PDA

Visualizza versione completa : VeraCrypt e la fine de "Il tempo delle mele"...


retalv
05-05-2015, 15.43.59
Come sà chiunque si sia documentato sull'argomento anche solo a livello informativo, il noto software di crittografazione TrueCrypt è stato ufficialmente abbandonato dai suoi creatori da circa un anno (in pratica sono 3 ma facciamo finta che...): forse è meglio fare un poco di cronistoria e un punto della situazione.

TrueCrypt è stato, a mio modesto parere, il software che ha decretato il vero punto di rottura con il concetto obsoleto di crittografia in ambito personal computer. Quando venne rilasciato ormai tutti i produttori di sistemi operativi (Windows e Linux con figli, figliastri e cugini) avevano implementato sistemi di codifica proprietari o aperti ma messuno, volutamente o involontariamente, aveva considerato la crittografazione come una reale esigenza dell'utenza smaliziata(spiegherò cosa intendo per reale), relegando la funzione a mero accessorio folcloristico. Le cose stanno lentamente cambiando ma l'utente medio non ha ancora raggiunto la consapevolezza della sua importanza e nei sistemi operativi non sono stati implementati strumenti sufficientemente semplici per la gestione della crittografia da parte dell'utenza standard.

Perchè TrueCrypt è stato abbandonato?
Esiste solo una "pseudo" risposta a questa domanda: gli autori non erano più intessati al suo sviluppo.
Molte sono state le illazioni sull'argomento: spaziavano da "...l'NSA li ha minacciati di chiudere altrimenti...", "...il software ha backdoors..." e chi più ne ha più ne metta...
Probabilmente la risposta più semplice, data da chi ha seguito l'evoluzione del software, è quella vera: gli autori speravano nelle donazioni libere e quando hanno visto il coagularsi di opinioni favorevoli alle richiesta di un audit e che per questo le donazioni superavano quelle per il developement del software, hanno deciso di interromperne l'evoluzione per un anno ("mungendo" quel poco che rimaneva) prima di abbandonare definivamente il progetto.

Cosa è emerso dall'analisi in due fasi dei sorgenti di TrueCrypt?
A mio parere molto meno di quanto ci si aspettava. Alcune debolezze (principalmente nella gestione degli headers dei volumi crittografati) non rendono "de facto" il software insicuro per gli usi standard dell'utenza media e se utilizzato con accortezza, ignorando AES (tanto più AES-NI), potrebbe essere utilizzato ancora per diversi anni senza grosse paure ... (a meno non siate spie internazionali... ;))
Rimane comunque il fatto che siete soli: il software in quella veste non è ne verrà mai più supportato.

Quindi? Cosa rimane?
Ci sono diversi fork di TrueCrypt: alcuni sono ancora a livello embrionale (e forse rimarranno solo delle intenzioni senza seguito) e altri sono progetti tangibili e "testrabili".

Ad oggi i progetti (fork) sono quattro:
- VeraCrypt
- GostCrypt
- TCNext
- CipherShed

- CipherShed
Attualmente è in fase di rebranding della versione 7.1a di TrueCrypt: nessuna vesione ufficiale è stata rilasciata e consiferando la fiducia del Web su questo fork (almeno uno dei developers è o è stato consulente NSA e il procetto ha locazione USA) mai verrà rilasciata.

- TCNext
E' una delle versioni europee (made in Svizzera) dei fork elencati: anche questo progetto è in fase di rebranding (per altro forzato dalla vecchia licenza di TrueCrypt) e per ora ha solo dato la luce a una versione alpha senza particolari modifiche: siamo tutti in attesa di sviluppi o di fusione (sperata) con un altro fork... nota positiva è la dichiarazione di voler supportare (come per TrueCrypt) altri sistemi operativi quali Linux, OSX ecc.

- GostCrypt
Questo è un fork "anomalo" (made in Francia): a Gennaiol 2015 è stata rilasciata la versione 1.0 che altro non è che un TrueCrypt 7.1a a cui sono stati sostiuiti gli algoritmi di cifratura con un unico algorimo russo (il Gost 28147-89 appunto del '89, simmetrico e molto simile al DES) e gli algoritmi di "confusione" con i loro equivalenti russo dela serie GOST 34.11: tanto per dire, l'eseguibile di GostCrypt evidenzia tuttora la versione 7.1a di TrueCrypt. L'algoritmo è stato reso pubblico della Federazioni Russa ma ovviamente non è dato sapere il motivo per cui è stato abbandonato... ;) ... ma se il DES è considerato ad oggi insicuro e 2+2=4... L'efficienza dell'algoritmo (MB processati al secondo) è molto bassa (50) se paragonata ai 3 algoritmi nidificati di TrueCrypt (150MB/Sec nella peggiore situazione).

- VeraCrypt
Ad oggi è l'unico fork (made in Francia) realmente attivo e che ha una propria e reale evoluzione: gli algoritmi utilizzati sono quelli del TrueCrypt 7.1a nidificati e non, nel modo che TrueCrypt ci ha abituato ad usare. Dalla versione 1.0f-2 (quella attualmente scaricabile) sono state teoricamente seguite le raccomandazioni di entrambi i livelli dell'audit di TrueCrypt.
Come detto, VeraCrypt non si ferma a un banare rimaneggiamento dei sorgenti ma a un loro irrobustimento (come il controllo di coerenza dell'header di volume), evolvendo sia nell'uso degli algorimi di hash (confusione) sia nel numero di interazioni nel calcolo delle password interne (si passa dalle 1000 di TrueCrypt alle 250.000 o 500.000 a seconda delle situazioni) e in una evoluzione (seppur parziale) della crittografazione del sistema operativo in versione multi-boot (è per ora supportato solo il multi-boot con un solo sistema operativo sul disco di sistema attivo, per approfondimenti vi rimando alla documentazione ufficiale...).

Purtroppo non tutto quello che luccica è oro: diversamente dall'intento di TCNext non pare sia nemmeno ipotizzata la gestione di sistemi operativi diversi da Windows e lo scotto di un'enorme maggior sicurezza nel calcolo delle password mutualemte indipendenti rende estremamente più lungo il tempo di primo accesso a un volume crittografato.
Tanto per fare un esempio: sul mio sistema con CPU Intel I5-2500K 3.30Ghz (non l'ultimo grido della savana ma nemmeno vecchissimo) e 13 partizioni disco tra logiche e primarie, se con cahe delle password pulita uso la funzione "Montaggio Automatico" per accedere a due partizioni crittografate con medesima password, attendo circa 5 minuti prima di aver accesso. Se accedo alle medesime partizioni con la cache delle password "sporcata da altre password il tempo di attesa dilata a 15 minuti e oltre. Con TrueCrypt avrei atteso al massimo 2 secondi in qualsiasi situazione.


"...reale esigenza dell'utenza smaliziata..."
Diverse volte, anche su questo forum, mi sono sentito interloquire...

"...ma cosa te ne farai poi della crittografazione tu che usi il computer per svago e a casa... cosa avrai mai da nascondere?!"

Quando non era un amico omettevo di rispondere, quando lo era chiedevo ...

"...se con il dito ti mostro la luna, tu guardi il dito o la luna?"

Non bisogna essere spie o terroristi o essere Edward Snowden per aver bisogno della crittografia: basta, per farla semplice e senza entrare troppo nel personale pur rimanendo nel legale, avere l'home banking e utilizzare i propri terminali per connettersi. Sono talmente tante le informazioni che rimangono sui nostri dischi che è sufficiente il primo "topo" di appartamento e il non sapere chi acquisterà la sua merce rubata per mettere a rischio i nostri conti correnti. Con queste considerazioni c'è qualcuno che pensa che perdere qualche secondo per digitare una password sia deprecabile o ancora peggio "stupido"? C'è ancora qualcuno che continua a guardare il dito?

Ai posteri... ;)

retalv
21-08-2015, 00.09.59
Con le ultime versioni del pacchetto (1.12 e 1.13) sono state esaudite le molte richieste di alleggerimento della fase di login a un volume criptato.

Nelle versioni precedenti il numero di interazioni era diversificato (ma fisso) a seconda del tipo di algoritmo di criptazione e confusione: con queste versioni (che comunque supportano anche il vecchio sistema) è diminuito il numero fisso di interazioni a c.a. 1/5 nei volumi di sistema crittografati (era ridicolo dover aspettare diverse decine di secondi per veder avviare il sistema operativo) ed è stato reso in un certo qual modo "definibile" il numero di interazioni per tutti i volumi (sistema, non di sistema e container) permettendo ad esempio di spaziare dalle spropositate (quanto sicure) 500.000 interazioni alle più umane (in termini di tempi di verifica password) 16.000 (con tutto quanto ci sta in mezzo secondo gli step che seguono...).

Per operare in tal senso è stato introdotto un nuovo parametro definibile dall'utente. il PIM (Personal Iterations Multipler).

Il moltiplicatore PIM è utilizzabile esclusivamente in abbinamento a password di ALMENO 20 caratteri.

In soldoni, il numero di interazioni risulta dal seguente schema:

PASSWORD < 20 caratteri
+----------------------+
Volumi di sistema crittografati: Interazioni = 98 x 2048
Volumi non di sistema e containers: Interazioni = 15000 + (485 x 1000)

PASSWORD >= 20 caratteri
+------------------------+
PIM >= 1 <= 485
Volumi di sistema crittografati: Interazioni = PIM x 2048
Volumi non di sistema e containers: Interazioni = 15000 + (PIM x 1000)

Cosa cambia per la sicurezza?

Praticamente una cippa, anzi... il parametro PIM è definibile dall'utente ma rimane slegato dalla configurazione di VeraCrypt. Ciò implica che l'utente potrà-dovrà definire anche questo parametro per poter accedere ai dati del volume crittografato rendendo ancora più difficile un attacco brute-force, a causa della nuova incognita di n^485 sul numero di interazioni da calcolare.

Sicuramente qualcuno si lamenterà della cosa per il fatto di "...dover ricordare anche questo nuovo parametro..." ... tranquilli, l'uso di PIM non è un obbligo, ma vorei fare alcuni semmplici e banali esempi di come il suo utilizzo può diventare conveniente e a nostro favore senza per questo dover impazzire...

Volete volumi con password e PIM diversificati?
Inserite nella password scelta con almeno 20 caratteri la sequenza di numeri che secondo la sequenza di calcolo da voi scelta fornirà il numero da inserire nel campo PIM, ad esempio...
Password: 34@fenomenoDa8araccon3 - PIM: (34-8)*3 = 78

Volete una password molto difficile da scopirire con PIM fisso per tutti i volumi?
Su una chiavetta USB caricate una cartella di cui manterrete costante il contenuto e che userete come keyfiles, scegliete una password abbastanza facile da ricordare (magari contenente il PIM da desumere da un calcolo come nell'esempio precedente) e avrete come risultato una password scomposta in tre parti praticamente impossibile da rintracciare a un comune mortale (per qualche servizio di controspionaggio estero non metterei la mano sul fuoco... :asd:)

Lascio a chi legge ogni altra variante.

Se non vi ho annoiato, fatemelo sapere... ;)

borgata
21-08-2015, 09.42.40
Una domanda:
ma oggi, in soldoni, VeraCrypt è sufficientemente stabile a maturo per l'utilizzo da parte dell'utente comune?
Oppure siamo ancora in quelle fasi di lavoro sul vecchio software per cui è meglio aspettare che il progetto prenda meglio forma?

retalv
22-08-2015, 00.12.03
La prima release stabile di VeraCrypt risale a giugno 2013 e nasce sulla base di TrueCrypt 7.1a (l'ultima vera release di TrueCrypt). Da allora molte cose sono state aggiornate e cambiate nel sottobosco (vedi le note di rilascio) e passando dal solo sviluppo per Windows a quello sia per Linux sia per MacOSX.

Per quanto ne so, il cuore degli algoritmi di criptazione (ad esclusione del ciclo di interazioni, aumentato sin dalla prima release) non è stato quasi toccato, in quanto le possibili insicurezze rilevate dall'audit riguardavano principalmente i contorni (mancate verifiche dell'header, mancati controlli sui buffers, ecc.) mentre per la logica di codifica l'unico appunto riguardava l'AES. Questi aspetti dovrebbero essere stati tutti risolti con la versione 1.0f-2.

Dire che è esente da bug sarebbe un controsenso. Basta leggere le note di rilascio e si vede che i fix "fioccano", ma se devo essere sincero, usandolo nei modi canonici non ho mai avuto problemi di alcun tipo ad sclusione dei tempi di accesso "biblici"...

Se vuoi un parere franco, mi fido piu di VeraCrypt che di qualche "signor nessuno" che può perdere solo la faccia (e solo quella).

E' si un software free che non dà alcuna garanzia legale all'utilizzatore, ma il semplice fatto che una, se pur piccola, software-house spenda tempo e credibilità a svilupparlo e mantenerlo è di fatto una garanzia maggiore di uno qualsiasi degli altri tre progetti (per altro al momento completamente fermi... stai te ad aspettare gli svizzeri... :) ... magari si sono accorpati a VeraCrypt senza farlo sapere in giro, ma dubito...).

Personalmente uso tre partizioni crittografate con VeraCrypt (1TB esterno, 10GB + 10GB interni) e, per non invecchiare aspettando il login del sistema, usavo fino a ieri TrueCrypt per la partizione su SSD.
Ora uso VeraCrypt senza rimpianti anche per la codifica del disco di sistema.

La v1.14 è già disponibile in beta come Nightly Builds per risolvere alcuni piccoli bug: il primo è, per me che sono un pigro, particolarmente fastidioso (ma riuscirò a sopravvivere nell'attesa della release ufficiale ;)), vedi lista in seguito... che dirti di più?

- Windows:

* Solve option "Cache password in drive memory" always disabled even if checked in preferences.
* Solve UI language change not taken into account for new install unless a preference is changed.
* Driver: Support returning StorageDeviceProperty when queried through IOCTL_STORAGE_QUERY_PROPERTY.
* Minors GUI fixes.

Dimenticavo... con questa release i download su SourceForge si sono impennati passando da poche decine a 1800 (a solo 12gg dal rilascio) ... esistono ottime probabilità che per l'immediato futuro il software riceva un più adeguato debugging... e magari una bella ripassata alla traduzione in italiano (...venghino signori venghino...).

Vari links per chi fosse interessato...

https://www.idrix.fr/

https://veracrypt.codeplex.com

http://sourceforge.net/projects/veracrypt/files/VeraCrypt%20Nightly%20Builds/


Release Notes

1.13 (August 9th, 2015):

Windows:
Solve TOR crashing when run from a VeraCrypt volume.

1.12 (August 5th, 2015):

All OSs:
Implement "Dynamic Mode" by supporting a Personal Iterations Multiplier (PIM). See documentation for more information.

Windows:
Detect Boot Loader tampering ("Evil Maid" attacks) for system encryption and propose recovery options.
Fix buffer overrun issue and other memory related bugs when parsing language XML files.
Fix wrongly reported bad sectors by chkdsk caused by a bug in IOCTL_DISK_VERIFY handling.
Fix privacy issue caused by configuration and history files being updated whenever VeraCrypt is used (reported by Liran Elharar)
Fix system favorites not always mounting after cold start.
Solve installer error when updating VeraCrypt on Windows 10.
Implement decryption of non-system partition/drive.
Include 64-bit exe files in the installer and deploy them on 64-bit machines for better performances.
Allow using drive letters A: and B: for mounting volumes
Make command line argument parsing more strict and robust (e.g. /lz rejected, must be /l z)
Add possibility to show system encryption password in Windows GUI and bootloader
Solve "Class Already exists" error that was happening for some users.
Solve some menu items and GUI fields not translatable
Make volumes correctly report Physical Sector size to Windows.
Correctly detect switch user/RDP disconnect operations for autodismount on session locked.
Add manual selection of partition when resuming in-place encryption.
Add command line option (/cache f) to temporarily cache password during favorites mounting.
Add waiting dialog for Auto-Mount Devices operations to avoid freezing GUI.
Add extra information to displayed error message in order to help analyze reported issues.
Disable menu entry for changing system encryption PRF since it's not yet implemented.
Fix failure to change password when UAC required (inherited from TrueCrypt)
Minor fixes and changes (see Git history for more details)

Linux:
Solve installer issue under KDE when xterm not available
Fix warnings on about/LegalNotice dialogs when wxWidgets linked dynamically (N/A for official binary)
Support hash names with '-' in command line (sha-256, sha-512 and ripemd-160)
Remove "--current-hash" switch and add "--new-hash" to be more coherent with existing switches.
When only keyfile specified in command line, don't try to mount using empty password.
If mounting using empty password is needed, explicitly specify so using: -p ""

1.0f-2(April 5th, 2015):

All OSs:
Mounting speed improvement, up to 20% quicker on 64-bit (contributed by Nils Maier)
Add option to set default hash/TrueCryptMode used for mounting volumes.
Use TrueCryptMode/Hash specified in command line in password dialog.
Windows:
Solve CryptAcquireContext vulnerability reported by Open Crypto Audit Phase II.
Proper handling of random generator failures. Inform user in such cases.
TrueCrypt Mode related changes:
Support mounting TrueCrypt system partition (no conversion yet)
Support TrueCrypt volumes as System Favorites.
Correct displaying wrong TrueCrypt mode in volume properties when SHA-256 is used.
Solve PIN BLOCKED issue with smart cards in a special case.
Correctly handle file access errors when mounting containers.
Solve several issues reported by the Static Code Analysis too Coverity.
Bootloader: Add "Verifying Password..." message.
When UAC prompt fails (for example timeout), offer the user to retry the operation.
Uninstall link now open the standard "Add/Remove Programs" window.
On uninstall, remove all VeraCrypt references from registry and disk.
Included VeraCryptExpander in the Setup.
Add option to temporary cache password when mounting multiple favorites.
Minor fixes and enhancements (see git history for more information)
MacOSX:
Solve issue volumes not auto-dismounting when quitting VeraCrypt.
Solve issue VeraCrypt window not reopening by clicking dock icon.
Linux/MacOSX:
Solve preferences dialog not closing when clicking on the 'X' icon.
Solve read-only issue when mounting non-FAT volumes in some cases.
Support opening/exploring mounted volumes on desktops other than Gnome/KDE.
Solve various installer issues when running on less common configurations
Minor fixes (see git history for more information)

1.0f-1 (January 4th, 2015)

All OSs:
Add support for old TrueCrypt 6.0.
Change naming of cascades algorithms in GUI for a better description.
Linux/MacOSX:
Make cancel button of the preference dialog working.
Solve impossibility to enter a one digit size for the volume.
Add wait dialog to the benchmark calculation.
Windows:
Add TrueCrypt mode to the mounted volume information.
For Windows XP, correct the installer graphical artefacts.

1.0f (December 30, 2014)

All OSs:
Add support for mounting TrueCrypt volumes.
Add support for converting TrueCrypt containers and non-system partitions.
Add support for SHA-256 for volume encryption.
Make SHA-512 the default key derivation algorithm and change the order of preference of derivation algorithms : SHA-512 -> Whirlpool -> SHA-256 -> RIPEMD160
Deprecate RIPEMD160 for non-system encryption.
Speedup mount operation by enabling choice of correct hash algorithm.
Display a wait dialog during lengthy operations to avoid freezing the GUI.
Implement creation of multiple keyfiles at once, with predefined or random size.
Always display random gathering dialog before performing sensitive operations.
Links in the application now points to the online resources on Codeplex
First version of proper VeraCrypt User Guide
MacOSX:
Implement support for hard drives with a large sector size (> 512).
Link against new wxWidgets version 3.0.2.
Solve truncated text in some Wizard windows.
Linux:
Add support of NTFS formatting of volumes.
Correct issue on opening of the user guide PDF.
Better support for hard drives with a large sector size (> 512).
Link against new wxWidgets version 3.0.2.
Windows:
Security: fix vulnerability in bootloader detected by Open Crypto Audit and make it more robust.
Add support for SHA-256 in system boot encryption.
Various optimizations in bootloader.
Complete fix of ShellExecute security issue.
Kernel driver: check that the password length received from bootloader is less or equal to 64.
Correct a random crash when clicking the link for more information on keyfiles
Implement option to auto-dismount when user session is locked
Add self-test vectors for SHA-256
Modern look-and-feel by enabling visual styles
few minor fixed.

1.0e (September 4, 2014)

Improvements and bug fixes:
Correct most of the security vulnerabilities reported by the Open Crypto Audit Project.
Correct security issues detected by Static Code Analysis, mainly under Windows.
Correct issue of unresponsiveness when changing password/key file of a volume. Reduce overall time taken for creating encrypted volume/partition.
Minor improvements and bug fixes (look at git history for more details).


1.0d (June 3, 2014)

Improvements and bug fixes:
Correct issue while creating hidden operating system.
Minor improvements and bug fixes.

retalv
22-08-2015, 16.17.03
Trovato nuovo bacozzo nella v1.14beta...

Se viene attivata l'opzione per mantenere la password nella cache e si usa il PIM, se si esegue il logout del volume e poi si riesegue il login il sistema non riesce a fare il login per il semplice fatto che il PIM non viene salvato in memoria assieme alla password...

Sono queste le cose che fanno girare le scatole... basterebbe fare una semplice prova di 30" e tutti questi bachi non avrebbero luce... :facepalm:

Fatta segnalazione... sperem...

borgata
22-08-2015, 22.30.22
Eheh questo è macroscopico in effetti!

Grazie ;)

retalv
23-08-2015, 15.07.49
Eheh questo è macroscopico in effetti!

Grazie ;)

Se ne è avuto "a male" ... :rotfl:

Gli ho risposto "in rima" aggiungendo altro... vediamo se mi manda a cag..e ... o se capisce che non c'è trippa per gatti ed è ora di "fly down"... :asd:

https://veracrypt.codeplex.com/discussions/644052#post1441410

VincenzoGTA
24-08-2015, 08.14.37
puoi anche dirgli che grazie a te ha avuto un posto fra le nostre news software http://news.wintricks.it/software/sicurezza-privacy/40779/veracrypt-1.13/ con visibilità anche dalla pagine facebook di WinTricks... https://www.facebook.com/wintricks.it?ref=aymt_homepage_panel

Ps: Grazie della segnalazione ;)

retalv
24-08-2015, 16.40.58
Ps: Grazie della segnalazione ;)
Di nulla. Non mi ha risposto (vediamo se mai lo farà) ma detto papale papale cominciano a nascermi dei dubbi...

Quello che vediamo OK, qualche bachetto nella GUI ci stà ... ma se la logica di programmazione è quella che ho percepito mi vengono i brividi a pensare cosa può aver fatto riguardo le raccomandazioni dell'audit... spero vivamente di sbagliarmi e che cambi logica di utilizzo del PIM che, in questo momento, è veramente "barbara".

A parte il PIM che di suo sarebbe una cosa MOLTO positiva, per il resto sta stravolgendo il funzionamento logico del programma, con una logica tutta sua ... sembra appartenere all'UCAS (Ufficio Complicazioni Affari Semplici)... o come disse Albert Einstein ... con molta teoria...

"La teoria è quando si sa tutto e non funziona nulla. La pratica è quando funziona tutto e nessuno sa il perché. Qui abbiamo riunito teoria e pratica: non funziona nulla e nessuno sa il perché!"

ri-sperem...

retalv
31-08-2015, 00.02.19
Il 28 c.m. è uscita (in modo silente) una nuova versione 1.14 beta che mi ha fatto cambiare idea sul pacchetto (praticamente buona parte di quanto scritto nei posts precedenti, in special modo riguardo le considerazioni di fiducia del post #4 http://forum.wintricks.it/showpost.php?p=1705528&postcount=4).

Malgrado le lecite richieste di correzione della cattiva gestione di programmazione hanno deciso (ovviamente lecitamente) di ignorare i problemi di sicurezza con PIM in chiaro registrato nei preferiti... cosa sicuramente molto meno sicura che metterlo in cache temporanea assieme alla password (in compenso in questa versione hanno "mascherato" il valore di PIM durante l'immissione in GUI :rotfl::rotfl:).

Considerando la voglia di scrivere "spiritosaggini" con "Did you see anywhere in the GUI or the documentation that the PIM is cached?" e "It is clearly written that the password is cached and never the PIM so it is wrong to call this a bug." quando devi attendere che l'applicazione vada in errore prima di poter inserire il PIM relativo, confermo che questa e' una cattiva implementazione che mi fa fortemente dubitare sul "come" possano essere state gestite le raccomandazioni delle due fasi di audit.

Visti i presupposti che si potrebbero anche riassumere in "...io sono io e voi non capite un ca..o!" :asd: sono tornato al fido (anche se meno sicuro) TrueCrypt 7.1a, che per i miei bisogni di sicurezza risulta ancora abbondantemente valido e non presenta le "bestialita di gestione'" descritte (alle quali si aggiunge la demenziale richiesta di PIM al boot, in modalità extra password... sarebbe bastato poco gestire 10 caratteri direttamente nel campo password... ma quando uno crede di sapere tutto... :devil1:).

Con un occhio (poco) vigile per eventuali modifiche "di rotta"... ai posteri..!

retalv
04-01-2016, 15.18.07
NEWS

Stanno/hanno implementato il caching del PIM ... è solo questione di tempo e prima o poi arrivano a rifarlo come deve essere fatto... :act: :snack:


Changes between 1.16 and 1.17-BETA (3 January 2016) :

(this build adds Alt+i shortcut for "Use PIM" checkbox on Windows, better fix for CVE-2016-1281).

- All OSs:
* Support UNICODE passwords: all characters are now accepted in passwords (except Windows system encryption)
* Optimize Whirlpool code by using assembly (25% speed gain).
* Include new icons and graphics contributed by Andreas Becker (www.andreasbecker.de)

- Windows:
* Sign binaries using both SHA-1 and SHA-256 to follow new Microsoft recommendations.
* Solve issues under Comodo/Kaspersky when running an application from a VeraCrypt volume.
* Fix dll hijacking issue affecting installer that allows code execution with elevation of privilege (CVE-2016-1281)
* Bootloader: Protect password/PIM length by filling the fields to maximum length with '*' after ENTER
* Solve issue with system favorites not being able to be mounted to drive A:
* Solve lost focus issues for after displaying the waiting dialog
* Implement PIM caching, for both system encryption and normal volumes. Add options to activate it.
* Internal rewrite to make VeraCrypt native UNICODE application.
* Workaround to avoid false positive detection by some anti-virus software.
* Fix TB unit can't be deselected in VeraCryptExpander.
* Add Alt+i keyboard shortcut for "Use PIM" checkbox.
* Minor GUI and translations fixes.
Source: README.TXT, updated 2016-01-04

http://sourceforge.net/projects/veracrypt/files/VeraCrypt%20Nightly%20Builds/

VincenzoGTA
04-01-2016, 19.02.24
Ottimo...!!! ;)

borgata
04-01-2016, 19.42.32
Sembra una buona notizia.
Dato che non ricordo bene la discussione, il problema per cui ti eri lamentato è quindi risolto?

retalv
05-01-2016, 00.24.39
Sembra una buona notizia.
Dato che non ricordo bene la discussione, il problema per cui ti eri lamentato è quindi risolto?

All'80% ... avevo chiesto di poter inserire il valore del PIM assieme alla password mediante un campo fisso ad esempio @PIM#123# ma dinamico nella posizione...

Se la PW è 123456789012345678901234567890 vorrei poter scrivere 123@PIM#123#456789012345678901234567890 o 12345678@PIM#123#9012345678901234567890 (o una o l'altra, ovviamente, altrimenti la password dovrebbe essere pulita dal campo PIM prima del caching e non avrebbe un gran senso) per inserire entrambi in un sol colpo, aggiornando in automatico il campo PIN nella GUI.

Non è solo una facilitazione al caching della password e del PIM (cosa che al momento pare sia ancora separata e generale, devo provare ma il caching funziona in maniera generalizzata per la password e questo mi fa pensare valga ugualmente per il PIM...), ma una ulteriore caratterizzazione che aumenta l'entropia essendo possibile inserirla in qualsiasi punto ... ma farlo capire a chi pensa di avere "il verbo" non è facile... se volete provare a scrivere anche voi la stessa cosa magari capiscono... :fiufiu:

La proverò e vi saprò dire.... ;)

---

Provato. Pensavo male ... il caching del PIM viene fatto sulla singola password e coesistono in cache password multiple, cosa buona e giusta.

Direi che cominciamo a ragionare... ho provato con valore di PIM 123 ed è abbastanza veloce, poi ho provato con 321 (il default mi sembra sia 485) e non ho trovato differenze sostanziali contro il 123.

Ritengo continui ad essere macchinoso inserire PW e PIM in caselle separate, ma almeno adesso sembra ridiventare usabile ... se vi interessa anche poco, fate i bravi e fatevi sentire sul loro blog, più voci aumentano il peso della richiesta... ;)

Ci vorrebbe anche qualcuno che rimettesse a posto la traduzione in italiano: quella esistente non sempre è giusta e ormai troppe solo le stringe non tradotte.. ormai uso solo l'inglese per capire esattamente alcune cose... (N)

retalv
28-01-2016, 01.49.47
Nuova versione beta, di cui è interessante il supporto della creazione volumi con exFAT. L'aggiunta del shortcut Alt+i per l'attivazione del PIM fa sorridere, ma piuttosto che un calcio nel sedere... :rolleyes:

Changes between 1.16 and 1.17-BETA18 (26 January 2016) :

(this build adds support for creating exFAT volumes and fixes somes Linux/MacOSX command line issues)

- All OSs:
* Support UNICODE passwords: all characters are now accepted in passwords (except Windows system encryption)
* Cut mount/boot time by half thanks to a clever optimization of key derivation (found by Xavier de Carné de Carnavalet)
* Optimize Whirlpool code by using assembly (25% speed gain compared to previous code).
* Add support for creating exFAT volumes (Windows and Linux).
* Include new icons and graphics contributed by Andreas Becker (http://www.andreasbecker.de)

- Windows:
* Fix dll hijacking issue affecting installer that allows code execution with elevation of privilege (CVE-2016-1281). Reported by Stefan Kanthak (http://home.arcor.de/skanthak/)
* Sign binaries using both SHA-1 and SHA-256 to follow new Microsoft recommendations.
* Solve issues under Comodo/Kaspersky when running an application from a VeraCrypt volume (Reported and fixed by Robert Geisler)
* Bootloader: Protect password/PIM length by filling the fields to maximum length with '*' after ENTER
* Solve issue with system favorites not being able to be mounted to drive A:
* Solve lost focus issues for after displaying the waiting dialog
* Implement PIM caching, for both system encryption and normal volumes. Add options to activate it.
* Internal rewrite to make VeraCrypt native UNICODE application.
* Workaround to avoid false positive detection by some anti-virus software.
* Hide disconnected network drives in the list of available drives. Add option to make them available for mounting.
* Solve issue that caused in some cases configuration and history XML files to be updated even when not needed.
* Fix leak of path of selected keyfiles in RAM.
* Fix TB unit can't be deselected in VeraCryptExpander.
* Add Alt+i keyboard shortcut for "Use PIM" checkbox.
* Minor GUI and translations fixes.

- Linux/MacOSX:
* Fix issue of --stdin option not handling correctly passwords that contain a space character (reported and fixed by Codeplex user horsley1953).
* Fix issue creating volumes using command line with a filesystem other than FAT.
* Support K/M/G/T suffixes for --size switch to indicate unit to use for size value.

retalv
14-02-2016, 15.50.15
Rilasciata versione 1.17 finale per i maggiori sistemi operativi, segue uno dei soliti indirizzi...

https://sourceforge.net/projects/veracrypt/?source=typ_redirect

Changes between 1.16 and 1.17 (13 February 2016) :

- All OSs:
* Support UNICODE passwords: all characters are now accepted in passwords (except Windows system encryption)
* Cut mount/boot time by half thanks to a clever optimization of key derivation (found by Xavier de Carné de Carnavalet)
* Optimize Whirlpool code by using assembly (25% speed gain compared to previous code).
* Add support for creating exFAT volumes.
* Add GUI indicator for the amount of randomness gathered using mouse movement.
* Include new icons and graphics contributed by Andreas Becker (http://www.andreasbecker.de)

- Windows:
* Fix dll hijacking issue affecting installer that allows code execution with elevation of privilege (CVE-2016-1281). Reported by Stefan Kanthak (http://home.arcor.de/skanthak/)
* Sign binaries using both SHA-1 and SHA-256 to follow new Microsoft recommendations.
* Solve issues under Comodo/Kaspersky when running an application from a VeraCrypt volume (Reported and fixed by Robert Geisler)
* Bootloader: Protect password/PIM length by filling the fields to maximum length with '*' after ENTER
* Solve issue with system favorites not being able to be mounted to drive A:
* Solve lost focus issues for after displaying the waiting dialog
* Solve rare issue where some partitions where associated with wrong disk the "Select Device" dialog.
* Implement PIM caching, for both system encryption and normal volumes. Add options to activate it.
* Don't try mounting using cached passwords if password and/or keyfile are specified in the command line.
* Internal rewrite to make VeraCrypt native UNICODE application.
* Workaround to avoid false positive detection by some anti-virus software.
* Hide disconnected network drives in the list of available drives. Add option to make them available for mounting.
* Solve issue that caused in some cases configuration and history XML files to be updated even when not needed.
* Fix leak of path of selected keyfiles in RAM.
* Fix TB unit can't be deselected in VeraCryptExpander.
* Add Alt+i keyboard shortcut for "Use PIM" checkbox.
* Minor GUI and translations fixes.

- Linux/MacOSX:
* Fix issue of --stdin option not handling correctly passwords that contain a space character (reported and fixed by Codeplex user horsley1953).
* Fix issue creating volumes using command line with a filesystem other than FAT.
* Support K/M/G/T suffixes for --size switch to indicate unit to use for size value.

mattr
05-03-2016, 18.05.10
molto interessante! la sicurezza informatica e dei propri dati è sempre più importante! io a scanso di equivoci uso regolarmente una vpn per navigare in sicurezza...Che ne pensate?


Nota del moderatore:

Ti pregherei di rispettare il Regolamento del Forum (cliccami) (http://forum.wintricks.it/regolamento.html).
In particolare, leggi attentamente il punto 28.

retalv
30-04-2016, 21.02.23
Un piccolo passo riguardo l'usabilità (anche se a scapito di una teorica minor sicurezza) sta per essere fatto... ;)

Changes between 1.17 and 1.18-BETA5 (28 Avril 2016) :

(this build makes VeraCrypt auto select A: or B: only when there is no other free drive letters)

- Windows:
* Fix boot issues on some machines by increasing required memory by 1 KiB
* Correctly remove driver file veracrypt.sys during uninstall on Windows 64-bit.
* Implement passing smart card PIN as command line argument (/tokenpin) when explicitly mounting a volume.
* When no drive letter specified, choose A: or B: only when no other free drive letter is available.
* Reduce CPU usage caused by the option to disable use of disconnected network drives.
* Add new volume ID mechanism to be used to identify disks/partitions instead of their device name.
* Add option to avoid PIM prompt in pre-boot authentication by storing PIM value unencrypted in MBR.
* Allow files drag-n-drop when VeraCrypt is running as elevated process.
* Minor GUI and translations fixes.
- Linux:
* Fix mount issue on Fedora 23.
- Mac OSX:
* Solve compatibility issue with newer versions of OSXFuse.

nicomixx
06-05-2016, 22.25.34
Ciao a tutti, non ho mai usato un software per la crittografia dei files e vorrei provare ad usare VeraCrypt per proteggere i miei files in caso di furto del notebook ma ho alcuni dubbi.
Utilizzo Windows 10 Home e l'hard disk è diviso in due partizioni: una per il sistema operativo ed i programmi ed una per i dati e le cartelle utente come "Documenti, Musica, Immagini", etc..
In realtà sarebbe indispensabile solo proteggere le cartelle "Documenti" e "Immagini" però non mi piace l'idea di dover creare un volume crittografato di dimensioni prestabilite per poi potervi inserire queste cartelle (con la possibilità che il suddetto volume possa, in futuro, rivelarsi insufficiente) quindi vorrei crittografare l'intera partizione dati.
Optando per quest'ultima soluzione, potrei fare in modo che la partizione venga automaticamente decrittografata subito dopo aver effettuato il login con il mio account del sistema operativo e nuovamente crittografata immediatamente prima del logout? Questa operazione quanto tempo potrebbe prendere? Nel momento in cui aggiungo un nuovo file alla partizione (ad esempio dopo aver scaricato una iso di 4 GB), la fase in cui il software va a crittografare la partizione al momento del logout dal sistema si allungherebbe di parecchio?

retalv
07-05-2016, 01.37.10
Ciao!

Sarebbe stato meglio tu avessi almeno letto la documentazione del software prima di fare domande: per risponderti come sarebbe giusto si dovrebbe fare copia-incolla di diversi capitoli del suddetto... proverò a darti almeno le basi.

In realtà sarebbe indispensabile solo proteggere le cartelle "Documenti" e "Immagini" però non mi piace l'idea di dover creare un volume crittografato di dimensioni prestabilite per poi potervi inserire queste cartelle (con la possibilità che il suddetto volume possa, in futuro, rivelarsi insufficiente) quindi vorrei crittografare l'intera partizione dati.

Per prima cosa riordiniamo le idee: non puoi "...inserire queste cartelle..." dove vuoi tu; o crei un volume (crittografato o non) e attraverso link simbolici fai puntare le cartelle "Documenti" e "Immagini" alle "gemelle" sul nuovo volume, oppure crittografi il volume che le contiene (tipicamente è il volume di sistema C: ).
Per secondo, crittografare una partizione rende il volume che ne deriva NON ridimensionabile se non eseguendo una (lunga) operazione di backup, ridimensionamento e ricodifica. Per una situazione "dinamica" devi necessariamente creare-operare con container dinamici.

Optando per quest'ultima soluzione, potrei fare in modo che la partizione venga automaticamente decrittografata subito dopo aver effettuato il login con il mio account del sistema operativo e nuovamente crittografata immediatamente prima del logout?

Non hai capito come funziona la crittografia: il sistema riporta "in chiaro" solo le richieste di lettura, tutto quanto è su disco o quanto scrivi su disco rimane sempre crittografato.
Per rispondere alla domanda, no. Avresti la password di accesso in chiaro con quanto ne consegue... Devi prima crittografare la partizione di sistema, poi definire i "System Favorites" che necessitano: questi verranno montati automaticamente al login dell'utenza.

Questa operazione quanto tempo potrebbe prendere? Nel momento in cui aggiungo un nuovo file alla partizione (ad esempio dopo aver scaricato una iso di 4 GB), la fase in cui il software va a crittografare la partizione al momento del logout dal sistema si allungherebbe di parecchio?

Se prima avevo dubbi, questi sono diventati certezza. ;) Il file viene crittografato "al volo", quando arrivi al logout i giochi sono fatti da un pezzo... comunque, per i tempi di lavoro dipende dal tipo di hard-disk utilizzato, dal tipo di algoritmo (o mix di algoritmi), dalla potenza di calcolo della tua CPU e dal suo utilizzo.
Per darti parametri di valutazione sull'efficienza degli algoritmi disponibili, sul mio Intel I5 2500K (ormai fuori produzione da tempo) si parte dai 3GB/s dell'AES hardware per arrivare a 155MB/s con AES(Twofish(Serpent), col sistema in idle... se la CPU sta facendo altro ovviamente i tempi si allungano.
Questi prendile come velocità "teoriche" in quanto il vero collo di bottiglia sono i dischi e il sistema di trasferimento: la velocità massima sarà sempre quella del sistema più lento, se nel tuo sistema trasferisci dati a 100MB/s quella sarà la tua velocità anche per VeraCrypt...

Ti consiglio VIVAMENTE di leggere in rete come funziona VeraCrypt (o TrueCrypt ora abbandonato, di cui VeraCrypt è il successore ma mantiene la logica di funzionamento). Trovi una marea di pagine in italiano e inglese che ti daranno una idea di come possa essere usato. Fatto questo leggiti il manuale (Google translator è tuo amico...) e prova in virtuale (Virtualbox o VMware Player) il pacchetto.
Il pacchetto si installa in inglese ma il linguaggio italiano è già presente e basta selezionarlo.
Tieni presente che la traduzione italiana non è sempre ben fatta e forse, proprio per imparare, ti conviene mantenerlo in inglese per avere un riferimento diretto col manuale (solo in inglese).

Quando avrai fatto, se avrai ancora bisogno, posta i dubbi ... non i "buchi neri"... ;)

nicomixx
09-05-2016, 22.24.32
Grazie per le risposte.
Mi sono documentato meglio e sono passato direttamente ad installare Vercacrypt: ho criptato l'intera partizione dati e selezionato l'automount all'avvio. La mia CPU non supporta le istruzioni per la crittografia AES e di per se non è una scheggia (Celeron T3000) però tutto sommato non subisco enormi rallentamenti all'avvio: se, ad esempio, provo ad accedere alla cartella "Downloads" appena l'unita crittografata viene montata me la apre pure ma poi non mi lascia accedere alle sottocartelle fino a che, dopo qualche secondo, non chiudo la finestra e ripeto l'operazione.
Mi rendo conto che salvare la password di una unità crittografata in un file in chiaro possa sembrare un controsenso però dovendomi difendere solo dai ladri di galline per dei dati che nessuno riterrebbe così interessanti e volendo ottenere il massimo in termini di velocità/comodità, se fosse possibile, mi piacerebbe poter salvare la password da qualche parte e fare in modo che venga immessa automaticamente.
Ti risulta sia possibile?

retalv
11-05-2016, 00.20.17
Mi rendo conto che salvare la password di una unità crittografata in un file in chiaro possa sembrare un controsenso però dovendomi difendere solo dai ladri di galline per dei dati che nessuno riterrebbe così interessanti e volendo ottenere il massimo in termini di velocità/comodità, se fosse possibile, mi piacerebbe poter salvare la password da qualche parte e fare in modo che venga immessa automaticamente.
Ti risulta sia possibile?

Devi creare un normalissimo script .bat o .CMD dove da command line monti il drive crittografato (per i comandi vedi nel manuale). Copi lo script in "Esecuzione automatica" (o l'equivalente di Win10, ma se ricordo bene è identico) e se lo script è giusto ad ogni login dell'utenza il/i driver verrà montato.

Potresti inserire il comando anche in ...
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
ma se non sei pratico dei registry astieniti...

nicomixx
15-05-2016, 11.52.30
Devi creare un normalissimo script .bat o .CMD dove da command line monti il drive crittografato (per i comandi vedi nel manuale). Copi lo script in "Esecuzione automatica" (o l'equivalente di Win10, ma se ricordo bene è identico) e se lo script è giusto ad ogni login dell'utenza il/i driver verrà montato.

Potresti inserire il comando anche in ...
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
ma se non sei pratico dei registry astieniti...

Appena ho un attimo ci provo....grazie!

retalv
25-05-2016, 14.21.46
Novità in arrivo (per il momento disponibile solo in beta e in via sperimentale)...

- Windows:
* First experimental support of EFI system encryption (limitatations: no rescue disk, no hidden os, no boot custom message)

https://sourceforge.net/projects/veracrypt/files/VeraCrypt%20Nightly%20Builds/

Blisset
08-08-2016, 16.27.50
Salve,
ho una domanda un pò tecnica.
Ho un hard disk esterno diviso in 4 partizioni, più una partizione da 128 MB che Windows 7 crea in automatico. In ogni hard disk che ho c'è una partizione di questo tipo da 100-128 MB, creata da Windows 7 in automatico. A che serve esattamente questa piccola partizione e perchè Windows la crea?

Ho criptato una delle partizioni normali con VeraCrypt 1.17 64bit.

Vorrei sapere se in questa piccola partizione creata da Windows 7 in automatico ci sono degli indici o dei database NTFS o delle copie o degli elenchi non so che potrebbero essere usati per conoscere il contenuto della partizione criptata. Devo criptare pure questa piccola partizione?

Se io dovessi eliminare questa piccola partizione, avrei problemi ad accedere alle partizioni normali?
Grazie infinite

xilo76
08-08-2016, 21.56.13
Ciao Blisset! :)

Vedi Tip: Understand (and Get Rid of) the Mysterious Small Partition (cliccami) (https://technet.microsoft.com/en-us/magazine/gg441289.aspx).

...serves two functions. First, it holds the Boot Manager code and the Boot Configuration Database. Second, it reserves space for the startup files required by the BitLocker Drive Encryption feature. If you ever decide to encrypt your system drive using BitLocker, you won’t have to repartition your system drive to make it possible. Traduco la parte più importante (ovvero a cosa serve):...assolve due funzioni. In primo luogo, esso contiene il codice per la gestione dell'avvio (Boot Manager code) e la tabella per la configurazione dell'avvio (Boot Configuration Database). In secondo luogo, riserva lo spazio per i file di avvio richiesti dalla funzionalità di cifratura/crittografia del disco bitlocker (BitLocker Drive Encryption). Se si decidesse di crittografare l'unità di sistema utilizzando BitLocker, non sarà necessario ripartizionare il disco di sistema per renderlo possibile.Comunque, pare che non contenga dati sensibili.
Non ti consiglio di cancellarla... Nel link precedente è scritto di creare una partizione unica prima dell'installazione di windows per evitare la creazione della partizione riservata da/per Microsoft.

retalv
09-08-2016, 00.06.52
Ho un hard disk esterno diviso in 4 partizioni, più una partizione da 128 MB che Windows 7 crea in automatico. In ogni hard disk che ho c'è una partizione di questo tipo da 100-128 MB, creata da Windows 7 in automatico.
Alla tua domanda ha già risposto xilo76, ma vorrei fartene una io...

Premessa: Windows 7 crea la partizione nascosta solo in fase di installazione del sistema operativo e da quanto scrivi ... "In ogni hard disk che ho c'è una partizione di questo tipo da 100-128 MB, creata da Windows 7 in automatico." ... pare che su ogni hard disk in tuo possesso tu (o chi per te) abbia installato Windows 7 e che nel disco esterno, oltre ad aver installato il sistema operativo, tu abbia una partizione estesa che a sua volta contiene due partizioni logiche.

Considerando la non facilissima installazione di Windows 7 su HD esterni, mi potresti sintetizzare la procedura utilizzata per l'installazione del sistema operativo?