Как сделать шифрование ПК и съемных носителей

Как сделать шифрование Безопасность компьютера

Все наверняка слышали про шифрование и безопасность как самого ПК так и съемных носителей. Я лишь кратко упомяну основные пункты:

  • Данные шифруются, чтобы ограничить к ним доступ по паролю. Допустим у нас есть текстовый файл с паролями, и если его кто-то получит (вытащит вирусом или физически придёт скопирует), то все пароли окажутся у него в руках. Но если зашифровать файл, то без ключа шифрования данные просто превращаются в набор байт.
  • При использовании надёжных алгоритмов, таких как AES, если пароль длиннее 15 символов, то вероятность, что его удастся подобрать хотя бы за 100 лет равна практически нулю.
  • Шифровать можно не только отдельные файлы, но и диск целиком.

Программы для шифрования

Bitlocker
Штатный софт Windows, шифрует хорошо, в целом все очень просто, работать с ним одно удовольствие: нажал одну кнопку и файл зашифровался.
Но у этой медали есть обратная сторона – ключ дешифровки хранится на серверах Microsoft. Они легко выдадут ключ дешифратора по первому требования при возникновении каких-либо проблем.

True Crypt
Разработчики закрыли проект, он больше не поддерживается. Его можно использовать только если с Veracrypt проблемы

Veracrypt
Актуальное решение с открытым программным кодом. Они неплохо взлетели после закрытия трукрипта, у них почти точно такой же интерфейс и функционал аналогичный. И пару слов о работе самого veracrypt: он шифрует данные на лету. Это значит, что после ввода пароля он не создаёт расшифрованную копию файла где-то на диске (это небезопасно), а расшифровывает данные по мере их необходимости в оперативной памяти. После ввода, пароль тоже хранится в оперативной памяти. А это значит, что расшифрованные данные можно безопасно демонтировать экстренным выключением.

После выключения питания компьютера, расшифрованная версия файлов исчезает. Этого же можно достичь при размонтировании криптоконтейнера. Но лучше выключать windows обычным способом, когда это возможно. Потому что резкое выключение может повредить данные открытых программ (и шифрование тут не причём).

Что лучше шифровать

Шифрования много не бывает. Не важно, какого рода данные, рабочие ли это файлы либо фотографии голой жены. Есть пк — зашифруй! Есть флешка — зашифруй! Вспомните фильм ДухLess. Помните под конец фильма, девчулька спёрла флэшку у Белкина? И потом благодаря этой информации показывали сотрудников и сам Белкин остался без козыря. Да понимаю, фильм. Но все же, если бы флешка была зашифрована, понимаете в какое место можно было бы её засунуть?

Отвечаю на вопрос выше о том, что лучше шифровать. Шифровать лучше всё, приватность выше удобства стоит. Тут есть только одна оговорка: если теряется ключ к зашифрованному диску, то ничего сам от туда не достанешь. Пусть у тебя там хоть 1000 биткоинов лежит; нет ключа – нет информации. И в случае поломок носителя восстановление затрудняется.

Поэтому не надо прямо сейчас пытаться зашифровать все данные, особенно важные. Надо быть готовым, что первые попытки шифрования съедят данные.

Для шифрования большого объёма данных используются блочные алгоритмы. Это значит, что данные разбиваются на блоки фиксированной длины, каждый из которых шифруется отдельно. Блоки существуют независимо друг от друга, и внутри блока все биты важны. Плюс такого подхода – можно быстро расшифровать любой произвольный файл, а минус – если в блоке повредится хотя бы один бит, то весь блок невозможно будет расшифровать.

Появление недоступных битов – ситуация не редкая ни для hdd, ни для ssd. А при шифровании вероятность из-за ошибки потерять важные данные выше в разы, поэтому всегда имейте копию всего самого важного. Желательно на зашифрованной флешке. Запомните, иногда из-за ошибок шифрования пропадают или портятся данные, не шифруйте что-то очень важное, что есть только в одном экземпляре.

Виды шифрования

Виды шифрования

Полное шифрование жёсткого диска
Оно возможно. Причём не только внешнего диска, а прям раздел с windows весь зашифровать можно. Тогда в систему устанавливается загрузчик veracrypt, который при запуске запросит пароль до запуска самой системы.

Таким же образом он будет работать при полном шифровании, при котором шифруются любые данные на диске. Это нужно для того, чтобы быть уверенным, что ничего из зашифрованной системы достать не получиться.

Если шифруется несистемный диск, то в результате работы некоторых программ данные могут попасть на системный раздел. Это может быть кэш, миниатюра изображения. Например, winrar при распаковке файлов для запуска программы внутри архива (да и не только программы, при попытке открыть любой файл) распаковывает весь архив во временное хранилище, которое находится на системном диске. То есть системный раздел шифровать надо, даже если все нужные для работы файлы будут храниться не там.

Криптоконтейнер
Представим сейф, в котором лежат какие либо вещи, но сейф защищен паролем и спрятан в стене за картиной. Только зная, где находится сейф и зная пароль, можно достать что-либо из сейфа. Криптоконтейнер по сути тоже самое, только в компьютерной среде.

У криптоконтейнера есть несколько важных особенностей:

  • Его размер устанавливается на этапе создания. Это нужно и для алгоритма шифрования, и для того, чтобы по размеру невозможно было предположить, что в нём лежит.
  • Криптоконтейнер в системе выглядит как обычный файл с любым расширением. Но внутри зашифрованные данные, прочитать которые можно только по паролю.

Инструкция по шифрованию

Для шифрования нам понадобится утилита VeraCrypt. Скачивать лучше с официально сайта: скачать. Ставим обычную версию (не portable).

Запустите VeraCrypt, в главном окне программы перейдите на вкладку System (Система) и выберите первый пункт меню Encrypt system partition/drive (Зашифровать системный раздел/диск).

Выбор типа шифрования

Оставьте установленный по умолчанию тип Normal (Обычный). Нажмите Next (Далее)

Выбор типа шифрования

Область шифрования

Если существует только один диск и он системный(обычно это диск C:\), то можно ограничится пунктом с шифрованием системного раздела. Вполне возможно, что ваш физический диск разбит на несколько разделов, например C:\ и D:\. Если это так, то выбирать надо только Encrypt the whole drive (Зашифровать весь диск).

Область шифрования

Шифрование скрытых разделов

Выберите Yes (Да) если на вашем устройстве есть скрытые разделы с утилитами производителя компьютера, и Вы хотите зашифровать их, обычно в этом нет необходимости.

Нажмите кнопку Next (Далее).

Шифрование скрытых разделов

Число операционных систем

Выберите Single boot (Одиночная загрузка) и нажмите кнопку Next (Далее).

Число операционных систем

Настройки шифрования

Выбор алгоритмов шифрования и хеширования. Тут смело можно оставить значения AES и SHA-256 по умолчанию как наиболее сильный вариант.

Настройки шифрования

Пароль

При выборе пароля лучше придумать его из головы. Он должен быть длиннее 12 символов и обязательно не содержать легко подбираемых элементов. Пароль 000000000000, очевидно, будет подобран очень быстро, однако и что-то типа ZZZZZZZZZZZZ будет подобрано за короткое время. При взломе используют не перебор напрямую — для длинных паролей это невозможно, а сложные алгоритмы на основании словарей. Поэтому надо избежать явных закономерностей в пароле.

Пароль

Cбор случайных данных

Этот шаг необходим для формирования ключа шифрования на основе пароля, введённого ранее, чем дольше Вы будете двигать мышью, тем надежнее будут полученные ключи. Хаотично двигайте мышью как минимум до тех пор, пока индикатор не станет зеленым, затем нажмите Next (Далее).

Cбор случайных данных

Cгенерированные ключи

Этот шаг информирует о том, что ключи шифрования, привязка (соль) и другие параметры успешно созданы. Это информационный шаг, нажмите Next (Далее).

Cгенерированные ключи

Восстановление данных при форс-мажорах

При полном шифровании диска или шифровании системного раздела veracrypt предлагает создать диск восстановления. Важно понимать, что это такое и зачем он нужен, ведь именно он поможет, если что-то пойдёт не так. Вот пару тезисов о нём:

  1. Он не хранит данные о пароле, которым было выполнено шифрование
  2. На нём содержится мастер-ключ шифрования, если диска нет, и такие данные как соль и мастер-ключ не были сохранены вручную, то восстановление невозможно.

То есть для восстановления системы нужен будет и диск шифрования для конкретного раздела, и пароль шифрования. Если вы забудете пароль, то можно смело переустанавливать систему, старые данные уже не вернуть. Поэтому чтобы не потерять самые важные данные, создайте их копию себе где-нибудь. На первое время не страшно, если она будет на обычной флешке и будет незашифрованная.

Диск восстановления

Укажите путь где будет сохранен ISO образ диска восстановления (rescue disk) этот образ может вам понадобиться в случае повреждения загрузчика VeraCrypt, при этом Вам все равно понадобиться ввести верный пароль. Сохраните образ диска восстановления на съёмный носитель (например флешку) или запишите его на оптический диск и нажмите Next (Далее).

Для сохранения на флешку на этом шаге надо поставить галочку «Не проверять диск восстановления» и на следующем шаге выбрать, что пишущего накопителя нет

Диск восстановления

Диск восстановления создан

Обратите внимание! Для каждого зашифрованного системного раздела необходим свой диск восстановления. Обязательно создайте его и храните на съемном носителе. Не храните диск восстановления на этом же зашифрованном системном диске. Только диск восстановления может помочь вам расшифровать данные в случае технических сбоев и аппаратных проблем.

Диск восстановления создан

Очистка свободного места

Очистка свободного места позволяет безвозвратно удалить ранее удаленные данные с диска, которые возможно восстановить с помощью специальных техник (особенно актуально для традиционных магнитных жестких дисков). Если Вы шифруете SSD накопитель, выберите 1 или 3 прохода, для магнитных дисков рекомендуем 7 или 35 проходов. Учтите, что эта операция отразиться на общем времени шифрования диска, по этой причине откажитесь от неё в случае если ваш диск не содержал важные удаленные данные раньше. Не выбирайте 7 или 35 проходов для SSD накопителей, магнитно-силовая микроскопия не работает в случае с SSD, вполне достаточно 1 прохода.

Если на диске не хранилось информации, которую надо скрыть от посторонних глаз, не надо ставить слишком большое количество проходов. Это очень сильно увеличит время, требуемое на очистку.

Очистка свободного места

Тест шифрования системы

Этот шаг — проверка перед шифрованием. Он относительно безопасный и на нём редко что-то ломается, но на всякий случай прочитайте текст тут и на следующей странице

Тест шифрования системы

Что делать если Windows не загружается

Ознакомьтесь, а лучше распечатайте рекомендации на случай, что делать если Windows не загрузится после перезагрузки (такое случается). Нажмите OK если прочитали и поняли сообщение.

Что делать если Windows не загружается

Перезагрузка

Перезагрузите компьютер

Ввод пароля при загрузке

После перезагрузки и перед началам загрузки операционной системы Вы увидите интерфейс загрузчика VeraCrypt и запрос на ввод пароля. Укажите пароль который вводили на Шаге Если после пароля запросит PIM, то просто нажмите enter. Это параметр алгоритма шифрования, который может быт настроен автоматически.

Ввод пароля при загрузке

Тест завершен

Если Ваш Windows загрузился, и Вы увидели данное окно значит Тест успешно завершен, нажмите Encrypt для начала шифрования.

Тест завершен

Ознакомьтесь с инструкцией как загрузить диск восстановления.

Шифрование

После окончания процесса шифрования Вы получите сообщение, нажмите ОК.

Шифрование

Нажмите Finish.

Поздравляем, все ваши файлы и файлы операционной системы теперь зашифрованы и будут расшифровываться на лету при обращении к ним. Все расшифрованные данные хранятся в оперативной памяти. VeraCrypt никогда не записывает их на диск в расшифрованном виде.

Нажмите Finish

Оцените статью
Блог полезной информации
Добавить комментарий