Как правильно использовать программное обеспечение для шифрования
Несколько советов, которые помогут вам лучше сохранять свои секреты:
- Старайтесь не допускать посторонних лиц до вашего компьютера, в том числе не сдавайте ноутбуки в багаж в аэропортах; если есть возможность, отдавайте компьютеры в ремонт без системного жёсткого диска и т.д.
- Используйте сложный пароль. Не используйте тот же самый пароль, который вы используете для почты и т.д.
- При этом не забудьте пароль! Иначе данные будет невозможно восстановить.
- Скачивайте все программы только с официальных сайтов.
- Используйте бесплатные программы или купленные (не используйте взломанный софт). А также не скачивайте и не запускайте сомнительные файлы, поскольку все подобные программы, среди прочих зловредных элементов, могут иметь килоггеры (перехватчики нажатий клавиш), что позволит злоумышленнику узнать пароль от вашего зашифрованного контейнера.
- Иногда в качестве средства от перехвата нажатий клавиш рекомендуют использовать экранную клавиатуру – думается, в этом есть смысл.
Создание зашифрованного тома
Запустив программу, первым делом сменим язык интерфейса. Для этого переходим в меню Setiings — Language. В списке языков выбираете русский язык.
Чтобы начать создание зашифрованного тома для хранения наших файлов, необходимо выбрать «Тома» и нажать «Создать новый том».
Программа позволяет зашифровать файл — контейнер для хранения секретной информации, либо внешний диск (флешку), либо диск компьютера полностью (даже вместе с операционной системой). Мы продемонстрируем работу программы на примере создания файла-контейнера.
Выбираем «Создать зашифрованного файлового контейнера» и жмём «далее».
В следующем окне также жмите на «далее» для продолжения. Здесь вы можете узнать о возможности создания скрытого тома — контейнера «с двойным дном» — двумя паролями и двумя пространствами для хранения информации, на случай, если вас вынудят назвать пароль. Назвав один из них, вы открываете доступ к той части, где не хранится ничего особо секретного, в то время, как второй пароль открывает доступ к особо секретной части. Однако стоит учесть, что при переполнении одного из параллельных контейнеров, данные в другом могут быть стёрты. Поэтому рассматриваем создание обычного шифрованного тома.
Чтобы решить, где должен располагаться файловый контейнер нужно нажать на «файл…». В открытом окне будет возможность выбора место для сохранения контейнера. Далее необходимо выбрать имя для контейнера (в нашем случае «АВС123»), затем нужно нажать на «сохранить». Контейнер может быть сохранен в любом месте (в том числе на внешнем жестком диске или USB-носителе) и назван по-своему. Затем следует нажать на кнопку «далее».
В следующем окне должен быть выбран метод шифрования данных. Оставьте установленное по умолчанию шифрование в алгоритме AES и нажмите «далее».
На следующем этапе необходимо выбрать размер зашифрованного контейнера. В примере используется маленький контейнер размером 50 мегабайт. Для этого необходимо ввести в текстовое поле 50 и рядом выбрать «Мбайт» . Прикиньте, какой размер данных вы хотите хранить и выберите размер с существенным запасом.
В следующем окне нужно выбрать, как можно будет открыть зашифрованный контейнер. Существует возможность сделать это с попомщью пароля или же защитить его при помощи ключевого файла. Также можно комбинировать два метода. Для простоты используйте пароль.
В следующем окне может быть выбрана файловая система. Если вы выбрали размер контейнера 3-4 Гбайт и больше, то рекомендуется использовать систему NTFS. Для небольших размеров не имеет значения, какую файловую систему использовать.
Для шифрования контейнера нужно примерно 30 секунд проводить мышью по окну и когда полоска внизу окна станет зелёной нажать на «Разместить».
Процесс займет определенное время. Если все идет правильно, появляется сообщение. Его можно закрыть нажав на «OK».
При нажатии на «завершено» процесс создания контейнера завершается. Теперь место для хранения информации создано. Но прежде, чем в него что-то поместить, его необходимо открыть с помощью этой же программы.
Восстановление TrueCrypt пароля
ЭТО ВАЖНО: TrueCrypt использует стойкие алгоритмы шифрования и трюки, замедляющие проверку пароля. Поэтому большие индексы скорости перебора паролей вы не увидите ни в одной программе
Всегда используйте видеокарты AMD/NVIDIA — это значительно увеличит скорость перебора паролей.
Для восстановления TrueCrypt паролей используем программу с гибкой настройкой диапазона проверяемых значений и высокой скоростью их проверки.
Здесь это Passcovery Suite — программа, в которой есть:
- сценарии выполнения поиска паролей
- позиционная маска для создания паролей по правилам
- мутация паролей из подключаемых UNICODE-словарей
- поддержка видеокарт AMD/NVIDIA
Приступим.
Шаг 1 — Запускаем Passcovery Suite и выбираем файл дампа данных с TrueCrypt диска. Тут всё привычно: выбираем дистрибутив (версии для Windows x86/x64), устанавливаем и запускаем программу.
Выбираем нужный том TrueCrypt или файл с данными шифрованного диска (можно через меню/панель инструментов или горячими клавишами «Ctrl+O»):
Здесь это 1.bin для файла с дампом данных с логического диска и 64.bin для файла с физического диска.
Шаг 2 — Подтверждаем, что выбрали файл для восстановления пароля TrueCrypt.Поскольку дамп данных не содержит чёткой структуры, Passcovery Suite сделает предположение, что это данные TrueCrypt. Соглашаемся и продолжаем:
Шаг 3 — Задаем хэшфункцию и алгоритм шифрования для проверки паролей. Защита данных в TrueCrypt реализуется на алгоритмической паре хэширования и шифрования. На этапе создания тома или диска задается один из трёх алгоритмов хэширования:
- RIPEMD-160
- SHA-512
- Whirlpool
и один из алгоритмов шифрования (алгоритмы шифрования могут смешиваться):
- AES
- Serpent
- Twofish
Сейчас же нам нужно выбрать какую пару хэширования-шифрования проверять.
Passcovery Suite поддерживает все варианты, но узнать какая пара использовалась для защиты данных невозможно, а проверка каждого сочетания требует дополнительного времени.
Если достоверной информации о паре хэширования-шифрования нет — выбираем все варианты. Придется потратить дополнительное время, но только полная проверка гарантирует, что мы не пропустим нужный пароль из-за ошибки выбора пары.
Настройки для разных вариантов шифрованных дисков:
- шифрованный логический диск (также подходит для томов TrueCrypt). Возможны любые сочетания хэширования-шифрования:
-
шифрованный физический диск. Такой диск содержит загрузчик (bootloader) TrueCrypt и это вносит свои коррективы:
- необходимо указать адрес смещения (7С00) для доступа к последним 512 байтам данных, считанных на первом этапе в файл 64.bin
- возможен только один вариант хэширования — RIPEMD-160 (boot volume)
Шаг 4 — Выбираем атаку на пароль и задаем её опции.Passcovery Suite предложит три вида атак с большим набором опций:
- атака перебором. Атака, при которой перебираются все возможные варианты. Можно задать наборы символов, длину пароля и установить простую маску. Самый растянутый во времени вариант
- атака перебором с позиционной маской. Атака, при которой перебираются только варианты, подходящие под правила маски. Можно задать значения индивидуально для каждой позиции пароля (например первый символ только цифра, остальные только буква, а три последние — спецсимволы), установить длину пароля. Лучший вариант, когда известна структура пароля
- атака с использованием словаря. Атака, при которой проверяются все слова из словаря. Можно объединять слова из разных Unicode-словарей, менять, удалять, переставлять и подменять символы. Отличный вариант для паролей, полученных путем мутации обычных слов
Подробнее о возможностях атак — здесь. Видеопримеры их использования — на канале YouTube.
Шаг 5 — Запускаем восстановление TrueCrypt пароля.Когда настройки сделаны, запускаем поиск пароля и ждем результат. Во время работы, Passcovery Suite сохраняет настройки атаки и статус её выполнения в файл с расширением .prs (Password Recovery Status) — мы всегда можем прервать атаку и вернуться к ней позже.
После обнаружения пароля программа отображает его в виде гиперссылки. Щёлкнем по нему, скопируем в буфер обмена и можно открывать зашифрованный TrueCrypt диск:
TrueCrypt
Легендарная программа шифрования дисков, разработка которой была прекращена в 2012 году. История с TrueCrypt до сих пор покрыта мраком и толком никто не знает, почему разработка этого проекта была прекращена. Есть лишь крупицы информации, не позволяющие сложить пазл воедино. Так, в 2013 году начался сбор средств для проведения независимого аудита TrueCrypt. Причиной проведения такого аудита прослужила полученная от бывшего сотрудника АНБ Сноудена информация о намеренном ослаблении средств шифрования. На аудит было собрано свыше 60 000 долларов. В начале апреля 2015 года аудит был завершен. Никаких серьезных ошибок, уязвимостей или каких-либо недостатвков в архитектуре приложения выявлено не было. TrueCrypt — хорошая, пусть и не совсем идеальная программа, для шифрования информации. Но как только закончился аудит TrueCrypt снова оказался в центре скандала (источник https://www.grahamcluley.com/2015/07/trojanised-truecrypt-serves-malware-russian-speaking-targets/). Специалисты компании ESET опубликовали технический отчет (https://www.welivesecurity.com/wp-content/uploads/2015/07/Operation-Potao-Express_final_v2.pdf) о том, что русскоязычная версия TrueCrypt 7.1a, загруженная с сайта truecrypt.ru, содержала малварь. Более того, сам сайт truecrypt.ru использовался как командный центр, отправляя команды инфинцированным компьютерам. Особо не хочется развивать тему, стоит ли доверять TrueCrypt или нет, ведь сейчас речь идет о производительности, а не о доверии.
К преимуществам можно отнести незапятнанную репутацию (если, конечно, использовать оригинальную версию), поддержку динамических томов Windows, открытый исходный код. Недостаток только один — разработчики не успели реализовать поддержку UEFI/GPT
Но для наших целей, когда нужно зашифровать один несистемный диск, это не важно
В отличие от BitLocker, где поддерживается только AES, в TrueCrypt имеется поддержка алгоритмов AES, Serpent и Twofish. Программа позволяет выбрать одну из трёх хеш-функций: HMAC-RIPEMD-160, HMAC-Whirlpool, HMAC-SHA-512 для генерации ключей шифрования, соли и ключа заголовка. Но об этом все давно знают и это никому не интересно. О TrueCrypt уже много чего было написано и не хочется повторяться.
Вместо интро
В последнее время все чаще применяется шифрование для защиты всевозможных данных — как личных, так и корпоративных. Различных угроз, да и просто желающих стащить чужую инфу, все больше и больше с каждым днем. Но все мы знаем, что при шифровании/расшифровке создается дополнительная нагрузка на систему, поэтому страдает производительность. Цель данной статьи — сравнить производительность работы с диском, зашифрованным разными средствами шифрования.
Мы зашифруем раздел жесткого диска, диск будет обычный, не SSD. А затем сравним производительность зашифрованного диска в CrystalDiskMark.
Железо будет специально древним: двухядерный AMD на 2.2 ГГц, 4 гига оперативки, винт на 500 Гб. Операционка будет 64-битной Windows 7 SP 1. Никаких антивирусов, да и прочих программ во время теста запущено не будет, чтобы ничто не смогло повлиять на результаты.
Долго думал о выборе программ и остановился на следующих: BitLocker, TrueCrypt, VeraCrypt, CipherShed и Symantec Endpoint Encryption. Чтобы статья не походила на список программ шифрования и их результаты, рассмотрим вкратце каждое из средств.
VeraCrypt и CipherShed — не единственные форки TrueCrypt. Довольно известен еще и DiskCryptor. Но хочется рассмотреть и сторонние программы, а не только форки трукрипта.
True Crypt — программа для шифрования данных
TrueCrypt – одна из лучших программ для шифрования данных,
обладающая теми возможностями, которые сохранят ваши данные в секрете и защитят их от воровства.
Распространяется по принципу Open Source, т. е. всем желающим доступен ее исходный код.
Поддерживает 11 алгоритмов шифрования данных в защищенном паролем томе. Вы можете хранить секретные данные в файле (контейнере) или на целом разделе диска, а также на flash-карте, дискете и других съемных устройствах хранения данных.
True Type предлагает мощнейшую защиту зашифрованных
данных: система двойных паролей, стирание следов шифрования,
включая следы работы с мышью и нажатий кнопок клавиатуры, и,
наконец, обеспечение двух уровней правдоподобного отрицания наличия
зашифрованных данных. То есть, во-первых, с помощью «Мастера создания томов TrueCrypt» после обычного зашифрованного тома вы можете создать так называемый скрытый том (стеганография), который создается
внутри обычного. Доступ к такому тому может получить только тот, кто знает о его существовании. То есть, даже если злоумышленники узнают пароль к вашему обычному тому, то все равно они не смогут получить доступ к данным в скрытом томе. Во-вторых, ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt
как с программой, его создавшей).
Смонтированный с помощью «Мастера создания томов TrueCrypt» том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации
файловой системы.
Для доступа к зашифрованным данным можно применять пароль в виде ключевой фразы, ключевого файла (случайно сгенерированного пароля,
который хранится в файле) или их комбинации.
Кроме простого хранения секретных файлов в защищенном контейнере, можно установить в него почтовый клиент, ICQ и другие программы. В результате вся ваша секретная переписка остается на защищенном томе.
Хотя интерфейс программы нельзя назвать интуитивно понятным (однако «Мастер создания томов TrueCrypt» все же дает необходимые пояснения), возможность программы шифрования на лету и бесплатное распространение безо всяких условий делает True Type весьма привлекательным продуктом.
Основные возможности программы
- Создание виртуального зашифрованного логического диска, хранящегося в виде файла.
- Шифрование целых разделов жесткого диска.
- Шифрование других носителей: flash-карт, дискет, usb-флэшек и других съемных устройств хранения данных.
- Функция обманного ввода пароля.
- Основные алгоритмы шифрования: AES (256-бит ключ), Serpent, Twofish.
- Основана на алгоритме Encryption for the Masses (E4M) 2.02a.
-
Имеется русская локализация программы (только для
Windows.
Последняя версия программы подходит для Windows7/Vista/XP, Mac OS X и Linux.
Русификатор TrueCrypt
На сайте программы можно скачать языковый пакет для перевода
интерфейса на русский язык. Русская локализация находится по
адресу: http://www.truecrypt.org/localizations.php.
Чтобы русифицировать программу, сначала установите её. Для установки программы запустите TrueCrypt Setup.exe, в
появившемся окне нажмите кнопку Install. В конце установки вам будет предложено открыть инструкцию для начинающего пользователя TrueCrypt (на английском языке) в интернете. Можете почитать её позже.
ВАЖНО! Не запускайте программу сразу после её установки. Сначала её нужно русифицировать
Для этого извлеките из архива и скопируйте языковой
файл (Language.ru.xml) в каталог программы True Crypt (обычно это папка C:\Program Files\TrueCrypt\). Всё, теперь интерфейс программы
будет на русском языке. Можете запустить TrueType из меню Пуск или с помощью ярлычка на Рабочем столе и ознакомиться с ней.
→ смотрите по теме в разделе «статьи»:Безопасность в Интернете — Информационная Гигиена
→ в раздел Программы
При полной или частичной публикации статьи в
Интернете обязательно указание активной гиперссылки на источник http://programmistan.narod.ru
Защита ключа шифрования VeraCrypt
Итак, мы выбрали шифрование AES, хеш-функцию Whirlpool, а число итераций выставили скромненько 1111 (чтоб и нестандартно, и не забыть случайно). Это полностью защитит контейнер от атаки на пароль, но, как мы помним из начала статьи, спецы могут вообще не устраивать такую атаку, если смогут просто вытащить ключ шифрования из вашего компьютера.
Взять готовый ключ шифрования и с его помощью смонтировать (или расшифровать целиком) зашифрованный раздел — любимый и самый быстрый способ, которым пользуется полиция. Суть его заключается в следующем.
Как вы знаете, для того чтобы зашифровать (и расшифровать) данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика») используется двоичный ключ фиксированной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Вы уже в курсе, каким сложным образом ваш пароль (наверняка очень длинный и безопасный) превращается в ключ фиксированной длины. Дело сейчас не в этом.
Логично, что ключ шифрования данных (MEK) хранится в оперативной памяти компьютера. Это необходимо для того, чтобы программа-криптоконтейнер могла получить доступ к зашифрованным данным в принципе
Обратите внимание: ключ шифрования хранится в оперативной памяти совершенно независимо от того, какой алгоритм шифрования вы выбрали в настройках контейнера. AES, Twofish, Serpent, «Кузнечик» или любая комбинация алгоритмов — независимо от вашего выбора, ключи шифрования будут храниться в оперативной памяти, а сложность и скорость их извлечения практически одинакова
Таким образом, сложность этой атаки мало зависит как от выбора алгоритма шифрования, так и от способа преобразования вашего пароля в двоичный ключ. Максимум, чего удастся добиться нестандартными настройками, — это увеличение времени поиска ключа в образе оперативной памяти, условно говоря, с десяти-пятнадцати минут до полутора-двух часов (цифры условные: многое зависит как от объема оперативной памяти компьютера, с которого делался дамп оперативной памяти, так и от скорости накопителя и центрального процессора, где этот дамп анализируется).
Можно ли защититься от подобных атак? Полноценная защита от извлечения ключей шифрования из оперативной памяти компьютера достаточно сложна, а на обычном десктопе может и вовсе оказаться невозможной (противостоять криогенной атаке вообще достаточно тяжело, но и вероятность ее применения исчезающе мала). В то же время вы можете включить в настройках VeraCrypt недавно появившуюся возможность шифрования ключей шифрования в оперативной памяти компьютера.
Обратите внимание: настройка доступна начиная с VeraCrypt 1.24 (на момент написания статьи актуальна сборка 1.24 Update 4). По умолчанию опция выключена; если ее включить, использование оперативной памяти драйвером увеличится примерно на 10%, производительность упадет на 5–15% (источник), а также будет отключена возможность гибернации
Но это только часть защиты. В файл подкачки или файл гибернации также могут попасть и сами данные, которые хранятся в зашифрованном контейнере, а встроенная в VeraCrypt функция отключения гибернации может не сработать. По-хорошему также необходимо отключить ее на уровне Windows. Опции Hybrid sleep и, собственно, Hibernation.
Обратите также внимание на режим «быстрой загрузки» (Fast Startup) на первом скриншоте. В этом режиме (по умолчанию он, кстати, включен) при выключении компьютера Windows сохраняет состояние ядра в файл на системном диске
Этот файл – в некотором роде урезанный (без user space) аналог файла гибернации. Его наличие позволяет ускорить процесс последующей загрузки, но оно же приводит к возможности утечки ключа шифрования томов VeraCrypt. Отключение режима Fast Startup поможет защититься от этой уязвимости.
Если же жертвовать режимом гибернации не хочется, то стоит подумать о шифровании системного диска с помощью того же BitLocker’а (см. также Возможен ли взлом Bitlocker?). В этом случае и файл подкачки, и файл гибернации будут надежно защищены.
Облако и ключи восстановления доступа
Для VeraCrypt этот момент не критичен, но BitLocker по умолчанию предлагает пользователю сохранить ключ восстановления доступа к зашифрованному диску в облако OneDrive. Если его удастся оттуда извлечь (а полиции обычно удается, достаточно сделать запрос в Microsoft), то расшифровка данных становится тривиальной. Атака сработает и в том случае, если вы сохраните подобный ключ на USB-накопителе, доступ к которому получит полицейский эксперт или злоумышленник. Иными словами, ключи восстановления доступа — палка о двух концах, и с точки зрения чистой безопасности лучше их не иметь, чем иметь.
Описание интерфейса
TrueCrypt может использоваться в различных операционных системах. Благодаря мастеру настройки, пользователь сможет максимально кастомизировать конфигурацию разделов под свои нужды, а все данные будут защищены шифрованием и паролем.
Интерфейс TrueCrypt интуитивно понятен. Пользователю нужно только выбрать диск и создать на нем виртуальный блок. Созданный с помощью программы криптоконтейнер защищен паролем. Доступ к нему смогут получить только те пользователи, которые знают пароль от него.
- возможность составлять пароли разной степени сложности;
- создание скрытых томов, с том числе, скрытых операционных систем;
- возможность скрыть зашифрованные данные, выбрав любое расширение или вообще не используя расширение;
- работа со смонтированным диском других приложений для дефрагментации или диагностики системы;
- единожды введя пароль, работать с файлами без дополнительных манипуляций;
- создание криптоконтейнеров на локальном или съемном диске и в «облаке»;
- настройка уровней отрицания наличия шифрованной информации при экстренном открытии паролей;
- формировать шифрованный динамический файл на дисках файловой системы NTFS.
VeraCrypt
Наиболее продвинутый клон TrueCrypt. У него собственный формат, хотя есть возможность работы в режиме TrueCrypt, в котором поддерживаются зашифрованные и виртуальные диски в формате трукрипта. В отличие от CipherShed, на один компьютер можно одновременно установить TrueCrypt и VeraCrypt.
В трукрипте используется 1000 итераций при генерации ключа, которым будем зашифрован системный раздел, а VeraCrypt использует 327,661 итераций. Для стандартных (не системных) разделов VeraCrypt использует 655,331 итераций для хэш-функции RIPEMD-160 и 500,000 итераций для SHA-2 и Whirlpool. Это делает зашифрованные разделы существенно устойчивее к атаке прямым перебором, но и существенно снижает производительность работы с таким разделом. Насколько существенно, скоро мы выясним.
Преимущества VeraCrypt следующие: открытый исходный код, собственный и более защищенный формат виртуальных/зашифрованных дисков (по сравнению с TrueCrypt). Недостатки те же, что и в случае с «эталоном» — отсутствие поддержки UEFI/GPT, зашифровать системный GPT-диск по-прежнему нельзя, но разработчики уверяют, что работают над этой проблемой и скоро такое шифрование будет доступно. Вот только работают они над этим уже два года (с 2014-го) и когда будет релиз с поддержкой GPT (и будет ли он вообще), пока не известно.
BitLocker
Стандартное средство шифрования дисков, встроенное в Microsoft Windows. Многие просто используют его, не устанавливая сторонних программ. А зачем, ведь есть «придворный шифровальщик»? С одной стороны правильно. С другой стороны, многих пользователей беспокоит, что код закрыт и неизвестно, есть ли в нем backdoors.
Шифрование диска осуществляется алгоритмом AES с длиной ключа 128 или 256 бит. Ключ при этом может храниться в TPM, на самом компьютере или на флешке. Если используется TPM, то при загрузке компьютера ключ может быть получен сразу из него или после аутентификации с помощью ключа на флешке или ввода PIN-кода с клавиатуры. А все это дает огромное пространство для творчества, точнее для ограничения доступа, а именно: TPM, TPM + PIN + USB, TPM + USB, TPM + PIN.
К преимуществам BitLocker можно отнести два неоспоримых факта: ним можно управлять через групповые политики, а также то, что он шифрует том, а не физический диск. А это, в свою очередь, позволяет зашифровать массив из нескольких дисков, чего не могут некоторые другие средства шифрования. Также BitLocker поддерживает GPT. Даже наиболее продвинутый форк трукрипта — VeraCrypt — не поддерживает его и если необходимо зашифровать системный GPT-диск, то его сначала нужно конвертировать в формат MBR.
Итак, можно выделить следующие преимущества BitLocker:
* Поддержка шифрования динамических дисков (массивов дисков).
* Поддержка GPT.
* Поддержка TPM и различных комбинаций ограничения доступа с его использованием.
* Поддержка управления посредством групповых политик.
Недостаток один: закрытый исходный код. Как-то нет доверия у меня (да и не только у меня) к закрытому коду. Чтобы спрятать какую-то инфу от домашних, BitLocker подойдет, но если ты агент 007, то полностью доверять BitLocker нельзя.
Стоит ли переходить с TrueCrypt на VeraCrypt
Эталонной программой, которая много лет позволяет очень надёжно шифровать файлы является TrueCrypt. Эта программа до сих пор прекрасно работает. К сожалению, в настоящее время разработка программы прекращена.
Её лучшей наследницей стала программа VeraCrypt.
VeraCrypt – это бесплатное программное обеспечение для шифрование дисков, она базируется на TrueCrypt 7.1a.
VeraCrypt продолжает лучшие традиции TrueCrypt, но при этом добавляет повышенную безопасность алгоритмам, используемым для шифрования систем и разделов, что делает ваши зашифрованные файлы невосприимчивым к новым достижениям в атаках полного перебора паролей.
VeraCrypt также исправила многие уязвимости и проблемы безопасности, обнаруженные в TrueCrypt. Она может работать с томами TrueCrypt и предлагает возможность конвертировать контейнеры TrueCrypt и несистемные разделы в формат VeraCrypt.
Эта улучшенная безопасность добавляет некоторую задержку только к открытию зашифрованных разделов без какого-либо влияния на производительность в фазе использования зашифрованного диска. Для легитимного пользователя это практически незаметное неудобство, но для злоумышленника становится практически невозможным получить доступ к зашифрованным данным, несмотря на наличие любых вычислительных мощностей.
Это можно продемонстрировать наглядно следующими бенчмарками по взлому (перебору) паролей в Hashcat:
Для TrueCrypt:
Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit Speed.Dev.#1.: 21957 H/s (96.78ms) Speed.Dev.#2.: 1175 H/s (99.79ms) Speed.Dev.#*.: 23131 H/s Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit Speed.Dev.#1.: 9222 H/s (74.13ms) Speed.Dev.#2.: 4556 H/s (95.92ms) Speed.Dev.#*.: 13778 H/s Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit Speed.Dev.#1.: 2429 H/s (95.69ms) Speed.Dev.#2.: 891 H/s (98.61ms) Speed.Dev.#*.: 3321 H/s Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode Speed.Dev.#1.: 43273 H/s (95.60ms) Speed.Dev.#2.: 2330 H/s (95.97ms) Speed.Dev.#*.: 45603 H/s
Для VeraCrypt:
Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit Speed.Dev.#1.: 68 H/s (97.63ms) Speed.Dev.#2.: 3 H/s (100.62ms) Speed.Dev.#*.: 71 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit Speed.Dev.#1.: 26 H/s (87.81ms) Speed.Dev.#2.: 9 H/s (98.83ms) Speed.Dev.#*.: 35 H/s Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit Speed.Dev.#1.: 3 H/s (57.73ms) Speed.Dev.#2.: 2 H/s (94.90ms) Speed.Dev.#*.: 5 H/s Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode Speed.Dev.#1.: 154 H/s (93.62ms) Speed.Dev.#2.: 7 H/s (96.56ms) Speed.Dev.#*.: 161 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit Speed.Dev.#1.: 118 H/s (94.25ms) Speed.Dev.#2.: 5 H/s (95.50ms) Speed.Dev.#*.: 123 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit + boot-mode Speed.Dev.#1.: 306 H/s (94.26ms) Speed.Dev.#2.: 13 H/s (96.99ms) Speed.Dev.#*.: 319 H/s
Как можно увидеть, взломать зашифрованные контейнеры VeraCrypt на несколько порядков сложнее, чем контейнеры TrueCrypt (которые тоже совсем не просты).
Полный бенчмарк и описание железа я публиковал в статье «hashcat + oclHashcat = hashcat».
Второй важный вопрос – надёжность. Никто не хочет, чтобы особо ценные и важные файлы и сведения были потеряны из-за ошибки в программе. Я знаю о VeraCrypt сразу после её появления. Я следил за её развитием и постоянно к ней присматривался. На протяжении последнего года я полностью перешёл с TrueCrypt на VeraCrypt. За год ежедневной работы VeraCrypt меня ни разу не подводила.
Таким образом, на мой взгляд, сейчас стоит переходить с TrueCrypt на VeraCrypt.