Защитете личната и професионалната информация Сигурността е станала толкова важна, колкото наличието на добър антивирусен софтуер или поддържането на системата ви актуална. Служебни документи, снимки, копия на официални документи, пароли, съхранявани в обикновен текст – всичко това обикновено се озовава на твърдия диск на вашия компютър, USB устройство, което винаги е в раницата ви, или в някоя услуга за съхранение в облак. Ако някой се добере до това устройство или получи достъп до акаунта ви без разрешение или криптиране, това е все едно да оставите входната си врата широко отворена.
VeraCrypt Той се утвърди като естествен наследник на TrueCrypt За надеждно криптиране на данни в Windows, Linux и macOS. Позволява ви да създавате криптирани контейнери, да защитавате USB устройства и външни твърди дискове и дори да криптирате целия диск, където е инсталирана операционната система, с удостоверяване преди стартиране на Windows. В това ръководство ще видите подробно какво предлага, как работи и как можете да го използвате, за да защитите файловете си, без да е необходимо да сте експерт по сигурността.
От TrueCrypt до VeraCrypt: защо се промени пейзажът на криптирането
TrueCrypt беше де факто стандартът в продължение на години Използван е за криптиране на дискове и папки, докато разработчиците му внезапно не се отказаха от проекта през 2014 г. На официалния му уебсайт те препоръчаха прекратяване на употребата му, предупредиха за потенциални уязвимости в сигурността и предложиха преминаване към BitLocker или други системи за криптиране, интегрирани в Linux и macOS. Последната версия, 7.2, беше ограничена до декриптиране на съществуващи томове, без опция за създаване на нови контейнери.
Изправен пред тази празнота, Независима група разработчици стартира VeraCrypt като разклонение на кода на TrueCrypt. Оттам нататък те коригират уязвимости, укрепват криптографските параметри и включват нови алгоритми за криптиране и усъвършенствани функции за сигурност. За мнозина пенсионирането на TrueCrypt резонира толкова силно, защото беше един от малкото инструменти, които сериозно усложняваха работата на агенции като NSA или ФБР при достъп до иззети дискове.
Днес общата препоръка е да оставите TrueCrypt в миналото и използвайте единствено VeraCryptТой не само е решил наследени проблеми, но и е подобрил производителността с поддръжка на AES-NI ускорение, добавил е по-гъвкави опции за криптиране и остава активен с чести издания и външни одити за сигурност.
Какво е VeraCrypt и как се различава от другите решения?
VeraCrypt е софтуер за криптиране на дискове в движение (OTFE)Това е безплатен инструмент с отворен код, който криптира данни в реално време, прозрачно за потребителя. Можете да създадете контейнерен файл, който се монтира като всяко друго устройство, да криптирате конкретен дял (D:, E:, F: и т.н.) или да криптирате целия системен диск с удостоверяване преди зареждане в Windows.
е Предлага се за Windows, Linux, macOS и някои BSD системиТова го прави особено привлекателен за смесени среди или за потребители, които сменят платформи. В macOS и Linux не криптира системния дял, но криптира контейнери и вторични дискове или дялове, подобно на Windows.
Едно от големите предимства на VeraCrypt е прозрачността на неговия кодТъй като е с отворен код, той е одитиран от независими организации и експерти. Организации като QuarksLab и немската BSI са прегледали сигурността му, уязвимостите са били отстранени, а криптографските параметри по подразбиране са били подсилени. Освен това, той внедрява стандартни за индустрията алгоритми като AES, Serpent, Twofish, Camellia и Kuznyechik, в XTS режим и с извличане на ключове PBKDF2, използвайки стотици хиляди итерации, за да възпрепятства атаките с груба сила.
В сравнение с BitLocker или други собствени решения, VeraCrypt предлага по-детайлно управление върху това как и какво се криптира, позволява скрити томове с „правдоподобно отричане“ и работи на множество операционни системи.В замяна, липсва централизирана конзола за управление и директна интеграция с Active Directory или TPM; за решения за хардуерно удостоверяване вижте [линк към съответната документация]. Windows Hello за бизнесаСледователно, в големите компании той често съществува едновременно с по-„автоматизирани“ корпоративни инструменти.
Основни характеристики и функции на VeraCrypt
VeraCrypt е проектиран както за домашни потребители, така и за професионална среда които се нуждаят от надеждно криптиране. Това са ключовите му характеристики, групирани заедно, за да можете да видите точно какво може да направи за вас.
- Създаване на криптирани контейнери. Най-гъвкавият вариант е да създадете файл, който действа като „криптиран виртуален диск“. Този файл може да се намира на вашия вътрешен твърд диск, USB флаш устройство, външен твърд диск или дори на файлов сървър или услуга за съхранение в облак.
- Шифроване на дискове и цели дяловеАко не искате да използвате контейнерни файлове, можете да криптирате цял дял или диск. Това е идеално за USB флаш устройства, SD карти, външни твърди дискове или допълнителни устройства на компютъра.
- Шифроване на системния диск с удостоверяване преди зареждане. Една от ключовите му характеристики е възможността за криптиране на целия диск, на който е инсталиран Windows. Когато включите компютъра, се появява малък мениджър за зареждане на VeraCrypt, който ви подканва да въведете паролата (и по избор PIM или ключовия файл).
- Криптиране в реално време и хардуерно ускорение. Криптирането и декриптирането се извършват автоматично, в движение. Потребителят просто вижда друг диск. Ако изберете AES и вашият процесор поддържа AES-NI, производителността при четене и запис е много висока, до степен, че в много случаи ограничението се налага от самия диск, а не от криптирането.
- Скрити обеми за правдоподобно отричанеVeraCrypt ви позволява да създадете „скрит“ том в друг том. Една парола монтира външния (нормален) том, а друга парола монтира скрития том.
Режими на изтегляне, инсталиране и употреба (инсталиран или преносим)
Най-разумното нещо е Винаги изтегляйте VeraCrypt от официалния му уебсайт.Там ще намерите инсталатори за Windows, macOS, Linux, FreeBSD и изходния код. Няма платена версия: тя е напълно безплатна и можете да я използвате без ограничения.
В Windows инсталаторът предлага две възможности:
- Инсталирайте програмата на системата.
- Извлечете файловете, за да го използвате в „преносим“ режим.
Ако целта ви е да криптирате системния диск или дяла, където е инсталиран Windows, инсталацията е задължителна. За криптиране на USB устройства, външни твърди дискове или други сменяеми носители, преносимият режим е много полезен, защото можете да копирате изпълнимия файл на самото устройство на некриптиран дял и да го използвате на други компютри, без да инсталирате нищо.
El съветник за инсталиране Типично е за всяка програма: избирате език, приемате лиценза, избирате дали искате преки пътища на работния плот или в менюто „Старт“ и това е всичко. Накрая VeraCrypt обикновено предлага ръководство за начинаещи, което си струва да прочетете, ако за първи път използвате този тип софтуер.
В Linux и macOS инсталацията се извършва с помощта на специфични пакети. или чрез компилиране от изходния код, в зависимост от дистрибуцията. Във всеки случай, интерфейсът и основните стъпки за създаване на томове са много подобни на тези в Windows, което улеснява преместването между платформи.
Шифроване на "нормален" контейнер стъпка по стъпка
За много потребители първият им контакт с VeraCrypt ще бъде създаването на криптиран файлов контейнер.Общият поток, подобен във всички системи, е следният:
1. Създайте обемОт главния прозорец на VeraCrypt щракнете върху „Създаване на том“. Съветникът ще ви попита какво искате да направите; изберете „Създаване на криптиран файлов контейнер“. След това изберете „Общ том на VeraCrypt“ (стандартният), а не скрития том, който ще обсъдим по-късно.
2. Изберете местоположението и името на файла на контейнераИзползвайте бутона „Избор на файл“, за да посочите пътя и името. Не е нужно да избирате съществуващ файл; просто въведете желаното име за новия контейнер (например „work_data.hc“). Можете да запазите този файл на локалния си диск, USB устройство, NAS или дори в папка, синхронизирана с облака.
3. Изберете алгоритми за криптиране и хеширанеПо подразбиране VeraCrypt използва AES като симетричен алгоритъм и SHA-512 или SHA-256 като хеш функция. AES е текущият стандарт и ако вашият процесор поддържа AES-NI, той предлага отлична производителност. Използвайки опцията „Benchmark“, можете да тествате различни комбинации, за да видите коя се представя най-добре на вашата система, въпреки че за повечето ситуации AES + SHA-256 е повече от достатъчен.
4. Определете размера на томаПосочете размера на контейнера в мегабайти или гигабайти. Помислете как ще го използвате: за няколко документа са достатъчни стотици MB, но ако искате да съхранявате пълни резервни копия, може да ви трябват няколко GB или дори повече.
5. Конфигурирайте удостоверяване: парола, ключов файл и PIMКато минимум, трябва да създадете силна парола, като комбинирате главни и малки букви, цифри и символи с разумна дължина. VeraCrypt ще ви предупреди, ако открие, че паролата ви е твърде слаба. Освен това можете да използвате ключови файлове (всеки файл, който действа като част от тайната) и числова стойност, наречена PIM (Personal Iterations Multiplier - личен множител на итерации), която затруднява отгатването на паролата. Комбинирането на тези три фактора осигурява много високо ниво на защита.
6. Изберете файловата система и създайте томаЗа контейнери на външни устройства, exFAT обикновено е добра идея; за вътрешни устройства, NTFS; а за основна употреба FAT е добре, ако няма файлове, по-големи от 4 GB. Преди да щракнете върху „Форматиране“, съветникът ще ви помоли да движите мишката произволно в прозореца, докато лента стане зелена: тези движения се използват като източник на ентропия за генериране на по-непредсказуеми ключове. След като форматирането приключи, томът е готов.
7. Сглобете и разглобете контейнераОбратно в главния прозорец, изберете свободна буква на устройство, щракнете върху „Избор на файл“, посочете контейнера и щракнете върху „Монтиране“. Въведете паролата (и, ако е приложимо, ключовия файл и PIM) и ново устройство ще се появи в „Този компютър“. Всичко, което копирате или променяте там, ще бъде автоматично криптирано. За да го затворите, просто „Демонтирайте“ устройството или използвайте „Демонтиране на всички“.
Скрити обеми: как работи правдоподобното отричане
La функция за скрита сила на звука Това е една от най-обсъжданите функции на VeraCrypt. Целта ѝ е да ви позволи да разкриете „безобидна“ парола под принуда, като същевременно съхранява наистина чувствителни данни в защитен том, чието съществуване не може да бъде доказано.
Основната схема е следната:
- Първо се създава „външен“ том (нормалният) със собствена парола и размер.
- В свободното пространство на този том се помещава втори скрит том с друг ключ, други алгоритми за криптиране, ако желаете, и по-малък размер.
- При монтиране на контейнерния файл, VeraCrypt решава кой том да отвори въз основа на въведената парола.
За да създадете скрит том, отново се използва следното: асистент за създаванеТози път изберете опцията „Скрит том VeraCrypt“. Първо ще бъдете преведени през конфигурацията на външния том (криптиране, хеш, размер, парола, файлова система) и след това ще бъде дефиниран скритият том: колко място ще заема, какво криптиране ще има и каква парола ще използва.
Това е от решаващо значение уважавайте пространството, запазено за скрития обемАко например външният том е 50 MB, а скритият том е 25 MB, не бива да запълвате външния том до точката, в която той може да прелее в областта, където се намира скритият том. VeraCrypt включва режим на защита на скрит том, за да намали рисковете, но все пак е разумно да се действа внимателно и да се остави известно пространство.
Криптиране на USB устройства, SD карти и цели външни твърди дискове
USB флаш паметите и преносимите твърди дискове са сред нещата, които най-лесно се губят или попадат в грешни ръце.Следователно, те са ясни кандидати за криптиране. Освен това, можете да комбинирате криптиране с Блокиране на USB данни За по-голяма защита. С VeraCrypt можете да ги защитите напълно или да запазите съществуващите данни, в зависимост от вашите нужди.
1. Изберете подходящата опция в съветникаСлед като устройството е свързано, докоснете „Създаване на том“ и изберете „Шифроване на дял/вторично устройство“. Решете дали искате обикновен том или скрит том, както преди. След това, когато докоснете „Избор на устройство“, изберете конкретния дял на USB устройството или външния твърд диск.
2. Създайте том чрез форматиране или запазване на данниVeraCrypt предлага две опции: създаване на нов криптиран том чрез форматиране на устройството (бързо, но изтрива всичко) или криптиране на дяла, като същевременно се запазват данните (по-бавно, но не губите нищо). В много случаи най-удобният подход е да архивирате данните си, да ги форматирате с VeraCrypt и след това да възстановите файловете си.
3. Конфигурирайте криптиране, хеширане и удостоверяванеТочно както при контейнерите, вие избирате алгоритъма за криптиране и хеширане, определяте дали ще използвате само парола или също ключов файл и PIM, премествате мишката, за да генерирате ентропия, и кликвате върху „Форматиране“. Програмата ще ви предупреди, че данните на устройството ще бъдат загубени, ако сте избрали да създадете том от нулата.
4. Монтирайте и използвайте криптираното устройствоСлед като процесът приключи, операционната система ще види устройството като „неформатирано“ или ще ви подкани да го форматирате. Игнорирайте тези съобщения. За да го използвате, във VeraCrypt щракнете върху „Избор на устройство“, изберете криптирания дял, задайте свободна буква на устройството и го монтирайте, като въведете паролата. От този момент нататък ще се появи ново устройство (например F:), където можете да четете и записвате данни, които са прозрачно криптирани.
Когато приключите, винаги демонтирайте устройството от VeraCrypt. Преди да изключите USB устройството или да изключите компютъра, точно както при „Безопасно премахване на хардуер“. Това предотвратява повреда на данните и гарантира, че томът е правилно затворен.
Криптирайте целия си Windows диск с VeraCrypt
Максималното ниво на защита, което VeraCrypt предлага на Windows, е криптиране на дяла или целия диск, където е инсталирана систематаПо този начин, ако лаптопът бъде откраднат или някой вземе твърдия диск, няма да може да стартира Windows или да прочете нито един файл без ключа.
Преди да стартирате, трябва да имате предвид определени неща. предпазни меркиНаправете пълно резервно копие на важни данни (на друг диск, в облака и др.). Вижте нашите Сравнение на методите за архивиранеУверете се, че компютърът няма да загуби захранване по време на процеса (включен ли е в контакта или е свързан към UPS) и най-вече изберете парола, която няма да забравите. Ако загубите паролата си за зареждане, достъпът до системата става изключително труден.
Съветникът за системно криптиране следва приблизително следните стъпки:
- От „Създаване на том“ избирате „Шифроване на целия системен дял/диск“.
- Избирате „Нормално“ като тип криптиране (режимът „Скрито“ създава система в друга за много специфични сценарии).
- Вие решавате дали да шифровате само дяла на Windows или целия физически диск.
- Вие посочвате дали имате една операционна система („Единично зареждане“) или мултизареждане.
- Запазвате стойностите по подразбиране за криптиране (AES) и хеш (SHA-256 или SHA-512), освен ако не знаете точно защо да ги промените.
Тогава идва моментът да задайте парола за зарежданеТрябва да е запомнящо се за вас, но сложно: смесица от символи, без очевидни модели и с определена дължина. Съветникът може да покаже предупреждение, ако го сметне за ненадеждно, но вие поемате риска. След това VeraCrypt генерира вътрешните ключове, като ви моли да движите мишката си за известно време.
Ключова част от процеса е cсъздаване на спасителния дискПрограмата генерира ISO образ, който трябва да запишете на USB устройство или друго защитено устройство за съхранение. Този диск ви позволява да възстановите мениджъра за зареждане на VeraCrypt и да възстановите системата в случай на определени повреди, въпреки че винаги ще ви е необходима паролата. Можете да изберете да пропуснете проверката на спасителния диск, но това не се препоръчва.
Преди действително да криптирате диска, VeraCrypt извършва „тест за зареждане“Компютърът се рестартира, появява се подканата на VeraCrypt, която изисква ключ за декриптиране, и ако всичко върви добре, Windows се стартира както обикновено. Обратно на работния плот, програмата ще покаже, че тестът е бил успешен и сега можете да започнете действителното криптиране на системния диск.
Защо си струва да криптирате файловете и устройствата си
Отвъд техническите аспекти, Важното е да се разберат сценариите, в които криптирането на данни е от значение.Не става въпрос за параноя, а за намаляване на много реалистични рискове в ежедневието.
Съхраняването на файлове в облака без криптиране добавя допълнителна повърхност за атакаВъпреки че големите доставчици прилагат свои собствени мерки за сигурност, все пак е полезно да знаете как. управление на метаданни в Office и WindowsМогат да възникнат уязвимости, включително неоторизиран достъп от привилегировани служители, грешки в конфигурацията или прости потребителски пропуски. Ако качвате файлове в облака, които преди това са били криптирани с VeraCrypt (контейнери или резервни копия), дори масивно нарушение на данните може да направи данните ви нечетливи без ключа.
На споделени компютри, както у дома, така и в офиса, криптирането предотвратява любопитни погледи.Ако няколко души използват един и същ компютър или ако други колеги на работа имат физически достъп до оборудването, криптираният контейнер е много ясна граница: без паролата съдържанието не може да бъде достъпно, независимо от нивото на доверие.
Срещу злонамерен софтуер и неоторизиран отдалечен достъпКриптирането на данни добавя допълнителен слой сигурност. Троянски кон, който успее да проникне във вашата система, може лесно да открадне файлове с обикновен текст, но ако всичко, което намери, са затворени, криптирани томове, информацията, която получава, е безполезна. Очевидно това не замества добра антивирусна програма или актуализирана операционна система (вижте [линк към съответната документация]). онлайн сигурност в Windows), но добавя защита.
Ако някой от вашите акаунти е компрометиран (Например, облачната услуга, където съхранявате контейнер, или имейлът, където сте изпратили криптиран файл), нападателят ще види само привидно произволен блок от данни. Това подчертава разликата между изпращането на чувствителен PDF файл такъв, какъвто е, и изпращането му в криптиран ZIP или VeraCrypt том.
В бизнес и професионалния свят много закони изискват определени данни да бъдат криптирани.Регламентите за защита на данните, законите за борба с прането на пари и законите за професионална тайна за адвокати и здравни организации изискват криптиране на чувствителна информация или поне изрично препоръчват криптирането като подходяща мярка за сигурност. Инструменти като VeraCrypt помагат за изпълнението на тези изисквания, при условие че са придружени от надеждно управление на ключовете и подходящи вътрешни политики.
Реални предимства и недостатъци на криптирането с VeraCrypt
Всяка сериозна система за криптиране Има ясни предимства, но и някои недостатъци. което е добре да се знае, за да се избегнат евентуални изненади.
Предимствата му включват нулева цена, прозрачност и гъвкавостVeraCrypt е безплатен, с отворен код, работи на различни операционни системи и предлага различни нива на защита (контейнери, вторични дискове, пълна система, скрити томове и др.). Той също така поддържа широк спектър от международно валидирани криптографски алгоритми и е преминал през независими одити.
Нивото на сигурност, което предлага, е много високо, при условие че паролата и управлението на ключовете са правилни.Използването на PBKDF2 с много итерации, комбинирано с възможността за използване на ключови файлове и PIM, прави атаките с груба сила изключително скъпи. Добавянето на добри практики (уникални пароли, мениджъри на пароли като KeePassXC или Bitwarden и копия на заглавния файл на тома) води до много устойчива система.
От друга страна, основният недостатък е, че загубата на ключа обикновено води до загуба на данните.VeraCrypt няма магическа система за възстановяване или задни вратички: ако забравите паролата и нямате резервни копия или резервно копие на заглавките, криптирането прави точно това, което трябва да прави, а именно да предотврати достъпа дори на разсеяния легитимен собственик.
Друг недостатък е влиянието върху производителността на по-стар хардуер или хардуер без AES-NI.На съвременни системи с процесори, които ускоряват AES чрез хардуер, спадът в производителността е минимален и често незабележим. Въпреки това, на по-стари машини или ако използвате много тежки каскадни алгоритми, достъпът до диска може да стане по-бавен, особено при много големи обеми.
Съществуват и ограничения по отношение на съвместимостта и лекотата на използване.Системното криптиране е достъпно само в Windows, не се интегрира с TPM или решения за дистанционно управление от корпоративен клас, а интерфейсът може да изглежда плашещ за потребители, които не са запознати с концепции като томове, дялове или алгоритми за криптиране. Това е мощен инструмент, но не е опростен съветник от типа „следващ, следващ, край“.
И накрая, криптирането винаги носи известен допълнителен риск от повреда.Ако криптиран файл е повреден, възстановяването му е по-сложно, отколкото при обикновен текстов файл. Това подчертава важността на редовното архивиране и правилното демонтиране на томовете преди изключване или разкачане на устройствата.
Ако прецените усилията за изучаване на VeraCrypt спрямо малкия разход за производителност В сравнение с това, което печелите по отношение на поверителността, съответствието с регулаторните изисквания и защитата срещу загуба, кражба или атаки, става съвсем ясно защо този инструмент се е превърнал в еталон за сериозно криптиране на данни както в домашна, така и в бизнес среда, при условие че е придружен от добре управлявани пароли и минимална дисциплина при работа с криптирани томове.
