kõrval oleval real topeltklõps ning seejärel nime täiendada. Jätkamiseks vajutage "Import".
  1. Nüüd kulub paar minutit, et virtuaalmasina importimine jõuaks lõpuni.
  1. Kui importimine on lõppenud, siis tekib "Oracle VirtualBox" akna vasakpoolsesse paneeli uus kirje, mille nimeks on infsec-win10_2024k-teienimi. Käivitage enda virtuaalmasin vajutades rohelist värvi nupule Start või tehes kirjel "infsec-win10-teienimi" topeltklõpsu.
  1. Nüüd avaneb must aken, mis nõuab parooli sisestamist. Kasutage selleks ainult klaviatuuri (juhend on järgmise punkti juures), hiirt ei lähe vaja enne kui töökeskkond (Windows) pole tööle läinud. Kui te kogemata vajutate virtuaalmasina aknas hiire nupu peale, siis hüppab ette allpool oleval pildil kuvatud aken, mis küsib kas tahate hiirt kinni püüda. Seda ärge kindlasti tehke, kuna mitmetel tudengitel on seejärel probleem hiire uuesti töölesaamisega. Seega kui näete vastavat akent, siis pange see lihtsalt kinni või vajutage Cancel.
  1. Virtuaalmasina süsteemiketas on VeraCrypti abil krüpteeritud, selle dekrüpteerimiseks sisestage parool, mille leiate Moodle foorumist. Seejärel vajutage kaks korda enterit, PIM väljale ei kirjuta me midagi.
  1. Virtuaalmasina sees on vajalik tarkvara juba olemas. Nüüd avage juba virtuaalmasinas brauser ning otsige üles infoturbe koduleht ja sealt praktikumimaterjalid.
  2. Probleemide ja segaduse vältimiseks paneme virtuaalmasina täisekraani režiimile. Selleks valime akna ülemises vasakus nurgas olevast menüüst "View -> Full-screen Mode". Pärast seda saate liikuda esimeste ülesannete juurde.

Andmete taastamine ja turvaline kustutamine

Enne kui läheme krüpteerimise juurde uurime, et miks krüpteerimine ja turvaline kustutamine võivad olla vajalikud. Selle jaoks uurime virtuaalmasinas olevat partistiooni "USB" ning üritame sellelt taasta varasemalt kustutatud faile. Rohkem infot andmete turvalise kustutamise ja taastamise kohta leiate lehelt: Varjatud andmed ja andmete varundamine.

Kõigepealt proovime kustutatud andmeid taastada ja seejärel andmed turvaliselt üle kirjutada. Andmete taastamise lihtsus näitab, et andmete turvaline kustutamine ja krüpteerimine on oluline, sest mõlemal juhul ei saa ründaja vastavatele andmetele juurdepääsu. Siiki ei pruugi ainult turvalisest kustutamisest piisata, sest op. süsteem võib failidest teha ajutisi koopiaid ning need võivad ka pärast originaalfaili turvalist kustutamist alles jääda. Seega on kõige kindlam lahendus kogu ketta krüpteerimine.

Esimese kahe ülesandena proovime kasutada tarkvarasid Recuva Free, Bleachbit. Recuva võimaldab andmeid taastada ja Bleachbit on loodud turvalise kustutamise jaoks. Esimese ülesande mõju on oluliselt suurem kui proovite andmete taastamist hiljem enda arvutis.

Harjutus Recuva tarkvaraga tutvumiseks

  • Käivita Recuva Free ja proovi seda kasutada.
    • Kasutada tarkvara Recuva Free, et taastada C: kettalt faile.
    • Oluline on valida Recuva kasutajaliideses "Enable deep scan", muidu te ei leia kõiki faile üles. Kui midagi läks valesti, siis pange programm kinni ja proovige uuesti.

Praktikumiülesanne ja lahenduse esitamine

Lahenda järgnev ülesanne. Taasta andmeid virtuaalselt salvestuseadmelt (partitsiooni nimi on "USB" ja see asub E: kettal). Ülesande iseseisva lahendamise lihtsustamiseks tegime õppevideo, mis selgitab tausta ning näitab kuidas Recuva tarkvara kasutada. NB! Õppevideo selgitab, kuidas tuleks tööriista kasutada, kuid ülesannet lahendades tuleb järgida siiski ülesande kirjeldust!

  • Vajalikud sammud:
    • Kasuta tarkvara Recuva Free ning taasta pildifail.
    • Vali failide taastamiseks õige ketas ning ära unusta märkimast Enable deep scan, kuna muidu te ei leia kõiki faile üles.
    • Mõelge selle peale, et kuhu peaks taastatud failid salvestama? (Vihje: mitte samale kettale, kuna see kirjutab ju osa ketta vabast ruumist üle.). Seega taastage mõlemad leitud faili näiteks C kettal asuvale desktopile.
    • Kirjutage pildi metaandmetesse enda perekonnanimi. Selleks tehke faili peal paremklõps ning valige Properties -> Details. Kirjutage väljale Author enda perekonnanimi.
    • Esita muudetud pildifail allpool olevasse vormi. Selleks, et lahendust esitada peate courses.cs.ut.ee lehele enda TÜ kasutajaga sisse logima.

Seda ülesannet saab kirjeldatud kujul lahendada ainult virtuaalmasinas. Kodutöös on kirjeldatud ka üks alternatiiv kui te ei saa virtuaalmasinat kasutada. Info andmete taastamise kohta leiate vastava teema materjalide hulgast.

You must be logged in and registered to the course in order to submit solutions.

Turvaline kustutamine

Kui kodutöö lahendus on kodulehe kaudu esitatud, siis katsetage turvalise kustutamise tarkvara. Kustutage turvaliselt ehk kirjutage üle taastatud pdf fail või mõni muu teie enda poole valitud fail. Jätke alles taastatud kassipilt, kuna seda läheb järgmises ülesandes vaja. Selle ülesande lahedamise kohta on samuti olemas õppevideo.

Ülesande eesmärgiks on tutvuda turvalise kustutamise tarkvaraga Bleachbit. See tarkvara on virtuaalmasinasse juba paigaldatud, aga unustasime paigaldamise ajal määrata ära selle, et failile paremklõpsu tehes kuvataks teile kohe turvalise kustutamise valik nii nagu tavalise kustutmise korral. Seega võite Bleachbit uuesti virtuaalmasinasse paigaldada, et saada ka mugavam see funktsionaalsus (paigaldamiseks vajalik .exe fail on Downloads kaustas).

Rääkisime loengus, et SSD seadmete korral ei ole teil garantiid, et turvaline kustutamine alati õnnestub ning seega tuleks SSD korral failide konfidentsiaalsuse tagamiseks kas need faili või siis terve süsteemiketas krüpteerida. Siiski vaatame, et kuidas Bleachbit abil faile turvaliselt kustutada, aga see lahendus on töökindlam sellisel juhul kui te kasutate HDD tüüpi salvestusseadet.

Failide turvaliseks kustutamiseks tuleb kõigepealt muuta Bleachbit seadistust. Avage Bleachbit (vajutage teavitusaknas Yes) ning vajutage avanenud programmi vasakus ülemises nurgas olevale pintsli ja kõvaketta pildiga nupule.

Seejärel valige Preferences ning märkige ära Overwrite contents of files to prevent recovery. Seejärel vajutage nupule Close.

Kõige lihtsam on faili turvaliselt kustutada tehes sellel parema klõpsu ning siis tekkinud menüüst valida "Shred with Bleachbit" (see valik on hetkel virtuaalmasinas aktiveerimata, loe ülevalpool olevat infot Bleachbit paigaldamise kohta). Kuna see funktsionaalsus pole hetkel aktiveeritud, siis kustutame faile läbi Bleachbit akna. Vajutage uuesti pintsli nupule ja seejärel valige "Shred files", mis annab teile võimaluse valida, et mis fail üle kirjutada.

Kui see saab tehtud, siis proovige turvaliselt kustutada ehk üle kirjutada kettal olev tühi ruum. Näiteks kustutage C kettal olev tühi ruum. Seda saab teha Bleachbit abil kui valida Bleachbit-i "File menüüst / pintsli tähisega nupu alt" valiku "Wipe Free Space".

Fotolt metaandmete otsimine ja eemaldamine

Tutvume tööriistaga exiftool, mis võimaldab detailselt kuvada fotoga seotud metaandmeid. Näiteks võivad metaandmetes kirjas olla GPS koordinaadid kus foto tehti ning mõnel juhul ka fotograafi nimi ning info kasutatud fotokaamera / telefoni kohta.

Exiftool on peamiselt mõeldud kasutamiseks käsurealt, kuid see võimaldab ka fotosid vastavasse aknasse liigutada ning seejärel kuvada nende kohta käivat metainfot. Exiftool tarkvara kasutamise ja praktikumiülesande lahendamise kohta saate vaadata õppevideot. NB! Õppevideo selgitab, kuidas tuleks tööriista kasutada, kuid ülesannet lahendades tuleb järgida siiski ülesande kirjeldust!

Kõigepealt proovige lugeda eelmises ülesandes taastatud pildifailiga seotud metainfot. Selleks leidke ja avage virtuaalmasina desktopilt kaust exiftool-12.20. Kui panete exiftooli käima, siis kuvatakse teile mõningase viivituse järel programmi kasutamise juhis, kuid see eeldab, et te oskate kasutada Windowsi käsurida. Juhul kui te ei taha käsurida kasutada, siis valige hiirega teile huvi pakkuv pildifail ning lohistage see exiftool(-k).exe peale.

Teile kuvatakse musta värvi aken ning pärast mõnesekundilist viivitust tekib sinna aknasse pildifaili metainfo. Katsetamiseks võite kasutada ka näidisfotosid kus on olemas ka GPS koordinaadid. Nüüd lahendage ära allpool olev ülesanne ja pärast seda saate huvi korral iseseisvalt uurida kas enda fotode või internetist leitud fotode metaandmeid.

Exiftool võimaldab eemaldada fotodelt kas valitud metaandmed või kõik metaandmed. Selle funktsionaalsuse jaoks on vaja kasutada käsurida, mida me sellel semestril teilt ei nõua, kuna me ei saa samas arvutiklassis praktikumi läbi viia. Juhul kui te oskate käsurida kasutada, siis fotolt kõigi metaandmete eemaldamiseks saab kasutada käsku exiftool.exe -all= fotonimi.jpg. Selleks, et faili sisu muuta tuleb programmi nime muuta nii, et selle nimeks oleks exiftool.exe. See jääb vabatahtlikuks lisaülesandeks.

Praktikumiülesanne ja lahenduse esitamine

Teie ülesandeks on võtta eelmises ülesandes taastatud foto ja eemaldada sellelt liigsed metaandmed. Seejärel muuda selle faili metaandmeid vastavalt siin ülesandes antud juhistele. Tehke faili peal paremklõps ning valige Properties -> Details. Kirjutage väljale Author enda infoturbe kursuse pseudonüüm (selle leiate selle sama lehe ülemisest paremast nurgast enda profiili alt, aga see eeldab, et te olete sisse loginud). Lisaks kirjutage väljale Title enda nimi. Kui see on valmis, siis vajutage Apply ja OK. See sama fail tulebki teil esitada lahenduseks allpool olevasse lahendusvormi. (2p)

You must be logged in and registered to the course in order to submit solutions.

Windows Encrypting File System - vabatahtlik lisaülesanne

See alampeatükk on informatiivne, kuna mitmete probleemide tõttu ei soovita me praktikas EFS kasutada enda failide konfidentsiaalsuse tagamiseks. Lugege tekstiosa läbi, aga praktiline pool jääb huvi korral lisaülesandeks. Järgmine kohustuslik ülesanne on seotud zip failide krüpteerimisega.

Encrypting File System (EFS) on operatsioonisüsteemis Windows kasutatava failisüsteemi NTFS omadus, mis võimaldab kasutajal lihtsa vaevaga üksikuid faile, kaustu või kõiki kettal olevaid faile krüpteerida. Süsteemiketast (C: ketas) EFS-iga siiski krüpteerida ei saa. EFS on saadaval alates versioonist Windows 2000, kuid Windowsi odavamates versioonides (näiteks Starter, Home Basic, Home Premium) selle tugi puudub.

EFS-i puhul genereeritakse iga faili jaoks eraldi võti, millega see fail krüpteeritakse. Genereeritud võti krüpteeritakse omakorda kasutaja parooliga ning pannakse krüpteeritud failiga kaasa. Seega on krüpteeritud failide turvalisus otseselt seotud Windowsi kasutajakontol kasutatava parooli tugevusega.

Kuna EFS on tugevalt seotud konkreetse Windowsi kasutajakontoga, siis tasub seda kasutades kindlasti krüpteerimiseks kasutatud sertifikaat eksportida ja hoida seda turvalises kohas. Krüpteeritud failide taastamiseks läheb loomulikult vaja Windowsiga arvutit. EFS peaks olema virtuaalmasinates juba aktiveeritud.

EFS teenuse käivitamine (praktikumis jätke see samm vahele, see on virtuaalmasinas juba tehtud):

  1. käivita services.msc (run -> services.msc)
  2. otsi üles teenus: Encrypting File System (EFS)
  3. käivita EFS ja määra teenuse seadetes käivitus automaatseks

EFS kasutamine:

  1. vali fail või kaust mida on vaja krüpteerida
  2. vali "properties" -> "General" -> "Advanced" -> "Encrypt contents to secure data"
  3. tee sertifikaadist tagavarakoopia

EFS probleemid:

  1. kaitseb ainult üksikuid faile
  2. info võib lekkida failidest töö käigus tehtavate ajutiste koopiate ja metaandmete kaudu
  3. krüpteeritud faile on tülikas ühest arvutist teise tõsta ja siis dekrüpteerida
  4. krüpteeritud failide turvalisus sõltub Windowsi kasutajakonto parooli tugevusest
  5. kui Windowsi kasutajakonto parool ära muuta, siis võivad krüpteeritud andmed kaduma minna

Nende probleemide tõttu me EFS ülesannet praktikumis kohustuslikuks ei tee. Juhul kui teil jääb aega, siis saate seda iseseisvalt proovida. Meie soovitame selle asemel Windowsis kasutada Bitlockerit või VeraCrypti.

Zip failide krüpteerimine

Üks kõige lihtsamaid viise failid krüpteerimiseks on need pakkida .zip faili ning seejärel vastav fail krüpteerida. Niisugune lahendus on mugav, kuna vaja on meeles pidada ainult parooli. Samas on leitud erinevatest zip faile krüpteerida võimaldavatest programmidest mitmeid nõrkusi, mistõttu pole zip faili abil krüpteerimine kõrge konfidentisaalsustasemega failide jaoks kõige optimaalsem lahendus. Madalama konfidentsiaalsustasemega failide kaitsmiseks on see aga küllaltki mugav.

Me kasutame zip faili loomiseks ja krüpteerimiseks programmi 7-Zip, mis on tasuta ja avatud lähtekoodiga rakendus.

7-Zip abil failide krüpteerimiseks tuleb luua zip arhiiv ning lisada krüpteerimise jaoks vajalik parool. Arhiivi saate luua tehes vastaval faili või kataloogil paremklõpsu nii nagu seda on kuvatud allpool oleval ekraanitõmmisel. 7-Zip kasutamisel on oluline see, et vaikimisi kasutatakse zip failide krüpteerimiseks ebaturvalist valikut ZipCrypto, mis ühildub teiste tarkvaradega ning võimaldab krüpteeritud zip faile mugavalt dekrüpteerida. Turvalisuse seisukohast tuleks kindlasti kasutada valikut AES-256, aga sellisel juhul peab faili dekrüpteerimiseks kasutama sama tarkvara.

Seejärel tuleb valida arhiivi tüübiks zip ning sisestada krüpteerimiseks vajalik parool. Meenutage loengust, et parooli eesmärk on kaitsta krüptovõtit ning seega sõltub krüpteerimise tugevus otseselt parooli keerukusest.

Praktikumiülesanne ja lahenduse esitamine

Koosta 7-Zip abil krüpteeritud .zip fail ja esita see ülesande lahenduseks. Faili loomisel tuleb kindlasti järgida seatud nõudeid, sest lahenduste kontrollimine toimub automaatselt. (1p)

  • Zip faili sees peab olema üks tekstifail (.txt formaadis), mille nimeks on teie perekonnanimi, näiteks Krips.txt. Tekstifaili esimesel real peab olema teie pseudonüüm, mille leiate enda profiili alt, mis asub selle lehe ülemises parempooleses nurgas.
  • Seetõttu peab Zip faili sisu olema väike (vähem kui 500 kB)
  • Parooliks peab olema "0123456789" (kirjutatud ilma jutumärkideta). Kui fail ei avane parooliga 0123456789, siis on tulemuseks automaatselt 0 punkti.
You must be logged in and registered to the course in order to submit solutions.

Tarkvara Bitlocker

Bitlocker on samuti Windowsi-spetsiifiline tarkvara, mis on mõeldud terve ketta (ka süsteemiketta) krüpteerimiseks. Kahjuks on ka Bitlocker saadaval ainult "kõvematele" Windowsi versioonidele (Enterprise, Ultimate, ja serveri versioonid) ning lihtsamatele tavakasutaja versioonidele seda saadaval pole. Seetõttu pole Bitlocker tavakasutajale alati optimaalne lahendus ning seega keskendume antud praktikumis tarkvarale VeraCrypt. Kui te tahate iseseisvalt hakata Bitlockerit kasutama, siis leiate juhendi siit: https://uit.stanford.edu/service/encryption/wholedisk/bitlocker

Tarkvara VeraCrypt

VeraCrypt on vabavaraline tarkvara, mis võimaldab luua krüpteeritud kaustu ja ka terveid andmekandjaid (USB mälupulk, kõvaketas) ning pakub võimalust andmete krüpteerimiseks nende kasutamise ajal. Nagu ka teised siin mainitud lahendused, kasutab VeraCrypt andmete kaitsmiseks sümmeetrilist krüptograafiat. VeraCrypti eeliseks on avatud lähtekood (st läbipaistvus) ning et see on toetatud kõigil enamlevinud platvormidel: Windows, Linux, Mac OS X. Tänu sellele on VeraCryptiga krüpteeritud faile erinevate arvutite ja platvormide vahel lihtne jagada.

VeraCrypt töötab küll kõikides levinud operatsioonisüsteemides, aga sellele on ka alternatiive. Uuemates Windowsites (Professional variantides) on krüpteerimistugi failisüsteemi sisse ehitatud: Encrypting File System (EFS) ning terve ketta krüpteerimiseks on olemas Bitlocker. Uuemas Mac OS X-is on kõvaketta krüpteerimiseks FileVault, mis tuleb operatsioonisüsteemiga kaasa. Linuxis on levinud näiteks LUKS ja DM-crypt.

VeraCrypti paigaldamine

VeraCrypt saab paigaldada järgevalt veebilehelt: https://www.veracrypt.fr/. Virtuaalmasinates on VeraCrypt juba paigaldatud ning seega jätke esimesed kolm punkti vahele kui kasutate virtuaalmasinat. Sellisel juhul liikuge edasi konteinerfaili loomist kirjeldava alamosa juurde.

Käivitage allalaetud fail ja

  1. nõustuge pakutud litsentsige ja vajutage “Accept”
  2. vajutage “Continue”
  3. vajadusel muutke installatsiooni asukohta ja vajutage “Install”
  4. lõpetage installeerimine ja avage programm VeraCrypt

Konteinerfaili kasutamine krüpteeritud andmete kaitsmiseks

Kõige lihtsam viis väikest kogust salajasi andmeid kaitsta on need panna kokku ühte krüpteeritud faili (konteinerisse). See võimaldab vajadusel krüpteeritud andmeid hõlpsasti varundada ning näiteks arvuti vahetusel uude arvutisse üle viia. Piisavalt tugeva parooli korral ei juhtu midagi kui ka krüpteeritud fail lekib või kaotsi läheb, sest ilma paroolita paistab see lihtsalt juhusliku bitijadana.

Kui tahate kõigepealt vaadata, et kuidas VeraCrypti kasutamine välja näeb, siis avage meie poolt tehtud õppevideo. Selles videos näitame kuidas luua VeraCrypti konteinerit. NB! Õppevideo selgitab, kuidas tuleks tööriista kasutada, kuid ülesannet lahendades tuleb järgida siiski ülesande kirjeldust!

Konteineri loomine:

  1. Vajuta “Create Volume”
  2. Vali “Create an encrypted file container”
  3. Vali “Standard VeraCrypt volume”
  4. Vajuta “Select File” ning salvesta failina konteiner.hc ja vajuta "Next". VeraCrypt kasutab faililaiendina laiendit .hc, aga selle asemel võib kasutada ka mõnda levinumat laiendit.
  5. Valjuta “Next”
  6. Suuruseks määrame 10 MB
  7. Määrake parool ja jätke see meelde. Mida keerulisem parool, seda parem, aga praktikumi jaoks võib kasutada ka midagi lihtsat (sel juhul saate hoiatuse, mida on võimalik ignoreerida)
  8. Nüüd genereeritakse krüpteerimisvõtme jaoks juhuslikkust ning sellele saate te kaasa aidata näiteks hiire liigutamisega. Kuna praegu pole juhuslikkuse genereerimise osa eriti oluline, siis võite selle vahele jätta ja vajutada nupule "Format". Nüüd saate vajutada "Exit", et jõuda tagasi VeraCrypti peamise akna juurde.

Konteineri kasutamine:

  1. Vajuta “Select File” ning sirvi fail konteiner.hc
  2. Vali mingi ketas, näiteks Z
  3. Vajuta “Mount”
  4. Proovi alguses vale parooli, seejärel kasuta õiget parooli
  5. Tee varem valitud kettal parem klõps ning vali “Open”
  6. Kopeeri kettale mõni fail (Z:\)
  7. Sulge ketta aken
  8. VeraCrypt aknas vajuta “Dismount”
  9. Korda samme 1-5 veendumaks, et kettal on kopeeritud fail olemas. Seejärel ära unusta teha samme 7-8

Praktikumiülesanne: VeraCrypti kodutöö lahendamine

Koosta VeraCrypti abil allpool olevatele nõuetele vastav krüpteeritud konteiner ja esita see ülesande lahenduseks. Konteineri loomisel tuleb kindlasti järgida seatud nõudeid, sest lahenduste kontrollimine toimub automaatselt. Juhised VeraCrypti paigaldamiseks ja kasutamiseks leiate esimese praktikumi materjalidest.

  • Konteiner peab olema väike (500 kB)
  • Konteineri parooliks peab olema "0123456789" (kirjutatud ilma jutumärkideta). Kui konteiner ei avane parooliga 0123456789, siis on tulemuseks automaatselt 0 punkti.
  • Konteineri sees peab olema üks tekstifail (.txt formaadis), mille nimeks on teie perekonnanimi, näiteks Krips.txt. Tekstifaili esimesel real peab olema teie pseudonüüm, mille leiate enda profiili alt, mis asub selle lehe ülemises parempooleses nurgas.

Lahendus tuleb esitada allpool oleva esitusvormi kaudu. Lahenduse esitamiseks peate olema lehele TÜ kasutajaga sisse loginud. Kindlasti kontrollige, et esitataval konteineril on ülesandes nõutud parool.

You must be logged in and registered to the course in order to submit solutions.

Vabatahtlik lisaülesanne: USB mälupulga krüpteerimine VeraCrypti abil

Üks võimalus andmeid turvaliselt transportida on luua krüpteeritud konteiner nii nagu eelmises punktis kirjeldatud ja siis seda USB mälupulgal kaasas kanda. VeraCrypt võimaldab aga ka terve mälupulga krüpteerida.

Tavaliselt koosneb modifitseerimata mälupulk ühest partitsioonist (loogilisest ketta osast), aga vajadusel saab partitsioone lisada või formaatida. Terve partitsiooni krüpteerimisel formaaditakse vastav partitsioon, mille käigus kustutatakse partitsioonil olevad andmed. Seega, selleks, et tervet USB mälupulka krüpteerida, peaks kõigepealt mälupulgal olevad andmed teisele andmekandjale dubleerima, et vältida nende kustutamist. VeraCrypt pakub ka võimalus faile kohapeal krüpteerida, aga see on riskantne ning kui krüpteerimise ajal midagi valesti läheb, siis jääte vastavatest failidest ilma.

  1. Vajuta “Create Volume”
  2. Vajuta “Encrypt a non-system partition/drive”
  3. Vajuta “Standard VeraCrypt volume”
  4. Valige partitsioon, mida te tahate krüpteerida. Selleks valige “Select Device” ja valige vastav partitsioon. Hoiatus: valitud partitsioonil olevad andmed võidakse kustutatakse formaatimise käigus (sõltuvalt valitud meetodist). USB pulga saab jagada mitmeks partitsiooniks nii, et üks partitsioon on krüpteeritud. Ka partitsioonide lisamisel kustutatakse mälupulgal olevad andmed. Praktikumis valige krüpteerimiseks partitsioon, mille nimeks on "USB".
  5. Vajutage “Next” ja “Next”
  6. Sisestage vähemalt 20 kohaline parool või looge võtmefail. Võtmefaili luues peab seda mälupulgast eraldi hoidma, kaitsma võõraste eest ja valvama, et see kaduma ei läheks. Kui vastavalt kas parool või võtmefail läheb kaduma, siis ei ole võimalik krüpteeritud andmeid enam taastada.
  7. Liigutage juhuslikult hiirt, et krüpteerimisvõtme juhuslikkust suurendada ja siis vajutage “Format” ja “Yes”. Nõustuge hoiatusega, et "USB" partitsiooni sisu kirjutatakse üle, sest sellele partitsioonil ei ole praegu midagi olulist.
  8. Vajutage “Exit”
  9. Krüpteeritud partitsiooni saate kasutada samamoodi nagu eelnevalt kirjeldati krüpteeritud konteineri kasutamist

Kõvaketta krüpteerimine VeraCrypti abil - seda ülesannet me praktikumis läbi ei tee

Sarnaselt USB mälupulgale võimaldab VeraCrypt krüpteerida ka terve kõvaketta või mõne selle partitsiooni, sealhulgas ka süsteemiketta (Windowsis C:\ ketas, Linuxis ja Mac OS X-is partitsioon, kus asub juurfailisüsteem /). Süsteemiketta krüpteerimisel küsib arvuti edaspidi käivitamisel parooli ja alles õige parooli sisestamisel hakkab operatsioonisüsteemi laadima.

Süsteemiketta krüpteerimiseks tuleb valida kõigepealt "Create volume" ning seejärel "Encrypt the system partition or entire drive" või valida menüüst System -> Encrypt System Partition/Drive.... Ülejäänud osa on analoogne eelpool kirjeldatud USB pulga või partitsiooni krüpteerimisega, aga rohkem tähelepanu tasub pöörata kuvatavatele hoiatustele. Süsteemiketta krüpteerimise käigus genereerib VeraCrypt igaks juhuks "System Rescue CD", kuhu kirjutatakse süsteemi krüpteerimiseks kasutatud krüpteerimisvõti, mis omakorda on kaitstud teie poolt seatud parooliga. Seda faili või CD-d on vaja juhul kui kõvaketta bootimise sektoriga tekivad probleemid.

Süsteemiketta krüpteerimine võib võtta väga kaua aega. On väga oluline, et krüpteerimise ajal ei saaks arvuti aku tühjaks. VeraCrypt krüpteerib süsteemiketast jooksvalt, mistõttu saate te arvutit süsteemiketta krüpteerimise vältel kasutada.

Teie virtuaalmasina kõvaketas on VeraCrypti abil krüpteeritud, aga kõigil tudengitel on sama parool. Kui teil on praktikumi lõpus veel vaba aega, siis muutke ära virtuaalmasina süsteemiketast kaitsev parool.

  1. VeraCrypti aknas valige ketas, mille nimeks on "System drive".
  2. Valige "System" menüüst "Change password..." ning vahetage parool ära.
  3. Uut "Rescure Disk" ei ole praegu vaja teha, sest kasutame virutaalmasinat ainult testimise eesmärgil.
  4. Kui tahate seda sama virtuaalmasinat ka järgmises praktikumis kasutada, siis jätke uus parool meelde.

Veracrypti eelkäija: Truecrypt

TrueCrypt loodi 2004 aastal ning seda peeti üheks kõige levinumaks krüpteerimistarkvaraks kuni 2014 aastani. TrueCrypti eelisteks olid vaba lähtekood, mugav kasutjaliides, tugi enamlevinud operatsioonisüsteemidele ning samuti ka see, et tegu oli tasuta tarkvaraga.

Pärast TrueCrypti arendamise lõppemist loodi erinevate arendajate poolt sama lähtekoodi põhjal mitmeid projekte, mis üritasid TrueCryptile sarnanevat tarkvara elus hoida. Nendest projektidest on kõige elujõulisemaks osutnud VeraCrypt. VeraCrypti peamiseks arendajaks on prantslasest konsultant Mounir Idrassi. Kuna VeraCrypti arendatakse uue meeskonna poolt, siis pole see veel sama usaldusväärne kui TrueCrypt. Samuti pole keegi teinud VeraCrypti lähtekoodile turvaauditit, samas kui TrueCrypti turvaauditist selgus, et TrueCrypt ei sisalda olulisi turvaauke ja ei sisalda tagauksi.

Veracrypt on edasiarendus Truecrypt viimasest versioonist 7.1a ning seal on parandatud ka vead, mis hiljuti Truecrypt tarkvarast leitud on. VeraCrypt kasutajaliides on Truecryptile väga sarnane.

TrueCryptiga seotud probleemid ja küsimused

TrueCrypti peetakse usaldusväärseks tarkvaraks, kuid siiski võis mõnel kasutajal tekkida küsimusi seoses selle turvalisusega. Seetõttu alustati 2013 aastal krüptograafi Matthew Green'i poolt kampaania TrueCrypti lähtekoodi auditeerimiseks. Audit koosnes kahest osast, esimeses etapis auditeeriti programmi lähtekoodi ja otsiti lihtsamaid vigu ja teises etapis auditeeriti krüptot puudutavat osa. Auditi tulemusena ei tuvastatud TrueCrypt lähtekoodis olulisi probleeme. Siiski võib tekkida mõningaid küsimusi seoses TrueCrypti arendamise lõpetamisega.

TrueCryptiga seotud küsimused:

  • 2014. aasta maikuus teatasid TrueCrypt'i arendajad ootamatult, et ei kavatse enam seda tarkvara edasi arendada ja ei soovita seda enam kasutada, sest see võib sisaldada turvaauke. Ei ole teada, mis on sellise avalduse tegelik põhjus. TrueCrypti veebileht on asendatud juhistega migreerumaks alternatiivsele tarkvarale. Eelpool mainitud auditi ei tuvastanud TrueCrypt'i lähtekoodist turvaauke ning samuti ei leitud tagauksi ning seega võib endiselt TrueCrypt'i kasutada.
  • Ei ole teada, kes olid TrueCrypti arendajad ja seega ei ole teada, mis oli nende motivatsioon niisuguse tarkvara loomiseks.
  • Raske on kontrollida kas TrueCrypti paigaldamiseks levitatav binaar põhineb avalikustatud lähtekoodil.
  • TrueCrypt käitub erinevalt operatsioonisüsteemidel Windows, Linux ja Mac OS X. (vaata lk 13)

TrueCrypti paigaldamine

Kuna auditeeriti TrueCrypt versiooni 7.1a, siis soovitamegi kasutada seda versiooni juhul kui VeraCrypt millegipärast ei sobi. Truecrypt kodulehel pakutakse ka uuemat versiooni (7.2), aga see võimaldab vaid andmeid dekrüpteerida, et üle minna mõnele teisele tarkvarale.

Kuna TrueCrypt arendus on ametlikult lõppenud, siis tuleb see alla laadida mitteametlikult veebisaidilt. Tegu on TrueCrypti auditit korraldanud meeskonna poolt loodud lehega, millelt leidub usaldusväärse TrueCrypt versiooni.

Pilvteenuses olevate failide krüpteerimine - vabatahtlik lisaülesanne

VeraCrypt failikonteiner on mugav viis andmete turvaliseks transportimiseks, aga see lahendus ei sobi hästi olukorda, kus soovitakse faile turvaliselt mitme arvuti vahel sünkroniseerida või varundada, kasutades selleks mõnda pilvteenust, näiteks Dropbox, Google Drive, iCloud. Probleem tekib sellest, et VeraCrypt falikonteiner on tegelikult üks fail, kus sees hoitakse krüpteeritult teisi faile. Kui nüüd selle konteineri sees ühte faili muuta, siis muutub terve konteiner ja see tuleb tervenesti uuesti pilvteenusesse üles laadida.

Cryptomator võimaldab krüpteerida pilvteenuses hoitavaid faile, kusjuures iga fail krüpteeritakse iseseisvalt mistõttu ühe faili muutmisel tuleb ainult see uuesti üles laadida (nagu ka krüpteerimata juhul). Failid krüpteeritakse enne pilvteenusesse laadimist, samuti toimub failide kasutamisel dekrüpteerimine kasutaja arvutis, seega pilvteenus failide sisu ei näe. Cryptomator toetab kõiki mainitud pilvteenuse pakkujaid (ja veel mõnda) ning töötab lisaks levinud operatsioonisüsteemidele veel ka nutiseadmetes (Android ja iOS).

Cryptomator

https://cryptomator.org/ on tasuta ja avatud lähtekoodiga krüpteerimistarkvara. Selle eesmärgiks on kaitsta väljavalitud kaustas olevaid faile, millele on võimalik juurdepääs tekitada ainult vastava parooli abil. Kui parool on sisestatud, siis kaust dekrüpteeritakse ning selle sisu muutub nähtavaks uue kettana. Kahjuks Cryptomator ei toimi praktikumi virutaalmasinas.

Cryptomatori kasutamiseks peab kasutaja valima parooli ja kausta, milles hoitakse krüpteeritud faile. Valitud kaust võiks siis olla see, mida pilvteenusesse sünkroniseeritakse (näiteks mõni Dropbox kausta alamkaust).


Krüpteeritud kausta 'Documents\top-secret' haakimine ketta Z: külge Windowsi op. süsteemis.

Üleval on krüpteeritud kaust ja all haagitud dekrüpteeritud kaust. Cryptomator krüpteerib ka failide nimesid.

Selleks, et Cryptomatori poolt kaitstud ketas lahti ühendada tuleb see lahti haakida ehk teha unmount. Pärast lahtihaakimist ei saa kõrvalised isikud (kellel on arvutile juurdepääs) vastaval kettal olevate failide sisu näha juhul kui neil pole parooli.

Praktikumi lõpetamine - virtuaalmasina sulgemine ja arvutiklassi arvutist väljalogimine

  • Kõigepealt sulgege virtuaalmasin. Te peaksite Start menüüst nägema, et virtuaalmasina kasutajakonto nimeks on Hacker. Virtuaalmasina sulgemiseks valige Start menüüst "Power" -> "Shut down".
  • Kindlasti tuleb eemaldada VirtualBoxi tarkvara abil praktikumi alguses imporditud virtuaalmasin. Selleks tehke selle virtuaalmasina nimel parem klõps ning valige tekkinud menüüst "Remove..." ja seejärel dialoogiaknast "Delete all files".
  • Kui te kasutatate virutaalmasinat arvutiklassi arvutis, siis tuleb teil kindlasti ennast arvutiklassi arvutist välja logida. Selle jaoks on teil desktopil eraldi "Logoff" nupp. Juhul kui jääte sisselogituks, siis takistab see teistel tudengitel selle arvuti kasutamist ning selle eest võime anda miinuspunkte.

Kasulikud lingid

  • Bitlocker
    • Overview by Microsoft: BitLocker
  • TrueCrypt ehk VeraCrypti eelkäija
    • Security Analysis of TrueCrypt 7.0a with an Attack on the Keyfile Algorithm (2011)
    • Security analysis of TrueCrypt by BSI (2015)
    • TrueCrypti auditeeritud versiooni binaarid
  • Cryptomator
    • Cryptomator Documentation
  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment