Veracrypt pim что такое: Veracrypt pim что такое — conspi.ru — Конспирология

Содержание

Veracrypt pim что такое

До 2014 года ПО с открытым исходным кодом TrueCrypt было самым рекомендуемым (и действительно качественным) для целей шифрования данных и дисков, однако затем разработчики сообщили, что оно не является безопасным и свернули работу над программой. Позже новая команда разработчиков продолжила работу над проектом, но уже под новым названием — VeraCrypt (доступно для Windows, Mac, Linux).

С помощью бесплатной программы VeraCrypt пользователь может выполнять надежное шифрование в реальном времени на дисках (в том числе зашифровать системный диск или содержимое флешки) или в файловых контейнерах. В этой инструкции по VeraCrypt — подробно об основных аспектах использования программы для различных целей шифрования. Примечание: для системного диска Windows, возможно, лучше использовать встроенное шифрование BitLocker.

Примечание: все действия вы выполняете под свою ответственность, автор статьи не гарантирует сохранность данных. Если вы начинающий пользователь, то рекомендую не использовать программу для шифрования системного диска компьютера или отдельного раздела с важными данными (если не готовы случайно потерять доступ ко всем данным), самый безопасный вариант в вашем случае — создание зашифрованных файловых контейнеров, что описано далее в руководстве.

Установка VeraCrypt на компьютер или ноутбук

Далее будет рассматриваться версия VeraCrypt для Windows 10, 8 и Windows 7 (хотя само использование будет почти одинаковым и для других ОС).

После запуска установщика программы (скачать VeraCrypt можно с официального сайта https://veracrypt.codeplex.com/ ) вам будет предложен выбор — Install или Extract. В первом случае программа будет установлена на компьютер и интегрирована с системой (например, для быстрого подключения зашифрованных контейнеров, возможности шифрования системного раздела), во втором — просто распакована с возможностью использования как portable-программы.

Следующий шаг установки (в случае если вы выбрали пункт Install) обычно не требует каких-либо действий от пользователя (по умолчанию установлены параметры — установить для всех пользователей, добавить ярлыки в Пуск и на рабочий стол, ассоциировать файлы с расширением .hc с VeraCrypt).

Сразу после установки рекомендую запустить программу, зайти в меню Settings — Language и выбрать там русский язык интерфейса (во всяком случае, у меня он не включился автоматически).

Инструкция по использованию VeraCrypt

Как уже было сказано, VeraCrypt может использоваться для задач создания зашифрованных файловых контейнеров (отдельный файл с расширением .hc, содержащий необходимые файлы в зашифрованном виде и при необходимости монтируемый в системе как отдельный диск), шифрования системных и обычных дисков.

Чаще всего используется первый вариант шифрования для хранения конфиденциальных данных, начнем с него.

Создание зашифрованного файлового контейнера

Порядок действий по созданию зашифрованного файлового контейнера будет следующим:

Нажмите кнопку «Создать том».
Выберите пункт «Создать зашифрованный файловый контейнер» и нажмите «Далее».
Выберите «Обычный» или «Скрытый» том VeraCrypt. Скрытый том — специальная область внутри обычного тома VeraCrypt, при этом устанавливается два пароля, один на внешний том, второй — на внутренний. В случае, если вас вынудят сказать пароль на внешний том, данные во внутреннем томе будут недоступны и при этом извне нельзя будет определить, что существует также скрытый том. Далее рассматривается вариант создания простого тома.

Укажите путь, где будет хранится файл контейнера VeraCrypt (на компьютере, внешнем накопителе, сетевом диске). Вы можете указать любое разрешение для файла или вообще не указывать его, но «правильное» расширение, которое ассоциируется с VeraCrypt — .hc
Выберите алгоритм шифрования и хеширования. Основное здесь — алгоритм шифрования. В большинстве случаев, достаточно AES (причем это будет заметно быстрее других вариантов, если процессор поддерживает аппаратное шифрованием AES), но можно использовать и несколько алгоритмов одновременно (последовательное шифрование несколькими алгоритмами), описания которых можно найти в Википедии (на русском языке).
Задайте размер создаваемого зашифрованного контейнера.

Укажите пароль, следуя рекомендациям, которые представлены в окне задания паролей. При желании, вы можете задать вместо пароля любой файл (пункт «Ключ. Файлы», будет использован в качестве ключа, могут использоваться смарт-карты), однако при потере или повреждении этого файла, получить доступ к данным не получится. Пункт «Использовать PIM» позволяет задать «Персональный умножитель итераций», влияющий на надежность шифрования прямо и косвенно (при указании PIM, его потребуется вводить в дополнение к паролю тома, т.е. взлом перебором усложняется).
В следующем окне задайте файловую систему тома и просто перемещайте указатель мыши по окну, пока не заполнится строка прогресса внизу окна (или не станет зеленой). В завершение нажмите «Разметить».

По завершении операции вы увидите сообщение о том, что том VeraCrypt был успешно создан, в следующем окне достаточно нажать «Выход».

Следующий шаг — смонтировать созданный том для использования, для этого:

В разделе «Том» укажите путь к созданному файловому контейнеру (нажав кнопку «Файл»), выберите из списка букву диска для тома и нажмите кнопку «Смонтировать».
Укажите пароль (предоставьте ключевые файлы при необходимости).
Дождитесь окончания монтирования тома, после чего он отобразится в VeraCrypt и в виде локального диска в проводнике.

При копировании файлов на новый диск они будут шифроваться «на лету», равно как и расшифровываться при доступе к ним. По окончании работы, выберите том (букву диска) в VeraCrypt и нажмите «Размонтировать».

Примечание: при желании, вместо «Смонтировать» вы можете нажать «Автомонтирование», для того чтобы в будущем зашифрованный том подключался автоматически.

Шифрование диска (раздела диска) или флешки

Шаги при шифровании диска, флешки или другого накопителя (не системного) будут теми же самыми, но на втором шаге потребуется выбрать пункт «Зашифровать несистемный раздел/диск», после выбора устройства — указать, отформатировать диск или зашифровать с уже имеющимися данными (займет больше времени).

Следующий отличающийся момент — на завершающем этапе шифрования в случае выбора «Отформатировать диск», потребуется указать, будут ли использоваться файлы более 4 Гб на создаваемом томе.

После того, как том будет зашифрован, вы получите инструкцию по дальнейшему использованию диска. Доступа по прежней букве к нему не будет, потребуется настроить автомонтирование (при этом для разделов диска и дисков достаточно просто нажать «Автомонтирование», программа сама их найдет) или же смонтировать таким же способом, как был описан для файловых контейнеров, но нажмите кнопку «Устройство» вместо «Файл».

Как зашифровать системный диск в VeraCrypt

При шифровании системного раздела или диска, пароль будет требоваться еще до загрузки операционной системы. Будьте очень внимательны, используя эту функцию — в теории можно получить систему, которую невозможно загрузить и единственным выходом окажется переустановка Windows.

Примечание: если при начале шифрования системного раздела вы увидите сообщение «Похоже, Windows не установлена на диске, с которого она загружается» (а на самом деле это не так), скорее всего дело в «по особому» установленной Windows 10 или 8 с шифрованным EFI разделом и зашифровать системный диск VeraCrypt не получится (в начале статьи уже рекомендовал BitLocker для этой цели), хотя для некоторых EFI-систем шифрование успешно работает.

Шифрование системного диска проходит тем же образом, что и простого диска или раздела, за исключением следующих моментов:

При выборе шифрования системного раздела, на третьем этапе будет предложен выбор — шифровать весь диск (физический HDD или SSD) или только системный раздел на этом диске.
Выбор одиночной загрузки (если установлена только одна ОС) или мультизагрузки (если их несколько).
Перед шифрованием вам будет предложено создать диск восстановления на случай повреждения загрузчика VeraCrypt, а также при проблемах с загрузкой Windows после шифрования (можно будет загрузиться с диска восстановления и полностью расшифровать раздел, приведя его в исходное состояние).

Будет предложено выбрать режим очистки. В большинстве случаев, если вы не храните очень страшных секретов, достаточно выбрать пункт «Нет», это значительно сэкономит вам время (часы времени).
Перед шифрованием будет выполнен тест, позволяющий VeraCrypt «убедиться», что все будет работать правильно.
Важно: после нажатия кнопки «Тест» вы получите очень подробную информацию по тому, что будет происходить дальше. Рекомендую очень внимательно все прочитать.

После нажатия «Ок» и после перезагрузки вам потребуется ввести заданный пароль и, если все прошло успешно, после входа в Windows вы увидите сообщение о том, что Пре-тест шифрования пройден и все, что останется сделать — нажать кнопку «Шифровать» и дождаться завершения процесса шифрования.

Если в дальнейшем вам потребуется полностью расшифровать системный диск или раздел, в меню VeraCrypt выберите «Система» — «Перманентно расшифровать системный раздел/диск».

Я ищу, чтобы зашифровать мой жесткий диск ОС, и VeraCrypt привлек мое внимание как хороший вариант.

Я попытался зашифровать свой диск вместе с ним, а полученная зашифрованная система занимает около минуты, чтобы расшифровать. Это время неприемлемо для меня. Я могу посвятить ему около 10 секунд.

After a little bit of research, I found out that one critical parameter can be changed to achieve faster timings — PIM

Я пытался понять, что такое такое, но я не мог.

Я полагаю, что все читатели здесь знакомы с AES-256, но на всякий случай — считается практически (а также теоретически) невозможным переборку этого шифрования .

Так почему мне действительно нужны эти дополнительные хэширующие раунды, которые сильно меня замедляют?

Я ищу только практические причины, я не забочусь о некоторых невероятных вычислительных силах, которые могут быть использованы для взлома моей системы.

Меня волнует правительственная вычислительная сила.

Известное ПО для шифрования с открытым исходным кодом VeraCrypt было обновлено до версии 1.19. Обновленную версию продукта можно скачать здесь. В новом релизе были закрыты существенные уязвимости, выявленные в результате проведенного аудита исходного кода VeraCrypt, который был осуществлен специалистами Quarkslab. Специалистами было обнаружено 8 критических уязвимостей, 3 уязвимости среднего уровня опасности и еще 15 уязвимостей низкого уровня опасности.

Quarkslab made a security assessment of VeraCrypt 1. 18. The audit was funded by OSTIF and was performed by two Quarkslab engineers between Aug. 16 and Sep. 14, 2016 for a total of 32 man-days of study. A critical vulnerability, related to cryptography, has been identified. It has been introduced in version 1.18, and will be fixed in version 1.19.

VeraCrypt представляет из себя ПО для шифрования файлов на лету и является ответвлением (форком) от другого известного ПО для шифрования под названием TrueCrypt, поддержка которого была прекращена еще в 2014 г. Поддержка VeraCrypt осуществляется французским программистом Mounir Idrassi.

Исправлению подверглось как само ПО, так и та его часть, которая относится к загрузчику ОС (bootloader). Следующие уязвимости были исправлены в версии 1.19.

— Полностью удалена настройка шифрования по стандарту GOST 28147-89.
— Удалена поддержка библиотек XZip и XUnzip, вместо них VeraCrypt использует более безопасные библиотеки libzip.
— Исправлена уязвимость в загрузчике (bootloader), которая позволяла атакующему вычислять длину пароля.
— Исправлена уязвимость в коде загрузчика, которая позволяла оставлять в памяти BIOS Data Area введенный пользователем пароль, что могло быть использовано атакующими.
— Исправлена аналогичная уязвимость, которая позволяла оставлять конфиденциальные данные загрузчика в памяти, не удаляя их должным образом. Уязвимость может позволить атакующим получить доступ к новому паролю пользователя при его изменении со старого.
— Исправлена уязвимость в загрузчике, которая относится к типу memory-corruption и присутствует в коде библиотеки XUnzip при обработке архивов VeraCrypt Recovery Disk. Уязвимость устранена путем прекращения поддержки XUnzip и переходом на libzip.
— Исправлена уязвимость в загрузчике, которая приводила к разыменованию нулевого указателя,

С полной версией отчета о проделанном аудите можно ознакомиться здесь.

be secure.

Функция VeraCrypt PIM — действительно ли это необходимо?

PIM VeraCrypt не требуется, если вы используете достаточно надежный пароль.

С точки зрения непрофессионала, PIM VeraCrypt определяет, сколько раз ваш пароль хешировался перед использованием для расшифровки диска.

Если быть точным, каждый том VeraCrypt шифруется с использованием случайного мастер-ключа. Ваш пароль используется в качестве основы для расшифровки главного ключа: то, что фактически расшифровывает главный ключ, является результатом функции получения ключа, которая принимает ваш пароль в качестве ввода. Эта функция вывода ключа повторяет вычисление внутреннего хэширования несколько раз в зависимости от PIM.

Из руководства VeraCrypt :

When a PIM value is specified, the number of iterations is calculated as follows:
For system encryption that doesn’t use SHA-512 or Whirlpool: Iterations = PIM x 2048
For system encryption that uses SHA-512 or Whirlpool, non-system encryption and file containers: Iterations = 15000 + (PIM x 1000)

PIM VeraCrypt увеличивает как время, необходимое вам для расшифровки диска, так и время, которое требуется злоумышленнику для взлома вашего пароля. 4 ~ (1000 * 1001) / 2). На мой взгляд, это контрпродуктивно, потому что вам нужно запомнить примерно одинаковое количество символов с добавленной неприятностью увеличения времени расшифровки.

Все вышеперечисленное не связано с AES, который является симметричным шифром, используемым для дешифрования тома VeraCrypt после получения случайного мастер-ключа.

Как зашифровать файл без возможности взлома полицией

Безопасность информации является трендом уже не первое десятилетие. А в 2020 году это еще более актуальная тема. Множественные утечки информации заставляют нас переосмыслить ценность информации и позаботится о ее сохранности. Преследования тоталитарным режимом советской россии свободомыслящих граждан случаются на каждом шагу. И как правило главной доказательной базой является содержимое жесткого диска подозреваемого. Частенько этот диск шифруется средствами на подобии VeraCrypt но не все знают что этот софт тоже имеет свои недостатки. И сегодня мы раскажем как зашифровать файл без возможности востановления органами следствия.

Как взломать зашифрованый диск или контейнер?

Эта статья не о том, как ломать криптоконтейнеры. Однако, если ты не знаешь, как станут действовать эксперты, пытающиеся получить доступ к зашифрованным данным, будет трудно понять смысл описанных действий.

Действия эксперта в лаборатории зависят от того, что именно и каким именно образом изъято при обыске.

Стандартные методы взлома зашифрованых контейнеров

Самый типичный случай — изъятие внешних накопителей целиком; компьютеры выключаются и также изымаются целиком, но в лабораторию к эксперту попадает не целый компьютер в сборе, а только извлеченные из него диски.

Подобный сценарий — тот самый случай, противостоять которому так долго готовились разработчики всех криптоконтейнеров без исключения. Лобовые атаки на криптоконтейнеры малоэффективны, а на некоторые их разновидности (в частности, загрузочные разделы, зашифрованные в режиме TPM или TPM + ключ) неэффективны абсолютно.

В типичном случае эксперт попытается сначала проанализировать файлы гибернации и подкачки. Если пользователь пренебрег настройками безопасности криптоконтейнера (кстати, при использовании BitLocker эти настройки далеко не очевидны), то ключи шифрования спокойно извлекаются из этих файлов, а зашифрованные тома расшифровываются без длительных атак. Разумеется, в ряде случаев эта атака не сработает. Она будет бесполезна, если выполнено хотя бы одно из описанных ниже условий.

1. Загрузочный диск зашифрован.

В этом случае и файл подкачки, и файл гибернации будут также зашифрованы. Например, если для шифрования загрузочного раздела используется BitLocker (это имеет смысл, даже если остальные данные зашифрованы в контейнерах VeraCrypt), то Microsoft подробно описывает модель безопасности в FAQ и BitLocker Security FAQ (раздел What are the implications of using the sleep or hibernate power management options?). Кстати, из этого правила есть исключения — например, если файл подкачки вынесен на отдельное от загрузочного устройство (довольно распространенный случай для пользователей, которые таким образом «экономят» ресурс загрузочного SSD).

2. Компьютер был выключен штатным образом

(через команду Shutdown) или был изъят в состоянии гибридного сна либо гибернации; при этом криптоконтейнер настроен таким образом, чтобы автоматически размонтировать зашифрованные тома и уничтожать ключи шифрования в оперативной памяти при переходе компьютера в сон, гибернацию или при его отключении.

Немного сложно для восприятия? Упрощу: если в момент изъятия зашифрованный том был смонтирован, а полиция просто выдернула вилку из розетки, то ключ шифрования, скорее всего, останется в файле гибернации (удастся ли его оттуда вытащить — зависит от пункта 1). А вот если компьютер выключили командой Shutdown, то наличие или отсутствие ключа будет зависеть от настроек криптоконтейнера. О том, как правильно настроить VeraCrypt, мы поговорим дальше.

3. Наконец, очевидное:

анализ файлов подкачки и гибернации совершенно бесполезен, если в момент изъятия компьютера зашифрованный том не был подмонтирован.

Если извлечь ключи шифрования не удается, эксперт поищет их в облаке или корпоративной сети (для томов, зашифрованных штатными средствами BitLocker или FileVault 2). Только после этого в ход пойдет лобовая атака — перебор паролей.

С перебором паролей тоже непросто. Во-первых, давно прошли времена, когда под «лобовой атакой» понимался простой брутфорс. Скорость атаки будет такой, что полный перебор всего пространства паролей становится бесполезен, если длина пароля к криптоконтейнеру превышает 7–8 символов. Соответственно, для атак используются словари, в первую очередь — словари, составленные из паролей самого пользователя (извлечь их можно как из компьютера пользователя, так и из его мобильных устройств или напрямую из облака Google Account). Давно разработаны методы анализа паролей и составления правил-шаблонов, на основе которых будут генерироваться «похожие» пароли.

Для атаки в полиции будут использовать один из немногих пакетов программ, позволяющих запустить атаку на множестве (в теории — до нескольких тысяч, в реальности — порядка сотен) компьютеров, каждый из которых будет оснащен несколькими графическими ускорителями. Звучит неправдоподобно? Тем не менее во время тренингов для полиции в разных частях земного шара я видел помещения с компьютерами, использующимися для распределенных атак. Могу сказать о них следующее. Создателей фантастических фильмов в эти помещения, очевидно, не пускают, поэтому на экранах кинотеатров нам приходится наблюдать жалкие плоды убогой фантазии. Просто чтобы обозначить масштаб, поделюсь поразившим меня фактом: на рабочих столах полицейских экспертов одного британского захолустья стоят компьютеры с GeForce 2080 и 40 процессорными ядрами.

Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.

Дальше опробуют атаку с мутациями (берется слово из словаря, и проверяются его варианты, составленные по довольно простым правилам, которыми пользуется подавляющее большинство обычных пользователей). Кстати, на мутациях обычно и заканчиваются попытки атак в тех случаях, когда у полиции нет зацепок — не удалось получить ни одного пароля пользователя.

Если это не сработает, в ход пойдут маски (попытки вручную сконструировать пароли, «похожие» на те, которые были найдены у пользователя).

В особо сложных случаях дело дойдет до гибридных атак (использование комбинаций из одного или двух словарей в комбинации со скриптованными правилами, масками и/или префиксами).

Нестандартные методы взлома шифрования

Нестандартно действовать полиция начинает в редких случаях, когда у подозреваемого заранее предполагается наличие зашифрованных «цифровых улик». В этом случае вместе с оперативниками выезжают подготовленные эксперты, которые проконтролируют изъятие и попытаются исследовать включенные, работающие компьютеры прямо на месте. Эксперт попробует сделать следующее.

Получить доступ к рабочему столу компьютера. Здесь все понятно и известно.
Сделать дамп оперативной памяти компьютера. Это возможно, если удалось получить доступ к рабочему столу (кстати, в случае с многопользовательскими компьютерами для этого можно взять любую административную учетную запись), но не обязательно: например, заслуженной популярностью пользуется атака через DMA, которая обрела второе дыхание после выхода компьютеров с поддержкой технологии Thunderbolt через порт USB-C.
Наконец, в особо сложных случаях может использоваться криогенная атака. О ее редкости и экзотичности говорит тот факт, что за все время работы я не встретил ни одного эксперта, который делал бы такой анализ на практике.

На что влияет выбор алгоритма шифрования

Еще во времена TrueCrypt пользователям предлагался выбор из нескольких разных алгоритмов шифрования, в том числе несколько вариантов с последовательным шифрованием данных сначала одним, а потом другим алгоритмом. В VeraCrypt выбор существенно расширился. Теперь предлагается пять алгоритмов (AES, Serpent, Twofish, Camellia и «Кузнечик») и десять вариантов их последовательного использования.

Патриотам, желающим воспользоваться алгоритмом шифрования отечественной разработки «Кузнечик», рекомендую ознакомиться с информацией о странностях в таблицах перестановки, которые однозначно указывают на существование намеренно оставленного «черного хода».

Средний пользователь VeraCrypt не понимает как зашифровать файл правильно и чем отличаются алгоритмы, не интересуется подробностями, но считает, что если выбрать цепочку из двух, а еще лучше трех алгоритмов, то он точно будет защищен и от закладок спецслужб, и от уязвимостей самих алгоритмов.

Правда же заключается в том, что достаточно будет использовать самый известный и простой с вычислительной точки зрения алгоритм. Тот самый AES, который используется всеми — от детей, скачивающих на телефон новую игру, до финансовых воротил и самых что ни на есть специальных спецслужб. За десятилетия повсеместного использования и массовых исследований этот алгоритм так и не взломали, секретных черных ходов не нашли.

На что же на самом деле влияет выбор алгоритма шифрования? Еще одна грустная правда: только и исключительно на скорость доступа к зашифрованным данным.

Шифрование алгоритмом AES использует встроенные в современные процессоры (начиная от самых дешевых ядер ARMv8 и заканчивая даже очень старыми процессорами Intel и AMD) команды для аппаратного ускорения шифрования. Другие алгоритмы тоже могут применять эти команды. Но AES пользуются все, а другими алгоритмами — не все, поэтому их оптимизация оставляет желать лучшего. Самый оптимизированный алгоритм шифрования Camellia уступает AES в скорости шифрования в полтора раза, Twofish уступает AES в три, Serpent — в четыре, а Кузнечик — в четыре с половиной раза. Комбинированные варианты работают еще медленнее, не предоставляя при этом никакой дополнительной безопасности.

Итак, выбор отличного от AES алгоритма шифрования не может улучшить безопасность зашифрованных данных, а вот ухудшить — запросто. А что может улучшить?

Выбор хеш-функции и числа итераций

Для того чтобы зашифровать (ну, и расшифровать тоже) любые данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика») берется двоичный ключ фиксированной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Каким именно образом твой пароль (наверняка очень длинный и безопасный) превращается в MEK фиксированной длины? Откровенно говоря, никаким. Media Encryption Key для единожды созданного контейнера неизменен; он хранится в зашифрованном (точнее сказать, «обернутом», wrapped) виде прямо в составе контейнера, а в «развернутом» виде используется для доступа к данным.

Ключ шифрования данных MEK в обязательном порядке шифруется (прости за тавтологию) ключом шифрования ключа шифрования Key Encryption Key (KEK). Без KEK невозможно расшифровать MEK, а без MEK невозможно расшифровать данные. Для чего нужна такая сложная схема? Хотя бы для того, чтобы ты мог сменить пароль от криптоконтейнера без обязательной расшифровки и перешифровки всего содержимого. Однако роль пары ключей MEK/KEK этим сценарием не ограничивается. Так, достаточно будет затереть несколько десятков байтов в заголовке контейнера (перезаписав область, в которой хранится MEK), и контейнер никто и никогда больше расшифровать не сможет, даже если точно известен пароль. Возможность моментального и безвозвратного уничтожения данных — важная часть общей стратегии безопасности.

Итак, с парой ключей MEK/KEK разобрались. Каким образом из пароля получается ключ KEK? VeraCrypt проводит циклическую последовательность односторонних (это важно) математических преобразований — хеш-функций, причем количество циклов достаточно велико: по умолчанию преобразование выполняется 500 000 раз. Таким образом, с настройками «по умолчанию» на вычисление одного-единственного ключа KEK на основе введенного пароля VeraCrypt потратит от одной до пяти-шести секунд.

Здесь наступает важный момент. Помнишь, чуть выше я разобрал скорость работы алгоритмов шифрования и порекомендовал использовать AES как самый распространенный и самый быстрый вариант? Так вот, с выбором хеш-функции все обстоит с точностью до наоборот: тебе нужен самый нестандартный и самый медленный алгоритм.

В VeraCrypt доступен выбор из четырех хеш-функций: дефолтный SHA-512 (он достаточно медленный и достаточно безопасный, но дефолтный, что для нас минус), еще более медленный и тоже хорошо изученный Whirlpool, старенький SHA-256, который все еще безопасен, но смысла в использовании которого я не вижу, и «темная лошадка» «Стрибог», который в бенчмарке медленнее всех.

Впрочем, от использования хеш-функции «Стрибог» надежно отвращают слова из Википедии: «Разработан Центром защиты информации и специальной связи ФСБ России с участием ОАО „ИнфоТеКС“ на основе национального стандарта Российской Федерации ГОСТ Р 34.11—2012 и введен в действие с 1 июня 2019 года приказом Росстандарта № 1060-ст от 4 декабря 2018 года», а также некоторые тривиальные ошибки и найденные независимыми исследователями странности в таблицах перестановки.

Как правильно настроить преобразование пароля в ключ шифрования KEK? Вот три основных пункта.

Не используй выбор по умолчанию. Весь софт для взлома криптоконтейнеров без исключений настроен на атаки с настройками «по умолчанию». У эксперта будет выбор настроек (по умолчанию, выбрать конкретную комбинацию параметром или пробовать все комбинации). Атака «по умолчанию» будет самой быстрой, вариант «пробовать все комбинации» — катастрофически медленным, а попытаться выбрать правильную комбинацию параметров шифрования вручную — все равно, что вручную подбирать пароль.
Выбери самую медленную хеш-функцию (но не «Стрибог»). Да, с медленной хеш-функцией, да еще и отличной от «выбора по умолчанию», твой криптоконтейнер будет монтироваться не одну, а пять-шесть секунд — но и стойкость к атаке вырастет в те же пять-шесть раз (а с учетом «выбора не по умолчанию» — еще сильнее).
Измени число итераций. Об этом ниже.

Итак, с настройками по умолчанию разобрались, с выбором хеш-функции определились. Однако есть еще один важнейший параметр, скрывающийся за малозаметной галочкой Use PIM. Что за PIM такой и зачем он нужен?

PIM (Personal Iterations Multiplier) напрямую влияет на количество итераций, которые будут использованы для преобразования твоего пароля в ключ шифрования KEK. Согласно документации, VeraCrypt вычисляет количество итераций (число преобразований) по формуле 15000 + (PIM · 1000). Для хеш-функций SHA-512 и Whirlpool значение PIM по умолчанию 485, что дает нам ровно 500 000 итераций.

Для чего нужен этот параметр? Дело в том, что вычислительные мощности, в том числе и у тех, кто будет взламывать твой криптоконтейнер, постоянно растут. Защита, эффективная двадцать лет назад, сегодня уже не кажется такой непробиваемой. Однако в случае с VeraCrypt ты можешь легко и изящно повысить стойкость защиты сколь угодно сильно, просто увеличив число итераций. Да, увеличение числа итераций (через кастомное значение PIM) немного снизит удобство использования (при монтировании криптоконтейнера тебе придется, помимо пароля, вводить еще и число PIM), несколько замедлится скорость монтирования. Поверь, однако, что любое, самое незначительное изменение PIM означает сильнейшую головную боль у любого, кто вздумает подобрать пароль.

Насколько сильно изменение PIM повлияет на скорость монтирования криптоконтейнера? Вот время с настройками PIM по умолчанию.

А вот я изменил PIM на значение 500 (с дефолтных 485).

А тут я использовал PIM, равный 1000.

Цифры отнюдь не запредельные: подождать при монтировании зашифрованного тома лишние секунды несложно, а вот у того, кто будет пытаться подобрать пароль к тому, возникнет масса проблем. Общий алгоритм работы взломщиков будет выглядеть так.

Сначала попробуют все возможные атаки со стандартными настройками. Это — время, часто существенное.
Если понятно, что значение PIM нестандартное, а число PIM точно известно, атака будет вестись сразу с корректной настройкой. При этом увеличение PIM с 485 до 1000 увеличит время, необходимое для атаки, примерно вдвое. Так себе повышение безопасности, но лучше, чем ничего.
А вот если значение PIM атакующему неизвестно, то атаку придется проводить для всего ряда значений PIM. То есть если ты выставишь значение PIM = 1000, то КАЖДЫЙ вариант пароля атакующему придется проверять со значениями PIM = 1, 2, 3, …, 1000 (или 485, 486, 487, …, 1000, если атакующий убежден, что значение PIM ты не уменьшал, а исключительно увеличивал). Иными словами, сложность атаки возрастает кратно значению (твой PIM — 485), если атакующий использует только варианты, превышающие значение по умолчанию, либо в (твой PIM) раз, если атакующий решит перебирать всю область значений PIM.

Логичный вопрос: разве увеличение длины пароля на два-три знака из расширенного набора символов не даст схожий (и даже лучший) результат? Если подходить с чисто вычислительной точки зрения, то даст. Реальность же такова, что большая часть атак проводится с настройками по умолчанию; программы, способные использовать атаки с нестандартным значением PIM, можно пересчитать по пальцам одной руки, а программ, которые способны автоматизировать атаки с кастомным рядом значений PIM, и того меньше.

Рассмотрим скриншот свежей сборки Elcomsoft Distributed Password Recovery с поддержкой VeraCrypt (кстати, даже не вышедшей еще официально).

На нем мы видим атаку в стандартной конфигурации: алгоритм шифрования AES, хеш-функция — SHA-512. Никаких сюрпризов. Скорость атаки — 170 паролей в секунду (это с загрузкой всех ядер процессора и с использованием вычислительных ресурсов видеокарты; без видеокарты мы бы увидели скорость порядка 0,5 пароля в секунду).

Но если ты сменишь хеш-функцию, то такой атакой, как показана на первом скриншоте, пароль найти не получится. Соответственно, будет применяться вторая атака — уже по всему спектру алгоритмов шифрования и хеш-функций.

Что мы видим на втором скриншоте? Во-первых, скорость перебора резко упала до одного пароля в секунду — это с использованием GPU-ускорителя.

А чего мы не видим на втором скриншоте? Мы не видим возможности провести атаку на число итераций PIM. Число итераций PIM в большинстве программ для взлома паролей можно указать вручную. Таким образом, нестандартное число итераций сделает атаку неэффективной: даже если твой пароль — 123, найти его не получится, не указав точного числа итераций.

Разумеется, если есть проблема, для нее найдется и решение. В свежей бете небезызвестного инструмента hashcat заявлены два любопытных параметра: --veracrypt-pim-start и --veracrypt-pim-stop (commit с изменением). А что будет со скоростью перебора? Если неизвестны точные параметры шифрования (комбинация из алгоритма шифрования и хеш-функции), то скорость перебора уже достаточно низкая: всего один пароль в секунду на компьютере с аппаратным ускорителем GPU. А теперь подели эту цифру на количество возможных вариантов PIM, и получишь исключительно медленный перебор. В реальности же перебор будет еще медленнее: если с низкими значениями PIM проверка пароля займет доли секунды, то большое число итераций замедлит перебор в несколько раз по сравнению со стандартным значением.

Как зашифровать файл ключа шифрования

Итак, мы выбрали шифрование AES, хеш-функцию Whirlpool, а число итераций выставили скромненько 1111 (чтоб и нестандартно, и не забыть случайно). Это полностью защитит контейнер от атаки на пароль, но, как мы помним из начала статьи, полиция может вообще не устраивать такую атаку, если сможет просто вытащить ключ шифрования из твоего компьютера.

Взять готовый ключ шифрования и с его помощью смонтировать (или расшифровать целиком) зашифрованный раздел — любимый и самый быстрый способ, которым пользуется полиция. Суть его заключается в следующем.

Как ты знаешь, для того чтобы зашифровать (и расшифровать) данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика») используется двоичный ключ фиксированной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Ты уже в курсе, каким сложным образом твой пароль (наверняка очень длинный и безопасный) превращается в ключ фиксированной длины. Дело сейчас не в этом.

Логично, что ключ шифрования данных (MEK) хранится в оперативной памяти компьютера. Это необходимо для того, чтобы программа-криптоконтейнер могла получить доступ к зашифрованным данным в принципе. Обрати внимание: ключ шифрования хранится в оперативной памяти совершенно независимо от того, какой алгоритм шифрования ты выбрал в настройках контейнера. AES, Twofish, Serpent, «Кузнечик» или любая комбинация алгоритмов — независимо от твоего выбора, ключи шифрования будут храниться в оперативной памяти, а сложность и скорость их извлечения практически одинакова.

Таким образом, сложность этой атаки мало зависит как от выбора алгоритма шифрования, так и от способа преобразования твоего пароля в двоичный ключ. Максимум, чего удастся добиться нестандартными настройками, — это увеличение времени поиска ключа в образе оперативной памяти, условно говоря, с десяти-пятнадцати минут до полутора-двух часов (цифры условные: многое зависит как от объема оперативной памяти компьютера, с которого делался дамп, так и от скорости накопителя и центрального процессора, где этот дамп анализируется).

Можно ли защититься от подобных атак? Полноценная защита от извлечения ключей шифрования из оперативной памяти компьютера достаточно сложна, а на обычном десктопе может и вовсе оказаться невозможной (противостоять криогенной атаке вообще достаточно тяжело, но и вероятность ее применения исчезающе мала). В то же время ты можешь включить в настройках VeraCrypt недавно появившуюся возможность шифрования ключей шифрования в оперативной памяти компьютера.

Обрати внимание: настройка доступна начиная с VeraCrypt 1.24 (на момент написания статьи актуальна сборка 1.24 Update 4). По умолчанию опция выключена; если ее включить, использование оперативной памяти драйвером увеличится примерно на 10%, производительность упадет на 5–15% (источник), а также будет отключена возможность гибернации.

Но это только часть защиты. В файл подкачки или файл гибернации также могут попасть и сами данные, которые хранятся в зашифрованном контейнере, а встроенная в VeraCrypt функция отключения гибернации может не сработать. По-хорошему также необходимо отключить ее на уровне Windows. Опции Hybrid sleep и, собственно, Hibernation.

Обрати также внимание на режим «быстрой загрузки» (Fast Startup) на первом скриншоте. В этом режиме (по умолчанию он, кстати, включен) при выключении компьютера Windows сохраняет состояние ядра в файл на системном диске. Этот файл – в некотором роде урезанный (без user space) аналог файла гибернации. Его наличие позволяет ускорить процесс последующей загрузки, но оно же приводит к возможности утечки ключа шифрования томов VeraCrypt. Отключение режима Fast Startup поможет защититься от этой уязвимости.

Если же жертвовать режимом гибернации не хочется, то стоит подумать о шифровании системного диска с помощью того же BitLocker’а. В этом случае и файл подкачки, и файл гибернации будут надежно защищены.

Облако и ключи восстановления доступа

Для VeraCrypt этот момент не критичен, но BitLocker по умолчанию предлагает пользователю сохранить ключ восстановления доступа к зашифрованному диску в облако OneDrive. Если его удастся оттуда извлечь (а полиции обычно удается, достаточно сделать запрос в Microsoft), то расшифровка данных становится тривиальной. Атака сработает и в том случае, если ты сохранишь подобный ключ на USB-накопителе, доступ к которому получит полицейский эксперт или злоумышленник. Иными словами, ключи восстановления доступа — палка о двух концах, и с точки зрения чистой безопасности лучше их не иметь, чем иметь.

Заключение

Надеюсь, я смог изменить твои представления о безопасности криптоконтейнеров в целом и VeraCrypt в частности. Вооружившись новыми знаниями мы поняли как зашифровать файл и ты сможешь создавать зашифрованные контейнеры, обладающие на несколько порядков более высокой стойкостью к парольным атакам. Кроме того, использование недавно появившихся малоизвестных настроек безопасности позволит тебе защититься и от излюбленных атак на оперативную память, файлы подкачки и гибернации. В то же время разработчики VeraCrypt не гарантируют безопасность любых данных, попадающих в оперативную память компьютера, так что речь идет скорее не о стопроцентной защите, а о существенном осложнении соответствующих атак с не менее существенным снижением их эффективности и вероятности успешно вскрыть зашифрованный том.

Click to rate this post!

[Total: 11 Average: 5]

Настройка зашифрованного диска с OC Windows с помощью VeraCrypt

Инструкция по настройке шифрования виртуального диска с установленной на нем операционной системой семейства Windows с помощью программы VeraCrypt.

Важно: при шифровании диска с операционной системой также будет зашифрована утилита OVM Tools, необходимая для полноценной работы виртуального сервера.
Мы рекомендуем использовать эту методику шифрования только при крайней необходимости, т.к. она влечет за собой некоторые трудности в эксплуатации виртуального сервера:
— обязательно выключение сервера По питанию через панель управления;
— невозможно изменение конфигурации сервера через панель управления;
— невозможно управлять сервером через гипервизор.

Что это такое?

VeraCrypt используется для шифрования систем и разделов, что обеспечивает повышенную безопасность данных, находящихся на них, защищает от взлома и кибератак.

Настройка шифрования диска

Установка VeraCrypt не сложная и описана здесь.

Примечание: изменить язык рабочего интерфейса можно с помощью меню Settings → Language.

В главном окне приложения выберете Создать том.

Выберете Зашифровать раздел или весь диск с системой, для шифрования диска или раздела, на котором установлена операционная система.

В качестве типа шифрования мы выберете Обычный.

Далее необходимо выбрать область шифрования, можно зашифровать как весь диск, так и только один раздел, на который установлена ОС. В нашем примере выбрано Зашифровать весь диск, так как в этом случае другие данные тоже будут зашифрованы.

Здесь вы можете выбрать любую опцию, на работу виртуального сервера в дальнейшем это никак не повлияет.

Так как на виртуальном сервере установлена только одна операционная система, то выберете Одиночная загрузка.

Далее выберете нужный алгоритм шифрования и хеширования.

Далее придумайте надежный Пароль и подтвердите его. В качестве дополнительных средств безопасности можно использовать ключ-файлы и сообщения PIM. Нажмите Далее.

Если ваш пароль будет короткий, то появится предупреждение. Вы можете нажать No и изменить пароль или нажать Yes и использовать короткий.

Для генерации случайного ключа водите по окну мышкой до тех пор пока полоса Собрано энтропии из перемещений мыши не будет заполнена. Нажмите Далее.

В результате ключи будут сгенерированы, но вы сможете просмотреть только их части.

Укажите путь до диска восстановление, подробно о нем написано в окне программы. Нажмите Далее.

Сохраните ISO-образ на флешке или внешнем диске, о том как пробросить диск по RDP читайте в нашей инструкции.

Выберете подходящий режим очистки (количество раз перезаписи данных), чем больше проходов, тем, соответственно, надежнее, но в несколько раз увеличивается время шифрации (возможно до нескольких недель).

Далее ждет пре-тест системы для проверки корректности работы. Нажмите Тест.

Прочитайте или распечатайте замечания разработчиков, о том как пробросить принтер читайте в нашей статье. Нажмите OK.

Потребуется перезагрузка виртуального сервера, выполните ее, нажав YES.

Начнется перезагрузка сервера. Перейдите в панель управления и откройте Web-консоль сервера, в которой будет необходимо ввести пароль и PIM. Перезагрузка может занять некоторое время. В поле Enter password введите ваш пароль и нажмите Enter, введите PIM и нажмите Enter, если вы его не создавали, то просто нажмите Enter.

Дальше начнется настройка вашего образа виртуальной машины, это не занимает много времени.

После перезагрузки снова подключитесь к виртуальному серверу, программа VeraCrypt будет открыта на нужном месте автоматически. Можно приступать к шифрации.

Начнется процесс шифрования, он может быть довольно длительным, например диск объемом 60Гб в режиме очистки 3 прохода был зашифрован за 2 часа. Вы можете отложить или приостановить шифрование, об этом написано в окне программы.

В результате вы увидите сообщение об успешной шифровании системного диска.

На этом виртуальный диск с операционной системой Windows зашифрован.

Напомним, что при использовании данного способа шифрования обязательно выключение сервера По питанию через панель управления. Теперь при включении сервера необходимо в Web-консоли вводить ваш пароль и дополнительные средства безопасности.

Расшифровка диска

Если в дальнейшем потребуется расшифровать диск, то выберете диск в списке и правой кнопкой мыши откройте контекстное меню → Расшифровать перманентно.

Если вы уверены, что хотите расшифровать диск, то нажмите Yes.

Начнется процесс дешифрации, который по времени занимает примерно сколько и шифрация.

В результате диск будет расшифрован, после чего потребуется перезагрузка сервера.

P. S. Другие инструкции:

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

Как с помощью VeraCrypt зашифровать весь жесткий диск

Для предотвращения несанкционированного доступа к системе и данным в Windows 7/10 предусмотрена возможность установки пароля, в том числе графического, однако такой способ защиты не может считаться сколь либо надежным. Пароль от локальной учетной записи легко может быть сброшен сторонними утилитами, а самое главное, ничто не мешает получить доступ к файловой системе, загрузившись с любого LiveCD со встроенным файловым менеджером.

Чтобы защитить свои данные по-настоящему, необходимо использовать шифрование. Для этого сгодится и встроенная функция BitLocker, но лучше воспользоваться сторонними программами. Долгое время наиболее предпочтительным приложением для шифрования данных был TrueCrypt, однако в 2014 году его разработчики свернули проект, заявив, что программа не является более безопасной. Вскоре, однако, работа над ним была возобновлена, но уже новой командой, да и сам проект получил новое имя. Так на свет появился VeraCrypt.

По сути, VeraCrypt это усовершенствованная версия TrueCrypt и именно эту программу мы предлагаем использовать для защиты вашей информации. В приведенном примере мы задействуем VeraCrypt «по максимуму», зашифровав с ее помощью весь жесткий диск с системным и пользовательским разделами. Такой способ шифрования имеет определенные риски – есть доля вероятности, пусть и очень небольшая, что система не сможет загрузиться, поэтому прибегать к нему советуем только тогда, когда это действительно вам нужно.

Установка и базовая настройка VeraCrypt

Процедура установки VeraCrypt ничем не отличается от инсталляции других программ, за одним лишь исключением. В самом начале вам будет предложено выбрать между режимами установки Install или Extract.

В первом случае программа будет внедрена в ОС, что позволит вам подключать зашифрованные контейнеры и шифровать сам системный раздел. Режим Extract просто распаковывает исполняемые файлы VeraCrypt, позволяя использовать его как портативное приложение. Часть функций, в том числе шифрование диска с Windows 7/10, при этом становится недоступной.

Сразу после запуска зайдите в меню Settings – Language, так как по умолчанию программа устанавливается на английском языке.

Шифрование диска

Несмотря на кажущуюся сложность задачи, все очень просто. Выберите в меню «Система» опцию «Зашифровать системный раздел/диск».

В открывшемся окне мастера в качестве метода выберите «Обычный» (этого достаточно), область шифрования – весь диск.

Далее вам нужно будет указать, нужно ли шифровать защищенные области диска. Если ваша система не OEM, можно выбрать «Да».

По завершении поиска скрытых секторов (процедура может занять продолжительное время), укажите число операционных систем и…

алгоритм шифрования (здесь все лучше оставить по умолчанию).

Примечание: если во время поиска скрытых секторов Windows перестанет отвечать, перезагрузите ПК принудительно и в следующий раз пропустите этот этап, выбрав «Нет».

Придумайте и введите в поля пароль.

Хаотично перемещая мышь, сгенерируйте ключ и нажмите «Далее».

На этом этапе программа предложит создать VRD – диск восстановления и записать его на флеш- или оптический носитель.

Далее внимательно следуем указаниям мастера. Режим очистки оставьте «Нет» – сэкономите несколько часов.

Когда на экране появится запрос на выполнение пре-теста шифрования системы, нажмите «Тест».

Потребуется перезагрузка компьютера. После включения ПК появится экран загрузчика VeraCrypt. Здесь вам нужно будет ввести придуманный пароль и PIM – количество итераций шифрования. Если вы раньше нигде не вводили PIM, просто нажмите ввод, значение опции будет установлено по умолчанию.

Спустя несколько минут Windows загрузится в обычном режиме, но при этом на рабочем столе появится окошко Pretest Completed – предварительное тестирование выполнено. Это означает, что можно приступать к шифрованию. Нажмите кнопку «Encrypt» и подтвердите действие.

Процедура шифрования будет запущена. Она может занять длительное время, все зависит от размера диска и его заполненности данными, так что наберитесь терпения и ждите.

Примечание: если на диске имеется шифрованный раздел EFI, что характерно для последних версий ПК, в начале шифрования вы можете получить уведомление «Похоже, Windows не установлена на диске…». Это означает, что зашифровать такой диск с помощью VeraCrypt не получится.

После того как все содержимое диска будет зашифровано, окно загрузчика VeraCrypt станет появляться каждый раз при включении компьютера и каждый раз вам нужно будет вводить пароль, другим способом получить доступ к зашифрованным данным нельзя. С расшифровкой диска все намного проще. Все, что вам нужно будет сделать, это запустить программу, выбрать в меню «Система» опцию «Перманентно расшифровать системный раздел/диск» и проследовать указаниям мастера.

История программы VeraCrypt — Бесплатные программы

История программы

VeraCrypt 1.23.2:

VeraCrypt теперь совместим со стандартной конфигурацией EFI SecureBoot для системного шифрования.
Исправлено проблемы шифрования системы EFI на некоторых компьютерах (например, HP, Acer).
Поддержка шифрования системы EFI на Windows LTSB.
Добавьте совместимость системного шифрования с обновлением Windows 10 с использованием механизма ReflectDrivers.
Добавлено параметр драйвера в пользовательском интерфейсе, чтобы явно разрешить дефрагментатору Windows 8.1 и Windows 10 видеть VeraCrypt зашифрованные диски.
Добавлено внутреннюю проверку встроенной подписи двоичных файлов, чтобы защитить от некоторых типов подделку атак.
Исправлено Secure Desktop не работал для избранных, установленных при входе в Windows 10 при некоторых обстоятельствах.
Когда Secure Desktop включен, используйте его для диалог «Параметры установки», если он отображается перед диалоговым окном пароля.
При извлечении файлов в режиме установки или в переносном режиме распакуйте zip-файлы docs.zip и Languages.zip, чтобы иметь возможность использовать конфигурацию.
Отобразите предупреждающее сообщение с подсказкой шара, когда текст, вставленный в поле пароля, длиннее максимальной длины, и поэтому он будет усечен.
Внедрено механизм выбора языка в начале установки, чтобы сделать его проще для международных пользователей.
Добавлено проверку размера контейнера файла во время создания, чтобы убедиться, что он меньше свободного места на диске.
Кнопки внизу не отображаются, когда пользователь устанавливает большой системный шрифт в окне 7.
Устранение проблем совместимости с некоторыми дисковыми драйверами, которые не поддерживают .IOCTL_DISK_GET_DRIVE_GEOMETRY_EX ioctl.

VeraCrypt 1.23:

VeraCrypt теперь совместим со стандартной конфигурацией EFI SecureBoot для системного шифрования.
Исправлено проблемы шифрования системы EFI на некоторых компьютерах (например, HP, Acer).
Поддержка шифрования системы EFI на Windows LTSB.
Добавьте совместимость системного шифрования с обновлением Windows 10 с использованием механизма ReflectDrivers.
Добавлено параметр драйвера в пользовательском интерфейсе, чтобы явно разрешить дефрагментатору Windows 8.1 и Windows 10 видеть VeraCrypt зашифрованные диски.
Добавлено внутреннюю проверку встроенной подписи двоичных файлов, чтобы защитить от некоторых типов подделку атак.
Исправлено Secure Desktop не работал для избранных, установленных при входе в Windows 10 при некоторых обстоятельствах.
Когда Secure Desktop включен, используйте его для диалог «Параметры установки», если он отображается перед диалоговым окном пароля.
При извлечении файлов в режиме установки или в переносном режиме распакуйте zip-файлы docs.zip и Languages.zip, чтобы иметь возможность использовать конфигурацию.
Отобразите предупреждающее сообщение с подсказкой шара, когда текст, вставленный в поле пароля, длиннее максимальной длины, и поэтому он будет усечен.
Внедрено механизм выбора языка в начале установки, чтобы сделать его проще для международных пользователей.
Добавлено проверку размера контейнера файла во время создания, чтобы убедиться, что он меньше свободного места на диске.
Кнопки внизу не отображаются, когда пользователь устанавливает большой системный шрифт в окне 7.
Устранение проблем совместимости с некоторыми дисковыми драйверами, которые не поддерживают .IOCTL_DISK_GET_DRIVE_GEOMETRY_EX ioctl.

VeraCrypt 1.22:

MBR Bootloader: Исправлена ошибка загрузки скрытой ОС на некоторых машинах.
MBR Bootloader: уменьшает загрузку процессора во время запроса пароля.
Улучшение безопасности: добавлено параметр для блокировки команды TRIM для системного шифрования на SSD-дисках.
Внедрено поддержку TRIM для несистемных накопителей SSD и добавлено параметр, чтобы включить его (TRIM отключен по умолчанию для несистемных томов).
Лучшее исправление ошибок «Параметр неверно» при шифровании системы EFI на некоторых машинах.
Драйвер: удалено ненужную зависимость от wcsstr, которая может вызвать проблемы на некоторых машинах.
Driver: Исправлено ошибку «Неправильный параметр» при установке тома на некоторых машинах.
Исправлено отказ в настройке избранных систем во время загрузки на некоторых машинах.
Исправлено текущее приложение, теряющее фокус, когда VeraCrypt запускается в командной строке с помощью переключателей / quit / silent.
Исправлено некоторые случаи замораживания внешних приложений во время монтажа / демонтажа.
Исправлено редкие случаи безопасного просмотра рабочего стола, который заставлял блокировать пользовательский интерфейс.
Обновлено libzip до версии 1.5.0 с исправлениями для некоторых проблем с безопасностью.
Расширено функции Secure Desktop в диалоговом окне ввода PIN-кода смарт-карты
Исправлено усеченный текст лицензии в мастере установщика.
Добавлено переносимый пакет, который позволяет извлекать двоичные файлы без запроса прав администратора.
Упрощено формат XML-файлов языка.
Обходной путь для случаев, когда диалог пароля не получает фокус клавиатуры, если Secure Desktop не включен.

VeraCrypt 1.21:

— Исправление ошибки 1.20 вызывает сбои при работе на процессоре, поддерживающем SSE2, но не SSSE3.
— Исправлена регрессия 1.20, которая заставляла значение PIM, сохраненное в избранных, игнорироваться во время монтирования.
— Исправьте некоторые случаи ошибки «Параметр неверно» во время шифрования EFI.

VeraCrypt 1.21:

— Исправление ошибки 1. 20 вызывает сбои при работе на процессоре, поддерживающем SSE2, но не SSSE3.
— Исправлена регрессия 1.20, которая заставляла значение PIM, сохраненное в избранных, игнорироваться во время монтирования.
— Исправьте некоторые случаи ошибки «Параметр неверно» во время шифрования EFI.

VeraCrypt 1.19:

— Удален алгоритм шифрования GOST89.
— Исходный код PBKDF2 и HMAC стал чище и проще для анализа.
— Добавлены тестовые векторы для Kuznyechik.
— Обновлена документация — добавлены предупреждения про использование параметра командной строки «tokenpin».
— Использование оптимизированного SSE2 алгоритма Serpent из проекта Botan (2,5-кратный прирост в производительности на 64-битных платформах).
— Использование библиотеки libzip для обработки архивов диска восстановления вместо уязвимой XUnzip.
— Поддержка шифрования EFI для 32-битных Windows.
— Выполнение завершения работы, вместо перезагрузки во время предварительного тестирования шифрования систем EFI для обнаружения несовместимых материнских плат.
— Небольшие улучшения интерфейса и исправления переводов.

VeraCrypt 1.18a:

— Поддержка японского алгоритма шифрования Camellia, в том числе для шифрования системы Windows (MBR & EFI).
— Поддержка алгоритмов шифрования и криптографических стандартов Kuznyechik, Magma и Streebog, в том числе для шифрования системы Windows EFI.
— Добавлена поддержка шифрования систем EFI (ограничения: не поддерживаются скрытые системы и измененные загрузочные сообщения).
— Добавлена поддержка японского стандарта шифрования Camellia, включая шифрование системы.
— Добавлена оценка хэш-алгоритмов и PRF с PIM (включая предварительную загрузку).
— Программа переведена на кодовую базу на Visual C++ 2010 для лучшей стабильности.
— Исправлены проблемы с загрузкой на некоторых машинах за счет увеличения памяти на 1 кибибайт.
— Корректное удаление драйвера veracrypt.sys при удалении программы в 64-битных Windows.
— Реализован обход ПИН-кода смарт-карт в виде аргумента командной строки (/tokenpin) при монтировании раздела.
— Когда не выбрана буква диска, выберите A: или B: только если другие буквы диска доступны.
— Снижение потребления ресурсов ЦПУ с помощью опции отключения использования отключенных сетевых дисков.
— Добавлена опция для исключения запроса PIM dj время аутентификации при предварительной загрузке за счет сохранения значения PIM в незашифрованном виде в MBR.
— Добавлена опция и переключатель командной строки для скрытия диалога ожидания при выполнении операций.
— Добавлен чекбокс в мастере «VeraCrypt Format» для пропуска проверки диска восстановления во время процедуры шифрования системы.
— Разрешено управление файлами с помощью drag-n-drop при запуске VeraCrypt с правами администратора.
— Незначительные улучшения интерфейса и исправления переводов.

Шифруем файл без возможности взлома | Х А К Е Р

Безопасность информации является трендом уже не первое десятилетие. А в 2020 году это еще более актуальная тема. Множественные утечки информации заставляют нас переосмыслить ценность информации и позаботится о ее сохранности. Преследования тоталитарным режимом советской России свободомыслящих граждан случаются на каждом шагу. И как правило главной доказательной базой является содержимое жесткого диска подозреваемого. Частенько этот диск шифруется средствами на подобии VeraCrypt но не все знают что этот софт тоже имеет свои недостатки.

============================

Стандартные методы взлома зашифрованных контейнеров

============================

1. Загрузочный диск зашифрован.

============================

2. Компьютер был выключен штатным образом

============================

3. Наконец, очевидное:

Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.

============================