Часть II. Работа с простыми томами.
0. Создание простого тома tcplay/truecrypt
Команда для шифрования тома:

tcplay --create --device=/dev/loopX --cipher=шифр_или_каскад_шифров_через_запятую --pbkdf-prf=алгоритм --keyfile=path/to/key/file
где:
--create – указание программе создать новый шифрованный том
--device=/dev/loopX – устройство, которое требуется зашифровать, в данном случае loop-устройство с которым ассоциирован файл-контейнер.
--cipher=шифр_или_каскад_шифров_через_запятую – указание, какой алгоритм шифрования необходимо использовать, или же необходимо использовать несколько алгоритмов последовательно (они перечисляются через запятую). В настоящий момент tcplay поддерживает алгоритмы: AES-256-XTS, TWOFISH-256-XTS, SERPENT-256-XTS, таким образом, поддерживаются комбинации этих трех, двух, или одного из этих шифров, перечисленных через запятую.
В случае использования только одного из них – запятая после его указания не нужна.
Примечание: Если вы используете несколько шифров, особенно на слабой машине, то это может существенно замедлить работу компьютера. Из всех перечисленных шифров AES самый быстрый (на современных машинах он даже поддерживается на аппаратном уровне), но TWOFISH и SERPENT надежнее, хотя и медленнее.
--pbkdf-prf=алгоритм – алгоритм формирования ключа для шифрования на основе пароля. На самом деле, содержимое нашего ключевого файла тоже пароль, «ключ» в криптографии это несколько иное, но, поскольку объяснить вам всю криптографию в трех словах я не могу, отсылаю к специализированным источникам.
Кратко прочесть про PBKDF можно здесь
Вместо алгоритм надо подставить конкретный алгоритм. На данный момент tcplay поддерживает RIPEMD160, SHA512, whirpool
--keyfile=path/to/key/file – указание программе, где взять ключевой файл для шифрования. Если нужно использовать несколько ключевых файлов, то нужно указать несколько параметров --keyfile=, например:
tcplay --create --device=/dev/loop0 --cipher= TWOFISH-256-XTS --pbkdf-prf= RIPEMD160 --keyfile=/path/to/key/file01 --keyfile=/path/to/key/file02
Если ключевой файл не нужен, а достаточно пароля, вводимого с клавиатуры, параметр --keyfile не указывается. Пароль будет запрошен перед шифрованием.
Итак, предположим, что контейнер ассоциирован с устройством /dev/loop0, в качестве алгоритма шифрования мы выбрали один – AES-256, в качестве алгоритма PBKDF выбран whirlpool, а ключ находится в /keys/keyfile
Тогда команда приобретает вид:
tcplay --create --device=/dev/loop0 --cipher=AES-256-XTS --pbkdf-prf= whirlpool --keyfile=/keys/keyfile

Можно также добавить ключ --insecure-erase, тогда процесс пройдет быстрее, т.к. будет произведено затирание данных на диске. Поскольку я параноик, и в незашифрованном виде на диске ничего не храню, а свежий файл-контейнер представляет собой гигабайт нулей, то я смело его добавлю:
tcplay --create --device=/dev/loop0 --cipher=AES-256-XTS --pbkdf-prf= whirlpool --keyfile=/keys/keyfile –-insecure-erase

После ввода команды и нажатия Enter, нам предложат ввести парольную фразу и повторить ее. Если хочется кроме ключевого файла установить еще и пароль (или ключевой файл вообще не нужен), то вводим пароль и подтверждаем его, если указан ключевой файл, а пароль не нужен, жмем два раза Enter.
Далее попросят подтвердить свои действия, если все сделано правильно – отвечаем утвердительно, после чего нужно будет некоторое время подождать, пока tcplay не сгенерирует т.н. истинно-случайные числа и не завершит шифрование.
В конце процесса нам скажут All Done!, если так, значит шифрование файла-контейнера окончено.
Read more…
Начало.
Продолжение следует.

Это перепост заметки из моего блога на LJ.ROSSIA.ORG
Оригинал находится здесь: http://lj.rossia.org/users/hex_laden/316433.html
Прокомментировать заметку можно по ссылке выше.

И просто краткие заметки от склероза.
Часть I. Общие положения.
0. Зачало.
TrueCrypt уже довольно давно почил, однако добрые люди не оставили в беде параноика и начинающего линуксоида в одном лице и форкнули создали независимую реализацию замечательного проекта. TCplay представляет собой утилиту командной строки (для Linux), поддерживающую все основные функции TrueCrypt – создание томов-криптоконтейнеров, открытие контейнеров, созданных в TrueCrypt, создание скрытых шифрованных разделов на томе с обычным шифрованным разделом, поддержку ключевых файлов и т.д.
1. Установка.
1.1. Устанавливаем src2pkg [копия статьи] с помощью installpkg (если не установлена)
1.2. Качаем исходники tcplay
1.3. В каталоге со скаченным архивом выполняем
src2pkg -C tc-play-2.0.tar.gz
и после завершения процесса получаем пакет slackware, который устанавливаем с помошью installpkg
2. Всякие мелочи

tcplay –v или tcplay –-version – версия программы
tcplay –h или tcplay –-help или запуск без параметров – справка.
3. О генерации ключевых файлов.
Вообще, tcplay, как и TrueCrypt в качестве ключевых файлов может использовать любой файл, точнее первый его мегабайт. Так что генерировать ключевые файлы большего размера смысла не имеет. Конечно, нежелательно использовать в качестве ключевых файлов системные файлы, фотографии своего любимого кота, тещи или Джиллиан Андерсон и т.д. Есть вероятность, что злоумышленник подберет, а уж при использовании системных файлов вероятность близка к 100%.
Простейший способ сгенерировать ключевой файл – воспользоваться командой dd и устройством /dev/random
dd if=/dev/random of=/путь/к/файлу/имя_файла bs=1 count=256
Данная команда сгенерирует ключевой файл размером 256 байт.
Команда dd подробно описана, например, здесь копия
4. Подготовка файла-контейнера.
Чтобы создать новый файл-контейнер (неважно, содержащий лишь один обычный том TrueCrypt или же обычный и скрытый) нам понадобится файл нужного размера, создать его также можно при помощи команды dd:
dd if=/dev/zero of=/path/to/file/disk01.crypt bs=1024M count=1
Команда создаст файл размером 1 Гб (1024 Мб) заполненный нулями, естественно, /path/to/file/disk01.crypt нужно заменить на путь к файлу-контейнеру.
5. Представляем файл-контейнер в виде блочного устройства.
Далее, нужно сделать так, чтобы система представила созданный файл-контейнер в виде блочного устройства, проще говоря, смогла работать с ним, как с диском, для чего нужно «повесить» наш файл на петлевое устройство loop
Для начала определим первое свободное петлевое устройство:
losetup -f
В моем дистрибьютиве loop-устройства ничем не использовались, поэтому команда выдала
/dev/loop0
В других дистрибьютивах может быть и не loop0, например, дистрибьютивы Puppy Linux при загрузке занимают первых два (0 и 1) петлевых устройства, на одном из которых висит основной образ ОС, а на втором файл пользовательской сохраненки.
Вешаем файл-контейнер на свободное петлевое устройство:
losetup /dev/loop0 /path/to/file/disk01.crypt
первый параметр команды – петлевое устройство, второй – путь к файлу-контейнеру.
Продолжение

Это перепост заметки из моего блога на LJ.ROSSIA.ORG
Оригинал находится здесь: http://lj.rossia.org/users/hex_laden/316329.html
Прокомментировать заметку можно по ссылке выше.