Vera crypt: VeraCrypt – практические руководства по использованию программы, инструкции VeraCrypt, зашифровать диск VeraCrypt, зашифровать системный диск в Windows и Linux

Создание зашифрованного диска с «двойным» дном с помощью Veracrypt

VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров.

В этой статье мы рассмотрим интересную возможность VeraCrypt для создания зашифрованного диска со скрытым разделом, этот метод, также называемый методом «двусмысленного шифрования», обеспечивает возможность правдоподобного отрицания наличия второго тома, т.к. не обладая нужным паролем, доказать существование скрытого тома не представляется возможным.

Создание ключевого файла

Для работы с зашифрованным разделом наличие ключевого файла не является обязательным, но если защищать данные по-максимуму, то лишним не будет, например, как еще один фактор для обеспечения достаточно высокой стойкости к принуждающим атакам, также известным как «метод терморектального криптоанализа».
В данном случае предполагается наличие двух ключевых файлов на внешних носителях, один из которых будет хранится в достаточно надежном месте, например, в защищенной банковской ячейке.

Вторая же копия при возникновении угрозы уничтожается. Таким образом, даже если наличие скрытого раздела стало известно, а пароль от него извлечен методом силового воздействия — без ключевого файла доступ к зашифрованной информации получить не удастся.

В VeraCrypt есть инструмент для генерации ключевого файла, позволяющий создать файл со случайными данными заданного размера. Для этого необходимо запустить из меню Сервис — Генератор ключевых файлов, задать необходимое количество ключевых файлов и их размер, и сгенерировать энтропию, совершая хаотичные движения мышкой. После этого сохранить ключевой файл (в нашем случае, также сделав и его копию).

Создание зашфированного раздела

Для того чтобы создать скрытый зашифрованный раздел, нужно сначала подготовить обычный (внешний) зашифрованный том. Для его создания запустим из меню Сервис — Мастер создания томов.

Выберем «Зашифровать несистемный раздел/диск«, что бы создать зашифрованный диск (в моем случае это небольшой SSD диск). Если отдельного диска нет, можно использовать «Создать зашифрованный файловый контейнер«, т.к. он будет в дальнейшем смонтирован как виртуальный диск, все последующие инструкции справедливы и для него.

Тип тома зададим «Скрытый том Veracrypt«, режим тома «Обычный» (т.к. мы создаём новый том). В размещении тома нужно выбрать диск, на котором будет создан зашифрованный том, в случае создания файлового контейнера, нужно будет указать место, где этот файл создать.

Режим создания тома «Создать и отформатировать» если диск пустой, или «Зашифровать на месте«, если на диске уже есть данные, которые нужно зашифровать.

Алгоритм шифрования оставляем AES, т.к. несмотря на наличие возможности выбрать один из пяти алгоритмов шифрования, AES является достаточно надежным и быстрым (в VeraCrypt поддерживается и включено по умолчанию аппаратное ускорение этого алгоритма, при использовании процессоров, имеющих набор инструкций AES-NI).

Средняя скорость шифрования/дешифрования в памяти (12 потоков, Апп. ускорение AES включено, Мб/c, больше-лучше):

Зададим надежный пароль (как выбрать надежный пароль мы рассказывали в этой статье).

Интересный факт: пароль “самого разыскиваемого хакера”, использовавшего полное шифрование дисков, Джереми Хэммонда, был именем его кошки: “Chewy 123”;

Перед форматированием тома потребуется совершить несколько хаотичных движений мышкой, что бы создать необходимый уровень энтропии для шифрования. Опцию «быстрое форматирование» не следует использовать, так как предполагается создание скрытого раздела. Если не предполагается хранение больших файлов (>4Гб), тип файловой системы рекомендуется оставить FAT.

Создание скрытого тома

В мастере томов выберем «Зашифровать несистемный раздел/диск«. Режим тома «Скрытый том VeraCrypt«. Режим создания «Прямой режим«. Выберем устройство или контейнер, зашифрованные на предыдущем шаге. Введем созданный ранее пароль и нажмем «Далее«.

Укажем тип шифрования для скрытого тома. Как и выше, я рекомендую оставить настройки по умолчанию. На данном этапе мы можем добавить использование ключевого файла, как дополнительной меры защиты.

На следующем шаге определим сколько места «забрать» у основного тома для создания скрытого тома. Дальнейший процесс настройки тома, аналогичен настройке внешнего тома.

Подключение внешнего тома

Монтирование тома может занимать некоторое время, это связано с большим количеством итераций при генерации ключа, что повышает стойкость при атаках «в лоб» в десятки раз.

Для подключения внешнего тома нажмем «Смонтировать«, откроем «Параметры» и установим опцию «Защитить скрытый том от повреждения при записи» и укажем пароль и ключевой файл от скрытого тома.

Опцию защиты при монтировании внешнего тома необходимо включать, так как скрытый том является частью внешнего, и запись во внешний том без защиты может повредить скрытый том. В том случае, если вас заставляют смонтировать внешний том силовым методом (против которого этот механизм и был создан), то, естественно, вы его монтируете как обычный том, и VeraCrypt не будет показывать что это внешний том, он будет выглядеть как обычный.

Во внешнем томе можно разместить информацию, которая будет выглядеть или быть отчасти чувствительной, в то время как все самое ценное будет храниться на скрытом томе.

Подключение скрытого тома

Для подключения скрытого тома, нажмем «Смонтировать», укажем пароль и ключевой файл от скрытого тома. При примонтированном скрытом томе, VeraCrypt добавляет пометку «Скрытый«.

Векторы атаки

Атака в лоб:

Атаки методом перебора, при наличии стойкого пароля малоэффективна — это тот сценарий, к которому и готовились разрабочики VeraCrypt, а при наличии ключевого файла — неэффективны абсолютно.

Извлечение ключей шифрования:

Теоретически, получив доступ к выключенному компьютеру, есть некоторый шанс извлечь ключи шифрования из памяти или файла гибернации и файла подкачки. Для противодействия такого рода атакам рекомендуется включить опцию шифрования ключей и паролей в ОЗУ в меню Настройка — Быстродействие и отключить файл подкачки и спящий режим.

Скрытое управление:

Хранение данных в зашифрованном виде убережет их в случае утери, конфискации или кражи устройства, но в случае, если злоумышленники получили скрытый контроль над компьютером по сети, например, с использованием вредоносного ПО с возможностями удаленного управления, им не составит труда получить ключевой файл и пароль в момент использования. Варианты противодействия этим типам атак рассматривать не будем, так как тема сетевой безопасности довольно обширна, и выходит за рамки данной статьи.

Проект SAFE » VeraCrypt – шифрование файлов, папок и дисков

VeraCrypt умеет создавать защищенные (зашифрованные) «контейнеры». Физически такой контейнер выглядит как обычный файл, но с помощью VeraCrypt превращается в виртуальный диск. С этим диском можно работать так же, как с любым другим, в частности, создавать папки, копировать файлы. При записи файла на виртуальный диск VeraCrypt этот файл будет автоматически («на лету») зашифрован, а при считывании, наоборот, расшифрован. Эти действия выполняются в фоновом режиме, незаметно для пользователя и не сказываются на скорости работы.

С помощью VeraCrypt можно зашифровать USB-флешку и даже весь жесткий диск (в том числе системный).

Данные, зашифрованные VeraCrypt, находятся под паролем. Он должен быть достаточно надежным.

Мы расскажем, как создать в контейнере VeraCrypt «двойное дно», чтобы обмануть даже самого продвинутого злоумышленника, не нарушая при этом никакие законы.

Версия программы, использованная в этом руководстве: 1.19
Последняя редакция этого текста: февраль 2017 г.

I. Загрузка и установка VeraCrypt

VeraCrypt – бесплатная кросс-платформенная программа с открытым кодом. Вы можете загрузить версии VeraCrypt для Windows, MacOS и Linux с официального сайта разработчика: https://veracrypt.codeplex.com/releases. В качестве примера мы будем использовать версию для Windows, предполагая, что пользователи MacOS и Linux сумеют действовать по аналогии.

1. Загрузите дистрибутив VeraCrypt (файл .exe) на свой компьютер.

2. Запустите дистрибутив. Появится окно с лицензионным соглашением.

3. Поставьте галочку в поле «I accept the license terms»

и нажмите кнопку «Next». Вы увидите окно с выбором режима установки.

• «Install». VeraCrypt будет установлен, как обычная программа Windows. Этот удобный режим подходит, если нет нужды скрывать сам факт наличия шифровальных средств на компьютере. Кроме того, это единственный выбор, если вы намереваетесь зашифровать системный диск.
• «Extract». Архив VeraCrypt будет распакован в созданную вами папку. Вы получаете портативность: папку VeraCrypt можно перенести, например, на USB-флешку и запускать программу оттуда. Этот вариант более мобильный, к тому же подходит, если вы не хотите обнаруживать факт использования вами шифрования VeraCrypt. Он не годится, если вы намерены зашифровать системный диск.

Рассмотрим портативный вариант. Выберите «Extract» и нажмите кнопку «Next».

4. Пояснение об особенностях портативного режима. Нажмите кнопку «ОК».

5. Еще одно окно с объяснением, как работают драйверы VeraCrypt в портативном режиме. Нажмите «Да».

6. Нужно выбрать папку для установки программы. (Помните, что это портативный вариант, поэтому папку впоследствии можно переименовать или перенести по вашему желанию). Сделайте это и нажмите кнопку «Extract».

7. После окончания распаковки вы увидите окошко с информацией об этом и единственной кнопкой «ОК». Нажмите ее.

8. Последнее окно установщика VeraCrypt – просьба поддержать разработчиков (кнопка «Donate now…»). Чтобы завершить мастер установки, нажмите кнопку «Finish».

II. Создание зашифрованного контейнера

VeraCrypt может организовать защиту ваших данных двумя способами: помещая их в защищенный контейнер или шифруя целиком весь диск. Начнем с первого способа.

1. Запустите программу. Если у вас 64-битная операционная система – файл VeraCrypt-x64.exe, если 32-битная – VeraCrypt.exe. Откроется основное рабочее окно программы.

Если по каким-то причинам программа запустилась на английском языке, выберите в меню «Settings» пункт «Language» и, соответственно, русский язык.

2. Нажмите кнопку «Создать том». Откроется окно мастера создания томов VeraCrypt.

3. Оставьте пункт, выбранный по умолчанию – «Создать зашифрованный файловый контейнер». Нажмите кнопку «Далее». Откроется окно выбора типа тома.

4. Оставьте пункт по умолчанию – «Обычный том VeraCrypt». (О скрытом томе мы расскажем потом). Нажмите кнопку «Далее». Нам предстоит выбрать место для контейнера.

5. На этом этапе нужно выбрать место и название файла-контейнера. Не особенно переживайте по этому поводу: при необходимости файл можно переместить и переименовать. Нажмите кнопку «Файл…», выберите удобное место и придумайте название (любое) и нажмите кнопку «Сохранить». Убедитесь, что в поле «Не сохранять историю» установлена галочка (по умолчанию она должна там быть). Запомните, где находится этот файл и как называется. Нажмите кнопку «Далее».

6. Продвинутые пользователи могут почитать о том, какие алгоритмы шифрования использует VeraCrypt, и даже сделать выбор между ними. Мы же оставим все без изменений и нажмем кнопку «Далее», чтобы перейти к важному этапу: выбору размера тома.

7. Контейнер – как сундук, он ограничен в объеме, и этот объем мы задаем с самого начала. Советуем делать это с учетом важных файлов, которые вы собираетесь хранить внутри, лучше с запасом. Если впоследствии все-таки места не хватит, ничего страшного: всегда можно создать новый контейнер попросторнее. Выбрав размер, нажмите кнопку «Далее».

8. Настало время придумать пароль для защиты контейнера. Это очень важный пароль, и он должен быть по-настоящему надежным. (Позже мы покажем, как его можно сменить). Введите пароль дважды и нажмите кнопку «Далее». (Если пароль окажется, по мнению VeraCrypt, чересчур коротким, программа дополнительно сообщит об этом в небольшом окошке).

9. Пора создать наш файловый контейнер. В открывшемся окне можно выбрать, в частности, файловую систему. Если вы не собираетесь размещать в контейнере особо крупные файлы (4 Гб и более), рекомендуем выбрать FAT (из соображений совместимости), если такие крупные файлы вам нужны, то NTFS. Остальные параметры лучше оставить нетронутыми. Перемещая курсор мыши внутри окна, вы «помогаете» программе собирать случайные данные и увеличиваете криптостойкость ключей (полоска в нижней части окна). Когда вам надоест толкать курсор по экрану, нажмите кнопку «Разметить» и понаблюдайте за индикатором в центре окна. После того, как этот индикатор станет полностью зеленым, возникнет окошко «Том VeraCrypt успешно создан».

10. Нажмите «ОК», а затем «Выход», чтобы покинуть мастер создания томов.

Много шагов, да? К счастью, создавать контейнеры приходится не каждый день. На практике люди обычно создают один, реже два контейнера, и пользуются ими довольно долго – пока хватает места.

Может показаться, что ничего не изменилось. На экране то же окно VeraCrypt, что в самом начале. Это не совсем так: если вы воспользуетесь любым файловым менеджером (например, «Проводником»), то в указанной вами папке (шаг 5) найдете файл с выбранным вами именем и размером (шаг 7). Зашифрованный файл-контейнер создан. Чтобы им пользоваться, нужно его смонтировать.

III. Монтирование тома

Эту несложную процедуру понадобится проделывать всякий раз для подключения вашего зашифрованного контейнера (тома). Набив руку, вы обнаружите, что она почти не отнимает времени.

1. Запустите VeraCrypt, если вы этого еще не сделали.

2. Выберите в окне букву для будущего виртуального диска – любую, какая вам больше нравится.

3. Нажмите кнопку «Файл…» в правой части окна.

4. Отыщите папку и файл-контейнер, созданный ранее. (Предыдущий раздел, п.5).

5. Нажмите кнопку «Смонтировать» в левом нижнем углу окна.

6. В открывшемся маленьком окошке введите пароль. (Тот, который придумали в предыдущем разделе, п.8). VeraCrypt может попросить немножко подождать. Смонтированный том в программе VeraCrypt выглядит так:

Если вы воспользуетесь файловым менеджером, то можете убедиться: в системе появился новый диск. Это виртуальный диск, с которым можно работать так же, как с любым другим диском. Попробуйте скопировать на этот диск парочку файлов и убедитесь, что все работает как надо.

Когда работа завершена, нужно размонтировать том. Для этого достаточно нажать кнопку «Размонтировать» в левом нижнем углу программы. Не забывайте делать это, не оставляйте том смонтированным, когда перезагружаете или выключаете компьютер.

IV. Смена пароля

1. Запустите VeraCrypt.

2. Нажмите кнопку «Файл…» в правой части окна и выберите файл с вашим зашифрованным контейнером.

3. В меню «Тома» (первый пункт) выберите пункт «Изменить пароль тома».

4. В окне «Изменение пароля или ключевых файлов» введите текущий пароль (вверху) и – дважды – новый пароль (ниже). Нажмите кнопку «ОК».

V. Создание скрытого тома

Предположим, обстоятельства сложились для вас неудачно: вас принуждают сдать пароль от вашего зашифрованного контейнера. (Может быть, вы удивитесь, но в законодательстве некоторых стран есть такая норма). VeraCrypt позволяет одновременно выполнить требования закона и сохранить конфиденциальность данных. В иностранной литературе этот принцип называется plausible deniability (приблизительный перевод – «легальный отказ»).

Хитрость этого приема в том, что вы создаете в своем контейнере второе, секретное отделение. У него нет «выпирающих частей» или дополнительных входов. Представьте себе сейф, с виду обычный, с единственным кодовым замком, но не одним, а двумя кодами. При вводе первого кода открывается обычное отделение. При вводе второго кода – секретное. Вы можете пожертвовать первым кодом. Программа устроена так, что никаких технических возможностей доказать существование скрытого отделения (тома) не существует.

1. Запустите VeraCrypt.

2. Нажмите кнопку «Создать том». Откроется уже знакомый мастер создания томов.

3. Выберите «Создать зашифрованный файловый контейнер» (по умолчанию) и нажмите кнопку «Далее».

4. Выберите «Скрытый том VeraCrypt» и нажмите кнопку «Далее».

5. Вам предлагаются два варианта. «Обычный режим» подразумевает создание защищенного контейнера «с нуля»: сначала внешний том, затем скрытый. Если у вас уже есть том VeraCrypt (мы его создали в разделе II), можно выбрать «Прямой режим». Нажмите кнопку «Далее».

6. Отыщите на диске созданный ранее файл-контейнер и нажмите кнопку «Далее».

7. Введите пароль внешнего тома (II.8) и нажмите «Далее». VeraCrypt может попросить вас немножко подождать.

8. Информационное окно – сообщение, что все готово для создания скрытого тома. «Далее».

Остальные шаги повторяют 6-10 в разделе II. Единственная разница в том, что вы не можете задать произвольный объем для скрытого тома – по понятным причинам он будет ограничен объемом внешнего тома.

Монтирование тома тоже осуществляется по шагам раздела III. В зависимости от того, какой пароль вы укажете на входе, будет смонтирован внешний или скрытый том. Вот как выглядит смонтированный скрытый том в основном рабочем окне VeraCrypt:

Обратите внимание на значение «Скрытый» в столбце «Тип».

Работать с новым виртуальным диском скрытого тома можно так же, как и с виртуальным диском открытого тома.

Если вы прибегаете к созданию скрытого тома, советуем записать во внешний том какие-нибудь файлы – важные, но не конфиденциальные. Если злодей получит доступ к внешнему тому, он увидит, что тот имеет содержимое. Пустой внешний том выглядел бы подозрительно.

V. Шифрование диска

Иногда удобно зашифровать целый диск – например, флешку. Сделать это ничуть не сложнее, чем файл-контейнер.

Вы можете зашифровать диск с данными так, что все данные будут потеряны (быстрее) или сохранены (дольше). В нашем примере мы будем использовать пустую флешку. Процесс шифрования диска – однократный, но может понадобиться продолжительное время (в зависимости от объема диска).

1. Вставьте флешку в USB-порт компьютера. Если с флешкой все в порядке, система распознает ее как внешний носитель и присвоит ей букву.

2. Запустите VeraCrypt.

3. Нажмите кнопку «Создать том». Появится мастер создания томов.

4. Выберите пункт «Зашифровать несистемный раздел/диск». Нажмите кнопку «Далее».

5. Выберите «Обычный том VeraCrypt» и нажмите «Далее».

6. Нажмите кнопку «Устройство…». Появится список дисков.

Выберите диск, который соответствует нашей флешке. Будьте осторожны, не перепутайте (особенно важно, если к компьютеру подключены две и более флешки). Нажмите кнопку «ОК», затем кнопку «Далее».

7. На этом этапе нужно выбрать способ подготовки флешки. Первый вариант («Создать и отформатировать зашифрованный том») означает, что флешка будет отформатирована, а все данные на ней утрачены. Это более быстрый способ. Второй вариант («Зашифровать раздел на месте») подразумевает сохранение всех данных, но потребуется больше времени. Поскольку мы договорились, что флешка чистая, выберите первый вариант. Нажмите «Далее».

8. Знакомый этап – настройки шифрования. Оставляем все как есть и нажимаем «Далее».

9. Информация о размере тома (устройства). Здесь ничего не изменить – мы имеем дело с флешкой «как есть». Нажмите кнопку «Далее».

10. Придумывайте пароль и введите его в оба поля. Нажмите «Далее». Если VeraCrypt выразит недовольство насчет длины пароля, можете вернуться и рассмотреть более длинный вариант – или нажать кнопку «Да».

11. Планируете работать с файлами более 4 Гб? Вопрос связан с ограничением файловой системы FAT. Если оставите выбор по умолчанию («Нет»), то при подготовке флешки будет использована система FAT — с ограничением, но более совместимая с разными устройствами. Если выберете «Да», будет предложена система exFAT. На следующем экране вы можете скорректировать выбор. Нажмите «Далее».

12. Дальнейшие шаги по подготовке флешки аналогичны шагам по созданию файлового контейнера.

Как работать с подготовленной флешкой? Вставьте ее в USB-порт. Операционная система сообщит, что диск не отформатирован, и предложит его отформатировать. Будьте осторожнее, не соглашайтесь.

Нажмите кнопку «Отмена» и действуйте так же, как с зашифрованными файловыми контейнерами. Откройте VeraCrypt, в главном окне программы нажмите кнопку «Устройство…», выберите диск и нажмите «ОК». Затем нажмите кнопку «Смонтировать». Если пароль верный, в системе появится новый диск – так, словно мы смонтировали файловый контейнер. Если же пароль ошибочный, вы увидите окошко «Неверный пароль, либо это не том VeraCrypt».

VI. Вопросы и ответы

ВОПРОС. Если я удалю программу VeraCrypt с компьютера, что станет с моими зашифрованными файловыми контейнерами и дисками?

ОТВЕТ. С ними ничего не произойдет. Все папки и файлы останутся зашифрованными. Вы сможете их расшифровать на любом компьютере, где есть VeraCrypt.

ВОПРОС. Все ли типы файлов можно шифровать?

ОТВЕТ. Да. Вы можете зашифровать любой файл: и текстовый документ, и электронную таблицу, и архив, и фотографию, и звуковой файл.

ВОПРОС. А программы?

ОТВЕТ. Да, и программы. Вы можете держать в зашифрованном контейнере целый набор портативных программ, например, текстовый редактор, просмотрщик фотографий, музыкальный проигрыватель, и так далее. Фактически, вы организуете собственное защищенное рабочее пространство.

ВОПРОС. Что если комбинировать разные программы защиты данных, например, VeraCrypt и KeePassX?

ОТВЕТ. Дополнительный уровень защиты – неплохая мысль. Базу паролей KeePassX (как и саму программу KeePassX) можно хранить в защищенном контейнере VeraCrypt. Или, наоборот, пароль к контейнеру или диску VeraCrypt – в базе KeePassX.

ВОПРОС. Я забыл пароль к файловому контейнеру (диску). Могу ли я как-нибудь восстановить пароль?

ОТВЕТ. Нет.

ВОПРОС. А не лучше ли замаскировать файл-контейнер под какой-нибудь другой формат, если дать ему соответствующее расширение? Например, звуковой файл, картинку или видео?

ОТВЕТ. Такая рекомендация встречается у экспертов по цифровой безопасности, но вряд ли это удачная идея. Во-первых, нужно быть достаточно информированным о форматах файлов, чтобы не попасть впросак. Например, «фотография JPEG» размером в 2Гб может вызвать подозрение, поскольку для этого формата не характерны столь большие размеры файлов. Во-вторых, злоумышленника может насторожить, что фотография (видео и др.) не открываются в соответствующих приложениях. В-третьих, файлы многих форматов имеют узнаваемые «сигнатуры»: просмотрев начало такого файла в редакторе, можно убедиться, что ожидаемая сигнатура отсутствует. Лучше не маскировать ваш файл под распространенные форматы.

ВОПРОС. А сам VeraCrypt не оставляет в файле-контейнере свою «сигнатуру», по которой можно догадаться, что это – том VeraCrypt?

ОТВЕТ. Нет, не оставляет.

ВОПРОС. Почему бы не использовать динамические контейнеры, которые могут изменять размер? Записал больше файлов – контейнер автоматически «вырос». Ведь это удобно?

ОТВЕТ. Да, это удобно. Однако если злоумышленник имеет возможность наблюдать за изменениями файлов на диске, он может заметить, что некий файл постоянно меняет свой размер, и это способно вызвать дополнительные подозрения. Если вам нужен более емкий контейнер, создайте новый, большего объема, и перенесите в него данные обычным копированием.

ВОПРОС. Вы сказали, что злодей не может «на глаз» определить существование скрытого тома. Но ведь он может просто записывать данные во внешний том, а когда дойдет до конца, выяснится, что часть объема «куда-то делась» – это и будет признаком скрытого тома, разве нет?

ОТВЕТ. По умолчанию защита скрытого тома отсутствует. Это значит, что в описанном примере злодей будет записывать данные, пока не заполнит ими весь контейнер. Он не «споткнется» на какой-то границе. Конечно, данные скрытого тома при этом будут утрачены. Но мы исходим из того, что лучше их потерять, чем раскрыть злодею.

Версия для печати

Настройка зашифрованного диска с помощью VeraCrypt на Windows

Инструкция по созданию зашифрованного диска виртуального сервера на операционной системе Windows Server с помощью программного обеспечения VeraCrypt.

О том как зашифровать диск с операционной системой читайте в инструкции:
Шифрование операционной системы Windows с помощью VeraCrypt

Что это такое?

VeraCrypt используется для шифрования систем и разделов, что обеспечивает повышенную безопасность данных, находящихся на них, защищает от взлома и кибератак.

О том как подключить диск средствами операционной системы читайте в наших инструкциях:

Важно: после того, как винчестер будет зашифрован его нельзя будет смонтировать обычном образом, только с помощью программы VeraCrypt.

Установка VeraCrypt

Для начала необходимо установить программу VeraCrypt на ваш виртуальный сервер, для этого скачайте установщик для Windows с официального сайта.

Запустите установщик и примите лицензионное соглашение.

Для установки используйте опцию Install.

Далее с помощью кнопки Browse выберете каталог файловой системы, в котором будет установлено ПО. Нажмите Install.

В результате вы должны увидеть следующее сообщение об успешной установке.

На рабочем столе появится ярлык установленной программы.

Настройка шифрования диска

Примечание: изменить язык рабочего интерфейса можно с помощью меню Settings → Language.

В главном окне приложения кликните Создать том.

Выберете Зашифровать несистемный раздел/диск. для шифрования дополнительного диска или раздела, на котором не установлена операционная система.

Используйте Обычный том VeraCrypt.

Выберете винчестер, который требуется зашифровать с помощью кнопки Устройство.

В открывшемся окне выберете нужный диск или раздел, в нашем примере это выделенный винчестер. Нажмите OK.

У вас отобразится полное название устройства, если все верно, то нажмите Далее.

Если на целевом диске нет никаких данных или допустима его полная очистка, то используйте пункт Создать и отформатировать зашифрованный том. Если важно не потерять данные, то выберете Зашифровать раздел на месте.

Далее выберете нужный алгоритм шифрования и хеширования.

Проверьте размер выбранного устройства и кликните Далее.

Далее придумайте надежный Пароль и подтвердите его. В качестве дополнительных средств безопасности можно использовать ключ-файлы и сообщения PIM. Нажмите Далее.

Если ваш пароль будет короткий, то появится следующее предупреждение. Вы можете нажать No и изменить пароль или кликнуть Yes и использовать короткий.

Далее ответьте на вопрос мастера о больших файлах.

Выберете тип файловой системы и размер кластера. Для генерации случайного ключа водите по окну мышкой до тех пор пока полоса Собрано энтропии из перемещений мыши не будет заполнена. Нажмите Разметить.

Начнется форматирование тома.

В результате вы увидите следующее сообщение об успешном создании, кликните OK.

Создание тома завершено, нажмите Выход.

Монтирование зашифрованного диска

После того как винчестер зашифрован при попытке его открытия через проводник вы увидите следующую ошибку.

Необходимо смонтировать винчестер через приложение VeraCrypt. Выберете любую доступную Букву диска и нажмите устройство.

В открывшемся окне появятся доступные для монтирования диски, выберете нужный и нажмите OK.

Теперь нажмите кнопку Смонтировать.

В открывшемся окне заполните поле Пароль, а также все существующие дополнительные способы безопасности. Нажмите OK.

Если все введено корректно, то том будет успешно смонтирован.

Теперь винчестер доступен в проводнике под выбранной ранее буквой.

Размонтирование зашифрованного диска

После того как работа закончена, его необходимо размонтировать. Для этого выберете примонтированный диск из списка в программе VeraCrypt и нажмите размонтировать.

Расшифровка диска

Если в дальнейшем потребуется расшифровать диск, то выберете диск в списке и правой кнопкой мыши откройте контекстное меню → Перманентно расшифровать.

Если вы уверены, что хотите расшифровать диск, то нажмите Yes.

Введите пароль и дополнительные средства обеспечения безопасности.

Выберете подходящий вариант, в нашем примере мы не создавали скрытый том.

Начнется процесс дешифрации, который по времени занимает примерно сколько и шифрация.

В результате диск будет расшифрован.

 

P. S. Другие инструкции:

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

бесплатная программа для шифрования файлов

VeraCrypt – бесплатная программа для шифрования файлов. Это продолжение знаменитого проекта TrueCrypt. Программа доступна для Microsoft Windows, Mac OS X и GNU Linux.

VeraCrypt шифрует файлы и защищает их с помощью пароля. Защищенный объем называется том. На компьютере он выглядит как подключенный диск. На самом деле, том находится внутри единственного файла – контейнера. Вы можете открывать (монтировать) и закрывать (размонтировать) контейнер VeraCrypt. Внутри контейнера файлы находятся в безопасности.

Программа также умеет шифровать диски целиком (защищая все пространство). В этом руководстве, однако, мы будем говорить только о файлах-контейнерах.

VeraCrypt использует шифрование на лету. Файл шифруется в тот момент, когда мы записываем его в том, и расшифровывается, когда мы считываем его. Вы можете копировать файлы в том VeraCrypt и обратно, как если бы вы работали с обычным диском или флешкой.

VeraCrypt поддерживает обычные тома и скрытые тома. Оба способа годятся для защиты данных, но скрытый том позволяет прятать самую важную информацию «позади» менее важных данных. Это поможет, если вы по тем или иным причинам будете вынуждены раскрыть свой пароль. Мы расскажем о том, как создавать и использовать оба типа томов.

Внимание: если вы забудете пароль, то потеряете доступ к данным! Восстановить забытый пароль нельзя. Имейте в виду, что использование шифрования в некоторых юрисдикциях противоречит закону.

Подробнее о VeraCrypt можно почитать здесь:

Установка VeraCrypt

Откройте страницу для скачивания VeraCrypt https://www.veracrypt.fr/en/Downloads.html. и выберите версию вашей операционной системы. Например Ubuntu 16.04. Скачиваем deb пакет:

$ wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-1.24-Update4-Ubuntu-16.04-amd64.deb

Перед установкой veracrypt установим вспомогательные пакеты:

$ sudo apt install libwxbase3.0-0v5 libwxgtk3.0-0v5

и устанавливаем veracrypt:

$ sudo dpkg -i veracrypt-1.24-Update4-Ubuntu-16.04-amd64.deb

Готово. veracrypt установлена в системе.

Создание обычного тома

VeraCrypt позволяет создавать тома двух типов: скрытый и обычный.

• Обычный том защищает ваши файлы паролем. Этот пароль нужно вводить всякий раз при начале работы с зашифрованным томом VeraCrypt.
• Cкрытый том имеет два пароля. Вы можете использовать один из них, чтобы открыть маскирующий обычный том, где хранятся не столь важные данные. Этой информацией не страшно рискнуть при крайней необходимости. Второй пароль дает доступ к скрытому тому, где хранится самое важное.

Чтобы создать обычный том VeraCrypt, выполните следующие шаги.

Шаг 1. Запустите VeraCrypt. Откроется главное окно программы.

Изображение 1. Главное окно VeraCrypt

Шаг 2. Нажмите [Create Volume], чтобы запустить мастер VeraCrypt Volume Creation Wizard.

Изображение 2. Мастер создания томов

Файл-контейнер VeraCrypt – зашифрованный том, который хранится в одном файле. Этот контейнер можно переименовывать, перемещать, копировать или удалять, как любой иной файл. Мы создадим файл-контейнер. Если хотите узнать больше о другой опции, пожалуйста, обратитесь к документации VeraCrypt.

Шаг 3. Нажмите [Next], чтобы выбрать тип создаваемого тома.

Изображение 3. Окно выбора типа тома

В этом окне можно выбрать, какой том вы хотите создать: обычный или скрытый.

Примечание. Подробнее о том, как создать скрытый том, можно узнать в части нашего руководства Создание скрытого тома.

Шаг 4. Убедитесь, что выбран Standard VeraCrypt Volume. Нажмите кнопку [Next], чтобы выбрать название и место для контейнера VeraCrypt.

Изображение 4. Мастер создания томов – выбор места

Шаг 5. Нажмите кнопку [Select File…], чтобы выбрать место для контейнера VeraCrypt и название файла.

Изображение 5. Выбор места и названия для контейнера

Шаг 6. Укажите папку, где собираетесь создать свой контейнер.

Шаг 7. Выберите имя файла для вашего контейнера и укажите его в поле в верхней части окна.

Примечание. Не выбирайте уже существующий файл! Не забудьте, где разместили свой контейнер и как его назвали.

В нашем примере мы создаем контейнер (том) на Рабочем столе, но ваш контейнер может иметь любое название и файловое расширение. Например, вы можете назвать его recipes.docx или holidays.mpg в надежде на то, что случайный человек подумает, будто это документ Microsoft Word или видеофайл. Это один из способов замаскировать наличие контейнера VeraCrypt, хотя он вряд ли сработает против того, у кого достаточно времени и ресурсов для внимательного изучения вашего устройства.

Если вы хотите создать контейнер VeraCrypt на USB-устройстве (например, флешке), просто откройте нужную папку на ней (не на жестком диске компьютера) перед тем, как выбрать имя файла.

Шаг 8. Когда выбрали место и название файла для контейнера VeraCrypt, нажмите кнопку [Save].

Изображение 6. Название и место для контейнера

Шаг 9. Нажмите кнопку [Next] для выбора параметров шифрования.

Изображение 7. Мастер создания томов, окно параметров шифрования

Здесь вы можете выбрать метод (алгоритм) для шифрования и расшифровки файлов внутри вашего контейнера VeraCrypt. Параметры по умолчанию можно считать безопасными, есть смысл ничего не менять.

Шаг 10. Нажмите кнопку [Next] для выбора размера тома.

Изображение 8. Выбор размера тома

Окно Volume Size позволяет указать размер создаваемого контейнера. В качестве примера мы создадим контейнер 250 Мб, но вы можете выбрать другой размер. Оцените, сколько файлов вы туда хотите записать, и, что более важно, типы этих файлов. Например, изображения и видео могут очень быстро заполнить небольшой контейнер VeraCrypt.

Подсказка. Если вы планируете записывать резервные копии на CD, лучше выбрать размер контейнера 700 Мб или меньше. Для копирования на DVD контейнер должен быть не более 4.5 Гб. Намерены загружать контейнер в облачное хранилище? Попробуйте прикинуть разумный размер, учитывая скорость вашего соединения с интернетом.

Шаг 11. Укажите размер тома, который собираетесь создать. Убедитесь, что выбрали правильное значение в килобайтах, мегабайтах, гигабайтах или терабайтах.

Шаг 12. Нажмите кнопку [Next] для выбора пароля.

Изображение 9: Мастер создания томов, окно выбора пароля

ВАЖНО. Выбор сложного пароля – один из самых ответственных шагов при создании тома VeraCrypt. Чем серьезнее пароль, тем лучше.  Кнопка «Next» останется серой, пока вы не введете пароль дважды. Если пароль слабый, вы увидите предупреждение. Подумайте, не следует ли его изменить? Хотя VeraCrypt «согласится» с любым вашим паролем, информацию нельзя считать защищенной, если пароль слабый.

Шаг 13. Введите пароль и подтвердите его в поле Confirm.

Шаг 14. Нажмите кнопку [Next].

Изображение 10. Мастер создания томов, параметры форматирования тома

Примечание. По умолчанию предлагается система FAT. Она подойдет для большинства ситуаций и совместима с компьютерами Linux, Windows и Mac OS X. Но если вы намерены хранить файлы по 4 Гб и больше, вам лучше выбрать другую файловую систему. Linux Ext2 будет работать только на компьютерах Linux, а NTFS – на компьютерах Windows и большинстве компьютеров Linux.

Шаг 15. Нажмите [Next] после выбора нужной файловой системы.

Изображение 11. Мастер создания томов, форматирование тома

VeraCrypt готов к созданию обычного зашифрованного тома внутри файла-контейнера. Если вы станете перемещать курсор мыши внутри окна форматирования тома, начнется генерирование случайных данных. Это поможет сделать шифрование более надежным.

Шаг 16. Нажмите кнопку [Format], чтобы начать создание обычного тома.

VeraCrypt сообщит, когда процесс завершится.

Изображение 12. Том успешно создан

Шаг 17. Нажмите кнопку [OK].

Изображение 13. Можно завершить мастер томов или создать новый том

Шаг 18. Нажмите кнопку [Exit], чтобы закрыть Мастер создания томов VeraCrypt и вернуться в главное окно программы. (Если вы нажмете [Next], VeraCrypt начнет создавать еще один том).

Теперь можете видеть файл-контейнер 250 Мб в том месте, которое указали на шаге 6.

Создание скрытого тома

В программе VeraCrypt скрытый том помещается в зашифрованный обычный том. О наличии скрытого тома нельзя просто догадаться. Даже когда ваш обычный том смонтирован, невозможно определить, существует ли внутри скрытый том, если не знать пароль к нему. Пароли для обычного и скрытого томов разные.

Скрытый том в некоторой степени похож на потайное отделение запертого чемодана. В самом чемодане вы храните файлы для декорации. Если они достанутся злоумышленнику (вместе с чемоданом), не случится большой беды. Самые важные файлы хранятся в потайном отделении. Смысл скрытого тома – сохранить в секрете само его существование (и, соответственно, все файлы, которые в нем находятся), даже если вам придется выдать пароль к обычному тому. Тот, кто требует пароль к вашим файлам, получает его, видит файлы и остается удовлетворенным. Чтобы этот прием работал – наши советы:

• Запишите в обычный том несколько секретных документов, которыми вы готовы рискнуть. Эта информация должна выглядеть достаточно важной, чтобы хранить ее в защищенном месте.
• Периодически обновляйте файлы в обычном томе. Создастся впечатление, словно вы действительно работаете с ними.
• Будьте готовы к тому, что злоумышленник в принципе может знать о скрытых томах. Главное: если вы правильно используете VeraCrypt, этот человек будет не в состоянии доказать существование скрытого тома.

Как упоминалось выше, скрытый том технически находится внутри обычного тома. Вот почему VeraCrypt иногда называет их соответственно «внутренним» и «внешним». К счастью, нет нужды монтировать внешний том, чтобы добраться до внутреннего. VeraCrypt позволяет оперировать двумя разными паролями: один открывает внешний обычный том, другой – внутренний скрытый том.

Создадим скрытый том по шагам.

Шаг 1. Запустите VeraCrypt. Откроется главное окно программы.

Изображение 1. Главное окно VeraCrypt

Шаг 2. Нажмите кнопку [Create Volume], чтобы запустить мастер создания томов VeraCrypt.

Изображение 2. Мастер создания томов

Файл-контейнер VeraCrypt – зашифрованный том, который хранится в одном файле. Этот контейнер можно переименовывать, перемещать, копировать или удалять, как любой другой файл. Если вы хотите узнать больше о другой опции, пожалуйста, обратитесь к документации VeraCrypt.

Шаг 3. Нажмите кнопку [Next], чтобы выбрать тип тома.

Изображение 3. Выбор типа тома

Шаг 4. Выберите Hidden VeraCrypt volume* и нажмите кнопку [Next].

Изображение 4. Выбор места

Шаг 5. Нажмите кнопку [Select File…], чтобы выбрать место для нового контейнера VeraCrypt, внутри которого будут и обычный том, и скрытый том.

Изображение 5. Выбор места и названия для контейнера

Шаг 6. Перейдите в папку, где вы собираетесь создать свой контейнер.

Шаг 7. Выберите имя файла для вашего контейнера и укажите его в поле в верхней части окна.

Примечание. Не выбирайте уже существующий файл! Не забудьте, где разместили свой контейнер и как его назвали.

В данном примере мы создаем контейнер с названием volume2 на Рабочем столе, но ваш контейнер может иметь любое названием и файловое расширение. Например, вы можете назвать его recipes.docx или holidays.mpg в надежде на то, что случайный человек подумает, будто это документ Microsoft Word или видеофайл. Это один из способов замаскировать наличие контейнера VeraCrypt, хотя он вряд ли сработает против того, у кого достаточно времени и ресурсов для внимательного изучения вашего устройства.

Если вы хотите создать контейнер VeraCrypt на USB-устройстве (например, флешке), просто откройте нужную папку на ней (не на жестком диске компьютера) перед тем, как выбрать имя файла.

Шаг 8. Когда выбрали место и название файла для контейнера VeraCrypt, нажмите [Next]:

Изображение 6. Название и место для контейнера

Шаг 9. Нажмите [Next] для настройки параметров шифрования.

Изображение 7. Настройки шифрования для внешнего тома VeraCrypt

Здесь вы можете выбрать метод (алгоритм) для шифрования и расшифровки файлов внутри вашего контейнера VeraCrypt. Параметры по умолчанию можно считать безопасными, есть смысл ничего не менять.

Шаг 10. Нажмите кнопку [Next] для выбора размера тома.

Изображение 8. Размер внешнего тома VeraCrypt

В этом окне нужно указать размер создаваемого контейнера. В качестве примера мы создадим контейнер 250 Мб, но вы можете выбрать другой размер. Оцените, сколько файлов вы туда хотите записать, и, что более важно, каких типов эти файлы. Например, изображения и видео могут очень быстро заполнить небольшой контейнер VeraCrypt.

Подсказка. Если вы планируете записывать резервные копии на CD, лучше выбрать размер контейнера 700 Мб или меньше. Для копирования на DVD контейнер должен быть не более 4.5 Гб. Намерены загружать контейнер в облачное хранилище? Попробуйте прикинуть разумный размер, учитывая скорость вашего соединения с интернетом.

Шаг 11. Введите размер тома, который собираетесь создать. Убедитесь, что выбрали правильное значение в килобайтах, мегабайтах, гигабайтах или терабайтах.

Шаг 12. Нажмите [Next] для выбора пароля.

Изображение 9. Выбор пароля для внешнего тома VeraCrypt

ВАЖНО. Хотя это и пароль для «декорации», он все равно должен быть надежным.  Кнопка «Next» останется серой, пока вы не введете пароль дважды. Если пароль слабый, вы увидите предупреждение. Подумайте, не следует ли его изменить? Хотя VeraCrypt «согласится» с любым вашим паролем, информацию нельзя считать защищенной, если пароль слабый.

Шаг 13. Введите пароль и подтвердите его в поле Confirm password.

Шаг 14. Нажмите кнопку [Next].

Изображение 10. Мастер создания томов, окно VeraCrypt Outer Volume Format

Программа VeraCrypt готова к созданию обычного тома в файле-контейнере. Скрытый том будем создавать позже внутри этого обычного тома. Если вы наведете курсор мыши на окно Volume Creation Wizard, начнется генерирование случайных данных, которые помогают сделать шифрование более надежным.

Шаг 15. Нажмите [Format] для создания внешнего тома. Понадобятся права администратора.

Изображение 11. Права администратора

Шаг 16. Наберите пароль для входа в компьютер во всплывающем окне и нажмите [OK].

Когда VeraCrypt завершит создание внешнего тома, появится окно Outer Volume Contents. Также может быть автоматически открыто содержание тома VeraCrypt (пока он пуст).

Изображение 12. Окно Outer Volume Contents

Нам советуют добавить некоторое количество файлов «для декорации» во внешний контейнер. При желании вы сможете сделать это позже.

Шаг 17. Нажмите [Next], чтобы определить, сколько места доступно для скрытого тома.

Изображение 13. Окно скрытого тома VeraCrypt

Шаг 18. Нажмите [Next], чтобы выбрать параметры шифрования для вашего скрытого тома.

Изображение 14. Параметры шифрования для скрытого тома VeraCrypt

Можно выбрать метод (алгоритм) для шифрования и расшифровки файлов внутри вашего скрытого тома. Параметры по умолчанию можно считать безопасными, есть смысл ничего не менять.

Шаг 19. Нажмите [Next], чтобы выбрать размер скрытого тома.

Изображение 15. Размер скрытого тома VeraCrypt

Шаг 20. Укажите размер скрытого тома, который хотите создать. Убедитесь, что вводите корректное значение в килобайтах (мегабайтах, гигабайтах или терабайтах). Скрытый том не может быть больше доступного свободного пространства во внешнем томе.

Шаг 21. Нажмите [Next] для выбора размера скрытого тома.

Изображение 16. Пароль для скрытого тома VeraCrypt

Шаг 22. Придумайте надежный пароль для защиты скрытого тома и введите его в поле. Повторите его в поле Confirm password.

Примечание. Пароль для скрытого тома должен отличаться от пароля для обычного тома. Если вы используете тот же пароль, то не получите доступ к скрытому тому.

ВАЖНО. Выбор сложного пароля (особенно для скрытого тома) – один из самых ответственных шагов при создании тома VeraCrypt. Чем серьезнее пароль для скрытого тома, тем лучше.

Шаг 23. Нажмите [Next], чтобы выбрать файловую систему.

Изображение 17. Параметры форматирования VeraCrypt

Примечание. По умолчанию предлагается система FAT. Она подойдет для большинства ситуаций и совместима с компьютерами Linux, Windows и Mac OS X. Но если вы намерены хранить файлы по 4 Гб и больше, вам лучше выбрать другую файловую систему. Linux Ext2 будет работать только на компьютерах Linux, а NTFS – на компьютерах Windows и большинстве компьютеров Linux.

Шаг 24. Нажмите [Next] после выбора нужной файловой системы.

Изображение 18. Окно форматирования скрытого тома

Шаг 25. Нажмите [Format], чтобы приступить к созданию скрытого тома.

VeraCrypt сообщит, когда процесс создания скрытого тома завершится.

Изображение 19. VeraCrypt предупреждает о защите скрытого тома

Шаг 26. Нажмите кнопку [OK] и увидите сообщение, что том создан.

Изображение 20. Скрытый том VeraCrypt создан

Шаг 27. Нажмите [Exit], чтобы закрыть Мастер создания томов VeraCrypt и вернуться в главное окно программы. (Если нажмете [Next], VeraCrypt начнет создавать еще один том).

Теперь можно хранить файлы в скрытом томе. О его существовании не узнает даже тот, кто получит пароль к обычному тому.

Использование томов VeraCrypt

В этом разделе мы покажем, как использовать обычный том и скрытый том VeraCrypt для Linux.

Монтирование тома

Понятие смонтировать в программе VeraCrypt означает «открыть том для использования». Когда том успешно смонтирован, он отображается в системе как подключенный портативный диск. Вы можете просматривать, создавать, изменять, удалять папки и файлы на этом диске. Когда закончите работу, размонтируйте том, и новый «диск» исчезнет из системы. Монтировать скрытый том можно точно так же, как и обычный том. В зависимости от введенного пароля VeraCrypt определит, какой том нужно монтировать: обычный или скрытый.

Как cмонтировать том:

Шаг 1. Откройте VeraCrypt. Появится главное окно программы:

Изображение 1. Главное окно VeraCrypt

Шаг 2. Выберите любую строчку из списка в главном окне VeraCrypt:

Изображение 2. Главное окно VeraCrypt со списком доступных позиций

Примечание. В нашем примере том будет смонтирован под номером 4. Вы можете выбирать любой номер всякий раз, как монтируете том.

Шаг 3. Нажмите кнопку [Select File…] и найдите свой файл-контейнер VeraCrypt.

Изображение 3. Выбор файла-контейнера VeraCrypt

Шаг 4. Нажмите кнопку [Open], чтобы вернуться в главное окно VeraCrypt. Место вашего файла-контейнера будет отображаться слева от кнопки [Select File…].

Изображение 3. Главное окно VeraCrypt с выбранным контейнером

Шаг 5. Нажмите кнопку [Mount], чтобы ввести пароль.

Изображение 4. Окно ввода пароля

Шаг 6. Введите пароль в поле Password.

Если в контейнере нет скрытого тома, просто введите пароль к обычному тому и нажмите [OK]. Если в контейнере есть скрытый том, выберите один из вариантов:

• Чтобы открыть скрытый том, введите пароль к скрытому тому.
• Чтобы открыть обычный том в то время, как за вашими действиями наблюдает посторонний, которому не нужно знать о скрытом томе, введите пароль к обычному тому.

Шаг 7. Нажмите [OK], чтобы смонтировать том. Для этого понадобятся права администратора.

Изображение 5. Права администратора

Шаг 8. Введите пароль для входа в компьютер и нажмите Enter.

Если пароль для тома VeraCrypt или для входа в компьютер окажется неправильным, VeraCrypt предложит повторить. Если оба пароля верные, VeraCrypt смонтирует ваш зашифрованный том.

Изображение 6. Главное окно VeraCrypt со смонтированным томом

Шаг 9. Войдите в смонтированный том.

Есть два способа это сделать:

1. Дважды щелкните по выделенной строке в главном окне VeraCrypt (см. выше).
2. Перейдите к соответствующей папке, как вы это обычно делаете (как для внешнего USB-устройства).

Том на изображении ниже пока пуст. После записи файлов они будут доступны всякий раз после монтирования тома.

Изображение 7. Внутри смонтированного тома VeraCrypt

Смонтированный том выглядит и используется как внешнее устройство хранения данных – но полностью зашифрованное. Вы можете открывать и копировать файлы, как с USB-флешкой. Например, можно перетаскивать файлы мышью или сохранять их на новый «диск» прямо из приложения. При копировании, перемещении или сохранении файла в смонтированном томе этот файл автоматически шифруется. Когда вы извлекаете файл из тома VeraCrypt, он автоматически расшифровывается. Если компьютер неожиданно выключится, зашифрованный том окажется вне доступа до тех пор, пока не будет смонтирован снова.

ВАЖНО. Пока ваш том VeraCrypt смонтирован, файлы внутри него не защищены и доступны каждому, кто в этот момент доберется до вашего компьютера. Чтобы защитить важные данные, размонтируйте том, если перестали с ним работать. Помните об этом, когда отлучаетесь от компьютера, а также при вероятности кражи или изъятия устройства. Оставлять смонтированный том – все равно что оставлять дверцу сейфа широко открытой. Если вы выключите или перезагрузите компьютер, когда том смонтирован, он станет недоступен, пока его не смонтируют снова. Есть смысл попрактиковаться в этих действиях, добиваясь быстроты.

Размонтирование тома

Понятие размонтировать в программе VeraCrypt означает «сделать том недоступным».

Шаг 1. В главном окне VeraCrypt выберите смонтированный том.

Изображение 1. Выбор обычного тома для размонтирования

Шаг 2. Нажмите кнопку [Dismount], чтобы размонтировать том VeraCrypt.

Чтобы увидеть содержимое обычного тома после размонтирования, нужно смонтировать том заново.

ВАЖНО. Убедитесь, что размонтировали все тома VeraCrypt перед тем, как:

• Отправить компьютер в режим ожидания или гибернации.
• Оставить компьютер без присмотра.
• Оказаться в ситуации, когда вероятность потери, кражи или изъятия компьютера выше обычной.
• Вытащить USB-устройство, на котором находится контейнер (если вы держите контейнер на USB-устройстве).

Шаг 3. Закройте VeraCrypt.

Защита скрытого тома от изменений во внешнем томе

Как уже говорилось в части Создание скрытого тома, при монтировании тома VeraCrypt вы можете выбрать опцию Protect hidden volume against damage caused by writing to outer volume. Тогда можно добавлять «декоративные» файлы в обычный том, не рискуя случайно удалить или повредить файлы в скрытом томе. Вам придется вводить оба пароля (к обычному тому и скрытому тому). Таким образом, существование скрытого тома станет явным. Если вы этого не хотите, описанный режим защиты нужно отключить.

Когда обновляете «декоративные» файлы в обстановке, где нет посторонних глаз, есть смысл всегда включать защиту.

Чтобы использовать режим Protect hidden volume:

Шаг 1. Выберите строчку из списка в главном окне VeraCrypt.

Изображение 1. Главное окно VeraCrypt с доступными дисками

Шаг 2. Нажмите кнопку [Select file…] для выбора файла-контейнера VeraCrypt.

Изображение 2. Выбор файла-контейнера VeraCrypt

Шаг 3. Нажмите кнопку [Open], чтобы вернуться в главное окно VeraCrypt. Место вашего файла-контейнера будет отображаться слева от кнопки [Select File…].

Изображение 3. Главное окно VeraCrypt с выбранным контейнером

Шаг 4. Нажмите кнопку [Mount], чтобы ввести пароль.

Изображение 4. Окно ввода пароля

Шаг 5. Введите пароль к внешнему тому в поле Password, как если бы собирались смонтировать его обычным образом, но не нажимайте кнопку [OK].

Шаг 6. Вместо этого нажмите кнопку [Options]. Это позволит защитить скрытый том при изменении файлов в обычном томе.

Изображение 5. Защита скрытого тома при монтировании внешнего тома

Шаг 7. Отметьте пункт Protect hidden volume against damage caused by writing to outer volume.

Шаг 8. Введите пароль для скрытого тома.

Шаг 9. Нажмите кнопку [OK].

Шаг 10. VeraCrypt может запросить ваш системный пароль. Если это произойдет, введите пароль для входа в компьютер и нажмите [OK].

VeraCrypt даст знать, когда обычный том будет смонтирован с защитой скрытого тома от случайных повреждений.

Изображение 6. Сообщение VeraCrypt о защите скрытого тома

Шаг 11. Нажмите кнопку [OK], чтобы вернуться в главное окно VeraCrypt.

Шаг 12. Войдите в смонтированный том.

Как и в обычном случае, есть два способа это сделать:

1. Дважды щелкните по выделенной строке в главном окне VeraCrypt (см. выше).
2. Перейдите к соответствующей папке, как вы это обычно делаете (как для внешнего USB-устройства).

Том пока пуст. Когда вы запишете «декоративные» файлы в обычный том, они будут доступны всякий раз после монтирования тома. Если вы защитили свой скрытый том так, как мы описали выше, можете добавлять и изменять файлы без опасения повредить содержимое скрытого тома.

Изображение 8. Внутри смонтированного обычного тома VeraCrypt с защищенным скрытым томом

Когда вы завершили работу в обычном томе, можно размонтировать его как обычно, см. Размонтирование тома. Когда будете монтировать том в следующий раз, опция Protect hidden volume against damage caused by writing to outer volume будет (по умолчанию) отключена.

В этой части вы узнаете, как импортировать содержание из тома TrueCrypt и как менять пароли к томам.

6.1. Импорт данных из контейнера TrueCrypt

VeraCrypt умеет монтировать тома TrueCrypt. Поскольку сам TrueCrypt больше не поддерживается, возможно, вы захотите побыстрее перенести файлы из тома TrueCrypt в том VeraCrypt.

1. Создайте новый том VeraCrypt того же (или большего) размера, что и том TrueCrypt.
2. Откройте оба тома.
3. Скопируйте содержимое тома TrueCrypt в том VeraCrypt.

По первому пункту можно почитать Создание обычного тома (и, если нужно, Создание скрытого тома). Далее мы предполагаем, что у вас уже есть один или больше подходящих томов VeraCrypt. Следующие шаги описывают процесс перемещения файлов из обычного тома TrueCrypt в обычный том VeraCrypt, который уже смонтирован.

Если у вас файлы и в обычном, и в скрытом томах TrueCrypt, убедитесь, что соответствующие тома VeraCrypt достаточны по размеру, затем выполните шаги дважды: для обычного тома и для скрытого тома. Не забудьте защитить содержимое скрытого тома VeraCrypt, когда будете копировать данные в обычный том.

В главном окне VeraCrypt при смонтированном новом томе VeraCrypt выполните следующие шаги.

Шаг 1. Нажмите на позиции, которая еще не занята смонтированным томом VeraCrypt.

Изображение 1. Главное окно VeraCrypt и смонтированный том

Шаг 2. Нажмите кнопку [Select File…] и найдите ваш контейнер TrueCrypt.

Изображение 2. Контейнер TrueCrypt

Шаг 3. Нажмите [Open], чтобы вернуться в главное окно VeraCrypt. Место вашего файла-контейнера будет отображаться слева от кнопки [Select File…].

Изображение 3. Главное окно VeraCrypt с выбранным контейнером TrueCrypt

Шаг 4. Нажмите кнопку [Mount].

Изображение 4. Окно пароля VeraCrypt в режиме TrueCrypt

Шаг 6. Выберите опцию TrueCrypt Mode.

Шаг 7. Введите пароль для вашего тома TrueCrypt.

Шаг 8. Нажмите кнопку [OK], чтобы смонтировать том TrueCrypt.

Изображение 5. Главное окно VeraCrypt и оба смонтированных тома

Шаг 9. Щелкните дважды на строчке смонтированного тома TrueCrypt, чтобы войти в него.

Шаг 10. Вернитесь в главное окно и дважды щелкните по строчке смонтированного тома VeraCrypt, чтобы войти в него.

Изображение 6. Содержимое обоих томов

Шаг 11. Выберите файлы в томе TrueCrypt и перетащите их в том VeraCrypt.

Изображение 7. Содержимое обоих томов после копирования данных из тома TrueCrypt в том VeraCrypt

Когда копирование завершится, нужно размонтировать оба тома.

Шаг 12. Вернитесь в главное окно VeraCrypt.

Шаг 13. Выберите том TrueCrypt.

Изображение 8. Выбор тома TrueCrypt для размонтирования

Шаг 14. Нажмите кнопку [Dismount], чтобы размонтировать том TrueCrypt.

Шаг 15. Выберите том VeraCrypt.

Изображение 9: Выбор тома VeraCrypt для размонтирования

Шаг 16. Нажмите [Dismount], чтобы размонтировать том VeraCrypt.

Изображение 10. Главное окно VeraCrypt, оба тома размонтированы

Изменение пароля для контейнера VeraCrypt

Чтобы изменить пароль к тому VeraCrypt, начните с главного окна и следуйте шагам, описанным ниже. Эти шаги относятся и к обычному тому, и к скрытому тому в контейнере VeraCrypt. Если вы хотите изменить оба пароля, нужно пройти это дважды.

Изображение 1. Главное окно VeraCrypt

Шаг 1. Нажмите кнопку [Select File…], чтобы выбрать контейнер, для которого нужно изменить пароль.

Изображение 2. Выбор контейнера VeraCrypt

Шаг 2. Выберите файл-контейнер и нажмите кнопку [Open], чтобы вернуться в главное окно.

Изображение 3. Главное окно VeraCrypt с выбранным контейнером

Шаг 3. Нажмите кнопку [Volumes Tools…] и выберите в меню [Change Volume Password…].

Изображение 4: Пункт Change Volume Password в свойствах тома

Появится окно смены пароля:

Изображение 5. Окно смены пароля

Примечание. Если в этом контейнере есть и обычный, и скрытый тома, VeraCrypt автоматически определит, какой пароль изменить (по введенному вами паролю). Если хотите изменить оба пароля, вам потребуется сделать это дважды.

Шаг 4. Введите текущий пароль.

Шаг 5. Введите новый пароль, повторите его в поле Confirm password.

Шаг 6. Нажмите кнопку [OK].

Примечание. Более старые версии VeraCrypt могут отображать предупреждение о значении «Personal Iterations Multiplier (PIM)», даже если вы, вроде бы, ввели хороший пароль. Если видите это предупреждение, убедитесь, что пароль длиннее 20 символов и опция Use PIM отключена. Затем нажмите [Yes].

Изображение 6. Окно Random Pool Enrichment screen

Шаг 7. Подвигайте курсор мыши внутри окна Random Pool Enrichment некоторое время. Нажмите кнопку [Continue].

VeraCrypt даст знать, когда процесс завершится.

Изображение 7. Пароль VeraCrypt успешно изменен

Шаг 8. Нажмите кнопку [OK], чтобы завершить изменение пароля.

ВАЖНО. Изменение пароля не меняет действующий шифровальный ключ, который используется для защиты данных. На практике это значит, что всякий, у кого есть три вещи, может получить доступ к файлам внутри контейнера VeraCrypt даже после смены пароля:

• Копия вашего «старого» контейнера VeraCrypt (до смены пароля).
• Пароль к этому старому контейнеру VeraCrypt.
• Копия вашего «нового» контейнера VeraCrypt (после смены пароля).

Таким образом, если вы подозреваете, что кто-то может иметь копию вашего контейнера и знать пароль, нужно сделать больше, чем просто сменить пароль. Вам следует создать полностью новый контейнер (с новым паролем), скопировать в него свои файлы и удалить старый контейнер.

Источник

Применение VeraCrypt для шифрования ОС Windows

Представляем подробный инструктаж по настройке шифрования виртуального диска с установленной на нем ОС Windows при помощи скрипта VeraCrypt.

Обратите внимание, что при шифровании диска с ОС Windows будет зашифрована и утилита OVM Tools, использующаяся для полноценной работы VPS.

Описанная технология шифрования актуальна только в крайнем случае, так как связана с определенными сложностями в дальнейшей работе VPS, а именно:

— потребуется выключение сервера по питанию через панель управления;

— исключается возможность настройки конфигурации сервера через панель управления;

— исключается возможность администрирования сервера через гипервизор.

VeraCrypt предназначен для шифрования систем и разделов и обеспечивает на них высокую безопасность данных, препятствует попыткам взлома и кибератак.

Как настроить шифрование диска

Вы можете изменить язык рабочего интерфейса в меню Settings → Language.

В главном окне приложения отметьте «Создать том».

Отметьте «Зашифровать раздел или весь диск с системой» — это нужно для шифрования диска или раздела, где установлена ОС.

Отметьте тип шифрования – «Обычный».

После этого выберите область шифрования: это может быть как весь диск, так и один раздел с установленной ОС. Мы для примера выберем «Зашифровать весь диск» — так автоматически зашифруются все остальные данные.

Теперь можете выбрать любую опцию, это не существенные для работы сервера факторы.

Дальше отметьте «Одиночная загрузка» — т.к. на сервере установлена только одна ОС

Теперь нужно выбрать подходящий алгоритм шифрования и хеширования.

Теперь введите надежный Пароль и подтвердите его. Можете использовать ключ-файлы и сообщения PIM – это будут нелишние дополнительные средства безопасности. Затем «Далее».

Слишком короткий пароль приведет к появлению предупреждения. Можете нажать No и усложнить пароль или нажать Yes и оставить короткий.

Чтобы сгенерировать случайный пароль, водите по окну мышкой до заполнения полосы «Собрано энтропии из перемещений мыши» и нажмите «Далее».

Так ключи сгенерируются, но вы сможете увидеть только их части.

Введите путь до диска восстановления и нажмите Далее.

Сохраните ISO-образ на флешке или внешнем диске.

Отметьте оптимальный режим очистки (количество раз перезаписи данных). Чем больше проходов, тем, и это логично, надежнее — но время шифрования увеличивается многократно (вплоть до нескольких недель).

Теперь следует провести пре-тест системы для анализа правильности работы. Нажмите Тест.

Прочитайте или сохраните себе распечатанные замечания разработчиков и нажмите OK.

Теперь нужна перезагрузка VPS – нажмите YES.

После начала перезагрузку (а она займет определенное время) перейдите в панель управления и откройте Web-консоль сервера – введите в ней пароль и PIM. В поле Enter password наберите ваш пароль и нажмите Enter, наберите PIM и нажмите Enter, если вы его не сгенерировали, то просто нажмите Enter.

После этого начнется настройка вашего образа виртуальной машины, обычно это проходит быстро.

После перезагрузки нужно опять подключиться к VPS, скрипт VeraCrypt автоматически откроется на необходимом месте. Приступайте к шифрованию.

Прочитайте или сохраните себе распечатанные замечания разработчиков, а потом нажмите OK.

Процесс шифрования может занять продолжительное время, к примеру, диск 60Гб в режиме очистки 3 прохода шифруется около 2 часов. Вы можете отложить или приостановить шифрацию (это указано в окне программы).

Потом появится сообщение об успешном шифровании системного диска. Ваш виртуальный диск с ОС Windows зашифрован!

Учтите, что описанная технология шифрования требует обязательного выключения сервера по питанию через панель управления. А при включении сервера следует в Web-консоли ввести ваш пароль и дополнительные средства безопасности.

Как расшифровать диск

При необходимости расшифровки диска, выберите диск в списке и правой кнопкой мыши откройте контекстное меню → «Расшифровать перманентно».

Нажмите Yes, если точно хотите расшифровать диск.

Запустится дешифрация – времени на нее уйдет аналогично шифрации.

Расшифровка диска потребует перезагрузки сервера.

Расшифровка криптоконтейнеров VeraCrypt | Блог Элкомсофт

VeraCrypt – фактическая замена популярной программе шифрования дисков TrueCrypt и самый распространённый на сегодняшний день криптоконтейнер. В сравнении с TrueCrypt, VeraCrypt предлагает широкий выбор алгоритмов шифрования и хеширования паролей. Как выбранные алгоритмы влияют на безопасность данных и скорость атаки и что делать, если неизвестно, каким именно способом защищён зашифрованный контейнер?

VeraCrypt и алгоритмы шифрования

Ещё во времена TrueCrypt пользователям предлагался выбор из нескольких разных алгоритмов шифрования, в том числе несколько вариантов с последовательным шифрованием данных несколькими алгоритмами. В VeraCrypt этот выбор стал ещё шире. Теперь пользователю предлагается на выбор пять алгоритмов шифрования (AES, Serpent, Twofish, Camellia и «Кузнечик») и десять вариантов их последовательного использования.

С точки зрения эксперта-криминалиста выбор какого-то конкретного алгоритма шифрования или их комбинации не имеет большого значения: атака на ключ шифрования бесполезна как в случае с шифром «по умолчанию», в роли которого выступает AES-256, так и в случае выбора любого другого алгоритма или их последовательности. За десятилетия повсеместного использования и массовых исследований не взломали ни AES, ни какие-либо другие алгоритмы (за возможным исключением «Кузнечика», к которому у исследователей от криптографии есть вопросы).

Выбор алгоритма шифрования способен повлиять лишь на скорость доступа к зашифрованным данным, но не на скорость перебора паролей.

В то же время серьёзное влияние на скорость атаки оказывает простой факт: известно ли эксперту, какой именно алгоритм шифрования выбран. Если алгоритм известен, то атака будет достаточно быстрой; если же нет, то возможные стратегии включают атаку на алгоритм по умолчанию (AES-256 в качестве шифра и SHA-512 в качестве хеш-функции) и атаку по всему спектру возможных комбинаций шифров и функций хеширования. Последняя будет достаточно медленной (приблизительно в 175 раз медленнее атаки с настройками «по умолчанию»).

 

Важно отметить, что приложение Elcomsoft Distributed Password Recovery поддерживает все возможные комбинации алгоритмов шифрования и хеширования, включая атаку по всему спектру. Настройка атаки осуществляется в приложении Elcomsoft Forensic Disk Decryptor на этапе извлечения заголовка от зашифрованного диска.

VeraCrypt и функции преобразования пароля

Для того, чтобы зашифровать и расшифровать данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика» включительно) используется двоичный ключ переменной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Каким именно образом пароль пользователя (вероятно, достаточно сложный) преобразуется в двоичный ключ MEK? Он и не преобразуется. Media Encryption Key для единожды созданного контейнера неизменен; он хранится в зашифрованном (точнее сказать, «обёрнутом», wrapped) виде прямо в составе контейнера, а в «развёрнутом» виде используется для доступа к данным.

Ключ шифрования данных MEK в обязательном порядке шифруется (дальше будет тавтология) ключом шифрования ключа шифрования Key Encryption Key (KEK). Без KEK невозможно расшифровать MEK, а без MEK невозможно расшифровать данные. Для чего нужна такая сложная схема? Например, для того, чтобы пользователь мог сменить пароль от зашифрованного диска без обязательной расшифровки и перешифровки всего содержимого. Однако роль пары ключей MEK/KEK этим сценарием не ограничивается. Так, достаточно будет затереть несколько сотен байт в заголовке контейнера (перезаписав область, в которой хранится MEK), и контейнер никто и никогда больше расшифровать не сможет, даже если точно известен пароль. Возможность моментального и безвозвратного уничтожения данных – важная часть общей стратегии безопасности.

Каким образом из пароля получается ключ KEK? VeraCrypt проводит циклическую последовательность односторонних (необратимых) математических преобразований – хеш-функций, причём количество циклов достаточно велико: по умолчанию преобразование производится 500,000 раз. Таким образом, с настройками «по умолчанию» на вычисление одного-единственного ключа KEK на основе введённого пароля VeraCrypt потратит от одной до 5-6 секунд.

Здесь наступает важный момент. В предыдущей главе были приведены скорости работы алгоритмов шифрования, а шифр AES оказался как самым быстрым, так и достаточно безопасным. С выбором алгоритма хеширования ситуация обратная: самый нестандартный и самый медленный алгоритм оказывается и наиболее безопасным. Производительность алгоритмов хеширования на единственном CPU Intel i7-9700K выглядит следующим образом:

Точно так же, как и в случае с алгоритмами шифрования, для проведения атаки на зашифрованный диск эксперт должен указать точный алгоритм хеширования – либо провести атаку на весь спектр алгоритмов.

Насколько быстро или медленно работает перебор паролей? На примере последней версии Elcomsoft Distributed Password Recovery 4.20 с поддержкой VeraCrypt мы получили следующие цифры:

Скорость атаки в стандартной конфигурации (алгоритм шифрования AES, хэш-функция – SHA-512) – 1140 паролей в секунду с загрузкой всех ядер процессора и использованием вычислительных ресурсов видеокарты NVIDIA GeForce 2070. Если провести подобную атаку на диск, зашифрованный алгоритмом Serpent, то цифры не изменятся (нет, мы не копировали данные: все цифры были перепроверены несколько раз). Скорость перебора в гораздо большей степени зависит от функции хеширования и в меньшей – от алгоритма шифрования. Впрочем, последовательное использование двух шифров уменьшит скорость перебора, а трёх – уменьшит ещё сильнее; разница, тем не менее, несравнима с тем, какое влияние на скорость перебора оказывает выбор хеш-функции. Так, выбор Whirlpool вместо SHA-512 замедляет скорость перебора с 1140 до 74.6 паролей в секунду. Самой медленной будет атака по всему спектру возможностей: всего 6.63 паролей в секунду, в 171 раз медленнее атаки с настройками «по умолчанию».

Использование Elcomsoft Distributed Password Recovery для восстановления паролей VeraCrypt

Elcomsoft Distributed Password Recovery позволяет проводить атаки с использованием как аппаратного ускорения (видеокарт AMD и NVIDIA), так и с использованием множества компьютеров, объединённых в единую вычислительную сеть. Тем не менее, если атака проводится на зашифрованный диск с неизвестными параметрами защиты, имеет смысл воспользоваться возможностями «умных» атак на основе как стандартных словарей, так и словарей, составленных из известных паролей пользователя (о том, как их извлечь из браузера Google Chrome, резервных копий iOS или облачных сервисов iCloud, Google Drive и Microsoft Account, мы писали неоднократно).

В EDPR можно ограничить наборы символов, в рамках которых будет осуществляться перебор:

В программе также доступна возможность автоматически перебирать распространённые вариации известных паролей (например, Password1, password1967 or pa$$w0rd):

Об использовании масок мы недавно писали. Маски – один из важнейших инструментов для эффективного перебора паролей:

В особо сложных случаях на помощь приходят гибридные атаки, позволяющие комбинировать слова из одного или двух словарей и использовать правила, основанные на скриптах:

Альтернативные способы расшифровки VeraCrypt

В ряде случаев восстановление оригинального пароля к контейнеру в разумные сроки не представляется возможным. В таких случаях стоит рассмотреть альтернативные варианты.

Извлечь готовый ключ шифрования и с его помощью смонтировать (или расшифровать целиком) зашифрованный раздел – самый быстрый и эффективный способ, которым можно воспользоваться. Суть его заключается в следующем.

Для того, чтобы расшифровать данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом используется двоичный ключ переменной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Этот ключ шифрования (MEK) хранится в оперативной памяти компьютера; он же попадает в файлы гибернации и подкачки. Наличие ключа в оперативной памяти требуется для того, чтобы программа-криптоконтейнер могла получить доступ к зашифрованным данным. Обратите внимание: ключ шифрования хранится в оперативной памяти совершенно независимо от того, какой алгоритм шифрования пользователь выбрал в настройках контейнера. AES, TwoFish, Serpent, «Кузнечик» или любая комбинация алгоритмов – независимо от выбора пользователя, ключи шифрования будут храниться в оперативной памяти, а сложность и скорость их извлечения практически одинакова.

Таким образом, сложность этой атаки мало зависит как от выбора алгоритма шифрования, так и от способа преобразования пароля в двоичный ключ.

 

 

Есть несколько способов извлечения ключей шифрования. Если зашифрованный том был смонтирован во время изъятия компьютера, могут быть доступны следующие способы:

1. Анализ оперативной памяти компьютера (ОЗУ). Ключ шифрования хранится в оперативной памяти в течение всего времени, когда зашифрованный диск смонтирован.
2. Файл(ы) подкачки. Ключ шифрования может попадать или не попадать в файл подкачки. Тем не менее, их анализ (сканирование) занимает от нескольких минут до нескольких часов (что несравнимо с днями и неделями, которые потребуются для взлома пароля).
3. Файл гибернации. Windows использует файл гибернации для выгрузки части оперативной памяти компьютера на жёсткий диск, когда компьютер находится в спящем режиме (если включён гибридный спящий режим, а он включён по умолчанию). Кроме того, файл гибернации создаётся, когда компьютер находится в режиме гибернации (который по умолчанию отключён) и когда компьютер выключается (если активна функция быстрого запуска, которая включена по умолчанию).

Для извлечения ключей, снятия и анализа образа оперативной памяти используйте Elcomsoft Forensic Disk Decryptor:

 

Дополнительная информация в англоязычном разделе блога:

 

 

 

Правильное использование и защита контейнера VeraCrypt

Вы пользуетесь VeraCrypt и всегда выбираете самый надежный алгоритм шифрования и длинный сложный пароль, надеясь, что так вы сделаете контейнер неприступным? Сегодняшняя статья изменит ваши представления о том, как работает безопасность криптоконтейнеров VeraCrypt, и покажет, что на самом деле влияет на стойкость контейнера к взлому. Я покажу как правильно использовать VeraCrypt и как защитить зашифрованный контейнер от взлома.

Инструменты для поиска и взлома защищенных криптоконтейнеров:

Как взламывают контейнеры VeraCrypt

Данная статья не о том, как взломать контейнеры VeraCrypt. Но, если вы не знаете, как станут действовать специалисты компьютерной криминалистики, пытающиеся получить доступ к зашифрованной информации, будет трудно понять смысл описанных действий.

Действия хакера или криминалиста в лаборатории зависят от того, что именно и каким именно образом изъято при обыске или похищено из квартиры.

Стандартные методы взлома VeraCrypt

Самый простой случай — изъятие внешних накопителей целиком; компьютеры выключаются и также изымаются целиком, но в лабораторию к эксперту попадает не целый компьютер в сборе, а только извлеченные из него жесткие диски.

Подобный сценарий — тот самый случай, противостоять которому так долго готовились разработчики всех криптоконтейнеров без исключения. Лобовые атаки на криптоконтейнеры малоэффективны, а на некоторые их разновидности (в частности, загрузочные разделы, зашифрованные в режиме TPM или TPM + ключ) неэффективны абсолютно.

В типичном случае специалист попытается для начала проанализировать файлы гибернации и подкачки. Если пользователь пренебрег настройками безопасности криптоконтейнера (кстати, при использовании BitLocker эти настройки далеко не очевидны), то ключи шифрования спокойно извлекаются из этих файлов, а зашифрованные тома расшифровываются без длительных атак. Разумеется, в ряде случаев эта атака не сработает. Она будет бесполезна, если выполнено хотя бы одно из описанных ниже условий.

1. Загрузочный диск зашифрован. В этом случае и файл подкачки, и файл гибернации будут также зашифрованы. Например, если для шифрования загрузочного раздела используется BitLocker (это имеет смысл, даже если остальные данные зашифрованы в контейнерах VeraCrypt), то Microsoft подробно описывает модель безопасности в FAQ и BitLocker Security FAQ (раздел What are the implications of using the sleep or hibernate power management options?). Кстати, из этого правила есть исключения — например, если файл подкачки вынесен на отдельное от загрузочного устройство (довольно распространенный случай для пользователей, которые таким образом «экономят» ресурс загрузочного SSD).

2. Компьютер был выключен штатным образом (через команду Shutdown) или был изъят в состоянии гибридного сна либо гибернации; при этом криптоконтейнер настроен таким образом, чтобы автоматически размонтировать зашифрованные тома и уничтожать ключи шифрования в оперативной памяти при переходе компьютера в сон, гибернацию или при его отключении.

Немного сложно для восприятия? Упрощу: если в момент изъятия зашифрованный том был смонтирован, а спецслужбы или хакеры просто выдернули вилку из розетки, то ключ шифрования, скорее всего, останется в файле гибернации (удастся ли его оттуда вытащить — зависит от пункта 1). А вот если компьютер выключили командой Shutdown, то наличие или отсутствие ключа будет зависеть от настроек криптоконтейнера. О том, как правильно настроить VeraCrypt, мы поговорим дальше.

3. Наконец, очевидное: анализ файлов подкачки и гибернации совершенно бесполезен, если в момент изъятия компьютера зашифрованный том не был подмонтирован.

Если извлечь ключи шифрования не удается, эксперт поищет их в облаке или корпоративной сети (для томов, зашифрованных штатными средствами BitLocker или FileVault 2). Только после этого в ход пойдет брутфорс атака — перебор паролей.

С перебором паролей тоже непросто. Во-первых, давно прошли времена, когда под «лобовой атакой» понимался простой брутфорс. Скорость атаки будет такой, что полный перебор всего пространства паролей становится бесполезен, если длина пароля к криптоконтейнеру превышает 7–8 символов. Соответственно, для атак используются словари, в первую очередь — словари, составленные из паролей самого пользователя (извлечь их можно как из компьютера пользователя, так и из его мобильных устройств или напрямую из облака Google Account). Давно разработаны методы анализа паролей и составления правил-шаблонов, на основе которых будут генерироваться «похожие» пароли.

Для атаки в лаборатории будут использовать один из немногих пакетов программ, позволяющих запустить атаку на множестве (в теории — до нескольких тысяч, в реальности — порядка сотен) компьютеров, каждый из которых будет оснащен несколькими графическими ускорителями. Звучит неправдоподобно? Тем не менее во время тренингов для полиции в разных частях земного шара я видел помещения с компьютерами, использующимися для распределенных атак. Могу сказать о них следующее. Создателей фантастических фильмов в эти помещения, очевидно, не пускают, поэтому на экранах кинотеатров нам приходится наблюдать жалкие плоды убогой фантазии. Просто чтобы обозначить масштаб, поделюсь поразившим меня фактом: на рабочих столах полицейских экспертов одного британского захолустья стоят компьютеры с GeForce 2080 и 40 процессорными ядрами.

Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.

Дальше опробуют атаку с мутациями (берется слово из словаря, и проверяются его варианты, составленные по довольно простым правилам, которыми пользуется подавляющее большинство обычных пользователей). Кстати, на мутациях обычно и заканчиваются попытки атак в тех случаях, когда у криминалистов нет зацепок — не удалось получить ни одного пароля пользователя.

Если это не сработает, в ход пойдут маски (попытки вручную сконструировать пароли, «похожие» на те, которые были найдены у пользователя).

В особо сложных случаях дело дойдет до гибридных атак (использование комбинаций из одного или двух словарей в комбинации со скриптованными правилами, масками и/или префиксами).

Нестандартные методы взлома VeraCrypt

Нестандартно действовать полиция начинает в редких случаях, когда у подозреваемого заранее предполагается наличие зашифрованных «цифровых улик». В этом случае вместе с оперативниками выезжают подготовленные эксперты, которые проконтролируют изъятие и попытаются исследовать включенные, работающие компьютеры прямо на месте. Эксперт попробует сделать следующее.

1. Получить доступ к рабочему столу компьютера. Здесь все понятно и известно.
2. Сделать дамп оперативной памяти компьютера. Это возможно, если удалось получить доступ к рабочему столу (кстати, в случае с многопользовательскими компьютерами для этого можно взять любую административную учетную запись), но не обязательно: например, заслуженной популярностью пользуется атака через DMA, которая обрела второе дыхание после выхода компьютеров с поддержкой технологии Thunderbolt через порт USB-C.
3. Наконец, в особо сложных случаях может использоваться криогенная атака. О ее редкости и экзотичности говорит тот факт, что за все время работы я не встретил ни одного эксперта, который делал бы такой анализ на практике.

Выбор алгоритма шифрования VeraCrypt

Еще во времена TrueCrypt пользователям предлагался выбор из нескольких разных алгоритмов шифрования, в том числе несколько вариантов с последовательным шифрованием данных сначала одним, а потом другим алгоритмом. В VeraCrypt выбор существенно расширился. Теперь предлагается пять алгоритмов (AES, Serpent, Twofish, Camellia и «Кузнечик») и десять вариантов их последовательного использования.

Выбор алгоритма шифрования VeraCrypt

Патриотам, желающим воспользоваться алгоритмом шифрования отечественной разработки «Кузнечик», рекомендую ознакомиться с информацией о странностях в таблицах перестановки, которые однозначно указывают на существование намеренно оставленного «черного хода».

Средний пользователь VeraCrypt не понимает, чем отличаются алгоритмы, не интересуется подробностями, но считает, что если выбрать цепочку из двух, а еще лучше трех алгоритмов, то он точно будет защищен и от закладок спецслужб, и от уязвимостей самих алгоритмов.

Правда же заключается в том, что достаточно будет использовать самый известный и простой с вычислительной точки зрения алгоритм. Тот самый AES, который используется всеми — от детей, скачивающих на телефон новую игру, до финансовых воротил и самых что ни на есть специальных спецслужб. За десятилетия повсеместного использования и массовых исследований этот алгоритм так и не взломали, секретных черных ходов не нашли.

На что же на самом деле влияет выбор алгоритма шифрования? Еще одна грустная правда: только и исключительно на скорость доступа к зашифрованным данным.

Выбор шифрования VeraCrypt

Шифрование алгоритмом AES использует встроенные в современные процессоры (начиная от самых дешевых ядер ARMv8 и заканчивая даже очень старыми процессорами Intel и AMD) команды для аппаратного ускорения шифрования. Другие алгоритмы тоже могут применять эти команды. Но AES пользуются все, а другими алгоритмами — не все, поэтому их оптимизация оставляет желать лучшего. Самый оптимизированный алгоритм шифрования Camellia уступает AES в скорости шифрования в полтора раза, Twofish уступает AES в три, Serpent — в четыре, а Кузнечик — в четыре с половиной раза. Комбинированные варианты работают еще медленнее, не предоставляя при этом никакой дополнительной безопасности.

Итак, выбор отличного от AES алгоритма шифрования не может улучшить безопасность зашифрованных данных, а вот ухудшить — запросто. А что может улучшить?

Выбор хеш-функции и числа итераций

Для того чтобы зашифровать (ну, и расшифровать тоже) любые данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика») берется двоичный ключ фиксированной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Каким именно образом ваш пароль (наверняка очень длинный и безопасный) превращается в MEK фиксированной длины? Откровенно говоря, никаким. Media Encryption Key для единожды созданного контейнера неизменен; он хранится в зашифрованном (точнее сказать, «обернутом», wrapped) виде прямо в составе контейнера, а в «развернутом» виде используется для доступа к данным.

Ключ шифрования данных MEK в обязательном порядке шифруется (простите за тавтологию) ключом шифрования ключа шифрования Key Encryption Key (KEK). Без KEK невозможно расшифровать MEK, а без MEK невозможно расшифровать данные. Для чего нужна такая сложная схема? Хотя бы для того, чтобы вы смогли сменить пароль от криптоконтейнера без обязательной расшифровки и перешифровки всего содержимого. Однако роль пары ключей MEK/KEK этим сценарием не ограничивается. Так, достаточно будет затереть несколько десятков байтов в заголовке контейнера (перезаписав область, в которой хранится MEK), и контейнер никто и никогда больше расшифровать не сможет, даже если точно известен пароль. Возможность моментального и безвозвратного уничтожения данных — важная часть общей стратегии безопасности.

Итак, с парой ключей MEK/KEK разобрались. Каким образом из пароля получается ключ KEK? VeraCrypt проводит циклическую последовательность односторонних (это важно) математических преобразований — хеш-функций, причем количество циклов достаточно велико: по умолчанию преобразование выполняется 500 000 раз. Таким образом, с настройками «по умолчанию» на вычисление одного-единственного ключа KEK на основе введенного пароля VeraCrypt потратит от одной до пяти-шести секунд.

Здесь наступает важный момент. Помните, чуть выше я разобрал скорость работы алгоритмов шифрования и порекомендовал использовать AES как самый распространенный и самый быстрый вариант? Так вот, с выбором хеш-функции все обстоит с точностью до наоборот: вам нужен самый нестандартный и самый медленный алгоритм.

В VeraCrypt доступен выбор из четырех хеш-функций: дефолтный SHA-512 (он достаточно медленный и достаточно безопасный, но дефолтный, что для нас минус), еще более медленный и тоже хорошо изученный Whirlpool, старенький SHA-256, который все еще безопасен, но смысла в использовании которого я не вижу, и «темная лошадка» «Стрибог», который в бенчмарке медленнее всех.

Выбор алгоритма шифрования VeraCrypt

Впрочем, от использования хеш-функции «Стрибог» надежно отвращают слова из Википедии: «Разработан Центром защиты информации и специальной связи ФСБ России с участием ОАО „ИнфоТеКС“ на основе национального стандарта Российской Федерации ГОСТ Р 34.11—2012 и введен в действие с 1 июня 2019 года приказом Росстандарта № 1060-ст от 4 декабря 2018 года», а также некоторые тривиальные ошибки и найденные независимыми исследователями странности в таблицах перестановки.

Как правильно настроить преобразование пароля в ключ шифрования KEK? Вот три основных пункта.

1. Не используйте выбор по умолчанию. Весь софт для взлома криптоконтейнеров без исключений настроен на атаки с настройками «по умолчанию». У эксперта будет выбор настроек (по умолчанию, выбрать конкретную комбинацию параметром или пробовать все комбинации). Атака «по умолчанию» будет самой быстрой, вариант «пробовать все комбинации» — катастрофически медленным, а попытаться выбрать правильную комбинацию параметров шифрования вручную — все равно, что вручную подбирать пароль.
2. Выберите самую медленную хеш-функцию (но не «Стрибог»). Да, с медленной хеш-функцией, да еще и отличной от «выбора по умолчанию», ваш криптоконтейнер будет монтироваться не одну, а пять-шесть секунд — но и стойкость к атаке вырастет в те же пять-шесть раз (а с учетом «выбора не по умолчанию» — еще сильнее).
3. Измените число итераций. Об этом ниже.

Итак, с настройками по умолчанию разобрались, с выбором хеш-функции определились. Однако есть еще один важнейший параметр, скрывающийся за малозаметной галочкой Use PIM. Что за PIM такой и зачем он нужен?

Use PIM в VeraCrypt

PIM (Personal Iterations Multiplier) напрямую влияет на количество итераций, которые будут использованы для преобразования вашего пароля в ключ шифрования KEK. Согласно документации, VeraCrypt вычисляет количество итераций (число преобразований) по формуле 15000 + (PIM · 1000). Для хеш-функций SHA-512 и Whirlpool значение PIM по умолчанию 485, что дает нам ровно 500 000 итераций.

Для чего нужен этот параметр? Дело в том, что вычислительные мощности, в том числе и у тех, кто будет взламывать ваш криптоконтейнер, постоянно растут. Защита, эффективная двадцать лет назад, сегодня уже не кажется такой непробиваемой. Однако в случае с VeraCrypt вы можете легко и изящно повысить стойкость защиты сколь угодно сильно, просто увеличив число итераций. Да, увеличение числа итераций (через кастомное значение PIM) немного снизит удобство использования (при монтировании криптоконтейнера вам придется, помимо пароля, вводить еще и число PIM), несколько замедлится скорость монтирования. Поверьте, однако, что любое, самое незначительное изменение PIM означает сильнейшую головную боль у любого, кто вздумает подобрать пароль и взломать VeraCrypt.

Насколько сильно изменение PIM повлияет на скорость монтирования криптоконтейнера? Вот время с настройками PIM по умолчанию.

Use PIM в VeraCrypt

А вот я изменил PIM на значение 500 (с дефолтных 485).

А тут я использовал PIM, равный 1000.

 

Цифры отнюдь не запредельные: подождать при монтировании зашифрованного тома лишние секунды несложно, а вот у того, кто будет пытаться подобрать пароль к тому, возникнет масса проблем. Общий алгоритм работы взломщиков будет выглядеть так.

1. Сначала попробуют все возможные атаки со стандартными настройками. Это — время, часто существенное.
2. Если понятно, что значение PIM нестандартное, а число PIM точно известно, атака будет вестись сразу с корректной настройкой. При этом увеличение PIM с 485 до 1000 увеличит время, необходимое для атаки, примерно вдвое. Так себе повышение безопасности, но лучше, чем ничего.
3. А вот если значение PIM атакующему неизвестно, то атаку придется проводить для всего ряда значений PIM. То есть если вы выставивите значение PIM = 1000, то КАЖДЫЙ вариант пароля атакующему придется проверять со значениями PIM = 1, 2, 3, …, 1000 (или 485, 486, 487, …, 1000, если атакующий убежден, что значение PIM вы не уменьшали, а исключительно увеличивал). Иными словами, сложность атаки возрастает кратно значению (ваш PIM — 485), если атакующий использует только варианты, превышающие значение по умолчанию, либо в (ваш PIM) раз, если атакующий решит перебирать всю область значений PIM.

Логичный вопрос: разве увеличение длины пароля на два-три знака из расширенного набора символов не даст схожий (и даже лучший) результат? Если подходить с чисто вычислительной точки зрения, то даст. Реальность же такова, что большая часть атак проводится с настройками по умолчанию; программы, способные использовать атаки с нестандартным значением PIM, можно пересчитать по пальцам одной руки, а программ, которые способны автоматизировать атаки с кастомным рядом значений PIM, и того меньше.

Рассмотрим скриншот свежей сборки Elcomsoft Distributed Password Recovery с поддержкой VeraCrypt.

На нем мы видим атаку в стандартной конфигурации: алгоритм шифрования AES, хеш-функция — SHA-512. Никаких сюрпризов. Скорость атаки — 170 паролей в секунду (это с загрузкой всех ядер процессора и с использованием вычислительных ресурсов видеокарты; без видеокарты мы бы увидели скорость порядка 0,5 пароля в секунду).

Но если вы смените хеш-функцию, то такой атакой, как показана на первом скриншоте, пароль найти не получится. Соответственно, будет применяться вторая атака — уже по всему спектру алгоритмов шифрования и хеш-функций.

Что мы видим на втором скриншоте? Во-первых, скорость перебора резко упала до одного пароля в секунду — это с использованием GPU-ускорителя.

А чего мы не видим на втором скриншоте? Мы не видим возможности провести атаку на число итераций PIM. Число итераций PIM в большинстве программ для взлома паролей можно указать вручную. Таким образом, нестандартное число итераций сделает атаку неэффективной: даже если ваш пароль — 123, найти его не получится, не указав точного числа итераций.

Разумеется, если есть проблема, для нее найдется и решение. В свежей бете небезызвестного инструмента hashcat заявлены два любопытных параметра: —veracrypt-pim-start и —veracrypt-pim-stop (commit с изменением). А что будет со скоростью перебора? Если неизвестны точные параметры шифрования (комбинация из алгоритма шифрования и хеш-функции), то скорость перебора уже достаточно низкая: всего один пароль в секунду на компьютере с аппаратным ускорителем GPU. А теперь поделите эту цифру на количество возможных вариантов PIM, и получите исключительно медленный перебор. В реальности же перебор будет еще медленнее: если с низкими значениями PIM проверка пароля займет доли секунды, то большое число итераций замедлит перебор в несколько раз по сравнению со стандартным значением.

Защита ключа шифрования VeraCrypt

Итак, мы выбрали шифрование AES, хеш-функцию Whirlpool, а число итераций выставили скромненько 1111 (чтоб и нестандартно, и не забыть случайно). Это полностью защитит контейнер от атаки на пароль, но, как мы помним из начала статьи, спецы могут вообще не устраивать такую атаку, если смогут просто вытащить ключ шифрования из вашего компьютера.

Взять готовый ключ шифрования и с его помощью смонтировать (или расшифровать целиком) зашифрованный раздел — любимый и самый быстрый способ, которым пользуется полиция. Суть его заключается в следующем.

Как вы знаете, для того чтобы зашифровать (и расшифровать) данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика») используется двоичный ключ фиксированной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Вы уже в курсе, каким сложным образом ваш пароль (наверняка очень длинный и безопасный) превращается в ключ фиксированной длины. Дело сейчас не в этом.

Логично, что ключ шифрования данных (MEK) хранится в оперативной памяти компьютера. Это необходимо для того, чтобы программа-криптоконтейнер могла получить доступ к зашифрованным данным в принципе. Обратите внимание: ключ шифрования хранится в оперативной памяти совершенно независимо от того, какой алгоритм шифрования вы выбрали в настройках контейнера. AES, Twofish, Serpent, «Кузнечик» или любая комбинация алгоритмов — независимо от вашего выбора, ключи шифрования будут храниться в оперативной памяти, а сложность и скорость их извлечения практически одинакова.

Таким образом, сложность этой атаки мало зависит как от выбора алгоритма шифрования, так и от способа преобразования вашего пароля в двоичный ключ. Максимум, чего удастся добиться нестандартными настройками, — это увеличение времени поиска ключа в образе оперативной памяти, условно говоря, с десяти-пятнадцати минут до полутора-двух часов (цифры условные: многое зависит как от объема оперативной памяти компьютера, с которого делался дамп оперативной памяти, так и от скорости накопителя и центрального процессора, где этот дамп анализируется).

Можно ли защититься от подобных атак? Полноценная защита от извлечения ключей шифрования из оперативной памяти компьютера достаточно сложна, а на обычном десктопе может и вовсе оказаться невозможной (противостоять криогенной атаке вообще достаточно тяжело, но и вероятность ее применения исчезающе мала). В то же время вы можете включить в настройках VeraCrypt недавно появившуюся возможность шифрования ключей шифрования в оперативной памяти компьютера.

Обратите внимание: настройка доступна начиная с VeraCrypt 1.24 (на момент написания статьи актуальна сборка 1.24 Update 4). По умолчанию опция выключена; если ее включить, использование оперативной памяти драйвером увеличится примерно на 10%, производительность упадет на 5–15% (источник), а также будет отключена возможность гибернации.

Но это только часть защиты. В файл подкачки или файл гибернации также могут попасть и сами данные, которые хранятся в зашифрованном контейнере, а встроенная в VeraCrypt функция отключения гибернации может не сработать. По-хорошему также необходимо отключить ее на уровне Windows. Опции Hybrid sleep и, собственно, Hibernation.

Обратите также внимание на режим «быстрой загрузки» (Fast Startup) на первом скриншоте. В этом режиме (по умолчанию он, кстати, включен) при выключении компьютера Windows сохраняет состояние ядра в файл на системном диске. Этот файл – в некотором роде урезанный (без user space) аналог файла гибернации. Его наличие позволяет ускорить процесс последующей загрузки, но оно же приводит к возможности утечки ключа шифрования томов VeraCrypt. Отключение режима Fast Startup поможет защититься от этой уязвимости.

Если же жертвовать режимом гибернации не хочется, то стоит подумать о шифровании системного диска с помощью того же BitLocker’а (см. также Возможен ли взлом Bitlocker?). В этом случае и файл подкачки, и файл гибернации будут надежно защищены.

Облако и ключи восстановления доступа

Для VeraCrypt этот момент не критичен, но BitLocker по умолчанию предлагает пользователю сохранить ключ восстановления доступа к зашифрованному диску в облако OneDrive. Если его удастся оттуда извлечь (а полиции обычно удается, достаточно сделать запрос в Microsoft), то расшифровка данных становится тривиальной. Атака сработает и в том случае, если вы сохраните подобный ключ на USB-накопителе, доступ к которому получит полицейский эксперт или злоумышленник. Иными словами, ключи восстановления доступа — палка о двух концах, и с точки зрения чистой безопасности лучше их не иметь, чем иметь.

Заключение

Надеюсь, я смог изменить ваши представления о безопасности криптоконтейнеров в целом и VeraCrypt в частности. Вооружившись новыми знаниями, вы сможете создавать зашифрованные контейнеры, обладающие на несколько порядков более высокой стойкостью к парольным атакам. Кроме того, использование недавно появившихся малоизвестных настроек безопасности позволит вам защититься и от излюбленных атак на оперативную память, файлы подкачки и гибернации. В то же время разработчики VeraCrypt не гарантируют безопасность любых данных, попадающих в оперативную память компьютера, так что речь идет скорее не о стопроцентной защите, а о существенном осложнении соответствующих атак с не менее существенным снижением их эффективности и вероятности успешно вскрыть зашифрованный том.

Статьи по теме:

VeraCrypt — Просмотр файлов на SourceForge.net

Полное имя

Номер телефона

Название работы

Промышленность

Компания

Размер компании Размер компании: 1 — 2526 — 99100 — 499500 — 9991,000 — 4,9995,000 — 9,99910,000 — 19,99920,000 или более

Получайте уведомления об обновлениях для этого проекта.Получите информационный бюллетень SourceForge. Получайте информационные бюллетени и уведомления с новостями сайта, специальными предложениями и эксклюзивными скидками на ИТ-продукты и услуги.

Да, также присылайте мне специальные предложения о продуктах и ​​услугах, касающихся:

Программное обеспечение для бизнеса Программное обеспечение с открытым исходным кодом Информационные технологии Программирование Аппаратное обеспечение

Вы можете связаться со мной через:

Электронная почта (обязательно) Телефон SMS

Я согласен получать эти сообщения от SourceForge.сеть. Я понимаю, что могу отозвать свое согласие в любое время. Пожалуйста, обратитесь к нашим Условиям использования и Политике конфиденциальности или свяжитесь с нами для получения более подробной информации. Я согласен получать эти сообщения от SourceForge.net указанными выше способами. Я понимаю, что могу отозвать свое согласие в любое время. Пожалуйста, обратитесь к нашим Условиям использования и Политике конфиденциальности или свяжитесь с нами для получения более подробной информации.

Для этой формы требуется JavaScript.

Подписывайся

Кажется, у вас отключен CSS.Пожалуйста, не заполняйте это поле.

Кажется, у вас отключен CSS. Пожалуйста, не заполняйте это поле.

Полнодисковое шифрование с помощью VeraCrypt | by Andrew Douma

Относительно частой задачей для меня является шифрование нового водо- / пыле- / ударопрочного внешнего жесткого диска ADATA HD720 для нового проекта / клиента. Я также храню свои USB-накопители в зашифрованном виде.

Я рекомендую использовать ваш любимый инструмент для создания разделов, чтобы переразметить диск следующим образом. Это позволяет избежать запросов Windows и MacOS, предлагающих «отформатировать» и «инициализировать» диск каждый раз, когда вы его вставляете.

Если вы добавите крошечный раздел в конце диска с файловой системой, распознаваемой всеми операционными системами (exFat / FAT32), вы не получите запроса.

Добавление второго раздела предотвращает случайную потерю данных (Дисковая утилита MacOS)

MacOS поставляется с Дисковой утилитой, а Windows имеет Диспетчер дисков. Чтобы получить к нему доступ, откройте File Explorer> щелкните правой кнопкой мыши на этом компьютере> щелкните Manage> и выберите вкладку Storage.

Paragon предлагает альтернативный инструмент для разметки Windows, который можно бесплатно использовать в личных целях.Если вы планируете использовать внешний диск как в MacOS, так и в Windows, я настоятельно рекомендую приобрести MacDrive Pro или Paragon NTFS.

Использование журналируемой файловой системы сокращает время восстановления после сбоя (и увеличивает вероятность успешного восстановления!) Mac OS Extended или Windows NTFS — это ваши варианты.

Окно VeraCrypt (MacOS)

Интерфейс пользователя VeraCrypt практически идентичен. Щелкните «Создать том» и выберите «Создать том в разделе / ​​диске».

Я предпочитаю стандартные тома VeraCrypt.«Скрытый» том мог бы дать мне более правдоподобное опровержение. Однако не пропустите мелкий шрифт!

Затем выберите первый раздел на внешнем жестком диске и продолжите.

Я использую алгоритм шифрования AES (256) и алгоритм хеширования SHA-512. Вы можете сравнить производительность каждого варианта шифрования на вашем оборудовании.

В будущем я расскажу об этом более подробно, а пока примите, пожалуйста, что:

• Выбор очень длинной ключевой фразы является фундаментальным.Я предпочитаю запоминать совершенно случайные пароли и использовать все 64 доступных символа.
• Я так же доволен тем, что вы используете длинное и разрозненное предложение, усыпанное специальными символами (включая пробелы!).
• Использование ключевых файлов помимо пароля имеет значительные преимущества в многопользовательских средах.
• Потратьте максимальное время на создание криптографически безопасного пула «случайных» данных.

Переместите указатель мыши на несколько минут!

Последним шагом будет шифрование и форматирование диска.В зависимости от размера и скорости вашего носителя это может занять от нескольких минут до целой ночи.

Окно VeraCrypt с запросом пароля (MacOS)

После завершения вы можете подключить зашифрованный том, выбрав слот (в MacOS) или букву диска (в Windows).

Затем нажмите кнопку «Выбрать устройство». и выберите зашифрованный раздел внешнего диска.

Нажмите кнопку «Смонтировать». и введите вашу парольную фразу / Ключевые файлы, прежде чем нажать OK.

Если вы и используете менеджер паролей: Копирование и вставка парольной фразы работает, только если установлен флажок «Показать пароль».

Переименуйте его во что-нибудь свежее и начните сохранять файлы в зашифрованном разделе внешнего носителя. Всегда «безопасно извлекайте» диски, чтобы все данные были записаны на диск!

Разборки с шифрованием Windows: VeraCrypt против Bitlocker

Когда вам действительно нужно сохранить свои файлы в безопасности, вам нужно шифрование.Раньше мы рассматривали основы и даже собрали ваши любимые инструменты шифрования, но сегодня мы предлагаем два самых популярных варианта для Windows, чтобы увидеть, какой из них лучше всего защищает ваши конфиденциальные данные.

The Contenders

Выбрать два инструмента шифрования для этого сравнения было непросто. Стоит ли рассматривать два аналогичных инструмента или два из наиболее часто используемых инструментов ? В данном случае мы выбрали последнее и решили сосредоточиться на Windows, поскольку, помимо того, что она является самой популярной используемой ОС, она позволяет нам сузить наш фокус до двух больших приложений, из которых большинство людей фактически выберет, даже если есть множество вариантов с различными доступными функциями.Не волнуйтесь, если здесь нет вашего любимого приложения или платформы для шифрования, мы скоро свяжемся с вами. Теперь, с учетом сказанного, давайте взглянем на двух наших главных соперников:

• Bitlocker : собственный встроенный инструмент шифрования Microsoft очень популярен, отчасти потому, что он эффективен и встроен в ОС, которую вы уже используете. (при условии, что вы используете Windows 7 Ultimate или Enterprise, Windows 8 Pro или Enterprise, или Windows 10 Pro или Enterprise.) Bitlocker поддерживает шифрование AES, и хотя он в основном используется для шифрования всего диска, чтобы заблокировать весь компьютер, а не только определенных файлов, он также поддерживает шифрование других томов или виртуального диска, который можно открыть и получить к нему доступ, как и к любому другому диску на вашем компьютере.Если вы хотите зашифровать определенные данные, а не все на своем компьютере, это то, что вам нужно. Когда я публично спросил, какие инструменты шифрования используют люди, Bitlocker появился довольно часто.
• VeraCrypt : Бесплатная, с открытым исходным кодом (в основном) и кроссплатформенная, VeraCrypt может обрабатывать практически все, что вы на нее бросаете. Это форк TrueCrypt, который расплавился и прекратил разработку еще в 2014 году, но с тех пор он был обновлен, улучшил собственную безопасность и стал намного быстрее.VeraCrypt поддерживает шифрование AES, TwoFish и Serpent, а также поддерживает создание скрытых зашифрованных томов внутри других томов. VeraCrypt также поддерживает шифрование всего диска, включая системные диски. Это делает инструмент достаточно гибким, чтобы выполнять шифрование файлов и томов на лету, чтобы обеспечить безопасность определенных файлов и данных, или шифровать целые системы, чтобы к ним имели доступ только авторизованные пользователи. Также не повредит, что VeraCrypt является быстрым, бесплатным и доступным практически на любом компьютере, на котором он может вам понадобиться, или ваши зашифрованные данные.

Оба варианта хороши, и вы абсолютно можете (и, если серьезно, должны) использовать оба. Мы перейдем к деталям через мгновение, но Bitlocker отлично подходит для бесшовного, даже не подозреваемого, полного шифрования диска, а VeraCrypt отлично подходит для шифрования томов, дисков, контейнеров или определенных файлов для хранение или безопасность на лету. Если бы нам нужно было дать предварительную рекомендацию, мы бы сказали, что используйте оба способа.

Тем не менее, Bitlocker и VeraCrypt — это очень разные инструменты, и то, для кого каждый из них подойдет лучше всего, во многом зависит от типа вашего пользователя и того, к чему у вас есть доступ.Давайте рассмотрим некоторые из основных различий.

G / O Media может получить комиссию

VeraCrypt выигрывает при доступности

Самая большая разница между VeraCrypt и Bitlocker является наиболее очевидной: кто действительно может его использовать.

Не у всех есть доступ к версиям Windows Pro или Enterprise, поэтому Bitlocker не подходит для многих. Если вы используете Windows 7, 8 или 10 Домашняя, вы даже не можете думать об использовании Bitlocker, если не перейдете на Pro.Хотя мы, как правило, сами предпочитаем версии Pro, если вы пошли и купили компьютер сегодня, вы, вероятно, получили бы что-то с установленной версией Windows Home. В этом отношении VeraCrypt является явным победителем, поскольку он доступен любому в любой версии Windows (и, конечно же, в других ОС).

Точно так же тот факт, что для использования Bitlocker требуется криптопроцессор Trusted Platform Module (TPM). с вашим компьютером (или перепрыгните через кучу обручей, чтобы настроить его иначе) еще больше сужает поле зрения, но не намного.TPM использует оборудование для интеграции ключей шифрования в ваше устройство и делает шифрование и дешифрование прозрачными для вас. У него также есть свои проблемы, подробнее об этом позже.

Конечно, большинство современных компьютеров поддерживают доверенный платформенный модуль и на нем установлен TPM, а если вы сборщик ПК, вы, вероятно, приобретете материнскую плату, на которой он тоже есть, планируете вы это или нет. Люди со старым оборудованием могут столкнуться с большими трудностями, но все, у кого есть современные устройства, будут в порядке — но это все еще ограничение, о котором пользователям VeraCrypt не придется беспокоиться ни на какой платформе, и это также то, что удерживает Bitlocker от внедрения за пределами Windows, а не то, что Microsoft ужасно озабочена безопасностью, выходящей за рамки собственной операционной системы.

Bitlocker проще в использовании, но это не похоже на сложность VeraCrypt

Когда дело доходит до простоты использования, все немного спорнее. Как и в случае с любым продуктом безопасности, самый быстрый способ заставить людей принять ваш инструмент — это включить его по умолчанию или настолько легко, чтобы люди щелкнули выключателем и больше не думали об этом. В этом случае использовать Bitlocker для шифрования всего жесткого диска так же просто, как открыть его панель управления и включить ее.

С этой точки зрения шифрование всего диска — это самый простой способ защитить все ваши данные.Это означает, что если ваш ноутбук украден или потерян где-то с конфиденциальными данными, и даже если диск будет удален, вы можете быть уверены, что тот, у кого он окажется, может получить ваше оборудование, но не получит ваше программное обеспечение и данные, и вам не нужно управлять контейнерами для защиты ваших файлов. Bitlocker преуспевает в этом, поэтому многие компании включают его по умолчанию. Если вы опытный пользователь, вы можете пойти дальше и зашифровать разделы и дополнительные тома или просто включить его для простого шифрования всего диска, в то время как вы используете что-то еще для определенных файлов и папок.

Все это говорит о том, что VeraCrypt не сложно использовать. Вам действительно нужно установить его и настроить, но этого барьера достаточно, чтобы удержать некоторых от него, особенно тех, кто не разбирается в технологиях и не разбирается в тонкостях. Использование его для шифрования всего диска — не сложный процесс, но требует на больше усилий, чем установка флажка. Вам нужно будет сделать диск восстановления на случай, если все пойдет не так, но вы также получите преимущество создания ложной операционной системы, поэтому, если у вас есть для расшифровки, вы можете расшифровать ОС, но не свои данные.Это пример тенденции: VeraCrypt — мощный продукт, но вам нужно быть готовым погрузиться в него и по-настоящему использовать его, а также комфортно с немного больше, чем усилия «под ключ».

VeraCrypt побеждает в безопасности

Инструмент шифрования хорош настолько, насколько хорош обеспечиваемый им уровень безопасности, и хотя VeraCrypt не идеален, он определенно более надежен, чем Bitlocker. Большинство пользователей, вероятно, не заметят разницы, но важно отметить, что между ними есть разрыв.

VeraCrypt поддерживает больше методов и типов шифрования, чем Bitlocker, более надежные ключи, лучший метод шифрования и дешифрования (CBC против XTS, хотя ни один из них не идеален) и, конечно же, имеет открытый исходный код и открыт для аудита.Microsoft, вероятно, никогда не допустит этого, поскольку Bitlocker является проприетарным продуктом (и все мы знаем, насколько хорошо работает защита через скрытность). Лучше всего то, что разработчики VeraCrypt взяли результаты аудита безопасности TrueCrypt и использовали свои заметки для улучшения своих собственных продукт (и начали вытеснять закрытый код TrueCrypt из своего собственного продукта.)

Как мы уже упоминали, VeraCrypt не идеален. В разделе «Проблемы безопасности» статьи в Википедии собраны основные из них (хотя многие из них, особенно вредоносное ПО и другие проблемы с физическим доступом, также относятся к Bitlocker), и их стоит рассмотреть, если вы обсуждаете эти два вопроса с точки зрения безопасности.Кроме того, хотя разработчики VeraCrypt работали над решением многих проблем, выявленных в ходе аудита TrueCrypt, VeraCrypt еще предстоит пройти собственный полный аудит (хотя мы надеемся, что он начнется позже этим летом).

Со своей стороны, Bitlocker является нет сутулости. Не то чтобы он слабый — он просто не , а . Bitlocker делает вещи простыми (в основном для ускорения внедрения) и не увязает в функциях опытных пользователей, которые, в зависимости от того, кто вы, вам нужны или хотите увидеть, чтобы серьезно относиться к инструменту.Его шифрование AES (128 и 256 бит) достаточно надежно для подавляющего большинства людей, которые беспокоятся о потере конфиденциальных данных в задней части такси или о том, что кто-то шпионит за их системой, но если у вас действительно есть умный противник, которому нужны ваши данные , вы не уязвимы сами по себе, но вы можете немного укрепить свою руку.

Большой — и все еще вызывающий споры, даже сегодня — вопрос, связанный с Bitlocker, заключается в том, имеет ли Microsoft бэкдор для программного обеспечения шифрования, чтобы упростить доступ правоохранительных органов и государственных органов к зашифрованным данным.Здесь мы не можем урегулировать этот спор, и он возник в последний раз, когда мы обсуждали Bitlocker. Честно говоря, у большинства людей на хвосте не будет такого противника, как АНБ, так что это не имеет особого значения, но мы уже установили, что любой бэкдор — если он существует — плох, потому что дверь не Меня не волнует, используют ли его «хорошие парни» или «плохие парни» (или «плохие хорошие парни»). Тем не менее, нет веских доказательств — просто много подозрений, предположений и споров — что Bitlocker имеет бэкдор, но есть более чем несколько веских причин доверять программному обеспечению с открытым исходным кодом, а не закрытым исходным кодам, в любом случае проприетарным вещам.

Тогда возникает вопрос, является ли TPM безопасным. Разработчики VeraCrypt (и ряда других инструментов безопасности с открытым исходным кодом) по уважительной причине отказываются поддерживать TPM. TPM был взломан и раньше, хотя для этого потребовались невероятные усилия, но правда в том, что он хорош в одном, но не очень хорош для защиты системы от вредоносных программ или других векторов атак, которые могут предоставить злоумышленнику доступ к конфиденциальным данным.

В конце концов, оба продукта сильны, но VeraCrypt просто сильнее и гибче, даже если он еще не готов.Среднестатистический пользователь даже не заметит разницы, и тот факт, что VeraCrypt сильнее, не должен мешать вам использовать Bitlocker (просто настройте его правильно), если вам нужна возможность бесшовного и прозрачного шифрования всего диска.

Вердикт: VeraCrypt сильнее и мощнее, но используйте Bitlocker тоже

Итог: если вы не планируете также использовать VeraCrypt для шифрования всего диска, эти два инструмента на самом деле подходят друг другу лучше, чем они заменяют друг друга. Используйте Bitlocker для простого шифрования всего диска одним нажатием кнопки.Затем запустите VeraCrypt и заставьте некоторые зашифрованные контейнеры, скрытые тома и рычаги использовать все замечательные преимущества приложения. Если вам не нужно полное шифрование диска, но вы хотите зашифровать и расшифровать определенные файлы или контейнеры, VeraCrypt — ваш лучший, самый быстрый и гибкий выбор.

Если вы опытный пользователь или не доверяете Microsoft (но все еще используете Windows), вы можете полностью отказаться от Bitlocker и использовать VeraCrypt для всего, это тоже нормально. Когда дело доходит до настройки и настройки, планка для вас немного выше, но не настолько высока, чтобы ее было сложно преодолеть.

В любом случае, что бы вы ни использовали, используйте что-нибудь. Принять шифрование сейчас легче, чем когда-либо.

Автор изображения: JohnWilliamDoe .

Руководство — установка и использование VeraCrypt

Учебное пособие по VeraCrypt

Наброски

1. Установка программного обеспечения
2. Настройка зашифрованного контейнера
3. Использование

Установка программного обеспечения

Программное обеспечение является бесплатным и может быть установлено любым пользователем с правами администратора на компьютере, на котором оно устанавливается.Хост-сайт, проверенный отделом экспортного контроля Purdue:

https://archive.codeplex.com/?p=veracrypt

Codeplex.com был признан безопасным местом для загрузки этого программного обеспечения. Если этот сайт перестанет размещать загрузку, обратитесь в офис экспортного контроля, чтобы получить обновленный вариант загрузки.

Наконец, если вы выполняете работу, требующую шифрования, на какой бы машине вы его ни устанавливали, она должна быть одобрена отделом экспортного контроля.

Настройка зашифрованного контейнера

1. Откройте VeraCrypt и нажмите «Создать том».

2. Убедитесь, что выбран параметр «Создать контейнер зашифрованного файла», и нажмите «Далее».

   Это самый удобный метод создания зашифрованного пространства. С помощью этого метода вы можете создать зашифрованный файл на самом компьютере , одобренном , или на любом одобренном внешнем устройстве хранения данных (т.е.е. внешний жесткий диск с серийным номером, сообщенным в офис экспортного контроля)

3. Убедитесь, что выбран параметр «Стандартный том VeraCrypt», и нажмите «Далее».

4. Щелкните «Выбрать файл …»

5. Выберите место, где вы хотите сохранить фактические зашифрованные файлы (в данном случае внешний жесткий диск), выберите имя файла для вашего контейнера (в данном случае «EncryptedContatinerExample») и нажмите «Сохранить».

6. Нажмите «Далее»

7. Стандартные параметры, показанные ниже, являются предпочтительными, поэтому нажмите «Далее».

8. Выберите размер тома, который вы хотите создать, учитывая, какой тип файлов вы будете хранить / обрабатывать (в данном случае 1 ГБ, исключительно для иллюстративных целей)

   Создание больших томов (> 1 ТБ) может занять много времени.Если вам нужно обрабатывать видео, рекомендуется не меньше 100 ГБ, исходя из предыдущего опыта. Учтите, что если вам не хватает места на одном томе, вам придется либо создать том большего размера и перенести зашифрованные файлы между контейнерами, либо иметь второй том и хранить вещи на двух томах. Вам может быть предложено (в зависимости от размера создаваемого вами тома), если вы хотите хранить большие файлы в вашем контейнере, включите эту опцию , если будет предложено

9. Создайте пароль (рекомендации показаны в окне VeraCrypt, эти рекомендации могут показаться чрезмерными, однако ваше шифрование настолько же надежно, насколько надежен ваш пароль, поэтому необходимая длина и сложность являются обязательными) и нажмите «Далее».

10. Вам будет предложено случайным образом переместить указатель мыши, делайте это до тех пор, пока индикатор выполнения «Случайность, полученная из движений мыши» не станет зеленым, а затем нажмите «Форматировать».

11. Фактическое создание тома займет больше или меньше времени в зависимости от размера контейнера и места его создания (большие тома / нелокальные места назначения займут больше всего времени), но как только том будет создан, нажмите «ОК»

12. Вы закончили создание зашифрованного файлового контейнера, нажмите «Выход».

Использование

1. Чтобы использовать новый файловый контейнер, откройте VeraCrypt и нажмите «Выбрать файл…».

2. Найдите созданный вами том (в данном случае «EncryptedContatinerExample») и нажмите «Открыть».

3. Выберите, как вы хотите называть диск после его монтирования (это несколько произвольно, но вам может потребоваться согласованность, если у вас есть коды сокращения данных или что-то, что ссылается на местоположение файла на зашифрованном диске), и нажмите «Смонтировать»

4. Введите свой пароль и нажмите «ОК»

5. Зашифрованный контейнер теперь смонтирован и готов к использованию, вы можете «X» выйти из графического интерфейса VeraCrypt, и он будет работать в фоновом режиме.

   Зашифрованный контейнер монтируется как дополнительный диск на вашем компьютере, сохраняет и удаляет файлы так же, как и с любым другим диском ( ВСЕГДА сохраняет данные с ограниченным доступом непосредственно на этот диск, чтобы они были зашифрованы)

6. Когда вы закончите работу с зашифрованными файлами, закройте все и нажмите «Отключить» в графическом интерфейсе VeraCrypt.

ПРИМЕЧАНИЕ:

Регулярно создавайте резервные копии файлов и папок! Вы можете сделать это, скопировав файл VeraCrypt (ваш созданный том) или просто скопировав отдельные важные файлы внутри вашего тома, когда вы смонтировали том.

Нужна помощь?

Свяжитесь с командой Purdue по экспортному контролю / обеспечению информации по электронной почте по адресу [email protected], по телефону (765) 494-6840 или лично на 10-м этаже Young Hall (155 S Grant St.).

ПО для шифрования дисков с открытым исходным кодом на основе Truecrypt

Количество найденных коммитов: 14 История коммитов — (может быть неполным: см. Подробную информацию по ссылке SVNWeb выше) Дата По Описание 17 мая 2020 г. 05:55:12 1.24_1 lbartoletti x11-toolkits / wxgtk30: обновление до 3.0.5.1 Журнал изменений: - https://raw.githubusercontent.com/wxWidgets/wxWidgets/v3.0.5/docs/changes.txt PR: 246218 Утверждено: tcberner (наставник) Экспертиза: антуан Дифференциальная версия: https://reviews.freebsd.org/D24808 29 декабря 2019 21:05:36 1,24 акм - Обновление до 1.24 Update3 05 сен 2019 06:19:43 1.23_4 акм - Исправить некорректное условное выражение в Makefile 05 сен 2019 04:40:34 акм - Исправить сборку на i386 PR: 234858 Сообщает: emaste 14 августа 2019 12:16:13 1.23_3 мат Преобразовать в UCL и очистить pkg-сообщение (категории s) 26 июл 2019 20:46:57 1.23_3 джеральд Bump PORTREVISION для портов в зависимости от канонической версии GCC как определено в Mk / bsd.default-versions.mk, который был перемещен из GCC 8.3 до GCC 9.1 в большинстве случаев теперь после ревизии 507371. Сюда входят порты - с USE_GCC = yes или USE_GCC = any, - с USES = fortran, - используя Mk / bsd.octave.mk, который, в свою очередь, содержит USES = fortran, и - с USES = compiler с указанием openmp, nestedfct, c11, c ++ 0x, c ++ 11-lang, c ++ 11-lib, c ++ 14-lang, c ++ 17-lang или gcc-c ++ 11-lib плюс, все, что показывает INDEX-11, теперь зависит от lang / gcc9.ПР: 238330 25 февраля 2019 12:47:20 1.23_2 крещение wxGTK3.0: перейти на gtk3 и webkit2 Обсуждается с: portmgr 15 фев 2019 23:51:20 1.23_1 солнечный поэт Обновить WWW Утверждено: portmgr (blanket) 12 декабря 2018 01:35:36 1.23_1 джеральд Bump PORTREVISION для портов в зависимости от канонической версии GCC определяется через Mk / bsd.default-versions.mk, который переехал из GCC 7.4 t GCC 8.2 в большинстве случаев. Сюда входят порты - с USE_GCC = yes или USE_GCC = any, - с USES = fortran, - используя Mk / bsd.octave.mk, который, в свою очередь, содержит USES = fortran, и - с USES = compiler с указанием openmp, nestedfct, c11, c ++ 0x, c ++ 11-lang, c ++ 11-lib, c ++ 14-lang, c ++ 17-lang или gcc-c ++ 11-lib плюс, как двойная проверка, все, что показывал INDEX-11, зависело от lang / gcc7. PR: 231590 20 ноя 2018 17:32:02 1.23 акм - Обновление до 1.23 18 сен 2018 09:28:35 1,22 линимон Обновите эти порты до USES = compiler: c ++ 11-lang, чтобы исправить сборку на основе gcc арки, такие как powerpc64. Проверено на отсутствие эффекта на amd64. Пока здесь, любимчик портлинт. Утверждено: portgmr (tier-2 blanket) 21 апр 2018 00:27:04 1.22 акм - Обновление до 1.22 21 января 2018 02:22:42 1.21_1 jbeich security / veracrypt: разблокировать сборку с помощью wxWidgets 3.0.3 TextUserInterface.cpp: 122: 5: ошибка: const_cast из 'const wxScopedWCharBuffer' (aka 'const wxScopedCharTypeBuffer ') в 'wchar_t *' не допускается const_cast (passwordStr.~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ PR: 223758 Прислал: [email protected] Утверждено: тайм-аут сопровождающего (2 месяца) 19 июля 2017 г. 05:40:13 1,21 акм - Новый порт: security / veracrypt VeraCrypt - это бесплатное программное обеспечение для шифрования дисков с открытым исходным кодом для Windows, Mac OSX, FreeBSD и Linux. Создано IDRIX (https://www.idrix.fr) и основано на TrueCrypt 7.1a. Основные возможности VeraCrypt: - Создает виртуальный зашифрованный диск в файле и монтирует его как реальный диск.- Шифрует весь раздел или запоминающее устройство, такое как USB-накопитель или жесткий диск. - Шифрует раздел или диск, на котором установлена ​​Windows (предзагрузочная аутентификация). - Шифрование автоматическое, прозрачное в реальном времени (на лету). - Распараллеливание и конвейерная обработка позволяют считывать и записывать данные так быстро, как если диск не был зашифрован. - Шифрование может быть аппаратно ускорено на современных процессорах. - Обеспечивает правдоподобное отрицание на случай, если злоумышленник заставит вас раскрыть пароль: Скрытый том (стеганография) и скрытая операционная система.- Более подробную информацию об особенностях VeraCrypt можно найти в документация WWW: http://www.veracrypt.fr Количество обнаруженных коммитов: 14

Последние уязвимости За последние 14 дней было зарегистрировано 12 уязвимостей, затрагивающих 72 порта * — модифицированные, а не новые Все уязвимости Последнее обновление: 2021-03-28 22:40:29

Как исправить сломанные тома TrueCrypt / VeraCrypt и восстановить ваши данные

TrueCrypt и его последователь VeraCrypt — прекрасные инструменты шифрования, которые находятся в свободном доступе.Эти инструменты могут использоваться для шифрования данных, хранящихся на устройствах хранения, включая внешние жесткие диски и USB-накопители. В этом руководстве объясняется, как восстановить поврежденный контейнер (том) TrueCrypt / VeraCrypt с помощью TestCrypt и вернуть свои данные.

Обновление 2 января 2021 г. :

С момента обновления, приведенного ниже, мы получили постоянный поток запросов разной степени качества относительно восстановления поврежденных контейнеров VeraCrypt.

Обязательно укажите:

• Краткое описание поврежденного контейнера и проблемы, включая снимки экрана (-ов) с ошибками
• Действия, которые вы предприняли, пытаясь восстановить поврежденный контейнер (например,грамм. форматирование, команды, повторное разбиение на разделы, использование инструментов или устройств восстановления)
• Что сработало, а что не сработало?

Будьте уверены, что ваши электронные письма читаются и что мы делаем все возможное, чтобы разработать решение с открытым исходным кодом, которое может помочь таким людям, как вы, восстановить потерянные файлы и воспоминания.

А пока не стесняйтесь присоединяться к обсуждению в комментариях ниже.

Оставайтесь в безопасности и берегите себя.

Обновление

от 8 ноября 2020 г .: Пользователи VeraCrypt необходимы для исследовательского проекта

Решение, описанное в этой статье, похоже, работает в основном для пользователей TrueCrypt.На сегодняшний день запущен исследовательский проект по созданию программного инструмента с открытым исходным кодом, который может помочь пользователям VeraCrypt восстанавливать тома VeraCrypt и восстанавливать зашифрованные данные. Отправьте электронное письмо veracrypt {at} infosysteria.com , если вы хотите напрямую связаться с исследователем и опробовать инструмент, который может успешно установить ваш диск VeraCrypt.

Признаки и симптомы неисправности томов TrueCrypt / VeraCrypt

После многих лет использования TrueCrypt для защиты моего внешнего жесткого диска Western Digital я недавно заметил, что больше не могу монтировать свой том и получать доступ к моим файлам, и начал немного паниковать.Я подключил USB к ноутбуку и безуспешно пытался смонтировать том в Windows, Linux и Mac.

В Windows я получил сообщение «Вам нужно отформатировать диск в дисководе X: прежде, чем вы сможете его использовать. Вы хотите его отформатировать? » а в macOS я безуспешно пытался смонтировать диск вручную с помощью «diskutil mountDisk / dev / disk2». Я также пробовал смонтировать том с помощью VeraCrypt в режиме TrueCrypt. Однако я получил «Неверный пароль» и «Неверный том», хотя пароль был введен правильно.

Как восстановить тома TrueCrypt / VeraCrypt

Если вы находитесь в подобной ситуации, я рекомендую вам попробовать следующие шаги. Кстати, не пытайтесь восстановить какие-либо файловые системы с помощью «chkdisk» или аналогичных инструментов восстановления на этом этапе, так как это может повредить том. Если вы уже пытались восстановить том, возможно, вам повезет, поэтому читайте дальше. Я рекомендую вам использовать любую версию Windows для восстановления вашего тома.

Я использую MacBook и VirtualBox для установки Windows 10 на виртуальную машину.Если вы используете VirtualBox, вам нужно будет предоставить виртуальной машине доступ к устройству, на котором хранится ваш том. Подключите USB-устройство или USB-кабель к компьютеру и убедитесь, что ваш хост не пытается подключиться или занять свои ресурсы.

В VirtualBox и после установки виртуальной машины с Windows щелкните виртуальную машину правой кнопкой мыши и выберите «Настройки». Щелкните «Порты» и «USB». И убедитесь, что «Включить USB-контроллер» и «USB 3.0 (xHCI) Controller» включены. Щелкните зеленый знак плюса, чтобы добавить новый USB-фильтр.В раскрывающемся меню выберите устройство хранения и включите его в списке, прежде чем нажать «ОК».

Наконец, запустите виртуальную машину. В моем случае использование USB 1.1 или USB 2.0 не работало, а с USB 3.0 в качестве контроллера Windows автоматически загрузила необходимые драйверы устройств. Поэтому убедитесь, что у виртуальной машины есть доступ в Интернет. Прежде чем продолжить, убедитесь, что ваше устройство хранения указано в «Дисковые накопители» в «Диспетчере устройств».

Установка TestCrypt

TestCrypt — это средство первой помощи, которое вы можете использовать для восстановления тома TrueCrypt / VeraCrypt.Это инструмент Windows. Поэтому убедитесь, что у вас есть доступ к устройству с установленной Windows или, в качестве альтернативы, к виртуальной машине под управлением Windows.

Просто посетите http://testcrypt.sourceforge.net и загрузите TestCrypt. Перед установкой TestCrypt вы должны установить необходимые зависимости, как описано в разделе «Требования» на веб-сайте, иначе вы не сможете смонтировать свой том. И вы получите эту ошибку:

Теперь подключите устройство, содержащее поврежденный том, , запустите TestCrypt и следуйте инструкциям на экране, чтобы восстановить том.Обратите внимание, что для восстановления тома необходимо указать правильный пароль. TestCrypt — это инструмент для восстановления вашего тома, а не инструмент для взлома паролей. Если вы не можете вспомнить свой пароль, его стоит угадать, возможно, вам повезет. Процесс восстановления обычно занимает около 20-30 минут.

После восстановления вы сможете перемещаться по файлам с помощью проводника Windows. TestCrypt — это средство восстановления, поэтому вы сможете только копировать, а не изменять какие-либо файлы или папки на поврежденном томе.Тем не менее, вы все же получили свои данные обратно, и теперь ваша первая задача — скопировать их в безопасное место.

Не стесняйтесь задавать вопросы в комментариях, если вы застряли. Или поделитесь своим подходом с другими, если вам это удалось. Всего наилучшего.

Как зашифровать флешку с помощью VeraCrypt

Шифрование

— это разумная идея для защиты данных на USB-накопителе, как мы уже говорили в нашей статье, в которой описано, как зашифровать флэш-накопитель с помощью Microsoft BitLocker.

Но что, если вы не хотите использовать BitLocker?

Вы можете быть обеспокоены тем, что, поскольку исходный код Microsoft недоступен для проверки, он может быть уязвим для «бэкдоров» безопасности, используемых правительством или другими лицами.Поскольку исходный код программного обеспечения с открытым исходным кодом широко распространен, многие эксперты по безопасности считают, что у программного обеспечения с открытым исходным кодом гораздо меньше шансов иметь какие-либо бэкдоры.

К счастью, есть несколько альтернатив BitLocker для шифрования с открытым исходным кодом.

Если вам нужно иметь возможность шифровать файлы и получать к ним доступ на любом компьютере с Windows, а также на компьютерах под управлением Apple OS X или Linux, VeraCrypt с открытым исходным кодом предлагает отличную альтернативу.

VeraCrypt является производным от TrueCrypt, хорошо зарекомендовавшего себя программного продукта для шифрования с открытым исходным кодом, поддержка которого в настоящее время прекращена.Но код TrueCrypt был проверен, и серьезных недостатков безопасности обнаружено не было. Кроме того, с тех пор он был улучшен в VeraCrypt.

Существуют версии

для Windows, OS X и Linux.

Шифрование USB-накопителя с помощью VeraCrypt не так просто, как с BitLocker, но все же это занимает всего несколько минут.

Эта статья будет охватывать:

• восьмиэтапный процесс шифрования флешки с помощью VeraCrypt
• как использовать флешку, зашифрованную с помощью VeraCrypt
• создает путевой диск, который позволяет автоматически запускать VeraCrypt с флэш-накопителя при установке его в другой ПК с Windows.

Шифрование флэш-накопителя с помощью VeraCrypt за 8 шагов

После загрузки VeraCrypt для вашей операционной системы:

Запустите VeraCrypt и нажмите «Создать том», чтобы запустить мастер создания тома VeraCrypt.

Мастер создания тома VeraCrypt позволяет вам создать зашифрованный файловый контейнер на флеш-накопителе, который находится вместе с другими незашифрованными файлами, или вы можете выбрать шифрование всего флеш-накопителя. На данный момент мы решим зашифровать всю флешку.

На следующем экране выберите Стандартный том VeraCrypt.

Выберите букву флешки, которую вы хотите зашифровать (в данном случае O :).

Выберите режим создания тома.Если ваша флешка пуста или вы хотите удалить все, что на ней находится, выберите первый вариант. Если вы хотите сохранить какие-либо существующие файлы, выберите второй вариант.

На этом экране можно выбрать параметры шифрования. Если вы не уверены, что выбрать, оставьте настройки по умолчанию AES и SHA-512.

После подтверждения экрана «Размер тома» введите и повторно введите пароль, который вы хотите использовать для шифрования данных.

Для эффективной работы VeraCrypt должен использовать пул энтропии или «случайности».«Чтобы создать этот пул, вам будет предложено в течение минуты произвольно перемещать указатель мыши. Когда полоса станет зеленой или, желательно, когда она достигнет правого края экрана, нажмите «Форматировать», чтобы завершить создание зашифрованного диска.

Использование флэш-накопителя, зашифрованного с помощью VeraCrypt

Если вы хотите использовать зашифрованную флешку, сначала вставьте ее в компьютер и запустите VeraCrypt.

Затем выберите неиспользуемую букву диска (например, z 🙂 и щелкните Auto-Mount Devices.

Введите свой пароль и нажмите ОК.

Процесс подключения может занять несколько минут, после чего ваш незашифрованный диск станет доступен с буквой, выбранной вами ранее.

Настройка диска VeraCrypt Traveler

Если вы настроили флеш-накопитель с зашифрованным контейнером, а не зашифровали весь диск, у вас также есть возможность создать то, что VeraCrypt называет путевым диском. При этом копия VeraCrypt устанавливается на сам USB-накопитель, поэтому, когда вы вставляете накопитель в другой компьютер с Windows, вы можете автоматически запускать VeraCrypt с флэш-накопителя; нет необходимости устанавливать его на компьютер.

Вы можете настроить флэш-накопитель в качестве Traveler Disk, выбрав Traveler Disk SetUp в меню Tools программы VeraCrypt.

Стоит отметить, что для запуска VeraCrypt с Traveler Disk на компьютере у вас должны быть права администратора на этом компьютере. Хотя это может показаться ограничением, никакие конфиденциальные файлы нельзя безопасно открывать на компьютере, который вы не контролируете, например, в бизнес-центре.

В этой статье содержится дополнительная информация о VeraCrypt, в том числе об истории ее разработки и о том, как она развивается для удовлетворения потребностей пользователей.

Пауль Рубенс занимается корпоративными технологиями более 20 лет. В то время он писал для ведущих британских и международных изданий, включая The Economist, The Times, Financial Times, BBC, Computing и ServerWatch.