From af5d91387e2e4fbd082e14aac5775c1e475f4904 Mon Sep 17 00:00:00 2001 From: Mounir IDRASSI Date: Tue, 3 Oct 2023 00:19:11 +0200 Subject: Translations: update Russian translation file and documentation by Dmitry Yerokhin. --- Translations/Language.ru.xml | 14 +- doc/html/ru/Documentation.html | 2 + doc/html/ru/FAQ.html | 23 ++- doc/html/ru/Release Notes.html | 5 +- .../ru/Security Requirements and Precautions.html | 2 + doc/html/ru/VeraCrypt Memory Protection.html | 106 ++++++++++++++ doc/html/ru/VeraCrypt RAM Encryption.html | 158 +++++++++++++++++++++ 7 files changed, 296 insertions(+), 14 deletions(-) create mode 100644 doc/html/ru/VeraCrypt Memory Protection.html create mode 100644 doc/html/ru/VeraCrypt RAM Encryption.html diff --git a/Translations/Language.ru.xml b/Translations/Language.ru.xml index 2f3f58f2..e120f575 100644 --- a/Translations/Language.ru.xml +++ b/Translations/Language.ru.xml @@ -1,7 +1,7 @@ - + @@ -1589,12 +1589,12 @@ ВНИМАНИЕ: Быстрое расширение следует использовать только в следующих случаях:\n\n1) Устройство, на котором находится файловый контейнер, не содержит конфиденциальных данных, и вам не нужно правдоподобное отрицание.\n2) Устройство, на котором находится файловый контейнер, уже надёжно и полностью зашифровано.\n\nВы действительно хотите использовать быстрое расширение? ВАЖНО: Перемещайте мышь как можно хаотичнее в пределах этого окна - чем дольше, тем лучше. Это значительно увеличивает криптостойкость ключей шифрования. Затем нажмите "Далее", чтобы увеличить размер тома. Нажмите "Далее", чтобы увеличить размер тома. - ОШИБКА: Увеличение размера тома не выполнено. + ОШИБКА: Размер тома не увеличен. ОШИБКА: Операция прервана пользователем. Готово. Размер том успешно увеличен. ВНИМАНИЕ: Выполняется увеличение размера тома!\n\nЕсли остановиться сейчас, это может привести к повреждению тома.\n\nВы действительно настаиваете на отмене? Запуск увеличения размера тома...\n - Нельзя увеличить размер внешнего тома, в котором есть скрытый том, так как при этом скрытый том будет уничтожен.\n + Нельзя увеличить размер внешнего тома, в котором есть скрытый том, так как скрытый том будет при этом уничтожен.\n Нельзя увеличить размер системного тома VeraCrypt. Недостаточно свободного места для увеличения размера тома ВНИМАНИЕ: Файл-контейнер больше, чем область тома VeraCrypt. Данные, находящиеся после области тома VeraCrypt, будут перезаписаны.\n\nПродолжить? @@ -1614,16 +1614,16 @@ Расширенные команды APDU нельзя использовать с текущим токеном. Ошибка загрузки библиотеки WinSCard / PCSC. Карта в считывателе не является поддерживаемой картой EMV. - Не удалось выбрать AID карты в считывателе. + Не удалось выбрать AID (идентификатор приложения) карты в считывателе. На карте не найден сертификат открытого ключа ICC. На карте не найден сертификат открытого ключа эмитента. - На карте EMV не найден CLPC. + На карте EMV не найдены данные CLPC (жизненный цикл производства карты). На карте EMV не найден номер платёжной карты (PAN). Неверный путь EMV. Не удалось создать ключевой файл из данных карты EMV.\n\nОтсутствует одно из следующего:\n- Сертификат открытого ключа ICC.\n- Сертификат открытого ключа эмитента.\n- Данные CPCL. Нет карты в считывателе.\n\nУбедитесь, что карта правильно вставлена. - Windows-команде format.com не удалось отформатировать том как NTFS/exFAT/ReFS: Ошибка 0x%.8X.\n\nВозврат к использованию Windows FormatEx API. - Windows FormatEx API не удалось отформатировать том как NTFS/exFAT/ReFS.\n\nСтатус отказа = %s. + Windows-программа format.com не смогла отформатировать том как NTFS/exFAT/ReFS: Ошибка 0x%.8X.\n\nВозврат к использованию Windows FormatEx API. + API-функция FormatEx в Windows не смогла отформатировать том как NTFS/exFAT/ReFS.\n\nСтатус отказа = %s. Запись случайных данных в добавленное место...\n Запись повторно зашифрованной резервной копии заголовка...\n Запись повторно зашифрованного основного заголовка...\n diff --git a/doc/html/ru/Documentation.html b/doc/html/ru/Documentation.html index 22291e2f..7f785e9c 100644 --- a/doc/html/ru/Documentation.html +++ b/doc/html/ru/Documentation.html @@ -100,6 +100,8 @@
  • Файл гибернации
  • Незашифрованные данные в ОЗУ +
  • Шифрование оперативной памяти в VeraCrypt +
  • Защита памяти в VeraCrypt
  • Физическая безопасность
  • Вредоносное ПО (malware)
  • Многопользовательская среда
  • Подлинность и целостность данных diff --git a/doc/html/ru/FAQ.html b/doc/html/ru/FAQ.html index d951fe1d..6e156208 100644 --- a/doc/html/ru/FAQ.html +++ b/doc/html/ru/FAQ.html @@ -35,7 +35,7 @@

    Вопросы и ответы

    -Последнее обновление: 2 июля 2017 г.
    +Последнее обновление: 1 октября 2023 г.
    -Возникает ошибка "Операция не разрешена" ("Operation not permitted") при использовании VeraCrypt в macOS, когда я пытаюсь смонтировать файловый контейнер. Как решить эту проблему?
    +При монтировании файлового контейнера VeraCrypt в macOS возникает ошибка "Операция не разрешена" ("Operation not permitted"). Как решить эту проблему?

    Об этой специфической ошибке, которая появляется в виде "Operation not permitted: /var/folders/w6/d2xssyzx.../T/.veracrypt_aux_mnt1/control VeraCrypt::File::Open:232", сообщают некоторые пользователи. Это результат того, что macOS не предоставила VeraCrypt необходимых разрешений. Вот пара способов, которые вы можете попробовать:

    @@ -890,9 +890,22 @@ sudo /Applications/VeraCrypt.app/Contents/MacOS/VeraCrypt Запуск VeraCrypt с помощью sudo часто позволяет обойти определённые проблемы, связанные с разрешениями, но всегда, когда это возможно, рекомендуется предоставлять необходимые разрешения через системные настройки.

  • - - -Здесь нет ответа на мой вопрос – что мне делать? + +
    +Почему VeraCrypt показывает в своём списке неизвестное устройство, которое не отображается как физический диск в Windows-компоненте "Управление дисками" или в выводе утилиты DiskPart?
    +
    +

    +Начиная с Windows 10 версии 1903 и в более поздних версиях Microsoft добавила функцию под названием Песочница Windows (Sandbox). Это изолированная среда, предназначенная для безопасного запуска ненадёжных приложений. В рамках этой функции Windows создаёт динамический виртуальный жёсткий диск (VHDX), который представляет собой чистую установку Windows. Этот VHDX содержит базовый образ системы, пользовательские данные и состояние времени выполнения, а его размер может варьироваться в зависимости от конфигурации и использования системы. +

    +

    +Когда VeraCrypt перечисляет устройства в системе, определяются все доступные дисковые устройства, используя формат пути к устройству, например \Device\HardDiskX\PartitionY. VeraCrypt выводит список этих устройств, в том числе виртуальных, например тех, которые связаны с Песочницей Windows, не делая различий по их физической или виртуальной природе. Таким образом, вы можете обнаружить неожиданное устройство в VeraCrypt, даже если оно не отображается как физический диск в таких инструментах, как DiskPart. +

    +

    +Более подробную информацию о Песочнице Windows и связанном с ней виртуальном жёстком диске см. в официальной статье Microsoft. +

    +
    +
    +Что делать, если здесь нет ответа на мой вопрос?
    Попробуйте поискать ответ в документации VeraCrypt и на сайте программы.
    diff --git a/doc/html/ru/Release Notes.html b/doc/html/ru/Release Notes.html index 8ed2b38f..b750cae5 100644 --- a/doc/html/ru/Release Notes.html +++ b/doc/html/ru/Release Notes.html @@ -42,7 +42,7 @@ внешние, так и скрытые тома, включая шифрование системы и скрытую ОС, и удалить существующие тома, созданные версией VeraCrypt старее, чем 1.18a.

    -

    1.26.6 (21 сентября 2023 года):

    +

    1.26.7 (1 октября 2023 года):

    • Все операционные системы:
        @@ -89,6 +89,7 @@ VeraCrypt старее, чем 1.18a.
    • Добавлена политика смягчения последствий процесса, чтобы предотвратить внедрение в VeraCrypt других процессов.
    • +
    • Незначительные улучшения в реализации шифрования оперативной памяти.
    • Исправлены проблемы с безопасным рабочим столом в Windows 11 22H2.
    • Реализована поддержка монтирования частично зашифрованных системных разделов.
    • Исправлено ложное обнаружение вставки нового устройства, когда включена опция очистки ключей шифрования (только в случае системного шифрования).
    • @@ -108,7 +109,7 @@ VeraCrypt старее, чем 1.18a.
    • Удалена рекомендация по расширениям ключевых файлов, а в документации указаны риски применения сторонних расширений файлов.
    • Добавлена поддержка дополнительных языков в программе установки.
    • Обновлена библиотека LZMA до версии 23.01.
    • -
    • Обновлены библиотеки libzip до версии 1.10.0 и zlib до версии 1.3.
    • +
    • Обновлены библиотеки libzip до версии 1.10.1 и zlib до версии 1.3.
  • Linux: diff --git a/doc/html/ru/Security Requirements and Precautions.html b/doc/html/ru/Security Requirements and Precautions.html index 684f320d..5ff3b1ef 100644 --- a/doc/html/ru/Security Requirements and Precautions.html +++ b/doc/html/ru/Security Requirements and Precautions.html @@ -64,6 +64,8 @@
  • Незашифрованные данные в ОЗУ
  • +Защита памяти в VeraCrypt +
  • Физическая безопасность
  • Вредоносное ПО (malware) diff --git a/doc/html/ru/VeraCrypt Memory Protection.html b/doc/html/ru/VeraCrypt Memory Protection.html new file mode 100644 index 00000000..040a168f --- /dev/null +++ b/doc/html/ru/VeraCrypt Memory Protection.html @@ -0,0 +1,106 @@ + + + + +VeraCrypt - Бесплатное надёжное шифрование дисков с открытым исходным кодом + + + + + + +
    +VeraCrypt +
    + + + + + +
    +

    Защита памяти в VeraCrypt

    +

    Введение

    +

    VeraCrypt всегда стремится улучшить взаимодействие с пользователем, сохраняя при этом наивысший уровень безопасности. Одна из таких функций безопасности – механизм защиты памяти. Однако для тех пользователей, которым требуются специальные возможности взаимодействия с ОС, мы предоставили возможность отключить этот механизм.

    +

    Общие сведения

    +

    +Защита памяти гарантирует, что процессам, не являющимся административными, запрещён доступ к памяти процесса VeraCrypt. Это служит двум основным целям: +

      +
    • ЗАЩИТА ОТ ВРЕДОНОСНЫХ ДЕЙСТВИЙ: Этот механизм предотвращает внедрение вредоносных данных или кода в процесс VeraCrypt неадминистративными процессами.
    • +
    • ЗАЩИТА КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ: Хотя VeraCrypt разработан так, чтобы не оставлять конфиденциальных данных в памяти, эта функция обеспечивает дополнительный уровень безопасности, гарантируя, что другие процессы, не являющиеся административными, не смогут получить доступ к потенциально конфиденциальной информации или извлечь её.
    • +
    +

    +

    Зачем нужна опция отключения защиты памяти?

    +

    + Некоторым инструментам специальных возможностей, таким как экранный диктор, требуется доступ к памяти процессов ПО для эффективной интерпретации пользовательского интерфейса (UI) и взаимодействия с ним. Защита памяти VeraCrypt непреднамеренно препятствовала работе таких инструментов. Чтобы гарантировать, что пользователи смогут беспрепятственно применять инструменты специальных возможностей в VeraCrypt, мы и ввели эту опцию отключения защиты. +

    +

    Как включить/отключить защиту памяти?

    +

    + По умолчанию защита памяти включена. Её можно отключить через главное окно VeraCrypt или во время установки. +

      +
    1. Во время установки: +
        +
      • В мастере установки найдите опцию Отключить защиту памяти для совместимости со специальными возможностями.
      • +
      • Установите флажок, если хотите отключить защиту памяти. Оставьте этот флажок снятым, чтобы продолжать использовать защиту памяти.
      • +
      • Приступайте к остальной части установки.
      • +
      +
    2. +
    3. После установки: +
        +
      • Откройте VeraCrypt и в меню Настройки выберите пункт Быстродействие и настройки драйвера.
      • +
      • Найдите и установите/снимите флажок с опции Отключить защиту памяти для совместимости со специальными возможностями согласно вашим потребностям. Появится уведомление, что для вступления изменений в силу необходима перезагрузка ОС.
      • +
      • Нажмите OK.
      • +
      +
    4. +
    5. При обновлении или исправлении/переустановке: +
        +
      • В мастере установки найдите опцию Отключить защиту памяти для совместимости со специальными возможностями.
      • +
      • Найдите и установите/снимите флажок с опции Отключить защиту памяти для совместимости со специальными возможностями согласно вашим потребностям.
      • +
      • Приступайте к остальной части обновления или исправления/переустановки.
      • +
      • Если вы изменили настройку защиты памяти, появится уведомление, что необходима перезагрузка ОС.
      • +
      + +
    6. +
    +

    О потенциальных рисках

    +

    +Хотя отключение защиты памяти может быть важным для некоторых пользователей, необходимо понимать связанные с этим риски: +

      +
    • ПОТЕНЦИАЛЬНОЕ ВОЗДЕЙСТВИЕ: Отключение защиты может подвергнуть память процесса VeraCrypt воздействию вредоносных процессов.
    • +
    • НАИЛУЧШЕЕ РЕШЕНИЕ: Если вам не требуются специальные средства для использования VeraCrypt, рекомендуется оставить защиту памяти включённой.
    • +
    +

    +

    Вопросы и ответы

    +

    + По умолчанию защита памяти включена или выключена?
    + Защита памяти по умолчанию включена. +

    +

    + Как узнать, включена или отключена защита памяти?
    + Проверить состояние защиты памяти можно из главного окна VeraCrypt. Перейдите в меню Настройки и выберите пункт Быстродействие и настройки драйвера. Если опция Отключить защиту памяти для совместимости со специальными возможностями включена, то защита памяти отключена. Если эта опция отключена, то защита памяти включена. +

    +

    + Снизит ли отключение защиты памяти надёжность шифрования VeraCrypt?
    + Нет, алгоритмы шифрования и их надёжность остаются прежними. Затрагивается только защита от потенциального перехвата памяти и внедрения в неё процессов, не являющимися административными. +

    +

    + Я не пользуюсь инструментами специальных возможностей. Нужно ли мне отключить эту функцию?
    + Нет, лучше оставить защиту памяти включённой для дополнительной безопасности. +

    +
    diff --git a/doc/html/ru/VeraCrypt RAM Encryption.html b/doc/html/ru/VeraCrypt RAM Encryption.html new file mode 100644 index 00000000..1f51104c --- /dev/null +++ b/doc/html/ru/VeraCrypt RAM Encryption.html @@ -0,0 +1,158 @@ + + + + +VeraCrypt - Бесплатное надёжное шифрование дисков с открытым исходным кодом + + + + + + +
    +VeraCrypt +
    + + + + + +
    +

    Шифрование оперативной памяти в VeraCrypt

    + +

    Введение

    + +

    + Шифрование ОЗУ в VeraCrypt направлено на защиту ключей шифрования диска, хранящихся в энергонезависимой памяти, от определённых типов атак. Основные цели шифрования: +

      +
    • Защита от атак при "холодной" загрузке компьютера (Cold Boot).
    • +
    • Добавление уровня обфускации (запутывания кода), чтобы значительно усложнить восстановление мастер-ключей шифрования из дампов памяти, будь то в режиме реального времени или в автономном режиме.
    • +
    +

    + +

    Реализация

    + +

    Краткое описание того, как достигается шифрование оперативной памяти:

    +
      +
    1. При запуске Windows драйвер VeraCrypt выделяет область памяти размером 1 МиБ. Если это не удаётся, размер уменьшается вдвое до тех пор, пока распределение не завершится успешно (минимальный размер – 8 КиБ). Все эти переменные размещаются в невыгружаемом пространстве памяти ядра.
    2. +
    3. Затем эта область памяти заполняется случайными байтами, сгенерированными CSPRNG на основе ChaCha20.
    4. +
    5. Генерируются два случайных 64-битных целых числа: HashSeedMask и CipherIVMask.
    6. +
    7. Для каждого мастер-ключа тома алгоритм шифрования ОЗУ получает уникальный ключ из комбинации области памяти и уникальных значений, извлечённых из памяти, подлежащей шифрованию. Это обеспечивает отдельный ключ для каждой зашифрованной области памяти. Использование ключей и IV, зависящих от местоположения, предотвращает лёгкое извлечение мастер-ключей из дампов памяти.
    8. +
    9. Мастер-ключи расшифровываются для каждого запроса, что требует быстрого алгоритма расшифровки. Для этого используется ChaCha12.
    10. +
    11. После монтирования тома его мастер-ключи немедленно шифруются по описанному алгоритму.
    12. +
    13. Для каждого запроса ввода-вывода для тома мастер-ключи расшифровываются только на время этого запроса, а затем надёжно удаляются.
    14. +
    15. При размонтировании тома зашифрованные мастер-ключи надёжно удаляются из памяти.
    16. +
    17. При завершении работы или перезагрузке Windows область памяти, выделенная во время запуска, надёжно очищается.
    18. +
    + +

    Защита от атак при "холодной" перезагрузке ПК (Cold Boot)

    + +

    + Предотвращение атак при "холодной" загрузке достигается благодаря использованию большой страницы памяти для формирования (деривации) ключа. Это гарантирует, что злоумышленники не смогут восстановить мастер-ключ, поскольку части этой большой области памяти, скорее всего, будут повреждены и их нельзя будет восстановить после завершения работы. Более подробную информацию об атаках с "холодной" загрузкой и методах их предотвращения см. в следующих документах: +

    + + +

    Несовместимость с режимом гибернации и быстрым запуском Windows

    +

    + Шифрование оперативной памяти в VeraCrypt несовместимо с функциями гибернации и быстрого запуска Windows. Перед активацией шифрования ОЗУ эти функции будут отключены VeraCrypt, чтобы обеспечить безопасность и функциональность механизма шифрования. + +

    + +

    Выбор алгоритма

    + +

    + Выбор алгоритмов основывался на балансе между безопасностью и производительностью: +

    +
      +
    • t1ha2: Некриптографическая хеш-функция, выбранная из-за её чрезвычайно высокой скорости хеширования. Это очень важно, поскольку ключи извлекаются для каждого запроса шифрования/дешифрования из области памяти размером 1 МиБ. Также соблюдаются строгие лавинные критерии, что имеет решающее значение для данного варианта использования.
    • +
    • ChaCha12: Этот алгоритм выбран вместо ChaCha20 по соображениям производительности; он обеспечивает достаточную надёжность шифрования при сохранении высокой скорости шифрования/дешифрования.
    • +
    + +

    Ключевые алгоритмы

    + +

    + Для шифрования оперативной памяти основополагающими являются два основных алгоритма: +

    + +

    1. VcGetEncryptionID

    + +

    + Вычисляет уникальный идентификатор для набора буферов оперативной памяти, подлежащих шифрованию. +

    +
        
    +    – Ввод: pCryptoInfo, переменная CRYPTO_INFO для шифрования/дешифрования
    +    – Вывод: 64-битное целое число, идентифицирующее переменную pCryptoInfo
    +    – Шаги:
    +      – Вычисление суммы адресов виртуальной памяти полей ks и ks2 в pCryptoInfo: encID = ((uint64) pCryptoInfo->ks) + ((uint64) pCryptoInfo->ks2)
    +      – Возврат результата
    +    
    +
    + +

    2. VcProtectMemory

    + +

    + Шифрует буфер оперативной памяти, используя уникальный идентификатор, сгенерированный VcGetEncryptionID. +

    +
        
    +    – Ввод:
    +      – encID, уникальный идентификатор памяти, подлежащей шифрованию
    +      – pbData, указатель на память, которую нужно зашифровать
    +      – pbKeyDerivationArea, область памяти, выделяемая драйвером при запуске
    +      – HashSeedMask и CipherIVMask, два 64-битных случайных целых числа при запуске
    +    – Вывод:
    +      – Отсутствует; память в pbData шифруется на месте
    +    – Шаги:
    +      – Формирование hashSeed: hashSeed = (((uint64) pbKeyDerivationArea) + encID) ^ HashSeedMask
    +      – Вычисление 128-битного хеша: hash128 = t1h2 (pbKeyDerivationArea,hashSeed)
    +      – Разложение hash128 на два 64-битных целых числа: hash128 = hash128_1 || hash128_2
    +      – Создание 256-битного ключа для ChaCha12: chachaKey = hash128_1 || hash128_2 || (hash128_1 OR hash128_2) || (hash128_1 + hash128_2)
    +      – Шифрование chachaKey с помощью ChaCha12, используя hashSeed как IV: ChaCha256Encrypt (chachaKey, hashSeed, chachaKey)
    +      – Формирование 64-битного IV для ChaCha12: chachaIV = (((uint64) pbKeyDerivationArea) + encID) ^ CipherIVMask
    +      – Шифрование памяти в pbData с помощью ChaCha12: ChaCha256Encrypt (chachaKey, chachaIV, pbData)
    +      – Надёжное стирание временных значений
    +    
    +
    + +

    + Важно отметить, что поскольку ChaCha12 – это потоковый шифр, процессы шифрования и дешифрования идентичны, и функция VcProtectMemory может использоваться для обоих. +

    + +

    + Для более глубокого понимания и ознакомления с кодовой базой посетите репозиторий VeraCrypt и изучите упомянутые функции в файле src/Common/Crypto.c. +

    + +

    Дополнительные меры безопасности

    + +

    + Начиная с версии 1.24, в VeraCrypt встроен механизм, который обнаруживает установку новых устройств в систему, когда активно системное шифрование. При установке нового устройства мастер-ключи немедленно удаляются из памяти, что приводит к BSOD ("синему экрану смерти") в Windows. Это защищает от атак с помощью специализированных устройств для извлечения памяти из работающих систем. Однако для максимальной эффективности эта функция должна применяться вместе с шифрованием оперативной памяти.
    + Чтобы включить эту функцию, в меню Система выберите пункт Установки и активируйте опцию Удалять ключи шифрования из ОЗУ при подключении нового устройства. +

    + +

    Технические ограничения, связанные с гибернацией и быстрым запуском

    +

    +Функции гибернации и быстрого запуска Windows сохраняют содержимое оперативной памяти на жёстком диске. В контексте шифрования оперативной памяти VeraCrypt поддержка этих функций представляет собой серьёзную проблему.
    +Для обеспечения безопасности большáя область памяти, используемая для формирования ключа при шифровании ОЗУ, должна храниться в зашифрованном формате, отдельно от обычного шифрования VeraCrypt, применяемого к текущему диску. Это отдельное зашифрованное хранилище также должно быть разблокируемым тем же паролем, который использовался для предзагрузочной аутентификации. Более того, этот процесс должен произойти на ранней стадии загрузки, прежде чем появится доступ к файловой системе, что требует хранения необработанных зашифрованных данных в определённых секторах другого диска.
    +Хотя это технически осуществимо, сложность и недружественность такого решения к пользователям делают его непрактичным для стандартных применений. Поэтому при включении шифрования оперативной памяти отключаются гибернация и быстрый запуск Windows.
    +

    + +
    -- cgit v1.2.3