32941 Letture

TrueCrypt 5.0: creare unità crittografate e proteggere l'intero disco fisso

In questo articolo abbiamo già illustrato, a suo tempo, le funzionalità chiave di TrueCrypt, software opensource - disponibile nelle versioni per Windows, Linux e MacOS - che consente di creare e gestire unità virtuali crittografate.

TrueCrypt adotta una soluzione a chiave simmetrica che implica, per tutte le operazioni di codifica e decodifica, l'utilizzo di una chiave identica.

Il software opensource offre una soluzione pratica da implementare, a costo zero, per proteggere da sguardi indiscreti, ad esempio, file e documenti personali. Le unità virtuali, accessibili - una volta "montate" - da qualsiasi applicazione così come da Risorse del computer, possono essere cifrate ricorrendo a diversi algoritmi: AES, Blowfish, Twofish, Serpent, CAST5 o TripleDES.

La principale novità introdotta in TrueCrypt 5.0 consiste nella possibilità di crittografare la partizione di sistema di Windows oppure, se lo si desidera, l'intero disco fisso. Ciò significa che, su sistemi Windows XP, Windows Server 2003 o Windows Vista, per poter accedere a Windows si dovrà superare una fase di autenticazione che anticipa la procedura di boot vera e propria. Chiunque desideri avere accesso al sistema, in lettura e scrittura, dovrà quindi inserire una password ad ogni avvio del personal computer.


Scegliendo Encrypt System/Partition/Drive... dal menù System di TrueCrypt 5.0, il programma richiede all'utente se intenda crittografare esclusivamente la partizione di sistema di Windows oppure l'intero disco fisso. In quest'ultimo caso (Encrypt the whole drive), TrueCrypt provvederà a cifrate il contenuto di tutto il disco fisso, comprese tutte le varie partizioni presenti, ad eccezione del primo cilindro dell'hard disk che verrà impiegato per memorizzare i file di base del programma ("boot loader").
Si chiama "cilindro" l'insieme di tracce, contenute nel disco fisso, posizionate alla stessa distanza dal centro dello stesso.

L'autore di TrueCrypt tiene a precisare come il programma non salvi mai dati non cifrati ma si appoggi solamente in modo temporaneo alla RAM per gestirli. Non appena viene riavvio Windows o spento il computer, il volume viene automaticamente "smontato" e tutti i file in esso memorizzati resi inaccessibili perché crittografati. Anche quando il sistema si dovesse spegnere in seguito alla mancanza di alimentazione, tutti i file presenti sul disco rimarranno sempre crittografati.

Come passo successivo, TrueCrypt 5.0 richiede all'utente quali sistemi operativi siano installati sul sistema in uso. Nel caso in cui sul personal computer sia installato un solo sistema operativo, è sufficiente scegliere l'opzione Single-boot. Qualora, invece, l'utente abbia installato più sistemi operativi, anche diversi tra loro, dovrà notificare questo tipo di situazione a TrueCrypt selezionando Multi-boot. Questo tipo di scelta è importante perché consente di allertare TrueCrypt circa la presenza di un "boot loader", installato da Windows o da una distribuzione Linux.

La finestra successiva consente di selezionare l'algoritmo o gli algoritmi che si desiderano impiegare per cifrare il contenuto del disco fisso. La scelta migliore da operare è funzione della tipologia dei dati memorizzati sul sistema in uso, dell'importanza degli stessi e delle performance che ci si aspetta di ottenere.
Ovviamente, se si opta per l'utilizzo, in cascata, di più algoritmi di crittografia, il livello di sicurezza sul quale si potrà fidare sarà estremamente più elevato ma si dovrà mettere in conto un decadimento prestazionale.
Il pulsante Benchmark offre la possibilità di avviare una serie di test "pratici" sul proprio sistema per verificare il "transfer rate" garantito nelle diverse configurazioni.

E' bene osservare come le varie misurazioni ("benchmark") vengano effettuate appoggiandosi alla memoria RAM: le performance su disco saranno, ovviamente, molto più ridotte.

Come algoritmi di hash, TrueCrypt offre tre alternative: RIPEMD-160, SHA-512 e Whirlpool.
Un algoritmo di hash calcola una rappresentazione digitale di lunghezza fissa (nota come "message digest") di una sequenza di dati in ingresso (il "messaggio"), di lunghezza qualunque. Un algoritmo di hash è detto "sicuro" quando è praticamente impossibile, a livello computazionale, individuare un messaggio che corrisponda ad un dato "message digest" oppure trovare due messaggi distinti che producano lo stesso "message digest".

Prima di crittografare il contenuto del disco, TrueCrypt richiede di una password. Questa parola chiave sarà utilizzata per l'accesso al sistema: è quindi importante scegliere una password piuttosto complessa che non possa essere quindi individuata per tentativi, ad esempio con attacchi "brute-force" o basati sull'uso di dizionari. Una password considerabile come "sicura" dovrebbe contenere lettere e numeri oltre, possibilmente, a qualche carattere "speciale".

Non appena comparirà la finestra Collecting random data, si provveda a muovere ripetutamente il mouse, nel modo più casuale possibile: TrueCrypt provvederà a generare le chiavi utilizzate per le procedure di codifica e decodifica dei dati.

Come passo finale, TrueCrypt 5.0 richiede se si desideri creare un disco di ripristino (Rescue disk). Questo supporto si rivela di importanza fondamentale nel momento in cui il "boot loader" non dovesse più caricarsi o se si dovessero danneggiare le chiavi utilizzate dal programma. All'interno del disco di ripristino, TrueCrypt provvederà ad inserire una copia del contenuto del primo cilindro dell'hard disk, recuperabile, quindi, anche nel caso in cui, per esempio, il sistema non dovesse più avviarsi in seguito ad una infezione da malware.


Il contenuto del disco di ripristino viene memorizzato in formato ISO: si potrà poi ricorrere ad un qualsiasi software di masterizzazione per creare il "CD di emergenza" vero e proprio. Per masterizzare il file ISO è possibile usare un programma come Nero (trial, software commerciale), CD Burner XP (freeware), ISO Recorder (freeware) o InfraRecorder (opensource).

La creazione del CD di ripristino è un passaggio obbligatorio: dopo aver masterizzato il supporto a partire dal file ISO, cliccando sul pulsante Next, TrueCrypt ne verificherà il contenuto. Solo dopo aver completato questo passo sarà possibile proseguire.

Dopo il controllo del disco di ripristino, TrueCrypt 5.0 richiede se si intenda utilizzare, parallelamente alla protezione basata sull'uso dell'algoritmo o degli algoritmi crittografici prescelti, anche il wiping delle aree libere. Effettuando una sovrascrittura ripetuta delle aree che, sul disco fisso, non contengono alcun dato, si potrà fare in modo di impedire tentativi di recupero da parte di malintenzionati. Il concetto di base è che se il contenuto del disco fisso è crittografato (e quindi non accessibile dagli utenti non autorizzati), l'hard disk potrebbe continuare ad ospitare, in zone libere, dei dati contenenti informazioni personali. Questi, ancora salvati in forma non crittografata, potrebbero essere recuperati utilizzando apposite utility: la funzione di wiping integrata in TrueCrypt permette di scongiurare anche questa eventualità.

TrueCrypt 5.0 informa quindi sull'avvio di un test che ha l'obiettivo di controllare che tutto funzioni correttamente. Come riportato anche nel disclaimer finale, nessun dato, memorizzato sul disco fisso, sarà crittografato fintanto che il riavvio del computer non sarà stato effettuato.
Riavviando il sistema, dovrebbe comparire il boot loader di TrueCrypt: per proseguire bisognerà digitare la password scelta in fase di configurazione.

Se il sistema non dovesse avviarsi pur digitando la password corretta, è sufficiente premere il pulsante ESC: TrueCrypt richiederà se si desidera disinstallare il boot loader. Nel caso in cui questo metodo dovesse fallire, è possibile risolvere la situazione inserendo nel lettore CD/DVD il disco di ripristino precedentemente creato assicurandosi che il sistema venga avviato dal supporto inserito (verificare le impostazioni del BIOS).
A questo punto, sarà sufficiente selezionare la voce Repair Options quindi Restore original system loader. Rimuovendo il CD di emergenza di TrueCrypt il sistema dovrebbe a questo punto avviarsi di nuovo in modo corretto.
Il CD di ripristino di TrueCrypt integra, all'interno del menù Repair Options molte possibilità tra le quali quella che permette di decifrare in modo permanente l'intero disco fisso o singole partizioni (Permanently decrypt system partition/drive).


Solitamente, invece, se tutto andrà liscio, dopo aver digitato la password scelta in fase di configurazione, si avrà nuovamente accesso al sistema operativo e TrueCrypt 5.0 mostrerà il messaggio Pretest completed.

A questo punto, cliccando sul pulsante Next, i dati del disco fisso saranno crittografati. L'operazione è però piuttosto delicata: prima di procedere, come chiaramente informa anche TrueCrypt, è bene accertarsi di essere in possesso di una copia di backup di tutti i contenuti del disco fisso. Nel caso in cui si sia provveduto ad effettuare una copia di sicurezza di tutti i dati, è possibile cliccare sul pulsante Defer: in qualsiasi momento, riavviando TrueCrypt, il programma consentirà di procedere con la crittografia.
E' altresì bene accertarsi che il computer in uso sia collegato ad un gruppo di continuità: nel caso in cui dovesse venire a mancare l'energia elettrica durante l'operazione di crittografia, è possibile che alcuni contenuti del disco vengano danneggiati o non risulti più leggibili. Massima cautela, quindi.


TrueCrypt 5.0: creare unità crittografate e proteggere l'intero disco fisso - IlSoftware.it