Уникальный каталог

VeraCrypt: скрытые тома и правильное использование

 
Что такое VeraCrypt

VeraCrypt это открытый инструмент для шифрования данных — наследник TrueCrypt который был внезапно закрыт в 2014 году. VeraCrypt прошёл независимый аудит безопасности от OSTIF в 2016 году, критических уязвимостей не найдено. Используется журналистами, правозащитниками, юристами для защиты чувствительных данных.

 
Базовые концепции

VeraCrypt создаёт зашифрованные контейнеры — файлы которые монтируются как виртуальный диск. После монтирования работаешь с ним как с обычной папкой. После размонтирования — зашифрованный файл без какой-либо видимой структуры.

Поддерживаемые алгоритмы: AES-256, Serpent, Twofish и их каскады. AES-256 достаточно для большинства задач. Каскад AES-Twofish-Serpent — максимальная защита с небольшой потерей скорости.

 
Установка и создание базового контейнера

Скачать с veracrypt.fr — только официальный сайт. Проверить подпись после скачивания.

Создание контейнера: открыть VeraCrypt, Create Volume, Create an encrypted file container, Standard VeraCrypt volume. Выбрать расположение и имя файла — называть нейтрально, не "секретные данные". Выбрать алгоритм — AES достаточно. Выбрать размер — с запасом, потом не изменить. Придумать пароль — минимум 20 символов, лучше парольная фраза из случайных слов.

Монтирование: выбрать слот в главном окне, Select File, выбрать контейнер, Mount, ввести пароль. Контейнер появится как обычный диск.

Размонтирование: Dismount в главном окне или Dismount All. Делать это перед выключением компьютера и перед любой ситуацией риска.

 
Скрытые тома — главная функция

Это концепция правдоподобного отрицания. Один контейнер содержит два независимых зашифрованных раздела с разными паролями.

Внешний том — открывается первым паролем. Содержит правдоподобные но несекретные данные. То что не жалко показать под давлением.

Скрытый том — находится внутри свободного пространства внешнего тома. Открывается вторым паролем. Содержит реально чувствительные данные.

Криптографически доказать существование скрытого тома невозможно — свободное пространство внешнего тома статистически неотличимо от зашифрованных данных скрытого тома.

Как создать скрытый том

Create Volume → Create an encrypted file container → Hidden VeraCrypt volume.

Первый этап — создание внешнего тома. Обычный процесс создания контейнера. Размер должен быть достаточным для обоих томов. Пароль внешнего тома — тот который отдашь под давлением.

Второй этап — создание скрытого тома внутри. VeraCrypt предложит заполнить внешний том файлами — сделать это обязательно, иначе криминалистический анализ увидит что внешний том пустой что подозрительно. Пароль скрытого тома — другой, тот который защищает реальные данные.

Важное правило при работе со скрытым томом

Когда монтируешь скрытый том и записываешь в него данные — всегда монтировать с опцией защиты скрытого тома. Без этой опции VeraCrypt не знает где заканчивается скрытый том и может случайно перезаписать его данными внешнего тома.

 
Шифрование системного раздела

VeraCrypt умеет шифровать не только контейнеры но и весь системный диск. При включении компьютера сначала появляется загрузчик VeraCrypt который запрашивает пароль — только после этого загружается Windows.

На Linux лучше использовать нативное LUKS шифрование которое интегрировано глубже. VeraCrypt system encryption актуален в основном для Windows.

 
Keyfiles — дополнительный фактор

Помимо пароля можно использовать keyfile — любой файл который добавляется к паролю как второй фактор. Без этого файла пароль не работает.

Keyfile хранится отдельно от контейнера — на USB носителе, в другом месте. Это защищает если контейнер попал в чужие руки без keyfile.

Важно: keyfile нельзя потерять и нельзя изменить — иначе доступ к контейнеру утрачен навсегда.

 
Типичные ошибки

Монтированный контейнер во время риска — размонтировать надо до того как ситуация стала критической, не в последний момент. Примонтированный контейнер доступен без пароля.

Пустой внешний том — если внешний том не содержит правдоподобных данных, концепция отрицания не работает. Заполнить реальными но несекретными файлами.

Слабый пароль — AES-256 нельзя взломать перебором, но слабый пароль ломается словарной атакой. Минимум 20 символов, лучше парольная фраза.

Бэкап контейнера — делать регулярно. Повреждённый контейнер без бэкапа означает безвозвратную потерю данных.

Хранение контейнера в облаке — облачные сервисы видят метаданные: когда файл изменялся, как часто. Это паттерн который видно. Локальное хранение надёжнее.

 
Правдоподобное отрицание на практике

Концепция работает только если внешний том выглядит как реальное использование. Это означает: файлы во внешнем томе должны быть правдоподобными для твоей легенды — рабочие документы, фото, что угодно что объясняет зачем тебе зашифрованный контейнер. Файлы должны иметь разные даты создания и изменения — не все одного числа. Объём файлов должен соответствовать размеру внешнего тома — не два файла на 100 гигабайт контейнера.

 
Вывод

VeraCrypt это надёжный инструмент с многолетней историей и независимым аудитом. Скрытые тома дают криптографически обоснованную защиту даже при физическом давлении. Правильное использование требует понимания концепции — инструмент который используется неправильно не защищает.