Как зашифровать диск в VeraCrypt

В этой статье рассказываем, как зашифровать диск при помощи VeraCrypt так, чтобы максимально усложнить взлом для злоумышленников.

Рассмотрели VeraCrypt потому, что сегодня она считается одной из самых надежных программ для шифрования дисков. Если вам интересны другие программы, посмотрите нашу подборку из 7 инструментов для шифрования.

1. Что такое VeraCrypt
2. Начинаем шифрование диска с VeraCrypt
3. Обычный или скрытый том VeraCrypt: в чем разница
4. Выбираем алгоритм шифрования в VeraCrypt
5. Выбираем алгоритм хеширования в VeraCrypt
6. Устанавливаем пароль и PIM для тома
7. Собираем энтропию мыши и заканчиваем шифрование 

Что такое VeraCrypt

VeraCrypt – это бесплатное ПО для шифрования данных с открытым исходным кодом. Оно позволяет создавать зашифрованные тома для хранения конфиденциальных файлов и информации.

Программа позволяет шифровать жесткие диски, флэш-накопители и облака, создавать зашифрованные контейнеры.

VeraCrypt считается очень надежным инструментом. В 2016 году было проведено исследование “VeraCrypt Audit”, в рамках которого был проведен аудит кода для обнаружения потенциальных уязвимостей. Результаты показали, что VeraCrypt достаточно надежна и предоставляет безопасное шифрование данных.

Найти установщик VeraCrypt можно на официальном сайте:

Начинаем шифрование диска с VeraCrypt

После установки VeraCrypt откроется главное окно программы. Здесь мы можем выбрать объект шифрования.

Интерфейс VeraCrypt

Нажмите на кнопку “Создать том”. VeraCrypt предложит вам выбор: создать зашифрованный контейнер или зашифровать диск.

Создание зашифрованного тома VeraCrypt

Первый вариант подходит, если вы хотите создать зашифрованный каталог внутри незашифрованного диска. Контейнер будет использоваться как обычный файл: он будет внешне виден, его можно будет перемещать и совершать прочие манипуляции, как и со всеми файлами.

Второй вариант подходит, если вы хотите зашифровать целый диск или устройство, или целый том внутри них. К примеру, зашифровать диск D:// или флешку.

Обычный или скрытый том VeraCrypt: в чем разница

Далее VeraCrypt спросит вас, какой тип тома вы хотите создать.

Выбор обычного или скрытого тома в VeraCrypt

Обычный том VeraCrypt будет защищен паролем и уникальным идентификатором для дешифрования. Об этом мы расскажем позже. После того, как пароль и идентификатор будут введены, а дешифровка пройдет успешно, вы сможете получить доступ к обычному тому.

Скрытый том VeraCrypt устроен чуть сложнее. В этом случае программа создаст обычный том и дополнительный внутри первого тома. Этот вариант нужен, если злоумышленники захотят получить доступ к вашему устройству или контейнеру и попытаются выпытать пароль и идентификатор.

Представьте, что вам угрожают, и вы выдали пароли к открытому тому. На этом игра будет окончена. Но у вас может быть и туз в рукаве, ведь скрытый том не будет отображаться внутри открытого тома.

Настоятельно рекомендуем выбрать этот вариант Скрытый том нужно монтировать отдельно, у него есть собственный ключ и идентификатор. Даже если у вас выведают доступы к обычному тому, всю действительно чувствительную информацию вы можете спрятать внутри скрытого тома.

Выбираем алгоритм шифрования в VeraCrypt

Выбираем расположение нашего тома и переходим к выбору алгоритма для шифрования.

Окно выбора алгоритмов шифрования и хеширования в VeraCrypt

На выбор VeraCrypt предлагает длинный список алгоритмов, среди которых AES, Serpent, Twofish, Camellia, Кузнечик и их комбинации.

AES, Serpent и Twofish были разработаны примерно в одно время и представлены в 1998 году как альтернатива устаревшим алгоритмам шифрования. В ходе конкурса было определено, что AES надежнее других алгоритмов. Serpent и Twofish не сильно отстают от AES, но последний все же надежнее.

Также нам предлагаются алгоритмы Кузнечик и Camellia.

Кузнечик – это симметричный блочный шифр, разработанный в России. Он является частью стандарта шифрования ГОСТ Р 34.12-2015 и используется в различных российских информационных системах и продуктах. Аналитики говорят, что у Кузнечика есть бекдор, то есть у него есть уязвимость.

Алгоритм шифрования Camellia был разработан в 2000 году в Японии.

По умолчанию VeraCrypt предлагает выбрать AES, и это верно: он надежнее прочих алгоритмов. Советуем остановиться на нем.

Выбираем алгоритм хеширования в VeraCrypt

Что касается хеширования, VeraCrypt предлагает алгоритмы BLAKE2s-256, SHA-256, SHA-512, Стрибог и Whirlpool. По умолчанию используется SHA-512. Здесь эксперты советуют использовать нестандартный алгоритм хеширования.

У алгоритмов BLAKE2s-256 и SHA-256 хеш-значение равно 256 бит. У SHA-512 хеш-значение равно 512 бит. Чем больше хеш-значение, тем сложнее дешифровать информацию.

Это значит, что выбирать BLAKE2s-256 и SHA-256 вместо SHA-512 значит жертвовать безопасностью. Конечно, алгоритмы с хеш-значением в 512 бит потребуют от вас большей производительности ПК, чем алгоритмы в 256 бит, но безопасность превыше всего.

Алгоритм хеширования Стрибог или Streebog – это семейство криптографических хеш-функций, разработанное в России и стандартизированное ГОСТ Р 34.11-2012. У него также может быть уязвимость.

Алгоритм хеширования Whirlpool – это семейство криптографических хеш-функций, разработанное компаниями Philips и Rhône-Poulenc в конце 2000-х годов. Если выбирать альтернативу SHA-512, стоит выбрать его.

Устанавливаем пароль и PIM для тома

Настройка пароля и PIM в VeraCrypt

С выбором пароля все просто: придумайте длинный и сложный пароль, который вы никогда не использовали ранее. После этого нажмите на галочку “Использовать PIM” и нажмите “Далее”.

В следующем окне нас попросят придумать PIM или Personal Iterations Multiplier.

PIM означает “Personal Iterations Multiplier” (дословный перевод “множитель персональных итераций”). Этот параметр был введен в VeraCrypt 1.12, и его значение управляет количеством итераций, используемых функцией генерации ключа заголовка (header key derivation function). Значение PIM может быть указано в диалоге ввода пароля, или в командной строке.

Настройка PIM в VeraCrypt

Концепция PIM была введена для обеспечения дополнительной защиты и адаптивности пароля шифрования в зависимости от уровня безопасности, требуемого пользователем. Значение PIM определяет количество итераций, которые будут использоваться при хешировании пароля, и, таким образом, влияет на силу и сложность получаемого ключа шифрования.

Минимальное значение PIM равно 98. По умолчанию рекомендуется использовать 485. Здесь лучше указать нестандартное число, чтобы усложнить дешифрование данных.

Как и в случае с хешем, чем больше PIM, тем сложнее для злоумышленников взломать том, но и дольше его монтировать для владельца. Лучше всего использовать четырехзначный PIM около 2000, к примеру, 2073.

Более высокие значения PIM приведут к большему количеству итераций хеширования, что усилит безопасность, но может также замедлить процесс входа в зашифрованный контейнер. Низкие значения PIM приведут к меньшему количеству итераций и, возможно, более быстрому доступу, но менее безопасному ключу шифрования.

PIM должен быть абсолютно случайным, как и в случае с паролем. Это еще один рубеж защиты данных от злоумышленников. Не используйте год своего рождения или дату рождения детей.

Собираем энтропию мыши и заканчиваем шифрование

На следующем этапе VeraCrypt предложит смонтировать зашифрованный том.

Обратите внимание В этом окне программа собирает энтропию перемещения мыши для шифрования тома.

Торопливые пользователи часто быстро нажимают “Разметить”. Не спешите. Поводите курсором по экрану до тех пор, пока не заполнится зеленая шкала под надписью “Собрано энтропии из перемещений мыши”.

Когда зеленая шкала заполнится, начните шифрование. Если вы выбрали создание обычного тома, после шифрования можно будет сразу воспользоваться созданным контейнером.

Если вы выбрали создание скрытого тома, VeraCrypt предложит пройти все те же шаги с выбора алгоритма шифрования и хеширования. Дело в том, что до этого момента мы настраивали шифрование для внешнего тома. Теперь нужно выполнить все то же самое уже для скрытого тома.

Заключение

Чтобы воспользоваться зашифрованным томом, на главном экране VeraCrypt выберите путь до нужного файла или устройства, нажмите “Смонтировать” и введите пароль и PIM.

Вот и все, вы восхитительны! Теперь никто не украдет ваши зашифрованные данные, если вы сами не выдадите доступы.