Как правильно использовать программное обеспечение для шифрования
Несколько советов, которые помогут вам лучше сохранять свои секреты:
- Старайтесь не допускать посторонних лиц до вашего компьютера, в том числе не сдавайте ноутбуки в багаж в аэропортах; если есть возможность, отдавайте компьютеры в ремонт без системного жёсткого диска и т.д.
- Используйте сложный пароль. Не используйте тот же самый пароль, который вы используете для почты и т.д.
- При этом не забудьте пароль! Иначе данные будет невозможно восстановить.
- Скачивайте все программы только с официальных сайтов.
- Используйте бесплатные программы или купленные (не используйте взломанный софт). А также не скачивайте и не запускайте сомнительные файлы, поскольку все подобные программы, среди прочих зловредных элементов, могут иметь килоггеры (перехватчики нажатий клавиш), что позволит злоумышленнику узнать пароль от вашего зашифрованного контейнера.
- Иногда в качестве средства от перехвата нажатий клавиш рекомендуют использовать экранную клавиатуру – думается, в этом есть смысл.
Плюсы и минусы
Программа VeraCrypt надежно шифрует личные данные пользователя и обеспечивает более высокую степень защиты в сравнении с Truecrypt, на основе кода которой она создана.
Удобный и интуитивно понятный интерфейс приложения, а также пошаговый мастер настройки позволяют работать с утилитой даже начинающим пользователям.
Для защиты утилиты от доступа посторонних лиц предусмотрена защита паролем.
Скачать VeraCrypt на ПК можно как портативную программу, после чего переместить ее на флешку и использовать без установки на любом другом устройстве.
Утилита не имеет недостатков, но в качестве таковых иногда отмечается неспособность программы защитить пользовательские данные на компьютере с установленным вредоносным программным обеспечением.
5. Gpg4win
Gpg4win — используется для защиты ваших файлов и безопасной передачи ваших писем. Поддерживает все криптографические стандарты, такие как Open PGP и S / MIME (X.509).
Gpg4win содержит несколько бесплатных программных компонентов:
- GnuPG — Бэкэнд; это фактический инструмент шифрования.
- Kleopatra — диспетчер сертификатов для OpenPGP и X.509 (S / MIME) и общих криптографических диалогов.
- GpgOL — плагин для Microsoft Outlook – поддерживает MS Exchange Server.
- GpgEX — плагин для Microsoft Explorer (шифрование файлов).
- GPA — альтернативный менеджер сертификатов для OpenPGP и X.509 (S / MIME).
Мне нужна ваша помощь
Для своевременного наполнения сайта, его продвижения, развития, а также, конечно, оплаты хостинга мне необходима помощь от вас, читатели. Подробнее о донатах читайте на специальной странице. На данный момент есть возможность поддержать меня через Яндекс Деньги, WebMoney и PayPal.Все собранные средства будут пущены на развитие сайта и редкое пиво для автора!
Меры безопасности
Существует несколько видов атак, которым уязвимо любое программное шифрование диска. Как и в случае с TrueCrypt, документация VeraCrypt инструктирует пользователей соблюдать различные меры безопасности для предотвращения этих атак, некоторые из которых подробно описаны ниже.
Загрузчик VeraCrypt
Ключи шифрования хранятся в памяти
VeraCrypt хранит свои ключи в оперативной памяти ; на некоторых персональных компьютерах DRAM сохраняет свое содержимое в течение нескольких секунд после отключения питания (или дольше, если температура понижается). Даже если есть некоторое ухудшение содержимого памяти, различные алгоритмы могут быть в состоянии восстановить ключи. Этот метод, известный как атака с холодной загрузкой (которая применима, в частности, к ноутбуку, полученному при включенном , приостановленном или заблокированном экране), успешно использовалась для атаки на файловую систему, защищенную TrueCrypt версий 4.3a и 5.0a в 2008 году. В версии 1.24 VeraCrypt добавила возможность шифрования ключей и паролей в ОЗУ в 64-разрядных системах Windows с накладными расходами ЦП менее 10%, а также возможность удаления всех ключей шифрования из памяти, когда подключено новое устройство.
Физическая охрана
В документации VeraCrypt указано, что VeraCrypt не может защитить данные на компьютере, если злоумышленник получил физический доступ к ним, и VeraCrypt затем снова используется на скомпрометированном компьютере пользователем. Это не влияет на обычные случаи украденного, утерянного или конфискованного компьютера. Злоумышленник, имеющий физический доступ к компьютеру, может, например, установить аппаратный или программный кейлоггер , устройство управления шиной , захватывающее память, или установить любое другое вредоносное оборудование или программное обеспечение , позволяющее злоумышленнику захватывать незашифрованные данные (включая ключи шифрования и пароли). ) или расшифровать зашифрованные данные с помощью захваченных паролей или ключей шифрования. Следовательно, физическая безопасность — это основная предпосылка безопасной системы. Подобные атаки часто называют « атаками злой горничной ».
Вредоносное ПО
Некоторые виды вредоносных программ предназначены для регистрации нажатий клавиш , включая вводимые пароли, которые затем могут быть отправлены злоумышленнику через Интернет или сохранены на незашифрованном локальном диске, с которого злоумышленник может прочитать его позже, когда получит физический доступ к компьютер.
Модуль доверенной платформы
В разделе часто задаваемых вопросов на веб-сайте VeraCrypt указано, что на доверенный платформенный модуль (TPM) нельзя полагаться для обеспечения безопасности, потому что, если у злоумышленника есть физический или административный доступ к компьютеру, и он используется впоследствии, компьютер мог быть изменен злоумышленником. : например, вредоносный компонент, такой как аппаратный регистратор нажатий клавиш, мог быть использован для захвата пароля или другой конфиденциальной информации.
Создайте скрытый зашифрованный контейнер
Скрытый том – это том, созданный внутри существующего зашифрованного тома или контейнера. Этот скрытый том не отслеживается извне и защищен другим паролем. Это означает, что нельзя получить доступ к скрытому тому, даже если знать о его существовании.
Вы можете создать зашифрованный скрытый контейнер, выполнив следующие действия:
- Откройте VeraCrypt и нажмите Создать том.
- Выберите второй вариант Зашифровать несистемный раздел/диск.
- Выберите вариант Скрытый том VeraCrypt.
- Теперь вы увидите два варианта (как описано ниже) для создания скрытого зашифрованного контейнера/тома. Выберите опцию Прямой режим и нажмите Далее (если вы ещё не создали контейнер, сделайте это, выполнив шаги, указанные выше)
- Нормальный режим: в этом режиме вам предлагается сначала создать внешний том, а затем внутренний скрытый том.
- Прямой режим: в этом режиме предполагается, что вы уже создали внешний том и вам нужно создать только внутренний скрытый том.
- Выберите существующий зашифрованный том (который будет действовать как внешний том) и нажмите Далее.
- Введите пароль для внешнего тома, нажмите Далее.
- Установите алгоритм шифрования (оставьте значение Автоопределение, если не уверены) и нажмите Далее.
- Задайте размер скрытого тома и нажмите Далее. Помните, что размер скрытого тома должен быть меньше размера внешнего тома.
- Как можно быстрее перемещайте указатель мыши в окне в случайном порядке и нажмите Разметить после того, как индикатор случайности станет зеленым.
После выполнения этих шагов вы успешно создадите скрытый том VeraCrypt, который теперь можно использовать для хранения важных данных, не опасаясь, что кто-либо узнает об этом.
Примечание. Скрытый том находится внутри внешнего тома, поэтому у вас всегда должно быть свободное пространство размером со скрытый том во внешнем томе, иначе данные вашего внутреннего тома будут повреждены.
Создание скрытого тома
Предположим, обстоятельства сложились неудачно: вас принуждают сдать пароль от зашифрованного контейнера. (В законодательстве некоторых стран есть такая норма). VeraCrypt позволяет одновременно выполнить требования закона и сохранить конфиденциальность данных. В иностранной литературе этот принцип называется plausible deniability (приблизительный перевод – «легальный отказ»).
Вы создаёте в своем контейнере второе, секретное отделение. У него нет «выпирающих частей» или дополнительных входов. Представьте себе сейф, с виду обычный, но с двумя кодами. Первый код открывает обычное отделение. Второй – секретное. При необходимости можно пожертвовать первым кодом. Программа устроена так, что никакой технической возможности доказать существование скрытого отделения (тома) не существует.
1. Запустите VeraCrypt.
Пользователи Windows могут выбрать последовательность действий:
- создать скрытый том в существующем томе;
- создать новый обычный том, а потом внутри него скрытое отделение.
Для экономии времени и места мы показываем первый вариант. Чтобы его использовать, сначала нужно размонтировать соответствующий том, если он у вас смонтирован. (Пользователи macOS в силу особенностей этой операционной системы могут выбрать только второй вариант).
2. Нажмите кнопку «Создать том». Откроется уже знакомый мастер создания томов.
Выберите «Создать зашифрованный файловый контейнер» (по умолчанию) и нажмите кнопку «Далее».
3. Выбор типа тома.
Выберите «Скрытый том VeraCrypt» и нажмите кнопку «Далее».
4. Нужно выбрать режим создания тома (у пользователей macOS, как мы говорили, такого выбора нет, для них только обычный режим).
У нас уже есть том VeraCrypt (мы его создали в предыдущем разделе). Поэтому выбираем «Прямой режим». Нажмите кнопку «Далее».
5. Нажмите кнопку «Выбрать файл» и найдите на компьютере тот файл, который мы создавали в предыдущем разделе этого руководства.
Отыщите на диске созданный ранее файл-контейнер и нажмите кнопку «Далее».
6. Сначала нужно ввести пароль внешнего тома.
Введите пароль внешнего тома и нажмите кнопку «Далее». VeraCrypt может попросить вас немножко подождать.
7. Пароль проверен, VeraCrypt сообщает, что всё нормально, можно продолжать.
Нажмите «Далее».
8. Остальные шаги повторяют соответствующие шаги предыдущего раздела. Единственная разница в том, что вы не можете задать произвольный объём для скрытого тома. Он будет ограничен объёмом внешнего тома.
Выбор алгоритма шифрования VeraCrypt
Еще во времена TrueCrypt пользователям предлагался выбор из нескольких разных алгоритмов шифрования, в том числе несколько вариантов с последовательным шифрованием данных сначала одним, а потом другим алгоритмом. В VeraCrypt выбор существенно расширился. Теперь предлагается пять алгоритмов (AES, Serpent, Twofish, Camellia и «Кузнечик») и десять вариантов их последовательного использования.
Выбор алгоритма шифрования VeraCrypt
Патриотам, желающим воспользоваться алгоритмом шифрования отечественной разработки «Кузнечик», рекомендую ознакомиться с информацией о странностях в таблицах перестановки, которые однозначно указывают на существование намеренно оставленного «черного хода».
Средний пользователь VeraCrypt не понимает, чем отличаются алгоритмы, не интересуется подробностями, но считает, что если выбрать цепочку из двух, а еще лучше трех алгоритмов, то он точно будет защищен и от закладок спецслужб, и от уязвимостей самих алгоритмов.
Правда же заключается в том, что достаточно будет использовать самый известный и простой с вычислительной точки зрения алгоритм. Тот самый AES, который используется всеми — от детей, скачивающих на телефон новую игру, до финансовых воротил и самых что ни на есть специальных спецслужб. За десятилетия повсеместного использования и массовых исследований этот алгоритм так и не взломали, секретных черных ходов не нашли.
На что же на самом деле влияет выбор алгоритма шифрования? Еще одна грустная правда: только и исключительно на скорость доступа к зашифрованным данным.
Выбор шифрования VeraCrypt
Шифрование алгоритмом AES использует встроенные в современные процессоры (начиная от самых дешевых ядер ARMv8 и заканчивая даже очень старыми процессорами Intel и AMD) команды для аппаратного ускорения шифрования. Другие алгоритмы тоже могут применять эти команды. Но AES пользуются все, а другими алгоритмами — не все, поэтому их оптимизация оставляет желать лучшего. Самый оптимизированный алгоритм шифрования Camellia уступает AES в скорости шифрования в полтора раза, Twofish уступает AES в три, Serpent — в четыре, а Кузнечик — в четыре с половиной раза. Комбинированные варианты работают еще медленнее, не предоставляя при этом никакой дополнительной безопасности.
Итак, выбор отличного от AES алгоритма шифрования не может улучшить безопасность зашифрованных данных, а вот ухудшить — запросто. А что может улучшить?
Добавить файлы на зашифрованный USB-накопитель
Как я уже сказал, вам нужно использовать VeraCrypt для добавления файлов на зашифрованный USB-накопитель или доступа к ним. Для этого откройте VeraCrypt и нажмите кнопку «Выбрать устройство».
Выберите зашифрованный раздел и нажмите кнопку «ОК».
В главном окне выберите букву диска из списка и нажмите кнопку «Смонтировать».
Теперь VeraCrypt запросит пароль для расшифровки диска. Введите пароль и нажмите кнопку «ОК».
Опять же, в зависимости от алгоритма шифрования, размера диска и объема данных на нем может потребоваться некоторое время для расшифровки диска. В некоторых случаях VeraCrypt может зависать и не отвечать. Игнорируй это. Приложение занято расшифровкой вашего диска.
После расшифровки вы увидите, что ваш USB-накопитель смонтирован с использованием буквы, выбранной вами на предыдущем шаге. Отсюда вы можете добавлять, удалять или изменять файлы по своему желанию.
Когда вы закончите, выберите диск из списка и нажмите кнопку «Размонтировать». Это завершит любое шифрование в последнюю минуту и безопасно отключит диск.
Это все, что нужно сделать, и зашифровать USB-накопитель очень просто. Прокомментируйте ниже, поделитесь своими мыслями и впечатлениями об использовании VeraCrypt для шифрования USB-накопителя.
Связанный: Как использовать USB-накопитель на Android и iOS
Тестирование
VeraCrypt необходимо протестировать созданную конфигурацию. Нажимаем кнопку «Test». Появится окно с сообщением о перезагрузке ОС. Соглашаемся:
Скриншот №10. Перезапуск ОС
Переходим в панель управления облачным сервером, подключаемся через web-интерфейс. Система попросит ввести пароль, придуманный на этапе конфигурирования шифрования, а также запросит PIM-код. Мы его не создавали, поэтому просто нажмем «Enter»:
Скриншот №11. Подключение к серверу
Далее гипервизор продолжит конфигурирование операционной системы. Процесс займет максимум 10 минут. По его окончании сервер будет перезагружен. Переподключимся к серверу и увидим сообщение VeraCrypt об успешном окончании тестирования.
Следуя подсказкам мастера, подтверждаем операцию шифрования выбранного системного диска. Процедура длительная и может занимать несколько часов. Администратор в любой момент может выключить сервер, а после включения шифрование продолжится с момента остановки — программа сохраняет процесс в режиме реального времени.
Важно! Выключать оборудование следует только через пункт «По питанию». В противном случае прогресс не сохранится
Создание зашифрованного тома
Запустив программу, первым делом сменим язык интерфейса. Для этого переходим в меню Setiings — Language. В списке языков выбираете русский язык.
Чтобы начать создание зашифрованного тома для хранения наших файлов, необходимо выбрать «Тома» и нажать «Создать новый том».
Программа позволяет зашифровать файл — контейнер для хранения секретной информации, либо внешний диск (флешку), либо диск компьютера полностью (даже вместе с операционной системой). Мы продемонстрируем работу программы на примере создания файла-контейнера.
Выбираем «Создать зашифрованного файлового контейнера» и жмём «далее».
В следующем окне также жмите на «далее» для продолжения. Здесь вы можете узнать о возможности создания скрытого тома — контейнера «с двойным дном» — двумя паролями и двумя пространствами для хранения информации, на случай, если вас вынудят назвать пароль. Назвав один из них, вы открываете доступ к той части, где не хранится ничего особо секретного, в то время, как второй пароль открывает доступ к особо секретной части. Однако стоит учесть, что при переполнении одного из параллельных контейнеров, данные в другом могут быть стёрты. Поэтому рассматриваем создание обычного шифрованного тома.
Чтобы решить, где должен располагаться файловый контейнер нужно нажать на «файл…». В открытом окне будет возможность выбора место для сохранения контейнера. Далее необходимо выбрать имя для контейнера (в нашем случае «АВС123»), затем нужно нажать на «сохранить». Контейнер может быть сохранен в любом месте (в том числе на внешнем жестком диске или USB-носителе) и назван по-своему. Затем следует нажать на кнопку «далее».
В следующем окне должен быть выбран метод шифрования данных. Оставьте установленное по умолчанию шифрование в алгоритме AES и нажмите «далее».
На следующем этапе необходимо выбрать размер зашифрованного контейнера. В примере используется маленький контейнер размером 50 мегабайт. Для этого необходимо ввести в текстовое поле 50 и рядом выбрать «Мбайт» . Прикиньте, какой размер данных вы хотите хранить и выберите размер с существенным запасом.
В следующем окне нужно выбрать, как можно будет открыть зашифрованный контейнер. Существует возможность сделать это с попомщью пароля или же защитить его при помощи ключевого файла. Также можно комбинировать два метода. Для простоты используйте пароль.
В следующем окне может быть выбрана файловая система. Если вы выбрали размер контейнера 3-4 Гбайт и больше, то рекомендуется использовать систему NTFS. Для небольших размеров не имеет значения, какую файловую систему использовать.
Для шифрования контейнера нужно примерно 30 секунд проводить мышью по окну и когда полоска внизу окна станет зелёной нажать на «Разместить».
Процесс займет определенное время. Если все идет правильно, появляется сообщение. Его можно закрыть нажав на «OK».
При нажатии на «завершено» процесс создания контейнера завершается. Теперь место для хранения информации создано. Но прежде, чем в него что-то поместить, его необходимо открыть с помощью этой же программы.
Завершение
Возможно у некоторых возникнут вопросы, почему не рассмотрели иные методы шифрования, такие как AES-256 и так далее, отвечу, что это потянет на отдельную статью, да и не просто статью. Тут необходимо изучение основ шифрования, что бы разъяснить все тонкости. В данной статье же мы рассмотрели простой пример как установить VeraCrypt в Linux, как создать зашифрованный контейнер, при чем, довольно-таки надежный и в большинстве случаев такого контейнера хватит. Да что уж говорить, даже спецслужбы мало вероятно что смогут взломать такой контейнер, особенно если вы зададите “Use PIM”.
Как говорилось в начале статьи, безопасность ваших конфиденциальных файлов важна, и их утечка может обернуться боком. По этому и рекомендуется для безопасности пользоваться шифрованием, а VeraCrypt вам в этом поможет с большим успехом.
А на этом сегодня все. Надеюсь данная статья будет вам полезна.Журнал Cyber-X
Установка
sudo add-apt-repository ppa:unit193/encryption
sudo apt update sudo apt install veracrypt
Debian
Нет официальных репозиториев, которые пользователи Debian могут добавить в свою систему для установки программного обеспечения шифрования VeraCrypt. Тем не менее, самый простой способ установить его — это загрузите файл DEB прямо со страницы службы сборки OpenSUSE. В настоящее время он поддерживает Debian 7–9.
OpenSUSE
Возьмите последняя версия VeraCrypt из OBS. Поддерживаются все текущие версии OpenSUSE (Leap и Tumbleweed). На странице загрузки выберите раскрывающийся список рядом с вашей версией SUSE, затем нажмите кнопку установки, чтобы получить программное обеспечение.
Другие Linux
Помимо пакетов для нескольких дистрибутивов Linux, VeraCrypt имеет загружаемый установщик для «общего Linux». Это означает, что пока вы используете дистрибутив Linux, вы сможете его установить. Перейдите на сайт VeraCrypt, скачать последний выпуск и следуйте инструкциям.
Монтирование тома
Эту несложную процедуру понадобится проделывать всякий раз для подключения вашего зашифрованного контейнера (тома). Чтобы у вас в системе появился виртуальный шифрованный диск. На практике монтирование обычно делают каждое утро в начале работы. Набив руку, вы достигнете автоматизма.
1. Запустите VeraCrypt, если вы этого еще не сделали.
2. Выберите в окне букву для будущего виртуального диска – любую, какая вам больше нравится.
3. Нажмите кнопку «Выбрать файл» в правой части окна.
4. Отыщите на своём компьютере файл-контейнер, созданный вами ранее. (См. предыдущий раздел).
5. Нажмите кнопку «Смонтировать» в левом нижнем углу окна.
6. В открывшемся маленьком окошке введите пароль. (Тот, который придумали в предыдущем разделе, п.8). VeraCrypt может попросить немножко подождать.
Смонтированный том в программе VeraCrypt выглядит так:
Если вы воспользуетесь файловым менеджером, то можете убедиться: в системе появился новый диск (в нашем примере диск M:). Это виртуальный диск, с которым можно работать так же, как с любым другим диском. При записи на этот диск файлы будут автоматически шифроваться. При прочтении или копировании с виртуального диска VeraCrypt на обычный диск файлы будут автоматически расшифровываться.
Попробуйте скопировать на виртуальный диск парочку файлов и убедитесь, что всё работает как надо.
Когда работа завершена, нужно размонтировать том. Для этого достаточно нажать кнопку «Размонтировать» в левом нижнем углу программы. Не забывайте делать это в конце работы. Не оставляйте том смонтированным, когда перезагружаете или выключаете компьютер.
Обеспечение сохранности оригиналов
После копирования файлов в защищенном хранилище или после того, как вы создали зашифрованную версию, вам совершенно необходимо стереть незашифрованный оригинал.
Просто удалить его недостаточно, даже если вы сделаете это в обход корзины, потому что данные остаются на диске, и программы, направленные на восстановление данных, часто могут вернуть его обратно.
Некоторые продукты шифрования дают возможность избежать этой проблемы путем шифрования файла, буквально переписывая его на жесткий диск с зашифрованной версии.
Этот метод более распространен, хотя можно предложить безопасное удаление как вариант.
Если вы выберете продукт, который не обеспечивает этой функции, вы должны найти бесплатный инструмент для безопасного удаления файлов.
Самыми надежными считаются «шреддеры». Но тут нужно быть предельно аккуратным, так как после использования этого типа программ шансы восстановить оригинал равны нулю.
Перезапись данных перед удалением — достаточно надежное программное средство против восстановления. Магнитные записи данных на жестком диске на самом деле не являются цифровыми.
Говоря простыми словами, этот процесс включает в себя обнуление тех данных, которые остались после удаления.
Если вы действительно думаете, что кто-то может использовать специализированную технику, чтобы восстановить ваши компрометирующие файлы, вы можете установить утилиту для безопасного удаления.
Тогда программа сделает несколько проходов перезаписи данных, так что даже специализированные методы восстановления не смогут вернуть ваши файлы.
Алгоритмы шифрования
Как шифруется
Алгоритм шифрования похож на черный ящик. Дамп документа, изображения или другой файл, который вы загружаете в него, вы получаете обратно. Но то, что вы видите, кажется бредом.
Превратить эту тарабарщину обратно в нормальный документ можно через окно с тем же паролем, который вы вводили при шифровании. Только так вы получите оригинал.
Правительство США признали Расширенный стандарт шифрования (AES) в качестве стандарта, и все продукты, которые здесь собраны, поддерживают стандарт шифрования AES.
Даже те, кто поддерживает другие алгоритмы, как правило, рекомендуют использовать AES.
Если вы эксперт шифрования, вы можете предпочесть другой алгоритм, Blowfish, и возможно, даже алгоритм Советского правительства по ГОСТу.
Но это уже совсем для любителей экстремальных развлечений. Для рядового пользователя AES — это просто отличное решение.
Стоит ли переходить с TrueCrypt на VeraCrypt
Эталонной программой, которая много лет позволяет очень надёжно шифровать файлы является TrueCrypt. Эта программа до сих пор прекрасно работает. К сожалению, в настоящее время разработка программы прекращена.
Её лучшей наследницей стала программа VeraCrypt.
VeraCrypt – это бесплатное программное обеспечение для шифрование дисков, она базируется на TrueCrypt 7.1a.
VeraCrypt продолжает лучшие традиции TrueCrypt, но при этом добавляет повышенную безопасность алгоритмам, используемым для шифрования систем и разделов, что делает ваши зашифрованные файлы невосприимчивым к новым достижениям в атаках полного перебора паролей.
VeraCrypt также исправила многие уязвимости и проблемы безопасности, обнаруженные в TrueCrypt. Она может работать с томами TrueCrypt и предлагает возможность конвертировать контейнеры TrueCrypt и несистемные разделы в формат VeraCrypt.
Эта улучшенная безопасность добавляет некоторую задержку только к открытию зашифрованных разделов без какого-либо влияния на производительность в фазе использования зашифрованного диска. Для легитимного пользователя это практически незаметное неудобство, но для злоумышленника становится практически невозможным получить доступ к зашифрованным данным, несмотря на наличие любых вычислительных мощностей.
Это можно продемонстрировать наглядно следующими бенчмарками по взлому (перебору) паролей в Hashcat:
Для TrueCrypt:
Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit Speed.Dev.#1.: 21957 H/s (96.78ms) Speed.Dev.#2.: 1175 H/s (99.79ms) Speed.Dev.#*.: 23131 H/s Hashtype: TrueCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit Speed.Dev.#1.: 9222 H/s (74.13ms) Speed.Dev.#2.: 4556 H/s (95.92ms) Speed.Dev.#*.: 13778 H/s Hashtype: TrueCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit Speed.Dev.#1.: 2429 H/s (95.69ms) Speed.Dev.#2.: 891 H/s (98.61ms) Speed.Dev.#*.: 3321 H/s Hashtype: TrueCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode Speed.Dev.#1.: 43273 H/s (95.60ms) Speed.Dev.#2.: 2330 H/s (95.97ms) Speed.Dev.#*.: 45603 H/s
Для VeraCrypt:
Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit Speed.Dev.#1.: 68 H/s (97.63ms) Speed.Dev.#2.: 3 H/s (100.62ms) Speed.Dev.#*.: 71 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA512 + XTS 512 bit Speed.Dev.#1.: 26 H/s (87.81ms) Speed.Dev.#2.: 9 H/s (98.83ms) Speed.Dev.#*.: 35 H/s Hashtype: VeraCrypt PBKDF2-HMAC-Whirlpool + XTS 512 bit Speed.Dev.#1.: 3 H/s (57.73ms) Speed.Dev.#2.: 2 H/s (94.90ms) Speed.Dev.#*.: 5 H/s Hashtype: VeraCrypt PBKDF2-HMAC-RipeMD160 + XTS 512 bit + boot-mode Speed.Dev.#1.: 154 H/s (93.62ms) Speed.Dev.#2.: 7 H/s (96.56ms) Speed.Dev.#*.: 161 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit Speed.Dev.#1.: 118 H/s (94.25ms) Speed.Dev.#2.: 5 H/s (95.50ms) Speed.Dev.#*.: 123 H/s Hashtype: VeraCrypt PBKDF2-HMAC-SHA256 + XTS 512 bit + boot-mode Speed.Dev.#1.: 306 H/s (94.26ms) Speed.Dev.#2.: 13 H/s (96.99ms) Speed.Dev.#*.: 319 H/s
Как можно увидеть, взломать зашифрованные контейнеры VeraCrypt на несколько порядков сложнее, чем контейнеры TrueCrypt (которые тоже совсем не просты).
Полный бенчмарк и описание железа я публиковал в статье «hashcat + oclHashcat = hashcat».
Второй важный вопрос – надёжность. Никто не хочет, чтобы особо ценные и важные файлы и сведения были потеряны из-за ошибки в программе. Я знаю о VeraCrypt сразу после её появления. Я следил за её развитием и постоянно к ней присматривался. На протяжении последнего года я полностью перешёл с TrueCrypt на VeraCrypt. За год ежедневной работы VeraCrypt меня ни разу не подводила.
Таким образом, на мой взгляд, сейчас стоит переходить с TrueCrypt на VeraCrypt.
Шифрование диска
Выбираем пункт, отмеченный красным:
Далее выбираем второй пункт — шифрование не системного раздела, т.е. логического диска, на который не установлена операционная система:
Переходим к выбору типа защиты: обычная или скрытая:
В первом случае происходит обычное шифрование данных. Чтобы получить доступ к системе, пользователь указывает пароль и данные дешифруются. Второй вариант скрывает зашифрованную область, не позволяя злоумышленникам ее обнаружить. Данный метод рекомендуется использовать только в случае повышенной опасности.
Следующий шаг — указываем раздел, который шифруется. Нажимаем на кнопку, которая отмечена красной стрелкой. Выбираем раздел из перечня, нажимаем «ОК», а потом «Next»:
Теперь переходим к выбору способа шифрования тома. Первый пункт активирует полную очистку логического диска без возможности восстановить информацию в дальнейшем. После выполнения операции происходит шифрование. Второй способ пропускает форматирование раздела и активирует шифрование. Используем первый способ:
Скриншот №6. Шифрование.
Теперь выберем протокол и хэширование. Оставляем по умолчанию, если не требуется специальных методов. Нажимаем «Next»:
Скриншот №7. Выбор дополнительных параметров.
Конфигурирование почти закончено и на мониторе пользователя появится информация о выбранном разделе. Если все верно, переходим к следующем пункту.
Здесь программа попросит задать пароль для доступа к зашифрованному разделу. Длина пароля должна составлять как минимум 20 символов. Также пароль должен содержать заглавные и прописные буквы латинского алфавита, числа и специальные символы. В качестве дополнительной защиты используем опции, отмеченные красными стрелками на изображении. Зеленым показан пункт, который отображает пароль на мониторе. Опция необходима, чтобы удостовериться в правильности набора секретного ключа. Когда информация будет введена, переходим дальше:
Скриншот №8. Создание секретного ключа.
Следующий шаг — указываем тип файловой структуры на разделе и размер кластера. Если настройки, указанные программой, подходят, то водим мышкой по полю, которое на скриншоте выделено красной рамкой, чтобы программа сгенерировала рандомные значения для создания ключей шифрования:
Скриншот №9. Создание ключей.
Когда полоска внизу программы достигнет конечной точки, пользователю придет сообщение об удачном завершении процесса. Подтверждаем операцию шифрования и переходим к монтированию раздела.
О VeraCrypt
VeraCrypt — это бесплатное приложение для шифрования с открытым исходным кодом, созданное командой из двух человек: Мунир Идрасси, основной разработчик и разработчик-волонтер. Несмотря на то, что ВераКрипт невелик по объему, он в основном ориентирован на защиту локальных файлов, но удивительно надежен в плане возможностей. В этом обзоре VeraCrypt мы собираемся определить, подходит ли вам этот сервис.
Основой VeraCrypt является TrueCrypt, еще одна бесплатная утилита для шифрования с открытым исходным кодом, которая была прекращена в 2014 году. Идрасси использовал исходный код TrueCrypt, улучшая некоторые аспекты безопасности.
Хотя приложение не подходит для большинства потребителей, он по-прежнему остается одним из лучших вариантов ПО для шифрования. Варианты не имеют аналогов, что позволяет вам шифровать и хранить файлы любым способом, который вы считаете нужным. Кроме того, VeraCrypt поставляется с рядом уникальных функций, которые мы никогда не видели раньше.
BitLocker
Стандартное средство шифрования дисков, встроенное в Microsoft Windows. Многие просто используют его, не устанавливая сторонних программ. А зачем, ведь есть «придворный шифровальщик»? С одной стороны правильно. С другой стороны, многих пользователей беспокоит, что код закрыт и неизвестно, есть ли в нем backdoors.
Шифрование диска осуществляется алгоритмом AES с длиной ключа 128 или 256 бит. Ключ при этом может храниться в TPM, на самом компьютере или на флешке. Если используется TPM, то при загрузке компьютера ключ может быть получен сразу из него или после аутентификации с помощью ключа на флешке или ввода PIN-кода с клавиатуры. А все это дает огромное пространство для творчества, точнее для ограничения доступа, а именно: TPM, TPM + PIN + USB, TPM + USB, TPM + PIN.
К преимуществам BitLocker можно отнести два неоспоримых факта: ним можно управлять через групповые политики, а также то, что он шифрует том, а не физический диск. А это, в свою очередь, позволяет зашифровать массив из нескольких дисков, чего не могут некоторые другие средства шифрования. Также BitLocker поддерживает GPT. Даже наиболее продвинутый форк трукрипта — VeraCrypt — не поддерживает его и если необходимо зашифровать системный GPT-диск, то его сначала нужно конвертировать в формат MBR.
Итак, можно выделить следующие преимущества BitLocker:
* Поддержка шифрования динамических дисков (массивов дисков).
* Поддержка GPT.
* Поддержка TPM и различных комбинаций ограничения доступа с его использованием.
* Поддержка управления посредством групповых политик.
Недостаток один: закрытый исходный код. Как-то нет доверия у меня (да и не только у меня) к закрытому коду. Чтобы спрятать какую-то инфу от домашних, BitLocker подойдет, но если ты агент 007, то полностью доверять BitLocker нельзя.
Краткий итог
В данной статье мы рассмотрели наиболее популярный функционал этой мощной программы. Однако созданием зашифрованного файла-контейнера программа не ограничивается. Ей вполне по силам зашифровать целый раздел (в том числе и системный) на жёстком диске или флеш накопителе.
Благодаря этому можно защитить всю систему. В случае кражи восстановить без пароля что-либо на зашифрованном носителе не представляется возможным.
Однако такой подход грозит некоторыми рисками. В случае возникновения серьёзных проблем с жёстким диском, данные могут быть безвозвратно потеряны. В случае столь основательного подхода к безопасности не забывайте делать и резервное копирование важных данных.