Использование консольной версии TrueCrypt в Linux

Содержание

Загрузка TrueCrypt

Лучше всего использовать версию с официального сайта TrueCrypt. Там вы всегда можете бесплатно скачать TrueCrypt.
Последняя стабильная версия на момент написания статьи::

# wget http://www.truecrypt.org/download/truecrypt-7.1a-linux-console-x64.tar.gz

Дальше нужно распаковать архив

# tar zxvf truecrypt-7.1a-linux-console-x64.tar.gz

На выходе вы получите исполняемый файл truecrypt-7.1a-setup-console-x64

Установка Truecrypt

Для работы truecrypt’а надо установить дополнительные пакеты:

# aptitude install libfuse2 fuse-utils dmsetup

После установки запускаю, ранее извлеченный из архива, файл truecrypt-7.1a-setup-console-x64

# ./truecrypt-7.1a-setup-console-x64

Шифрование раздела и создание контейнера

Шифрование раздела и создание контейнера мало чем отличаются. В первом случае, как аргумент команды, указывается раздел, а во втором случае – файл. При шифровании раздела все данные на нём уничтожаются. Раздел не надо форматировать перед шифрованием.

Приведу, как пример, шифрование раздела.

# truecrypt -c /dev/sda8
Volume type:
1) Normal
2) Hidden
Select [1]: 1

На этом этапе выбирается тип создаваемого тома. Normal — обычный, полностью зашифрованный, том. Hidden — незаметный, скрытый том, внутри реального отформатированного раздела. Для реального раздела-донора желательно выбирать раздел с файловой системой FAT32, чтобы внутрь раздела поместилось больше информации и уменьшилась вероятность повреждения скрытого тома.

Encryption algorithm:

1) AES
2) Serpent
3) Twofish
4) AES-Twofish
5) AES-Twofish-Serpent
6) Serpent-AES
7) Serpent-Twofish-AES
8) Twofish-Serpent
Select [1]:

Алгоритм шифрования AES самый быстрый и его, вероятно, лучше выбрать для томов, с которых будут запускаться программы. Для хранения информации можно выбрать любой алгоритм из представленного списка.

Hash algorithm:
1) RIPEMD-160
2) SHA-512
3) Whirlpool
Select [1]:

Просто нажимаю Enter. Первая хэш-функция в самый раз.

Filesystem:
1) None
2) FAT
3) Linux Ext2
4) Linux Ext3
5) Linux Ext4
Select [2]: 5

Файловая система для нового тома. Выбрал ext4.

Enter password:
Re-enter password:

Ввёл (и повторил вввод) достаточно длинный пароль: K.,k.nt,z?j.,rfljhjufz?Rjulf?vtyzgjldtxhj;blfz. Хочу заметить, что лучший пароль это не строфы из стрихотворений, а действительно случайный набор символов. Или псевдослучайный: Lxq-weqp=9Mhft9E&ad_W[\8^»,2nJqo-b$kQ[Hz[‘qV.

Enter keyfile path [none]:

Хорошая мысль создать ключевой файл на флэшке и указать его при шифровании. Главное в дальнейшем его не потерять. Но можно в качестве ключевого файла использовать простой текстовый файл с широко известным текстом. Например:

Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Статья 24
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 25
Жилище неприкосновенно. Никто не вправе проникать в жилище против воли проживающих в нем лиц иначе как в случаях, установленных федеральным законом, или на основании судебного решения.

Конечно лучше выбрать статьи из конституции другой страны или использовать другие тексты. Иначе можно обнаружить при потере ключевого файла и попытки его восстановления, что конституция уже изменилась и зашифрованный том не открывается.

Please type at least 320 randomly chosen characters and then press Enter:
(тут беспорядочно нажимаю на любые буквенные клавиши и иногда нажимаю Enter, чтобы увидеть сколько ещё раз надо долбить по клавишам, чтобы выполнить в сумме 320 случайных нажатий)
Characters remaining: 307
Characters remaining: 299
Done: 6,166% Speed: 81 MB/s Left: 5 minutes
The TrueCrypt volume has been successfully created.

Процесс завершился и зашифрованный том создан.

Монтирование зашифрованного тома

Чтобы примонтировать его к существующей папке выполняю команду:

# truecrypt /dev/sda8 /mnt

Смена пароля на зашифрованном томе

# truecrypt --new-password=new1pass2word3 -C /dev/sdb3
Enter password: (вводим существующий пароль)
Enter new keyfile [none]:
Please type at least 320 randomly chosen characters and then press Enter:
(долбим по клавиатуре 320 раз и нажимаем Enter)
(ждём какое-то время)

Password and/or keyfile(s) successfully changed.

Пароль успешно сменили.

Добавление ключевого файла к зашифрованному тому

# truecrypt --new-keyfiles=/media/blabla.txt -C /dev/sdb3
Enter password: (вводим действующий пароль на том)
Enter new password: (вводим новый пароль на том или нажимаем Enter для отключения пароля)

Please type at least 320 randomly chosen characters and then press Enter:
(жмём триста двадцать раз по клавишам на клавиатуре)

Password and/or keyfile(s) successfully changed.

Теперь для монтирования зашифрованного с помощью ключевого файла тома с пустым паролем необходимо вводить команду:

# truecrypt --keyfiles=/media/blabla.txt --password="" --protect-hidden=no /dev/sdb3 /media/1

Если пароль не пустой и необходимо его указать прямо в командной строке, то записываем его вместо кавычек.

Если пароль не пустой, то опцию —password можно не писать и ввести пароль в ответ на запрос.