ТБ та Проектори 

BitLocker - Шифрування диска. Як за допомогою VeraCrypt зашифрувати весь жорсткий диск Шифрування даних на диску

14.03.2022

Читайте як захистити жорсткий або зовнішній диск від доступу до нього сторонніх зашифрувавши його. Як настроїти та використовувати вбудовану функцію Windows – BitLocker шифрування. Операційна система дозволяє шифрувати локальні диски та знімні пристрої за допомогою вбудованої програми-шифрувальника BitLocker. Коли TrueCrypt несподівано закрила проект, вони рекомендували своїм користувачам перейти на BitLocker.


Зміст:

Як увімкнути Bitlocker

Для роботи BitLocker для шифрування дисків і BitLocker To Go потрібна професійна, корпоративна версія Windows 8, 8.1 або 10, або Максимальна версія Windows 7. Але "ядро" ОС Windows версії 8.1 включає функцію “Device Encryption” для доступу до зашифрованих пристроїв.

Щоб увімкнути BitLocker, відкрийте Панель керуваннята перейдіть до Системи та безпеки – Шифрування диска за допомогою BitLocker. Ви також можете відкрити Провідник Windows, натиснути правою кнопкоюна диску та вибрати Увімкнути BitLocker. Якщо такої опції немає в меню, то у вас не підтримується версія Windows.


Клацніть на опцію Увімкнути BitLocker проти системного диска, будь-якого логічного розділу або знімного пристрою для увімкнення шифрування. Динамічні диски не можуть бути зашифровані за допомогою BitLocker.

Доступні два типи шифрування BitLocker для включення:

  • Для логічного розділу. Дозволяє шифрувати будь-які вбудовані диски як системні, так і ні. При включенні комп'ютера завантажувач запускає Windows, з розділу System Reserved, і пропонує метод розблокування - наприклад, пароль. Після цього BitLocker розшифрує диск та запустить Windows. Процес шифрування / дешифрування буде проходити на льоту, і ви працюватимете з системою так само, як до включення шифрування. Також можна зашифрувати інші диски на комп'ютері, а не тільки диск операційної системи. Пароль для доступу необхідно буде ввести під час першого звернення до такого диска.
  • Для зовнішніх пристроїв : Зовнішні накопичувачі, такі як USB флеш-накопичувачі та зовнішні жорсткі диски, можуть бути зашифровані за допомогою BitLocker To Go. Вам буде запропоновано ввести пароль для розблокування під час підключення накопичувача до комп'ютера. Користувачі, які не мають пароля, не зможуть отримати доступ до файлів на диску.

Використання BitLocker без TPM

Якщо на вашому відсутній Trusted Platform Module (TPM), то при включенні BitLocker ви побачите повідомлення:

Цей пристрій не може використовувати довірений платформний модуль (TPM). Адміністратор повинен встановити параметр – Дозволити використовувати BitLocker без сумісного TPM» у політиці – Обов'язкова додаткова автентифікація при запуску для томів ОС.


Шифрування диска з Bitlocker за промовчанням вимагає наявності модуля TPM на комп'ютері для безпеки диска з операційною системою. Це мікрочіп, вбудований у материнську платукомп'ютера. BitLocker може зберігати зашифрований ключ у TPM, оскільки це набагато надійніше, ніж зберігати його на жорсткому диску комп'ютера. TPM чіп надасть ключ шифрування лише після перевірки стану комп'ютера. Зловмисник не може просто вкрасти жорсткий дисккомп'ютера або створити образ зашифрованого диска, а потім розшифрувати його на іншому комп'ютері.

Для увімкнення шифрування диска без наявності модуля TPM необхідно мати права адміністратора. Ви повинні відкрити редактор Локальної групи політики безпеки та змінити необхідний параметр.

Натисніть клавішу Windows+ R для запуску команди виконати, введіть gpedit.msc та натисніть Enter. Перейдіть до Політики «Локальний комп'ютер»«Конфігурація комп'ютера»«Адміністративні шаблони»« Компоненти Windows» "Шифрування диска BitLocker"- "Диски операційної системи". Двічі клацніть на параметрі «Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску». Змініть значення на увімкнено та перевірте наявність галочки на параметрі «Дозволити використання BitLocker без сумісного TPM», потім натисніть Ок для збереження.


Виберіть метод розблокування

Далі необхідно вказати спосіб розблокування диска під час запуску. Ви можете вибрати різні способи розблокування диска. Якщо комп'ютер не має TPM, ви можете розблокувати диск за допомогою введення пароля або вставляючи спеціальну флешку USB, яка працює як ключ.

Якщо комп'ютер оснащений TPM, вам буде доступно додаткові опції. Наприклад, ви можете налаштувати автоматичне розблокування під час завантаження. Комп'ютер буде звертатися за паролем до модуля TPM і автоматично розшифрує диск. Для підвищення рівня безпеки Ви можете налаштувати використання PIN коду під час завантаження. Пін-код буде використовуватися для надійного шифрування ключа для відкриття диска, який зберігається в TPM.

Виберіть потрібний спосіб розблокування та дотримуйтесь інструкцій для подальшого налаштування.


Збережіть ключ відновлення у надійне місце

Перед шифруванням диска BitLocker надасть ключ відновлення. Цей ключ розблокує зашифрований диск у разі втрати вашого пароля. Наприклад, ви втратите пароль або USB флешку, що використовується як ключ, або TPM модуль перестане функціонувати і т.д.

Ви можете зберегти ключ у файл, надрукувати його та зберігати з важливими документами, зберегти на USB флешку або завантажити його в онлайн обліковий запис Microsoft. Якщо ви збережете ключ відновлення у ваш обліковий запис Microsoft, то зможете отримати доступ до нього пізніше за адресою - https://onedrive.live.com/recoverykey. Переконайтеся в збереженні цього ключа, якщо хтось отримає доступ до нього, то зможе розшифрувати диск і отримати доступ до файлів. Має сенс зберегти кілька копій цього ключа в різних місцях, оскільки якщо у вас не буде ключа і щось трапиться з вашим основним методом розблокування, ваші зашифровані файли будуть втрачені назавжди.

Розшифровка та розблокування диска

Після включення BitLocker автоматично шифруватиме нові файли в міру їх додавання або зміни, але ви можете вибрати як вчинити з файлами, які вже присутні на вашому диску. Ви можете зашифрувати тільки зайняте зараз місце або весь диск. Шифрування всього диска проходить довше, але захистить від можливості відновлення вмісту. віддалених файлів. Якщо ви налаштовуєте BitLocker на новому комп'ютері, шифруйте лише використане місце на диску так швидко. Якщо ви налаштуєте BitLocker на комп'ютері, який використовували до цього, ви повинні використовувати шифрування всього диска повністю.


Вам буде запропоновано запустити перевірку системи BitLocker та перезавантажити комп'ютер. Після першого завантаження комп'ютера вперше диск буде зашифровано. У системному треї буде доступна іконка BitLocker, клацніть по ній, щоб побачити прогрес. Ви можете використовувати комп'ютер поки шифрується диск, але процес йтиме повільніше.

Після перезавантаження комп'ютера, ви побачите рядок для введення пароля BitLocker, PIN-коду або пропозицію вставити USB ключ.

Натисніть Escape, якщо ви не можете розблокувати. Вам буде запропоновано ввести ключ відновлення.

Якщо ви вибрали шифрування знімного пристрою з BitLocker To Go, ви побачите схожий майстер, але диск буде зашифрований без вимоги перезавантаження системи. Не від'єднуйте знімний пристрій під час шифрування.

При підключенні зашифрованої флешки або зовнішнього диска до комп'ютера необхідно ввести пароль для розблокування. Захищені BitLocker диски мають спеціальну іконку у провіднику Windows.

Ви можете керувати захищеними дисками у вікні контрольної панелі BitLocker – змінити пароль, вимкнути BitLocker, зробити резервну копіюключа відновлення та інші дії. Натисніть правою кнопкою мишки на зашифрованому диску та виберіть Увімкнути BitLocker, щоб перейти до панелі керування.


Як і будь-яке шифрування, BitLocker додатково навантажує системні ресурси. Офіційна довідка Microsoft по BitLocker говорить наступне. Якщо ви працюєте з важливими документами та шифрування вам необхідно – це буде розумний компроміс із продуктивністю.

Останнім часом велику популярність отримали ноутбуки завдяки доступній ціні та високій продуктивності. І користувачі часто користуються ними за межами приміщень, що охороняються, або залишають без нагляду. А це означає, що стає вкрай нагальним питання забезпечення недоступності для сторонніх особистої інформації на системах під керуванням Windows. Проста установка пароля на вхід у систему не допоможе. А шифрування окремих файлів і папок (почитайте про те, ) - занадто рутинне заняття. Тому найбільш зручним та надійним засобом є шифрування жорсткого диска . При цьому можна зробити шифрованим лише один із розділів, і тримати приватні файли та програми на ньому. Більше того, такий розділ можна зробити прихованим, не присвоюючи дискової літери. Такий розділ зовні виглядатиме як неформатований, і тим самим не привертатиме до себе уваги зловмисників, що особливо ефективно, оскільки найкращий спосібуберегти секретну інформацію - це приховати сам факт її наявності.

Як працює шифрування жорсткого диска

Загальний принцип такий: програма шифрування робить образ файлової системиі поміщає всю цю інформацію контейнер, вміст якого шифрується. Таким контейнером може бути як простий файл, і розділ на дисковому пристрої. Використання шифрованого файлу-контейнера зручне тим, що такий файл можна скопіювати у будь-яке зручне місце та продовжити роботу з ним. Такий підхід є зручним при зберіганні невеликого обсягу інформації. Але якщо розмір контейнера буде кілька десятків гігабайт, то його мобільність стає вельми сумнівною, і до того ж такий величезний розмір файлу видає факт утримання в ньому якийсь корисної інформації. Тому універсальним підходом є шифрування цілого розділу на жорсткому диску.

Існує багато різних програмз цією метою. Але найбільш відомою та надійною вважається TrueCrypt. Оскільки ця програма має відкриті вихідні коди, це означає, що в ній немає закладок від виробників, що дозволяють отримати доступ до шифрованих даних через недокументований «чорний хід». На жаль ходять припущення, що творців програми TrueCrypt змусили відмовитися від подальшої розробки та передати естафету пропріоретарним аналогам. Проте остання надійна версія 7.1a залишається цілком працездатною на всіх версіях Windows, і більшість користувачів користуються саме цією версією.

Увага!Остання актуальна версія - 7.1a ( посилання для скачування). Не використовуйте "урізану" версію 7.2 (проект закрили, а на офіційному сайті програми пропонують виконати перехід з TrueCrypt на Bitlocker і доступна лише версія 7.2).

Створення шифрованого диска

Розглянемо стандартний підхід під час шифрування розділів. Для цього нам знадобиться розділ, що не використовується на жорсткому диску або флешці. Для цієї мети можна звільнити один із логічних дисків. Власне кажучи, якщо вільного розділу немає, то можна буде в процесі створення шифрованого диска вибрати шифрування диска без форматування і зберегти наявні дані. Але це довше за часом і є невеликий ризик втратити дані в процесі шифрування, якщо комп'ютер зависне.

Якщо потрібний розділ на дисковому пристрої підготовлений, тепер можна запустити програму TrueCrypt і вибрати пункт меню «Створити новий том».

Оскільки нас цікавить зберігання даних не у файлі-контейнері, а розділі диска, то вибираємо пункт «Зашифрувати несистемний розділ/диск» і звичайний вид шифрування тома.

На цьому етапі з'являється згадана можливість вибору – шифрувати наявні у розділі дані або форматувати його без збереження інформації.

Після цього програма запитує, якими алгоритмами виконувати шифрування. Для побутових потреб великої різниці тут немає - можна вибрати будь-який з алгоритмів або зв'язку з них.

Тільки при цьому варто враховувати, що при застосуванні зв'язки з кількох алгоритмів потрібно більше обчислювальних ресурсів при роботі з шифрованим диском — і швидкість читання і запису падає. Якщо комп'ютер недостатньо потужний, то має сенс натиснути кнопку тест, щоб вибрати оптимальний алгоритм для свого комп'ютера.

Наступним етапом є процес форматування шифрованого тома.

Тепер залишається почекати, поки програма закінчить шифрування жорсткого диска.

Варто зазначити, що на етапі завдання пароля можна як додатковий захист задати ключовий файл. У цьому випадку доступ до шифрованої інформації буде можливим лише за наявності цього ключового файлу. Відповідно, якщо цей файл зберігається на іншому комп'ютері локальної мережі, то при втраті ноутбука з шифрованим диском або флешки ніхто не зможе отримати доступ до секретних даних, навіть якби підібрав пароль - адже ключового файлу ні на самому ноутбуці ні на флешці немає.

Приховування шифрованого розділу

Як уже згадувалося, вигідною перевагою шифрованого розділу є те, що в операційній системі він позиціонується як невикористовуваний та неформатований. І немає жодних вказівок на те, що у ньому є шифрована інформація. Єдиний спосіб це з'ясувати — використовувати спеціальні програми з криптоаналізу, які вміють за високою мірою хаотичності бітових послідовностей зробити висновок, що розділ має шифровані дані. Але якщо Ви не є потенційною метою для спецслужб, то така загроза компрометації Вам навряд чи загрожує.

А ось для додаткового захисту від простих обивателів є сенс заховати шифрований розділ зі списку доступних букв дисків. Тим більше, що все одно звернення до диска безпосередньо по його букві нічого не дасть і потрібно лише у разі видалення шифрування шляхом форматування. Для відкріплення тома від літери, що використовується, слід в «Панелі управління» зайти в розділ «Керування комп'ютером / Управління дисками» і викликавши контекстне менюдля потрібного розділу вибрати пункт «Змінити букву диска або шлях до диска...», де й вийде прибрати прив'язку.

Після цих маніпуляцій шифрований розділ не буде видно у провіднику Windowsта інших файлових менеджерах. А наявність серед кількох різноманітних системних розділів одного безіменного та «неформатованого» навряд чи викличе інтерес у сторонніх.

Використання шифрованого диска

Щоб використовувати шифрований пристрій як звичайний диск, його потрібно підключити. Для цього в головному вікні програми слід натиснути правою кнопкою миші на одній із доступних літер дисків та вибрати пункт меню «Вибрати пристрій та змонтувати...»

Після цього потрібно відзначити раніше зашифрований пристрій і вказати пароль.

В результаті в браузері Windows повинен з'явитися новий диск з обраною літерою (у нашому випадку це диск X).

І тепер із цим диском вийде працювати як і з будь-яким звичайним логічним диском. Головне після закінчення роботи не забути або вимкнути комп'ютер, або закрити програму TrueCrypt, або вимкнути шифрований розділ - адже поки диск підключений, будь-який користувач може отримати доступ до даних, що на ньому розташовані. Вимкнути розділ можна, натиснувши кнопку «Розмонтувати».

Підсумки

Використання програми TrueCrypt дозволить Вам шифрувати жорсткий диск і тим самим приховати Ваші приватні файли від сторонніх, якщо раптом хтось отримає доступ до Вашої флешки або жорсткого диска. А розташування шифрованої інформації на невикористаному та прихованому розділі створює додатковий рівень захисту, оскільки непосвячене коло осіб може і не здогадуватися, що на одному з розділів зберігається секретна інформація. Такий метод захисту приватних даних підійде у переважній більшості випадків. І тільки якщо за Вами проводиться цілеспрямоване стеження із загрозою застосування насильства для отримання пароля, то Вам можуть знадобитися більш витончені методи захисту, такі як стеганографія та приховані томи TrueCrypt (з двома паролями).

Зараз ми постійно маємо справу з інформацією. Завдяки розвитку інформаційних технологій тепер робота, творчість, розвага значною мірою перетворилися на процеси з обробки або споживання інформації. І серед цього величезного масиву інформації частина даних не має бути загальнодоступною. Прикладом такої інформації можуть бути файли та дані, пов'язані з комерційною діяльністю; приватні архіви.

Частина цих даних не призначена для широкого кола просто з тієї причини, що їм нема чого про це знати; а якась інформація є життєво важливою.

Ця стаття присвячена надійному захисту саме життєво важливої ​​інформації, а також будь-яких файлів, які ви хочете захистити від доступу інших осіб, навіть якщо ваш комп'ютер або носій (флешка, жорсткий диск) потрапили до рук сторонніх осіб, у тому числі технічно просунутих і які мають доступ до потужних обчислювальних ресурсів.

Чому не варто довіряти програмам для шифрування із закритим вихідним кодом

У програми із закритим вихідним кодом можуть бути впроваджені «закладки» (і не треба сподіватися, що їх там немає!) та можливість відкривати зашифровані файли за допомогою майстер-ключа. Тобто. Ви можете використовувати будь-який найскладніший пароль, але ваш зашифрований файл все одно з легкістю, без перебору паролів, може бути відкритий за допомогою «закладки» або власником майстер-ключа. Розмір компанії-виробника програмного забезпечення для шифрування та назва країни у цьому питанні ролі не відіграють, оскільки це є частиною державної політики багатьох країн. Адже нас весь час оточують терористи та наркоторговці (а що робити?).

Тобто. на дійсно надійне шифрування можна сподіватися правильно використовуючи популярне програмне забезпеченняз відкритим вихідним кодом та стійким для злому алгоритмом шифрування.

Чи варто переходити з TrueCrypt на VeraCrypt

Еталонна програма, яка багато років дозволяє дуже надійно шифрувати файли є TrueCrypt. Ця програма досі чудово працює. На жаль, наразі розробку програми припинено.

Її найкращою спадкоємицею стала програма VeraCrypt.

VeraCrypt - це безкоштовне програмне забезпечення для шифрування дисків, яке базується на TrueCrypt 7.1a.

VeraCrypt продовжує найкращі традиції TrueCrypt, але при цьому додає підвищену безпеку алгоритмам, які використовуються для шифрування систем та розділів, що робить ваші зашифровані файли несприйнятливими до нових досягнень в атаках повного перебору паролів.

VeraCrypt також виправила багато вразливостей та проблем безпеки, виявлених у TrueCrypt. Вона може працювати з томами TrueCrypt та пропонує можливість конвертувати контейнери TrueCrypt та несистемні розділи у формат VeraCrypt.

Ця покращена безпека додає деяку затримку тільки до відкриття зашифрованих розділів без впливу на продуктивність у фазі використання зашифрованого диска. Для легітимного користувача це практично непомітна незручність, але для зловмисника стає практично неможливим отримати доступ до зашифрованих даних, незважаючи на наявність будь-яких обчислювальних потужностей.

Це можна продемонструвати наочно наступними бенчмарками зі злому (перебору) паролів у Hashcat:

Для TrueCrypt:

Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт Speed.Dev.#1.: 21957 H/s (96.78ms) Speed.Dev.#2.: 1175 H/s (99.79ms) .: 23131 H/s Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 біт Speed.Dev.#1.: 9222 H/s (74.13ms) Speed.Dev.#2.: 4556 H/s (95.92ms) Speed.Dev.#*.: 13778 H/s Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 біт Speed.Dev.#1.: 2429 H/s (95.69ms) Speed.Dev.#2.: 891 H /s (98.61ms) Speed.Dev.#*.: 3321 H/s Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт + boot-mode Speed.Dev.#1.: 43273 H/s (95.60ms) Speed.Dev.#2.: 2330 H/s (95.97ms) Speed.Dev.#*.: 45603 H/s

Для VeraCrypt:

Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт Speed.Dev.#1.: 68 H/s (97.63ms) Speed.Dev.#2.: 3 H/s (100.62ms) Speed.Dev.#* .: 71 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 біт Speed.Dev.#1.: 26 H/s (87.81ms) Speed.Dev.#2.: 9 H/s (98.83ms) Speed.Dev.#*.: 35 H/s Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 біт Speed.Dev.#1.: 3 H/s (57.73ms) Speed.Dev.#2.: 2 H /s (94.90ms) Speed.Dev.#*.: 5 H/s Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 біт + boot-mode Speed.Dev.#1.: 154 H/s (93.62ms) Speed.Dev.#2.: 7 H/s (96.56ms) Speed.Dev.#*.: 161 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 біт /s (94.25ms) Speed.Dev.#2.: 5 H/s (95.50ms) Speed.Dev.#*.: 123 H/s Hashtype: VeraCrypt Speed.Dev.#1.: 306 H/s (94.26ms) Speed.Dev.#2.: 13 H/s (96.99ms) Speed.Dev.#*.: 319 H/s

Як можна побачити, зламати зашифровані контейнери VeraCrypt на кілька порядків складніше, ніж контейнери TrueCrypt (які також зовсім не прості).

Повний бенчмарк та опис заліза я публікував у статті «В».

Друге важливе питання – надійність. Ніхто не хоче, щоб особливо цінні та важливі файли та відомості були втрачені через помилку у програмі. Я знаю про VeraCrypt одразу після її появи. Я стежив за її розвитком і постійно до неї придивлявся. Протягом останнього року я повністю перейшов із TrueCrypt на VeraCrypt. За рік щоденної роботи VeraCrypt мене жодного разу не підбивала.

Таким чином, на мій погляд зараз варто переходити з TrueCrypt на VeraCrypt.

Як працює VeraCrypt

VeraCrypt створює спеціальний файл, який називається контейнер. Цей контейнер є зашифрованим і може бути підключений лише при введенні пароля. Після введення пароля контейнер відображається як додатковий диск (як вставлена ​​флешка). Будь-які файли, поміщені на цей диск (тобто контейнер), шифруються. Поки контейнер підключений, ви можете безперешкодно копіювати, видаляти, записувати нові файли, відкривати їх. Як тільки контейнер вимкнено, всі файли на ньому стають абсолютно недоступними, доки знову не буде здійснено його підключення, тобто. поки не буде введено пароль.

Робота з файлами у зашифрованому контейнері нічим не відрізняється від роботи з файлами на будь-якому іншому диску.

При відкритті файлу або запису його в контейнер, не потрібно чекати на розшифрування - все відбувається дуже швидко, ніби ви дійсно працюєте зі звичайним диском.

Як встановити VeraCrypt у Windows

З TrueCrypt мала місце напівшпигунська історія – були створені сайти для «завантажити TrueCrypt», на них бінарний файл (ну природно!) був заражений вірусом/трояном. Ті, хто завантажував TrueCrypt з цих неофіційних сайтів, заражали свої комп'ютери, що дозволяло зловмисникам красти персональну інформацію та сприяти поширенню шкідливого ПЗ.

Взагалі всі програми потрібно завантажувати тільки з офіційних сайтів. І тим більше це стосується програм, які торкаються питань безпеки.

Офіційними місцями розміщення інсталяційних файлів VeraCrypt є:

Встановлення VeraCrypt у Windows

Є майстер установки, тому процес установки VeraCrypt схожий на аналогічний процес інших програм. Хіба можна пояснити кілька моментів.

Установник VeraCrypt запропонує дві опції:

  • Install(Встановити VeraCrypt у вашу систему)
  • Extract(Вийняти. Якщо ви оберете цю опцію, всі файли з цього пакета будуть витягнуті, але у вашу систему нічого не буде встановлено. Не вибирайте її якщо ви маєте намір шифрувати системний розділ або системний диск. Вибір цієї опції може бути корисним, наприклад, якщо ви хочете запускати VeraCrypt в так званому портативному режимі. VeraCrypt не вимагає установки в операційну систему, в якій вона буде запускатися.

Якщо ви оберете зазначену опцію, тобто. асоціацію з файлами .hc, то це додасть зручність. Оскільки якщо ви створите контейнер з розширенням.hc, то по подвійному кліку за цим файлом запускатиметься VeraCrypt. Але мінус у тому, що сторонні особи можуть знати, що .hc є зашифрованими контейнерами VeraCrypt.

Програма нагадує про донат:

Якщо ви не стиснуті в засобах, звичайно ж, обов'язково допоможіть автору цієї програми (він один) не хотілося б його втратити, як ми втратили автора TrueCrypt…

Інструкція VeraCrypt для початківців

VeraCrypt має багато різних можливостей і просунутих функцій. Але найпопулярнішою функцією є шифрування файлів. Далі покроково показано, як зашифрувати один або кілька файлів.

Почнемо з перемикання російською мовою. Російська мова вже вбудована у VeraCrypt. Його потрібно лише увімкнути. Для цього в меню Settingsвиберіть Language…:

Там виберіть російську мову, після чого мова програми відразу зміниться.

Як було зазначено, файли зберігаються у зашифрованих контейнерах (їх ще називають «тома»). Тобто. почати потрібно зі створення такого контейнера, для цього в головному інтерфейсі програми натисніть кнопку « Створити том».

З'явиться майстер створення томів VeraCrypt:

Нас цікавить саме перший варіант (« Створити зашифрований файловий контейнер»), тому ми, нічого не змінюючи, натискаємо Далі,

VeraCrypt має дуже цікаву функцію – можливість створити прихований том. Суть у тому, що у файлі створюється жоден, а два контейнери. Про те, що є зашифрований розділ знають усі, у тому числі можливі недоброзичливці. І якщо вас силоміць змушують видати пароль, то важко послатися, що «зашифрованого диска немає». При створенні прихованого розділу створюються два зашифровані контейнери, які розміщені в одному файлі, але відкриваються різними паролями. Тобто. Ви можете в одному з контейнерів розмістити файли, які виглядають "чутливими". А в другому контейнері – справді важливі файли. Для власних потреб ви вводите пароль для відкриття важливого розділу. У разі неможливості відмовити ви розкриваєте пароль від не дуже важливого диска. Жодних можливостей довести, що є другий диск, немає.

Для багатьох випадків (приховування не дуже критичних файлів від сторонніх очей) буде достатньо створити звичайний том, тому я просто натискаю Далі.

Виберіть місце розташування файлу:

Том VeraCrypt може знаходитись у файлі (в контейнері VeraCrypt) на жорсткому диску, флеш-накопичувач USBі т.п. Контейнер VeraCrypt нічим не відрізняється від іншого звичайного файлу (наприклад, його можна переміщати або видаляти як і інші файли). Натисніть кнопку "Файл", щоб вказати ім'я та шлях до файлу-контейнера, що створюється для зберігання нового тома.

УВАГА: Якщо ви виберете наявний файл, VeraCrypt НЕ зашифрує його; цей файл буде видалено та замінено новоствореним контейнером VeraCrypt. Ви можете зашифрувати наявні файли (згодом), перемістивши їх у створюваний зараз контейнер VeraCrypt.

Можна вибрати будь-яке розширення файлу, це не впливає на роботу зашифрованого тома. Якщо ви оберете розширення .hc, а також якщо ви при установці задали асоціацію VeraCrypt з даним розширенням, то при подвійному натисканні по даному файлу буде запускатися VeraCrypt.

Історія нещодавно відкритих файлівдозволяє швидко отримувати доступ до цих файлів. Проте записи в історії на кшталт «H:\Мої офшорні рахунки накраденого на охуліадр доларів.doc» можуть у сторонніх осіб зародити сумніви у вашій порядності. Щоб відкрити з зашифрованого диска файли не потрапляли в історію, поставте галочку навпроти « Не зберігати історію».

Вибір алгоритмів шифрування та хешування. Якщо ви не впевнені, що вибрати, залиште значення за замовчуванням:

Введіть розмір тома та виберіть одиниці вимірювання (кілобайти, мегабайти, гігабайти, терабайти):

Дуже важливий етап встановлення пароля для вашого зашифрованого диска:

Хороший пароль – це дуже важливо. Уникайте паролів з одного або декількох слів, які можна знайти у словнику (або комбінацій із 2, 3 або 4 таких слів). Пароль не повинен містити імена або дати народження. Він має бути важким для вгадування. Хороший пароль - випадкова комбінація великих і малих літер, цифр та особливих символів (@^=$*+ і т.д.).

Тепер знову як паролі можна використовувати російські літери.

Допомагаємо програмі зібрати випадкові дані:

Зверніть увагу, що тут можна поставити галочку для створення динамічного диска. Тобто. він буде розширюватися в міру заповнення його інформацією.

В результаті у мене створено на робочому столі файл test.hc:

Якщо ви створили файл з розширенням.hc, ви можете двічі клікнути по ньому, відкриється головне вікно програми, причому вже буде вставлено шлях до контейнера:

У будь-якому випадку ви можете відкрити VeraCrypt і вибрати шлях до файлу вручну (Для цього натисніть кнопку «Файл»).

Якщо пароль введено правильно, то у вас у системі з'явиться новий диск:

Ви можете скопіювати/перемістити на нього будь-які файли. Також ви можете створювати там папки, копіювати файли звідти, видаляти і т.д.

Щоб закрити контейнер від сторонніх, натисніть кнопку Розмонтувати:

Щоб знову отримати доступ до секретних файлів, заново змонтуйте зашифрований диск.

Налаштування VeraCrypt

VeraCrypt має багато налаштувань, які ви можете змінити для вашої зручності. Я настійно рекомендую поставити галочку на « Автоматично розмонтувати томи при неактивності протягом»:

А також встановити гарячу клавішудля « Відразу розмонтувати все, очистити кеш та вийти»:

Це може дуже… Дуже стати в нагоді…

Портативна версія VeraCrypt у Windows

Починаючи з версії 1.22 (яка на момент написання є бетою) для Windows було додано портативний варіант. Якщо ви прочитали розділ про інсталяцію, ви повинні пам'ятати, що програма і так є портативною і дозволяє просто витягти свої файли. Тим не менш, окремий портативний пакет має свої особливості: для запуску установника вам потрібні права адміністратора (навіть якщо ви хочете просто розпакувати архів), а портативна версія може бути розпакована без прав адміністратора – відмінність лише в цьому.

Офіційні бета версії доступні тільки. У папці VeraCrypt Nightly Builds файлом із портативною версією є VeraCrypt Portable 1.22-BETA4.exe.

Файл із контейнером можна розмістити на флешці. На цю ж флешку можна скопіювати портативну версію VeraCrypt - це дозволить відкривати зашифрований розділ на будь-якому комп'ютері, у тому числі без встановленої VeraCrypt. Але пам'ятайте про небезпеку перехоплення натискання клавіш - мабуть, у цій ситуації може допомогти екранна клавіатура.

Як правильно використовувати програмне забезпечення для шифрування

Декілька порад, які допоможуть вам краще зберігати свої секрети:

  1. Намагайтеся не допускати сторонніх осіб до вашого комп'ютера, у тому числі не здавайте ноутбуки до багажу в аеропортах; якщо є можливість віддавайте комп'ютери в ремонт без системного жорсткого диска і т.д.
  2. Використовуйте складний пароль. Не використовуйте той самий пароль, який ви використовуєте для пошти тощо.
  3. При цьому не забудьте пароль! Інакше дані неможливо відновити.
  4. Завантажуйте всі програми лише з офіційних сайтів.
  5. Використовуйте безкоштовні програмиабо куплені (не використовуйте зламаний софт). А також не завантажуйте і не запускайте сумнівні файли, оскільки всі подібні програми, серед інших шкідливих елементів, можуть мати кілогери (перехоплювачі натискання клавіш), що дозволить зловмиснику дізнатися пароль від вашого зашифрованого контейнера.
  6. Іноді як засіб від перехоплення натискань клавіш рекомендують використовувати екранну клавіатуру - здається, у цьому є сенс.

З відкритим вихідним кодом була популярна протягом 10 років завдяки своїй незалежності від основних вендорів. Автори програми публічно невідомі. Серед найвідоміших користувачів програми можна виділити Едварда Сноудена та експерта з безпеки Брюса Шнайєра. Утиліта дозволяє перетворити флеш-накопичувач або жорсткий диск на захищене зашифроване сховище, в якому конфіденційна інформація прихована від сторонніх очей.

Таємничі розробники утиліти оголосили про закриття проекту у середу 28 травня, пояснивши, що використання TrueCrypt є небезпечним. «УВАГА: Використовувати TrueCrypt небезпечно. програма може містити неусунені уразливості» - таке повідомлення можна побачити на сторінці продукту на порталі SourceForge. Далі слідує ще одне звернення: "Ви повинні перенести всі дані, зашифровані в TrueCrypt на зашифровані диски або образи віртуальних дисків, що підтримуються на вашій платформі".

Незалежний експерт з безпеки Грем Клулі цілком логічно прокоментував ситуацію, що склалася: «Настав час підшукати альтернативне рішення для шифрування файлів і жорстких дисків».

Це не жарт!

Спочатку з'являлися припущення, що сайт програми був зламаний кіберзлочинцями, але тепер стає зрозумілим, що це не обман. Сайт SourceForge зараз пропонує оновлену версію TrueCrypt (яка має цифровий підпис розробників), під час встановлення якої пропонується перейти на BitLocker або інший альтернативний інструмент.

Професор у галузі криптографії університету Джона Хопкінаса Метью Грін сказав: «Дуже малоймовірно, що невідомий хакер ідентифікував розробників TrueCrypt, вкрав їх цифровий підпис і зламав їхній сайт».

Що використати тепер?

Сайт і спливаюче оповіщення в самій програмі містить інструкції з перенесення файлів, зашифрованих TrueCrypt на сервіс BitLocker від Microsoft, який постачається разом із ОС Microsoft Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise та Windows 8 Pro/Enterprise. TrueCrypt 7.2 дозволяє дешифрувати файли, але не дозволяє створювати нові зашифровані розділи.

Найбільш очевидною альтернативою програмі є BitLocker, але є інші варіанти. Шнайєр поділився, що повертається до використання PGPDisk від Symantec. (110 доларів за одну ліцензію користувача) використовує добре відомий і перевірений метод шифрування PGP.

Існують інші безкоштовні альтернативи для Windows, наприклад DiskCryptor . Дослідник з комп'ютерної безпеки, відомий як The Grugq торік склав цілий , який актуальний і досі.

Йоханнес Ульріх, науковий керівник технологічного інституту SANS користувачам Mac OS X рекомендує звернути увагу на FileVault 2, який вбудований в OS X 10.7 (Lion) та пізніші ОС даного сімейства. FileVault використовує 128-розрядне шифрування XTS-AES, яке застосовується в агентстві національної безпеки США (NSA). На думку Ульріха, користувачі Linux повинні дотримуватися вбудованого системного інструменту Linux Unified Key Setup (LUKS). Якщо Ви використовуєте Ubuntu, то інсталятор цієї ОС вже дозволяє включити повне шифрування дисків із самого початку.

Тим не менш, користувачам знадобляться інші програми для шифрування переносних носіїв, які використовуються на комп'ютерах із різними ОС. Ульріх сказав, що в цьому випадку на думку спадає.

Німецька компанія Steganos пропонує скористатися старою версієюсвоєї утиліти шифрування Steganos Safe (актуальна версія на даний момент- 15, а пропонується скористатися 14 версією), яка розповсюджується безкоштовно.

Невідомі вразливості

Той факт, що TrueCrypt може мати вразливість у безпеці, викликає серйозні побоювання, особливо враховуючи, що аудит програми не виявив подібних проблем. Користувачі програми накопичили 70 000 доларів для проведення аудиту після чуток про те, що агенція національної безпеки США може декодувати значні обсяги зашифрованих даних. Перший етап дослідження, в якому аналізувався завантажувач TrueCrypt, був проведений минулого місяця. Аудит не виявив ні бекдорів, ні навмисних уразливостей. Наступна фаза дослідження, в якій мали перевірятися використовувані методи криптографії, була запланована на це літо.

Грін був одним із експертів, які беруть участь в аудиті. Він розповів, що не мав жодної попередньої інформації про те, що розробники планують закрити проект. Грін розповів: «Останнє, що я чув від розробників TrueCrypt: «Ми з нетерпінням чекаємо на результати 2 фази випробування. Дякую за ваші старання!». Слід зазначити, що аудит продовжиться, як було заплановано, незважаючи на зупинку проекту TrueCrypt.

Можливо, творці програми вирішили припинити розробку, тому що утиліта є застарілою. Розробка припинилася 5 травня 2014, тобто. вже після офіційного припинення підтримки Windows XP. На SoundForge згадується: "Windows 8/7/Vista і пізніші системи мають вбудовані засоби для шифрування дисків та образів віртуальних дисків". Таким чином, шифрування даних вбудовано в багато ОС, і розробники могли вважати програму більше не потрібною.

Щоб додати олії у вогонь, зазначимо, що 19 травня TrueCrypt була видалена із захищеної системи Tails (улюбленої системи Сноудена). Причина до кінця не ясна, але використовувати програму явно не слід – зазначив Клулі.

Клулі також написав: «Будь то обман, злом чи логічний кінець життєвого циклу TrueCrypt, стає ясно, що свідомі користувачі не будуть почуватися комфортно, довіряючи свої дані програмі після фіаско».

У Windows Vista, Windows 7 та Windows 8 версій Proі вище розробники створили спеціальну технологію для шифрування вмісту логічних розділів на всіх видів, зовнішніх дисках та USB-флешках - BitLocker.
Навіщо вона потрібна? Якщо запустити BitLocker, всі файли, що знаходяться на диску, будуть шифруватися. Шифрування відбувається прозоро, тобто вам не потрібно щоразу вводити пароль при збереженні файлу – система все робить автоматично та непомітно. Однак, як тільки ви вимкнете цей диск, при наступному його увімкненні буде потрібно спеціальний ключ (спеціальна смарт-картка, флешка або пароль) для доступу до нього. Тобто якщо ви випадково втратите ноутбук, прочитати вміст зашифрованого диска на ньому не вийде, навіть якщо ви витягнете цей жорсткий диск з цього ноутбука і спробуєте його прочитати на іншому комп'ютері. Ключ шифрування має таку довжину, що час на перебір всіх можливих комбінацій для підбору правильного варіанта на найпотужніших комп'ютерах обчислюватиметься десятиліттями. Звичайно, пароль можна вивідати під тортурами або вкрасти заздалегідь, але якщо флешка була втрачена випадково, або її вкрали, не знаючи, що вона зашифрована, то прочитати її буде неможливо.

Налаштування шифрування BitLocker на прикладі Windows 8: шифрування системного диска та шифрування флешок та зовнішніх USB-дисків.
Шифрування системного диска
Вимогою для роботи BitLocker для шифрування логічного диска, на якому встановлена ​​операційна система Windows, є наявність незашифрованого завантажувального розділу: система повинна все ж таки звідкись запускатися. Якщо правильно встановлювати Windows 8/7, то при встановленні створюються два розділи - невидимий розділ для завантажувального сектора та файлів ініціалізації та основний розділ, на якому зберігаються всі файли. Перший і є таким розділом, який шифрувати не потрібно. А ось другий розділ, в якому знаходяться всі файли, шифрується.

Щоб перевірити, чи є у вас ці розділи, відкрийте Керування комп'ютером

перейдіть до розділу Пристрої, що запам'ятовують - Управління дисками.


На скріншоті розділ, створений для завантаження системи, позначений як SYSTEM RESERVED. Якщо він є, то ви можете використовувати систему BitLocker для шифрування логічного диска, на якому встановлена ​​Windows.
Для цього зайдіть у Windows із правами адміністратора, відкрийте Панель керування

перейдіть до розділу Система та безпека


і увійдіть до розділу Шифрування диска BitLocker.
Ви побачите у ньому всі диски, які можна зашифрувати. Клацніть на посилання Увімкнути BitLocker.


Налаштування шаблонів політики безпеки
У цьому місці ви можете отримати повідомлення про те, що шифрування диска неможливе, доки будуть налаштовані шаблони політики безпеки.


Справа в тому, що для запуску BitLocker потрібно системі дозволити цю операцію - це може зробити тільки адміністратор і лише власноруч. Зробити це набагато простіше, ніж здається після прочитання незрозумілих повідомлень.

Відкрийте Провідник, натисніть Win + R- Відкриється рядок введення.


Введіть до неї та виконайте:

gpedit.msc

Відкриється Редактор локальної групової політики. Перейдіть до розділу

Адміністративні шаблони
- Компоненти Windows
-- Цей параметр політики дозволяє вибрати шифрування диска BitLocker
--- Диски операційної системи
---- Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску.



Встановіть значення параметра Увімкнено.


Після цього збережіть всі значення та поверніться до Панель керування- Ви можете запускати шифрування диска BitLocker.

Створення ключа та його збереження

Вам на вибір система запропонує два варіанти ключа: пароль та флешка.


При використанні флешки ви зможете скористатися жорстким диском тільки в тому випадку, якщо вставите флешку - на ній буде записаний у зашифрованому вигляді ключ. При використанні пароля вам потрібно буде його вводити щоразу, коли відбуватиметься звернення до зашифрованого розділу на цьому диску. У випадку з системним логічним диском комп'ютера пароль буде потрібен при холодному (з нуля) завантаженні або повному рестарті або при спробі прочитати вміст логічного диска на іншому комп'ютері. Щоб уникнути якихось підводних каменів, пароль вигадувати, використовуючи англійські літери та цифри.

Після створення ключа вам буде запропоновано зберегти інформацію для відновлення доступу у разі втрати: ви можете зберегти спеціальний код у текстовому файлі, зберегти його на флешці, зберегти його в облікового запису Microsoft, або друкувати.


Зверніть увагу, що зберігається не сам ключ, а спеціальний код, необхідний для відновлення доступу.


Шифрування USB-дисків та флешок
Ви також можете шифрувати і зовнішні USB-диски і флешки - ця можливість вперше з'явилася в Windows 7 під назвою BitLocker To Go. Процедура така сама: ви вигадуєте пароль і зберігає код відновлення.


Коли ви монтуватимете USB-диск (приєднуватимете до комп'ютера), або спробуєте його розблокувати, система запросить у вас пароль.


Якщо ви не хочете щоразу вводити пароль, тому що впевнені в безпеці при роботі на цьому комп'ютері, то можете в додаткові параметрипри розблокуванні вказати, що довіряєте цьому комп'ютеру - у цьому випадку пароль буде вводитися завжди автоматично, доки ви не скасуєте налаштування довіри. Зверніть увагу, що на іншому комп'ютері система у вас попросить ввести пароль, оскільки налаштування довіри на кожному комп'ютері діє незалежно.


Після того, як ви попрацювали з USB-диском, розмонтуйте його або просто просто від'єднавши, або через меню безпечного вилучення, і зашифрований диск буде захищений від несанкціонованого доступу.

Два способи шифрування

BitLocker при шифруванні пропонує два способи, що мають однаковий результат, але різний час виконання: ви можете зашифрувати тільки зайняте інформацієюмісце, пропустивши обробку порожнього простору, або пройтися по диску повністю, защифрувавши весь простір логічного розділу, включаючи і зайняте. Перше відбувається швидше, проте залишається можливість відновлення інформації з порожнього місця. Справа в тому, що за допомогою спеціальних программожна відновлювати інформацію, навіть якщо вона була видалена з Кошика, і навіть якщо диск було відформатовано. Звичайно, практично це виконати важко, але теоретична можливість все одно є, якщо ви не використовуєте для видалення спеціальні утиліти, які безповоротно видаляють інформацію. При шифруванні всього логічного диска шифруватиметься і місце, позначене як порожнє, і можливості відновлення інформації з нього навіть за допомогою спеціальних утиліт вже не буде. Цей спосіб абсолютно надійний, але повільніший.

При шифруванні диска бажано не вимикати комп'ютер. На шифрування 300 гігабайт у мене пішло приблизно 40 хвилин. Що буде, якщо раптово вимкнулося харчування? Не знаю, не перевіряв, але в інтернеті пишуть, що нічого страшного не станеться – потрібно буде просто розпочати шифрування заново.

Висновок

Таким чином, якщо ви постійно користуєтеся флешкою, на якій зберігаєте важливу інформацію, то за допомогою BitLocker можете захистити себе від попадання важливої ​​інформації в чужі руки. Також можна захистити інформацію і на жорстких дисках комп'ютера, включаючи і системні - досить повністю вимкнути комп'ютер, і інформація на дисках стане недоступною для сторонніх. Використання BitLocker після налаштування шаблонів політики безпеки не викликає жодних труднощів навіть у непідготовлених користувачів, якогось гальмування при роботі із зашифрованими дисками я не помітив.