V. Создание скрытого тома
Предположим, обстоятельства сложились для вас неудачно: вас принуждают сдать пароль от вашего зашифрованного контейнера. (Может быть, вы удивитесь, но в законодательстве некоторых стран есть такая норма). VeraCrypt позволяет одновременно выполнить требования закона и сохранить конфиденциальность данных. В иностранной литературе этот принцип называется plausible deniability (приблизительный перевод – «легальный отказ»).
Хитрость этого приема в том, что вы создаете в своем контейнере второе, секретное отделение. У него нет «выпирающих частей» или дополнительных входов. Представьте себе сейф, с виду обычный, с единственным кодовым замком, но не одним, а двумя кодами. При вводе первого кода открывается обычное отделение. При вводе второго кода – секретное. Вы можете пожертвовать первым кодом. Программа устроена так, что никаких технических возможностей доказать существование скрытого отделения (тома) не существует.
1. Запустите VeraCrypt.
2. Нажмите кнопку «Создать том». Откроется уже знакомый мастер создания томов.
3. Выберите «Создать зашифрованный файловый контейнер» (по умолчанию) и нажмите кнопку «Далее».
4. Выберите «Скрытый том VeraCrypt» и нажмите кнопку «Далее».
5. Вам предлагаются два варианта. «Обычный режим» подразумевает создание защищенного контейнера «с нуля»: сначала внешний том, затем скрытый. Если у вас уже есть том VeraCrypt (мы его создали в разделе II), можно выбрать «Прямой режим». Нажмите кнопку «Далее».
6. Отыщите на диске созданный ранее файл-контейнер и нажмите кнопку «Далее».
7. Введите пароль внешнего тома (II.8) и нажмите «Далее». VeraCrypt может попросить вас немножко подождать.
8. Информационное окно – сообщение, что все готово для создания скрытого тома. «Далее».
Остальные шаги повторяют 6-10 в разделе II. Единственная разница в том, что вы не можете задать произвольный объем для скрытого тома – по понятным причинам он будет ограничен объемом внешнего тома.
Монтирование тома тоже осуществляется по шагам раздела III. В зависимости от того, какой пароль вы укажете на входе, будет смонтирован внешний или скрытый том. Вот как выглядит смонтированный скрытый том в основном рабочем окне VeraCrypt:
Обратите внимание на значение «Скрытый» в столбце «Тип».
Работать с новым виртуальным диском скрытого тома можно так же, как и с виртуальным диском открытого тома.
Если вы прибегаете к созданию скрытого тома, советуем записать во внешний том какие-нибудь файлы – важные, но не конфиденциальные. Если злодей получит доступ к внешнему тому, он увидит, что тот имеет содержимое. Пустой внешний том выглядел бы подозрительно.
I. Загрузка и установка VeraCrypt
VeraCrypt – бесплатная кросс-платформенная программа с открытым кодом. Вы можете загрузить версии VeraCrypt для Windows, MacOS и Linux с официального сайта разработчика: https://veracrypt.codeplex.com/releases. В качестве примера мы будем использовать версию для Windows, предполагая, что пользователи MacOS и Linux сумеют действовать по аналогии.
1. Загрузите дистрибутив VeraCrypt (файл .exe) на свой компьютер.
2. Запустите дистрибутив. Появится окно с лицензионным соглашением.
3. Поставьте галочку в поле «I accept the license terms» и нажмите кнопку «Next». Вы увидите окно с выбором режима установки.
- «Install». VeraCrypt будет установлен, как обычная программа Windows. Этот удобный режим подходит, если нет нужды скрывать сам факт наличия шифровальных средств на компьютере. Кроме того, это единственный выбор, если вы намереваетесь зашифровать системный диск.
- «Extract». Архив VeraCrypt будет распакован в созданную вами папку. Вы получаете портативность: папку VeraCrypt можно перенести, например, на USB-флешку и запускать программу оттуда. Этот вариант более мобильный, к тому же подходит, если вы не хотите обнаруживать факт использования вами шифрования VeraCrypt. Он не годится, если вы намерены зашифровать системный диск.
Рассмотрим портативный вариант. Выберите «Extract» и нажмите кнопку «Next».
4. Пояснение об особенностях портативного режима. Нажмите кнопку «ОК».
5. Еще одно окно с объяснением, как работают драйверы VeraCrypt в портативном режиме. Нажмите «Да».
6. Нужно выбрать папку для установки программы. (Помните, что это портативный вариант, поэтому папку впоследствии можно переименовать или перенести по вашему желанию). Сделайте это и нажмите кнопку «Extract».
7. После окончания распаковки вы увидите окошко с информацией об этом и единственной кнопкой «ОК». Нажмите ее.
8. Последнее окно установщика VeraCrypt – просьба поддержать разработчиков (кнопка «Donate now…»). Чтобы завершить мастер установки, нажмите кнопку «Finish».
Поддержка VeraCrypt
Как и в случае с большинством программных инструментов с открытым исходным кодом, вы зависите от сообщества, когда дело доходит до поддержки. Команда VeraCrypt предоставляет обширную документацию по приложению, включая прекрасно написанное руководство для начинающих. Однако большая часть другой документации очень техническая.
Если вы новичок, большинство статей для Вас будут сложными.
Есть также форум, который служит единственной прямой формой поддержки. К счастью, сообщество активно, и разработчики VeraCrypt часто отвечают и создают темы.
Что касается поддержки проекта с открытым исходным кодом, VeraCrypt имеет солидное сообщество. Тем не менее, он не может противостоять системам полной поддержки, предлагаемым платными программными инструментами.
Если вам понадобится ручная фиксация во время процесса шифрования, VeraCrypt не для вас. Однако, если вы хоть немного разбираетесь в технологиях, сообщество, вероятно, поможет вам в этом.
Как работает VeraCrypt
VeraCrypt создаёт специальный файл, который называется контейнер. Этот контейнер является зашифрованным и может быть подключён только при вводе верного пароля. После ввода пароля, контейнер отображается как дополнительный диск (как вставленная флешка). Любые файлы, помещённые на этот диск (т.е. в контейнер), шифруются. Пока контейнер подключён, вы беспрепятственно можете копировать, удалять, записывать новые файлы, открывать их. Как только контейнер отключён, все файлы на нём становятся абсолютно недоступными, пока вновь не будет выполнено его подключение, т.е. пока не будет введён пароль.
Работа с файлами в зашифрованном контейнере ничем не отличается от работы с файлами на любом другом диске.
При открытии файла или записи его в контейнер, не нужно ждать расшифрования – всё происходит очень быстро, будто бы вы действительно работаете с обычным диском.
VI. Вопросы и ответы
ВОПРОС. Если я удалю программу VeraCrypt с компьютера, что станет с моими зашифрованными файловыми контейнерами и дисками?
ОТВЕТ. С ними ничего не произойдет. Все папки и файлы останутся зашифрованными. Вы сможете их расшифровать на любом компьютере, где есть VeraCrypt.
ВОПРОС. Все ли типы файлов можно шифровать?
ОТВЕТ. Да. Вы можете зашифровать любой файл: и текстовый документ, и электронную таблицу, и архив, и фотографию, и звуковой файл.
ВОПРОС. А программы?
ОТВЕТ. Да, и программы. Вы можете держать в зашифрованном контейнере целый набор портативных программ, например, текстовый редактор, просмотрщик фотографий, музыкальный проигрыватель, и так далее. Фактически, вы организуете собственное защищенное рабочее пространство.
ВОПРОС. Что если комбинировать разные программы защиты данных, например, VeraCrypt и KeePassX?
ОТВЕТ. Дополнительный уровень защиты – неплохая мысль. Базу паролей KeePassX (как и саму программу KeePassX) можно хранить в защищенном контейнере VeraCrypt. Или, наоборот, пароль к контейнеру или диску VeraCrypt – в базе KeePassX.
ВОПРОС. Я забыл пароль к файловому контейнеру (диску). Могу ли я как-нибудь восстановить пароль?
ОТВЕТ. Нет.
ВОПРОС. А не лучше ли замаскировать файл-контейнер под какой-нибудь другой формат, если дать ему соответствующее расширение? Например, звуковой файл, картинку или видео?
ОТВЕТ. Такая рекомендация встречается у экспертов по цифровой безопасности, но вряд ли это удачная идея. Во-первых, нужно быть достаточно информированным о форматах файлов, чтобы не попасть впросак. Например, «фотография JPEG» размером в 2Гб может вызвать подозрение, поскольку для этого формата не характерны столь большие размеры файлов. Во-вторых, злоумышленника может насторожить, что фотография (видео и др.) не открываются в соответствующих приложениях. В-третьих, файлы многих форматов имеют узнаваемые «сигнатуры»: просмотрев начало такого файла в редакторе, можно убедиться, что ожидаемая сигнатура отсутствует. Лучше не маскировать ваш файл под распространенные форматы.
ВОПРОС. А сам VeraCrypt не оставляет в файле-контейнере свою «сигнатуру», по которой можно догадаться, что это – том VeraCrypt?
ОТВЕТ. Нет, не оставляет.
ВОПРОС. Почему бы не использовать динамические контейнеры, которые могут изменять размер? Записал больше файлов – контейнер автоматически «вырос». Ведь это удобно?
ОТВЕТ. Да, это удобно. Однако если злоумышленник имеет возможность наблюдать за изменениями файлов на диске, он может заметить, что некий файл постоянно меняет свой размер, и это способно вызвать дополнительные подозрения. Если вам нужен более емкий контейнер, создайте новый, большего объема, и перенесите в него данные обычным копированием.
ВОПРОС. Вы сказали, что злодей не может «на глаз» определить существование скрытого тома. Но ведь он может просто записывать данные во внешний том, а когда дойдет до конца, выяснится, что часть объема «куда-то делась» – это и будет признаком скрытого тома, разве нет?
ОТВЕТ. По умолчанию защита скрытого тома отсутствует. Это значит, что в описанном примере злодей будет записывать данные, пока не заполнит ими весь контейнер. Он не «споткнется» на какой-то границе. Конечно, данные скрытого тома при этом будут утрачены. Но мы исходим из того, что лучше их потерять, чем раскрыть злодею.
Версия для печати
Шифрование диска
Несмотря на кажущуюся сложность задачи, все очень просто. Выберите в меню «Система» опцию «Зашифровать системный раздел/диск».
В открывшемся окне мастера в качестве метода выберите «Обычный» (этого достаточно), область шифрования – весь диск.
Далее вам нужно будет указать, нужно ли шифровать защищенные области диска. Если ваша система не OEM, можно выбрать «Да».
По завершении поиска скрытых секторов (процедура может занять продолжительное время), укажите число операционных систем и…
алгоритм шифрования (здесь все лучше оставить по умолчанию).
Примечание: если во время поиска скрытых секторов Windows перестанет отвечать, перезагрузите ПК принудительно и в следующий раз пропустите этот этап, выбрав «Нет».
Придумайте и введите в поля пароль.
Хаотично перемещая мышь, сгенерируйте ключ и нажмите «Далее».
На этом этапе программа предложит создать VRD – диск восстановления и записать его на флеш- или оптический носитель.
Далее внимательно следуем указаниям мастера. Режим очистки оставьте «Нет» – сэкономите несколько часов.
Когда на экране появится запрос на выполнение пре-теста шифрования системы, нажмите «Тест».
Потребуется перезагрузка компьютера. После включения ПК появится экран загрузчика VeraCrypt. Здесь вам нужно будет ввести придуманный пароль и PIM – количество итераций шифрования. Если вы раньше нигде не вводили PIM, просто нажмите ввод, значение опции будет установлено по умолчанию.
Спустя несколько минут Windows загрузится в обычном режиме, но при этом на рабочем столе появится окошко Pretest Completed – предварительное тестирование выполнено. Это означает, что можно приступать к шифрованию. Нажмите кнопку «Encrypt» и подтвердите действие.
Процедура шифрования будет запущена. Она может занять длительное время, все зависит от размера диска и его заполненности данными, так что наберитесь терпения и ждите.
Примечание: если на диске имеется шифрованный раздел EFI, что характерно для последних версий ПК, в начале шифрования вы можете получить уведомление «Похоже, Windows не установлена на диске…». Это означает, что зашифровать такой диск с помощью VeraCrypt не получится.
После того как все содержимое диска будет зашифровано, окно загрузчика VeraCrypt станет появляться каждый раз при включении компьютера и каждый раз вам нужно будет вводить пароль, другим способом получить доступ к зашифрованным данным нельзя. С расшифровкой диска все намного проще. Все, что вам нужно будет сделать, это запустить программу, выбрать в меню «Система» опцию «Перманентно расшифровать системный раздел/диск» и проследовать указаниям мастера.
Программа VeraCrypt
VeraCrypt – инструмент для шифрования файлов любого типа. Хорошая альтернатива TrueCrypt. С помощью него можно создавать шифрованные разделы, внешние носители. Главным преимуществом является надежность, а еще программа на русском языке. Разработчики убеждают, что расшифровать данные почти невозможно.
Создание простого тома
После установки и запуска вы увидите окно, практически идентичное TrueCrypt. Чтобы поменять язык переходим в настройки «Settings» и выбираем раздел «Language». Ставим русский язык.
Нажимаем кнопочку «Создать том». Появится другое окошко, где нужно установить первый метод – «Создать зашифрованный файловый контейнер».
Далее нажимаем по строчке «Обычный том VeraCrypt». (Все также, как в TrueCrypt).
Дальше необходимо найти файл, который станет криптоконтейнером. Жмём «Далее».
Следующий этап – установка размера диска. Указываем желаемое значение и идем дальше.
Вот мы подошли к созданию пароля. Комбинацию рекомендуется использовать сложную.
Накопитель обязательно надо отформатировать. В окне указываем файловую систему, а все остальное оставляем по умолчанию.
Когда контейнер будет создан, в главном окошке программы используем любую букву диска, потом жмём по кнопочке «Файл» и выбираем тот файл, который использовался для шифрования. Вводим пароль. Готово.
Шифрование флешки и локальных дисков
Защита внешнего USB-носителя или внешнего жёсткого диска является важным мероприятием. В главном окне VeraCrypt жмём «Создать том» и щелкаем по второму пункту «Зашифровать несистемный диск». Остальные настройки точно такие же, как при создании простого тома.
Запомните, что при шифровании флеш-носителя он будет отформатирован и все данные на нем будут уничтожены.
https://youtube.com/watch?v=SeAw1YznBQ4
Шифруем системный диск
Нажимаем на вкладку «Система», щелкаем по опции «Зашифровать системный раздел».
Выбираем первый тип — «Обычный».
На следующем этапе щелкаем по пункту «Зашифровать весь диск».
При появлении окна «Шифрование защищенной области» выбираем «Нет».
Если у вас одна операционная система на ПК, выбираем пункт «Одиночная загрузка», если более одной – «Мультизагрузка».
В настройках алгоритма шифрования оставляем параметры как есть.
Указываем пароль на наш системный контейнер.
Дальше будет этап создания диска шифрования. Можно сохранить его в любом месте, для этого нажимаем «Обзор» и указываем место.
На этапе режима очистки выбираем метод «Нет». Но можно прочитать более подробно в описании и выбрать другой вариант.
Другие настройки не сложные. В основном нужно нажимать кнопку «Далее».
Как только система будет зашифрована, после перезагрузки вы увидите следующее окно.
Скрытый том и операционная система
Когда выбрали параметр «Зашифровать системный раздел», в открывшемся окошке нужно выбрать пункт «Скрытый». Теперь действуем на основе вышесказанных инструкций. Отметим, что параметры практически на 100% идентичны TrueCrypt, поэтому можно ориентироваться на инструкцию к этой шифровальной программе.
Folder Lock – эффективное шифрование для физических лиц
- Платформы: Windows, Android, iOS
- Охватываемые ресурсы: шифрование, защита паролем, предотвращение взлома
- Облачные функции: Да
- Интеграция: нет
- Бесплатная пробная версия: n/a
Хотя важно защитить активы на компьютерах компании, также важно добавить защиту любому устройству, которое хранит важные данные. Например, большинство сотрудников имеют доступ к электронной почте своей компании и другим учетным записям на своих смартфонах, и они должны быть защищены. Folder Lock является хорошим вариантом, когда речь идёт о добавлении шифрования на ваших мобильных устройствах. Приложение может защитить ваши личные файлы, фотографии, видео, контакты, заметки и аудиозаписи, хранящиеся в телефоне.
Folder Lock является хорошим вариантом, когда речь идёт о добавлении шифрования на ваших мобильных устройствах. Приложение может защитить ваши личные файлы, фотографии, видео, контакты, заметки и аудиозаписи, хранящиеся в телефоне.
Есть и некоторые другие скрытые функции безопасности. Помимо шифрования, вы также можете установить «пароль-приманку», средства защиты от хакерских атак, регистрировать несанкционированные попытки входа в систему, создать резервную копию всех ваших паролей и получать уведомления о потенциальных атаках методом перебора. Базовое приложение можно загрузить бесплатно, с профессиональной версией вы получите ещё больше функций.
Особенности Folder Lock:
- Бесплатная базовая версия
- Эффективное личное шифрование
- Ориентирован на мобильные устройства
Дешифрование диска
Данный способ дешифрование подходит только в том случае, если процесс шифрование был завершен без ошибок и Операционная Система успешно загружается.Запускаем VeraCrypt, в списке будет системный диск, нажимаем на него правой кнопкой мыши и выбираем пункт «Расшифровать перманентно». Программа запросит подтверждение дешифрования. Нажимаем «Да». Затем появится ещё одно подтверждение, нажимаем «Да».Начинается процесс дешифрования, который займет столько же времени, сколько занял процесс дешифрования с вычетом очистки. По завершению появится уведомление об успешном дешифровании, и будет предложено перезагрузить компьютер.
О самой VeraCrypt
Как уже говорилось выше, утилита является аналогом TrueCrypt, появившимся после прекращения поддержки последнего. По утверждению разработчиков, в VeraCrypt реализован ряд усовершенствований в области безопасности по сравнению с оной.
В то время как TrueCrypt использует 1000 итераций при генерации ключа, которым шифруется системный раздел при использовании алгоритма PBKDF2-RIPEMD-160, VeraCrypt использует 327661 итерацию.
Для стандартных шифруемых разделов на диске и файловых контейнеров VeraCrypt использует 655331 итерацию для хэш-функции RIPEMD-160 и 500000 итераций для SHA-2 и Whirlpool.
Это существенно замедляет VeraCrypt при открытии зашифрованных разделов диска при их монтировании, но делает его не менее чем в 10 (и не более чем в 300) раз более устойчивым к атаке прямым перебором. (с)
В числе прочего, VeraCrypt может открывать и конвертировать в свой формат разделы, отформатированные в формате начиная с версии 1.0f. На родство программ между собой так же «намекает» наличие отрицание наличия зашифрованных данных, которое представляет собой ничто иное, как способ криптографического преобразования, в котором зашифровываются совместно два или более различных сообщения на двух или более различных ключах.
Этот метод обеспечивает возможность правдоподобного отрицания наличия одного или группы сообщений как таковых. позволяя создать внутри зашифрованного тома ещё один, «скрытый том». Дополнительно, версия VeraCrypt для Windows позволяет создавать и выполнять скрытый экземпляр операционной системы Windows, чьё наличие так же можно правдоподобно отрицать, что само по себе занимательно
Больше подробностей можно найти по ходу работы с программой, на уже выданных ссылках на Википедию (выше по тексту) или в документации.
Безопасность VeraCrypt
Безопасность приложения на самом деле довольно проста. Вам не нужно проходить аутентификацию на сервере, чтобы использовать свою учетную запись. В результате, это избавляет от огромного препятствия, с которым сталкиваются большинство программных служб шифрования. Более того, здесь нет возможности прямого обмена, поэтому использование пар ключей для сопоставления авторизованных пользователей не является проблемой.
ПО все локальное. По умолчанию приложение использует AES-256 для шифрования файловой системы. Это включает имена файлов и все остальное, что связано с данными, которые вы шифруете. Хотя AES является значением по умолчанию и рекомендуется VeraCrypt, существуют и другие доступные алгоритмы.
Известными алгоритмами являются Camellia, которая была разработана Mitsubishi и NTT из Японии, и «Кузнечик», которая была разработана Россией. Независимо от этого каждый алгоритм имеет 256-битный размер ключа и 128-битный размер блока. Вы также можете объединить несколько алгоритмов. Например, VeraCrypt поддерживает режим AES-Twofish-Serpent.
Когда вы создаете пароль, утилита использует один из пяти алгоритмов хеширования, генерируя псевдослучайные ключи на основе ряда факторов, в том числе движения мыши и нажатия клавиш. В результате этого процесса генерируется мастер-ключ и вторичный ключ, что позволяет расшифровывать данные с помощью распознанного мастер-пароля.
VeraCrypt поддерживает аппаратно-ускоренное шифрование AES с использованием инструкций Intel AES-NI. Хотя разница в скорости вряд ли имеет значение для современных многоядерных процессоров, она ускоряет процесс на старых машинах.
Создание зашифрованного тома
Запустив программу, первым делом сменим язык интерфейса. Для этого переходим в меню Setiings — Language. В списке языков выбираете русский язык.
Чтобы начать создание зашифрованного тома для хранения наших файлов, необходимо выбрать «Тома» и нажать «Создать новый том».
Программа позволяет зашифровать файл — контейнер для хранения секретной информации, либо внешний диск (флешку), либо диск компьютера полностью (даже вместе с операционной системой). Мы продемонстрируем работу программы на примере создания файла-контейнера.
Выбираем «Создать зашифрованного файлового контейнера» и жмём «далее».
В следующем окне также жмите на «далее» для продолжения. Здесь вы можете узнать о возможности создания скрытого тома — контейнера «с двойным дном» — двумя паролями и двумя пространствами для хранения информации, на случай, если вас вынудят назвать пароль. Назвав один из них, вы открываете доступ к той части, где не хранится ничего особо секретного, в то время, как второй пароль открывает доступ к особо секретной части. Однако стоит учесть, что при переполнении одного из параллельных контейнеров, данные в другом могут быть стёрты. Поэтому рассматриваем создание обычного шифрованного тома.
Чтобы решить, где должен располагаться файловый контейнер нужно нажать на «файл…». В открытом окне будет возможность выбора место для сохранения контейнера. Далее необходимо выбрать имя для контейнера (в нашем случае «АВС123»), затем нужно нажать на «сохранить». Контейнер может быть сохранен в любом месте (в том числе на внешнем жестком диске или USB-носителе) и назван по-своему. Затем следует нажать на кнопку «далее».
В следующем окне должен быть выбран метод шифрования данных. Оставьте установленное по умолчанию шифрование в алгоритме AES и нажмите «далее».
На следующем этапе необходимо выбрать размер зашифрованного контейнера. В примере используется маленький контейнер размером 50 мегабайт. Для этого необходимо ввести в текстовое поле 50 и рядом выбрать «Мбайт» . Прикиньте, какой размер данных вы хотите хранить и выберите размер с существенным запасом.
В следующем окне нужно выбрать, как можно будет открыть зашифрованный контейнер. Существует возможность сделать это с попомщью пароля или же защитить его при помощи ключевого файла. Также можно комбинировать два метода. Для простоты используйте пароль.
В следующем окне может быть выбрана файловая система. Если вы выбрали размер контейнера 3-4 Гбайт и больше, то рекомендуется использовать систему NTFS. Для небольших размеров не имеет значения, какую файловую систему использовать.
Для шифрования контейнера нужно примерно 30 секунд проводить мышью по окну и когда полоска внизу окна станет зелёной нажать на «Разместить».
Процесс займет определенное время. Если все идет правильно, появляется сообщение. Его можно закрыть нажав на «OK».
При нажатии на «завершено» процесс создания контейнера завершается. Теперь место для хранения информации создано. Но прежде, чем в него что-то поместить, его необходимо открыть с помощью этой же программы.
Как правильно использовать программное обеспечение для шифрования
Несколько советов, которые помогут вам лучше сохранять свои секреты:
- Старайтесь не допускать посторонних лиц до вашего компьютера, в том числе не сдавайте ноутбуки в багаж в аэропортах; если есть возможность, отдавайте компьютеры в ремонт без системного жёсткого диска и т.д.
- Используйте сложный пароль. Не используйте тот же самый пароль, который вы используете для почты и т.д.
- При этом не забудьте пароль! Иначе данные будет невозможно восстановить.
- Скачивайте все программы только с официальных сайтов.
- Используйте бесплатные программы или купленные (не используйте взломанный софт). А также не скачивайте и не запускайте сомнительные файлы, поскольку все подобные программы, среди прочих зловредных элементов, могут иметь килоггеры (перехватчики нажатий клавиш), что позволит злоумышленнику узнать пароль от вашего зашифрованного контейнера.
- Иногда в качестве средства от перехвата нажатий клавиш рекомендуют использовать экранную клавиатуру – думается, в этом есть смысл.