VeraCrypt

Сегодня разберемся с одной из основополагающих основ-безопасности хранения данных, а именно-основе работы с криптоконтейнерами и скрытыми разделами жесткого диска.

Когда заходит разговор о шифровании данных, криптоконтейнерах и скрытых ОС, многие вспоминают про легендарную программу TrueCrypt, берущую свое начало в далеком 2004 году.

Это не случайно-TrueCrypt действительно многие годы являлось ПО из разряда "must have", в особенности для людей нашей профессии, однако годы идут, время многое меняет, и 28 мая 2014 года проект TrueCrypt был окончательно закрыт, все репозитории очищены, а поддержка продукта прекращена.

Кстати, здесь тема шифрования затрагивалась очень давно-еще в 2011 году...

Рассмотрим один из актуальных на сегодняшний день форков TrueCrypt-VeraCrypt.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

VeraCrypt является бесплатным и открытым проектом, который был начат в качестве форка TrueCrypt.

Свое начало проект берет 22 июня 2013 года (еще во время периодических обновлений и поддержки TrueCrypt).

Запущен и поддерживается основателем компании IDRIX-французом Mounir Idrassi.

Так-же, как и легендарный предшественник, VeraCrypt используется для шифрования "на лету", все так-же поддерживает создание не только криптоконтейнеров (а также так называемых "контейнеров с двойным дном"), зашифрованных разделов жесткого диска (в том числе и скрытых), и прочие фишки, унаследованные от TrueCrypt.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Так в чем-же принципиальное отличие и вообще стоит-ли переходить с проверенного временем решения на данный форк?

Давайте разберемся в этом.

- TrueCrypt производил недостаточное количество итераций для PBKDF2 (стандарт формирования ключа шифрования на основе пароля), в VeraCrypt число итераций для системного раздела увеличено с 1000 до 327661, а для остальных разделов и файловых контейнеров с 2000 до 655331, что существенным образом увеличивает крипто стойкость полученных ключей.

- В VeraCrypt исправлены ошибки и оптимизирован код загрузчика, что позволило использовать алгоритм SHA-256 в качестве хеш-функции при шифровании системного раздела жесткого диска, в то время как TrueCrypt использовал менее надежный алгоритм RIPEMD-160.

- Драйверы VeraCrypt подписаны цифровой подписью Microsoft, что необходимо для корректной установки в Windows 10.

Версии 1.18 и старше позволяют шифровать компьютеры Windows с EFI вместо BIOS, в них также исправлена уязвимость которая позволяла обнаружить скрытые разделы.

- Начиная с версии 1.0f VeraCrypt поддерживает загрузку разделов и контейнеров зашифрованных при помощи TrueCrypt, так же добавлена возможность конвертации зашифрованных TrueCrypt контейнеров и не системных разделов жесткого диска в формат VeraCrypt.

- Исправлены многие программные ошибки: утечки памяти, переполнения буфера и уязвимости загрузки dll.

Был проведен полный анализ и рефакторинг кода

- Доступны версии для MACOS и Linux

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Но это все теория, пора переходить к практике.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. Установка софта.

Скачать дистрибутив VeraCrypt можно на официальном сайте:

https://www.veracrypt.fr/en/Home.html

Доступны версии для Windows, Linux, MacOSX, так же PGP подписи установщика

На момент написания статьи актуальная версия VeraCrypt 1.21 (последнее обновление 09.07.2017)

Установка по сути своей стандартная, но есть один важный момент-выбор обычной установки (Install) или распаковки Portable-версии (Extract).

Как определиться с выбором?

Если планируется зашифровывать системный раздел диска с Операционной Системой (ну или создание раздела со скрытой ОС), то необходимо установить VeraCrypt, для этого выберите Install в процессе инсталляции, для всех остальных случаев подойдет простое извлечение файлов программы в указанную папку-Extract (это и есть портативная версия).

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2. Создание и использование криптоконтейнера.

Начнем с теории.

Вообще что такое криптоконтейнер и для чего он нужен?

Криптоконтейнер представляет собой логический диск, файловая структура которого в большинстве случаев совпадает со структурой ОС.

В открытом виде сюда можно записывать файлы любого формата и размера.

Если сохранённые таким образом данные нужно скрыть, нужно размонтировать криптоконтейнер, а чтобы увидеть файлы снова, нужно ввести заранее созданный ключ или пароль. 

Таким образом, это один из действенных способов защитить данные от взлома или похищения.

Также, помимо обычного криптоконтейнера, можно реализовать так называемое “двойное дно”.

Что это такое и в чем отличие между этими двумя вариантами?

Создаётся криптоконтейнер, в который загружаются произвольные легитимные данные (то есть такие, которые человек вполне мог бы хранить в криптоконтейнере, например музыка, фотографии или просто жесткое порно )) ), а затем в свободном месте внутри этого контейнера создаётся ещё одна область, которая открывается по совершенно другому паролю и в которую записывается действительно критичная информация.

Таким образом, даже в случае обнаружения криптоконтейнера (например, в случае внезапного ареста), невозможно доказать не только содержание скрытой области, но и сам факт ее наличия.

Даже в случае принуждения к выдаче ключа, предоставляем ключ к внешнему контейру, без опасений, что действительно важная информация попадет в руки противнику (пусть полюбуются фото и порнушкой, как правило на этом все и ограничится )) )

(Кстати, подобные методы принуждения-не редкость, причем не только в странах СНГ, яркий пример-Мэттью Бамгарднер из США (источник) или или наделавший много шума закон Великобритании )

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Ну что-ж, с теорией вроде закончили, теперь попробуем реализовать эти навыки на практике, и начнем с создания простого криптоконтейнера:

●(Шаг 1) Переходим к созданию томов.

Запускаем VeraCrypt и жмем "Создать Том" ("Create Volume")

●(Шаг 2) Выбираем тип тома.

В окне мастера создания томов необходимо выбрать какой тип тома необходимо создать.

VeraCrypt может размещать зашифрованный том в файле, в разделе диска или на диске целиком.

В данном случае мы выбираем первый пункт.

Так как он уже стоит по умолчанию, достаточно просто нажать кнопку "Далее" ("Next").

●(Шаг 3) Обычный или скрытый том

На этом шаге необходимо выбрать, какой тип тома создавать-стандартный или скрытый.

Поговорим о скрытых томах позже (это и есть пресловутый "контейнер с двойным дном"), сперва разберемся в процессе создания обычных криптоконтейнеров.

Выбираем "Обычный том VeraCrypt" и жмем "Далее" ("Next")

●(Шаг 4) Размещение тома

Все стандартно-необходимо указать имя файла, который будет являться зашифрованным контейнером для хранения данных.

Для продолжения нажмите "Файл" ("Select File") откроется стандартный диалог выбора файлов Windows в котором необходимо указать путь и имя нового файла контейнера VeraCrypt.

В данном случае мы создали файл VeraCryptVolume в папке C:\VeraCrypt.

При этом, если выбрать уже существующий файл, он будет удален, а на его месте будет создан файл тома VeraCrypt с таким же именем.

Если файла с таким именем в выбранной папке нет, он будет создан.

Файлы тома VeraCrypt являются обычными файлами, они могут быть удалены, перемещены и скопированы точно также как любые другие файлы в Windows.

После того как путь и имя выбраны, жмем "Сохранить" ("Save").

Теперь в окне мастера создания томов жмем "Далее" ("Next")

●(Шаг 5) Выбор алгоритмов шифрования.

На данном этапе выбираем предпочтительный алгоритм шифрования, пожалуй здесь особых объяснений не нужно.

●(Шаг 6) Размер тома 

Выбираем необходимый нам размер тома криптоконтейнера и идем дальше

●(Шаг 7) Пароль тома

Здесь мы создаем пароль для нашего криптоконтейнера.

В дополнению к паролю или отдельно можно использовать ключевой файл, создать или выбрать существующий.

Использовать ключевой файл не обязательно, но его использование еще больше увеличит безопасность данных.

После того как Вы выберите надежный пароль и/или ключевой файл, жмем "Далее" ("Next").

●(Шаг 8) Форматирование тома 

Для хранения файлов размером больше 4 Гигабайт в зашифрованном контейнере выберите Файловую систему NTFS, для небольших контейнеров лучше использовать FAT или exFAT.

Хаотично перемещаем указатель мыши в рамках окна мастера создания томов до тех пор, пока индикатор не станет зеленым, чем дольше перемещаем мышь, тем лучше (это позволяет значительно усилить крипто стойкость ключа шифрования).

Затем жмем "Разметить" ("Format").

Начнется создание зашифрованного тома, в зависимости от выбранного размера тома и быстродействия компьютера создание зашифрованного контейнера может занять долгое время.

После того как том будет создан, мы увидим сообщение о успешном завершении работы мастера.

●(Шаг 9) Завершение создания тома 

Мы только что успешно создали новый том (что собственно и является криптоконтейнером) VeraCrypt под именем VeraCrypVolume в папке C:\VeraCrypt.

Жмем "Выход" ("Exit"), окно мастера должно закрыться.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Чтобы смонтировать криптоконтейнер (для чтения или записи данных в него, проще говоря-для работы с ним), нам необходимо проделать следующее:

●(Шаг 1) Выбор буквы диска и файла контейнера.

Запускаем VeraCrypt, и в главном окне программы выбираем желаемую букву диска (в нашем случае это F), и жмем кнопку "Файл" ("Select File").

●(Шаг 2) Выбор файла криптоконтейнера.

В открывшемся диалоге выбираем файл криптоконтейнера.

●(Шаг 3) Монтируем криптоконтейнер.

Жмем кнопку "Смонтировать" ("Mount"), после чего появиться диалог ввода пароля и/или выбора ключевого файла.

Вводим их и жмем Ok

●(Шаг 4) Завершающий шаг.

Мы успешно смонтировали зашифрованный файловый контейнер как диск F.

Этот диск полностью зашифрован (включая имена файлов, таблицу разделов, свободное место).

Можно работать с ним точно также, как и с любым другим диском в системе: копировать, сохранять, перемещать файлы.

Как только файл размещается на этом диске, он тут же зашифровывается на лету.

После того, как файлы размещены в зашифрованном контейнере, важно безвозвратно удалить оригиналы.

VeraCrypt никогда не сохраняет расшифрованные данные на диск-когда мы работаем с зашифрованным контейнером, он всегда зашифрован, а файлы расшифровываются на лету и хранятся в оперативной памяти.

Это гарантирует, что в случае внезапного отключения питания или перезагрузки все файлы в контейнере останутся зашифрованными.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Если необходимо перезагрузить операционную систему или убрать диск F: и прекратить доступ к криптоконтейнеру, необходимо выполнить следующее:в главном окне программы выбрать соответствующую букву диска и нажать "Размонтировать" ("Dismount").

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Подведем итог:

С момента закрытия проекта TrueCrypt в 2014 году VeraCrypt остается его самым популярным форком, который не просто повторяет возможности оригинала, но и исправляет ряд уязвимостей TrueCrypt, а также приносит дополнительный функционал, которого не хватало ранее.

VeraCrypt развивается, выходят новые версии, исправления и улучшения.

Спустя три года после закрытия TrueCrypt, пришло окончательное время от него отказаться и начать использовать более современный и защищенный инструмент.

Всем хорошего настроения!

С вами был GoldieCarding