Linux veracrypt шифрование системы

VeraCrypt — подробный обзор и установка программы для шифрования

Рассмотрим VeraCrypt один из самых известных ПО для шифрования с открытым исходным кодом. Это — мощная программа с большим количеством функций. Прочитайте как его использовать в этом полном обзоре.

О VeraCrypt

VeraCrypt — это бесплатное приложение для шифрования с открытым исходным кодом, созданное командой из двух человек: Мунир Идрасси, основной разработчик и разработчик-волонтер. Несмотря на то, что ВераКрипт невелик по объему, он в основном ориентирован на защиту локальных файлов, но удивительно надежен в плане возможностей. В этом обзоре VeraCrypt мы собираемся определить, подходит ли вам этот сервис.

Основой VeraCrypt является TrueCrypt, еще одна бесплатная утилита для шифрования с открытым исходным кодом, которая была прекращена в 2014 году. Идрасси использовал исходный код TrueCrypt, улучшая некоторые аспекты безопасности.

Хотя приложение не подходит для большинства потребителей, он по-прежнему остается одним из лучших вариантов ПО для шифрования. Варианты не имеют аналогов, что позволяет вам шифровать и хранить файлы любым способом, который вы считаете нужным. Кроме того, VeraCrypt поставляется с рядом уникальных функций, которые мы никогда не видели раньше.

Возможности VeraCrypt

ВераКрипт обладает множеством функций, многие из которых могут не подходить вам. VeraCrypt — это все о функциях, позволяющих настраивать и защищать ваши файлы различными способами. Кроме того, есть некоторые функции безопасности, которые выходят за рамки стандартного шифрования.

ВераКрипт работает, создавая тома на вашем компьютере, которые будут отображаться как отдельные диски. Создавайте новые тома и перемещайте файлы в них, или зашифровывайте существующие разделы. Одна из замечательных вещей, которая отличает приложение от его платных аналогов — это способность шифровать целые диски, даже там, где установлена ​​ОС.

Если вы создаете новый том, указывайте размер. Это важно отметить, поскольку зашифрованный файл не будет отображать размер того, что находится на нем.

Шифрование всей системы добавляет дополнительный уровень безопасности до того, как ваша ОС даже загрузится. Все это происходит локально, а это означает, что необязательно подключение к Интернету или подключаться к приложению для аутентификации.

Аварийный диск VeraCrypt

При настройке системного раздела или диска для шифрования вы создаете аварийный диск, который сохраняйте на диске CD / DVD или USB. Если загрузчик поврежден или отсутствуют данные, связанные с расшифровкой, аварийный диск устранит эти проблемы и восстановит доступ.

Скрытый том и ОС

При создании тома вы указываете скрытый том. Как уже упоминалось, VeraCrypt заполнит любое пространство в томе, который вы не используете, случайными показателями, к тому же он будет соответствовать указанному вами размеру. В этом свободном пространстве работает скрытый том. По сути, вы создадите том внутри тома.

Общий процесс работает следующим образом: вы создаете стандартный том и помещаете в него некоторую конфиденциальную информацию, которую вы не возражаете, если кто-то найдет. За этим вы размещаете информацию, которую хотите защитить. Вы установите пароль для каждого, и при подключении тома введенный пароль будет определять, какой набор данных разблокирован.

Аналогичный процесс реализуется и с ОС. Загрузчик делит две установки ОС на отдельные тома. Еще раз, вы будете устанавливать разные пароли для каждого, и введенный вами пароль будет определять, какая ОС загружена.

Ценообразование

Как уже упоминалось, VeraCrypt — это бесплатный проект с открытым исходным кодом. Нет доступного платного плана. Вы скачивайте приложение для Windows, MacOS и Linux, не платя ни копейки.

Халява – это здорово, но, к сожалению, это оставляет отпечаток на некоторых аспектах.

А именно, приложение не имеет интеграции облачного хранилища с сервисом вроде Boxcryptor.

При этом программа, похоже, не нацелена на тех, кто хочет синхронизировать зашифрованные файлы в облачных сервисах хранения. Скорее, он гораздо больше сфокусирован на локальном шифровании, обрабатывая всю файловую систему, а не только данные файла.

Если вы используете ВераКрипт и решили, что вам это нравится, вы всегда можете пожертвовать проекту.

Безопасность VeraCrypt

Безопасность приложения на самом деле довольно проста. Вам не нужно проходить аутентификацию на сервере, чтобы использовать свою учетную запись. В результате, это избавляет от огромного препятствия, с которым сталкиваются большинство программных служб шифрования. Более того, здесь нет возможности прямого обмена, поэтому использование пар ключей для сопоставления авторизованных пользователей не является проблемой.

ПО все локальное. По умолчанию приложение использует AES-256 для шифрования файловой системы. Это включает имена файлов и все остальное, что связано с данными, которые вы шифруете. Хотя AES является значением по умолчанию и рекомендуется VeraCrypt, существуют и другие доступные алгоритмы.

Известными алгоритмами являются Camellia, которая была разработана Mitsubishi и NTT из Японии, и «Кузнечик», которая была разработана Россией. Независимо от этого каждый алгоритм имеет 256-битный размер ключа и 128-битный размер блока. Вы также можете объединить несколько алгоритмов. Например, VeraCrypt поддерживает режим AES-Twofish-Serpent.

Когда вы создаете пароль, утилита использует один из пяти алгоритмов хеширования, генерируя псевдослучайные ключи на основе ряда факторов, в том числе движения мыши и нажатия клавиш. В результате этого процесса генерируется мастер-ключ и вторичный ключ, что позволяет расшифровывать данные с помощью распознанного мастер-пароля.

VeraCrypt поддерживает аппаратно-ускоренное шифрование AES с использованием инструкций Intel AES-NI. Хотя разница в скорости вряд ли имеет значение для современных многоядерных процессоров, она ускоряет процесс на старых машинах.

Простота использования

Веб-сайт — это то, что вы ожидаете от ПО с открытым исходным кодом для шифрования. Проект разработан экспертами по криптографии, а не дизайнерами веб-сайтов. Устаревший вид не так прост для глаз, но он по-прежнему функционален, если вы различаете загружаемые версии. Если вы не можете, приложение, вероятно, не для вас.

Общий доступ к файлам и хранение

В этом разделе ПО упускает большие возможности. Он не имеет функций совместного использования или интеграции облачного хранилища. Это инструмент, созданный для локального шифрования файлов, не более того. Если у вас есть служба облачного хранения, вы можете легко перенести туда том и синхронизировать, но прямой интеграции нет.

Хотя приложение является бесплатным сервисом — и при этом качественным, — его ограниченный объем демонстрируется здесь.

Тем не менее, если все, что вас волнует, это локальное шифрование или шифрование всей вашей ОС, то VeraCrypt оптимальный выбор.

Поддержка VeraCrypt

Как и в случае с большинством программных инструментов с открытым исходным кодом, вы зависите от сообщества, когда дело доходит до поддержки. Команда VeraCrypt предоставляет обширную документацию по приложению, включая прекрасно написанное руководство для начинающих. Однако большая часть другой документации очень техническая.

Если вы новичок, большинство статей для Вас будут сложными.

Есть также форум, который служит единственной прямой формой поддержки. К счастью, сообщество активно, и разработчики VeraCrypt часто отвечают и создают темы.

Что касается поддержки проекта с открытым исходным кодом, VeraCrypt имеет солидное сообщество. Тем не менее, он не может противостоять системам полной поддержки, предлагаемым платными программными инструментами.

Если вам понадобится ручная фиксация во время процесса шифрования, VeraCrypt не для вас. Однако, если вы хоть немного разбираетесь в технологиях, сообщество, вероятно, поможет вам в этом.

Преимущества и недостатки VeraCrypt

Преимущества:

• Шифрование всего диска
• Шифрование ОС
• Несколько вариантов алгоритма
• Бесплатно
• Открытый источник
• Скрытые тома

Недостатки:

• Может быть трудно использовать
• Несколько вариантов поддержки
• Нет интеграции облачного хранилища
• Нет вариантов обмена

Установка

wget -c https://launchpad.net/veracrypt/trunk/1.23/+download/veracrypt-1.23-setup.tar.bz2

mkdir veracrypt-installer && cd veracrypt-installer
tar xjpf ../veracrypt-*.tar.bz2

chmod -R +x .

Консольная версия

Графическая версия

./veracrypt-1.23-setup-gui-x64Читаем и принимаем политику конфиденциальности

Вывод

Несмотря на отсутствие возможности обмена файлами, по сравнению со своими коммерческими аналогами, сервис в деле, когда дело доходит до локального шифрования. Если вы хотите бесплатное ПО с открытым исходным кодом, VeraCrypt для вас.

Источник

Создание зашифрованного диска с «двойным» дном с помощью Veracrypt

VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров.

В этой статье мы рассмотрим интересную возможность VeraCrypt для создания зашифрованного диска со скрытым разделом, этот метод, также называемый методом «двусмысленного шифрования», обеспечивает возможность правдоподобного отрицания наличия второго тома, т.к. не обладая нужным паролем, доказать существование скрытого тома не представляется возможным.

Создание ключевого файла

Для работы с зашифрованным разделом наличие ключевого файла не является обязательным, но если защищать данные по-максимуму, то лишним не будет, например, как еще один фактор для обеспечения достаточно высокой стойкости к принуждающим атакам, также известным как «метод терморектального криптоанализа».

В данном случае предполагается наличие двух ключевых файлов на внешних носителях, один из которых будет хранится в достаточно надежном месте, например, в защищенной банковской ячейке.

Вторая же копия при возникновении угрозы уничтожается. Таким образом, даже если наличие скрытого раздела стало известно, а пароль от него извлечен методом силового воздействия — без ключевого файла доступ к зашифрованной информации получить не удастся.

В VeraCrypt есть инструмент для генерации ключевого файла, позволяющий создать файл со случайными данными заданного размера. Для этого необходимо запустить из меню Сервис — Генератор ключевых файлов, задать необходимое количество ключевых файлов и их размер, и сгенерировать энтропию, совершая хаотичные движения мышкой. После этого сохранить ключевой файл (в нашем случае, также сделав и его копию).

Создание зашфированного раздела

Для того чтобы создать скрытый зашифрованный раздел, нужно сначала подготовить обычный (внешний) зашифрованный том. Для его создания запустим из меню Сервис — Мастер создания томов.

Выберем «Зашифровать несистемный раздел/диск«, что бы создать зашифрованный диск (в моем случае это небольшой SSD диск). Если отдельного диска нет, можно использовать «Создать зашифрованный файловый контейнер«, т.к. он будет в дальнейшем смонтирован как виртуальный диск, все последующие инструкции справедливы и для него.

Тип тома зададим «Скрытый том Veracrypt«, режим тома «Обычный» (т.к. мы создаём новый том). В размещении тома нужно выбрать диск, на котором будет создан зашифрованный том, в случае создания файлового контейнера, нужно будет указать место, где этот файл создать.

Режим создания тома «Создать и отформатировать» если диск пустой, или «Зашифровать на месте«, если на диске уже есть данные, которые нужно зашифровать.

Алгоритм шифрования оставляем AES, т.к. несмотря на наличие возможности выбрать один из пяти алгоритмов шифрования, AES является достаточно надежным и быстрым (в VeraCrypt поддерживается и включено по умолчанию аппаратное ускорение этого алгоритма, при использовании процессоров, имеющих набор инструкций AES-NI).

Средняя скорость шифрования/дешифрования в памяти (12 потоков, Апп. ускорение AES включено, Мб/c, больше-лучше):

Интересный факт: пароль “самого разыскиваемого хакера”, использовавшего полное шифрование дисков, Джереми Хэммонда, был именем его кошки: “Chewy 123”;

Перед форматированием тома потребуется совершить несколько хаотичных движений мышкой, что бы создать необходимый уровень энтропии для шифрования. Опцию «быстрое форматирование» не следует использовать, так как предполагается создание скрытого раздела. Если не предполагается хранение больших файлов (>4Гб), тип файловой системы рекомендуется оставить FAT.

Создание скрытого тома

В мастере томов выберем «Зашифровать несистемный раздел/диск«. Режим тома «Скрытый том VeraCrypt«. Режим создания «Прямой режим«. Выберем устройство или контейнер, зашифрованные на предыдущем шаге. Введем созданный ранее пароль и нажмем «Далее«.

Укажем тип шифрования для скрытого тома. Как и выше, я рекомендую оставить настройки по умолчанию. На данном этапе мы можем добавить использование ключевого файла, как дополнительной меры защиты.

На следующем шаге определим сколько места «забрать» у основного тома для создания скрытого тома. Дальнейший процесс настройки тома, аналогичен настройке внешнего тома.

Подключение внешнего тома

Монтирование тома может занимать некоторое время, это связано с большим количеством итераций при генерации ключа, что повышает стойкость при атаках «в лоб» в десятки раз.

Для подключения внешнего тома нажмем «Смонтировать«, откроем «Параметры» и установим опцию «Защитить скрытый том от повреждения при записи» и укажем пароль и ключевой файл от скрытого тома.

Опцию защиты при монтировании внешнего тома необходимо включать, так как скрытый том является частью внешнего, и запись во внешний том без защиты может повредить скрытый том. В том случае, если вас заставляют смонтировать внешний том силовым методом (против которого этот механизм и был создан), то, естественно, вы его монтируете как обычный том, и VeraCrypt не будет показывать что это внешний том, он будет выглядеть как обычный.

Во внешнем томе можно разместить информацию, которая будет выглядеть или быть отчасти чувствительной, в то время как все самое ценное будет храниться на скрытом томе.

Подключение скрытого тома

Для подключения скрытого тома, нажмем «Смонтировать», укажем пароль и ключевой файл от скрытого тома. При примонтированном скрытом томе, VeraCrypt добавляет пометку «Скрытый«.

Векторы атаки

Атака в лоб:

Атаки методом перебора, при наличии стойкого пароля малоэффективна — это тот сценарий, к которому и готовились разрабочики VeraCrypt, а при наличии ключевого файла — неэффективны абсолютно.

Извлечение ключей шифрования:

Теоретически, получив доступ к выключенному компьютеру, есть некоторый шанс извлечь ключи шифрования из памяти или файла гибернации и файла подкачки. Для противодействия такого рода атакам рекомендуется включить опцию шифрования ключей и паролей в ОЗУ в меню Настройка — Быстродействие и отключить файл подкачки и спящий режим.

Скрытое управление:

Хранение данных в зашифрованном виде убережет их в случае утери, конфискации или кражи устройства, но в случае, если злоумышленники получили скрытый контроль над компьютером по сети, например, с использованием вредоносного ПО с возможностями удаленного управления, им не составит труда получить ключевой файл и пароль в момент использования. Варианты противодействия этим типам атак рассматривать не будем, так как тема сетевой безопасности довольно обширна, и выходит за рамки данной статьи.

Источник