Что такое TrueCrypt я коротко описал в своей заметке "Шифрование данных - TrueCrypt"
Кратко опишу, как использовать TrueCrypt с аппаратным ключом eToken на Windows.
1. Для начала нужно поставить драйвера для вашего устройства. Я использую eTocken PRO. Скачиваем драйвера для eToken и устанавливаем их (надеюсь тут затруднений не будет). Кстати в архиве также есть дока по eToken в том числе и на русском языке!
2. Устанавливаем TrueCrypt если он у Вас еще не установлен. Скачать с офф.сайта TrueCrypt.
Опять же, надеюсь проблем с установкой возникнуть не должно.
3. Нужно Указать TrueCrypt, какую библиотеку использовать для работы с устройством PKCS#11.
Для этого запускаем TrueCrypt, заходим Настройки->Токены безопасности. Нажимаем "Автоопределение библиотеки". Если вдруг возникли проблемы и библиотека не была найдена, при этом вы уверены, что драйвера были установлены правильные, то можно указать ее вручную использовав кнопку "Библиотека..."
4. Дальше стандартно создаем том, когда доходим до задания пароля. Выставляем галочку возле "Ключ. файлы" и нажимаем на кнопку "Ключ. файлы..."
5. Нажимаем на кнопку "Токен-файлы..."
6. После чего Вас должны попросить ввести пароль для ключа и нажать "ОК"
7. Выбираем нужный ключ и нажимаем "ОК"
8. После чего вы должны увидеть, что добавлен ваш ключ и нажимаем "ОК"
9. После чего продолжаем стандартным образом создавать Том (Выбор ОС и разметка тома).
Примечание: Процедура монтирования немного отличается от стандартной.
Вы выбираете том, который хотите подсоединить. Нажимаете "Смонтировать" и в появившемся окне ставим галочку возле "Ключ. файлы" и нажимаем на кнопку "Ключ. файлы..." , а дальше точно также, как при создании тома (см. пункты 5-8)
Все :) !
Кратко опишу, как использовать TrueCrypt с аппаратным ключом eToken на Windows.
1. Для начала нужно поставить драйвера для вашего устройства. Я использую eTocken PRO. Скачиваем драйвера для eToken и устанавливаем их (надеюсь тут затруднений не будет). Кстати в архиве также есть дока по eToken в том числе и на русском языке!
2. Устанавливаем TrueCrypt если он у Вас еще не установлен. Скачать с офф.сайта TrueCrypt.
Опять же, надеюсь проблем с установкой возникнуть не должно.
3. Нужно Указать TrueCrypt, какую библиотеку использовать для работы с устройством PKCS#11.
Для этого запускаем TrueCrypt, заходим Настройки->Токены безопасности. Нажимаем "Автоопределение библиотеки". Если вдруг возникли проблемы и библиотека не была найдена, при этом вы уверены, что драйвера были установлены правильные, то можно указать ее вручную использовав кнопку "Библиотека..."
9. После чего продолжаем стандартным образом создавать Том (Выбор ОС и разметка тома).
Примечание: Процедура монтирования немного отличается от стандартной.
Вы выбираете том, который хотите подсоединить. Нажимаете "Смонтировать" и в появившемся окне ставим галочку возле "Ключ. файлы" и нажимаем на кнопку "Ключ. файлы..." , а дальше точно также, как при создании тома (см. пункты 5-8)
Все :) !
А вот эти токены для чего использовать?!
ОтветитьУдалитьИ какая разница, указывать ли на файл ключа или использовать ключ с токеном?!
Спасибо
Разница в том что:
ОтветитьУдалить1. Метод хранения. Токен находится только у Вас + еще один в надежном месте для подстраховки если сервис жизненоважный. Получить доступ к зашифрованному контейнеру без токена не получится.
Вы вряд ли заметите, что у Вас скопировали ключевой файл и возможно криптованный контейнер, а вот пропажу ключа думаю заметите...
2. Способ доступа. При использовании токена TrueCrypt обращается напрямую к токену и и получает ключ только после ввода правильного пароля. Т.е. данный вариант считается более безопасным, чем прямое обращение к ключу.
Хотя абсолютно безопасного ничего нет...
P.S. я не эксперт по безопасности, поэтому могут быть некоторые неточности.
Спасибо за объяснения. Все понятно.
ОтветитьУдалитьИнтересно а можно ли подобное решение но только rutoken + GELI... так, мысли вслух, никогда не проверял и не копал
ОтветитьУдалитьВсе это справеливо и для RUTOKEN!
ОтветитьУдалитьА возможно ли использовать токен для монтирования системных разделов? Т.е. чтобы не пароль вводить при загрузке ОС а подсунуть токен (+другой пароль)
ОтветитьУдалитьУже много времени прошло с момента публикации.TrueCrypt как-то странно закончил свою жизнь.
ОтветитьУдалитьЕсли у кого-то есть ещё интерес к подобным решениям, то рекомендую глянуть в сторону VeraCrypt. Это фактически форк, который продолжает развиваться. Исходники его доступны.
Также есть у них же проект VeraCrypt-DCS для EFI Windows encryption. Если что не тестировал, не проверял.