Сайт veracrypt

Использование VeraCrypt для шифрования ваших данных. Статья содержит инструкцию и описание использования этой программы

Сайт veracrypt
Шифрование – залог безопасности.В первой части мы рассмотрели аппаратные решения для защиты ваших данных. В этой части поговорим о программных.

У всех есть секреты. Девочки не хотят чтобы их личное фото попало в сеть.

Мальчики не хотят чтобы фото их “бывших” девочек попало на глаза их любимой и единственной. У некоторых бухгалтеров есть важная отчетность. А у домохозяек есть видео – как они готовят самый вкусный борщ.

И всё это должно оставаться в секрете.

Сегодня я расскажу вам где хранить ваши секреты. И как их хранить. Под секретами мы будем понимать любую информацию на вашем компьютере , видео, документы и даже некоторые программы. Вообщем почти всё что у вас может быть. Разумеется, хранить наши секреты мы должны надежно, а получать к ним доступ быстро и просто.

Единственный способ что то надежно сохранить в секрете – это шифрование. Скрытые папки, скрытые файлы и другие хитрости вам не помогут. Некоторые пользователи сохраняют всё личное на своей флешке (или смартфоне), которую всегда носят с собой или хранят в надежном месте. Пока не теряют эту флешку. Кража тоже не исключена.

Давайте определим что нам надо. Нам надо, чтобы никто кроме нас не смог воспользоватся нашими данными. Нам надо, чтобы никто даже не понял что это за данные (фильм, папка, файл??). И нам крайне желательно, чтобы никто не узнал о наличии наших секретов. А ничего тут и нет!

Практически всё вышеописанное реализуют программы шифрования на лету. Их много, но принцип их работы един. Я кратко расскажу на примере одной из лучших таких программ.

Знакомьтесь – VeraCrypt!

VeraCrypt

Официальный сайт https://www.veracrypt.fr. На текущий момент (2019 год) скачать её можно тут. Кстати, программа бесплатная.

Я понимаю, что новичкам многое из того что будет написано ниже может быть непонятным. И у меня был выбор – либо делать 30 картинок с описанием каждого шага, либо 1 видео. Я решил, что видео лучше. И мне и вам. Поэтому я сразу вставлю его сюда. Я пока не стал озвучивать видео и писать к нему комментарии. Ведь там достаточно простые действия.

Как это работает. Основы работы с VeraCrypt это установка, создание тома и использование базовых возможностей программы.

1) Установка. Вы скачиваете VeraCrypt с официального сайта. И устанавливаете эту программу. Простое нажатие кнопки “Далее” без изменения каких либо параметров.

2) Создание тома. После установки вы запускаете VeraCrypt и нажимаете на кнопку “Создать том”. Ни какие параметры не меняете, всё так же нажимаете кнопку “Далее”.

На этапе размещения тома нажимаете кнопку “Файл” и выбираете где будет находиться ваш “том”. Указываете имя тома и нажимаете кнопку “Сохранить”. Том или как его ещё называют файл-контейнер – это зашифрованный файл.

В этом файле и будут храниться все ваши “засекреченные” папки, файлы, документы.

После этого вы снова нажимаете кнопку “Далее” и доходите до размера тома. Выбираете нужный вам размер. Если у вас “секретов” на 100 мегабайт, то размер тома должен быть около 120 мегабайт. Рекомендую выбирать размер тома на 20% больше, чем размер предполагаемых для хранения файлов. Почему так – объяснено в разделе ниже.

Потом задаете пароль. Важно! Ваш пароль – это то, что открывает ваш том
(ваши секреты). Выбирайте сложный, но легко запоминаемый пароль. Я уже рассказывал как выбрать хороший пароль. Нажимаете кнопку “Далее”, читаете предупреждение о коротких паролях и нажимаете кнопку “Да”.

На следующем шаге вы выбираете файловую систему NTFS (Опции) и нажимаете кнопку “Разметить”. Ждете пока создается том (файл-контейнер на диске). Читаете сообщение, что том успешно создан. Нажимаете “Ок” и потом кнопку “Выход”.

3) Использование базовых возможностей программы. После создания тома вы открываете VeraCrypt и выбираете из списка любой свободный диск, щелкнув по нему. Потом нажимаете кнопку “Файл…

” и выбираете там ваш том (мы его только что создавали). После выбора, нажимаете кнопку “Смонтировать”. Вводите пароль (мы его задавали выше) и нажимаете кнопку “Ок”. Если пароль верный, то будет происходить монтирование тома.

И через несколько секунд том будет смонтирован.

После этого вы открываете проводник (Компьютер, Мой компьютер и т.д.) и увидите там новый локальный диск. Это и есть ваш зашифрованный диск, с которым теперь вы можете работать как с обычным диском.

Создавать там папки, файлы. Копировать туда что-то, хранить там секреты. По окончанию работы с диском, вы нажимаете на кнопку “Размонтировать” в VeraCrypt – и диск исчезает.

Всё ваши секреты надежно зашифрованы.

Типовые вопросы по работе с VeraCrypt

Я скачал VeraCrypt. Теперь мне обязательно устанавливать программу? Зачем тогда портативная версия?

Установка программы сделана для удобства. В то время как портативная версия, сделана для универсальности (запуск с флешки например) и усиленной безопасности. Ведь если нет в VeraCrypt установленных программах, нет лишнего повода и подозревать что пользователь что то скрывает.

Что за новый диск появляется в моей системе? У меня всегда был 1 диск С.

Это виртуальный диск. Можете считать его ярлыком на то место, где вы храните свои секреты.

Где хранятся все мои секреты? Я работаю с диском. Он появляется, а когда я его размонтирую он исчезает.

Всё ваши секреты хранятся в зашифрованном файле (файл-контейнер). Выше (в этой статье) мы его создавали и даже указывали к нему пароль. А диск – который появляется, лишь сделан для удобства работы с вашими секретными файлами.

Что такое том и что такое файл-контейнер? Вы говорите то том, то файл-контейнер.

Том это название файла-контейнера в VeraCrypt. Как шасси – это название колеса у самолета. Томом такой файл называют потому, что он монтируется в VeraCrypt превращаясь в логический диск. Это немного вольная трактовка и возможно есть некоторые трудности перевода.

Я могу переместить файл-контейнер на флешку и открывать его оттуда?

Да. Вы можете хранить файл где угодно, перемещать его куда угодно.

У меня много видео, файлов, картинок, документов. И даже есть фильм – Титаник, около 4 Гб. Я хочу всё это скрыть – зашифровать. Но мне надо каждый день с этим работать. И Титаник я тоже хочу смотреть. Это возможно?

Да, это возможно. В большинстве случаев не будет никаких проблем или “тормозов” для современного ПК.

У меня есть файл 4Гб, есть другой 200 мегабайт, есть третий 50 мегабайт. Какой размер контейнера мне создавать?
Лучше, с запасом. А вдруг у вас будет и четвёртый файл? ) Запас делаем исключительно для возможности положить в контейнер что то ещё.

4000+200+50=4250 мегабайт. Давайте создадим файл контейнер в 5 или 6 гигабайт. Да в VeraCrypt есть инструмент для расширения файла, но всё равно лучше создавать контейнер большего объема. Также “запас” нужен для некоторых файловых систем.

И об этом будет следующий вопрос.

Я создал контейнер в 6 гигабайт, а у меня там часть места уже занята. Открываю диск – он пустой. Что занимает место?

Зависит от файловой системы. Если это NTFS, то 12% диска отводятся под служебную зону. Всё нормально – там служебная информация. Если вы будете форматировать диск в NTFS (а в большинстве случаев так и будет), то вам надо учитывать что 12% диска будут изначально заняты.

Какой максимальный размер файла контейнера? Если он большой, как это будет работать? Мне нужно хранить очень много секретов.

Размер любого файла, в том числе файла-контейнера ограничивается файловой системой ОС. Скорее всего у вас Windows и NTFS. Значит размер до 16 эксабайт. Это очень-очень много. Можете даже не задумываться сколько это.

Насчет скорости работы – на практике файл-контейнер в 512 гигабайт (!) работал без особых “тормозов” и нареканий в течении 4 лет.

Источник: https://zen.yandex.ru/media/it_live/ispolzovanie-veracrypt-dlia-shifrovaniia-vashih-dannyh-statia-soderjit-instrukciiu-i-opisanie-ispolzovaniia-etoi-programmy-5cc13e343af81500b3038ab9

Компьютерная программа VeraCrypt – отзыв

Сайт veracrypt

Японская мудрость

Японская мудрость гласит: «Даже если меч понадобится один раз в жизни, носить его нужно всегда». К вопросу о безопасности данных, хранящихся на компьютере это можно отнести так: Даже если быть уверенным, что программа Vera Crypt не понадобится, на ноутбуке она должна стоять.

Уязвимость ноутбука в его мобильности

Ноутбук специально создан для мобильности. Поэтому опасность его утери или кражи сильно возрастает. Даже если очень внимательно следить за вещами во время поездки, профессиональный вор может сделать своё дело.

Не реально? Только не у меня? А если всё же такое произойдёт? Как можно спокойно спать, зная, что конфиденциальная информация доступна тем, кто может использовать её против. Или для кражи денег, для шантажа.

Только по приблизительным данным в США каждую неделю в аэропортах теряются около 10.000 ноутбуков, в Европе 3.500. О России данных я не нашёл, но думаю, тоже немало. И во всех этих десятках тысяч ноутбуках находится информация, которая не зашифрована, часто просто за паролем учётной записи, который легко может обойти обычный продвинутый пользователь, не говоря уже о хакерах.

Vera Crypt превращает ноутбук в сейф

Но если на ноутбуке установлена Vera Crypt, воспользоваться информацией не удастся никому, кроме владельца.

Если всё сделано правильно, открыть информацию не сможет ни то что хакер, ни одна лаборатория не сможет этого сделать. Ноутбук, оснащённый Vera Crypt, превращается в сейф, который невозможно вскрыть.

Информация в ноутбуке для несанкционированного пользователя будет представлять из себя цифровой мусор.

Я пользуюсь Vera Crypt несколько лет. Информация на моём ноутбуке, компьютере, внешнем жёстком диске, а также на флешках находится под надёжной защитой программы Vera Crypt.

Мало того, особо ценная информация находится в специальных криптоконтейнерах, которые имеют повышенный уровень защиты.

В них помимо пароля и числа ПИМ, используется ключевой файл, мало того, они замаскированы под обычные файлы, типа музыки или фильмов.

Но и это ещё не всё, даже если владельца ноутбука вынудят сообщить пароли, ПИМы и ключевые файлы, при определённой настройке программы ничего у вымогателей не выйдет.

Если воспользоваться дополнительными настройками, то можно создать скрытый том Vera Crypt внутри криптоконтейнера, этот том просто не будет виден, его, вроде как, и не будет вовсе.

Я этой функцией не пользовался, но и лишней её не считаю.

Программу нужно скачивать только с официального сайта здесь. Затем её нужно установить. Всё это делается легко, быстро и просто. Русский язык в программе присутствует.

Создание криптоконтейнера

Перед тем, как шифровать жёсткий диск компьютера вместе с установленной операционной системой, сначала нужно потренироваться и создать зашифрованный файловый контейнер (том) или криптоконтейнер. Эти тома можно хранить на облаках, на компьютере, где угодно, они легко монтируются, с ними легко работать.

Интерфейс программы прост и интуитивно понятен. Разработчики хорошо постарались. В трудных местах программа сама даёт подсказки.

Итак, создаём криптоконтейнер. Перед этим в любой папке на компьютере нужно создать, например, пустой файл Word или выбрать любой ненужный файл, или сделать копию любого файла с любым расширением (песня, музыкальный клип). Это будет основа для криптоконтейнера. Расширение можно будет потом менять на любое, маскируя криптоконтейнер.

Начало создания тома

Создание зашифрованного файлового контейнера.

Создать зашифрованный контейнер

Создание обычного тома.

Обычный том VeraCrypt

В окне программы «файл» нужно указать созданный ранее файл-основу. Его размер программа сама изменит на тот, который будет задан пользователем. Я взял файл Word.

Далее, по ходу создания тома, программа предложит заменить файл Word (или другой), нужно согласиться.

Заменить файл

В настройках шифрования ничего менять не нужно.

Дальше нужно задать размер тома. Снизу будет подсказка, она укажет сколько свободного места осталось на диске. Размер можно задавать любой. Можно создавать контейнеры по нескольку гигабайт и хранить их на облаках, не опасаясь, что информация в них станет доступной посторонним.

Рамер тома

После нужно поставить пароль, ввести значение ПИМ (любое число, но по-моему не более 1500) и ключевой файл (любой файл, но можно сгенерировать и Vera Crypt). Можно просто ограничиться паролем. Важно помнить, что без ПИМа, как и без ключевого файла открыть кариптоконтейнер будет невозможно.

Установить пароль

Во время формирования тома нужно хаотично двигать мышкой в окне программы. Чем дольше и быстрее двигать, чем надёжнее будет ключ шифрования. Программа будет давать подсказки сама.

Двигать мышкой в окне программы

Нужно согласиться на замену.

Согласиться на замену

Завершающий этап формирования зашифрованного тома.

Криптоконтейнер создан

Всё, критоконтейнер создан. Далее нужно разобраться с его монтированием, потому что открыть его можно только как отдельный диск. Там всё просто: в главном окне программы выбираем «файл», далее нажимаем «смонтировать», вводим пароль. В папке «мой компьютер» появится криптоконтейнер в виде отдельного диска.

Шифрование жёсткого диска

Шифрование всего жёсткого диска с установленной операционной системой происходит аналогичным образом, нужно лишь выбрать соответствующий параметр «зашифровать весь диск с системой». Только там подсказок программа выдаёт больше.

Ничего бояться не нужно, сначала шифрования не будет, а будет тест. Я поначалу на тестовом режиме находился несколько дней, потому как был сложный пароль. После того, как я убедился, что всё в порядке, я включил шифрование.

Даже если всё «полетит к чертям» у пользователя остаётся загрузочный диск в виде флешки. На ней будет будет сохранён загрузчик. Но без пароля загрузочный диск будет бесполезен, он лишь помогает восстановить загрузчик. Но я думаю, что до этого вряд ли дойдёт. Просто разработчики очень сильно постарались, чтобы максимально обезопасить пользователей от неожиданностей.

Другие функции программы

  • Способом, который аналогичен созданию зашифрованных томов, можно шифровать флешки и внешние диски. Только в этом случае в окне программы нужно выбирать не «файл», а «устройство».
  • Можно включить функцию «избранные» тома, и указанные тома будут автоматически монтироваться при входе в систему.
  • Также можно прерывать процесс шифрации, а затем возобновлять его с прерванного места.
  • Можно расширять уже зашифрованные тома.
  • Само собой, можно всё зашифрованное расшифровать.
  • Пароли можно менять, а ключевые файлы удалять или добавлять новые.

Итоги

Я думаю, что на сегодняшний день Vera Crypt является самым надёжным инструментом сокрытия личной информации от посторонних глаз. Сложного в этой программе ничего нет. Даже если ноутбук будет целенаправленно похищен, никакой информации из него добыть не получится.

Источник: https://irecommend.ru/content/ne-daite-povod-voru-vospolzovatsya-informatsiei-kotoraya-khranitsya-na-kompyutere

veracrypt/VeraCrypt

Сайт veracrypt

This archive contains the source code of VeraCrypt.It is original TrueCrypt 7.1a with security enhancements and modifications.

Important

You may use the source code contained in this archive only if you accept andagree to the license terms contained in the file 'License.txt', which isincluded in this archive.

Note that the license specifies, for example, that a derived work must not becalled 'TrueCrypt' or 'VeraCrypt'

Contents

I. WindowsRequirements for Building VeraCrypt for Windows.Instructions for Building VeraCrypt for Windows.Instructions for Signing and Packaging VeraCrypt for Windows.

II. Linux and Mac OS XRequirements for Building VeraCrypt for Linux and Mac OS X.Instructions for Building VeraCrypt for Linux and Mac OS X.Mac OS X specifics

III. FreeBSD

IV. Third-Party Developers (Contributors)

V. Legal Information

VI. Further Information

I. Windows

  • Microsoft Visual C++ 2010 SP1 (Professional Edition or compatible)
  • Microsoft Visual C++ 1.52 (available from MSDN Subscriber Downloads)
  • Microsoft Windows SDK for Windows 7.1 (configured for Visual C++ 2010)
  • Microsoft Windows SDK for Windows 8.1 (needed for SHA-256 code signing)
  • Microsoft Windows Driver Kit 7.1.0 (build 7600.16385.1)
  • NASM assembler 2.08 or compatible
  • YASM 1.3.0 or newer.
  • gzip compressor
  • upx packer (available at https://upx.github.io/)

IMPORTANT:

The 64-bit editions of Windows Vista and later versions of Windows, and insome cases (e.g. playback of HD DVD content) also the 32-bit editions, do notallow the VeraCrypt driver to run without an appropriate digital signature.Therefore, all .

sys files in official VeraCrypt binary packages are digitallysigned with the digital certificate of the IDRIX, which wasissued by Thawte certification authority. At the end of each official .exe and.sys file, there are embedded digital signatures and all related certificates(i.e.

all certificates in the relevant certification chain, such as thecertification authority certificates, CA-MS cross-certificate, and theIDRIX certificate).Keep this in mind if you compile VeraCryptand compare your binaries with the official binaries.

If your binaries areunsigned, the sizes of the official binaries will usually be approximately10 KiB greater than sizes of your binaries (there may be further differencesif you use a different version of the compiler, or if you install a differentor no service pack for Visual Studio, or different hotfixes for it, or if youuse different versions of the required SDKs).

Instructions for Building VeraCrypt for Windows:

  1. Create an environment variable 'MSVC16_ROOT' pointing to the folder 'MSVC15'extracted from the Visual C++ 1.52 self-extracting package.

    Note: The 16-bit installer MSVC15\SETUP.EXE cannot be run on 64-bit Windows,but it is actually not necessary to run it. You only need to extract thefolder 'MSVC15', which contains the 32-bit binaries required to build theVeraCrypt Boot Loader.

  2. If you have installed the Windows Driver Development Kit in anotherdirectory than '%SYSTEMDRIVE%\WinDDK', create an environment variable'WINDDK_ROOT' pointing to the DDK installation directory.

  3. Open the solution file 'VeraCrypt.sln' in Microsoft Visual Studio 2010.

  4. Select 'All' as the active solution configuration.

  5. Build the solution.

  6. If successful, there should be newly built VeraCrypt binaries in the'Release' folder.

Instructions for Signing and Packaging VeraCrypt for Windows:

First, create an environment variable 'WSDK81' pointing to the Windows SDKfor Windows 8.1 installation directory.The folder “Signing” contains a batch file (sign.

bat) that will sign allVeraCrypt components using a code signing certificate present on thecertificate store and also build the final installation setup.The batch file suppose that the code signing certificate is issued by Thawt.This is the case for IDRIX's certificate.

If yours is issued by another CA,then you should put the Root and Intermediate certificates in the “Signing”folder and then modify sign.bat accordingly.

VeraCrypt EFI Boot Loader:

VeraCrypt source code contains pre-built EFI binaries under src\Boot\EFI.The source code of VeraCrypt EFI Boot Loader is licensed under LGPL andit is available at https://github.com/veracrypt/VeraCrypt-DCS.For build instructions, please refer to the file src\Boot\EFI\Readme.txt.

II. Linux and Mac OS X

  1. Change the current directory to the root of the VeraCrypt source code.

  2. If you have no wxWidgets shared library installed, run the followingcommand to configure the wxWidgets static library for VeraCrypt and tobuild it:

    $ make WXSTATIC=1 WX_ROOT=/usr/src/wxWidgets wxbuild

    The variable WX_ROOT must point to the location of the source code of thewxWidgets library. Output files will be placed in the './wxrelease/'directory.

  3. To build VeraCrypt, run the following command:

    $ make

    or if you have no wxWidgets shared library installed:

    $ make WXSTATIC=1

  4. If successful, the VeraCrypt executable should be located in the directory'Main'.

By default, a universal executable supporting both graphical and text userinterface (through the switch –text) is built.On Linux, a console-only executable, which requires no GUI library, can bebuilt using the 'NOGUI' parameter:

$ make NOGUI=1 WXSTATIC=1 WX_ROOT=/usr/src/wxWidgets wxbuild$ make NOGUI=1 WXSTATIC=1

On MacOSX, building a console-only executable is not supported.

Mac OS X specifics:

Under MacOSX, the SDK for OSX 10.7 is used by default. To use another versionof the SDK (i.e. 10.6), you can export the environment variable VC_OSX_TARGET:

$ export VC_OSX_TARGET=10.6

Before building under MacOSX, pkg-config must be installed if not yet available.Get it from https://pkgconfig.freedesktop.org/releases/pkg-config-0.28.tar.gz andcompile using the following commands :

$ ./configure –with-internal-glib$ make$ sudo make install

After making sure pkg-config is available, download and install OSXFuse fromhttps://osxfuse.github.io/ (MacFUSE compatibility layer must selected)

The script build_veracrypt_macosx.sh available under “src/Build” performs thefull build of VeraCrypt including the creation of the installer pkg. It expectsto find the wxWidgets 3.0.3 sources at the same level as where you putVeraCrypt sources (i.e. if “src” path is “/Users/joe/Projects/VeraCrypt/src”then wxWidgets should be at “/Users/joe/Projects/wxWidgets-3.0.3”)

The build process uses Code Signing certificates whose ID is specified insrc/Main/Main.make (look for lines containing “Developer ID Application” and”Developer ID Installer”). You'll have to modify these lines to put the ID ofyour Code Signing certificates or comment them if you don't have one.

Because of incompatibility issues with OSXFUSE, the SDK 10.9 generates aVeraCrypt binary that has issues communicating with the OSXFUSE kernel extension.Thus, we recommend using a different OSX SDK version for building VeraCrypt.

III. FreeBSD

FreeBSD is supported starting from version 11.The build requirements and instructions are the same as Linux except that gmakeshould be used instead of make.

IV. Third-Party Developers (Contributors)

If you intend to implement a feature, please contact us first to make sure:

  1. That the feature has not been implemented (we may have already implementedit, but haven't released the code yet).
  2. That the feature is acceptable.
  3. Whether we need help of third-party developers with implementing the feature.

Information on how to contact us can be found at:https://www.veracrypt.fr/

V. Legal Information

This software as a whole:
Copyright (c) 2013-2020 IDRIX. All rights reserved.

Portions of this software:Copyright (c) 2013-2020 IDRIX. All rights reserved.Copyright (c) 2003-2012 TrueCrypt Developers Association. All rights reserved.Copyright (c) 1998-2000 Paul Le Roux. All rights reserved.Copyright (c) 1998-2008 Brian Gladman, Worcester, UK. All rights reserved.

Copyright (c) 1995-2017 Jean-loup Gailly and Mark Adler.Copyright (c) 2016 Disk Cryptography Services for EFI (DCS), Alex KolotnikovCopyright (c) 1999-2017 Dieter Baron and Thomas Klausner.Copyright (c) 2013, Alexey Degtyarev. All rights reserved.Copyright (c) 1999-2016 Jack Lloyd.

All rights reserved.

Copyright (c) 2013-2019 Stephan Mueller smueller@chronox.de

Источник: https://github.com/veracrypt/VeraCrypt

Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными

Сайт veracrypt

Ты пользуешься VeraCrypt и всегда выбираешь самый надежный алгоритм шифрования и длинный пароль, надеясь, что так ты сделаешь контейнер неприступным? Эта статья перевернет твои представления о том, как работает безопасность криптоконтейнеров, и покажет, что на самом деле влияет на стойкость контейнера к взлому.

VeraCrypt — наиболее популярный форк знаменитого средства шифрования TrueCrypt.

Почему ему часто отдают предпочтение? На стороне VeraCrypt — открытый исходный код, а также собственный и более защищенный по сравнению с TrueCrypt формат виртуальных и зашифрованных дисков.

Исходники VeraCrypt проходили независимый аудит, и найденные уязвимости с тех пор закрыли, что сделало «Веру» еще надежнее.

Эта статья не о том, как ломать криптоконтейнеры. Однако, если ты не знаешь, как станут действовать эксперты, пытающиеся получить доступ к зашифрованным данным, будет трудно понять смысл описанных действий.

Действия эксперта в лаборатории зависят от того, что именно и каким именно образом изъято при обыске.

Самый типичный случай — изъятие внешних накопителей целиком; компьютеры выключаются и также изымаются целиком, но в лабораторию к эксперту попадает не целый компьютер в сборе, а только извлеченные из него диски.

Подобный сценарий — тот самый случай, противостоять которому так долго готовились разработчики всех криптоконтейнеров без исключения. Лобовые атаки на криптоконтейнеры малоэффективны, а на некоторые их разновидности (в частности, загрузочные разделы, зашифрованные в режиме TPM или TPM + ключ) неэффективны абсолютно.

В типичном случае эксперт попытается сначала проанализировать файлы гибернации и подкачки.

Если пользователь пренебрег настройками безопасности криптоконтейнера (кстати, при использовании BitLocker эти настройки далеко не очевидны), то ключи шифрования спокойно извлекаются из этих файлов, а зашифрованные тома расшифровываются без длительных атак. Разумеется, в ряде случаев эта атака не сработает. Она будет бесполезна, если выполнено хотя бы одно из описанных ниже условий.

1. Загрузочный диск зашифрован. В этом случае и файл подкачки, и файл гибернации будут также зашифрованы.

Например, если для шифрования загрузочного раздела используется BitLocker (это имеет смысл, даже если остальные данные зашифрованы в контейнерах VeraCrypt), то Microsoft подробно описывает модель безопасности в FAQ и BitLocker Security FAQ (раздел What are the implications of using the sleep or hibernate power management options?).

Кстати, из этого правила есть исключения — например, если файл подкачки вынесен на отдельное от загрузочного устройство (довольно распространенный случай для пользователей, которые таким образом «экономят» ресурс загрузочного SSD).

2. Компьютер был выключен штатным образом (через команду Shutdown) или был изъят в состоянии гибридного сна либо гибернации; при этом криптоконтейнер настроен таким образом, чтобы автоматически размонтировать зашифрованные тома и уничтожать ключи шифрования в оперативной памяти при переходе компьютера в сон, гибернацию или при его отключении.

Немного сложно для восприятия? Упрощу: если в момент изъятия зашифрованный том был смонтирован, а полиция просто выдернула вилку из розетки, то ключ шифрования, скорее всего, останется в файле гибернации (удастся ли его оттуда вытащить — зависит от пункта 1). А вот если компьютер выключили командой Shutdown, то наличие или отсутствие ключа будет зависеть от настроек криптоконтейнера. О том, как правильно настроить VeraCrypt, мы поговорим дальше.

3. Наконец, очевидное: анализ файлов подкачки и гибернации совершенно бесполезен, если в момент изъятия компьютера зашифрованный том не был подмонтирован.

Если извлечь ключи шифрования не удается, эксперт поищет их в облаке или корпоративной сети (для томов, зашифрованных штатными средствами BitLocker или FileVault 2). Только после этого в ход пойдет лобовая атака — перебор паролей.

С перебором паролей тоже непросто. Во-первых, давно прошли времена, когда под «лобовой атакой» понимался простой брутфорс. Скорость атаки будет такой, что полный перебор всего пространства паролей становится бесполезен, если длина пароля к криптоконтейнеру превышает 7–8 символов.

Соответственно, для атак используются словари, в первую очередь — словари, составленные из паролей самого пользователя (извлечь их можно как из компьютера пользователя, так и из его мобильных устройств или напрямую из облака Google Account).

Давно разработаны методы анализа паролей и составления правил-шаблонов, на основе которых будут генерироваться «похожие» пароли.

Для атаки в полиции будут использовать один из немногих пакетов программ, позволяющих запустить атаку на множестве (в теории — до нескольких тысяч, в реальности — порядка сотен) компьютеров, каждый из которых будет оснащен несколькими графическими ускорителями.

Звучит неправдоподобно? Тем не менее во время тренингов для полиции в разных частях земного шара я видел помещения с компьютерами, использующимися для распределенных атак. Могу сказать о них следующее.

Создателей фантастических фильмов в эти помещения, очевидно, не пускают, поэтому на экранах кинотеатров нам приходится наблюдать жалкие плоды убогой фантазии.

Просто чтобы обозначить масштаб, поделюсь поразившим меня фактом: на рабочих столах полицейских экспертов одного британского захолустья стоят компьютеры с GeForce 2080 и 40 процессорными ядрами.

Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.

Дальше опробуют атаку с мутациями (берется слово из словаря, и проверяются его варианты, составленные по довольно простым правилам, которыми пользуется подавляющее большинство обычных пользователей). Кстати, на мутациях чаще всего и заканчиваются попытки атак в тех случаях, когда у полиции нет зацепок — не удалось получить ни одного пароля пользователя.

Если это не сработает, в ход пойдут маски (попытки вручную сконструировать пароли, «похожие» на те, которые были найдены у пользователя).

В особо сложных случаях дело дойдет до гибридных атак (использование комбинаций из одного или двух словарей в комбинации со скриптованными правилами, масками и/или префиксами).

Нестандартно действовать полиция начинает в редких случаях, когда у подозреваемого заранее предполагается наличие зашифрованных «цифровых улик». В этом случае вместе с оперативниками выезжают подготовленные эксперты, которые проконтролируют изъятие и попытаются исследовать включенные, работающие компьютеры прямо на месте. Эксперт попробует сделать следующее.

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Источник: https://xakep.ru/2020/01/30/fortified-veracrypt/

Создание зашифрованного диска с «двойным» дном с помощью Veracrypt

Сайт veracrypt

VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров.

В этой статье мы рассмотрим интересную возможность VeraCrypt для создания зашифрованного диска со скрытым разделом, этот метод, также называемый методом «двусмысленного шифрования», обеспечивает возможность правдоподобного отрицания наличия второго тома, т.к. не обладая нужным паролем, доказать существование скрытого тома не представляется возможным.

Для работы с зашифрованным разделом наличие ключевого файла не является обязательным, но если защищать данные по-максимуму, то лишним не будет, например, как еще один фактор для обеспечения достаточно высокой стойкости к принуждающим атакам, также известным как «метод терморектального криптоанализа». В данном случае предполагается наличие двух ключевых файлов на внешних носителях, один из которых будет хранится в достаточно надежном месте, например, в защищенной банковской ячейке. Вторая же копия при возникновении угрозы уничтожается. Таким образом, даже если наличие скрытого раздела стало известно, а пароль от него извлечен методом силового воздействия — без ключевого файла доступ к зашифрованной информации получить не удастся. В VeraCrypt есть инструмент для генерации ключевого файла, позволяющий создать файл со случайными данными заданного размера. Для этого необходимо запустить из меню Сервис — Генератор ключевых файлов, задать необходимое количество ключевых файлов и их размер, и сгенерировать энтропию, совершая хаотичные движения мышкой. После этого сохранить ключевой файл (в нашем случае, также сделав и его копию).
Для того чтобы создать скрытый зашифрованный раздел, нужно сначала подготовить обычный (внешний) зашифрованный том. Для его создания запустим из меню СервисМастер создания томов.

Выберем “Зашифровать несистемный раздел/диск“, что бы создать зашифрованный диск (в моем случае это небольшой SSD диск). Если отдельного диска нет, можно использовать “Создать зашифрованный файловый контейнер“, т.к. он будет в дальнейшем смонтирован как виртуальный диск, все последующие инструкции справедливы и для него.

Тип тома зададим “Скрытый том Veracrypt“, режим тома «Обычный» (т.к. мы создаём новый том). В размещении тома нужно выбрать диск, на котором будет создан зашифрованный том, в случае создания файлового контейнера, нужно будет указать место, где этот файл создать.

https://www.youtube.com/watch?v=JAZ8sfuMC7I

Режим создания тома “Создать и отформатировать” если диск пустой, или “Зашифровать на месте“, если на диске уже есть данные, которые нужно зашифровать.

Алгоритм шифрования оставляем AES, т.к. несмотря на наличие возможности выбрать один из пяти алгоритмов шифрования, AES является достаточно надежным и быстрым (в VeraCrypt поддерживается и включено по умолчанию аппаратное ускорение этого алгоритма, при использовании процессоров, имеющих набор инструкций AES-NI). Средняя скорость шифрования/дешифрования в памяти (12 потоков, Апп. ускорение AES включено, Мб/c, больше-лучше): Зададим надежный пароль (как выбрать надежный пароль мы рассказывали в этой статье).Интересный факт: пароль “самого разыскиваемого хакера”, использовавшего полное шифрование дисков, Джереми Хэммонда, был именем его кошки: “Chewy 123”; Перед форматированием тома потребуется совершить несколько хаотичных движений мышкой, что бы создать необходимый уровень энтропии для шифрования. Опцию «быстрое форматирование» не следует использовать, так как предполагается создание скрытого раздела. Если не предполагается хранение больших файлов (>4Гб), тип файловой системы рекомендуется оставить FAT.
В мастере томов выберем “Зашифровать несистемный раздел/диск“. Режим тома “Скрытый том VeraCrypt“. Режим создания “Прямой режим“. Выберем устройство или контейнер, зашифрованные на предыдущем шаге. Введем созданный ранее пароль и нажмем “Далее“. Укажем тип шифрования для скрытого тома. Как и выше, я рекомендую оставить настройки по умолчанию. На данном этапе мы можем добавить использование ключевого файла, как дополнительной меры защиты.

На следующем шаге определим сколько места “забрать” у основного тома для создания скрытого тома. Дальнейший процесс настройки тома, аналогичен настройке внешнего тома.

Монтирование тома может занимать некоторое время, это связано с большим количеством итераций при генерации ключа, что повышает стойкость при атаках «в лоб» в десятки раз.

Для подключения внешнего тома нажмем “Смонтировать“, откроем “Параметры” и установим опцию “Защитить скрытый том от повреждения при записи” и укажем пароль и ключевой файл от скрытого тома.

Опцию защиты при монтировании внешнего тома необходимо включать, так как скрытый том является частью внешнего, и запись во внешний том без защиты может повредить скрытый том. В том случае, если вас заставляют смонтировать внешний том силовым методом (против которого этот механизм и был создан), то, естественно, вы его монтируете как обычный том, и VeraCrypt не будет показывать что это внешний том, он будет выглядеть как обычный. Во внешнем томе можно разместить информацию, которая будет выглядеть или быть отчасти чувствительной, в то время как все самое ценное будет храниться на скрытом томе.
Для подключения скрытого тома, нажмем «Смонтировать», укажем пароль и ключевой файл от скрытого тома. При примонтированном скрытом томе, VeraCrypt добавляет пометку “Скрытый“.

Атаки методом перебора, при наличии стойкого пароля малоэффективна — это тот сценарий, к которому и готовились разрабочики VeraCrypt, а при наличии ключевого файла — неэффективны абсолютно. Теоретически, получив доступ к выключенному компьютеру, есть некоторый шанс извлечь ключи шифрования из памяти или файла гибернации и файла подкачки. Для противодействия такого рода атакам рекомендуется включить опцию шифрования ключей и паролей в ОЗУ в меню Настройка — Быстродействие и отключить файл подкачки и спящий режим. Хранение данных в зашифрованном виде убережет их в случае утери, конфискации или кражи устройства, но в случае, если злоумышленники получили скрытый контроль над компьютером по сети, например, с использованием вредоносного ПО с возможностями удаленного управления, им не составит труда получить ключевой файл и пароль в момент использования. Варианты противодействия этим типам атак рассматривать не будем, так как тема сетевой безопасности довольно обширна, и выходит за рамки данной статьи.

Источник: https://habr.com/ru/company/ruvds/blog/525876/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.