- Статус
- Offline
- Регистрация
- 19 Сен 2018
- Сообщения
- 139
- Реакции
- 5
- Покупки через Гарант
- 0
- Продажи через Гарант
- 2
VeraCrypt: скрытые тома и правильное использование
Что такое VeraCrypt
VeraCrypt это открытый инструмент для шифрования данных — наследник TrueCrypt который был внезапно закрыт в 2014 году. VeraCrypt прошёл независимый аудит безопасности от OSTIF в 2016 году, критических уязвимостей не найдено. Используется журналистами, правозащитниками, юристами для защиты чувствительных данных.
Базовые концепции
VeraCrypt создаёт зашифрованные контейнеры — файлы которые монтируются как виртуальный диск. После монтирования работаешь с ним как с обычной папкой. После размонтирования — зашифрованный файл без какой-либо видимой структуры.
Поддерживаемые алгоритмы: AES-256, Serpent, Twofish и их каскады. AES-256 достаточно для большинства задач. Каскад AES-Twofish-Serpent — максимальная защита с небольшой потерей скорости.
Установка и создание базового контейнера
Скачать с veracrypt.fr — только официальный сайт. Проверить подпись после скачивания.
Создание контейнера: открыть VeraCrypt, Create Volume, Create an encrypted file container, Standard VeraCrypt volume. Выбрать расположение и имя файла — называть нейтрально, не "секретные данные". Выбрать алгоритм — AES достаточно. Выбрать размер — с запасом, потом не изменить. Придумать пароль — минимум 20 символов, лучше парольная фраза из случайных слов.
Монтирование: выбрать слот в главном окне, Select File, выбрать контейнер, Mount, ввести пароль. Контейнер появится как обычный диск.
Размонтирование: Dismount в главном окне или Dismount All. Делать это перед выключением компьютера и перед любой ситуацией риска.
Скрытые тома — главная функция
Это концепция правдоподобного отрицания. Один контейнер содержит два независимых зашифрованных раздела с разными паролями.
Внешний том — открывается первым паролем. Содержит правдоподобные но несекретные данные. То что не жалко показать под давлением.
Скрытый том — находится внутри свободного пространства внешнего тома. Открывается вторым паролем. Содержит реально чувствительные данные.
Криптографически доказать существование скрытого тома невозможно — свободное пространство внешнего тома статистически неотличимо от зашифрованных данных скрытого тома.
Как создать скрытый том
Create Volume → Create an encrypted file container → Hidden VeraCrypt volume.
Первый этап — создание внешнего тома. Обычный процесс создания контейнера. Размер должен быть достаточным для обоих томов. Пароль внешнего тома — тот который отдашь под давлением.
Второй этап — создание скрытого тома внутри. VeraCrypt предложит заполнить внешний том файлами — сделать это обязательно, иначе криминалистический анализ увидит что внешний том пустой что подозрительно. Пароль скрытого тома — другой, тот который защищает реальные данные.
Важное правило при работе со скрытым томом
Когда монтируешь скрытый том и записываешь в него данные — всегда монтировать с опцией защиты скрытого тома. Без этой опции VeraCrypt не знает где заканчивается скрытый том и может случайно перезаписать его данными внешнего тома.
Шифрование системного раздела
VeraCrypt умеет шифровать не только контейнеры но и весь системный диск. При включении компьютера сначала появляется загрузчик VeraCrypt который запрашивает пароль — только после этого загружается Windows.
На Linux лучше использовать нативное LUKS шифрование которое интегрировано глубже. VeraCrypt system encryption актуален в основном для Windows.
Keyfiles — дополнительный фактор
Помимо пароля можно использовать keyfile — любой файл который добавляется к паролю как второй фактор. Без этого файла пароль не работает.
Keyfile хранится отдельно от контейнера — на USB носителе, в другом месте. Это защищает если контейнер попал в чужие руки без keyfile.
Важно: keyfile нельзя потерять и нельзя изменить — иначе доступ к контейнеру утрачен навсегда.
Типичные ошибки
Монтированный контейнер во время риска — размонтировать надо до того как ситуация стала критической, не в последний момент. Примонтированный контейнер доступен без пароля.
Пустой внешний том — если внешний том не содержит правдоподобных данных, концепция отрицания не работает. Заполнить реальными но несекретными файлами.
Слабый пароль — AES-256 нельзя взломать перебором, но слабый пароль ломается словарной атакой. Минимум 20 символов, лучше парольная фраза.
Бэкап контейнера — делать регулярно. Повреждённый контейнер без бэкапа означает безвозвратную потерю данных.
Хранение контейнера в облаке — облачные сервисы видят метаданные: когда файл изменялся, как часто. Это паттерн который видно. Локальное хранение надёжнее.
Правдоподобное отрицание на практике
Концепция работает только если внешний том выглядит как реальное использование. Это означает: файлы во внешнем томе должны быть правдоподобными для твоей легенды — рабочие документы, фото, что угодно что объясняет зачем тебе зашифрованный контейнер. Файлы должны иметь разные даты создания и изменения — не все одного числа. Объём файлов должен соответствовать размеру внешнего тома — не два файла на 100 гигабайт контейнера.
Вывод
VeraCrypt это надёжный инструмент с многолетней историей и независимым аудитом. Скрытые тома дают криптографически обоснованную защиту даже при физическом давлении. Правильное использование требует понимания концепции — инструмент который используется неправильно не защищает.
Что такое VeraCrypt
VeraCrypt это открытый инструмент для шифрования данных — наследник TrueCrypt который был внезапно закрыт в 2014 году. VeraCrypt прошёл независимый аудит безопасности от OSTIF в 2016 году, критических уязвимостей не найдено. Используется журналистами, правозащитниками, юристами для защиты чувствительных данных.
Базовые концепции
VeraCrypt создаёт зашифрованные контейнеры — файлы которые монтируются как виртуальный диск. После монтирования работаешь с ним как с обычной папкой. После размонтирования — зашифрованный файл без какой-либо видимой структуры.
Поддерживаемые алгоритмы: AES-256, Serpent, Twofish и их каскады. AES-256 достаточно для большинства задач. Каскад AES-Twofish-Serpent — максимальная защита с небольшой потерей скорости.
Установка и создание базового контейнера
Скачать с veracrypt.fr — только официальный сайт. Проверить подпись после скачивания.
Создание контейнера: открыть VeraCrypt, Create Volume, Create an encrypted file container, Standard VeraCrypt volume. Выбрать расположение и имя файла — называть нейтрально, не "секретные данные". Выбрать алгоритм — AES достаточно. Выбрать размер — с запасом, потом не изменить. Придумать пароль — минимум 20 символов, лучше парольная фраза из случайных слов.
Монтирование: выбрать слот в главном окне, Select File, выбрать контейнер, Mount, ввести пароль. Контейнер появится как обычный диск.
Размонтирование: Dismount в главном окне или Dismount All. Делать это перед выключением компьютера и перед любой ситуацией риска.
Скрытые тома — главная функция
Это концепция правдоподобного отрицания. Один контейнер содержит два независимых зашифрованных раздела с разными паролями.
Внешний том — открывается первым паролем. Содержит правдоподобные но несекретные данные. То что не жалко показать под давлением.
Скрытый том — находится внутри свободного пространства внешнего тома. Открывается вторым паролем. Содержит реально чувствительные данные.
Криптографически доказать существование скрытого тома невозможно — свободное пространство внешнего тома статистически неотличимо от зашифрованных данных скрытого тома.
Как создать скрытый том
Create Volume → Create an encrypted file container → Hidden VeraCrypt volume.
Первый этап — создание внешнего тома. Обычный процесс создания контейнера. Размер должен быть достаточным для обоих томов. Пароль внешнего тома — тот который отдашь под давлением.
Второй этап — создание скрытого тома внутри. VeraCrypt предложит заполнить внешний том файлами — сделать это обязательно, иначе криминалистический анализ увидит что внешний том пустой что подозрительно. Пароль скрытого тома — другой, тот который защищает реальные данные.
Важное правило при работе со скрытым томом
Когда монтируешь скрытый том и записываешь в него данные — всегда монтировать с опцией защиты скрытого тома. Без этой опции VeraCrypt не знает где заканчивается скрытый том и может случайно перезаписать его данными внешнего тома.
Шифрование системного раздела
VeraCrypt умеет шифровать не только контейнеры но и весь системный диск. При включении компьютера сначала появляется загрузчик VeraCrypt который запрашивает пароль — только после этого загружается Windows.
На Linux лучше использовать нативное LUKS шифрование которое интегрировано глубже. VeraCrypt system encryption актуален в основном для Windows.
Keyfiles — дополнительный фактор
Помимо пароля можно использовать keyfile — любой файл который добавляется к паролю как второй фактор. Без этого файла пароль не работает.
Keyfile хранится отдельно от контейнера — на USB носителе, в другом месте. Это защищает если контейнер попал в чужие руки без keyfile.
Важно: keyfile нельзя потерять и нельзя изменить — иначе доступ к контейнеру утрачен навсегда.
Типичные ошибки
Монтированный контейнер во время риска — размонтировать надо до того как ситуация стала критической, не в последний момент. Примонтированный контейнер доступен без пароля.
Пустой внешний том — если внешний том не содержит правдоподобных данных, концепция отрицания не работает. Заполнить реальными но несекретными файлами.
Слабый пароль — AES-256 нельзя взломать перебором, но слабый пароль ломается словарной атакой. Минимум 20 символов, лучше парольная фраза.
Бэкап контейнера — делать регулярно. Повреждённый контейнер без бэкапа означает безвозвратную потерю данных.
Хранение контейнера в облаке — облачные сервисы видят метаданные: когда файл изменялся, как часто. Это паттерн который видно. Локальное хранение надёжнее.
Правдоподобное отрицание на практике
Концепция работает только если внешний том выглядит как реальное использование. Это означает: файлы во внешнем томе должны быть правдоподобными для твоей легенды — рабочие документы, фото, что угодно что объясняет зачем тебе зашифрованный контейнер. Файлы должны иметь разные даты создания и изменения — не все одного числа. Объём файлов должен соответствовать размеру внешнего тома — не два файла на 100 гигабайт контейнера.
Вывод
VeraCrypt это надёжный инструмент с многолетней историей и независимым аудитом. Скрытые тома дают криптографически обоснованную защиту даже при физическом давлении. Правильное использование требует понимания концепции — инструмент который используется неправильно не защищает.
