Чем открыть veracrypt на android

Обновлено: 04.07.2024


Мы храним на мобильном телефоне массу личной информации и очевидно не хотим, чтобы наша переписка, криптовалютные кошельки или список контактов стали достоянием общественности. Тем не менее в ряде случаев представители правоохранительных органов могут потребовать от нас предоставить полный доступ к нашему устройству.

Кто и почему может меня досмотреть?

Любое государство рассматривает границу как источник повышенной опасности. Поэтому службы, которые занимаются визовым, паспортным и таможенным контролем, как правило, имеют больше возможностей нарушить ваше личное пространство и проводят обыски чаще, чем любые другие организации.

Право проверять содержимое цифровых устройств предоставлено сотрудникам границы в США, Китае и Канаде. В случае отказа предоставить устройство для досмотра может быть принято решений об отказе во въезде. Таможенники анализируют посты в социальных сетях, историю звонков и браузера, смотрят переписку, фотографии, видео и документы въезжающих в страну, чтобы установить цель визита. Сотрудники пограничного контроля могут осмотреть устройства и проверить сохраненные на них данные, однако у них нет прав на проверку данных, сохраненных в облаке и на сторонних веб-сервисах.

По имеющимся данным, только в 2017 году в США таможенные службы провели 30 тысяч досмотров устройств, что на 58% больше, чем годом ранее. Если учесть, что путешественники ежегодно пересекают границу США около 400 млн раз, количество обысков в среднем составляет 1 на 13 000.


Проводить досмотр граждан и предметов могут также полицейские, согласно статье 13 Закона «О полиции» и статье 27.7 КоАП РФ о личном досмотре. В ней прописаны четкие правила: сотрудники обязаны составить протокол, привлечь двух понятых, прописать свои должности, ФИО и дату, а также указать количество осмотренных вещей и данные о гражданине. Неподчинение законному требованию сотрудника полиции карается штрафом или административным арестом до 15 суток.

В рамках досмотра полицейский может лишь взглянуть на телефон снаружи, но не может разбирать или ломать его.

В случае требования назвать PIN-код вы можете сослаться на ст. 51 Конституции РФ, которая позволяет вам не давать никаких показаний против себя. Закон также не предусматривает исполнения обязанности по самостоятельному разблокированию устройства по требованию сотрудника пограничной службы, таможни или полиции.

К какой информации могут получить доступ правоохранители?

Поскольку путь сопротивления и предоставление недостоверных сведений будет трактоваться не в вашу пользу, поговорим о ситуации, когда ваше устройство все же попало в руки досматривающих.

Если ваш телефон не был зашифрован, то данные из него можно извлечь почти в ста процентах случаев.

На многих устройствах Android и Windows Phone есть сервисный режим, позволяющий слить все данные из памяти аппарата через обычный USB-кабель. Это касается большинства устройств на платформе Qualcomm (режим HS-USB, работающий даже при заблокированном загрузчике), на китайских смартфонах с процессорами MediaTek (MTK), Spreadtrum и Allwinner (если разблокирован загрузчик), а также всех смартфонов производства LG (их сервисный режим позволяет слить данные даже с «окирпиченного» устройства).

Но даже если в телефоне и нет сервисного «черного хода», данные из устройства все равно можно получить, разобрав аппарат и подключившись к тестовому порту JTAG. В самых запущенных случаях из устройства извлекается чип eMMC, который вставляется в простейший и очень дешевый адаптер и работает по тому же протоколу, что и самая обычная SD-карта. Если данные не были зашифрованы, из телефона легко извлекается вообще все вплоть до маркеров аутентификации, предоставляющих доступ к облачным хранилищам.

Представители правозащитной организации Electronic Frontier Foundation Курт Опсал и Уильям Бадингтон напоминают, что у пограничников может быть припасено специальное оборудование для быстрого и эффективного извлечения данных из мобильных гаджетов. Чаще всего используются устройства Cellebrite, способные копировать даже информацию, которая была удалена. В некоторых случаях эти аппараты способны извлекать данные даже с заблокированных смартфонов.


Если с вашего телефона снимут резервную копию через ADB (Android Debug Bridge), в нее могут попасть:

  • пароли от Wi-Fi-сетей, системные настройки;
  • фотографии, видео и содержимое внутренней памяти;
  • установленные приложения (APK-файлы);
  • данные приложений, которые поддерживают резервное копирование (включая маркеры аутентификации).


Если у вас iPhone с последней версией iOS, и вы не ставили jailbreak, то снять физический образ устройства невозможно. Единственный способ анализа, доступный пограничникам, кроме запуска приложений на телефоне вручную, — снять резервную копию через iTunes или специализированное приложение, например, Elcomsoft iOS Forensic Toolkit. Для противодействия этому вам достаточно заранее озаботиться установкой пароля на резервные копии. Для этого запустите iTunes и активируйте опцию Encrypt iPhone backup, после чего укажите пароль.


Чтобы защитить пароли, выключите keychain и iCloud Keychain на телефоне. Пароли будут удалены с устройства и не подтянутся из облака, пока вы не активируете iCloud Keychain. Аналогичным образом удаляется история браузера и поисковых запросов.

Впрочем, история браузера все равно будет храниться в iCloud как минимум две недели после удаления. Чтобы окончательно «прибить хвосты», потребуется отключить синхронизацию данных с облаком.

Наконец, вы можете полностью отключить iCloud. Впрочем, делать это не рекомендуется, так как будет отключена защита от кражи iCloud Lock и Find My Phone.

Как я могу защитить информацию на незашифрованном Android-устройстве?

При отключенном шифровании и наличии возможности сделать бэкап устройства вы можете воспользоваться следующим методом. Установите на смартфон кастомный рекавери TWRP, перезагрузитесь в него, сделайте Nandroid-бэкап разделов system и data (они содержат саму ОС и ваши данные/приложения соответственно), извлеките бэкап со смартфона (он хранится в каталоге TWRP на карте памяти) и сохраните его, например, в Dropbox.

Затем сбросьте смартфон до заводских настроек, привяжите его к левому аккаунту, установите несколько приложений, введите несколько неважных паролей в браузер — создав таким образом видимость активно используемого устройства. А затем вновь перезагрузитесь в TWRP, сделайте бэкап и вновь сохраните его в облако.

В результате у вас получится два бэкапа: в одном будет ваша основная система, во втором — потемкинская. Все, что вам останется сделать, — восстановить второй, подставной бэкап перед поездкой, пройти через границу, а затем восстановить основной. При этом все ваши настройки, софт и все остальное вплоть до расположения иконок на рабочем столе сохранится в первозданном виде.

Как я могу зашифровать свое устройство?

Если вы все-таки предпочитаете не рисковать, активируйте в Android-смартфоне полное шифрование диска (Full Disk Encryption, FDE) и выключите устройство. После включения устройство попросит вас ввести пароль, даже если обычно оно разблокируется отпечатком пальца.

Владельцы устройств на базе iOS могут также включить полное шифрование диска, после чего стереть ключи шифрования. Эта операция встроена в сброс до заводских настроек.

После завершения досмотра вам достаточно подключиться к Wi-Fi, сбросить телефон еще раз и восстановиться из облачного бэкапа.

Важный момент: для авторизации в собственный Apple ID вам придется иметь при себе второй фактор аутентификации (например, SIM-карту с доверенным телефонным номером, на который вы сможете получить SMS с одноразовым кодом). В противном случае вы сможете оказаться отрезанным от собственной учетной записи и данных в iCloud.

Помните, что на шифрование устройства понадобится несколько часов, в течение которых вы не сможете им пользоваться.

Шифрование ноутбуков

На компьютерах Apple с OS X используйте программу FileVault, которая имеет функцию полнодискового шифрования. На официальном сайте компании можно найти инструкцию по ее работе.

У профессиональных версий операционной системы Windows (Enterprise, Pro, Ultimate Edition) от Microsoft есть встроенная программа BitLocker. Для остальных случаев есть программа VeraCrypt. На расшифровку защищенных ею данных у спецслужб при современном развитии технологий уйдет не менее 40 лет.

Два вида двухфакторной аутентификации

Двухфакторная аутентификация обеспечивает дополнительную защиту аккаунтов в соцсетях, мессенджерах, электронной почте, Google, Apple, iCloud.

В большинстве сервисов для общения двухфакторная аутентификация возможна только через SMS. Однако в некоторых почтовых сервисах возможна установка приложения, которое автоматически генерирует временные коды. Это более безопасный способ, чем подтверждение по SMS, которое могут перехватить непосредственно у оператора связи.

В Gmail настроить вход через генератор кодов можно на странице «Безопасность» вашего аккаунта.

Используйте защищенные мессенджеры

Среди популярных мессенджеров одними из самых защищенных являются Telegram и Signal.

В Telegram есть функция секретных чатов, контент которых не хранится на серверах компании и способен самоуничтожаться. Чтобы воспользоваться секретным чатом, надо выбрать пользователя в списке, нажать на его аватар и выбрать опцию «Start Secret Chat».

Секретные чаты Telegram нельзя создавать для групп и через них нельзя совершать голосовые вызовы. Если вам нужно и то, и другое, можно использовать Signal. Он полностью шифрует любую информацию на всем пути от одного абонента к другому.

У обоих мессенджеров есть версии для Android, iOS, а также для персональных компьютеров, при этом в версии Telegram для ПК нет секретных чатов. Обе программы бесплатны. Но перед использованием их стоит дополнительно настроить.

Шифрование электронной почты

Как альтернативу электронной почте можно использовать сервис Peerio. Он проще в обращении, чем настройка PGP-сервисов и обеспечивает полное шифрование данных от одного пользователя до другого. У Peerio есть версии для iOS, Android, Windows, а также расширение для браузера Google Chrome.

Использование криптоконтейнеров

Одним из способов защитить данные является создание криптоконтейнера. Он представляет логический диск, файловая структура которого в большинстве случаев совпадает со структурой операционной системы. В открытом виде в него можно записывать файлы любого формата и размера. Для сокрытия файлов нужно размонтировать криптоконтейнер. Чтобы увидеть файлы снова, нужно ввести заранее созданный ключ или пароль.

Если криптоконтейнер размонтирован, посторонний человек даже не будет в курсе его существования. Данные – зашифрованные в нем данные таким образом будут надежно защищены от любопытных глаз.

Кроме того, расшифровка информации в обход ключа невозможна. Создание специальных утилит, которые могли бы взломать зашифрованный диск — это дорогостоящее занятие. Причем их эффективность весьма сомнительна.

Основным преимуществом этого шифрования является возможность создания криптоконтейнера с «двойным дном». Первый ключ можно спокойно предоставить проводящему досмотр, а по-настоящему важные данные останутся нетронутыми до ввода другого пароля. Ни программными, ни аппаратными методами обнаружить наличие скрытой части невозможно.

Впрочем, у этого метода есть и ряд проблем: если вы забыли ключ доступа, альтернативных способов вновь открыть доступ к данным у вас не будет. Также не получится восстановить неисправный зашифрованный файл. Единственное, что можно сделать в таком случае, создать резервную копию этой информации в другом месте.

Помимо этого, скорость записи файлов в криптоконтейнер значительно ниже, чем на обычный жесткий диск.

На данный момент в Google Play доступны следующие программы для шифрования:

  • LUKS Manager;
  • EDS Lite;
  • Cryptonite;
  • CyberSafe Mobile.

LUKS Manager является старейшей программой шифрования файлов в Android. Программа использует алгоритм шифрования AES, при этом поддерживает файловые системы ЕХТ2/4 и FAT32. Размер зашифрованного контейнера ограничивается только размером памяти телефона.

Недостатки: программа требует root-прав для своей работы и не поддерживает контейнеры TrueCrypt, которые де-факто являются стандартом для основных настольных платформ.

Программе EDS Lite для работы не нужны root-права и она поддерживает контейнеры TrueCrypt. Она использует два алгоритма шифрования — AES 256 и SHA-512.

Недостатки: шифрование осуществляется не «на лету» и с зашифрованным контейнером нельзя работать как с обычной папкой. Однако есть встроенный файловый менеджер, который поддерживает все операции над файлами. Например, вы можете создать зашифрованный контейнер в EDS Lite или в TrueCrypt, открыть его во встроенном файловом менеджере программы и скопировать в него все файлы, которые нужно зашифровать.

Программа Cryptonite пока что находится на стадии тестирования. В числе ее преимуществ поддержка облачных дисков. Недостаток: она требует от ядра Android поддержки Kernel FUSE, а такая поддержка есть не в каждом телефоне.

Конек приложения CyberSafe Mobile — возможность синхронизации криптоконтейнеров с Google Drive, что позволяет работать с одним и тем же набором данных на разных устройствах. Само приложение не требует для своей работы root-прав, но ровно до того момента, как вы не надумаете подмонтировать контейнер к какой-то папке.

Кроме этого приложение позволяет обмениваться зашифрованными файлами с другими пользователями и позволяет шифровать произвольные папки на Google Drive. Приложение платное. Бесплатная версия ограничивает максимальную длину пароля всего в два символа.

Способы взлома криптоконтейнеров

Одним из способов взлома криптоконтейнера является BruteForce-атака, то есть простой перебор различных вариантов паролей. При надежном пароле и алгоритме шифрования обычный компьютер будет подбирать его не одну сотню лет.

Однако если эту работу доверить квантовому компьютеру, то подбор займет всего несколько дней. Позитивный момент в том, что атака такого типа стоит огромных денег и вряд ли будет использоваться против обычного человека, если только он не особо опасный преступник.

Для простых пользователей куда более реальная угроза − атака по словарю, при которой берется база данных паролей, и каждый из них проверяется. Эта атака отличается своей простотой и относительно низкой затратой ресурсов по сравнению с атакой путем перебора, при которой перебираются все существующие варианты до обнаружения нужного.

Успех во многом зависит от качества базы и сложности пароля пользователя. По имеющимся данным, у одной из структур в России подобная база содержит 250 млн вариантов.

Защита в данном случае предельно проста: вашего пароля не должно оказаться в базе, которая будет использована для взлома. Если вы будете применять рандомную генерацию пароля от 50 символов и ключ, у взломщиков не останется никаких шансов.

Терморектальный криптоанализ

Этим общим термином обозначается давление с целью получить пароли для доступа к зашифрованным данным. Давлением может быть как палец, зажатый дверью, так и тюремное заключение за отказ выдать данные.

Таким образом ломаются любые алгоритмы и пароли любой сложности, но и в этом случае у вас есть несколько путей защиты. Первый из них предполагает, что доступ к криптоконтейнеру будет физически уничтожен.

Для реализации такой системы при создании криптоконтейнера необходимо добавить ключ и разместить его на microSD-карте. MicroSD-карта уничтожается очень просто, ее можно просто сломать руками и выбросить в окно. После этого информацию будет уже не восстановить, и, соответственно, не будет никакой возможности получить доступ к зашифрованным данным.

Криминалистический анализ оперативной памяти

Для защиты от криминалистического анализа достаточно установить опцию автоматического демонтирования криптоконтейнера и удаления ключа из оперативной памяти компьютера при отсутствии активности в течение определенного времени.

Взлом криптоконтейнера при помощи запасного ключа

Этот способ не опасен пользователям TrueCrypt, AES Crypt, VeraCrypt, LUKS, он относится к зашифрованным системам, однако также заслуживает упоминания.

При комплексном шифровании системы ключи для шифрования Microsoft по умолчанию сохраняются в Microsoft Account, ключ для шифрования macOS по умолчанию сохраняется в iCloud. Получив доступ к учетной записи, можно расшифровать все данные на жестком диске, а потому, шифруя систему, отключайте сохранение ключа в облаке.

Выводы

С точки зрения собственной безопасности возражать и лгать пограничникам не стоит: все это приведет к дополнительным осложнениям и без того острой ситуации. Гораздо эффективнее будет воспользоваться комплексом технических методов защиты, описанных в этом материале.

Помните: нельзя извлечь из смартфона то, чего на нем физически нет, а любой пароль от вас можно получить, было бы желание.

Цель данной статьи — сравнить три Android-приложения для шифрования данных — LUKS Manager, Cryptonite и CyberSafe Mobile. Сразу нужно отметить, что сравнение будет честное, а не с целью выделить преимущества той или иной программы. У каждой программы есть свои достоинства и недостатки, в этой статье они будут раскрыты в полном объеме.


Чем обусловлен выбор приложений?

Прежде всего, хочется отметить, почему в обзоре участвуют именно эти приложения. С программой CyberSafe Mobile, думаю, все ясно, ведь вы читаете блог компании Киберсофт, поэтому вполне логично увидеть нашу программу в обзоре. А вот остальные программы были выбраны так называемым методом Коши, он же метод научного тыка, то есть случайным образом. Конечно, при выборе программ учитывалась их популярность и рейтинги. Так, у программы Cryptonite на данный момент более 50 тысяч загрузок и ее рейтинг составляет 4.3, а у программы LUKS Manager такой же рейтинг, но в пять раз меньше загрузок — более 10 тысяч.
Для Android было разработано множество программ шифрования данных, поэтому мы физически не сможем рассмотреть все из них. Возможно, в будущем будет написан аналогичный обзор других программ и их сравнение с программой CyberSafe Mobile. Пока же ограничимся ранее упомянутыми программами.

LUKS Manager

LUKS Manager — это одна из первых настоящих программ для шифрования в Android. До нее программы «шифрования» на самом деле шифрованием то и не занимались, а делали всякую ерунду вроде присваивания файлу атрибута скрытого.
Программа LUKS Manager оставила двойственное впечатление. Начну по порядку — с самой установки программы. Программа требует, чтобы у вас был root-доступ, а также были установлены SuperSU и BusyBox. Требование root-доступа — характерная особенность всех серьезных программ шифрования в Android, поскольку без максимальных привилегий мало что можно сделать. А вот требование SuperSU и BusyBox натолкнули меня на мысль, что программа, по сути, ничего сама не делает, а вместо использования системных вызовов Android, использует утилиты BusyBox. Другими словами, программа является лишь оболочкой для системных команд. Ну да ладно, начинающие пользователи вряд ли будут разбираться со всеми этими командами, поэтому оболочка как раз то, что нужно — главное, чтобы она работала.
У меня уже был root-доступ к моему устройству, был установлен SuperSU, а вот BusyBox пришлось доустановить из Play Market. Однако после установки BusyBox программа все равно радостно сообщила мне, что не видит его (рис. 1).



Рис. 1. Программа LUKS Manager не видит установленный BusyBox

Не буду описывать, что я делал, чтобы программа его «увидела», скажу лишь только, что помогла перезагрузка планшета. Как-то попахивает Windows даже, а не UNIX, коим, как ни крути, является Android. Кстати, издевательства происходили над планшетом Acer B1 с Android 4.1.2. Ни один планшет в результате экспериментов не пострадал :)
После перезагрузки программа все-таки запустилась (рис. 2). Интерфейс программы очень прост. Я бы даже сказал спартанский. Скриншоты я обрезаю, чтобы не уменьшать их размер и чтобы вам было их лучше видно.



Рис. 2. Программа LUKS Manager



Рис. 3. Нажмите OK



Рис. 4. Выберите каталог и нажмите Select This Directory

Далее нужно ввести название контейнера (рис. 5), пароль для доступа (рис. 6) к нему и размер контейнера (рис. 7). Программа не отображает введенный пароль и не предлагает ввести подтверждение пароля, поэтому есть вероятность ошибки при вводе пароля — тогда подмонтировать созданный контейнер не получится и это нужно учитывать при работе с программой.



Рис. 5. Название контейнера



Рис. 6. Пароль для доступа к контейнеру



Рис. 7. Размер контейнера

Следующий вопрос — как форматировать контейнер: как FAT (будет совместимость с FreeeOTFE) или как ext2 (рис. 8). LUKS Manager создает контейнеры, совместимые с Windows-программой FreeOTFE. Как по мне, лучше бы программа поддерживала TrueCrypt. Однако нужно отметить, что наконец-то у FreeOTFE появилась поддержка 64-битных версий Windows, что позволяет более полноценно использовать связку LUKS Manager + FreeOTFE на современных компьютерах. Было бы неплохо, если у LUKS Manager была возможность удаленного монтирования контейнера, который находится на Windows-компьютере. Тогда бы вы могли на ПК с помощью FreeOTFE создать контейнер и удаленного подмонтировать его на вашем Android-устройстве. Преимущество такого решения — не нужно захламлять память устройства, да и сами бы данные физически не хранились бы на Android-устройстве, шансов потерять которое гораздо больше, чем обычный ПК.



Рис. 8. Как форматировать контейнер?

Далее программа сообщит вам, что контейнер создан и подмонтирован к папке /mnt/sdcard/<название контейнера>, в нашем случае — это /mnt/sdcard/photos (рис. 9). В настройках программы можно будет изменить название этой папки.



Рис. 9. Контейнер подмонтирован

Осталось запустить какой-то сторонний файловый менеджер и скопировать в созданный контейнер файлы (рис. 10).



Рис. 10. Файлы скопированы

Пробуем размонтировать контейнер (кнопка Unmount), при этом программа показывает окошко, позволяющее выбрать, какой именно контейнер нужно размонтировать (рис. 11).



Рис. 11. Размонтирование контейнера

После этого запускаем файловый менеджер и переходим в /mnt/sdcard/. Папка photos есть и она почему-то не удалена, но доступ к ней запрещен (рис. 12). Обычно такие временные папки должны удаляться после размонтирования. Но это мелочи, в принципе.



Рис. 12. Доступ к /mnt/sdcard/photos запрещен

  • Encryption keysize — размер ключа шифрования, по умолчанию 256 бит.
  • Mount directory — папка, к которой будут монтироваться контейнеры.
  • Explore on mount — если этот параметр включен, после монтирования контейнера его содержимое будет отображено во встроенном «проводнике» (рис. 15). Однако, встроенный файловый менеджер позволяет лишь просматривать содержимое контейнера, он не позволяет управлять файлами. Максимум, что есть полезного в нем — это окошко с информацией о файле, которое появляется, если нажать на файле в контейнере и удерживать палец некоторое время (рис. 16).



Рис. 13. Меню программы



Рис. 14. Настройки программы



Рис. 15. Встроенный файловый менеджер



Рис. 16. Окошко с информацией о файле

  • Программа бесплатная, но требует платного BusyBox (впрочем, есть и его ограниченная бесплатная версия)
  • Шифрование осуществляется «на лету»
  • Работа с подмонтированным контейнером осуществляется, как с обычной папкой. Все довольно просто.
  • Кроме программы необходимо устанавливать дополнительные приложения SuperSU и BusyBox (который, между прочим, не бесплатный, хотя сама LUKS Manager бесплатна).
  • Ограниченная функциональность программы: нет возможности монтирования удаленных контейнеров, нет возможности облачного шифрования, нет поддержки монтирования сетевых папок.
  • Неудобный встроенный файловый менеджер, позволяющий лишь просматривать файлы и папки.
  • Нет возможности выбрать внешний файловый менеджер.
  • Папки, к которым монтируется контейнер, автоматически не удаляются после размонтирования контейнера.
  • Нет поддержки русского языка.

Cryptonite

Программа Cryptonite довольно молода и находится на стадии тестирования, поэтому вряд ли ее можно использовать для шифрования каких-то особо важных данных. Справедливости ради, нужно отметить, что об этом честно предупреждают разработчики при первом запуске программы (рис. 17).



Рис. 17. Первый запуск Cryptonite



Рис. 18. Программа Cryptonite

Для создания локального контейнера нужно нажать кнопку Create local volume, после чего вы опять увидите предупреждение о том, что данная функция экспериментальна (рис. 19). Далее, как обычно, нужно выбрать метод шифрования (рис. 20), расположение контейнера, ввести пароль и его подтверждение (рис. 21). Мне понравилось, что программа предлагает ввести подтверждение пароля, что исключает его неправильный ввод при создании контейнера.



Рис. 19. Опять надоедающее предупреждение



Рис. 20. Выбор метода шифрования



Рис. 21. Ввод подтверждения пароля

Смонтировать созданный контейнер можно командой Mount EncFS на вкладке Local. Программа предложит выбрать контейнер. Контейнер после ввода пароля к нему будет подмонтирован к каталогу /mnt/sdcard/csh.cryptonite/mnt (рис. 22). Каталог для монтирования задается в настройках программы (рис. 23).



Рис. 22. Контейнер подмонтирован



Рис. 23. Настройки программы

В настройках нет особо ничего интересного, кроме папки для монтирования (Mount point), а также режима Чака Норриса, позволяющего отключить надоедающие и бессмысленные предупреждения. Также можно включить использование встроенного файлового менеджера при монтировании контейнера (Use built-in file browser), но учитывая традиционно скудный функционал этой части программы (рис. 24), я не рекомендую включать этот параметр. Данный «файловый менеджер» не может даже открыть файл. Он позволяет только просмотреть содержимое контейнера и ничего больше.



Рис. 24. Встроенный просмоторщик контейнера

  • Поддержка облачного шифрования (Dropbox).
  • Шифрование на лету.
  • Поддержка контейнеров TrueCrypt, что пригодится, если с контейнером нужно будет работать на стационарном ПК.
  1. Требует поддержки FUSE, что есть не у каждого устройства.
  2. Очень скудный файловый менеджер, позволяющий только просмотреть содержимое контейнера и ничего больше
  3. Нет поддержки сетевых папок (хотя этот недостаток слегка скрашен поддержкой Dropbox)
  4. Программа до сих пор экспериментальная (хотя появилась довольно давно, и с тех пор ее закачало более 50 000 человек). Использовать ее или нет, решать только вам, но для защиты важных данных я бы не стал ее использовать. Лучше поискать другую программу.
  5. Нет поддержки русского языка.

CyberSafe Mobile

Программу CyberSafe Mobile мы уже неоднократно рассматривали в нашем блоге, поэтому подробного ее описания не будет. Настоятельно рекомендую прочитать статью «Совместное использование криптодисков на ПК и Android», в которой описан один из случаев использования программы.
Поэтому вместо обзора программы, дабы не повторяться, будет приведено ее сравнение с ранее описанными в этой статье программами.
Первым делом нужно отметить, что для работы с программой не нужны права root. Да, в этом случае функционал программы будет ограничен, и вы не сможете подмонтировать созданный сейф (так в CyberSafe Mobile называется зашифрованный контейнер), но зато ваш смартфон не «слетит» с гарантии, если вы получите root-доступ. Однако, учитывая, что программа обладает полноценным файловым менеджером, это не проблема. Вы можете работать с файлами в сейфе без его монтирования и установки стороннего файлового менеджера. Из соображений безопасности программа не позволяет делать некоторые скриншоты, поэтому окно встроенного файлового менеджера, в котором отображается содержимое сейфа, удалось лишь сфотографировать обычным фотоаппаратом (рис. 25). Как видите, программа обладает полноценным файловым менеджером. Пусть это и не ES Проводник, но зато, в отличие от ранее описанных программ, встроенный файловый менеджер Cybersafe Mobile умеет управлять файлами — копировать, перемещать, удалять, создавать новые файлы и папки. Прошу прощения за качество снимка, но чтобы не было блика, планшет фотографировался без вспышки, поэтому фотография немного темновата.



Рис. 25. Встроенный файловый менеджер CyberSafe

  • Метод монтирования — как уже отмечалось, если ваше устройство не имеет root-доступа или не поддерживает FUSE, то можно не монтировать сейф, а работать с ним через встроенный файловый менеджер.
  • Базовый путь для монтирования — каталог, к которому будут монтироваться сейфы.
  • Сторонний файловый менеджер — программа позволяет, как использовать встроенный, так и внешний файловый менеджер, причем она обнаруживает уже установленные на вашем устройстве менеджеры и позволяет выбрать один из них.



Рис. 26. Опции монтирования

Также стоит отметить русскоязычный интерфейс программы CyberSafe Mobile, что облегчает работу с программой пользователям, не владеющим английским языком (рис. 27).



Рис. 27. Интерфейс программы. Создание сейфа

Только уже благодаря всему этому (возможность работы без root и FUSE, полноценный файловый менеджер и русскоязычный интерфейс) программа на голову выше LUKS Manager и Cryptonite. Но это еще не все. У программы есть ряд функций, которые приводят к нокауту конкурентов.
Во-первых, это поддержка алгоритма ГОСТ — в отличие от остальных программ, в которых используется только AES или Blowfish (рис. 28).



Рис. 28. Выбор алгоритма шифрования при создании сейфа

Во-вторых, программа поддерживает монтирование сетевых папок, что позволяет использование удаленного сейфа, находящегося на удаленном ПК (рис. 29). Принцип прост: сам контейнер хранится на ПК, к нему предоставляется общий доступ по сети. Выходит, что контейнер открывается на смартфоне, на ПК он всегда хранится в зашифрованном виде, данные по сети передаются также зашифрованными, что исключает их перехват. Все действия по шифрованию и расшифровке данных осуществляются на мобильном устройстве. Даже если вы потеряете свое устройство, никто не получит доступ даже к зашифрованным данным, поскольку они хранятся на удаленном компьютере.



Рис. 29. Работа с сетевыми папками

  • Возможность работы без root-доступа и поддержки FUSE (просто сейфы не будут монтироваться).
  • Прозрачное шифрование «на лету»
  • Собственный полноценный файловый менеджер
  • Русскоязычный интерфейс
  • Поддержка алгоритма шифрования ГОСТ
  • Возможность выбора стороннего файлового менеджера, в котором будет открываться содержимое сейфа
  • Поддержка монтирования сетевых папок
  • Возможность работы с удаленными контейнерами (VPN-сейф)
  • Возможность совместного использования одного и того же контейнера на смартфоне и на ПК (с помощью программы CyberSafe Top Secret).
  • Нет необходимости устанавливать (покупать) сторонние приложения (как в случае с LUKS Manager)
  • Программа не бесплатная, но есть ее Lite-версия, не поддерживающая монтирование и сетевые папки. Если вы не планируете использовать удаленные сейфы, и ваше устройство не поддерживает FUSE или же вы не хотите получать root-доступ, чтобы не «слететь» с гарантии, тогда Lite-версия — как раз то, что вам нужно. Для вас CyberSafe Mobile будет бесплатной, а функционал Lite-версии будет даже лучше, чем у бесплатной LUKS Manager, учитывая полноценный файловый менеджер.
  • Для полноценной работы программы нужна поддержка FUSE (однако, на современных устройствах — это уже не проблема).

Как видите, таковых недостатков у программы нет и их выделение — больше мои придирки к программе, дабы никто не обвинил меня в предвзятости. Думаю, ни у кого не возникло сомнений, что победителем нашего сравнения сегодня оказалась программа CyberSafe Mobile. Если у вас остались вопросы, мы с радостью ответим на них в комментариях к этой статье.

Посоветуйте какой-то аналог Veracrypt для андройда, чтобы мог шифрованные контейнеры как папки монтировать, с хорошей крипкостоикостью.

И ещё интересует норм фаерфолл (рут есть). Я хотел бы видеть, что ломится в интернет. Потом, если запустил локальный сервис - оставить возможность подключения к порту с локалхоста и закрыть из интернета.




Давно выкинул, на компе пользуюсь LUKS.
В описании LUKS Manager из плеймаркета, говорится, что нужно ядро, скомпилированное с поддержкой loopback devices и dm-crypt, видимо потому он у меня и не работает.
А своё собирать - это 30Гиг надо вытянуть у производителя и у меня траффика счас мало (помимо того, что этим заниматься - очевидный гемморой).
Телефон рутованый и меня интересует, чтобы на флешке был криптованный раздел/контейнер с файлами, который не будет доступен в случае кражи.


EDS подойдёт?
По поводу файервола, пользуюсь AFWall+. Форк DroidWall.


AfWall+ из f-droid вполне годная огнестена

меня интересует, чтобы на флешке был криптованный раздел/контейнер с файлами, который не будет доступен в случае кражи.

Стандартный Adoptable Storage шифрует.


Он платный. Ты пользовался им? Справляется с функциями заявленными?
Ну т.е., я предполагаю, что утилита должна уметь монтировать контейнер так, чтобы он был доступен из любого приложения/файлового менеджера, как обычная папка.
Отзывы норм вроде по нему.

Спасибо, поставил - то что надо, отличная утилита.


Давно дело было, когда truecrypt контейнеры использовал. С последней версией много изменений сделали и я её не использовал, поэтому ничего не могу сказать.


VeraCrypt — наиболее популярный форк знаменитого средства шифрования TrueCrypt. Почему ему часто отдают предпочтение? На стороне VeraCrypt — открытый исходный код, а также собственный и более защищенный по сравнению с TrueCrypt формат виртуальных и зашифрованных дисков. Исходники VeraCrypt проходили независимый аудит, и найденные уязвимости с тех пор закрыли, что сделало «Веру» еще надежнее.

Как взламывает контейнеры VeraCrypt полиция

Эта статья не о том, как ломать криптоконтейнеры. Однако, если ты не знаешь, как станут действовать эксперты, пытающиеся получить доступ к зашифрованным данным, будет трудно понять смысл описанных действий.

Действия эксперта в лаборатории зависят от того, что именно и каким именно образом изъято при обыске.

Стандартные методы

Самый типичный случай — изъятие внешних накопителей целиком; компьютеры выключаются и также изымаются целиком, но в лабораторию к эксперту попадает не целый компьютер в сборе, а только извлеченные из него диски.

Подобный сценарий — тот самый случай, противостоять которому так долго готовились разработчики всех криптоконтейнеров без исключения. Лобовые атаки на криптоконтейнеры малоэффективны, а на некоторые их разновидности (в частности, загрузочные разделы, зашифрованные в режиме TPM или TPM + ключ) неэффективны абсолютно.

В типичном случае эксперт попытается сначала проанализировать файлы гибернации и подкачки. Если пользователь пренебрег настройками безопасности криптоконтейнера (кстати, при использовании BitLocker эти настройки далеко не очевидны), то ключи шифрования спокойно извлекаются из этих файлов, а зашифрованные тома расшифровываются без длительных атак. Разумеется, в ряде случаев эта атака не сработает. Она будет бесполезна, если выполнено хотя бы одно из описанных ниже условий.

1. Загрузочный диск зашифрован. В этом случае и файл подкачки, и файл гибернации будут также зашифрованы. Например, если для шифрования загрузочного раздела используется BitLocker (это имеет смысл, даже если остальные данные зашифрованы в контейнерах VeraCrypt), то Microsoft подробно описывает модель безопасности в FAQ и BitLocker Security FAQ (раздел What are the implications of using the sleep or hibernate power management options?). Кстати, из этого правила есть исключения — например, если файл подкачки вынесен на отдельное от загрузочного устройство (довольно распространенный случай для пользователей, которые таким образом «экономят» ресурс загрузочного SSD).

2. Компьютер был выключен штатным образом (через команду Shutdown) или был изъят в состоянии гибридного сна либо гибернации; при этом криптоконтейнер настроен таким образом, чтобы автоматически размонтировать зашифрованные тома и уничтожать ключи шифрования в оперативной памяти при переходе компьютера в сон, гибернацию или при его отключении.

Немного сложно для восприятия? Упрощу: если в момент изъятия зашифрованный том был смонтирован, а полиция просто выдернула вилку из розетки, то ключ шифрования, скорее всего, останется в файле гибернации (удастся ли его оттуда вытащить — зависит от пункта 1). А вот если компьютер выключили командой Shutdown, то наличие или отсутствие ключа будет зависеть от настроек криптоконтейнера. О том, как правильно настроить VeraCrypt, мы поговорим дальше.

3. Наконец, очевидное: анализ файлов подкачки и гибернации совершенно бесполезен, если в момент изъятия компьютера зашифрованный том не был подмонтирован.

Если извлечь ключи шифрования не удается, эксперт поищет их в облаке или корпоративной сети (для томов, зашифрованных штатными средствами BitLocker или FileVault 2). Только после этого в ход пойдет лобовая атака — перебор паролей.

С перебором паролей тоже непросто. Во-первых, давно прошли времена, когда под «лобовой атакой» понимался простой брутфорс. Скорость атаки будет такой, что полный перебор всего пространства паролей становится бесполезен, если длина пароля к криптоконтейнеру превышает 7–8 символов. Соответственно, для атак используются словари, в первую очередь — словари, составленные из паролей самого пользователя (извлечь их можно как из компьютера пользователя, так и из его мобильных устройств или напрямую из облака Google Account). Давно разработаны методы анализа паролей и составления правил-шаблонов, на основе которых будут генерироваться «похожие» пароли.

Для атаки в полиции будут использовать один из немногих пакетов программ, позволяющих запустить атаку на множестве (в теории — до нескольких тысяч, в реальности — порядка сотен) компьютеров, каждый из которых будет оснащен несколькими графическими ускорителями. Звучит неправдоподобно? Тем не менее во время тренингов для полиции в разных частях земного шара я видел помещения с компьютерами, использующимися для распределенных атак. Могу сказать о них следующее. Создателей фантастических фильмов в эти помещения, очевидно, не пускают, поэтому на экранах кинотеатров нам приходится наблюдать жалкие плоды убогой фантазии. Просто чтобы обозначить масштаб, поделюсь поразившим меня фактом: на рабочих столах полицейских экспертов одного британского захолустья стоят компьютеры с GeForce 2080 и 40 процессорными ядрами.

Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.


Дальше опробуют атаку с мутациями (берется слово из словаря, и проверяются его варианты, составленные по довольно простым правилам, которыми пользуется подавляющее большинство обычных пользователей). Кстати, на мутациях чаще всего и заканчиваются попытки атак в тех случаях, когда у полиции нет зацепок — не удалось получить ни одного пароля пользователя.


Если это не сработает, в ход пойдут маски (попытки вручную сконструировать пароли, «похожие» на те, которые были найдены у пользователя).



В особо сложных случаях дело дойдет до гибридных атак (использование комбинаций из одного или двух словарей в комбинации со скриптованными правилами, масками и/или префиксами).


Нестандартные методы

Нестандартно действовать полиция начинает в редких случаях, когда у подозреваемого заранее предполагается наличие зашифрованных «цифровых улик». В этом случае вместе с оперативниками выезжают подготовленные эксперты, которые проконтролируют изъятие и попытаются исследовать включенные, работающие компьютеры прямо на месте. Эксперт попробует сделать следующее.

Продолжение доступно только участникам

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Читайте также: