Crittografia: proteggere i dati con SecurStar DriveCrypt

Crittografare i dati personali è divenuta oggi un’esigenza sempre più sentita, in molteplici ambiti. Sia il professionista che l’utente domestico manifestano spesso la necessità di fare in modo di impedire la consultazione di dati sensibili da parte degli utenti non autorizzati. Non crittografando i dati, può risultare semplice per un aggressore riavviare il sistema ricorrendo un CD di boot e sottrarre i file memorizzati “in chiaro” sui dischi fissi così come sugli altri supporti di memorizzazione. L’adozione e l’utilizzo di soluzioni efficaci per crittografia delle informazioni importanti, può inoltre aiutare aziende e studi tecnici ad assolvere i requisiti previsti dalla normativa sulla protezione dei dati personali.

Secur Star DriveCrypt, ad esempio, è un prodotto che consente di creare dei dischi virtuali cifrati (battezzati “casseforti”) ai quali viene associata, da parte del sistema operativo, una lettera di unità con la possibilità di renderli anche del tutto invisibili. Il software offre anche la possibilità di criptare interi dischi fissi così come singole partizioni e può essere utilizzato con tutti i dispositivi di archiviazione quali CD, DVD, chiavette USB e supporti di memorizzazione esterni.
Durante la fase di creazione di un’unità cifrata, DriveCrypt permette la creazione di due password: una “falsa”, che consentirà accesso a dati fasulli; una “vera” per poter lavorare sui dati “reali” ed importanti. In caso di emergenza, qualora – ad esempio – sotto minaccia l’utente fosse costretto a rivelare a terzi la password, questi può fornire la password “falsa” mantenendo così segreti e protetti i dati personali. Le unità disco cifrate con DriveCrypt possono essere liberamente ridimensionate da parte dell’utente.
Tra le peculiarità più interessanti di Secur Star DriveCrypt vi è il vantaggio di potersi affidare ad un programma che, in un’unica soluzione, fornisce funzionalità per la crittografia in tempo reale dei dati, per la cifratura di dischi fissi o singole partizioni, per la creazione di unità disco invisibili, per nascondere dati sensibili all’interno di documenti di altro tipo (“steganografia”), per cancellare in modo sicuro le informazioni che non debbono essere assolutamente lette da persone non autorizzate (“wiping”).

L’interfaccia di DriveCrypt 5.1, ultima versione del prodotto, è stata completamente rivista rispetto al passato: l’utente neofita può adesso fare uso della versione più semplice mentre quello più evoluto della modalità avanzata.
Gli strumenti di uso più frequente sono presentati, sotto forma di icone, a seconda dell’interfaccia per la quale si è optato, in calce alla finestra principale oppure sul lato sinistro della stessa.

Creazione di un’unità virtuale cifrata con DriveCrypt

Per creare un un’unità virtuale cifrata, è necessario cliccare sul pulsante Crea nuova cassaforte oppure Crea disco protetto: verrà proposta una guida passo-passo per la creazione di un contenitore crittografato che potrà poi essere impiegato per conservare i dati personali da mantenere segreti e quindi inaccessibili alle persone non autorizzate. Una volta “montata” l’unità virtuale cifrata, il suo contenuto apparirà accessibile da Risorse del computer così come da qualsiasi altra applicazione.

Ciascuna unità virtuale cifrata viene memorizzata sul disco fisso oppure su qualunque altro supporto sotto forma di un unico file con estensione .DCV. Tale “file-contenitore” ospita, al suo interno, tutti i file cifrati che l’utente intende proteggere.

La procedura passo-passo visualizzata da DriveCrypt, richiede il nome del “file-contenitore” ed il percorso in cui esso deve essere salvato. Il riquadro sottostante (Dimensioni del disco criptato) consente di impostare una dimensione da attribuire all’unità virtuale in procinto di creazione.

DriveCrypt, quindi, richiede l’inserimento delle password da usare a protezione dell’unità crittografata in corso di creazione. E’ caldamente consigliabile optare sempre per password piuttosto lunghe contenenti caratteri maiuscoli, minuscoli, numeri e, possibilmente, anche simboli (punti interrogativi, asterischi, simbolo percentuale e così via).
Per fidare su un livello di sicurezza ancora più elevato, il programma di SecurStar consente di specificare sino a quattro password per la protezione dell’unità cifrata (casella Utilizza quattro righe di password).

Il pulsante che raffigura una piccola chiave USB permette di fruire di un livello di sicurezza aggiuntivo. Se si desidera fare in modo che altre persone possano accedere ad un disco virtuale cifrato, infatti, è possibile ricorrere all’utilizzo di un “file di chiave” (ved. più avanti).

Come ultimo passo, DriveCrypt richiede quale lettera di unità si preferisce assegnare all’unità virtuale cifrata durante il suo utilizzo (ovvero ogniqualvolta venga “montata”) ed una descrizione per la stessa.
Per impostazione predefinita, nella modalità semplificata, il software utilizza l’algoritmo crittografico Rijndael AES a 256 bit per cifrare il contenuto dell’unità virtuale.

La procedura di creazione di un’unità cifrata nella modalità avanzata, consigliata per gli utenti più esperti, è più ricca di opzioni. In primo luogo viene richiesto di scegliere quale file system debba essere impiegato per la formattazione dell’unità (NTFS, FAT32 o FAT16). Facendo riferimento a questa pagina, potete trovare una tabella comparativa che riassume le differenze tra le varie tipologie di file system.
Successivamente, è possibile indicare l’algoritmo crittografico che si intende utilizzare selezionandolo tra gli undici proposti. Il Rijndael AES 256 bit si rivela un ottimo compromesso tra sicurezza e prestazioni.

Con un clic sul pulsante Crea, si darà il via alla creazione dell’unità virtuale crittografata.

Per passare tra modalità semplificata e modalità avanzata è sufficiente fare riferimento agli appositi link visualizzati nella finestra principale del programma. Di seguito, nell’area Dischi DriveCrypt viene visualizzata l’unità cifrata appena creata insieme con la lettera identificativa (E:, in questo caso) ad essa abbinata. Cliccando su di essa con il tasto destro del mouse, si può accedere a tutta una serie di operazioni per la sua gestione (apertura e visualizzazione del contenuto, impostazione di un’etichetta, disconnessione della stessa, modifica delle password di protezione, configurazione di programmi che si desidera vengano eseguiti automaticamente dopo aver montato il disco, wiping dello spazio libero,…).

Steganografia

La steganografia è una tecnica che si prefigge, come obiettivo, quello di nascondere informazioni importanti in modo tale che non possano cadere nelle mani di malintenzionati, aggressori, concorrenti e curiosi. Le radici sono antiche: i primi utilizzi della steganografia risalirebbero, secondo alcuni studi, addirittura al 440 a.C. Lo storico greco Erodoto (484 a.C. – 425 a.C.) menziona due esempi di impiego della steganografia nella sua opera “Le storie“. La tecnica fu poi teorizzata nel 1500 dall’abate Tritemio.

Nel campo dell’informatica, due interlocutori possono “mascherare” i propri messaggi “sotto mentite spoglie” inserendo il testo da mantenere segreto all’interno di file di diverso tipo (documenti, file audio e video, immagini,…).

Il concetto su cui si basa la steganografia è racchiuso nel suo stesso nome che deriva dai termini greci stèganos (”nascosto”) e gràfein (”scrittura”): questa tecnica si pone di fornire un certo livello di sicurezza mediante segretezza.
I software “steganografici” più validi non si limitano però a nascondere il messaggio da proteggere all’interno di una certa tipologia di file ma aggiungono una difesa in più, data dall’uso della crittografia sul testo in chiaro.

SecurStar DriveCrypt, tra le sue funzionalità, integra la possibilità di nascondere delle informazioni all’interno di file audio in formato .wav. L’utilizzo della steganografia può essere richiesto accedendo all’interfaccia della modalità avanzata di DriveCrypt cliccando quindi sul link Crea disco all’interno del file audio.
Per poter sfruttare le abilità steganografiche di DriveCrypt, è necessario disporre di un file .wav, già memorizzato sul disco: all’interno di esso verranno poi memorizzate le informazioni da difendere.
Dopo aver scelto un file .wav (le sue dimensioni debbono essere superiori a 2 MB), si deve indicare a DriveCrypt il numero di bit da impiegare per la creazione del file finale. Scegliendo la prima opzione, DriveCrypt utilizzerà 4 bit del file originale per fare spazio ai dati da proteggere; selezionando la seconda opzione verranno invece impiegati 8 bit. Alla fine dell’operazione, il file prodotto da DriveCrypt apparirà in tutto e per tutto un normale file audio che può essere normalmente riprodotto con qualsiasi software, ad esempio con Windows Media Player. In realtà, al suo interno, saranno conservate segretamente le informazioni da proteggere.

Le dimensioni del file .wav generato saranno le medesime di quello originale in modo da non ingenerare alcun sospetto: si otterrà però un audio di qualità inferiore nel caso in cui si sia scelto di usare 8 bit (per evidenti ragioni, il file .wav di partenza deve essere obbligatoriamente campionato a 16 bit).
Va tenuto altresì presente che DriveCrypt non crea una copia di backup del file audio specificato: se tale file è importante, è assolutamente indispensabile avere cura di effettuare una copia della versione originale.

Le finestre seguenti permettono di scegliere un file system per il contenitore inserito all’interno del file WAV, specificare una lettera di unità predefinita da associare all’unità virtuale, l’algoritmo crittografico preferito, sino a quattro password per la protezione del disco virtuale.

Nella finestra principale di DriveCrypt è possibile osservare come, adesso, siano presenti un disco virtuale tradizionale ed uno protetto anche mediante l’uso della steganografia.

Va rimarcato come, a differenza di altre utilità similari, SecurStar DriveCrypt inserisca nel file .wav – utilizzando la tecnica della steganografia – un vero e propria disco virtuale crittografato. Al termine della procedura passo-passo, il nuovo volume verrà automaticamente “montato” ossia risulterà visibile nella finestra Risorse del computer di Windows ed accessibile da parte di qualsiasi applicazione installata sul sistema.

Utilizzando la tecnica della steganografia si hanno notevoli vantaggi. Oltre, nel caso di DriveCrypt, a poter fidare – a difesa dei propri dati – su di un elevato grado di sicurezza derivante dall’impiego di solidi algoritmi crittografici e dall’uso di quattro password di protezione, servendosi della steganografia si può negare che una certa informazione sia in proprio possesso. Questa possibilità si rivela particolarmente utile allorquando qualcuno cerchi di estorcere dati sensibili ed informazioni importanti che debbono restare segrete.

L’unità virtuale “matrioska”: come nascondere una seconda unità virtuale cifrata

In precedenza abbiamo visto come sia possibile creare un’unità virtuale crittografata ricorrendo all’utilizzo di SecurStar DriveCrypt. Poiché tali dischi cifrati hanno estensione DCV, un malintenzionato – sebbene non in grado di visualizzarne il contenuto – potrebbe notarne la presenza e conoscendone la natura, obbligare l’utente a fornire le password (DriveCrypt, come abbiamo visto, consente di impostarne fino ad un massimo di quattro) scelte a protezione dell’unità virtuale crittografata.

Una prima soluzione consiste nel rivolgersi alla tecnica della steganografia, che abbiamo analizzato in questo articolo. In questo modo, salvando informazioni sensibili all’interno di un file WAV, il malintenzionato o l’utente interessato a prendere visione di dati personali, difficilmente si insospettirebbe.

SecurStar DriveCrypt offre comunque un approccio alternativo, molto più pratico rispetto alla steganografia perché, tra l’altro, non fissa alcun vincolo per quanto concerne le dimensioni complessive dei file crittografabili. Il “trucco” consiste nel creare un disco invisibile all’interno di un’unità virtuale cifrata con DriveCrypt oppure in una qualsiasi partizione Windows NT, Windows 2000 e Windows XP.

L’utente definirà due set di password: il primo da utilizzare a protezione dell’”unità-contenitore” visibile, il secondo per proteggere il disco virtuale “nascosto”.

In questo modo, nel caso in cui un malintenzionato cercasse di estorcere la password, l’utente potrà fornirgli solo quella dell’”unità-contenitore”. L’aggressore vi troverà salvati dei falsi file personali mentre i dati sensibili, realmente da difendere, saranno sempre mantenuti segreti nel volume invisibile.

Dopo aver fatto ingresso nella finestra principale di DriveCrypt, è sufficiente – dapprima – creare normalmente una nuova unità virtuale, seguendo i passi già illustrati.
A questo punto, si dovrà memorizzare, nell’unità virtuale cifrata appena creata, alcuni dati che, qualora dovessero cadere nelle mani di terzi, non vi causeranno alcun danno. Lo spazio che si occuperà per memorizzare i dati all’interno del primo “contenitore” sarà comunque sottratto al quantitativo di informazioni salvabili nell’unità nascosta.
Ad esempio, creando un disco virtuale cifrato da 300 MB ed occupandolo con 50 MB di “dati fasulli”, resteranno 250 MB disponibili per la memorizzazione delle informazioni che debbono essere realmente protette.

Una volta creata l’unità virtuale cifrata che fungerà da contenitore per il volume invisibile, si dovrà fare clic con il tasto destro del mouse su di essa (riquadro Dischi DriveCrypt) quindi scegliere la voce Crea disco nascosto.

DriveCrypt ricorda che l’utente, una volta inseriti dei file fasulli nel disco “visibile”, non dovrà mai più aggiungerne degli altri: in caso contrario, il contenuto dell’unità nascosta verrebbe irrimediabilmente danneggiato. Per questo motivo, DriveCrypt rende, per impostazione predefinita, il disco virtuale “contenitore” come di sola lettura così da scongiurare rischi di perdite di dati.

Il software di SecurStar richiede dapprima di inserire le password impostate a protezione dell’unità cifrata “visibile” (contenitore) quindi provvede a calcolare le dimensioni massime assegnabili al disco nascosto. Per poter utilizzare il massimo quantitativo di spazio, è bene provvedere a deframmentare il disco. DriveCrypt, infatti, per la creazione dell’unità invisibile sfrutta il più grande blocco di spazio libero non frammentato partendo dalla fine del disco a ritroso.
Per il disco nascosto dovranno ovviamente essere impostate password completamente differenti da quelle scelte per l’”unità-contenitore”.

“Montare” e “smontare” le unità crittografate

Con il termine “montare” si definisce quella particolare attività che consente di far sì che un file system sia pronto per essere utilizzato da parte del sistema operativo installato. L’espressione affonda le sue radici nella storia dell’informatica quando l’operatore, per la memorizzazione dei dati, utilizzava delle bobine magnetiche (utilizzate, per la prima volta, nel 1951 quando fu lanciato l’UNIVAC I , il primo computer “commerciale” creato negli Stati Uniti).

Ogniqualvolta si crea una nuova unità cifrata, DriveCrypt provvede immediatamente a “montarla” cosicché il sistema operativo le assegni una lettera identificativa. In fasi successive, per poter accedere nuovamente al contenuto memorizzato in un’unità crittografata con DriveCrypt, è necessario servirsi del pulsante Consente di aggiungere una cassaforte esistente all’elenco (modalità semplificata; il secondo pulsante della barra visualizzata in basso nella finestra principale del programma) o del link Monta disco esistente (modalità avanzata) ed indicare il file .DCV da “montare”.

Quando si è terminato di lavorare sul contenuto dell’unità cifrata, è bene ricordarsi di “smontarla” tempestivamente in modo tale da renderla di nuovo inaccessibile agli utenti non autorizzati.

DriveCrypt mette a disposizione due modalità per “smontare” un volume: una procedura “normale” ed una definita “brutale”. Nel primo caso, il software permette di “smontare” un’unità crittografata allorquando non vi siano file in essa contenuti che risultino ancora aperti. Utilizzando questa modalità si è certi di evitare la perdita di informazioni relative a documenti sui quali si sta ancora operando. “Smontando brutalmente” una o più unità virtuale cifrate, invece, l’utente ne richiede la “disconnessione” indipendentemente dal fatto che vi siano file ancora aperti. Si tratta di una funzionalità da utilizzare in momenti di panico, come spiega SecurStar, allorquando – ad esempio – si debba chiudere rapidamente le attività in corso per evitare che possano essere spiate da persone presenti nelle vicinanze.

SecurStar puntualizza che sui sistemi ove risultino installati software antivirus o particolari utilità che interagiscono frequentemente con il contenuto delle unità cifrate con DriveCrypt, lo “smontaggio brutale” potrebbe rivelarsi l’unico modo per disconnettere immediatamente un volume. Ciò è da considerarsi del tutto normale.

Cliccando sul terzo pulsante della finestra principale (Consente di chiudere tutte le casseforti attualmente aperte (smonta tutte)), nella modalità semplice oppure sul link Smonta tutti i dischi della modalità avanzata, è possibile smontare, in un “colpo” solo, tutte le unità cifrate visualizzate in elenco. Il link Smonta tutti i dischi (brutale) permette di smontare tutte le unità utilizzando la modalità “brutale”.

In alternativa, per smontare un singolo volume cifrato è sufficiente selezionarlo, fare clic su di esso con il tasto destro del mouse e ricorrere alle voci Smonta e Smonta (brutale) del menù contestuale.

Abilitare l’accesso alle unità cifrate da parte di altri utenti

DriveCrypt, oltre a consentire la creazione di unità virtuali crittografate e ad offrire la possibilità di cifrare intere partizioni e dischi fissi, mette a disposizione un’utile funzionalità in più: il cosiddetto “second user access”.

In molte situazioni, potrebbe risultare necessario permettere ad altre persone l’accesso ad unità cifrate e protette con DriveCrypt. Ovviamente, è del tutto sconsigliato rivelare le password utilizzate per difendere il contenuto del volume crittografato. Per risolvere il problema è sufficiente ricorrere ai “file chiave” che il programma consente di utilizzare.

Come primo passo, è necessario “montare” l’unità o le unità disco il cui contenuto deve essere reso accessibile ad un singolo utente o ad un gruppo di persone. A questo punto, dalla finestra principale di DriveCrypt, si dovrà cliccare sul menù File quindi scegliere il comando Crea file di chiave. In alternativa, come abbiamo visto in precedenza, il file di chiave può essere generato anche all’atto della creazione di una nuova unità cifrata.
DriveCrypt, oltre a richiedere di specificare la cartella all’interno della quale dovrà essere salvato il file di chiave, permette di impostare un’eventuale data di scadenza per il file chiave in corso di creazione (riquadro Restrizioni).

Inoltre, facendo riferimento alla casella Consente l’utilizzo della chiave solo in un dato momento, il programma autorizzerà l’accesso alle unità crittografate, servendosi del file chiave, solamente nell’arco di periodi ben definiti della giornata.

Sempre attraverso la medesima finestra, debbono essere indicate le password che le terze persone, alle quali si desidera consentire la consultazione del contenuto delle unità crittografate, debbono conoscere. E’ ovvio che queste parole chiave devono essere differenti da tutte quelle impiegate per montare i propri volumi cifrati.

Il file di chiave dovrà essere utilizzato dagli utenti autorizzati ed ai quali si saranno comunicate le password appena scelte per accedere al contenuto delle unità crittografate.

La validità dei file di chiave potrà essere revocata in qualsiasi momento semplicemente facendo clic con il tasto destro del mouse su un’unità crittografata quindi scegliendo la voce Proprietà DriveCrypt. Dalla finestra delle proprietà, è quindi necessario spuntare la casella Revoca DKF (impedisce ulteriore montaggio tramite il file di chiave).

Confermando la volontà di annullare tutti i file-chiave sinora distribuiti, nessun utente – precedentemente autorizzato – potrà più accedere alle unità cifrate. Per permettere nuovamente ad utenti terzi di interagire con il contenuto delle unità crittografate, si dovrà provvedere a generare dei nuovi file di chiave.
Ovviamente, l’accesso operato servendosi di un file di chiave non consente di entrare nella finestra delle proprietà delle varie unità cifrate.

Tra le altre, la versione 5.1 di DriveCrypt introduce un’importante novità ossia la possibilità di installare e disinstallare i file strettamente necessari per il funzionamento del programma all’interno di chiavette USB e dischi rimovibili. Si tratta della cosiddetta funzionalità “Traveller mode” (menù Strumenti, Installa Traveller Edition) che permette di sfruttare DriveCrypt anche in viaggio, senza la necessità di installare il software su sistemi diversi dal proprio.