DiskCryptor

DiskCryptor — свободное программное обеспечение с открытым исходным кодом, предназначенное для шифрования всех разделов дисков, включая системные разделы, внешних устройств хранения информации, USB-накопителей, создания зашифрованных CD и DVD а также образов CD/DVD^[2].

DiskCryptor
DiskCryptor со смонтированным разделом
Тип	Криптография
Автор	ntldr
Разработчики	ntldr (анонимен, Харьков, Украина); DavidXanatos (Австрия[1])
Написана на	С, Ассемблер
Операционная система	Microsoft Windows NT 5+
Языки интерфейса	английский
Последняя версия	1.1.846.118 (9 июля 2014)
Бета-версия	1.3.0 (23 февраля 2024)
Репозиторий	github.com/DavidXanatos/…
Состояние	активное
Лицензия	GNU GPLv3
Сайт	diskcryptor.org
Медиафайлы на Викискладе

Разработку DiskCryptor, начатую в 2007 году первоначальным автором ntldr^[3], прекратившуюся в 2014 году, теперь продолжает и развивает DavidXanatos совместно с разработчиками-вкладчиками^[4].

Возможности

• Использует алгоритмы шифрования AES-256, Twofish, Serpent, включая их комбинации.
• Поддерживает полное шифрование диска, шифрование разделов и шифрование внешнего хранилища.
• Прозрачное шифрование дисковых разделов.
• Полная поддержка динамических дисков.
• Позволяет иметь несколько зашифрованных томов на одном диске.
• Поддержка дисковых устройств с большим размером сектора (важно для работы с аппаратным RAID, требуется для томов большого объёма).
  • Высокая производительность, сопоставимая с эффективностью незашифрованной системы.
• Поддержка аппаратного ускорения шифрования AES:
  • Новый набор инструкций AES для процессоров Intel и AMD;
  • Расширения PadLock^[англ.] на процессорах VIA;
• Поддержка расширения SSD-накопителей TRIM.
• Совместимость с 32-битными и 64-битными операционными системами Windows (XP, Vista, 7, 8, 8.1 и 10).
• Широкий выбор конфигурации загрузки зашифрованной ОС. Поддержка различных вариантов мультизагрузки.
• Полная совместимость с загрузкой UEFI/GPT
• Полная совместимость со сторонними загрузчиками (LILO, GRUB и т. д.).
• Возможность размещения загрузчика на внешнем носителе и аутентификации с использованием ключевого носителя.
• Шифрование системы и загрузочных разделов с предзагрузочной аутентификацией для защиты системы от несанкционированного доступа.
• Поддержка ключевых файлов.
  • Полная поддержка внешних устройств хранения данных.
• Возможность создания зашифрованных CD и DVD.
  • Возможность создания зашифрованных ISO-образов для безопасного хранения данных.
• Полная поддержка шифрования внешних USB-накопителей.
• Автоматическое монтирование дисковых разделов и внешних накопителей.
  • Поддержка горячих клавиш и командной строки.
• Универсальная общественная лицензия GNU GPLv3^[5].

История версий

Ограничения текущей версии

1. Зашифрованный базовый системный раздел нельзя преобразовывать в динамический (после конвертации система не загрузится).
2. При шифровании системного или загрузочного разделов в пароле нельзя использовать национальные символы. Если ваша клавиатура имеет QWERTZ или AZERTY раскладку, то необходимо использовать только символы из набора [A-Z][a-z][0-9]^[6].

Таблица версий (более подробная информация доступна на официальном сайте)^[7]

Версия	Билд	Дата	Описание
1.3.0		2024-02-23	Добавлено безопасное шифрование системного тома (загрузчик тестируется перед тем, как что-либо будет зашифровано) Добавлена возможность восстановления MBR, если она была повреждена инструментом разбиения на разделы или резервного копирования/восстановления Исправлена проблема с изоляцией ядра в Windows 10/11.
1.2.2	848.118.202	2020-04-27	Добавлена совместимость с процедурой обновления функций Windows 10 с использованием механизма ReflectDrivers Добавлены дополнительные сообщения загрузчика EFI в пользовательский интерфейс Добавлена возможность включения пароля изображения EFI из пользовательского интерфейса Добавлено отображение оставшихся символов сообщений Улучшен ввод пароля CLI загрузчика UEFI Реструктурирован графический интерфейс конфигурации загрузчика
	848.118.201	2020-03-14	Добавлена возможность монтировать тома в режиме только для чтения Переключен на использование «быстрой» реализации шифрования для загрузчика x64 UEFI Добавлена поддержка аппаратного шифрования для загрузчика x64 UEFI Отключен режим очистки на драйверах SSD (так как на них он бесполезен и может повредить SSD) Исправлены проблемы с обновлением драйвера в Windows 10 Исправлены некоторые значения конфигурации EFI, которые не загружались должным образом библиотекой API
	846.118.200	2020-01-29	Загрузчик EFI Загрузчик Shim для достижения совместимости с безопасной загрузкой Процедура установки загрузчика для разделов GPT Интегрированная установка загрузчика EFI в CLI Отображение типа диска в диалоговом окне установки загрузчика Интегрированная установка загрузчика EFI в GUI Проект перенесен в Visual Studio 2017 с использованием win 7 sdk для совместимости Сообщения об ошибках теперь содержат строку ошибки вместо зашифрованного кода ошибки Включено понимание высокого DPI в GUI Исправлено неправильное определение загрузочных разделов Исправлено удаление драйвера, из-за которого не удавалось удалить dcrypt.sys
1.1	846.118	2014-07-09	Улучшено: Более точная обработка написания заголовков томов. Снижен риск потери данных в процессе шифрования. Исправлено: Некоторые ошибки совместимости с Windows 8.
	836.118	2014-06-25	Добавлено: совместимость с Windows 8.0 и 8.1. Исправлено: BSOD при расшифровке форматированного объема. Улучшено: Устранение ошибок в коде.
1.0	802.118	2014-01-01	Улучшено: Совместимость с perfmon (операции IO отображаются на вкладке Disk Activity). Улучшено: внутренние улучшения качества программного кода. Исправлено: ошибка с потерей памяти на некоторых ноутбуках (карта e820 увеличена до 64 элементов).
	757.115	2013-01-03	Добавлено: workaround for AES-NI support on Hyper-V. Добавлено: internal self-tests for PKDBF2 and XTS engines. Исправлено: bug with data loss with some cases on VIA-PadLock. Исправлено: regression with SSD detection on Windows XP. Исправлено: bug with no FS creation when formatting from GUI.
	744.115	2012-12-14	Проект перенесен в Visual Studio 2010. Улучшено: 3tb+ disks detection.
	732.111	2011-05-23	Добавлено: оптимизация для набора инструкций AVX. Исправлено: более стабильны результаты внутреннего теста. Улучшено: внутренняя архитектура.
	716.109	2010-10-23	Добавлено: опция Deny access to unencrypted devices. Добавлено: опции командной строки. Улучшено: совместимость PXE загрузки. Исправлено: ошибки.
	711.107	2010-07-31	Исправлено: ошибки.
	709.107	2010-06-29	Исправлено: ошибки.
	708.107	2010-06-27	Добавлено: возможность менять размер зашифрованных разделов средствами ОС (из остнастки управления дисками). Удалено: поддержка Windows 2000.
	667.107	2010-05-16	Улучшено: совместимость со сторонними загрузчиками.
	666.106	2010-05-09	Добавлено: оптимизированная под SSE2 реализация Serpent. Теперь Serpent уступает по скорости только аппаратному AES.
	664.106	2010-05-08	Добавлено: оптимизация ввода-вывода для SSD, ускоряющая последовательный доступ в 1.5-2 раза. Оптимизация включается только если диск идентифицируется как SSD (согласно стандарту ATA-ACS8), если ваш SSD некорректно поддерживает соответствующую спецификацию, то оптимизация включена не будет, чтобы не сделать хуже. Оптимизация может быть принудительно отключена в настройках программы. Добавлено: поддержка TRIM для SSD и возможность отключать обработку TRIM для сохранения правдоподобного отрицания причастности. Поддержка TRIM доступна только на Windows 7 и выше. Изменено: значительные изменения в архитектуре ввода-вывода.
0.9	593.106	2010-04-24	Произведено большое количество архитектурных изменений, направленных в основном на улучшение производительности и упрощение кода. Производительность базовой реализации AES для x86 увеличена на 10-15 %, улучшена оптимизация параллельного шифрования для систем с большим количеством процессоров (более 8ми), переписана поддержка VIA-PadLock, что позволило во много раз ускорить AES на этой платформе. Добавлена поддержка инструкций AES-NI, что позволило повысить производительность AES в 10-15 раз на соответствующих процессорах.[8]
0.8		2009-07-28
0.7		2009-05-31	Начиная с этой версии все драйвера DiskCryptor содержат корректную ЭЦП и могут быть установлены на Windows Vista x64 без отключения проверки подписи (благодаря ReactOS Foundation). Последняя версия, выложенная на SourceForge.[9]
0.6a		2009-01-19
0.6		2009-01-14
0.5		2008-12-26	DiskCryptor до версии 0.5 был полностью совместим с TrueCrypt, так как использовал аналогичный формат раздела и шифровал данные алгоритмом AES-256 в режиме LRW. Это давало возможность открыть зашифрованный раздел на Linux или MacOS при помощи TrueCrypt. Начиная с версии 0.5 решено отказаться от совместимости с TrueCrypt и предыдущими версиями DiskCryptor, так как это вызывало ряд неразрешимых другим способом проблем. В настоящее время DiskCryptor использует формат раздела принятый в версии 0.5, и все дальнейшие изменения будут вноситься без потери совместимости.
0.4		2008-09-27	Последняя полностью совместимая с TrueCrypt версия.
0.3		2008-07-17
0.2.6		2008-03-18
0.2.5		2008-01-11
0.2		2007-12-19
0.1		2007-11-19	Первый публичный релиз.

Цветовые обозначения таблицы версий

Стабильные
Бета
Запланированные

Используемые криптоалгоритмы

Алгоритмы
Шифрования	Хеша
AES-256	SHA-512
Serpent
Twofish

Возможность использования нескольких криптоалгоритмов в цепочке позволяет сохранить безопасность даже при взломе одного из них^[10].

Безопасность

Ключ шифрования генерируется случайным образом и хранится в зашифрованном виде в первом секторе тома. Гарантией безопасной реализации криптографических алгоритмов является то, что они проверяются встроенным тестом согласно официальным тестовым векторам, а открытый исходный код гарантирует, что в программе отсутствуют закладки. Свободный открытый код DiskCryptor — явное преимущество перед проприетарным программным обеспечением для шифрования с аналогичным функционалом, использование которого для защиты конфиденциальных данных несет риск скрытых платежей или содержания бэкдоров^[11].

Исходный код каждого релиза подписан PGP-ключом автора, что исключает возможность распространения модифицированного кода с внесенными закладками.

Производительность

Криптографические алгоритмы для версии x86 реализованы на языке ассемблера, причем реализация имеет максимальное количество оптимизаций для процессоров Intel Core i5-i7, оставаясь при этом достаточно быстрой и на любых других процессорах. Применены почти все возможные улучшения для повышения производительности, в частности — код алгоритма AES генерируется динамически, с оптимизацией под использование конкретного ключа. На многопроцессорных системах операции шифрования могут выполняться параллельно, при этом DiskCryptor автоматически выбирает оптимальный параллельный режим, в зависимости от конфигурации системы. DiskCryptor также может использовать аппаратные расширения криптографии, если процессор их поддерживает.

Поддерживаемые ОС

Операционная система	Пакет обновлений	Разрядность
Windows 2000	SP0-SP4	x86
Windows XP	SP0-SP3	x86, x64
Windows Server 2003	SP0-SP2	x86, x64
Windows Vista	SP0-SP2	x86, x64
Windows Server 2008	SP0-SP2	x86, x64
Windows 7	SP1	x86, x64
Server 2008 R2		x64
Windows 8 / 8.1		x86, x64
Windows 10		x86, x64