VeraCrypt. Надежно скрываем данные и операционную систему

  • Автор темы Manadis
  • Дата начала
  • Просмотров 6394 Просмотров

Manadis

Участник
27
2
6 Май 2020
Все знают и помнят TrueCrypt, который был закрыт в 2014 году. И эстафету принял(а) VeraCrypt. Программа служит для создания криптоконтейнера и выполнения надежного шифрования данных «на лету». Создание простого тома не составит труда, достаточно следовать советам мастера. Гораздо интереснее рассмотреть создание скрытого содержимого.
Приступим к созданию скрытого тома. После нажатия кнопки «создать том» сражу же идет выбор последующего действия; выберем первый пункт

1.png


Так как обычный контейнер мало чем интересен (есть файл и есть пароль). В качестве теста создадим скрытый, так называемый «с двойным дном»

2.png


То есть, теперь будут два пароля, первый пароль монтирует внешний том, а второй пароль монтирует скрытый том внутри внешнего тома. Скрытый том создается в свободном месте в зашифрованого внешнего тома. Если у нас внешний том 10ГБ, то скрытый том не может быть больше 10ГБ

3.png


Даже если внешний том смонтирован, невозможно доказать, что он содержит в себе еще один скрытый том, так как свободное место в любом внешнем томе VeraCrypt заполняет случайными данными. Если мы ранее создавали обычный том, то внутри можно создать скрытый том, выбрав второй пункт

4.png


Выбираем путь, алгоритм шифрования, размер. Дополнительно к паролю можно указывать ключевые файлы и PIM. Пункт «Использовать PIM» позволяет задать «Персональный умножитель итераций», влияющий на надежность шифрования прямо и косвенно (при указании PIM, его потребуется вводить в дополнение к паролю тома, т.е. взлом перебором усложняется). В следующем окне нужно около 30ти секунд перемещать мышкой в окне программы для набора случайных данных

5.png


Собственно, и создаем внешний том. Теперь займемся созданием скрытого. Процесс создания однотипен, поэтому не будет вдаваться в детали. Единственно, не стоит забывать, пароль от внешнего и скрытого томов должны отличатся

6.png


Итак, том создался и успешно примонтирован. Теперь можно заполнить том необходимой информацией. Не стоит забывать про скрытый том, когда заполняете внешний. Ведь файлы могут повредить или полностью уничтожить скрытый том. К счастью, разработчики подумали об этом

7.png


Теперь рассмотрим метод шифрования всей системы. Как и для создания шифрованного тома, здесь доступны два «режима»: обычный и скрытый. Поговорим про обычный и в меню система выберем первый пункт

8.png


Далее столкнемся с выбором одиночной загрузки или мультизагрузки. Так как для теста взята виртуальная машина с одной операционной системой, выберем одиночную загрузку

9.png


Можем использовать следующие алгоритмы шифрования: AES, Serpent, Twofish, Camellia, Кузнечик, а также комбинации этих алгоритмов

10.png


Пароль должен быть сложным и не иметь ассоциаций с пользователем и его окружением. Максимальная длина пароля 128 символов

11.png


Вводим PIM и запомним его

12.png


Важно сохранить резервную копию загрузчика VeraCrypt

13.png


Данные которые сейчас присутствуют на разделе необходимо «занулить», что бы их нельзя было восстановить

14.png


Теперь программа предложит на перезагрузится и попробовать вести пароль и PIM для тестирования

15.png

vk.com/id58924119​
[automerge]1589054420[/automerge]
Если все удалось, то операционная система загрузится, и мы увидим следующее окно

16.png


Шифрование целой ОС занимает много времени, подождем

17.png


Теперь, каждый раз при загрузке компьютера или виртуальной машину придется вводить пароль и PIM

18.png


Теперь наша операционная система надежно защищена. Однако, возможны неприятные обстоятельства, которые вынуждают вас дать пароль на расшифровку. Что бы защитится от подобных ситуаций создадим скрытую операционную систему. Как и для скрытого тома так и для скрытой системы работает правило правдоподобного отрицания, ведь скрытая ОС устанавливается именно на скрытый том.

Рассмотрим процесс создания скрытой ОС. Пропустим некоторые шаги, которые уже были разобраны в алгоритме «обычное шифрование ОС». Сначала мастер проверит что в вашей системе есть подходящий раздел жесткого диска (раздел 2) для размещения скрытой ОС

19.png


Требуется создать раздел, который будет больше чем нынешний системный раздел. Создадим его (том Е)

20.png


Следуем указанием мастера и очень внимательно читаем

21.png


Зашифруем внешний том (том Е)

22.png


Мы зашифровали том Е и мастер предложит создать скрытый том. Читаем предупреждение

23.png


Выбираем алгоритм, придумываем пароль и создаем скрытый том. Мастер предложит клонировать ОС

24.png


Перезагружаемся и ждем окончания

25.png


После окончания процесса вводим пароль к скрытой ОС. Читаем

26.png


27.png


Теперь следует очистить исходную ОС, которая была раньше установлена на жестком диске

28.png


Чтобы добиться правдоподобного отрицания причастности, нужно создать обманную (приманку) ОС

29.png


VeraСrypt предупреждает, что windows должна быть той же версии что и работающая сейчас. Это необходимо потому, что обе ОС будут использовать общий загрузочный раздел. Монтируем образ и устанавливаем windows

30.png

vk.com/id58924119​
[automerge]1589054540[/automerge]
Нельзя создавать никаких разделов между разделами с обманной и скрытой системами

31.png


Что же, устанавливаем, и тем самым перезапишем загрузчик VeraСrypt на windows’ый. Ничего страшного, этот загрузчик восстановится, после того, как обманную ОС нам следует будет зашифровать.
После установки windows (обманная) шифруем (зашифровать системный раздел) ее тем же алгоритмом и хешированием, что и скрытую ОС, иначе скрытая ОС будет недоступна. Причина этого требования в том, что обманная и скрытая системы используют один и тот же загрузчик, поддерживающий только один алгоритм, выбранный пользователем (для каждого алгоритма есть свой загрузчик VeraCrypt). В итоге мы имеем два пароля, от обманной и скрытой ОС. Но есть еще и третий пароль, который принадлежит внешнему тому (в котором и находится скрытая ОС). Если вы сообщите неприятелю пароль от обманной ОС, и он спросит, почему свободное место на (обманном) системном разделе содержит случайные данные, вы сможете, например, ответить: "Этот раздел раньше содержал систему, зашифрованную VeraCrypt, но я забыл(а) пароль предзагрузочной аутентификации (или система повредилась и перестала загружаться), поэтому мне пришлось переустановить Windows и снова зашифровать раздел".

Еще есть одна интересная «штука». Можно изменить загрузчик VeraCrypt, вплоть до того, что вообще нечего не будет отображаться

32.png


Так выглядит загрузчик. Похоже на типичную проблему windows, когда у нее проблемы с загрузчиком (мигает полоска в левом верхнем углу)

33.png


Это может быть полезным, чтобы кто-то посторонний, наблюдающий за вашим пк не знал, что вы пользуетесь VeraCrypt. Можно также вписать туда третью ошибку MBR’а – Missing operating system

34.png


Увидев такое, некто и не подумает, что системный диск зашифрован с помощью VeraCrypt, однако это легко можно выяснить, путем анализа загрузчика.

В статье были детально рассмотрены алгоритмы создания скрытого тома, шифрования системного раздела и создание скрытой ОС. И на этом возможности VeraCrypt заканчиваются, однако есть утилита, способна создать в контейнере VeraCrypt больше двух скрытых томов – DcsWinCfg.
vk.com/id58924119​
 
Последнее редактирование: