В этой статье я не буду объяснять как устанавливать VeraCrypt. Я хочу поднять вопрос о элементарной безопасности при работе с Верой. Краткий обзор VeraCrypt. Таблица производительности VeraCrypt может использовать следующие алгоритмы шифрования AES, Serpent, Twofish, Camellia, Кузнечик, Магма, а также комбинации этих алгоритмов.В эти алгоритмы входят и российская система шифрования ГОСТ 28147-89 (Магма). Используемые криптографические хэш-функции: RIPEMD-160, SHA-256, SHA-512, Стрибог ( ГОСТ Р 34.11-2012) и Whirlpool. На мой взгляд алгоритм шифрования Camellia хэш-функция Whirlpool заслуживают отдельного рассмотрения. Crypto++, GnuTLS, PolarSSL и OpenSSL включают в себя поддержку Camellia. Whirlpool используют Jacksum ,Crypto++,TrueCrypt,FreeOTFE ,DarkCrypt . На сегодняшний день WHIRLPOOL устойчива ко всем видам криптоанализа. Все они имеют как сильные ,так и слабые стороны.Все алгоритмы имеют теоретические уязвимости, но в виду слабых аппаратных возможностей VeraCrypt ни разу не был взломан. Все это вы можете прочитать в википедии. Но есть вещи которые не описаны в вики и я хочу поподробнее на них остановиться. Это подборка со статей форумов, сайтов и то что смог нарыть в инете. А теперь рассмотрим самое интересно это "подводные скалы и рифы" при работе с VeraCrypt. А их не мало,поэтому что бы перейти к настройке необходимо их знать как отче наш. Правильно отметили наши форумчане: 1) Ключи VeraCrypt хранятся в открытом виде в памяти и при физическом допуске к компу и при наличии соответствующей тулзы,пароль можно выдернуть. Цитата из описания: VeraCrypt не может предотвратить кэшированных паролей, ключей шифрования, а также содержимое конфиденциальных файлов , открытых в ОЗУ могут быть не сохранены в незашифрованном виде в файлы дампа памяти. Обратите внимание , что при открытии файла , хранящегося на томе VeraCrypt, например, в текстовом редакторе, то содержимое файла хранится в незашифрованном виде в оперативной памяти (и она может оставаться в незашифрованном виде в памяти до тех пор , пока компьютер не будет выключен). 2) Hybrid Boot and Shutdown (гибернация ядра при выключении). Файл гибернации. По умолчанию в Windows 8-10 используется функция Hybrid Boot and Shutdown (гибернация ядра при выключении). Ее влияние на VeraCrypt: - тома VeraCrypt, не размонтированные перед завершением работы ПК, останутся смонтированными после его включения; - если между завершением работы ОС и ее повторной загрузкой внести изменения на такие тома (загрузившись в другую ОС) — их файловая система будет повреждена; - в частности, если завершить работу ОС со смонтированными томами и сделать ее бэкап, то после восстановления ОС из бэкапа смонтированные тома будут повреждены; - если ОС зашифрована и включено монтирование системноизбранных томов при ее загрузке, то после завершения работы (с размонтированием всех томов) и последующего включения ПК эти тома не будут смонтированы. Решение: чтобы отказаться от гибернации ядра при завершении работы, следует отключить опцию Быстрого запуска (Fast startup) в разделе Панель управления > Электропитание > Действие кнопок питания http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=140&limit=1&m=1#1 3)Файл подкачки. Все эти факты на касаются тех,кто полностью шифрует системный диск. Почему? Тут я думаю никому ничего не надо обьяснять,так как все шифруется. И для тех кто шифрует папку или не системный диск "лечится" отключением этих функций в настройках винды. Казалось,что все нормально шифруй всю систему и дело в шляпе,ан нет. И тут есть "подводные камни". Яркий пример обновление винды! Когда после отключения идет настройка обновленных файлов. 4) Дефрагментация.Не дефрагментировать файловые системы, в которой хранятся объемы VeraCrypt 5) Вы не должны хранить файлы-контейнеры VeraCrypt в журнальной файловой системы для предотвращения возможных проблем безопасности , связанных с журнальной файловой системы. Для этого: Используйте раздел организованный VeraCrypt Храните контейнер в файловой системе, не журнальной (например, FAT32). 6) Цитата: - Есть поддержка UEFI BIOS? Ответ координатора проекта : -GPT и UEFI пока не поддерживаются.VeraCrypt выполняет тесты до начала шифрования системы, с тем, чтобы избежать нарушения системы. Так что, если UEFI включен, VeraCrypt будет просто отказаться от шифрования системы и ничего не произойдет. А вот ответ с форума,где это обсуждалось. Если вы не знаете, что такое SecureBoot и зачем оно вам нужно — просто отключите эту функцию в UEFI BIOS (см. ниже) Перед шифрованием системного раздела (или сразу после него) необходимо зайти в настройки UEFI BIOS (обычно нажатием Del или F2 при запуске компьютера) и отключить SecureBoot. Эта настройка, чаще всего, находится в разделе с названием Boot (впрочем, это зависит от производителя материнской платы). У SecureBoot, обычно, есть всего два состояния: Enabled/Windows UEFI Mode (точное название, опять же, зависит от производителя) и Disabled. Выставляем её в состояние Disabled, сохраняем настройки (обычно, F10) и перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot отключён. Снова перезагружаемся, заходим в настройки SecureBoot и ищем пункт, переводящий систему в Setup/Custom Mode. На материнских платах ASUS, например, для этого нужно зайти в настройки ключей SecureBoot (Key Management), выбрать управление PK (PK Management), удалить ключ PK (Delete key), после чего система объявит, что теперь она находится в Setup Mode. Сохраняем настройки, перезагружаемся, заходим в Windows. Скачиваем исходные коды VeraCrypt и распаковываем. Дальше я исхожу из того, что у нас теперь есть структура папок C:\VeraCrypt-master\src\Boot\EFI\ Запускаем командную строку с правами администратора, выполняем команды: cd "C:\VeraCrypt-master\src\Boot\EFI" PowerShell.exe -ExecutionPolicy Bypass -File.\sb_set_siglists.ps1 Снова перезагружаемся, заходим в настройки UEFI BIOS -> настройки SecureBoot и включаем SecureBoot (там же, где вы её отключали в самом начале). Сохраняем настройки, перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot настроен. Некоторые программы после этого могут лишаться способности использовать свои драйверы. На данный момент известно об одной такой программе - CoreTemp. Это баг программы, а не VeraCrypt. Вот ссылка на источник http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=0&limit=1&m=1#1 7) хэш-функция Streebog плохо работает с алгоритмом шифрования "Кузнечик" И вот когда мы уже ознакомились с проблемами ,то можно зайти в настройки поставить галочки куда нужно.Меню не очень сложное и понятное. Отобразить всё в статье практически невозможно,так как требует громадного обьема. Буду рад если вы допишете еще и те недостатки,которых не выявлено в статье.. Основные материалы https://veracrypt.codeplex.com/documentation http://forum.ru-board.com/topic.cgi?forum=5&topic=48351&start=0 https://ru.wikipedia.org/wiki/VeraCrypt https://habrahabr.ru/company/eset/blog/312990/ https://xakep.ru/2014/10/14/veracrypt/ https://github.com/veracrypt/VeraCrypt http://lifehacker.com/windows-encryption-showdown-veracrypt-vs-bitlocker-1777855025 https://securityinabox.org/en/guide/veracrypt/windows/
Статья получилась не полной,так как концовку я явно смазал.Исправляюсь и дописываю буквально пару строк. Лезем в настройки и видим Ставим галочки туда ,куда вы считаете нужным,в зависимости от желаний и потребностей. Жмем дальнейшие настройки. На случай прихода незваных гостей вводим горячую клавишу завершения сеанса. И радуемся жизни и безопасности. Кстати, для того что бы не затирать весь диск 15 проходами CCleaner.Достаточно зашифровать весь диск и отформатировать.Уйдет меньше времени.
что можно ожидать от человека который за два года даже окно не исправил есть и другие форки надо же так изуродовать такую культовую программу как TrueCrypt
В криптографии дизайн не главное. Главное - это правильная организация алгоритмов и их высокая надежность.
я сомневаюсь что данный разработчик вообще сможет написать вообще какой либо алогиритм если уж он графическую оболочку не смог нормально сделать за два года форкунул и грухнул концепцию по заказу спецслужб оригинальный TrueCrypt это шедевр программирования его проверяли лутьше в мирери спецы и ошибок не нашли
