Установка
TCGINA setup - Установить TCGINA
TCGINA setup - Зашифровать Профайл Пользователя
Запустите 'setup.exe' в извлеченной из архива папке 'Install'. В левом поле окна выберите Install TCGINA (Установить TCGINA), после этого в правой панели окна нажмите кнопку OK. Это устанавливает и регистрирует в системе необходимые файлы. Далее нужно переместить профайл пользователя на зашифрованный виртуальный диск TrueCrypt. Завершите работу под текущей учетной записью (Logoff) и зайдите в систему под созданной до этого учетной записью 'tmp.tcgina.user' (пароль: 'asdf1234').
Смонтируйте скрытый том TrueCrypt. Далее предполагается, что для виртуального диска была выбрана дисковая буква Z:.
Еще раз запустите setup.exe ('C:\Istall\setup.exe' если вы извлекли файлы на C:\). В левом поле окна выберите Encrypt User Profile (Зашифровать Профайл Пользователя). В правой панели окна нужно имя пользователя (название учетной записи) в строчке User Name, а также букву диска TrueCrypt ('Z:') в строчке TrueCrypt Drive. Нажмите кнопку 'OK'.
Теперь первоначальный профайл пользователя хранится в зашифрованном виде на скрытом томе TrueCrypt. Когда вы входите в систему под определенной учетной записью (Login), операционная система должна иметь доступ к профайлу. Но, пока пользователь не зашел в систему и не смонтировал том TrueCrypt используя пароль доступа, данные тома недоступны. Эту проблему решает утилита TCGINA, которая включает специальную системную DLL-библиотеку, которая перехватывает вход пользователя в систему и позволяет смонтировать зашифрованный том на этом этапе. Чтобы TCGINA вступила в работу, потребуется перезагрузка компьютера.
Вход в систему теперь будет проходить немного по-другому. Попробуйте зайти в систему под первоначальной учетной записью, которую вы зашифровали с помощью TCGINA / Encrypt User Profile. После выполнения обычных действий, должно появиться новое окно, которого раньше не было - это окно создается модулем TCGINA.DLL и предназначено для ввода пароля тома. При шифровании профайла утилита setup.exe сохранила все параметры (местонахождение тома, буква диска) кроме пароля, разумеется. Введите пароль скрытого тома и, если все было выполнено правильно, TCGINA смонтирует скрытый том используя этот пароль доступа, далее пойдет обычная процедура входа в систему (авто запуск программ и т.д.). Если все сработало так как надо, вы не должны заметить никаких изменений со времени последней работы под этой учетной записью (то есть перед проведением всех этих операций). Если использовалась дисковая буква Z:, то теперь ваш профайл хранится в 'Z:\Documents and Settings\<имя учетной записи>', в зашифрованном виде.
TCGINA при использовании возможности Encrypt User Profile копирует содержимое на зашифрованный диск, но оставляет старые файлы на месте. Если все работает как надо, безвозвратно удалите старую папку профайла на незашифрованном диске:
<диск Windows>:\Documents and Settings\<имя учетной записи>
Содержимое профайла при работе под этой учетной записью с этого момента защищено от попадания к противнику.
Использование внешнего тома, убедительная отрицаемость
После выполнения предыдущих шагов, данные профайла пользователя защищены от противника. Но, без выполнения специальных действий, нарушена "убедительная отрицаемость". TCGINA хранит информацию о том, в каком файле контейнере или на каком устройстве хранения расположен том. Эта информация сохраняется в Registry и может быть извлечена противником. Кроме того, без знания пароля тома TrueCrypt невозможно даже зайти в систему под учетной записью, профайл которой сохранен на томе. Таким образом, противник может легко определить, что вы прячете профайл на зашифрованном томе и потребовать пароль.
В то же время, TCGINA не хранит какой-либо информации о том, используется ли для хранения профайла внешний том или скрытый том. Как до этого было разобрано в разделе о скрытых томах, указывая тот же самый файл-контейнер либо устройство, в зависимости от введенного пароля монтируется либо скрытый том, либо содержащий его внешний том. Благодаря этому, можно восстановить убедительную отрицаемость существования данных профайла на скрытом томе, создавая как бы еще одну версию этого профайла на внешнем томе (пароль которого будет сдан противнику). Профайл при этом можно заполнить данными не нуждающимися в сокрытии. Это будет обеспечено шагами описанными ниже.
Снова зайдите в систему под созданной до этого учетной записью 'tmp.tcgina.user' (пароль: 'asdf1234'). Смонтируйте имеющийся внешний том. Далее предполагается, что вы смонтировали его на дисковую букву 'Z:'. При монтировании внешнего тома, обязательно используйте возможность "защита скрытого тома от повреждения".
Создайте на виртуальном зашифрованном диске ('Z:') папку 'Documents and Settings' и папку 'Documents and Settings'\<имя учетной записи>. Учетная запись в данном случае та же, которая до этого была защищена с помощью TCGINA. Заполните профайл этой учетной записи данными из профайла Default User (пользователь по умолчанию). Один из способов сделать это: запустите интерпретатор команд (Start->Programs->Accessories->Command Prompt) и введите
mkdir "Z:\Documents and Settings"
xcopy "<диск Windows>:\Documents and Settings\Default User" "Z:\Documents and Settings\<имя учетной записи>" /S /E /H /K /F /I
См. описание xcopy и описание mkdir. Например, если диск Windows - 'C:', а имя учетной записи - 'User':
mkdir "Z:\Documents and Settings"
xcopy "C:\Documents and Settings\Default User" "Z:\Documents and Settings\User" /S /E /H /K /F /I
Это содержимое профайла предназначено для сдачи противнику.
Завершите работу под текущей учетной записью (Logoff) и войдите в систему под изначальной учетной записью (профайл которой вы зашифровали). Теперь, когда TCGINA спросит пароль доступа к тому, есть две возможности: ввести пароль скрытого тома, начав работу с настоящим профайлом, или ввести пароль внешнего тома, начав работу с профайлом-обманкой для противника. Если вы выбираете второй вариант, обязательно обеспечьте защиту скрытого тома! В TCGINA это делается немного по-другому, чем при монтировании в обычном окне TrueCrypt: нет кнопки "опции" для вызова окна с дополнительными настройками (включая защиту скрытого тома), вместо этого для монтирования внешнего тома с защитой скрытого введите пароль внешнего, затем пробел и далее пароль скрытого тома.
Войдите в систему с использованием профайла на внешнем томе (введите пароли внешнего и скрытого томов через пробел). Все должно выглядеть как при первом входе в систему под учетной записью - пустой рабочий стол Windows, вид и настройки старт-меню и рабочего стола по умолчанию и т.д. Теперь возможно убедительное отрицание существования скрытого тома (на котором расположен настоящий профайл).
Учетная запись, таким образом, имеет как бы два профайла "двойника" - один на внешнем томе. Пароль внешнего тома (и, таким образом, все данные) сдается противнику. Присутствие скрытого тома неопределяемо. Для безопасной работы заходите в систему монтируя скрытый том и, таким образом, используя настоящий защищенный профайл.
Замечание: если вы будете всегда работать в системе используя только профайл на скрытом томе, даты последнего обращения к файлам на внешнем томе будут слишком старыми. Это нельзя однозначно назвать нарушением убедительной отрицаемости, но все же вызывает ненужные подозрения. Рекомендуется время от времени заходить в систему используя профайл на внешнем томе. При этом вы можете производить любые действия, не раскрывающие противнику конфиденциальную информацию: смотреть фильмы, устанавливать и запускать игры и т.д. При работе с этим профайлом не открывайте и не сохраняйте файлы с конфиденциальной информацией и работайте с предположением, что все совершаемые действия могут быть отслежены противником, помните что внешний том предназначен для сдачи. Вся работа требующая конфиденциальности проводится только когда используется профайл со скрытого тома. Регулярное использование профайла на внешнем томе для неконфиденциальных задач (см. выше), обеспечит недавние даты последнего обращения у различных файлов в данном профайле, что поможет запутать противника и лишить его причин подозревать присутствие скрытого тома.
Заключительные шаги
Для полной безопасности избавьтесь от созданного для выполнения предыдущих шагов учетной записи (аккаунта) tmp.tcgina.user. Находясь в системе под основной учетной записью, безвозвратно удалите папку профайла этой учетной записи:
<диск Windows>:\Documents and Settings\tmp.tcgina.user
Удалите учетную запись из системы, например скопировав такую команду в интерпретатор команд (Command Prompt):
net user tmp.tcgina.user /delete
Если у вас после этого остался только один аккаунт, который зашифрован, или несколько аккаунтов, все из которых зашифрованы, может иметь смысл создать хотя-бы один незашифрованный администраторский аккаунт, чтобы облегчить починку системы, в случае каких-то проблем (иначе, если зашифрованный том по какой-то причине окажется недоступен, в систему вообще нельзя будет зайти обычным способом). Для создания такого аккаунта можно выполнить действия для создания аккаунта tmp.tcgina.user описанные в части "Подготовительные действия" этого раздела, заменяя 'tmp.tcgina.user' на другое имя аккаунта и 'asdf1234' на другой пароль
