Шифроване и скорост. Сравнителен тест на инструменти за криптиране на дискове

За да се предотврати неоторизиран достъп до системата и данните, Windows 7/10 предоставя възможност за задаване на парола, включително графична, но този метод на защита не може да се счита за особено надежден. Паролата за локален акаунт може лесно да бъде нулирана от помощни програми на трети страни и най-важното е, че нищо не ви пречи да получите достъп до файловата система чрез зареждане от всеки LiveCD с вграден файлов мениджър.

За да защитите наистина данните си, трябва да използвате криптиране. Вградената функция BitLocker също ще работи за това, но е по-добре да използвате програми на трети страни. Дълго време TrueCrypt беше предпочитаното приложение за криптиране на данни, но през 2014 г. разработчиците му затвориха проекта, като казаха, че програмата вече не е защитена. Скоро обаче работата по него е възобновена, но с нов екип, а самият проект получава ново име. Ето как се роди VeraCrypt.

Всъщност VeraCrypt е подобрена версия на TrueCrypt и предлагаме да използвате тази програма, за да защитите вашата информация. В примера по-горе ние използваме VeraCrypt максимално, използвайки го за криптиране на целия твърд диск със системни и потребителски дялове. Този метод на криптиране крие определени рискове – има шанс, макар и много малък, системата да не може да се стартира, затова ви съветваме да прибягвате до него само когато наистина ви е необходим.

Инсталиране и основна настройка на VeraCrypt

Процедурата за инсталиране на VeraCrypt не се различава от инсталирането на други програми, само с едно изключение. В самото начало ще бъдете помолени да изберете между режимите на инсталиране Инсталирайили Екстракт.

В първия случай програмата ще бъде вградена в операционната система, което ще ви позволи да свържете криптирани контейнери и да шифровате самия системен дял. Режимът на извличане просто извлича изпълними файлове на VeraCrypt, което ви позволява да го използвате като преносимо приложение. Някои функции, включително криптиране на диск с Windows 7/10, стават недостъпни.

Веднага след стартиране отидете в менюто Настройки – Език, тъй като по подразбиране програмата е инсталирана на английски.

Криптиране на диска

Въпреки привидната сложност на задачата, всичко е много просто. Изберете опцията „Шифроване на системния дял/диск“ от менюто „Система“.

В прозореца на съветника, който се отваря, изберете „Нормално“ като метод (това е достатъчно), зоната за криптиране е целият диск.

След като завършите търсенето на скрити сектори (процедурата може да отнеме много време), посочете броя на операционните системи и...

алгоритъм за криптиране (по-добре е да оставите всичко тук по подразбиране).

Забележка:Ако Windows спре да отговаря, докато търси скрити сектори, принудително рестартирайте компютъра си и следващия път пропуснете тази стъпка, като изберете „Не“.

Създайте и въведете парола в полетата.

Премествайки мишката произволно, генерирайте ключ и щракнете върху „Напред“.

На този етап програмата ще предложи да създадете VRD - диск за възстановяване и да го запишете на флаш или оптичен носител.

Когато бъдете подканени да изпълните предварителен тест за криптиране на системата, щракнете върху Тест.

Ще трябва да рестартирате компютъра си. След като включите компютъра, ще се появи екранът за зареждане на VeraCrypt. Тук ще трябва да въведете паролата, която сте създали, и PIM - броя на повторенията на криптиране. Ако не сте въвели PIM никъде преди, просто натиснете enter, стойността на опцията ще бъде зададена по подразбиране.

След няколко минути Windows ще се зареди в нормален режим, но прозорецът Pretest Completed ще се появи на работния плот - предварителното тестване е завършено. Това означава, че можете да започнете да криптирате. Щракнете върху бутона „Шифроване“ и потвърдете действието.

Процедурата за криптиране ще започне. Може да отнеме много време, в зависимост от размера на диска и колко е пълен с данни, така че бъдете търпеливи и изчакайте.

Забележка:Ако устройството има EFI шифрован дял, което е типично за последните версии на компютри, може да получите известие в началото на шифроването, което гласи „Windows изглежда не е инсталиран на устройството...“. Това означава, че такъв диск не може да бъде криптиран с помощта на VeraCrypt.

След като цялото съдържание на диска бъде шифровано, прозорецът на програмата за зареждане на VeraCrypt ще се появява всеки път, когато включите компютъра и всеки път, когато трябва да въведете парола; няма друг начин за достъп до шифрованите данни. С дешифрирането на диска всичко е много по-просто. Всичко, което трябва да направите, е да стартирате програмата, да изберете опцията „Постоянно дешифриране на системния дял/диск“ в менюто „Система“ и да следвате инструкциите на съветника.

Нашите медии съхраняват огромни количества лична и важна информация, документи и медийни файлове. Те трябва да бъдат защитени. Криптографски методи като напр AESИ Две риби, които стандартно се предлагат в програмите за криптиране, са на възраст приблизително едно поколение и осигуряват относително високо ниво на сигурност.

На практика средният потребител няма да може да направи голяма грешка в избора си. Вместо това трябва да изберете специализирана програма в зависимост от вашите намерения: криптирането на твърдия диск често използва различен режим на работа от криптирането на файлове.

Дълго време най-добрият избор беше помощната програма TrueCrypt, ако говорим за пълно криптиране на твърдия диск или запазване на данни в криптиран контейнер. Този проект вече е затворен. Неговият достоен наследник беше програма с отворен код VeraCrypt. Той се основаваше на кода TrueCrypt, но беше модифициран, което доведе до подобрено качество на криптиране.

Например във VeraCrypt подобрено генериране на ключ от парола. По-рядко срещан режим, използван за криптиране на твърди дискове, е ТГС, А XTS. В този режим блоковете се криптират по тип ЕЦБ, но това добавя номера на сектора и вътрешносегментно изместване.

Случайни числа и силни пароли

За защита на отделни файлове е достатъчна безплатна програма с прост интерфейс, например MAXA Crypt Portableили AxCrypt. Препоръчваме AxCrypt, защото е проект с отворен код. Въпреки това, когато го инсталирате, трябва да обърнете внимание на факта, че пакетът с приложението включва ненужни добавки, така че трябва да премахнете отметката от тях.

Помощната програма се стартира чрез щракване с десния бутон върху файл или папка и въвеждане на парола (напр. при отваряне на криптиран файл). Тази програма използва алгоритъма AES 128 бита с режим CBC. За да генерира стабилен вектор за инициализация (IV), Ax-Crypt интегрира генератор на псевдослучайни числа.

Ако IV не е истинско произволно число, тогава режимът CBC го отслабва. Програмата MAXA Crypt Portable работи по подобен начин, но криптирането става с помощта на ключ Дължина 256 бита. Ако качвате лична информация в услуги за съхранение в облак, трябва да приемете, че доставчиците на хранилище в облак, като Google и Dropbox, сканират съдържанието.

Boxcryptor се вгражда в процеса като виртуален твърд диск и с десен бутон криптира всички файлове, намиращи се там, преди да бъдат качени в облака. Важно е да получите мениджър на пароли, като напр Депо за пароли. Той създава сложни пароли, които никой не може да запомни. Трябва да просто не губетеглавна парола за тази програма.

Използваме криптирани дискове

Подобно на TrueCrypt, съветник за помощни програми VeraCryptводи потребителя през всички етапи на създаване на криптиран диск. Можете също да защитите съществуващ дял.

Криптиране с едно кликване

Безплатна програма Maxa Crypt Portableпредлага всички необходими опции за бързо криптиране на отделни файлове с помощта на алгоритъма AES. С натискане на бутона започвате генерирането на защитена парола.

Свързване на облака с поверителността

BoxcryptorКриптира важни файлове с едно щракване, преди да ги качи в Dropbox или Google хранилище. По подразбиране се използва AES криптиране с дължина на ключа от 256 бита.

Cornerstone - Мениджър на пароли

Дългите пароли повишават сигурността. програма Депо за паролигенерира и ги използва, включително за криптиране на файлове и работа с уеб услуги, към които прехвърля данни за достъп до акаунта.

снимка:производствени компании

Сигурността и поверителността са много важни за тези, които съхраняват важни данни на компютър. Вашият домашен компютър е в безопасност, но с лаптоп или други преносими устройства ситуацията е много различна. Ако носите вашия лаптоп със себе си почти навсякъде и неоторизирани лица могат да имат достъп до него, възниква въпросът - как да защитите данните си от чужда намеса. Именно от физически атаки, при които всеки може да се опита да получи данни от USB устройство или твърд диск на лаптоп, като просто вземе устройството или, в случай на лаптоп, извади твърдия диск и го свърже с друга операционна система.

Много фирми и дори обикновени потребители използват криптиране на дискове в Linux, за да защитят поверителна информация като клиентска информация, файлове, информация за контакт и много други. Операционната система Linux поддържа няколко криптографски метода за защита на дялове, отделни директории или целия твърд диск. Всички данни във всеки от тези методи се криптират автоматично и декриптират в движение.

Криптиране на ниво файлова система:

  • 1.eCryptfsе Linux криптографска файлова система. Той съхранява криптографски метаданни за всеки файл в отделен файл, така че файловете да могат да се копират между компютрите. Файлът ще бъде дешифриран успешно, ако имате ключа. Това решение се използва широко за внедряване на криптирана домашна директория, например в Ubuntu. ChromeOS също прозрачно вгражда тези алгоритми, когато използва мрежови устройства за съхранение (NAS).
  • 2. EncFS- осигурява криптирана файлова система в потребителското пространство. Той работи без никакви допълнителни привилегии и използва библиотеката с предпазители и модула на ядрото, за да предостави интерфейс на файловата система. EncFS е безплатен софтуер и е лицензиран под GPL.

Блоково шифроване на ниво устройство:

  • Loop-AES- бърза и прозрачна файлова система, както и пакет за криптиране на swap дяла в Linux. Изходният код на програмата не е променян от дълго време. Работи с ядра 4.x, 3.x, 2.2, 2.0.
  • TrueCryptе безплатно решение за дисково криптиране с отворен код за Windows 7/Vista/XP/Mac OS X операционни системи, както и Linux.
  • dm-crypt+LUKS- dm-crypt е прозрачна подсистема за дисково криптиране в ядрото 2.6 и по-късно. Поддържа се криптиране на цели дискове, сменяеми носители, дялове, RAID томове, софтуер, логически томове и файлове.

В този урок ще разгледаме криптирането на твърд диск на Linux с помощта на алгоритъма Linux Unified Key Setup-on-disk-format (LUKS).

Как работи LUKS?

LUKS (Linux Unified Key Setup е протокол за криптиране на блоково устройство. Но ние сме изскочили много напред, за да разберем как работи, трябва да разберем други технологии, използвани в този метод.

За извършване на криптиране на Linux диск се използва модулът на ядрото dm-crypt. Този модул ви позволява да създадете виртуално блоково устройство в директорията /dev/mapper с криптиране, прозрачно за файловата система и потребителя. Всъщност всички данни се намират на криптиран физически дял. Ако потребител се опита да запише данни на виртуално устройство, те се криптират в движение и се записват на диска, когато се чете от виртуално устройство, се извършва обратната операция - данните се дешифрират от физическия диск и се предават в чист текст през; виртуалния диск към потребителя. Обикновено AES се използва за криптиране, тъй като повечето съвременни процесори са оптимизирани за него. Важно е да се отбележи, че можете да шифровате не само дялове и дискове, но и обикновени файлове, като създадете файлова система в тях и ги свържете като устройство за цикъл.

Алгоритъмът LUKS определя какви действия и в какъв ред ще се извършват при работа с криптирана медия. За да работите с LUKS и модула dm-crypt, използвайте помощната програма Cryptsetup. Ще разгледаме това допълнително.

Помощна програма Cryptsetup

Помощната програма Cryptsetup ще улесни шифроването на Linux дял с помощта на модула dm-crypt. Нека първо го инсталираме.

В Debian или Ubuntu използвайте тази команда:

apt-get инсталирате cryptsetup

При дистрибуции, базирани на Red Hat, ще изглежда така:

yum инсталирайте cryptsetup-luks

Синтаксисът за изпълнение на командата е:

$ cryptsetup опции операция options_operations

Нека да разгледаме основните операции, които могат да се извършват с тази помощна програма:

  • luksFormat- създаване на криптиран дял luks linux
  • luksOpen- свържете виртуално устройство (изисква се донгъл)
  • luksClose- затворете виртуалното устройство luks linux
  • luksAddKey- добавяне на ключ за криптиране
  • luksRemoveKey- изтрийте ключа за криптиране
  • luksUUID- показване на UUID на дяла
  • luksDump- създаване на резервно копие на LUKS заглавки

Параметрите на операцията зависят от самата операция, обикновено това е физическо устройство, с което трябва да се извърши действието, или виртуално, или и двете. Все още не всичко е ясно, но с практиката мисля, че ще разберете.

Linux дисково криптиране

Теорията е завършена, всички инструменти са готови. Сега нека разгледаме криптирането на Linux дяла. Нека да преминем към настройката на твърдия диск. Моля, имайте предвид, че това ще изтрие всички данни от устройството или дяла, който ще шифровате. Така че, ако там има важни данни, по-добре е да ги копирате на по-сигурно място.

Създаване на раздел

В този пример ще шифроваме дяла /dev/sda6, но вместо това можете да използвате цял твърд диск или само един файл, пълен с нули. Създайте шифрован дял:

cryptsetup -y -v luksFormat /dev/sda6

ВНИМАНИЕ!
========
Това ще презапише безвъзвратно данните в /dev/sda6.

Сигурен ли си? (Въведете главни букви да): ДА
Въведете парола за LUKS:
Проверете паролата:
Командата е успешна.

Тази команда ще инициализира дяла и ще зададе ключа за инициализиране и паролата. Посочете парола, за да не я забравите по-късно.

Изпълнете следната команда, за да отворите новосъздадения дял с помощта на модула dm-crypt в /dev/mapper, за да направите това, ще трябва да въведете паролата, с която е извършено криптирането на luks linux:

Въведете парола за /dev/sda6

Сега можете да видите новото виртуално устройство /dev/mapper/backup2, създадено с помощта на командата luksFormat:

ls -l /dev/mapper/backup2

За да видите състоянието на устройството, изпълнете:

cryptsetup -v архивиране на състоянието2

/dev/mapper/backup2 е активен.
тип: ЛУКС1
шифър: aes-cbc-essiv:sha256
размер на ключа: 256 бита
устройство: /dev/sda6
офсет: 4096 сектора
размер: 419426304 сектора
режим: четене/запис
Командата е успешна.

И със следната команда можете да направите резервно копие на LUKS заглавките за всеки случай:

cryptsetup luksDump /dev/sda6

Е, можем да кажем, че секцията е готова. И най-хубавото е, че сега можете да го използвате точно като всеки друг обикновен дял в директорията /dev. Можете да го форматирате с помощта на стандартни помощни програми, да записвате данни в него, да промените или проверите файловата система и т.н. Не можете просто да промените размера. Тоест всичко е напълно прозрачно, както е посочено в началото на статията.

Форматиране на дял

Нека първо форматираме диска. За да бъдем сигурни, за да изтрием всички данни, които са били на това място преди, ще презапишем нашия криптиран Linux дял с нули. Това ще намали вероятността от разбиване на криптирането чрез увеличаване на количеството произволна информация. За да направите това, стартирайте:

dd if=/dev/нула от=/dev/mapper/backup2

Помощната програма може да отнеме няколко часа, за да може да наблюдава процеса, използвайте pv:

pv -tpreb /dev/нула | dd of=/dev/mapper/backup2 bs=128M

Когато процесът приключи, можем да форматираме устройството във всяка файлова система. Например, нека го форматираме в ext4:

mkfs.ext4 /dev/mapper/backup2

Както можете да видите, всички команди за cryptsetup се прилагат към физическия дял, докато останалите команди за работа с дискове се прилагат към нашия виртуален.

Монтиране на преграда

Сега можете да монтирате само създадената файлова система:

$ монтиране /dev/mapper/backup2 /backup2

Деактивиране на дял

Всичко работи, но как да деактивирате устройството и да защитите данните. За да направите това, стартирайте:

cryptsetup luksClose backup2

Премонтиране

За да можете отново да работите с шифрования дял с LUKS Linux, трябва да го отворите отново:

cryptsetup luksOpen /dev/sda6 архивиране2

Сега можем да монтираме:

монтиране /dev/mapper/backup2 /backup2

Проверете файловата система luks

Тъй като след отваряне на дял с luks linux, този дял се третира от системата като всички останали, можете просто да използвате помощната програма fsck:

sudo umount /backup2

$ fsck -vy /dev/mapper/backup2

$ монтиране /dev/mapper/backup2 /backu2

Промяна на паролата на luks

Шифроването на Linux диск се извършва с конкретна парола, но можете да я промените. Дори по-добре, можете да създадете до осем различни пароли. За да промените, изпълнете следните команди. Първо нека архивираме заглавките на LUKS:

cryptsetup luksDump /dev/sda6

След това създайте нов ключ:

cryptsetup luksAddKey /dev/sda6

Въведете произволна парола:

Въведете нова парола за слота за ключ:
Проверете паролата:

И изтрийте стария:

cryptsetup luksRemoveKey /dev/sda6

Сега ще трябва да въведете старата парола.

заключения

Това е всичко, сега знаете как да шифровате дял в Linux и разбирате как работи всичко. В допълнение, дисковото криптиране в Linux с помощта на алгоритъма LUKS отваря широки възможности за пълно криптиране на инсталираната система.

Професионалисти:

  • LUKS криптира цялото блоково устройство и следователно е много подходящ за защита на съдържанието на преносими устройства като мобилни телефони, преносими носители или твърди дискове на лаптопи.
  • Можете да използвате NAS на сървъри, за да защитите резервните си копия
  • Процесорите на Intel и AMD с AES-NI (Advanced Encryption Standard) имат набор от команди, които могат да ускорят базирания на dm-crypt процес на криптиране в ядрото на Linux от 2.6.32.
  • Работи и със swap дяла, така че вашият лаптоп може да използва напълно безопасно режима на заспиване или функцията за хибернация.

В днешно време постоянно се занимаваме с информация. Благодарение на развитието на информационните технологии, работата, творчеството и забавлението до голяма степен са се превърнали в процеси за обработка или потребление на информация. И сред това огромно количество информация, някои от данните не трябва да са публично достъпни. Примери за такава информация включват файлове и данни, свързани с бизнес дейности; частни архиви.

Някои от тези данни не са предназначени за широката общественост, просто защото „те не трябва да знаят за това“; и част от информацията е жизненоважна.

Тази статия е посветена на надеждната защита на жизненоважна информация, както и на всякакви файлове, които искате да защитите от достъп от други, дори ако вашият компютър или носител за съхранение (флашка, твърд диск) попадне в ръцете на неоторизирани лица, в т.ч. тези, които са технически напреднали и имат достъп до мощни изчислителни ресурси.

Защо не трябва да се доверявате на софтуер за криптиране със затворен код

Програмите със затворен код могат да включват „отметки“ (и не се надявайте, че ги няма!) и възможност за отваряне на криптирани файлове с помощта на главен ключ. Тези. можете да използвате всяка, дори и най-сложната парола, но вашият криптиран файл все още може да бъде отворен с лекота, без грубо налагане на пароли, с помощта на „отметка“ или собственика на главния ключ. Размерът на софтуерната компания за криптиране и името на държавата нямат значение в този случай, тъй като това е част от правителствената политика на много държави. В крайна сметка сме заобиколени от терористи и наркодилъри през цялото време (какво можем да направим?).

Тези. Наистина силно криптиране може да се постигне чрез правилно използване на популярен софтуер с отворен код и устойчив на крак алгоритъм за криптиране.

Струва ли си да преминете от TrueCrypt към VeraCrypt?

Референтната програма, която предоставя много сигурно криптиране на файлове в продължение на много години, е TrueCrypt. Тази програма все още работи чудесно. За съжаление разработката на програмата в момента е преустановена.

Най-добрият му наследник беше програмата VeraCrypt.

VeraCrypt е безплатен софтуер за криптиране на дискове, базиран на TrueCrypt 7.1a.

VeraCrypt продължава най-добрите традиции на TrueCrypt, но добавя подобрена сигурност към алгоритмите, използвани за криптиране на системи и дялове, което прави вашите криптирани файлове имунизирани срещу нови постижения в атаките с груба сила.

VeraCrypt също коригира много от уязвимостите и проблемите със сигурността, открити в TrueCrypt. Може да работи с TrueCrypt томове и предлага възможност за конвертиране на TrueCrypt контейнери и несистемни дялове във формат VeraCrypt.

Тази подобрена защита само добавя известно забавяне при отваряне на криптирани дялове, без никакво въздействие върху производителността по време на фазата на криптирано устройство. За легитимен потребител това е почти незабележимо неудобство, но за нападател става почти невъзможно да получи достъп до криптирани данни, въпреки наличието на каквато и да е изчислителна мощност.

Това може да бъде ясно демонстрирано от следните показатели за кракване (груба сила) на пароли в Hashcat:

За TrueCrypt:

Хеш тип: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 бита Speed.Dev.#1.: 21957 H/s (96.78ms) Speed.Dev.#2.: 1175 H/s (99.79ms) Speed.Dev.#* .: 23131 H/s Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 бита Speed.Dev.#1.: 9222 H/s (74.13ms) Speed.Dev.#2.: 4556 H/s (95.92ms) Speed.Dev.#*.: 13778 H/s Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 бита Speed.Dev.#1.: 2429 H/s (95.69ms) Speed.Dev.#2.: 891 H /s (98.61ms) Speed.Dev.#*.: 3321 H/s Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 бита + режим на стартиране Speed.Dev.#1.: 43273 H/s (95.60ms) Speed.Dev.#2.: 2330 H/s (95.97ms) Speed.Dev.#*.: 45603 H/s

За VeraCrypt:

Хеш тип: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 бита Speed.Dev.#1.: 68 H/s (97.63ms) Speed.Dev.#2.: 3 H/s (100.62ms) Speed.Dev.#* .: 71 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 бита Speed.Dev.#1.: 26 H/s (87.81ms) Speed.Dev.#2.: 9 H/s (98.83ms) Speed.Dev.#*.: 35 H/s Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 бита Speed.Dev.#1.: 3 H/s (57.73ms) Speed.Dev.#2.: 2 H /s (94.90ms) Speed.Dev.#*.: 5 H/s Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 бита + режим на стартиране Speed.Dev.#1.: 154 H/s (93.62ms) Speed.Dev.#2.: 7 H/s (96.56ms) Speed.Dev.#*.: 161 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 бита Speed.Dev.#1.: 118 H /s (94.25ms) Speed.Dev.#2.: 5 H/s (95.50ms) Speed.Dev.#*.: 123 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit + boot-mode Speed.Dev.#1.: 306 H/s (94.26ms) Speed.Dev.#2.: 13 H/s (96.99ms) Speed.Dev.#*.: 319 H/s

Както можете да видите, кракването на криптирани VeraCrypt контейнери е няколко порядъка по-трудно от TrueCrypt контейнерите (които също не са никак лесни).

Публикувах пълния бенчмарк и описание на хардуера в статията „”.

Вторият важен въпрос е надеждността. Никой не иска да загуби ценни и важни файлове и информация поради софтуерна грешка. Разбрах за VeraCrypt веднага щом се появи. Следях нейното развитие и непрекъснато я гледах внимателно. През последната година напълно преминах от TrueCrypt към VeraCrypt. В продължение на една година ежедневна употреба VeraCrypt никога не ме е разочаровал.

Следователно, според мен, сега си струва да преминете от TrueCrypt към VeraCrypt.

Как работи VeraCrypt

VeraCrypt създава специален файл, наречен контейнер. Този контейнер е криптиран и може да бъде свързан само ако е въведена правилната парола. След въвеждане на паролата, контейнерът се показва като допълнителен диск (като поставена флашка). Всички файлове, поставени на този диск (т.е. в контейнера), са криптирани. Докато контейнерът е свързан, можете свободно да копирате, изтривате, пишете нови файлове и да ги отваряте. След като даден контейнер бъде прекъснат, всички файлове в него стават напълно недостъпни, докато не бъде свързан отново, т.е. докато не бъде въведена паролата.

Работата с файлове в криптиран контейнер не се различава от работата с файлове на всяко друго устройство.

Когато отваряте файл или го записвате в контейнер, няма нужда да чакате декриптиране - всичко се случва много бързо, сякаш наистина работите с обикновен диск.

Как да инсталирате VeraCrypt на Windows

Имаше полушпионска история с TrueCrypt - бяха създадени сайтове за „изтегляне на TrueCrypt“, на тях двоичният файл (е, разбира се!) беше заразен с вирус/троянски кон. Тези, които са изтеглили TrueCrypt от тези неофициални сайтове, са заразили компютрите си, позволявайки на нападателите да откраднат лична информация и да помогнат за разпространението на зловреден софтуер.

Всъщност всички програми трябва да се изтеглят само от официални уебсайтове. И това е още по-вярно за програми, които се занимават с проблеми със сигурността.

Официалните местоположения за инсталационните файлове на VeraCrypt са:

Инсталиране на VeraCrypt на Windows

Има съветник за инсталиране, така че процесът на инсталиране на VeraCrypt е подобен на този на други програми. Възможно ли е да се изяснят няколко точки?

Инсталаторът на VeraCrypt ще предложи две опции:

  • Инсталирай(Инсталирайте VeraCrypt на вашата система)
  • Екстракт(Извличане. Ако изберете тази опция, всички файлове в този пакет ще бъдат извлечени, но нищо няма да бъде инсталирано на вашата система. Не избирайте това, ако възнамерявате да шифровате системния дял или системното устройство. Избирането на тази опция може да е полезно, например, ако искате да стартирате VeraCrypt в така наречения преносим режим, VeraCrypt не изисква инсталация в операционната система, в която ще работи, можете директно да стартирате извлечения файл "VeraCrypt.exe". (VeraCrypt ще се отвори в преносим режим))

Ако изберете отметната опция, т.е. файлова асоциация .hc, тогава това ще добави удобство. Защото, ако създадете контейнер с разширение .hc, тогава двукратното щракване върху този файл ще стартира VeraCrypt. Но недостатъкът е, че трети страни може да знаят, че .hc са криптирани контейнери на VeraCrypt.

Програмата ви напомня да дарите:

Ако не ви липсват пари, разбира се, не забравяйте да помогнете на автора на тази програма (той е сам), не бих искал да го загубя, както загубихме автора на TrueCrypt...

VeraCrypt Инструкции за начинаещи

VeraCrypt има много различни функции и разширени функции. Но най-популярната функция е криптирането на файлове. Следното показва стъпка по стъпка как да шифровате един или повече файлове.

Нека започнем с превключване на руски. Руският език вече е вграден във VeraCrypt. Просто трябва да го включите. За да направите това в менюто Настройкиизберете език...:

Там изберете руски, след което езикът на програмата веднага ще се промени.

Както вече споменахме, файловете се съхраняват в криптирани контейнери (наричани още „томове“). Тези. трябва да започнете, като създадете такъв контейнер, за да направите това, в основния интерфейс на програмата щракнете върху бутона „ Създаване на обем».

Появява се съветникът за създаване на том на VeraCrypt:

Интересуваме се от първия вариант (“ Създайте шифрован файлов контейнер“), така че ние, без да променяме нищо, натискаме По-нататък,

VeraCrypt има много интересна функция - възможност за създаване на скрит том. Въпросът е, че във файла се създават не един, а два контейнера. Всеки знае, че има криптиран дял, включително възможните недоброжелатели. И ако сте принудени да дадете паролата си, тогава е трудно да се каже, че „няма криптиран диск“. При създаване на скрит дял се създават два криптирани контейнера, които се намират в един и същи файл, но се отварят с различни пароли. Тези. можете да поставите файлове, които изглеждат „чувствителни“ в един от контейнерите. А във втория контейнер има наистина важни файлове. За вашите нужди въвеждате парола за отваряне на важен раздел. Ако не можете да откажете, разкривате паролата за не особено важен диск. Няма как да се докаже, че има втори диск.

За много случаи (скриване на не много критични файлове от любопитни очи) ще бъде достатъчно да се създаде нормален обем, така че просто щракам По-нататък.

Изберете местоположение на файла:

Том на VeraCrypt може да се намира във файл (контейнер на VeraCrypt) на твърд диск, USB флаш устройство и др. Контейнерът на VeraCrypt не се различава от всеки друг обикновен файл (например може да бъде преместван или изтрит като други файлове). Щракнете върху бутона „Файл“, за да посочите името и пътя до контейнерния файл, който да бъде създаден за съхраняване на новия том.

ЗАБЕЛЕЖКА: Ако изберете файл, който вече съществува, VeraCrypt НЯМА да го шифрова; този файл ще бъде изтрит и заменен с новосъздадения контейнер VeraCrypt. Можете да шифровате съществуващи файлове (по-късно), като ги преместите в контейнера на VeraCrypt, който създавате сега.

Можете да изберете всяко файлово разширение; това по никакъв начин не засяга работата на шифрования том. Ако изберете разширението .hc, а също и ако сте свързали VeraCrypt с това разширение по време на инсталацията, тогава двукратното щракване върху този файл ще стартира VeraCrypt.

Историята на наскоро отворените файлове ви позволява бърз достъп до тези файлове. Въпреки това записи във вашата история като „H:\Моите офшорни сметки на откраднати долари на стойност долара.doc“ може да породят съмнения в съзнанието на външни лица относно вашата почтеност. За да предотвратите влизането на файлове, отворени от криптиран диск в историята, поставете отметка в квадратчето до „ Не запазвайте историята».

Избор на алгоритми за криптиране и хеширане. Ако не сте сигурни какво да изберете, оставете стойностите по подразбиране:

Въведете размера на тома и изберете мерни единици (килобайти, мегабайти, гигабайти, терабайти):

Много важна стъпка е задаване на парола за вашия криптиран диск:

Добрата парола е много важна. Избягвайте пароли с една или повече думи, намерени в речника (или комбинации от 2, 3 или 4 такива думи). Паролата не трябва да съдържа имена или дати на раждане. Трябва да е трудно за отгатване. Добрата парола е произволна комбинация от главни и малки букви, цифри и специални знаци (@ ^ = $ * + и т.н.).

Сега отново можете да използвате руски букви като пароли.

Ние помагаме на програмата да събира произволни данни:

Имайте предвид, че тук можете да поставите отметка в квадратчето, за да създадете динамичен диск. Тези. тя ще се разшири, когато се изпълни с информация.

В резултат на това създадох файл test.hc на моя работен плот:

Ако сте създали файл с разширение .hc, тогава можете да щракнете двукратно върху него, главният прозорец на програмата ще се отвори и пътят до контейнера вече ще бъде вмъкнат:

Във всеки случай можете да отворите VeraCrypt и да изберете ръчно пътя до файла (за да направите това, щракнете върху бутона „Файл“).

Ако паролата е въведена правилно, в системата ви ще се появи нов диск:

Можете да копирате/премествате всякакви файлове в него. Можете също да създавате папки там, да копирате файлове от там, да ги изтривате и т.н.

За да затворите контейнера от външни лица, натиснете бутона Демонтиране:

За да възстановите достъпа до вашите тайни файлове, монтирайте отново шифрованото устройство.

Настройване на VeraCrypt

VeraCrypt има доста настройки, които можете да промените за ваше удобство. Силно препоръчвам да проверите " Автоматично демонтиране на томове, когато не са активни за определен период»:

И също така задайте клавишна комбинация за " Незабавно демонтирайте всичко, изчистете кеша и излезте»:

Това може да бъде много... МНОГО полезно...

Преносима версия на VeraCrypt за Windows

От версия 1.22 (която е в бета версия към момента на писане) беше добавена преносима опция за Windows. Ако прочетете секцията за инсталиране, трябва да запомните, че програмата вече е преносима и ви позволява просто да извличате вашите файлове. Самостоятелният преносим пакет обаче има своите особености: имате нужда от администраторски права, за да стартирате инсталатора (дори ако искате просто да разопаковате архива), а преносимата версия може да бъде разопакована без администраторски права - това е единствената разлика.

Налични са само официални бета версии. В папката VeraCrypt Nightly Builds файлът с преносима версия е VeraCrypt Portable 1.22-BETA4.exe.

Контейнерният файл може да бъде поставен на флашка. Можете да копирате преносима версия на VeraCrypt на същото флаш устройство - това ще ви позволи да отворите криптирания дял на всеки компютър, включително тези без инсталиран VeraCrypt. Но имайте предвид опасностите от отвличане на натиснати клавиши - екранната клавиатура вероятно би помогнала в тази ситуация.

Как да използвате правилно софтуера за криптиране

Няколко съвета, които ще ви помогнат да пазите тайните си по-добре:

  1. Опитайте се да предотвратите достъпа на неупълномощени лица до вашия компютър, включително да не проверявате лаптопите в багажа на летищата; ако е възможно, изпращайте компютри за ремонт без системен твърд диск и т.н.
  2. Използвайте сложна парола. Не използвайте същата парола, която използвате за поща и т.н.
  3. Не забравяйте паролата си! В противен случай данните ще бъдат невъзможни за възстановяване.
  4. Изтегляйте всички програми само от официални сайтове.
  5. Използвайте безплатни или закупени програми (не използвайте хакнат софтуер). И също така не изтегляйте и не стартирайте съмнителни файлове, тъй като всички подобни програми, наред с други злонамерени елементи, може да имат kilologgers (прехващачи на натискане на клавиши), които ще позволят на атакуващия да разбере паролата от вашия криптиран контейнер.
  6. Понякога се препоръчва използването на екранна клавиатура като средство за предотвратяване на прихващане на натискания на клавиши - мисля, че това има смисъл.

Има много причини, поради които системните устройства са криптирани. Всеки има свои собствени и няма смисъл да ги обсъждаме, така че нека да преминем към настройката на криптиране на системния диск.
В днешно време повечето устройства на съвременните компютри имат таблица на дяловете на диска. GPT, така че повечето по-стари системи за криптиране не могат да криптират системното устройство (поради факта, че нямат буутлоудър EFI). Следователно единственият избор остава - BitLocker.
За съжаление, не всички издания на Windows имат възможност да използват BitLocker.
BitLockerИ BitLocker To Goприсъства само в издания Windows сървър, ПредприятиеИ Професионален. Ако имате различна версия, ще трябва или да актуализирате до тези версии, или да откажете инсталирането BitLocker.

Плюс за BitLockerприсъствието е желателно Доверен платформен модул (TPM) модул в компютър/лаптоп/таблет. TPMТова е специален криптопроцесор, в който се съхраняват криптографски ключове за защита на информацията.

Ако не TPMмодул, първо трябва да разрешите възможността за използване BitLockerбез TPM, в противен случай ще видим съобщение като следното (ако е налице TPM, веднага пристъпваме към инсталиране на криптиране):

Изпълнение на BitLocker без TPM

Отсъствие TPMмодулът изисква промяна на политиката на локалната група.

Локални групови правила

Стартирайте командния ред. IN Windows 8.1За да направите това, щракнете с десния бутон в долния ляв ъгъл на екрана и изберете Команден ред (администратор).
В прозореца, който се показва, въведете:

gpedit. магистър

и натиснете Въведете.

Локален редактор на групови правила

В прозореца на редактора на локални групови правила (от лявата страна) отидете на:
Компютърна конфигурация->Административни шаблони->Компоненти на Windows->Тази настройка на правилата ви позволява да изберете шифроване на устройството с BitLocker->Дискове с операционна система
От дясната страна намираме параметъра: Тази настройка на правилата ви позволява да конфигурирате допълнителни изисквания за удостоверяване при стартиранеи кликнете върху него 2 пъти.

Настройка на параметъра

Сега трябва да направите промени в този параметър.
Нека го включим.
Поставете отметка в квадратчето до надписа: Тази настройка на правилата ви позволява да разрешитеBitLockerбез съвместим Trusted Platform Module (изисква се парола или ключ за стартиране на устройството с USB флаш памет), а също така проверяваме всички други параметри. След това щракнете Добреи затворете редактора. Редактирането на локални групови правила вече е завършено. Можете да продължите към инсталацията BitLocker.

Контролен панел

Отидете на контролния панел и изберете BitLocker Drive Encryption.

BitLocker Drive Encryption

Избирам Активирайте BitLockerсрещу системното устройство.

Метод за отключване на диска

Изберете метода за отключване на диска. В този случай ще изберем отключване чрез парола, щракнете върху това въведете паролата.

Създаване на парола

Въведете паролата два пъти (следвайки препоръките) и щракнете По-нататък.

Ключ за възстановяване

Изберете къде да запазите ключа за възстановяване. Не може да се запише на криптиран диск. Докато ключът не бъде запазен, инсталирането не може да продължи. В нашия случай го записваме във файл ( Запазване във файл).

Запазване на ключа

Изберете място за съхранение на ключа за възстановяване. Записах го на флашка.

Как ще бъде криптиран дискът?

В зависимост от вашите нужди, ние избираме как ще бъде криптиран дискът.
Можете да избирате от:
Шифроване само на използваното пространство (по-бързо, оптимално за нови компютри и дискове)
И
Шифроване на целия диск (по-бавно, подходящо за вече използвани компютри и дискове)

Да се ​​шифрова ли този диск?

Преди да започнете криптиране, се препоръчва Стартирайте сканиране на системата с BitLocker. Компютърът ще се рестартира и ще поиска ключ за дешифриране на диска. Ако всичко върви добре, криптирането ще започне.

Шифроването ще започне, след като компютърът се рестартира

Кликнете върху иконата Bitlocker„А.

Рестартирайте

Избирам Рестартирай сега.

Въвеждане на вашата парола

Въведете паролата за проверка Bitlocker. В бъдеще този екран ще се показва при всяко зареждане.

Извършва се криптиране

След изтегляне, криптирането ще започне автоматично. За да видите оставащия процент, щракнете върху иконата Bitlocker„a в системната област.

Извършва се криптиране...

Извършва се криптиране на диска. Скоростта на криптиране зависи от производителността на компютъра и размера на диска.

Шифроването на диска е завършено

Дискът е криптиран. Данните са безопасни.

Поръчайте одит на сигурността или Pentest на вашата ИТ инфраструктура

Да сте уверени във вашата ИТ инфраструктура означава да сте уверени в бъдещето.