Шифрование системного диска на Windows с помощью VeraCrypt

Aug 26, 2018 · 5 min read

Обновлено 16 ноября 2020

Зашифровать системный (и любой другой) диск на Windows достаточно просто и быстро можно с помощью программы VeraCrypt.

1. Запустите VeraCrypt и откройте меню «Система», затем выберите пункт «Зашифровать системный раздел/диск…»:

VeraCrypt позволяет сделать «обманку» для вымогателей, которая называется «Скрытый раздел» — вы можете отдать пароль от фейкового раздела, где нет ничего важного, тем самым сберечь свой анус от терморектального криптоанализа . Но, скорее всего, она не будет доступна по-умолчанию , потому что у вас включена опция secure boot и/или ОС установлена в режиме UEFI, а не BIOS-совместимости . Это вряд ли понадобится 99.9% людей — силовые вымогательства, к счастью — большая редкость. Если считаете, что вам это нужно, но опция недоступна — гуглите в сторону вышеперечисленных опций и переустанавливайте ОС.

3. У нас простая инструкция, поэтому выбираем «Обычный» режим:

4. В следующем разделе нужно выбрать, шифруем мы только раздел с Windows, или весь диск. Скорее всего, будет доступна только первая опция — «Зашифровать системный раздел с Windows» (в этом случае нужно выбрать её), но если у вас вдруг доступна вторая («Зашифровать весь диск»)— выберите её:

5. Выбираем «Одиночная загрузка»:

6. Выбираем алгоритм шифрования. Рекомендуем остановиться на AES. Шифрование немного снижает производительность и комфорт при работе с компьютером, а инструкции AES-NI, которые есть во всех современных процессорах, позволяют работать с шифрованием аппаратно и практически не снижая скорость. «Далее»:

7. Задаём пароль, который будем вводить при каждом включении компьютера и нажимаем «Далее»:

8. Один из немногих случаев генерирования энтропии с пользой. Хаотично перемещаем мышкой в окне, пока нижний прогресс-бар не заполнится и нажимаем «Далее»:

9. VeraCrypt показывает сгенерированные ключи. «Далее»:

10. VeraCrypt предлагает создать Rescue Disk на случай, если с загрузочным сектором Windows или диском что-то случится, чтобы расшифровать диск. Если не лень и / или на системном диске вы храните важные данные (и не бекапите 🤡) — сохраните образ на флешку и киньте её в стол. Устанавливаем галочку «Не проверять VRD» и нажимаем «Далее»:

13. Тут нам предлагают перезаписать свободное пространство, где могут находиться остатки незашифрованных данных. Если вы активно пользуетесь компьютером и не ждёте ФСБ через несколько часов, то это не нужно, потому что через некоторое время свободное место и так будет перезаписано шифрованными данными. Можно выбрать режим 1 проход, можно пропустить, «Далее»:

14. И-и-и мы почти у цели! Последний шаг перед шифрованием — тестирование. VeraCrypt хочет убедиться, что загрузчик установился. Нажимаем «Тест»:

16. Соглашаемся с перезагрузкой:

17. Компьютер перезагрузится.

Теперь, при каждой загрузке компьютера, вы всегда будете видеть поле ввода пароля. Вводим пароль, который устанавливали ранее и нажимаем Enter:

Просто нажимаем Enter (и делаем так всегда на этом этапе):

18. Если тест прошёл успешно, после запуска Windows автоматически загрузится VeraCrypt, и вы увидите такое окно. Всё готово к шифрованию диска, нажимаем «Шифрация»:

19. Шифрование началось:

20. По окончанию шифрования, вы увидите сообщение («ОК»):

Вот и всё. Системный диск зашифрован, и если случится так, что ваш компьютер попадёт в Бюро Специальных Технических Мероприятий, то сотрудник на стенде будет очень грустный и отдуваться перед начальством, а в материалах уголовного дела будет меньше доказательств причастности к Публикации Опасного Комментария. А может, дело вообще закроют. Либо у конкурентов будет меньше информации о вашем бизнесе и компромата на вас.

Находясь в России, важно не только шифровать данные на дисках, но и пользоваться VPN, чтобы власти не видели ваш трафик и сайты, к которым вы обращаетесь.

Внимательным читателям, дошедшим до этого момента, мы дарим пробную неделю нашего Red Shield VPN — быстрого, простого и недорогого VPN. После регистрации введите в личном кабинете промокод FREENOVEMBER2020.

Промокод работает только в ноябре.

Нам будет приятно, если вы поддержите статьи подпиской на сервис.

Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными

Содержание статьи

VeraCrypt — наиболее популярный форк знаменитого средства шифрования TrueCrypt. Почему ему часто отдают предпочтение? На стороне VeraCrypt — открытый исходный код, а также собственный и более защищенный по сравнению с TrueCrypt формат виртуальных и зашифрованных дисков. Исходники VeraCrypt проходили независимый аудит, и найденные уязвимости с тех пор закрыли, что сделало «Веру» еще надежнее.

Как взламывает контейнеры VeraCrypt полиция

Эта статья не о том, как ломать криптоконтейнеры. Однако, если ты не знаешь, как станут действовать эксперты, пытающиеся получить доступ к зашифрованным данным, будет трудно понять смысл описанных действий.

Действия эксперта в лаборатории зависят от того, что именно и каким именно образом изъято при обыске.

Стандартные методы

Самый типичный случай — изъятие внешних накопителей целиком; компьютеры выключаются и также изымаются целиком, но в лабораторию к эксперту попадает не целый компьютер в сборе, а только извлеченные из него диски.

Подобный сценарий — тот самый случай, противостоять которому так долго готовились разработчики всех криптоконтейнеров без исключения. Лобовые атаки на криптоконтейнеры малоэффективны, а на некоторые их разновидности (в частности, загрузочные разделы, зашифрованные в режиме TPM или TPM + ключ) неэффективны абсолютно.

В типичном случае эксперт попытается сначала проанализировать файлы гибернации и подкачки. Если пользователь пренебрег настройками безопасности криптоконтейнера (кстати, при использовании BitLocker эти настройки далеко не очевидны), то ключи шифрования спокойно извлекаются из этих файлов, а зашифрованные тома расшифровываются без длительных атак. Разумеется, в ряде случаев эта атака не сработает. Она будет бесполезна, если выполнено хотя бы одно из описанных ниже условий.

1. Загрузочный диск зашифрован. В этом случае и файл подкачки, и файл гибернации будут также зашифрованы. Например, если для шифрования загрузочного раздела используется BitLocker (это имеет смысл, даже если остальные данные зашифрованы в контейнерах VeraCrypt), то Microsoft подробно описывает модель безопасности в FAQ и BitLocker Security FAQ (раздел What are the implications of using the sleep or hibernate power management options?). Кстати, из этого правила есть исключения — например, если файл подкачки вынесен на отдельное от загрузочного устройство (довольно распространенный случай для пользователей, которые таким образом «экономят» ресурс загрузочного SSD).

2. Компьютер был выключен штатным образом (через команду Shutdown) или был изъят в состоянии гибридного сна либо гибернации; при этом криптоконтейнер настроен таким образом, чтобы автоматически размонтировать зашифрованные тома и уничтожать ключи шифрования в оперативной памяти при переходе компьютера в сон, гибернацию или при его отключении.

Немного сложно для восприятия? Упрощу: если в момент изъятия зашифрованный том был смонтирован, а полиция просто выдернула вилку из розетки, то ключ шифрования, скорее всего, останется в файле гибернации (удастся ли его оттуда вытащить — зависит от пункта 1). А вот если компьютер выключили командой Shutdown, то наличие или отсутствие ключа будет зависеть от настроек криптоконтейнера. О том, как правильно настроить VeraCrypt, мы поговорим дальше.

3. Наконец, очевидное: анализ файлов подкачки и гибернации совершенно бесполезен, если в момент изъятия компьютера зашифрованный том не был подмонтирован.

Если извлечь ключи шифрования не удается, эксперт поищет их в облаке или корпоративной сети (для томов, зашифрованных штатными средствами BitLocker или FileVault 2). Только после этого в ход пойдет лобовая атака — перебор паролей.

С перебором паролей тоже непросто. Во-первых, давно прошли времена, когда под «лобовой атакой» понимался простой брутфорс. Скорость атаки будет такой, что полный перебор всего пространства паролей становится бесполезен, если длина пароля к криптоконтейнеру превышает 7–8 символов. Соответственно, для атак используются словари, в первую очередь — словари, составленные из паролей самого пользователя (извлечь их можно как из компьютера пользователя, так и из его мобильных устройств или напрямую из облака Google Account). Давно разработаны методы анализа паролей и составления правил-шаблонов, на основе которых будут генерироваться «похожие» пароли.

Для атаки в полиции будут использовать один из немногих пакетов программ, позволяющих запустить атаку на множестве (в теории — до нескольких тысяч, в реальности — порядка сотен) компьютеров, каждый из которых будет оснащен несколькими графическими ускорителями. Звучит неправдоподобно? Тем не менее во время тренингов для полиции в разных частях земного шара я видел помещения с компьютерами, использующимися для распределенных атак. Могу сказать о них следующее. Создателей фантастических фильмов в эти помещения, очевидно, не пускают, поэтому на экранах кинотеатров нам приходится наблюдать жалкие плоды убогой фантазии. Просто чтобы обозначить масштаб, поделюсь поразившим меня фактом: на рабочих столах полицейских экспертов одного британского захолустья стоят компьютеры с GeForce 2080 и 40 процессорными ядрами.

Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.

Дальше опробуют атаку с мутациями (берется слово из словаря, и проверяются его варианты, составленные по довольно простым правилам, которыми пользуется подавляющее большинство обычных пользователей). Кстати, на мутациях чаще всего и заканчиваются попытки атак в тех случаях, когда у полиции нет зацепок — не удалось получить ни одного пароля пользователя.

Если это не сработает, в ход пойдут маски (попытки вручную сконструировать пароли, «похожие» на те, которые были найдены у пользователя).

В особо сложных случаях дело дойдет до гибридных атак (использование комбинаций из одного или двух словарей в комбинации со скриптованными правилами, масками и/или префиксами).

Нестандартные методы

Нестандартно действовать полиция начинает в редких случаях, когда у подозреваемого заранее предполагается наличие зашифрованных «цифровых улик». В этом случае вместе с оперативниками выезжают подготовленные эксперты, которые проконтролируют изъятие и попытаются исследовать включенные, работающие компьютеры прямо на месте. Эксперт попробует сделать следующее.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Олег Афонин

Эксперт по мобильной криминалистике компании «Элкомсофт»

UEFI + Win10Home + VeraCrypt 1.23: UEFI does not offer any options #400

Comments

DeVIL-I386 commented Jan 17, 2019

After my system partition has been encrypted, no more options are displayed in the UEFI.

No UEFI update has been installed in the meantime.

The text was updated successfully, but these errors were encountered:

idrassi commented Jan 17, 2019

This is the first time I see such problem when only the system partition partition is encrypted. Is it possible to know the model of your PC?

Obviously, EFI firmware settings should not be affected by the content of a partition of the disk since the user can choose to format the disk completely and install another OS like Linux.

Did you encrypt another partition other than the system partition?

Anyway, I don’t think we can do anything for this issue since VeraCrypt follows standard practice for EFI configuration.

DeVIL-I386 commented Jan 17, 2019 •

Notebook is a: Acer Swift 1 (SF114-32)

Only the Windows partition was encrypted.

DeVIL-I386 commented Jan 17, 2019

Decrypted the system partition.

idrassi commented Jan 17, 2019

This confirms that the EFI firmware needs to access the content of the system partition.

This is very suspicious and if I were you I will not use this machine to store sensitive information.

Thank you for reporting this, it is a good information for other Acer users.

DeVIL-I386 commented Jan 17, 2019

My device was manufactured on 03.09.2018 and comes with «BIOS»-Version 1.03.

I will install this version now and then encrypt the system partition with VeraCrypt 1.23 again.

DeVIL-I386 commented Jan 17, 2019

Will start encrypting in a few minutes.

DeVIL-I386 commented Jan 17, 2019

In the old BIOS/UEFI version 1.03 «VeraCrypt BootLoader (DcsBoot)» was displayed where now » » is written.
After I moved the entry (VeraCrypt) from position 2 to position 1 yesterday, I had the problem with UEFI. Before that I had access to all settings in UEFI.

I had the idea to move the entry because I read that Windows 10 likes to repair the UEFI entries and then you have problems decrypting the partition.
It was recommended to set a UEFI administrator password, but I couldn’t find a way.

Now with BIOS/UEFI version 1.07 I haven’t moved the entry yet.

meekstone commented Jun 4, 2019

I’m not using VeraCrypt but I faced a similar issue with the same hardware (Acer Swift 1 SF114-32) and BIOS version 1.09 and found a workaround.

Any unsigned UEFI file seems to be displayed as in the BIOS (but is correctly labelled in the F12 boot menu). Putting such a item as first item in the «Boot priority order» in the BIOS renders the BIOS inaccessible, but the system will still boot properly (and use this as the first boot option).

I followed the steps below to configure a workaround (assuming a BIOS with default options, so some steps may not be required for you). Also, I installed Debian, which required disabling «secure boot», which may not be applicable to your case.

1. Set a «supervisor password»
2. Disable «secure boot»
3. Install operating system (or VeraCrypt) and its UEFI file
4. Reenable «secure boot»
5. Use «Security -> Select an UEFI file as trusted for executing» to add the UEFI file as trusted
6. Save changes and exit
7. Enter BIOS again and put the trusted UEFI file (which is now also listed as boot option) as first boot option
8. Disable «secure boot»
9. The BIOS is now still accessible and the UEFI file of your choice is the first boot option

In short: add VeraCrypt’s UEFI file as trusted, then put this trusted UEFI file as first boot option.

For me it seems that the BIOS does not need access to the system partition. I think the BIOS parses the «trusted UEFI files database/list» and UEFI files not in this database/list cause a problem when set as first boot option, probably due to missing a «name».

I contacted Acer regarding this issue and will post any useful information here, should Acer provide such information in a timely manner.

meekstone commented Jun 11, 2019 •

Acer’s response is that adding the UEFI file to the «trusted UEFI files» is the only supported way to have another OS installed in parallel to Windows and to have said OS’ bootloader set as primary boot option. (Whether this is a full-blown OS or ‘just’ something like VeraCrypt is probably not important, I guess it comes down to the additional UEFI file. Acer’s wording however, was specific to a Linux installation in parallel to the pre-installed Windows.)

Which means Acer won’t provide a BIOS which fixes the issue of an inaccessible BIOS as Acer does not see this as an issue.

groundstack commented Jul 29, 2019

Hello, I have the same laptop, SF114-32. My issue is different in the sense I can not access the BIOS menu at all, I just see a non-blinking cursor in the top left. I also can not boot from USB and boot menu also does not work. Totally bricked.

In my system I removed Windows completely, then installed Void linux.

At the time right before it became unusable I was changing boot order with ‘efibootmgr’

My question, those UEFI settings changed by ‘efibootmgr’ reside in eMMC or SO8 flash chip that holds UEFI firmware? Does the BIOS need a Windows installation on eMMC to work?

Any help appreciated, sending back to Acer is not an option as I am overseas. Thanks for any tips