Alfonso Maruccia

TrueCrypt 7, cifratura accelerata

L'ultima versione del popolare software di codifica dei dispositivi di storage introduce succose novitÓ per gli utenti. Su tutte spicca l'utilizzo delle nuove istruzioni aggiuntive delle CPU Intel per velocizzare le operazioni su disco

Roma - Forse non si tratta di una release che passerà alla storia, ma l'ultima versione di TrueCrypt si fa comunque notare per alcune caratteristiche aggiuntive che aumentano il valore aggiunto del già molto popolare software di cifratura dei dati su disco fisso (e non solo). TrueCrypt ora "accelera" le operazioni grazie alle istruzioni aggiuntive dei processori Intel Core, facendo segnare prestazioni ancora superiori e comunque ben oltre il throughput disponibile sui moderni dischi fissi SATA.

L'accelerazione hardware implementata in TrueCrypt 7.0 riguarda l'algoritmo di cifratura AES e sfrutta le istruzioni speciali AES-NI introdotte da Intel nei processori Core i5 e i7. Abilitando la funzionalità con le giuste CPU a disposizione si ottengono incrementi prestazionali notevoli - da 287 MB/s a 2 GB al secondo stando ai test condotti da Heise Security. E a ogni modo sempre possibile utilizzare le operazioni di cifratura/decifratura al volo dei dati "vaniglia" senza accelerazione, e anche in questo caso le prestazioni restano su livelli molto alti e comunque lontane dal volume di dati che un disco fisso SATA è attualmente in grado di gestire.

L'utilizzo delle istruzioni AES-NI è la caratteristica più rilevante di TrueCrypt 7.0, ma non è certamente la sola: il tool è ora in grado di supportare la creazione di volumi compressi all'interno di dischi fissi che usano settori di dimensioni diverse dai tradizionali 512 byte - e la cosa risulterà certamente utile a chi ha acquistato HD Western Digital formattati con la tecnica nota come Advanced Format per l'ottimizzazione dello spazio disponibile all'utente finale.
E ancora TrueCrypt 7.0 supporta il "montaggio" automatico dei volumi compressi su supporti rimuovibili (es: pennette USB), utilizza le API proprie di Windows Vista (e prevedibilmente Windows 7) per la cifratura del file di ibernazione e dei "dump" della memoria durante i crash di sistema (in precedenza il tool sfruttava routine proprietarie modificando le funzionalità interne di Windows), rimuove il supporto volumi compressi sui venerandi ma sempre gettonati floppy disk e altro ancora.

TrueCrypt 7.0 è come sempre disponibile per il download su tutte e tre le principali piattaforme informatiche in circolazione (Windows 2000/XP/Vista/7, Linux e Mac) e offre tutti i vantaggi propri del software open source ovverosia la gratuità di utilizzo e la trasparenza e del codice sorgente, anche se la sua licenza resta diversa dalla GPL e non ancora approvata da OSI. E per chi si sentisse particolarmente generoso c'è sempre la possibilità di donare fondi al team di sviluppo tramite account PayPal - operazione che non richiede la registrazione obbligatoria al servizio.

Alfonso Maruccia
Notizie collegate
  • SicurezzaTrueCrypt 5.0 blinda tutto il disco rigidoLa nuova versione del celebre programma open source Ŕ in grado di cifrare l'intero hard disk, inclusa la partizione in cui risiede Windows, e di proporre la maschera di autenticazione prima dell'avvio dell'OS
  • TecnologiaCon TrueCrypt 6.0 Windows diventa invisibileLa nuova versione del celebre software di cifratura open source Ŕ ora in grado di far letteralmente sparire un intero sistema operativo, celandone l'esistenza a tutti coloro che non ne sono a conoscenza
  • AttualitàLa Festa del Piratadi Arturo Di Corinto - Hacktivisti, pirati, cittadini della rete: un flash mob per rivendicare il diritto a una cultura libera e ad una vita online non sottoposta al tecnocontrollo. A Roma, il 28 marzo
  • TecnologiaWD ottimizza la capacità degli HDDIl produttore ha messo a punto una tecnica che, a pari capacitÓ, permette di produrre hard disk che forniscono maggiore spazio utile per la memorizzazione dei file
  • TecnologiaVerbatim: i floppy sopravvivonoLo ha annunciato il maggiore produttore mondiale di dischetti. Le fabbriche continueranno a lavorare almeno fino a quando ci sarÓ una domanda consistente
63 Commenti alla Notizia TrueCrypt 7, cifratura accelerata
Ordina
  • Date un'occhiata qui:

    http://www.privacylover.com/encryption/analysis-is.../

    Roba da far rizzare i capelli, altro che sicurezza...
    non+autenticato
  • - Scritto da: Pino
    > Date un'occhiata qui:
    >
    > http://www.privacylover.com/encryption/analysis-is
    >
    > Roba da far rizzare i capelli, altro che
    > sicurezza...

    http://www.google.it/search?hl=it&q=%2Btruecrypt+%...=
    non+autenticato
  • avevo controllato un mesetto fa... e non c'era... ottimo, GRAZIE PI! Sorride
    non+autenticato
  • Ho avuto una discussione un po' di tempo fa in merito a Truecrypt con gente che lavora nel settore e ne capisce e mi spiegavano che, sì i sorgenti sono pubblici, ma il software non è classificabile come "Open Source" perché la sua licenza non è stata accettata dall'OSI.

    In effetti ho cercato qua e non c'è:
    http://www.opensource.org/licenses/alphabetical

    Inoltre ho trovato una notizia simile anche su wikipedia: http://en.wikipedia.org/wiki/TrueCrypt#Licensing

    Di mio lo uso da un po' e ne sono molto soddisfatto, ma la cosa mi lascia sempre un po' inquieto...
    non+autenticato
  • Come molti sapranno, l'unico modo concreto per bypassare la crittografia della partizione di sistema è installare un bel rootkit nell'mbr, cosa dalla quale nessun software di cifratura si può "difendere".

    Conoscete qualche software, rigorosamente open source, che per controllare l'hash dell'MBR?
    non+autenticato
  • Non è così semplice, in pratica te ne devi occupare a livello hardware usando tecniche di Trusted Computing.

    http://theinvisiblethings.blogspot.com/

    Qui trovi info interessanti. Il succo del discorso è che ci sono work in progress.
    non+autenticato
  • - Scritto da: Gaglia
    > Non è così semplice, in pratica te ne devi
    > occupare a livello hardware usando tecniche di
    > Trusted
    > Computing.
    >
    > http://theinvisiblethings.blogspot.com/
    >
    > Qui trovi info interessanti. Il succo del
    > discorso è che ci sono work in
    > progress.

    E' vero che in teoria un rootkit potrebbe influenzare anche il comportamento di un software che controlla l'MBR, ma senza essere paranoici, possibile che non esista un software ad hoc?

    Ricordo che rootkitrevealer faceva un controllo sull'mbr, ma è closed source.
    non+autenticato
  • Senza andare sul fantascientifico allora suppongo si possa dumpare l'mbr su file con dd (su linux) e poi controllarne l'hash. Non so di preciso, non ho mai provato.
    non+autenticato
  • Cioe?
    Non ho capito lo vorreste nel bootloader questo software o dove altro?

    - Scritto da: The Real Gordon
    > - Scritto da: Gaglia
    > > Non è così semplice, in pratica te ne devi
    > > occupare a livello hardware usando tecniche di
    > > Trusted
    > > Computing.
    > >
    > > http://theinvisiblethings.blogspot.com/
    > >
    > > Qui trovi info interessanti. Il succo del
    > > discorso è che ci sono work in
    > > progress.
    >
    > E' vero che in teoria un rootkit potrebbe
    > influenzare anche il comportamento di un software
    > che controlla l'MBR, ma senza essere paranoici,
    > possibile che non esista un software ad
    > hoc?
    >
    > Ricordo che rootkitrevealer faceva un controllo
    > sull'mbr, ma è closed
    > source.
    non+autenticato
  • - Scritto da: The Real Gordon
    > Come molti sapranno, l'unico modo concreto per
    > bypassare la crittografia della partizione di
    > sistema è installare un bel rootkit nell'mbr,
    > cosa dalla quale nessun software di cifratura si
    > può
    > "difendere".
    >
    > Conoscete qualche software, rigorosamente open
    > source, che per controllare l'hash
    > dell'MBR?

    Software per calcolare l'hash dell'MBR... ROTFL... ma dove andremo a finire... con un software in grado di leggere l'MBR ti e' cosi' difficile poi calcolarne l'hash? E tu saresti l'esperto? HAHAhahahhahahahah....
    non+autenticato
  • - Scritto da: Infatti
    > - Scritto da: The Real Gordon
    > > Come molti sapranno, l'unico modo concreto per
    > > bypassare la crittografia della partizione di
    > > sistema è installare un bel rootkit nell'mbr,
    > > cosa dalla quale nessun software di cifratura si
    > > può
    > > "difendere".
    > >
    > > Conoscete qualche software, rigorosamente open
    > > source, che per controllare l'hash
    > > dell'MBR?
    >
    > Software per calcolare l'hash dell'MBR...
    > ROTFL... ma dove andremo a finire... con un
    > software in grado di leggere l'MBR ti e' cosi'
    > difficile poi calcolarne l'hash? E tu saresti
    > l'esperto?
    > HAHAhahahhahahahah....

    http://www.microsoft.com/downloads/details.aspx?Fa...

    Fare un binary dump del master boot record, e poi usare un qualsiasi programma per calcolare, che so, SHA-256 o SHA512 di un file... mamma mia che impresa eh? Ti ci vuole un programmino che lo fa automaticamente? Troppo difficile per te?
    non+autenticato
  • - Scritto da: Infatti
    > - Scritto da: Infatti
    > > - Scritto da: The Real Gordon
    > > > Come molti sapranno, l'unico modo concreto per
    > > > bypassare la crittografia della partizione di
    > > > sistema è installare un bel rootkit nell'mbr,
    > > > cosa dalla quale nessun software di cifratura
    > si
    > > > può
    > > > "difendere".
    > > >
    > > > Conoscete qualche software, rigorosamente open
    > > > source, che per controllare l'hash
    > > > dell'MBR?
    > >
    > > Software per calcolare l'hash dell'MBR...
    > > ROTFL... ma dove andremo a finire... con un
    > > software in grado di leggere l'MBR ti e' cosi'
    > > difficile poi calcolarne l'hash? E tu saresti
    > > l'esperto?
    > > HAHAhahahhahahahah....
    >
    > http://www.microsoft.com/downloads/details.aspx?Fa
    >
    > Fare un binary dump del master boot record, e poi
    > usare un qualsiasi programma per calcolare, che
    > so, SHA-256 o SHA512 di un file... mamma mia che
    > impresa eh? Ti ci vuole un programmino che lo fa
    > automaticamente? Troppo difficile per
    > te?

    Ah per la cronaca, su linux e' ancora piu' semplice

    dd if=/dev/hdx bs=512 count=1 | openssl dgst -sha256

    Mamma mia... l'"espertone" di PI... patetico
    non+autenticato
  • - Scritto da: Infatti
    > - Scritto da: Infatti
    > > - Scritto da: Infatti
    > > > - Scritto da: The Real Gordon
    > > > > Come molti sapranno, l'unico modo concreto
    > per
    > > > > bypassare la crittografia della partizione
    > di
    > > > > sistema è installare un bel rootkit
    > nell'mbr,
    > > > > cosa dalla quale nessun software di
    > cifratura
    > > si
    > > > > può
    > > > > "difendere".
    > > > >
    > > > > Conoscete qualche software, rigorosamente
    > open
    > > > > source, che per controllare l'hash
    > > > > dell'MBR?
    > > >
    > > > Software per calcolare l'hash dell'MBR...
    > > > ROTFL... ma dove andremo a finire... con un
    > > > software in grado di leggere l'MBR ti e' cosi'
    > > > difficile poi calcolarne l'hash? E tu saresti
    > > > l'esperto?
    > > > HAHAhahahhahahahah....
    > >
    > >
    > http://www.microsoft.com/downloads/details.aspx?Fa
    > >
    > > Fare un binary dump del master boot record, e
    > poi
    > > usare un qualsiasi programma per calcolare, che
    > > so, SHA-256 o SHA512 di un file... mamma mia che
    > > impresa eh? Ti ci vuole un programmino che lo fa
    > > automaticamente? Troppo difficile per
    > > te?
    >
    > Ah per la cronaca, su linux e' ancora piu'
    > semplice
    >
    > dd if=/dev/hdx bs=512 count=1 | openssl dgst
    > -sha256
    >
    > Mamma mia... l'"espertone" di PI... patetico

    Guarda qui l'unica cosa "patetica" è che tu, AL SABATO SERA, mentre la parte non-sfigata degli italiani è fuori e si diverte, venga qui al solo scopo sfogare le tue frustrazioni: 3 post senza senso, finalizzati unicamente a dimostrare che la tua triste esistenza sarebbe compensata dal saper usare la shell di linux, cosa che qui conosciamo tutti.

    Se avessi voglia ad ogni riavvio di bootare prima debian e calcolare l'hash per poi ribootare windows lo saprei fare. Ma io uso il pc per divertirmi o lavorare, non confondo mezzi con fini.

    Chiedevo un software che facesse automaticamente ad ogni riavvio una cosa piuttosto banale, che in quanto tale non deve far sprecare tempo al cervello umano. Se hai la risposta bene, se no evita di intervenire a
    sproposito, specie con quei toni.

    E trovati qualcosa da fare alle 9 del sabato sera, fosse anche una bambola gonfiabile. Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Conosco un rootkit che non solo intercetta le chiamate sul file system, ma restituisce anche un MBR fasullo ai software di analisi (antivirus, checksum tools, eccetera), ovviamente per nascondere la propria presenza. Quindi, in questo caso, calcolare l'hash direttamente da Windows non serve a bel niente.
    non+autenticato
  • - Scritto da: Polemik
    > Conosco un rootkit che non solo intercetta le
    > chiamate sul file system, ma restituisce anche un
    > MBR fasullo ai software di analisi (antivirus,
    > checksum tools, eccetera), ovviamente per
    > nascondere la propria presenza. Quindi, in questo
    > caso, calcolare l'hash direttamente da Windows
    > non serve a bel
    > niente.

    E questo rootkit fa TUTTO dal MBR? Risiede solo lì? Cioè: intercetta le chiamate al filesystem e inoltre restituisce un mbr fasullo quando richiesto, il tutto con un codice di soli 446 bytes al massimo (la parte eseguibile dell'mbr)? E magari riesce a stare, sempre dentro al MBR, insieme a truecrypt, o a simularne il funzionamento (la schermata del bootloader, la password, ecc...) in modo da non insospettire l'utente?

    Chi l'ha scritto, batman? In quel caso mi arrendo.
    non+autenticato
  • Come software è fighissimo ma imho gli manca la ciliegina sulla torta: la possibilità di installare in modalità Hidden OS anche Linux, non solo Windows. A quel punto si schiudono le porte di una vera plausible deniability che non si limiti solo a una singola partizione dati, ma a tutto il sistema operativo.
    non+autenticato
  • - Scritto da: Gaglia
    > Come software è fighissimo ma imho gli manca la
    > ciliegina sulla torta: la possibilità di
    > installare in modalità Hidden OS anche Linux, non
    > solo Windows. A quel punto si schiudono le porte
    > di una vera plausible deniability che non si
    > limiti solo a una singola partizione dati, ma a
    > tutto il sistema
    > operativo.

    Cos'avresti da nascondere del sistema operativo, applicativi crackati? Questo ha senso solo su win perchè la filosofia open non ammette illegalità Rotola dal ridere?
    non+autenticato
  • - Scritto da: Tua sorella
    > - Scritto da: Gaglia
    > > Come software è fighissimo ma imho gli manca la
    > > ciliegina sulla torta: la possibilità di
    > > installare in modalità Hidden OS anche Linux,
    > non
    > > solo Windows. A quel punto si schiudono le porte
    > > di una vera plausible deniability che non si
    > > limiti solo a una singola partizione dati, ma a
    > > tutto il sistema
    > > operativo.
    >
    > Cos'avresti da nascondere del sistema operativo,
    > applicativi crackati? Questo ha senso solo su win
    > perchè la filosofia open non ammette illegalità
    > Rotola dal ridere?

    Che spirito di patata. Perplesso
    non+autenticato
  • ehm si può fare, ma bisogna smanettareOcchiolino

    preciso che si può fare anche con cryptsetup senza luks
    non+autenticato
  • - Scritto da: collione
    > ehm si può fare, ma bisogna smanettareOcchiolino

    Come? o.O link? Mi piacerebbe approfondire.

    > preciso che si può fare anche con cryptsetup
    > senza luks

    Hmm, ma cryptsetup non si presta bene ad uno schema di plausible deniability, non è fatto per questo. Che intendi?
    non+autenticato
  • l'hidden os è molto poco "plausible"... come lo giustifichi, ragionevolmente parlando, che hai un hard disk con almeno metà dello spazio "inutilizzato"?
  • - Scritto da: ephestione
    > l'hidden os è molto poco "plausible"... come lo
    > giustifichi, ragionevolmente parlando, che hai un
    > hard disk con almeno metà dello spazio
    > "inutilizzato"?

    Non vedo cosa ci sia di tanto strano, specie visti certi HD che girano oggi.
    non+autenticato
  • "no agente, è mezzo vuoto perché quando ho installato uìndòs sette gli ho specificamente detto di usare solo metà dello spazio anche se lui voleva usarlo tutto... cosa ci faccio con disco così grande?"

    Rotola dal ridere
  • Leggiti il manuale di Truecrypt che spiega molte cose. L'Hidden OS è una cosa "delicata" ma implementata per bene, non e' quello che pensi.

    In soldoni hai due partizioni: una è un drive Truecrypt normale, cifrato e contenente un'installazione di Windows "esca" (cioè priva di dati segreti), l'altra partizione è un drive Truecrypt di tipo "hidden", che ad una certa password si rivela essere un drive FAT32 contenente materiale apparentemente "privato" ma non troppo, mentre inserendo un'altra password si rivela una partizione NTFS contenente una SECONDA installazione di Windows. Nell'installazione "esca", poi, installi Truecrypt tra i programmi in modo di poter accedere, tendenzialmente, alla partizione FAT32 (per poter dire all'agente "l'altra partizione la monto solo per vedermi i pornazzi"). Il bootloader di Truecrypt all'avvio chiede una password: se è quella del sistema "esca" lo boota, altrimenti va a controllare che non sia la password che sblocca il sistema "hidden", in tal caso boota quello.

    Questa è la plausible deniability a tutto tondo diciamo, tra le varie accortezze quella di bootare abbastanza spesso anche il sistema esca in modo che appaia utilizzato di frequente. Il problema è che, anche se per ragioni tecniche la partizione "pornazzi" DEVE essere FAT32 o FAT16, le altre partizioni le puoi formattare con quello che vuoi, anche con ext, quindi non capisco proprio perché aspettino così tanto a implementare il tutto anche per LinuxDeluso
    non+autenticato
  • ho già studiato a suo tempo la documentazione di TC. Appena venne rilasciata la versione che supportava l'hidden os, fortemente tentato di usarlo, esaminai attentamente i "catches", e ho deciso fortemente in senso contrario. Un hidden os ti obbliga comunque ad avere una parte dell'hard disk rigorosamente inaccessibile, puoi trovare la scusa dei video a luci rosse, comunque il fatto che la parte "esterna" alla partizione del decoy os sia sempre di dimensioni maggiori a quelle del docoy os è un indizio abbastanza forte.
    Senza contare l'enorme scomodità di dover ibernare il decoy e disibernare l'hidden se devi svolgere operazioni sensibili, per poi tornare a ibernare l'hidden e disibernare il decoy nell'uso normale.
    Diciamo che la funzione è benvenuta di per sé, siccome è pur sempre una feature di grande spessore, ma tornerebbe utile probabilmente solo ad agenti segreti e/o dissidenti cinesi.

    Personalmente, anche se "non ho nulla da nascondere" (la frase preferita dai filo-sorveglianza-globale annidati in questo forum) ho preso l'abitudine di cifrare tutti i miei dischi. Anche se i contenuti sono completamente leciti, si tratta sempre di "fatti miei", che voglio rimangano tali, chiunque sia che contro la mia volontà/conoscenza abbia interesse ad accedere ai miei archivi. L'evenienza che mi puntino una pistola alla tempia per costringermi a inserire la password è remota, e se mai lo facessero, quello che proteggo non è tale di giustificare un diniego in tale casoA bocca aperta
  • No beh, sono d'accordo sul fatto che non è la panacea di tutti i mali. Anche io cifro tutte le mie partizioni (con cryptsetup su linux) ma sono, diciamo, infastidito dall'evenienza di dovermi portare il laptop in posti "simpatici" tipo UK (dove se non obbedisci alla richiesta delle autorità di fornire la password vai al gabbio di default). Questo soprattutto per principio (anche se, come dici tu, i celerini del forum ne avrebbero da ridire) ma anche se, ipoteticamente, fossi un manager di un'azienda che ha bisogno di viaggiare con importanti documenti per i piani strategici aziendali. Poi il discorso pistola alla tempia è un altroSorride

    Comunque dal punto di vista tecnico le soluzioni imho ci sono. Intanto non è che la partizione hidden deve essere più grande di quella decoy, anzi. Tipicamente mi immagino la partizione decoy contenente "quasi" tutto quello che può servire ad un uso normale, e la hidden contenente solo le cose più riservate. Per l'uso di tutti i giorni comunque si potrebbe accedere sempre e solo alla hidden, e installarci un sistema di virtualizzazione che permetta di usare contemporaneamente anche il sistema decoy (che resta accessibile). L'unica partizione non accessibile in questo modo resta quella dei pornazzi. In effetti sarebbe un grosso problema, bisognerà trovare un workaroundSorride

    Poi per spiegare all'autorità come mai tieni i pornazzi su una partizione separata basta dire che il decoy a volte lo usano anche figli/mogli/nonni e che quindi si preferisce tenere "la robba" inaccessibile.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)