Защита конфиденциальных данных и анонимность в интернете 3 страница
Также, для убедительной отрицаемости (существования томов TrueCrypt) следует соблюдать особую осторожность и выполнять все рекомендации по работе с зашифрованными томами и по общей настройке системы, так как даже незначительные ошибки, не дающие противнику прямого доступа к зашифрованным файлам, могут тем не менее выявить их существование. Если вам может понадобиться "убедительная отрицаемость", особенно внимательно ознакомьтесь с разделами об уязвимостях TrueCrypt и утечках информации.
Во многих странах ордер на обыск обязывает человека выдать такую информацию как коды к сейфам и так далее, что распространяется, в том числе, на зашифрованную информацию на жестких дисках. Если наличие зашифрованной информации можно доказать, то невыдача паролей доступа может быть сама по себе нарушением закона.
[править]
TrueCrypt — скрытые тома (hidden volumes)
Хранение скрытого тома
Скрытые тома — решение проблем, разобранных в разделе об "убедительной отрицаемости", предлагаемое программой TrueCrypt. Скрытые тома хранятся вложенно, внутри свободной области другого, обычного тома, см. иллюстрацию.
Обычный том, внутри которого создается скрытый, в таком случае называется "внешний том" (outer volume). Для скрытого тома годится внешний том как в файле-контейнере так и занимающий устройство. Внешний том и скрытый том хранящийся в его свободном месте, обязательно имеют разные пароли. Хранение внутри внешнего тома решает проблему наличия бессмысленных данных с высокой энтропией, которые служат хоть и не полным, но весьма серьезным доказательством наличия зашифрованного тома. В случае же с томом, скрытым внутри обычного тома, доказать его существование таким образом невозможно. При форматировании внешнего тома TrueCrypt все пространство заполняется случайными байтами. Внутренний, скрытый том, если не знать пароль доступа к нему, тоже выглядит как случайные данные.
Если вам может понадобиться "убедительная отрицаемость", рекомендуется использование скрытых томов. Внешний том, таким образом, заранее предназначается для выдачи противнику. Для убедительности, на него может быть сохранена информация, выглядящая как что-то, нуждающееся в скрытии (например, порнография из интернета, разумеется, не противозаконная, умно составленная дезинформация или что-то другое). При необходимости, пароль к внешнему тому может быть выдан противнику. Внешний том послужит объяснением, почему на вашем компьютере имеется программа TrueCrypt, кроме того в свободной области будет спрятан скрытый том, наличие которого невыявляемо анализом содержимого используемого файла-контейнера или устройства хранения.
Если вы еще не сделали этого, создайте том TrueCrypt с файловой системой FAT, который будет использоваться как внешний для скрытого тома. Внешний том TrueCrypt не может иметь тип файловой системы NTFS, из-за внутреннего устройства NTFS. При создании нового тома тип файловой системы выбирается на странице мастера Volume Format (Форматирование Тома).
Удобнее всего скопировать подходящие файлы-обманки до создания скрытого тома. Это позволит автоматически вычислить, сколько места необходимо оставить внешнему тому, а сколько отдать под скрытый. Для пробного использования возможностей скрытия тома, скопируйте на выбранный внешний том с файловой системой FAT какие-нибудь файлы, обязательно оставляя достаточно свободного места для скрытого тома.
Режим работы мастера
После этих подготовительных операций, надо снова запустить мастер создания тома TrueCrypt. На первой странице мастера нужно выбрать Создать скрытый том TrueCrypt (Create a hidden TrueCrypt volume). После перехода далее, пользователь попадает на страницу мастера Wizard Mode (Режим работы мастера). Выбирайте второй вариант, Create a hidden volume within an existing TrueCrypt volume (Создать скрытый том внутри уже созданного обычного тома). Первый вариант здесь не рассматривается, но на самом деле просто позволяет выполнить две операции — создание обычного тома и создание скрытого — одну за другой. После этого следует уже рассмотренная до этого страница Volume Location (Расположение тома). В данном случае здесь вводится расположение уже существующего тома, обязательно с файловой системой FAT. Выбирайте существующий контейнер (Select File/Выбрать Файл) или устройство (Select Device / Выбрать устройство) и переходите далее. Далее страница мастера — Outer Volume Password (Пароль внешнего тома). Здесь надо ввести пароль тома, выбранного на предыдущей странице, так как вы бы делали при подсоединении (монтировании) этого тома. По сути, когда вы нажмете кнопку Next (Далее), происходит именно монтирование внешнего тома, чтобы узнать сколько свободного места в нем доступно для создания скрытого тома. После перехода далее, если пароль был правильно введен и мастеру удалось успешно подсоединить том для проверки, вы попадаете на страницу уведомления об успехе, где ничего не нужно вводить и можно просто перейти далее.
Следующие шаги похожи на соответствующие шаги при создании обычного тома — Настройки Шифрования, Размер Тома, Пароль доступа к тому, Форматирование тома.
На странице "Размер Тома", максимальное значение — размер свободной области внешнего тома. Если переходить далее ничего не меняя, выбирается максимальный размер. После выполнения форматирования на странице Volume Format (Форматирование Тома), скрытый том будет готов к использованию.
Скрытый том используется так же как и обычный. Сначала, его нужно подсоединить (смонтировать), при этом имя файла-контейнера или устройства будет то же самое, что и при монтировании внешнего тома, содержащего данный скрытый том. Различие заключается только в пароле доступа. То есть, используя один и тот же контейнер или устройство, можно смонтировать либо внешний том, либо скрытый (при условии, что он есть), в зависимости от того, какой пароль вводится.
Монтирование внешнего тома с защитой скрытого от повреждения
Особая осторожность необходима при работе с внешним томом, ошибочные действия могут запросто привести к порче данных на скрытом. Ведь внешний том не хранит никакой информации о скрытом томе, и даже о том есть ли скрытый том внутри его свободного пространства. Хранить такую информацию во внешнем томе — недопустимо, так как пароль внешнего тома и, таким образом, вся его информация предназначаются для сдачи противнику. Если просто смонтировать внешний том используя только его собственный пароль, то TrueCrypt ничего не будет знать о скрытом томе, и при добавлении новых данных на внешний том его область данных будет расти дальше, съедая свободное пространство. Если в свободном пространстве существует скрытый том, это может означать безвозвратную потерю данных скрытого тома! Если нужно смонтировать внешний том, особенно если на него будет записываться информация, используйте монтирование с защитой скрытого тома: в окне ввода пароля нажмите кнопку Mount Options (Опции монтирования), в появившемся окне надо отметить Protect hidden volume against damage caused by writing to outer volume (Защитить скрытых том от повреждения из-за записи во внешний) и ввести пароль скрытого тома. Учитывайте, что это может вызвать ошибки при добавлении данных во внешний том, так как защита не будет допускать запись в часть внешнего тома (где хранится скрытый). Еще одна возможность защитить скрытый том — вообще запретить запись при монтировании внешнего: для этого пометьте Mount volume as read-only (Смонтировать только для чтения), для такой защиты не требуется вводить пароль скрытого тома.
[править]
TrueCrypt — возможные уязвимости и "подводные камни", методы предотвращения
Теоретически, данные хранящиеся в зашифрованном томе TrueCrypt недоступны для противника даже с огромными вычислительными ресурсами — суперкомпьютерами или большими кластерами более слабых машин. Таким противником может быть, например, государство. Даже имея в распоряжении такие ресурсы, лобовая атака (brute force attack) против алгоритмов шифрования, используемых в томах TrueCrypt, требует астрономического времени для выполнения. Поэтому, в США такие алгоритмы как AES-256 (один из предлагаемых алгоритмов для томов TrueCrypt) могут использоваться, в том числе, для сверхсекретной документации. Однако, в определенных случаях есть возможность избежать "лобовой атаки", которая, при сегодняшнем состоянии науки, невыполнима.
Одна из наиболее часто встречающихся и опасных уязвимостей — так называемые "слабые пароли", которые могут сделать любую защиту (не только TrueCrypt) легко преодолимой, см. подробный разбор этой проблемы в разделе о паролях. Это — общая уязвимость всех систем защиты основанных на паролях, а не только TrueCrypt. Кроме соблюдения рекомендаций в разделе о выборе пароля, можно использовать ключ-файлы — для усиления паролей.
Вторая очень серьезная опасность — утечка данных, которая разбирается в отдельном разделе. Эта уязвимость не является следствием TrueCrypt, но должна быть учтена, чтобы избежать дыр в защите.
Еще одна опасность заключается в ситуации, когда противник получает информацию о том, как выглядели зашифрованные данные тома (в файле-контейнере либо устройстве) до и после каких-либо действий произведенных над томом. Пример: если вы скопируете файл-контейнер внешнего тома, а затем смонтируете хранящийся в нем скрытый том и произведете какие-то изменения в нем, это может раскрыть противнику существование скрытого тома. Хотя, не обладая паролем скрытого тома, противник не сможет видеть файлы и другую информацию скрытого тома напрямую, изменения в скрытом томе отразятся изменением каких-то байт в свободной области внешнего тома (который вы выдаете противнику вместе с паролем). Сравнив старую копию файла-контейнера с новой, противник выявит изменения, что нарушает "убедительную отрицаемость" существования скрытого тома. Также, возможно, это даст противнику еще какие-то более или менее серьезные козыри. Копирование файлов-контейнеров и другие операции, которые, в случае попадания жестких дисков и других носителей к противнику, предоставляют ему такие "слепки" зашифрованного образа тома до и после операций над ним, не рекомендуются создателями TrueCrypt. Для создания резервных копий ваших данных, лучше создайте еще один том с нуля, смонтируйте его и скопируйте данные с одного виртуального диска TrueCrypt на другой (новый), чтобы иметь резервную копию. Даже если вы выберете такой же пароль для нового тома, случайно выбираемые при создании тома параметры будут уже другие и сравнение зашифрованных данный томов будет абсолютно бессмысленно.
Если вы перемещаете файл-контейнер с одного диска на другой, учитывайте, что такое перемещение — это, на самом деле, копирование файла на новый диск, а затем автоматическое удаление старой копии со старого (это не относится к перемещению в другую папку на том же диске). При этом при обычном удалении файла данные какое-то время, иногда долгое, сохраняются там где и были, так что такое перемещение тоже создает проблему описанную выше. Для перемещения файла-контейнера на новый диск, скопируйте файл, затем безопасно удалите его специальной программой (см. раздел о безвозвратном удалении информации).
Опасность может также представлять Журналируемая файловая система (например, NTFS). Если жёсткий диск отформатирован под файловую систему NTFS, операционная система будет вести журнал изменений на данном диске. Это может быть опасно в случае если вы, например, храните файл-контейнер TrueCrypt на диске с файловой системой NTFS (или другой журналируемой файловой системой), так как это может помочь противнику реконструировать предыдущее состояние данных в файле-контейнере (до изменения). А это приводит к уже рассмотренным выше проблемам, таким как возможное нарушение отрицаемости существования скрытого тома. Поэтому, для хранения файлов-контейнеров зашифрованных томов предпочтительнее использовать нежурналируемые файловые системы, такие как FAT. Также, размер журнала изменений, как правило, ограничен, поэтому интенсивная работа с диском, производящая большое количество изменений на диске, скорее всего, приведёт к "выталкиванию" более старых записей в журнале изменений новыми. Для "очищения журнала" таким методом можно, например, применять функцию "очистка свободного места" программы Eraser (см. раздел о Eraser).
[править]
Утечка данных на незащищенные области дисков
Предположим, что есть зашифрованный том любого типа и на нем хранится файл с конфиденциальной информацией. Если том подсоединен (смонтирован), то вы можете легко скопировать этот файл на незашифрованный диск. Это и есть утечка данных. Точнее, самый тривиальный тип утечки — по прямой вине пользователя. Метод предотвращения таких утечек внешне простой, хотя соблюдать его всегда может быть не так уж и просто: работать с конфиденциальными файлами внимательно и аккуратно, никогда не сохранять и не копировать их на незащищенные (шифрованием) диски и прочие устройства.
Также, если вы не использовали шифрование на лету раньше и личные данные хранятся у вас на жестких дисках в открытом виде, они являются «утечкой».
Если произошла утечка информации, то есть на незащищенных дисках оказались какие-то файлы с конфиденциальной информацией, их необходимо как можно быстрее безвозвратно удалить с незащищенных дисков (перед удалением, возможно, скопировав на зашифрованные диски)..
Есть возможности утечки данных не связанные с прямой виной пользователя, как в описанных выше случаях, совершаемые программами, включая саму операционную систему. Многие программы создают временные файлы, куда попадает различная информация по которой можно реконструировать действия пользователя и, возможно, файлы с которыми он работал, частично или полностью, о чем пользователь может даже не подозревать.
Один из примеров — браузеры. Практически все популярные браузеры, такие как Internet Explorer, Firefox и Opera, сохраняют историю посещения сайтов, cookies и другую информацию, которая, при попадании к противнику, заинтересованному в интернет-активности пользователя, раскрывает недавнюю, а, зачастую, и давнюю интернет-активность. Программы для чата и отсылки сообщений могут хранить логи ваших интернет-разговоров и переписок неограниченное количество времени. Наконец, внутреннее устройство самой операционной системы может приводить к утечке информации.
Теоретически, какая-нибудь программа может создавать утечки где угодно на ваших жестких дисках. В общем случае, для уверенности надо ознакомиться со всеми настройками программы и с документацией, чтобы знать, где и какие файлы на жестких дисках она создает. Опытные пользователи могут также использовать бесплатные программы Regmon (мониторинг реестра) и Filemon (мониторинг всей файловой активности), для того, чтобы следить, какие изменения на жестких дисках и в registry производят программы.
К счастью, в большинстве случаев, файлы с опасными, с точки зрения утечек информации, данными скапливаются в нескольких известных местах. Выполнение всех шагов, описанных в разделе про создание защиты без утечек данных, решает подавляющее большинство известных проблем.
Выявленные утечки надо исправлять, удаляя эти файлы и папки без возможности восстановления. Но регулярные чистки таких файлов и папок — только заплата на неправильно настроенной системе. Следует настраивать операционную систему и программы так, чтобы временные файлы программ, история посещений сайтов и другая подобная информация всегда хранилась только в защищенном (зашифрованном) виде. Во многих программах пользователь может найти в настройках программы место, куда она записывает временные файлы и т. д., и поменять настройки так, чтобы эти файлы хранились на зашифрованных виртуальных дисках.
[править]
TrueCrypt — пошаговое создание защиты без утечек данных для повседневной работы
(информация устарела, т.к. вышла новая версия (v6.а и более поздние), позволяющая шифровать операционную систему)
Пошаговая процедура построения защиты:
Создайте зашифрованный том TrueCrypt с файловой системой FAT, который будет служить внешним. Можно создавать как том в файле-контейнере, так и том занимающий устройство, взависимости от того, какие свойства для вас предпочтительней. Размер должен быть достаточным для хранения всех файлов с конфиденциальной информацией, включая те, что будут созданы в дальнейшем, плюс достаточное место для файлов-обманок. Это должно быть как минимум несколько сотен мегабайт, рекомендуется один или несколько гигабайт. Пароль может быть не обязательно очень сложным, но делать его слишком простым тоже не стоит. Этот пароль не должен содержать пробелы, это необходимо для правильной работы TCGINA (см. использование внешнего тома в разделе о защите профайла). Данный внешний том предназначается для сдачи противнику в случае необходимости, настоящие конфиденциальные данные на него не копируются.
Внутри этого тома создайте скрытый том. На странице Volume Size (Размер Тома) уменьшите запрашиваемый размер, чтобы скрытый том не занял все пространство и сколько то места осталось для файлов обманок на внешнем томе. Внешнему тому надо оставить хотя-бы сто мегабайт или больше. То есть, если максимальный предлагаемый размер для скрытого тома — 1000 Мб, то можно уменьшить его, например, до 700 Мб. Выберите качественный, сложный пароль, проверьте, подходит ли для вас использование ключ-файлов. Остальные параметры остаются на усмотрение пользователя.
Подсоедините скрытый том. Скопируйте туда имеющиеся отдельные конфиденциальные файлы. Файлы следует именно копировать (copy), а не переносить (move). После копирования, удалите эти файлы с незащищенных дисков без возможности восстановления. Таким образом, получится безопасный перенос.
Обеспечьте хранение данных профайла (user profile) на этом скрытом томе, как описано в соответствующем разделе.
Уберите возможность утечек в файле-подкачки.
Уберите возможность утечек в файле 'hiberfill.sys'.
Отключите System Restore (Восстановление Системы).
Очистите свободные области дисков.
[править]
Защита профайла учетной записи Windows. TCGINA
(информация устарела, т.к. вышла новая версия (v6.а и более поздние), позволяющая шифровать операционную систему)
Профайл пользователя Windows - настройки и другие данные принадлежащие определенной учетной записи (аккаунту) Windows, например, содержимое рабочего стола Windows, папка My Documents этого аккаунта, папка для временных файлов, создаваемых при работе под этим аккаунтом, данные программ, привязанные к этому аккаунту (например, куки и закладки браузера). Все данные профайла хранятся в специальной папке, обычно на диске, на который была установленна операционная система (далее, <диск Windows>). Полный путь к данным профайла, обычно :
<диск Windows>:\Documents and Settings\<имя учетной записи>
Например, если Windows находится на диске C: а имя учетной записи — 'User', то это будет 'C:\Documents and Settings\User'.
Если не принять никаких мер для защиты, содержимое этой папки будет храниться в незашифрованном виде и представляет огромную угрозу для конфиденциальности данных. Когда программам нужно сохранять какие-то временные файлы, настройки или историю действий пользователя, они предпочитают создавать для хранения таких данных файлы и папки внутри главной папки профайла пользователя, то есть полный путь к ним будет '<диск Windows>:\Documents and Settings\<имя учетной записи>\...'. Например, при использовании популярных браузеров таких как Internet Explorer, Firefox и Opera, закладки, временные файлы, история посещения сайтов, куки и другая подобная информация оказывается в профайле пользователя. Также, ветка (hive) Registry, относящаяся к данному пользователю и часто содержащая утечки опасные, в частности, для отрицаемости, хранится в .dat файле внутри профайла.
Чрезвычайно важно обеспечить хранение профайла пользователя в зашифрованном виде, для того, чтобы защитить эту и другую информацию в профайле от противника.
Подготовительные действия
Для начала нужно выбрать учетную запись, которая будет зашифрована. Все учетные записи можно просмотреть открыв Control Panel (Панель Управления) - 'Start->Settings->Control Panel' и вызвав оттуда окно User Accounts (Учетные записи пользователей). Часто, на домашнем компьютере пользователя имеется одна единственная учетная запись с правами Администратора, под которой и совершаются все операции, включая как работу с конфиденциальными данными, так и операции не требующие защиты (игры, просмотр фильмов и т.д.). На момент проведения действий по защите конфиденциальных данных, в профайле учетной записи уже вероятно скопилось множество нежелательных файлов. Дальнейшие шаги предполагают, что расклад именно такой, а также, что имя единственной учетной записи - 'User'. В случае, когда учетных записей много, можно просто повторить дальнейшие шаги для всех учетных записей или той части, которую нужно обезопасить.
Для шифрования будет использоваться TrueCrypt и пакет TCGINA. Действия описанные в данном разделе в основном предусмотрены для выполнения как часть плана по защите системы, и предполагает, что вы уже создали внешний том TrueCrypt и скрытый том внутри него, с размером минимум 100 Мб.
Объем свободного места на скрытом томе TrueCrypt должен хотя-бы немного (а желательно значительно) превышать объем занимаемый профайлом (т.е. объем папки <диск Windows>:\Documents and Settings\<имя учетной записи> со всем содержимым). Кроме того, на внешнем томе должно быть определенное количество свободного места. Проверьте, выполняются ли эти условия.
Для того, чтобы зашифровать профайл пользователя, нужно иметь хотя-бы две учетные записи Windows, так как невозможно работая под учетной записью зашифровать ее. Можно специально создать дополнительную учетную запись с правами аднимистратора, чтобы можно было выполнить шифрование той учетной записи, под которой вы обычно работаете. Создать можно в окне User Accounts, или запустите интерпретатор команд (Start->Programs->Accessories->Command Prompt) и скопируйте туда команды
net user tmp.tcgina.user asdf1234 /add
net localgroup Administrators tmp.tcgina.user /add
net localgroup Users tmp.tcgina.user /delete
Это создает новую учетную запись 'tmp.tcgina.user' с паролем 'asdf1234' и правами администратора (см. описание net user и описание net localgroup).
Также понадобится утилита TCGINA. Скачайте последнюю версию TCGINA с сайта этой программы. TCGINA — Свободное программное обеспечение, с открытым исходным кодом. Архив, который надо скачать для установки TCGINA, называется 'tcgina-<номер версии>-pack.zip'. Для скачивания выбирайте версию, которая подходит для вашего компьютера — 32 бит или 64 бит, в зависимости от того, какой процессор.
Для того, чтобы извлечь нужные файлы утилиты TCGINA из архива, который вы скачали, может потребоваться программа 7-Zip. Если у вас нет программы 7-Zip, вы можете скачать ее с сайта разработчиков.
Откройте скачанный архив и зайдите во вложенный архив — файл который называется 'tcgina-<номер версии>.7z' (если не получается, надо установить 7-Zip). Для выполнения действий, описанных в данном разделе, нужна папка 'Install' из вложенного архива .7z. Извлеките папку 'Install' из архива в какое-нибудь место, где его будет легко найти, например на C:\.
Установка
TCGINA setup - Установить TCGINA
TCGINA setup - Зашифровать Профайл Пользователя
Запустите 'setup.exe' в извлеченной из архива папке 'Install'. В левом поле окна выберите Install TCGINA (Установить TCGINA), после этого в правой панели окна нажмите кнопку OK. Это устанавливает и регистрирует в системе необходимые файлы. Далее нужно переместить профайл пользователя на зашифрованный виртуальный диск TrueCrypt. Завершите работу под текущей учетной записью (Logoff) и зайдите в систему под созданной до этого учетной записью 'tmp.tcgina.user' (пароль: 'asdf1234').
Смонтируйте скрытый том TrueCrypt. Далее предполагается, что для виртуального диска была выбрана дисковая буква Z:.
Еще раз запустите setup.exe ('C:\Istall\setup.exe' если вы извлекли файлы на C:\). В левом поле окна выберите Encrypt User Profile (Зашифровать Профайл Пользователя). В правой панели окна нужно имя пользователя (название учетной записи) в строчке User Name, а также букву диска TrueCrypt ('Z:') в строчке TrueCrypt Drive. Нажмите кнопку 'OK'.
Теперь первоначальный профайл пользователя хранится в зашифрованном виде на скрытом томе TrueCrypt. Когда вы входите в систему под определенной учетной записью (Login), операционная система должна иметь доступ к профайлу. Но, пока пользователь не зашел в систему и не смонтировал том TrueCrypt используя пароль доступа, данные тома недоступны. Эту проблему решает утилита TCGINA, которая включает специальную системную DLL-библиотеку, которая перехватывает вход пользователя в систему и позволяет смонтировать зашифрованный том на этом этапе. Чтобы TCGINA вступила в работу, потребуется перезагрузка компьютера.
Вход в систему теперь будет проходить немного по-другому. Попробуйте зайти в систему под первоначальной учетной записью, которую вы зашифровали с помощью TCGINA / Encrypt User Profile. После выполнения обычных действий, должно появиться новое окно, которого раньше не было - это окно создается модулем TCGINA.DLL и предназначено для ввода пароля тома. При шифровании профайла утилита setup.exe сохранила все параметры (местонахождение тома, буква диска) кроме пароля, разумеется. Введите пароль скрытого тома и, если все было выполнено правильно, TCGINA смонтирует скрытый том используя этот пароль доступа, далее пойдет обычная процедура входа в систему (авто запуск программ и т.д.). Если все сработало так как надо, вы не должны заметить никаких изменений со времени последней работы под этой учетной записью (то есть перед проведением всех этих операций). Если использовалась дисковая буква Z:, то теперь ваш профайл хранится в 'Z:\Documents and Settings\<имя учетной записи>', в зашифрованном виде.
TCGINA при использовании возможности Encrypt User Profile копирует содержимое на зашифрованный диск, но оставляет старые файлы на месте. Если все работает как надо, безвозвратно удалите старую папку профайла на незашифрованном диске:
<диск Windows>:\Documents and Settings\<имя учетной записи>
Содержимое профайла при работе под этой учетной записью с этого момента защищено от попадания к противнику.
Использование внешнего тома, убедительная отрицаемость
После выполнения предыдущих шагов, данные профайла пользователя защищены от противника. Но, без выполнения специальных действий, нарушена "убедительная отрицаемость". TCGINA хранит информацию о том, в каком файле контейнере или на каком устройстве хранения расположен том. Эта информация сохраняется в Registry и может быть извлечена противником. Кроме того, без знания пароля тома TrueCrypt невозможно даже зайти в систему под учетной записью, профайл которой сохранен на томе. Таким образом, противник может легко определить, что вы прячете профайл на зашифрованном томе и потребовать пароль.
В то же время, TCGINA не хранит какой-либо информации о том, используется ли для хранения профайла внешний том или скрытый том. Как до этого было разобрано в разделе о скрытых томах, указывая тот же самый файл-контейнер либо устройство, в зависимости от введенного пароля монтируется либо скрытый том, либо содержащий его внешний том. Благодаря этому, можно восстановить убедительную отрицаемость существования данных профайла на скрытом томе, создавая как бы еще одну версию этого профайла на внешнем томе (пароль которого будет сдан противнику). Профайл при этом можно заполнить данными не нуждающимися в сокрытии. Это будет обеспечено шагами описанными ниже.
Снова зайдите в систему под созданной до этого учетной записью 'tmp.tcgina.user' (пароль: 'asdf1234'). Смонтируйте имеющийся внешний том. Далее предполагается, что вы смонтировали его на дисковую букву 'Z:'. При монтировании внешнего тома, обязательно используйте возможность "защита скрытого тома от повреждения".
Создайте на виртуальном зашифрованном диске ('Z:') папку 'Documents and Settings' и папку 'Documents and Settings'\<имя учетной записи>. Учетная запись в данном случае та же, которая до этого была защищена с помощью TCGINA. Заполните профайл этой учетной записи данными из профайла Default User (пользователь по умолчанию). Один из способов сделать это: запустите интерпретатор команд (Start->Programs->Accessories->Command Prompt) и введите
mkdir "Z:\Documents and Settings"
xcopy "<диск Windows>:\Documents and Settings\Default User" "Z:\Documents and Settings\<имя учетной записи>" /S /E /H /K /F /I
См. описание xcopy и описание mkdir. Например, если диск Windows - 'C:', а имя учетной записи - 'User':
mkdir "Z:\Documents and Settings"
xcopy "C:\Documents and Settings\Default User" "Z:\Documents and Settings\User" /S /E /H /K /F /I
Это содержимое профайла предназначено для сдачи противнику.
Завершите работу под текущей учетной записью (Logoff) и войдите в систему под изначальной учетной записью (профайл которой вы зашифровали). Теперь, когда TCGINA спросит пароль доступа к тому, есть две возможности: ввести пароль скрытого тома, начав работу с настоящим профайлом, или ввести пароль внешнего тома, начав работу с профайлом-обманкой для противника. Если вы выбираете второй вариант, обязательно обеспечьте защиту скрытого тома! В TCGINA это делается немного по-другому, чем при монтировании в обычном окне TrueCrypt: нет кнопки "опции" для вызова окна с дополнительными настройками (включая защиту скрытого тома), вместо этого для монтирования внешнего тома с защитой скрытого введите пароль внешнего, затем пробел и далее пароль скрытого тома.