Veracrypt — шифрование жесткого диска

Instructions for Building VeraCrypt for Linux and Mac OS X:

1) Change the current directory to the root of the VeraCrypt source code.

2) If you have no wxWidgets shared library installed, run the following
command to configure the wxWidgets static library for VeraCrypt and to
build it:

   $ make WXSTATIC=1 WX_ROOT=/usr/src/wxWidgets wxbuild

The variable WX_ROOT must point to the location of the source code of the
wxWidgets library. Output files will be placed in the ‘./wxrelease/’
directory.

3) To build VeraCrypt, run the following command:

   $ make

or if you have no wxWidgets shared library installed:

   $ make WXSTATIC=1

4) If successful, the VeraCrypt executable should be located in the directory
‘Main’.

By default, a universal executable supporting both graphical and text user
interface (through the switch —text) is built.
On Linux, a console-only executable, which requires no GUI library, can be
built using the ‘NOGUI’ parameter:

$ make NOGUI=1 WXSTATIC=1 WX_ROOT=/usr/src/wxWidgets wxbuild
$ make NOGUI=1 WXSTATIC=1

On MacOSX, building a console-only executable is not supported.

Создание криптоконтейнера TrueCrypt / VeraCrypt

Начнем с создания криптоконтейнера. Запускаем VeraCrypt / TrueCrypt и в главном окне жмем на кнопку Create Volume.

Программа спросит, что мы хотим зашифровать, и предложит три варианта.

Create an encrypted file container – создать обычный криптоконтейнер. Нам нужен именно он.

Encrypt a non-system partition/drive – зашифровать существующий несистемный раздел на жестком диске, USB-флешке или SD-карте.

Encrypt the system partition or entire system drive – зашифровать диск с уже установленной ОС или же создать дополнительный системный диск. При выборе данной опции необходимо будет вводить пароль каждый раз при загрузке операционной системы, и мы расскажем об этом в одной из следующих частей.

На следующем шаге программа уточнит у вас, какой тип криптоконтейнера вы хотите создать: стандартный или скрытый. В этом курсе мы научим вас создавать скрытые криптоконтейнеры, а сейчас выберите стандартный криптоконтейнер — Standard VeraCrypt volume.

Переходим к окну выбора имени криптоконтейнера и его расположения. Жмем Select File…

Перед вами откроется окно выбора места для сохранения файла, имени и расширения создаваемого файла.

Вы можете выбирать любые расширения и места сохранения файлов, однако не рекомендуется указывать имена, дублирующие уже существующие файлы.

Как видно на скриншоте, мы назвали криптоконтейнер data1.dat и сохранили в папке «Рабочий стол». Не знаете, почему мы создали файл с расширением .dat? Это важный момент, о котором вы можете прочитать в главе, посвященной TrueCrypt.

Следующим шагом идет выбор алгоритма шифрования. Алгоритм шифрования — это метод, который будет использоваться для шифрования данных. Мы бы рассказали вам о сравнении алгоритмов, но это сложно и скучно, а потому просто выберите Serpent-Twofish-AES.

Далее система предложит вам указать объем памяти создаваемого криптоконтейнера

Обратите внимание на необходимость создавать криптоконтейнер с учетом использования 5% (но не более 100 МБ) под системную информацию и ключ для дешифрования информации

После выбора выделяемого объема памяти нам необходимо будет создать пароль для дешифрования криптоконтейнера. Мы настоятельно рекомендуем для максимальной защиты использовать в связке с паролем файлом-ключом. Для этого активируйте опцию Use keyfiles.

Перед созданием пароля и файла-ключа рекомендуем познакомиться с этой главой. Для добавления ключа нажмите на кнопку Keyfiles.

В открывшемся окне выберите Add Files, если вы хотите добавить свой файл в качестве ключа, или Generate Random Keyfile, если хотите создать файл-ключ.

Мы рекомендуем именно генерировать новый ключ. Водите мышкой по экрану, пока ключ не сгенерируется, затем укажите его имя и нажмите Generate and Save Keyfiles.Система спросит у вас место сохранения созданного файла-ключа.

Закончив создание ключа, нажмите Add Files… и добавьте созданный ключ в список ключей VeraCrypt / TrueCrypt, затем выберите его в списке и нажмите ОК.

На следующем этапе программа предложит вам выбрать файловую систему. Пользователям Windows мы рекомендуем NTFS. После выбора файловой системы для создания криптоконтейнера нажмите Format.

Не забудьте основательно поводить мышкой, так как это повлияет на безопасность созданного криптоконтейнера (хотя и весьма косвенно).

Время создания криптоконтейнера зависит от его объема и используемых алгоритмов шифрования. По завершении программа предложит вам создать еще один криптоконтейнер. Многих новичков вводит в заблуждение данное окно, и они начинают сомневаться, создался криптоконтейнер или нет. На самом деле, это обычное для VeraCrypt / TrueCrypt завершение создания криптоконтейнера. Просто закройте окно и переходите к использованию созданного криптоконтейнера.

VeraCrypt и функции преобразования пароля

Для того, чтобы зашифровать и расшифровать данные, криптоконтейнер не использует пароль. Для шифрования любым алгоритмом (от AES до «Кузнечика» включительно) используется двоичный ключ переменной длины, так называемый Data Encryption Key или Media Encryption Key (MEK). Каким именно образом пароль пользователя (вероятно, достаточно сложный) преобразуется в двоичный ключ MEK? Он и не преобразуется. Media Encryption Key для единожды созданного контейнера неизменен; он хранится в зашифрованном (точнее сказать, «обёрнутом», wrapped) виде прямо в составе контейнера, а в «развёрнутом» виде используется для доступа к данным.

Ключ шифрования данных MEK в обязательном порядке шифруется (дальше будет тавтология) ключом шифрования ключа шифрования Key Encryption Key (KEK). Без KEK невозможно расшифровать MEK, а без MEK невозможно расшифровать данные. Для чего нужна такая сложная схема? Например, для того, чтобы пользователь мог сменить пароль от зашифрованного диска без обязательной расшифровки и перешифровки всего содержимого. Однако роль пары ключей MEK/KEK этим сценарием не ограничивается. Так, достаточно будет затереть несколько сотен байт в заголовке контейнера (перезаписав область, в которой хранится MEK), и контейнер никто и никогда больше расшифровать не сможет, даже если точно известен пароль. Возможность моментального и безвозвратного уничтожения данных – важная часть общей стратегии безопасности.

Каким образом из пароля получается ключ KEK? VeraCrypt проводит циклическую последовательность односторонних (необратимых) математических преобразований – хеш-функций, причём количество циклов достаточно велико: по умолчанию преобразование производится 500,000 раз. Таким образом, с настройками «по умолчанию» на вычисление одного-единственного ключа KEK на основе введённого пароля VeraCrypt потратит от одной до 5-6 секунд.

Здесь наступает важный момент. В предыдущей главе были приведены скорости работы алгоритмов шифрования, а шифр AES оказался как самым быстрым, так и достаточно безопасным. С выбором алгоритма хеширования ситуация обратная: самый нестандартный и самый медленный алгоритм оказывается и наиболее безопасным. Производительность алгоритмов хеширования на единственном CPU Intel i7-9700K выглядит следующим образом:

Точно так же, как и в случае с алгоритмами шифрования, для проведения атаки на зашифрованный диск эксперт должен указать точный алгоритм хеширования – либо провести атаку на весь спектр алгоритмов.

Насколько быстро или медленно работает перебор паролей? На примере последней версии Elcomsoft Distributed Password Recovery 4.20 с поддержкой VeraCrypt мы получили следующие цифры:

Скорость атаки в стандартной конфигурации (алгоритм шифрования AES, хэш-функция – SHA-512) – 1140 паролей в секунду с загрузкой всех ядер процессора и использованием вычислительных ресурсов видеокарты NVIDIA GeForce 2070. Если провести подобную атаку на диск, зашифрованный алгоритмом Serpent, то цифры не изменятся (нет, мы не копировали данные: все цифры были перепроверены несколько раз). Скорость перебора в гораздо большей степени зависит от функции хеширования и в меньшей – от алгоритма шифрования. Впрочем, последовательное использование двух шифров уменьшит скорость перебора, а трёх – уменьшит ещё сильнее; разница, тем не менее, несравнима с тем, какое влияние на скорость перебора оказывает выбор хеш-функции. Так, выбор Whirlpool вместо SHA-512 замедляет скорость перебора с 1140 до 74.6 паролей в секунду. Самой медленной будет атака по всему спектру возможностей: всего 6.63 паролей в секунду, в 171 раз медленнее атаки с настройками «по умолчанию».

Усовершенствования по сравнению с TrueCrypt

По утверждению разработчиков, в VeraCrypt реализован ряд усовершенствований в области безопасности по сравнению с TrueCrypt.

В то время как TrueCrypt использует 1000 итераций при генерации ключа, которым шифруется системный раздел при использовании алгоритма PBKDF2-RIPEMD-160, VeraCrypt использует 327661 итерацию. Для стандартных шифруемых разделов на диске и файловых контейнеров VeraCrypt использует 655331 итерацию для хэш-функции RIPEMD-160 и 500000 итераций для SHA-2 и Whirlpool. Это существенно замедляет VeraCrypt при открытии зашифрованных разделов диска при их монтировании, но делает его не менее, чем в 10 (и не более, чем в 300) раз более устойчивым к атаке прямым перебором.

Исправлена уязвимость начального загрузчика для Windows. Для режима загрузки из зашифрованного раздела добавлена поддержка алгоритма SHA-256 и исправлены проблемы с уязвимостью ShellExecute для Windows.

Для Linux и macOS добавлена поддержка дисков с сектором большим, чем 512 байт. Для Linux реализована поддержка разделов, отформатированных под NTFS.

Указанные усовершенствования привели к несовместимости с форматом разделов TrueCrypt. Разработчики VeraCrypt сочли старый формат TrueCrypt слишком уязвимым к потенциальной атаке АНБ и отказались от него. Это — одно из главных различий между VeraCrypt и конкурирующим проектом-форком TrueCrypt — CipherShed, который продолжает поддерживать старый формат. Начиная с версии 1.0f, VeraCrypt может открывать и конвертировать в свой формат разделы, отформатированные в формате TrueCrypt.

17 августа 2016 года, в версию 1.18а, добавлена возможность шифрования дисковых разделов, отформатированных в формате GPT.

Завершение

Возможно у некоторых возникнут вопросы, почему не рассмотрели иные методы шифрования, такие как AES-256 и так далее, отвечу, что это потянет на отдельную статью, да и не просто статью. Тут необходимо изучение основ шифрования, что бы разъяснить все тонкости. В данной статье же мы рассмотрели простой пример как установить VeraCrypt в Linux, как создать зашифрованный контейнер, при чем, довольно-таки надежный и в большинстве случаев такого контейнера хватит. Да что уж говорить, даже спецслужбы мало вероятно что смогут взломать такой контейнер, особенно если вы зададите “Use PIM”.

Как говорилось в начале статьи, безопасность ваших конфиденциальных файлов важна, и их утечка может обернуться боком. По этому и рекомендуется для безопасности пользоваться шифрованием, а VeraCrypt вам в этом поможет с большим успехом.

А на этом сегодня все. Надеюсь данная статья будет вам полезна.Журнал Cyber-X

Ключи шифрования хранятся в памяти

VeraCrypt хранит свои ключи в памяти; на обычном персональном компьютере DRAM будет поддерживать его содержание в течение нескольких секунд после включения питания (или дольше, если температура понижена). Даже если есть некоторое ухудшение содержимого памяти, различные алгоритмы могут грамотно восстановить ключи. Этот метод, известный как атака с холодной загрузкой, успешно используется для атаки на файловую систему, защищенную TrueCrypt.

Физическая безопасность

Документация VeraCrypt утверждает, что VeraCrypt не в состоянии защитить данные на компьютере, если злоумышленник физически к нему получил доступ, и если VeraCrypt используется на зараженном компьютере пользователя. Это не влияет на общие случаи кражи, утери, или конфискации компьютера. Злоумышленник, имеющий физический доступ к компьютеру, может, например, установить клавиатурный перехватчик аппаратных средств/программного обеспечения, или установить любые другие вредоносные аппаратные средства или программное обеспечение, позволяющее атакующему получить незашифрованные данные (включая ключи шифрования и пароли), или дешифровать зашифрованные данные, используя полученные пароли или ключи шифрования. Поэтому, физическая безопасность — основная предпосылка защищенной системы. Атаки, такие как эта часто называют «атака злой горничной».

Вредоносные программы

Документация VeraCrypt утверждает, что VeraCrypt не может защитить данные на компьютере, если он имеет какие-то установленные вредоносные программы. Некоторые виды вредоносных программ предназначены для записи нажатия клавиш, в том числе набранных паролей, которые далее могут быть отправлены злоумышленнику через Интернет или сохраненных на незашифрованном локальном диске, с которого злоумышленник может их читать, когда получит физический доступ к компьютеру.

Модуль Trusted Platform Module

FAQ раздел сайта VeraCrypt утверждает, что на модуль Trusted Platform Module (TPM) не стоит полагаться для безопасности, потому что, если злоумышленник имеет физический или административный доступ к компьютеру и использует его впоследствии для изменений на нем, например, атакующий может внедрить вредоносный компонент, такой как аппаратная регистрация нажатия клавиш, которая может быть использована для захвата паролей или другой конфиденциальной информации. Так как TPM не мешает злоумышленнику злонамеренно вносить изменения на компьютер, VeraCrypt не поддерживает модуль TPM.

Как правильно использовать программное обеспечение для шифрования

Несколько советов, которые помогут вам лучше сохранять свои секреты:

1. Старайтесь не допускать посторонних лиц до вашего компьютера, в том числе не сдавайте ноутбуки в багаж в аэропортах; если есть возможность, отдавайте компьютеры в ремонт без системного жёсткого диска и т.д.
2. Используйте сложный пароль. Не используйте тот же самый пароль, который вы используете для почты и т.д.
3. При этом не забудьте пароль! Иначе данные будет невозможно восстановить.
4. Скачивайте все программы только с официальных сайтов.
5. Используйте бесплатные программы или купленные (не используйте взломанный софт). А также не скачивайте и не запускайте сомнительные файлы, поскольку все подобные программы, среди прочих зловредных элементов, могут иметь килоггеры (перехватчики нажатий клавиш), что позволит злоумышленнику узнать пароль от вашего зашифрованного контейнера.
6. Иногда в качестве средства от перехвата нажатий клавиш рекомендуют использовать экранную клавиатуру – думается, в этом есть смысл.

Поддержка VeraCrypt

Как и в случае с большинством программных инструментов с открытым исходным кодом, вы зависите от сообщества, когда дело доходит до поддержки. Команда VeraCrypt предоставляет обширную документацию по приложению, включая прекрасно написанное руководство для начинающих. Однако большая часть другой документации очень техническая.

Если вы новичок, большинство статей для Вас будут сложными.

Есть также форум, который служит единственной прямой формой поддержки. К счастью, сообщество активно, и разработчики VeraCrypt часто отвечают и создают темы.

Что касается поддержки проекта с открытым исходным кодом, VeraCrypt имеет солидное сообщество. Тем не менее, он не может противостоять системам полной поддержки, предлагаемым платными программными инструментами.

Если вам понадобится ручная фиксация во время процесса шифрования, VeraCrypt не для вас. Однако, если вы хоть немного разбираетесь в технологиях, сообщество, вероятно, поможет вам в этом.

Mac OS X specifics:

Under MacOSX, the SDK for OSX 10.7 is used by default. To use another version
of the SDK (i.e. 10.6), you can export the environment variable VC_OSX_TARGET:

$ export VC_OSX_TARGET=10.6

Before building under MacOSX, pkg-config must be installed if not yet available.
Get it from https://pkgconfig.freedesktop.org/releases/pkg-config-0.28.tar.gz and
compile using the following commands :

$ ./configure --with-internal-glib
$ make
$ sudo make install

After making sure pkg-config is available, download and install OSXFuse from
https://osxfuse.github.io/ (MacFUSE compatibility layer must selected)

The script build_veracrypt_macosx.sh available under «src/Build» performs the
full build of VeraCrypt including the creation of the installer pkg. It expects
to find the wxWidgets 3.0.3 sources at the same level as where you put
VeraCrypt sources (i.e. if «src» path is «/Users/joe/Projects/VeraCrypt/src»
then wxWidgets should be at «/Users/joe/Projects/wxWidgets-3.0.3»)

The build process uses Code Signing certificates whose ID is specified in
src/Main/Main.make (look for lines containing «Developer ID Application» and
«Developer ID Installer»). You’ll have to modify these lines to put the ID of
your Code Signing certificates or comment them if you don’t have one.

Because of incompatibility issues with OSXFUSE, the SDK 10.9 generates a
VeraCrypt binary that has issues communicating with the OSXFUSE kernel extension.
Thus, we recommend using a different OSX SDK version for building VeraCrypt.

FreeBSD is supported starting from version 11.
The build requirements and instructions are the same as Linux except that gmake
should be used instead of make.

If you intend to implement a feature, please contact us first to make sure:

1) That the feature has not been implemented (we may have already implemented
it, but haven’t released the code yet).
2) That the feature is acceptable.
3) Whether we need help of third-party developers with implementing the feature.

Information on how to contact us can be found at:
https://www.veracrypt.fr/

Правдоподобное отрицание

VeraCrypt поддерживает концепцию под названием правдоподобное отрицание, позволяя один «скрытый том» создавать с другим объемом. Кроме того, у версий Windows VeraCrypt есть возможность создать и выполнить скрытую зашифрованную операционную систему, существование которой может отрицаться.Документация VeraCrypt перечисляет много путей, которыми может поставиться под угрозу скрытый раздел VeraCrypt функции отрицания (например, внешним программным обеспечением, которое может пропустить информацию через временные файлы, миниатюры, и т.д., к незашифрованным дискам), и возможные способы избежать этого.

Стоит ли переходить с TrueCrypt на VeraCrypt

Эталонной программой, которая много лет позволяет очень надёжно шифровать файлы является TrueCrypt. Эта программа до сих пор прекрасно работает. К сожалению, в настоящее время разработка программы прекращена.

Её лучшей наследницей стала программа VeraCrypt.

VeraCrypt – это бесплатное программное обеспечение для шифрование дисков, она базируется на TrueCrypt 7.1a.

VeraCrypt продолжает лучшие традиции TrueCrypt, но при этом добавляет повышенную безопасность алгоритмам, используемым для шифрования систем и разделов, что делает ваши зашифрованные файлы невосприимчивым к новым достижениям в атаках полного перебора паролей.

VeraCrypt также исправила многие уязвимости и проблемы безопасности, обнаруженные в TrueCrypt. Она может работать с томами TrueCrypt и предлагает возможность конвертировать контейнеры TrueCrypt и несистемные разделы в формат VeraCrypt.

Эта улучшенная безопасность добавляет некоторую задержку только к открытию зашифрованных разделов без какого-либо влияния на производительность в фазе использования зашифрованного диска. Для легитимного пользователя это практически незаметное неудобство, но для злоумышленника становится практически невозможным получить доступ к зашифрованным данным, несмотря на наличие любых вычислительных мощностей.

Это можно продемонстрировать наглядно следующими бенчмарками по взлому (перебору) паролей в Hashcat:

Для TrueCrypt:

Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit
 
Speed.Dev.#1.:    21957 H/s (96.78ms)
Speed.Dev.#2.:     1175 H/s (99.79ms)
Speed.Dev.#*.:    23131 H/s
 
Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit
 
Speed.Dev.#1.:     9222 H/s (74.13ms)
Speed.Dev.#2.:     4556 H/s (95.92ms)
Speed.Dev.#*.:    13778 H/s
 
Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit
 
Speed.Dev.#1.:     2429 H/s (95.69ms)
Speed.Dev.#2.:      891 H/s (98.61ms)
Speed.Dev.#*.:     3321 H/s
 
Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode
 
Speed.Dev.#1.:    43273 H/s (95.60ms)
Speed.Dev.#2.:     2330 H/s (95.97ms)
Speed.Dev.#*.:    45603 H/s

Для VeraCrypt:

Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit
 
Speed.Dev.#1.:       68 H/s (97.63ms)
Speed.Dev.#2.:        3 H/s (100.62ms)
Speed.Dev.#*.:       71 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit
 
Speed.Dev.#1.:       26 H/s (87.81ms)
Speed.Dev.#2.:        9 H/s (98.83ms)
Speed.Dev.#*.:       35 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit
 
Speed.Dev.#1.:        3 H/s (57.73ms)
Speed.Dev.#2.:        2 H/s (94.90ms)
Speed.Dev.#*.:        5 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode
 
Speed.Dev.#1.:      154 H/s (93.62ms)
Speed.Dev.#2.:        7 H/s (96.56ms)
Speed.Dev.#*.:      161 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit
 
Speed.Dev.#1.:      118 H/s (94.25ms)
Speed.Dev.#2.:        5 H/s (95.50ms)
Speed.Dev.#*.:      123 H/s
 
Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit + boot-mode
 
Speed.Dev.#1.:      306 H/s (94.26ms)
Speed.Dev.#2.:       13 H/s (96.99ms)
Speed.Dev.#*.:      319 H/s

Как можно увидеть, взломать зашифрованные контейнеры VeraCrypt на несколько порядков сложнее, чем контейнеры TrueCrypt (которые тоже совсем не просты).

Полный бенчмарк и описание железа я публиковал в статье «hashcat + oclHashcat = hashcat».

Второй важный вопрос – надёжность. Никто не хочет, чтобы особо ценные и важные файлы и сведения были потеряны из-за ошибки в программе. Я знаю о VeraCrypt сразу после её появления. Я следил за её развитием и постоянно к ней присматривался. На протяжении последнего года я полностью перешёл с TrueCrypt на VeraCrypt. За год ежедневной работы VeraCrypt меня ни разу не подводила.

Таким образом, на мой взгляд, сейчас стоит переходить с TrueCrypt на VeraCrypt.

Вышла VeraCrypt 1.24 (6 октября 2019)

Различия между 1.23-Hotfix-2 и 1.24:

Все ОС:

Увеличена максимальная длина пароля до 128 байт в кодировке UTF-8 для не-системных томов.

           — По причинам совместимости добавлена опция для использования устаревшей максимальной длины пароля (64) вместо нового.

• Оптимизация скорости для режима XTS на 64-битных машинах использующих SSE2 (до 10% быстрее).
• Исправлено определение функций центрального процессора AVX2/BMI2. Добавлено определение функций центрального процессора RDRAND/RDSEED. Определение Hygon CPU как AMD one.

Windows:

Реализовано шифрование оперативной памяти для ключей и паролей используя шифр ChaCha12, быстрый некриптографический хэш t1ha и CSPRNG основанный на ChaCha20.

           — Доступно только на 64-битных машинах.

           — По умолчанию отключено. Можно включить используя настройку опций в пользовательском интерфейсе.

           — Меньше 10% накладных расходов на современных процессорах.

                 — Побочный эффект: Windows Hibernate невозможен, если также используется системное шифрование VeraCrypt.

• Память приложений VeraCrypt сделана недоступной для не административных пользователей, что нивелировало некоторые атаки на память (основывается на реализации KeePassXC)
• Новые функции безопасности:

           — Очистка ключей системного шифрования из памяти во время выключения/перезагрузки для помощи в нивелировании некоторых атак cold boot

           — Добавлена опция когда используется системное шифрование для очистки всех ключей шифрования из памяти когда к системе подключено новое устройство.

           — Добавлена новая точка входа драйвера, которая может быть вызвана приложениями для очистки ключей из памяти в случае чрезвычайной ситуации.

• MBR Bootloader: динамично определяет сегменты памяти системного загрузчика прописанных в коде величин (предложил neos6464)
• MBR Bootloader: рабочее решение для проблемы, затрагивающей создание скрытой ОС на тех же SSD дисках.
• Исправлена проблема связанная с тем, что Windows Update ломает загрузчик VeraCrypt UEFI.
• Несколько улучшений и исправлений для EFI bootloader:

          — Реализован механизм таймаута для ввода пароля. Установлен таймаут по умолчанию, равный 3 минутам и действие по умолчанию при наступлении таймаута «shutdown» (выключение).

           — Реализованы новые действия «shutdown» и «reboot» для конфигурационного файла EFI DcsProp.

           — Улучшена реализация Rescue Disk для восстановления загрузчика VeraCrypt.

           — Исправлен ESC на запросе пароля во время Pre-Test not starting Windows.

           — В Rescue Disk добавлен пункт меню, который включает запуск оригинального загрузчика Windows.

               — Исправлена проблема, которая не позволяла вручную выбрать хеш Streebog во время аутентификации до загрузки.

                — Если папка «VeraCrypt» отсутствует на Rescue Disk, то он загрузит ПК напрямую с загрузчика, хранимого на жёстком диске

                     — Это упрощает создание загрузочных дисков для VeraCrypt с Rescue Disk простым удалением/переименованием папки «VeraCrypt».

• Добавлена опция (по умолчанию она отключена) для использования CPU RDRAND или RDSEED (когда доступны) в качестве дополнительного источника энтропии для нашего генератора случайных чисел.
• Добавлена опция монтирования (для графического интерфейса и командной строки), которая позволяет монтировать том без подсоединения его к определённой букве диска.
• Обновление libzip до версии 1.5.2
• Не создаётся ссылка на uninstall в стартовом меню при установке VeraCrypt.
• Включение выбора Быстрого форматирования для создания контейнеров файлов. Разделены опции Быстрое форматирование и Динамический том в графическом интерфейсе мастера.
• Исправлен редактор конфигурационного файла системного шифрования EFI, который не принимал кнопку ENTER для добавления новой строки.
• Предотвращаются одновременные вызовы монтирвоания избранных томов, например, если соответствующая комбинация клавиш нажата несколько раз.
• Гарантировано, что только один поток за раз может создать безопасный рабочий стол.

           — Изменены размеры некоторых диалогов опциях Форматирования и Монтирования, чтобы исправить некоторые проблемы с усечением текста на неанглийских языках.

           — Исправлена высокая загрузка процессора при использовании избранного и добавлен переключатель, чтобы отключить периодическую проверку на устройствах, чтобы уменьшить загрузку процессора.

           — Небольшие изменения интерфейса.

           — Обновления и исправления в переводах и документации.

MacOSX:

Добавлена проверка размера файлового контейнера во время создания, чтобы убедиться, что он меньше, чем доступное свободное пространство диска. Добавлен переключатель командной строки —no-size-check для отключения этой проверки.

Linux:

Портативная версия VeraCrypt в Windows

Начиная с версии 1.22 (которая на момент написания является бетой) для Windows был добавлен портативный вариант. Если вы прочитали раздел про установку, вы должны помнить, что программа и так является портативной и позволяет просто извлечь свои файлы. Тем не менее, отдельный портативный пакет имеет свои особенности: для запуска установщика вам нужны права администратора (даже если вы хотите просто распаковать архив), а портативная версия может быть распакована без прав администратора – отличие только в этом.

Официальные бета версии доступны только только здесь. В папке VeraCrypt Nightly Builds файлом с портативной версией является VeraCrypt Portable 1.22-BETA4.exe.

Файл с контейнером можно разместить на флешке. На эту же флешку можно скопировать портативную версию VeraCrypt – это позволит вам открывать зашифрованный раздел на любом компьютере, в том числе без установленной VeraCrypt. Но помните об опасности перехвата нажатия клавиш – вероятно, в этой ситуации может помочь экранная клавиатура.

Секрет 2. Удаляйте данные об открытых файлах и документах.

Вы, наверное, замечали, что Microsoft Word сохраняет информацию о названиях открытых документов. Аналогичным образом работают и Pages в macOS, и иные офисные программы, медиапроигрыватели сохраняют название видео, программы для просмотра изображений – названия картинок.

К этим данным можно получить доступ, даже когда криптоконтейнер демонтирован. Подобным образом работает софт для проведения криминалистического анализа. В случае с документами совет простой: создавайте названия, не выдающие содержание, по крайней мере, для самых важных документов.

Совет

Для важных документов создавайте названия, не выдающие их содержание и важность.

Совет

Очищайте информацию о просмотренных документах, особенно если речь идет о важных документах.

В случае с картинками все немного интереснее, так как сохраняются миниатюры (thumbnails) просмотренных картинок. Так в свое время был осужден педофил, хранивший все компрометирующие материалы в криптоконтейнерах, но не знавший, что миниатюры всех открытых картинок сохраняются в незашифрованном виде и могут быть просмотрены любым мало-мальски грамотным специалистом. Эти миниатюры и стали главным доказательством в его уголовном деле.

Один из популярных в России учебников по криминалистике содержит пример с фальшивомонетчиками, погоревшими на все тех же миниатюрах. Вы можете посмотреть миниатюры, которые сохранились у вас, по адресу: %userprofile%\AppData\Local\Microsoft\Windows\Explorer (Windows 7, 8, 10).

Как решать эту проблему? Вы можете просто удалить миниатюры, и лучше при помощи шредера, так как обычное удаление всегда оставляет возможность их восстановить. Не забывайте и про резервные копии, где удаленные миниатюры могут сохраниться, обязательно отключайте теневые копии Windows.

Совет

Очищайте информацию о просмотренных изображениях.

В Windows есть возможность полностью отключить создание миниатюр, мы расскажем об этом в главе, посвященной защите от криминалистического анализа. Однако это не исключит сохранение названий просматриваемых изображений.

Производительность

VeraCrypt поддерживает параллелизацию: 63 для шифрования многоядерных систем, и под Microsoft Windows, конвейерные операции чтения / записи (форма асинхронной обработки): 63 для уменьшения падения производительности шифрования и дешифрования. На новых процессорах, поддерживающих набор команд AES-NI, VeraCrypt поддерживает аппаратное ускорение AES для дальнейшего повышения производительности. 64 влияние на производительность шифрования диска особенно заметно на операциях, которые, как правило, используют прямой доступ к памяти (DMA), а все данные должны проходят через CPU для расшифровки, а не переписываются прямо с диска в ОЗУ.

VeraCrypt

Начнем мы с утилиты VeraCrypt – это программа для шифрования данных, основная её фишка в её надёжности, асимметричные алгоритмы шифрования обеспечивают достаточно серьёзный уровень безопасности данных. Она бесплатная и работает вообще на любой операционной системе.

Качаем программу с официального сайта: https://sourceforge.net/projects/veracrypt/ и устанавливаем.

А после запуска видим интерфейс программы, который довольно прост и понятен.

Приступим сразу к созданию нашего зашифрованного контейнера. Контейнер, он же том, это одиночный файл-оболочка внутри которого хранятся, в зашифрованном виде, наши данные. Нажимаем “Создать том”.

И нам на выбор предложат три варианта:

“Создать зашифрованный файловый контейнер” – зашифрованный том будет размещен в файле. Самый распространённый вариант, подходит в большинстве случаев.

“Зашифровать несистемный раздел/диск” – можно зашифровать отдельный раздел или жёсткий диск, также можно зашифровать флешку. В некоторых ситуациях – весьма полезная опция.

“Зашифровать раздел или весь диск с системой” – тоже самое, что и предыдущий вариант только шифруется раздел с операционной системой. Тоже очень интересный вариант, не зная пароля – компьютер даже не получится включить, т.е. если кто-то получит доступ к твоему компьютеру, получить информацию он не сможет. Это намного надёжнее чем пароль от учетной записи системы или пароль от bios, они вообще для защиты от честных людей придуманы. Даже если достать жёсткий диск из системника и вставить в другой – расшифровать данные всё равно не получиться.

Ко второму и третьему варианту ещё прилагается возможность создать скрытый том или скрытую ОС. Т.е. в одном файле будет два тома, с разными файлами, каждому из них создаётся отдельный пароль, и открываться они будут в зависимости от того какой пароль введен. Соответственно, если вдруг, твои пальцы оказались зажаты в двери, ты с чистой совестью сообщаешь пароль от раздела с не очень важными данными – в итоге целы и пальцы и важные данные – профит. Скрытая ОС создается по такому же принципу – одна настоящая, другая поддельная.

Так как мы рассматриваем вариант с шифрованием конкретных файлов выбираем первый вариант и нам предлагают выбрать между обычным томом и скрытым, выбираем обычный и после этого необходимо указать где будет находится наш контейнер.

Очень удобно, что можно поместить файл куда угодно и задать ему любое разрешение, мы, для примера, назовём test.mp4

Важно помнить, что на данном этапе не нужно выбирать существующий файл, потому что мы не зашифруем его, а удалим, при этом на его месте создастся контейнер с таким же именем

После этого нужно выбрать алгоритмы шифрования и хеширования, по умолчанию будут стоять AES-256 и SHA-512, если понимания принципов работы алгоритмов нет, то менять ничего не надо, эти два алгоритма вполне справляются со своей задачей.

Следующим шагом нас спросят сколько места выделить под контейнер.

Следующий этап – создание пароля. Здесь как всегда – чем сложнее тем лучше, главное его потом не забыть.

И финальным шагом нас попросят подергать мышью, пока полоска заполнится зеленым, потом, если необходимо, можно изменить файловую систему и размер кластера, также можно сделать том динамическим т.е. его размер будет увеличиваться по мере его наполнения.

После нажатия кнопки “Разместить” мы увидим сообщение что том успешно создан, а соответственно можно с ним работать. Но перед этим стоит зайти в Настройки->Параметры и настроить их так как тебе удобно.

Обязательно стоит обратить внимание на параметры автоматического размонтирования томов, на мой взгляд, стоит включить автоматическое размонтирование при простое компьютера, остальное по вкусу. И ещё, не лишним будет зайти Настройки->Горячие клавиши и настроить себе комбинацию клавиш для экстренного размонтирования всех томов (ну мало-ли, всякое случается)

А вот после всех этих манипуляций уже можно смело монтировать созданный нами контейнер и начинать складывать туда всякие нужные файлики. Для этого нужно в главном окне программы выбрать букву диска, которая нравится, нажать Тома->Выбрать файл и выбрать созданный нами файл контейнера, после чего нажать “Смонтировать”, программа запросит у нас пароль и если мы введём его правильно, то смонтирует диск, после чего у нас в “Моём компьютере” появится наш том с которым можно работать как с флешкой.

Как вывод по VeraCrypt, можно сказать, что не смотря на кажущуюся простоту в работе этой программы, что кстати скорее плюс, чем минус, она обеспечивает очень серьёзный уровень защиты информации, которого более чем достаточно практически любому пользователю. А мы отправляемся дальше.