TrueCrypt è una nota applicazione che consente di creare unità disco virtuali crittografate e di cifrare l’intero contenuto di dischi e parzioni, compresa quella ospitante il sistema operativo.
I dati cifrati salvati all’interno di “file-contenitori” utilizzando una serie di noti algoritmi crittografici (AES, Serpent e Twofish) sono accessibili solo dal legittimo proprietario previo inserimento di una password impostata al momento della creazione dell’unità virtuale. In aggiunta, si può specificare anche l’utilizzo di un “file chiave” (memorizzabile, ad esempio, su una o più unità rimovibili) che fungerà da protezione addizionale.
A partire dalla sesta versione, il software è anche in grado di generare dei “file-contenitore” nascosti: TrueCrypt può produrre un “contenitore” che si comporti come un involucro per un altro oggetto, nascosto, la cui presenza non è provabile. In questo modo, un utente che venisse forzato a rivelare la password del contenitore “esterno” non consentirà l’accesso ai contenuti ed ai dati importanti che avrà invece avuto cura di salvare nel contenitore nascosto.
Del funzionamento di TrueCrypt e dei possibili impieghi abbiamo parlato più volte nei nostri articoli. Eccone alcuni:
Questa volta vogliamo concentrarci su alcuni aspetti di TrueCrypt generalmente poco noti e di grande importanza in ambito professionale.
Backup dell’intestazione dell’unità virtuale cifrata ed utilizzo in un ambiente di lavoro
Nella spiacevole situazione in cui l’header (intestazione) di un’unità virtuale crittografata, creata con TrueCrypt dovesse danneggiarsi, la stessa non potrà essere più “montata” ossia resa accessibile da parte del sistema operativo (ricordiamo che TrueCrypt non è compatibile solamente con Windows 2000, XP, Vista e Windows 7 ma anche con Mac OS X e Linux).
A partire dalla release 6.0, TrueCrypt ha introdotto l’impiego di un embedded header: ciò significa che il “file-contenitore” ospitante l’unità virtuale cifrata, integra anche una copia dell’intestazione. Tale copia viene conservata alla fine dell’unità virtuale.
Per sicurezza, però, è sempre bene creare una copia dell’header che sarà salvato su disco sotto forma di file. Sia la copia dell’intestazione embedded che quella salvata esternamente possono essere utilizzate per ripristinare l’accesso ad un’unità virtuale che dovesse risultare danneggiata (basterà cliccare sul menù Tools quindi su Restore volume header).
Il backup è invece effettuabile accertandosi prima di aver “montato” l’unità d’interesse (Select file o Select device) quindi ricorrendo al menù Tools, Backup volume header di TrueCrypt.
A questo punto, dopo aver cliccato su OK, si dovrà inserire la password utilizzata a protezione dell’unità crittografata e specificare l’eventuale keyfile.
Il passaggio successivo consiste nell’indicare se il volume selezionato contenga o meno un’unità nascosta. Alla comparsa della finestra seguente si dovrà rispondere di conseguenza.
Ovviamemente, se si risponderà in modo affermativo, si dovrà introdurre anche la password del volume nascosto. Cliccando su Sì, alla comparsa della successiva finestra di dialogo, TrueCrypt richiederà il nome da assegnare al file contenente il backup dell’intestazione. Sia l’header dell’unità principale che dell’eventuale volume nascosto saranno nuovamente crittografati prima della loro memorizzazione.
In un ambiente di lavoro è impossibile azzerare la password di utente, precedentemente impostata su un’unità virtuale cifrata. Se l’utente dovesse dimenticare la password utilizzata a protezione del volume cifrato è un pasticcio: i dati non saranno infatti più recuperabili.
Per “scavalcare” questa limitazione l’amministratore può generare un’unità virtuale cifrata con TrueCrypt impostando una password di sua scelta. A questo punto, egli può creare una copia di backup degli header applicando la procedura illustrata poco sopra.
Effettuata quest’operazione, l’amministratore potrà cambiare la password dell’unità cifrata con TrueCrypt e comunicarla all’utente che poi utilizzerà il disco virtuale.
Così facendo, nel caso in cui l’utente dovesse dimenticare la password, l’amministratore potrà ripristinare – in qualunque momento – gli header originali insieme con la parola chiave scelta in fase di creazione del volume cifrato.
Il cambio della password, in TrueCrypt, può essere richiesto semplicemente accedendo al menù Volumes quindi cliccando sul comando Change volume password.
Sempre con riferimento all’utilizzo di TrueCrypt in ambienti lavorativi, è bene far notare come anche le unità cifrate con il programma possano essere condivise in rete locale. Le alternative, a tal proposito, sono due: “montare” l’unità virtuale su un personal computer (quest’ultimo fungerà in pratica da server) e condividere il disco oppure lasciare “montare” l’unità ai vari computer collegati in LAN.
Ciascuna delle due opzioni ha dei vantaggi così come degli svantaggi. Nel primo caso (unità cifrata “montata” su un unico sistema server), tutti gli utenti potranno scrivere sul disco virtuale TrueCrypt condiviso in rete. I dati trasmessi attraverso la rete (da e verso l’unità crittgrafata), però, non saranno cifrati in alcun modo (è comunque possibile proteggerli usando tecnologie “ad hoc”: SSL, TLS, VPN…).
Va altresì osservato che, al riavvio del sistema server, la condivisione di rete sarà automaticamente ripristinata solamente se il volume è indicato come favorite (finestra Favorites, Organize favorite volumes).
Nel secondo caso (ogni sistema collegato in rete “monta” individualmente l’unità TrueCrypt), i dati trasmessi sulla rete sarà cifrati ma il volume condiviso può essere solo memorizzato sotto forma di file (è esclusa, ad esempio, la messa a fattor comune di partizioni crittografate). Inoltre, il volume TrueCrypt deve essere “montato” in modalità “sola lettura” (read-only) su tutti i sistemi.