Dischi cifrati con TrueCrypt: free & open source

-
Cercate un tool per creare dischi cifrati dove tenere i vostri dati riservati e/o sensibili? Avete deciso di non tenere più i vostri dati in chiaro sulla chiavetta USB? Siete terrorizzati dal fatto di perdere il portatile e tutti i dati riservati in esso?

Allora TrueCrypt fa al caso vostro: è free, open source, sicuro ed efficiente. Sul sito di TrueCrypt (anche presente su SourceForge) potete scaricare i binari per Windows e Linux e i sorgenti dell'intera applicazione.

Dobbiamo, da buoni uomini di sicurezza, ricompilare tutti i sorgenti ed eseguire il binario ricompilato per evitare spiacevoli sorprese (mai sentito parlare di backdoor?). Ma già il fatto che TrueCrypt sia su SourceForge, con sorgenti e tanto di spiegazioni sul fatto che il compilato potrebbe differire dal binario distribuito a meno dei byte occupati dalla firma del driver Windows, ci rassicura sulla serietà del progetto.

"(...) Keep this in mind if you compile TrueCrypt and compare your binaries with the official binaries. If your binaries are unsigned, the sizes of the official binaries will usually be approximately 10 KB greater than sizesof your binaries (...)"

Fatevi quindi un giretto nei sorgenti, è sicuramente interessante. Tutto scritto rigorosamente in C/C++ e anche abbastanza bene. E' naturale poi che, essendo codice di crittografia, troverete operatori booleani e macro a iosa.
Ecco in breve le caratteristiche di TrueCrypt:
  • Multipiattaforma: gira su Windows (Windows Vista/XP/2000/2003) e Linux (Ubuntu, OpenSuse);
  • Sorgenti: tutti si sorgenti sono disponibili sul sito di TrueCrypt;
  • Crea e monta dischi cifrati: permette di creare file che possono poi possono essere montati come dischi cifrati;
  • Modalità "Traveller": permette di inizializzare chiavi USB o CD con volumi cifrati che non richiedono l'installazione di TrueCrypt sui PC e che permettono di vedere istantaneamente il volume cifrato.
  • Algoritmi: SHA1, Serpent, TwoFish, AES-256 con possibilità di cifrare in cascata fino a 3 algoritmi;
  • Volumi "Hidden": possibilità di gestire i volumi cifrati in modo nascosto nelle aree libere del disco.
Vediamo quindi qualche schermata per la creazione e l'uso di dischi cifrati.

1 - Il pannello principale di TrueCrypt. Vediamo la lista delle unità disponibili nel PC su cui poter montare il volume cifrato e le opzioni per montare e smontare il volume.



2 - TrueCrypt permette di fare dei benchmark interni per valutare quale algoritmo di cifratura scegliere.


3 - Nel wizard di creazione del volume cifrato (file con estensione .tc) scegliamo l'algoritmo (o gli algoritmi) per la cifratura e le operazioni di hashing.


4 - Possiamo formattare il volume con fileSystem FAT o NTFS, specificando anche la dimensione dei cluster.






Le mie conclusioni su TrueCrypt sono:
  • Economico: è free ed opensource; se pensate che PGP Whole Encryption costa 141€...
  • Prestazionale: prestazioni più che buone anche con dischi di grandi dimensioni (>100 Gbyte);
  • Affidabile: solido anche su chiavette USB;
  • Sicuro: gli algoritmi di cifratura sono di tutto rispetto e possono essere utilizzati anche in cascata (ovviamente con un certo calo delle prestazioni);
  • Privacy: eccezionale per gestire dati riservati e/o sensibili nel proprio posto di lavoro o su chiavette USB;
  • Sistemi Operativi: funziona bene sia su XP che su VISTA (nessuna prova fatta su Linux)
  • Per un benchmark reale dovrete aspettare un prossimo POST.

Vi terrò aggiornati :-)

Commenti

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere