Как уберечь файлы от посторонних - шифрование на компьютере


Одним из вариантов сохранить всю информацию, которая содержится в компьютере в тайне - зашифровать его. Для этого мы рекомендуем использовать программу VeraCrypt, при использовании в ней сложного пароля на его расшифровку уйдет порядка 300 лет.

Установка

Эксплуатация

Создание зашифрованных файловых контейнеров

Шифрование несистемного диска / флешки

Шифрование системного диска и всей системы в целом

Как можно обойти VeraCrypt

 

Установка

Итак, для начала необходимо скачать и установить VeraCrypt с официального сайта - https://www.veracrypt.fr/en/Downloads.html

Выбираем версию для своего ПК:
(дальнейшие действия будут показаны на примере ОС Win10)

Далее открываем скачанный файл и начинаем установку. Тут все просто, подтверждаем все пункты пока не установим программу.

VeraCrypt в конце процедуры может пожаловаться на функцию быстрого запуска ОС. В этом случае, отключаем ее:

Перезагружаем компьютер.

 

Эксплуатация

После перезагрузки открываем VeraCrypt и создаем новый том. Далее вы увидите следующее меню, в котором можно выбрать, что именно вы хотите зашифровать: весь диск с системой, несистемный диск/раздел, отдельный файловый контейнер.

Чтобы никто посторонний не влез в ваш компьютер и вы могли скрыть максимум информации о своих действиях, рекомендуем выбирать шифрование всего диска с системой. Но в таком случае не исключено, что к вам будут применять насилие, чтобы вы выдали пароль.

Если храните секретную информацию на отдельной флешке/ несистемном диске, можете зашифровать только их. Для этого выбирайте второй вариант. Но зайти в зашифрованный диск обычным способом не получится. Это вызывает вопросы и опытные криминалист почти сразу догадывается, с чем имеет дело.

Если не рассчитываете на свою способность стойко держаться под пытками, рекомендуем создавать зашифрованные файловые контейнеры. В таком случае шифруется не целый диск, а отдельное место, в котором вы будете хранить секретные документы. Файловые контейнеры не так то просто найти на компьютере, поэтому и вероятность применения насилия значительно снижается. Однако в этом случае посторонним может достаться история ваших действий на ПК, кэш и другие файлы, которые автоматически сохраняются в Windows и выдают, чем вы занимались. Подробней о том, как оставлять минимум следов на компьютере, мы писали вот здесь для Windows 7 и вот здесь для Windows 10.

В рамках этой статьи мы рассмотрим все варианты шифрования.

 

Создание зашифрованных файловых контейнеров

Итак, в этом случае вы выделяете секретное место на компьютере, где будут храниться ваши файлы. Внешне контейнер выглядит как обычный файл любого формата по вашему выбору. Но имеет два важных отличия:

  • на самом деле такой файл не выполняет функции того типа файлов, под который маскируется. Т. е. если вы замаскировали контейнер под файл блокнота, писать в таком блокноте ничего не получится, хотя внешне файл выглядит как блокнот;
  • размер этого файла будет таким, каким вы его назначите. Т. е. при маскировке контейнера емкостью 2 Гб под тот же блокнот вы получите файл блокнота размером в 2 Гб, что выглядит подозрительно при любом детальном криптоанализе вашего компьютера (но товарищ майор, который пришел к вам с обыском, такую особенность сходу вряд ли заметит).

Итак, чтобы создать зашифрованный файловый контейнер, выбираем соответствующий пункт в мастере создания томов VeraCrypt. Затем выбираем тип тома.

При создании обычного тома, у вас создастся обычный контейнер, куда вы можете сложить свои файлы. Однако если же вы выберете 2 вариант, у вас создастся не один, а два контейнера. Это как матрешка. Один контейнер внутри второго.

Если обнаруживают, что вы пользуетесь шифрованием и заставляют выдать пароль, говорите пароль от внешнего контейнера, где для вида у вас хранятся неважные файлы, объясняющие, зачем вам шифрование (да хоть эротические фото). А на деле вся важная информация у вас будет храниться во втором внутреннем контейнере. Но размер внутреннего контейнера должен быть меньше, чем внешнего, ведь это маленькая секретная матрешка внутри большой.

Далее выбираем место и файл, под который будет маскироваться контейнер. Можете создать на компьютере или флешке для этого новый файл любого формата и в любом месте.

Особенно эффективно прятать контейнеры внутри папки Program files или Windows и маскировать их под системные файлы/приложения. Ведь в той же папке system32 (находится в папке Windows) полно других подкаталогов, и попробуй найди среди них зашифрованный контейнер! Главное, не забыть, где именно находится ваше секретное пространство. :)

В примере мы назовем контейнер Crypt, но вам желательно придумать название, которое меньше всего привлекает внимание и выдает зашифрованную область. Программа предупредит вас, что выбранный файл будет заменен зашифрованным. Нажимайте ОК.

Затем выбираем способ шифрования, например, AES, как самый быстрый, а на счёт хеш-алгоритмов, выбирайте сами, либо sha-512, либо sha-256.

После выбираем нужный вам размер, здесь для примера выбрали 500МБ. Но помните, что размер не должен быть подозрительным. Какое-нибудь приложение может весить 500Мб, а вот файл блокнота - вряд ли. Поэтому зашифрованные контейнеры в основном подходят для хранения небольших объемов информации, например, нескольких секретных документов.

Обратите также внимание на то, что размер файлов обычно не равен круглому числу 300, 500 или 1000, например. Более правдоподобно смотрятся размеры 327, 516, 1089 и т. п.

Ставим пароль от 20 символов, такой, в котором не используются слова из различных словарей, в котором будут использоваться символы верхнего и нижнего регистра, символы и цифры.

Для дополнительной надежности можете задать PIM, отметив соответствующую галочку. Программа объяснит, что это такое и каким должно быть. Обязательно запомните заданное число PIM, иначе не войдете в свой контейнер.

Затем переходим к следующему параметру. На данном этапе берём и хаотично двигаем мышкой в окошке с программой.

Том создан, поздравляем!

Если выбирали создание скрытого тома, программа напишет вам, что во внешний том нужно скопировать какие-нибудь файлы для вида, которые вы могли бы скрывать.Именно эти файлы увидят, если заставят вас выдать пароль, а скрытый контейнер по-прежнему останется не виден и не доступен.

Когда все готово, переходим к созданию и шифрованию второго внутреннего контейнера, следуя инструкциям программы.

Обратите внимание, что после создания внутреннего тома, ничего не стоит записывать во внешний, чтобы не повредить данные. Чтобы маленькая матрешка по-прежнему помещалась в большой, ничего не складываем в большую матрешку.

Чтобы открыть контейнер, в стартовом окне VeraCrypt нажимаем на "файл", и ищем тот файл, что мы создавали.

Выбираем любую букву для нашего раздела, нажимаем "смонтировать", и вводим пароль, который мы создавали. Если создавали скрытый том, то нужно вводить пароль именно от него. А пароль от внешнего тома просто запоминаем на всякий случай, если вас заставят выдать информацию о вашем контейнере.

Если задавали PIM, также ставим галочку в соответствующем пункте и вводим число PIM, иначе ничего не получится.

Готово! Теперь у нас на компьютере создан виртуальный диск, данные которого можно просмотреть.

Для того что бы зашифровать всё обратно, нажимаете на "Размонтировать всё".

 

Шифрование несистемного диска / флешки

В мастере создания томов VeraCrypt на первом шаге выбираем второй вариант.

Выбираем тип тома. В данном случае для примера выберем открытый, но если высока вероятность, что ваша техника достанется спецслужбам, лучше выбирать создание скрытого тома. Мы детально описывали преимущества этого варианта выше.

Выбираем то, что собираемся шифровать. В нашем случае - это флешка.

Далее выбираем, нужно ли форматировать данные на диске/флешке, который шифруете, или оставить информацию как есть. В первом случае с диска/флешки все сотрется, во втором - останется в зашифрованном пространстве, хотя может повредиться, если во время шифрования возникнут непредвиденные обстоятельства, поэтому на всякий случай лучше временно создать копии всей важной информации.

Затем в настройках шифрования выбираем, как именно будем шифровать. Например, с помощью AES и SHA-256, там много разных видов алгоритмов шифрования, но AES самый быстрый.

Придумываем пароль, чем сложнее, тем лучше. Также можете поставить галочку на "Использовать PIM", по желанию. Если коротко, то чем больше значение, тем сильнее защита, но при этом замедлится скорость монтирования контейнера.

Число PIM обяательно запоминайте.

Далее вы должны хаотично вращать мышью до того момента, пока полоска не станет зелёной. На данном этапе вы также можете выбрать другую файловую систему.

После завершения шифрования программа сама подскажет, как зайти в зашифрованный диск/флешку. Запомните эти действия и совершайте их каждый раз, чтобы получить доступ.

Готово! Диск смонтирован. Теперь переходим в "Мой компьютер" и видим флешку и контейнер. Если вы попытаетесь открыть флешку, то у вас ничего не выйдет, но открыв контейнер, можно в него перемещать файлы, которые будут храниться на флешке.

Чтобы зашифровать все обратно, достаточно высунуть флешку из ПК, либо в самой программе выбрать наш том и нажать на кнопку "Размонтировать".

 

Шифрование системного диска и всей системы в целом

Аналогично предыдущим пунктам, открываем программу, создаем том, выбираем третий пункт.

Выбираем тип шифрования системы. Про особенности скрытого шифрования мы уже рассказывали выше. По сути все зависит от того, насколько вы готовы рисковать и в целом высока вероятность, что ваша техника достанется спецслужбам. В данном случае для примера приведем обычное шифрование  системы.

Выбираем область шифрования. Второй вариант, определенно, безопаснее.

Выбираем "Да", если у ваш ПК/ноутбук не сродни калькулятору.

Выбираем число ОС, установленных на ПК.

После этого идут шаги, идентичные шагам из двух прошлых тем. Остановимся только на создании диска восстановления. Выбираем место, где будет установлен ISO образ, после перекидываем его на флешку.

Выбираем место и называем как-нибудь сам образ.

Выбираем один из вариантов, который подходит вам.

Далее мы выбираем то, сколько раз будет произведена перезапись диска. Достаточно 1-3 проходов.

Нажимаете "Тест" и уходите в перезагрузку, где у вас потребуют ввести пароль, если всё получилось, то вы спокойно загрузитесь и продолжите процесс шифрования системы.

После загрузки ждем окончания процесса шифрования и готово!

 

Как можно обойти VeraCrypt

  • Анализ файлов гибернации и файлов подкачки. Насколько я знаю в VeraCrypt такой исход событий предусмотрен и он шифрует эти файлы.
  • Брутфорс. Ну, я думаю не стоит объяснять что это такое, простой подбор пароля с помощью его перебора.
  • Дамп оперативной памяти. Это возможно, только если удалось получить доступ к рабочему столу, например, если вы зашифровали всю систему, но при этом вы также создавали секретный том и дали пароль от него. Но данный способ применяется только в том случае, если службы знают о том, что у вас может быть зашифрована система, в этом случае на место выезжают не только опера, но и специалисты.
  • Жидкий азот. Как и в прошлом способе, здесь так же к вам приезжает специалист, но данный способ применяется очень редко. Сам способ заключается в том, что вам заморозят оперативку и вытащат из неё информацию, пока данные из неё не удалились, можете почитать в гугле. Но в VeraCrypt'e такой исход событий предусмотрён и в настройках можно поставить шифрацию информации в оперативной памяти.
  • MCM. Метод восстановления перезаписанных данных при помощи магнитно-силовой микроскопии, или же просто МСМ - это способ, при котором считывается информация с диска, а если точнее то с магнитных дорожек на плате диска. Это можно обойти при помощи магнитной пушки. Но всё же боятся этого стоит только людям у кого диски до 1ТБ, или владельцам старых дисков, так как на старых идёт запись данных, только скажем так по горизонтали, в то время как на современных терабайтниках запись идёт во все стороны, так ещё и в несколько этапов и "этажей", то есть ещё и внутрь, вниз и в верх, что считать практически нереально.

Всем спасибо за внимание! Шифруйтесь, если вам это необходимо!