TrueCrypt - Veloce Domanda

[Mtty]

Quote:

Originariamente inviato da wing11

Quindi Cryptloker potrebbe chiedere accesso ai file inseriti in un contenitore di truecrypt (se aperto). Pensavo che essendo on fly, anche se il contenitore fosse aperto, i file non richiamati fossero comunque al sicuro, mentre sarebbero esposti solo quelli utilizzati in ram.
Mi confermate?

si ma quel virus richiama tutti i file, quindi tc li decripta, il virus li cifra, e tc li ricripta...

discorso non diverso se usi un volume come file tc, ad esempio un file TC da 30gb... il virus ti cripta il file .tc e sei fregato...

invece se una partizione è cifrata, risulta come spazio non allocato finchè è chiusa, ma in quel caso non so se il virus vada a cifrare anche lo spazio non allocato

[wing11]

Cripta anche file chiusi di truecrypt! Anche senza estensione! Quindi come ci si protegge da cryptolocker e sue varianti. Non vorrei che x distrazione, mi fregano.

[il_nick]

Quote:

Originariamente inviato da wing11

Scusa ma essendo truecrypt on fly, non dovrebbe decriptare solo il file o la parte che serve, mentre il resto dovrebbe essere criptato e quindi al sicuro? Truecrypt non dovrebbe decriptare, almeno credo, tutta la partizione. Almeno così sembra di aver capito

Riporto testualmente dal manuale di TC:

Quote:

On-the-fly encryption means that data is automatically encrypted right before it is saved and decrypted right after it is loaded, without any user intervention.

Ora, bisognerebbe capire cosa intende esattamente per "crittati appena prima del salvataggio e decrittati appena dopo il caricamento", perché da quel che ne so io quando avviamo il sistema operativo il disco viene decrittato dopo la password di TC e ricrittato alla chiusura, ma se non è così mi correggano i più esperti. Se però è così, allora quando il sistema operativo è avviato è come avere un volume tc appena aperto, dopo aver messo la password i dati sono in chiaro in quel volume o in quel disco (del resto mi risulterebbe difficile capire come possa fare il sistema operativo a crittare e decrittare continuamente anche i suoi file di sistema che gli servono per funzionare e cui accede costantemente...).

Quanto al tipo di file che il virus cripta: sempre che io sappia, e a buon ragione come è facile intuire, il virus è mirato a tenere in pugno e stringere gli zebedei di uffici, aziende, studi di avvocati, fanatici delle foto ricordo, ecc... per cui il suo target sono file di tipo documento, immagine, eventualmente musica e filmati, ecc... Non penso che vada a crittografare volumi tc, e men che meno volumi senza estensione tc.

[Pancho Villa]

Quando tu inserisci la chiave all'avvio mica viene decrittato il disco! La chiave viene salvata in memoria, così tutti i file crittografati a cui il sistema deve accedere vengono decifrati in tempo reale. Ma riguardo quel virus è irrilevante avere un hd crittografato o meno
Ad esempio se cifri un file con winzip o EFS e lo salvi sul tuo hd protetto con truecrypt, ti serve la chiave di quell archivio o di efs per accedere a quel file, non basta quella di truecrypt!

[Mtty]

si ma il punto è che se il volume/file .tc è montato nel momento in cui ti becchi il virus, il virus vede la "partizione virtuale" e dentro tutto il contenuto del volume TC, e quindi apre i file e li cifra secondo la sua password... in fondo una volta aperto un volume TC è visto dal sistema operativo come una partizione qualsiasi...

a volume smontato invece potrebbe salvarsi tutto, se il virus cripta solo i singoli file e non le partizioni (dove magari dentro c'è un file .tc)

[il_nick]

Quote:

Originariamente inviato da Pancho Villa

Quando tu inserisci la chiave all'avvio mica viene decrittato il disco! La chiave viene salvata in memoria, così tutti i file crittografati a cui il sistema deve accedere vengono decifrati in tempo reale.

Quindi stai dicendo che parlando di un intero disco di sistema cifrato una volta avviato il sistema operativo esso costantemente fa l'operazione di decrittazione di ogni singolo file di sistema che gli serve per compiere qualsiasi operazione o task avviato e col minimo impatto sulle prestazioni (processore)?

Quote:

Originariamente inviato da Pancho Villa

Ma riguardo quel virus è irrilevante avere un hd crittografato o meno
Ad esempio se cifri un file con winzip o EFS e lo salvi sul tuo hd protetto con truecrypt, ti serve la chiave di quell archivio o di efs per accedere a quel file, non basta quella di truecrypt!

Questo mi pare ovvio, una chiave diversa per ogni archivio crittografato diverso... se il virus cripta anche un file con estensione .tc oppure uno spazio non allocato crittografato precedentemente con TC poi mi servirà anche l'ultima chiave usata per la criptazione...

Quote:

Originariamente inviato da Mtty

si ma il punto è che se il volume/file .tc è montato nel momento in cui ti becchi il virus, il virus vede la "partizione virtuale" e dentro tutto il contenuto del volume TC, e quindi apre i file e li cifra secondo la sua password... in fondo una volta aperto un volume TC è visto dal sistema operativo come una partizione qualsiasi...

a volume smontato invece potrebbe salvarsi tutto, se il virus cripta solo i singoli file e non le partizioni (dove magari dentro c'è un file .tc)

Appunto, è quel che stavo cercando di dire anche io.. inoltre come ho detto è più probabile che il virus cripti singoli file con le estensioni più usate per il target che ho menzionato..

[Pancho Villa]

Quote:

Originariamente inviato da il_nick

Quindi stai dicendo che parlando di un intero disco di sistema cifrato una volta avviato il sistema operativo esso costantemente fa l'operazione di decrittazione di ogni singolo file di sistema che gli serve per compiere qualsiasi operazione o task avviato e col minimo impatto sulle prestazioni (processore)?

Assolutamente

Quote:

Questo mi pare ovvio, una chiave diversa per ogni archivio crittografato diverso... se il virus cripta anche un file con estensione .tc oppure uno spazio non allocato crittografato precedentemente con TC poi mi servirà anche l'ultima chiave usata per la criptazione...

Eccerto, non cambia nulla che tu abbia crittografato quel file o meno, con la tua chiave, a quel punto sei fregato

Quote:

Appunto, è quel che stavo cercando di dire anche io.. inoltre come ho detto è più probabile che il virus cripti singoli file con le estensioni più usate per il target che ho menzionato..

Probabile

[geronimosheppard]

ho riletto tutto, ma non ho capito se tc è aggredibile dal virus o no

[Pancho Villa]

Quote:

Originariamente inviato da geronimosheppard

ho riletto tutto, ma non ho capito se tc è aggredibile dal virus o no

Assolutamente sì! Non c'entra nulla avere il disco crittografato o meno

[FrankAl]

Salve ragazzi, essendo abbastanza paranoico ed avendo già subito il furto di un laptop (era aziendale fortunatamente), stavo valutando la possibilità di cifrare l'intero disco del mio pc (win 8.1 pro). So di poter utilizzare il nativo bitlocker o truecrypt. Ma prima volevo un vostro parere. Soprattutto vista l'esperienza fatta con truecrypt, con il quale ho perso un contenitore criptato da 100 GB perché probabilmente corrotto.

Cosa mi consigliate? Preferirei una soluzione di sblocco del tipo password all'avvio del pc!

[Pancho Villa]

Bitlocker va benissimo, se non hai il chip TPM devi sbloccare le policy da gpedit.msc per attivare la crittografia senza il tpm con un codice di sblocco da 48 cifre, che chiaramente puoi anche salvare su una chiave usb da inserire al boot
Una volta che hai crittografato la partizione di sistema puoi crittografare tutte le altre comprese le memorie rimovibili, queste con una più pratica password

[FrankAl]

Quote:

Originariamente inviato da Pancho Villa

Bitlocker va benissimo, se non hai il chip TPM devi sbloccare le policy da gpedit.msc per attivare la crittografia senza il tpm con un codice di sblocco da 48 cifre, che chiaramente puoi anche salvare su una chiave usb da inserire al boot
Una volta che hai crittografato la partizione di sistema puoi crittografare tutte le altre comprese le memorie rimovibili, queste con una più pratica password

Ho il chip TPM. Avrei qualche dubbio però riguardande la perdita di dati. Cosa accade in caso di interruzione dell'energia elettrica e quindi di uno spegnimento improvviso del pc o nel caso di blocco del sistema operativo? La partizione si corrompe?

Altra domanda: sul mio portatile ho sostituito il disco originale con uno ssd. Cifrando l'ssd, in caso di guasto della m/b, sarei eventualmente in grado di recuperare i dati dopo la sostituzione della stessa?

[Pancho Villa]

Quote:

Originariamente inviato da FrankAl

Ho il chip TPM. Avrei qualche dubbio però riguardande la perdita di dati. Cosa accade in caso di interruzione dell'energia elettrica e quindi di uno spegnimento improvviso del pc o nel caso di blocco del sistema operativo? La partizione si corrompe?

Altra domanda: sul mio portatile ho sostituito il disco originale con uno ssd. Cifrando l'ssd, in caso di guasto della m/b, sarei eventualmente in grado di recuperare i dati dopo la sostituzione della stessa?

Non succede assolutamente nulla, puoi anche spegnere o mettere in standby il computer durante la crittografia, piuttosto in seguito salva un'immagine della partizione di avvio non crittografata per sicurezza

Per recuperare i dati basta un qualsiasi pc con windows da vista in poi e la chiave di sblocco

PS: Io la userei senza TPM... che rischia di dare più noie che altro in caso di cambio di componenti

[FrankAl]

Quote:

Originariamente inviato da Pancho Villa

Non succede assolutamente nulla, puoi anche spegnere o mettere in standby il computer durante la crittografia, piuttosto in seguito salva un'immagine della partizione di avvio non crittografata per sicurezza

Per recuperare i dati basta un qualsiasi pc con windows da vista in poi e la chiave di sblocco

PS: Io la userei senza TPM... che rischia di dare più noie che altro in caso di cambio di componenti

Intendo proprio questo. Cosa implica un cambio di mainboard e quindi di TPM?

[il_nick]

Scusate ma come si fa a capire se si ha un hardware equipaggiato con chip TPM?

[Pancho Villa]

Quote:

Originariamente inviato da FrankAl

Intendo proprio questo. Cosa implica un cambio di mainboard e quindi di TPM?

Non ti saprei dire di preciso, da quello che ho capito il tpm protegge contro gli attacchi di tipo 'evil maid', rilevando modifiche all'ambiente di boot e all hardware, in tal caso ti chiede la chiave di ripristino per entrare
Normalmente ti permette di scegliere altri metodi di blocco più semplici come un pin di pochi numeri
Senza tpm devi sempre inserire la chiave a 48 cifre, manualmente o via chiave usb

Quote:

Originariamente inviato da il_nick

Scusate ma come si fa a capire se si ha un hardware equipaggiato con chip TPM?

Se vai su crittografia bitlocker te lo dice se è presente o meno

[il_nick]

Da quello che lessi qualche anno fa il TPM è legato (o meglio ne è l'evoluzione o la prosecuzione) a questi termini: chip Fritz, Palladium, Trusted Computing... Ora, basta fare un pò di ricerche in rete (c'era anche un eloquente video su youtube) e si intuisce che i puristi del software libero e della libertà digitale in generale storcono il naso, me compreso, quando sentono parlare di "misure di sicurezza" (la sicurezza secondo qualcuno però, non generale) legate ad un hardware blindato, che non permette di fare determinate cose previo accesso bloccato. Specie se poi questo chip entra come standard obbligatorio su tutti i pc dotati di sistema operativo Microsoft. Utilizzo ed apprezzo questo sistema operativo per tanti aspetti, ma allo stesso tempo ne diffido e ne aggiro le politiche restrittive spesso sciocche e del tutto inefficaci di cui è composto. Il pc è mio e devo poter fare ciò che voglio, devo essere io a decidere per l'hardware, non l'hardware per me; devo poter installare componenti hardware e software (compresi altri sistemi operativi) a mio piacimento, devo poter crittografare sapendo che le chiavi di sblocco siano esclusivamente in mio possesso e non chissà in quale altro posto controllato da Microsoft col suo BitLocker, specie dopo lo stravagante ed inquietante messaggio che compare sul sito di TrueCrypt che recita di passare a BitLocker...

Quote:

Originariamente inviato da Pancho Villa

Se vai su crittografia bitlocker te lo dice se è presente o meno

Ok, se invece volessi comprare un hardware senza il TPM non posso saperlo prima di averlo acquistato suppongo, giusto? Se dovessi chiedere al commesso penso che mi chiederebbe se si tratta di una roba da mangiare..

[Pancho Villa]

Concordo sul fatto che questo tpm sia una questione quantomeno 'misteriosa'
Per me va benissimo la crittografia con bitlocker senza tpm

[FrankAl]

Quote:

Originariamente inviato da il_nick

Da quello che lessi qualche anno fa il TPM è legato (o meglio ne è l'evoluzione o la prosecuzione) a questi termini: chip Fritz, Palladium, Trusted Computing... Ora, basta fare un pò di ricerche in rete (c'era anche un eloquente video su youtube) e si intuisce che i puristi del software libero e della libertà digitale in generale storcono il naso, me compreso, quando sentono parlare di "misure di sicurezza" (la sicurezza secondo qualcuno però, non generale) legate ad un hardware blindato, che non permette di fare determinate cose previo accesso bloccato. Specie se poi questo chip entra come standard obbligatorio su tutti i pc dotati di sistema operativo Microsoft. Utilizzo ed apprezzo questo sistema operativo per tanti aspetti, ma allo stesso tempo ne diffido e ne aggiro le politiche restrittive spesso sciocche e del tutto inefficaci di cui è composto. Il pc è mio e devo poter fare ciò che voglio, devo essere io a decidere per l'hardware, non l'hardware per me; devo poter installare componenti hardware e software (compresi altri sistemi operativi) a mio piacimento, devo poter crittografare sapendo che le chiavi di sblocco siano esclusivamente in mio possesso e non chissà in quale altro posto controllato da Microsoft col suo BitLocker, specie dopo lo stravagante ed inquietante messaggio che compare sul sito di TrueCrypt che recita di passare a BitLocker...



Ok, se invece volessi comprare un hardware senza il TPM non posso saperlo prima di averlo acquistato suppongo, giusto? Se dovessi chiedere al commesso penso che mi chiederebbe se si tratta di una roba da mangiare..

Il tuo punto di vista è esatto. Io però ho necessità di proteggermi da un eventuale furto del laptop, non da nsa, microsoft ecc.. Se ho necessità particolari, uso truecrypt 7.1a per creare un contenitore cifrato a prova di super computer.

Il mio dubbio, come riferivo prima, riguarda un possibile guasto alla m/b con truecrypt attivo. Sostituendo la scheda madre e ricollegando il disco, sarei in gradi di accedere nuovamente ai dati?

[Pancho Villa]

Quote:

Originariamente inviato da FrankAl

Il tuo punto di vista è esatto. Io però ho necessità di proteggermi da un eventuale furto del laptop, non da nsa, microsoft ecc.. Se ho necessità particolari, uso truecrypt 7.1a per creare un contenitore cifrato a prova di super computer.

Il mio dubbio, come riferivo prima, riguarda un possibile guasto alla m/b con truecrypt attivo. Sostituendo la scheda madre e ricollegando il disco, sarei in gradi di accedere nuovamente ai dati?

Il cambio hardware è un problema solo se hai il tpm, anche se in realtà con il tpm in caso di modifiche all ambiente di preboot o all hw credo che cambi solamente la chiave di sblocco che ti viene richiesta all'avvio

Altrimenti il TPM impedisce un attacco brute Force al pin di avvio forzando un timeout per ogni tentativo o richiedendo la più complessa chiave a 128 bit