Как защищать конфиденциальную информацию и как работать с ней

18.06.2024 27162   Комментарии (75)

У каждого пользователя есть какая-то конфиденциальная информация, которую крайне нежелательно хранить в открытом виде: к компьютеру могут получить доступ посторонние, его могут украсть, да мало ли! Поэтому конфиденциальную информацию обязательно следует хранить в защищенном, запароленном виде.

Если речь идет просто об архивах - с этим вообще нет никаких проблем: просто преобразуете соответствующую папку в запароленный архив, после архивирования саму папку удаляете - и всё, данные защищены. Например, WinRAR это умеет делать, а WinRAR - одна из лучших программ архивирования. 

Но это что касается архивов. А если вам нужна надежная защита папки с оперативной информацией - такой, которая все время редактируется? И неважно, где эта папка находится: на ПК/ноутбуке или на внешнем носителе - флешке или внешнем диске. 

Вот тут на помощь приходит одна из лучших программ защиты конфиденциальных данных - VeraCrypt (это развитие некогда популярного проекта TrueCrypt).

Почему она считается одной из лучших? Во-первых, это программа с открытым кодом, то есть мы можем быть уверенными в том, что в нее не встроены бэкдоры - лазейки, через которые можно вскрывать защищенные этой программой файлы. Во-вторых, она существует под все платформы - Windows, macOS, Linux. В-третьих, разработчики этой программы продолжают над ней работать, увеличивая удобство и уровни защиты, и на официальном сайте программы постоянно появляются новые версии. Ну и, в-четвертых, это совершенно бесплатная программа, а если вы хотите оказать поддержку разработчикам, то это можно сделать донатом.  

Давайте посмотрим, как программа устанавливается, как с ее помощью создать надежно защищенную папку любого желаемого размера, и как потом с этой папкой работать.  

Инсталляция

Скачиваем инсталлятор с официальной страницы проекта, устанавливаем. При инсталляции вам предложат выбрать вариант установки в систему или вариант portable, то есть переносной, без установки в системе. 

Запрашиваются опции установки - лучше всё оставить как есть. 

Работа с программой

Окно запущенной программы VeraCrypt.

Что она умеет делать? 

  • создавать зашифрованные программные контейнеры, в которых можно хранить важные файлы и папки;
  • шифровать логические разделы на дисках и целые диски, в том числе системный диск, а также внешние диски.

Нас в данном случае интересуют прежде всего программные контейнеры, которые по сути представляют собой отдельные файлы, и при открытии этого защищенного контейнера мы получаем, грубо говоря, папку, внутри которой может находиться множество самых разных файлов и вложенных папок разветвленной структуры.

И это работает следующим образом: с помощью VeraCrypt вы создаете защищенный файл нужного вам размера, и с этим файлом после расшифровки вы можете работать как с обычной папкой (а точнее - как с отдельным логическим диском), который закрывается (размонтируется) после того как вы закончили с ним работу.

Например, у вас есть папка, в которой вы храните конфиденциальные данные, и вы не хотите хранить их в открытом виде. Чтобы узнать размер этой папки, в Проводнике Windows на папке нужно нажать правую кнопку мыши и вызвать "Свойства" - там будет реальный размер всей папки.

Ну, например, папка у вас занимает 20 ГБ, но вы понимаете, что нужно оставить запас еще где-то в 10 ГБ. (Запас не нужно определять очень точно, потому что вы в любой момент можете переделать контейнер на более емкий.)

То есть вам нужно создать защищенный контейнер размером в 30 ГБ (с запасом), чтобы поместить туда конфиденциальные данные для хранения в защищенном виде.

В меню VeraCrypt выбираем: "Тома - Создать новый том". Появляется мастер создания новых контейнеров.

В данном случае мы хотим создать зашифрованный файл-контейнер, так что выбираем опцию по умолчанию.

Дальше выбирается обычный или скрытый том - для большей безопасности.

Выбираем опцию по умолчанию - даже обычный том VeraCrypt достаточно защищен.

(При этом если речь идет об особо конфиденциальной информации, требующей особой защиты, вы можете создать так называемый скрытый том - это специальный том, который помещается внутри обычного тома VeraCrypt, и никто кроме вас не будет знать, что в обычном томе VeraCrypt есть еще и потайной раздел.)

Далее выбираем расположение тома (файла): он может быть на логическом диске, на флешке, на внешнем диске, на NAS и так далее - где угодно, потому что это просто один файл. Для затруднения идентификации посторонними лучше задать папку с максимально безликим названием, типа "Всякий мусор", или же "Письма тещи" - сами придумайте, что будет максимально безлико, ну и файлу дать название из серии "packman.dat" или что-то в этом роде, потому что ни имя, ни расширение не играют никакой роли, они просто должны быть максимально безличными - никаких "Важные документы", "Конфиденциальные данные", "От этого зависит моя жизнь" и всё такое. 

После этого выбираем настройки шифрования - тут лучше ничего не трогать, если не понимаете, о чем вообще речь. По умолчанию всё выбрано как надо.

Важный момент - задание размера контейнера. Там всё удобно - задаете килобайты, мегабайты, гигабайты или терабайты (русский интерфейс - кривоватый, да, но мы это переживём), после чего указываем объем. На самом деле контейнер может иметь и динамический объем, увеличивающийся при заполнении, но лучше сразу определиться, какого размера этот контейнер будет и где будет храниться.

Я выбрал размер в 30 ГБ, как мы решили для теста. 

Следующий шаг - задание пароля. Понятно, что для защищенного контейнера пароль должен быть уникальным (который используется только для данного контейнера) и устойчивым. Он должен состоять не менее чем из 10-12 символов (а лучше из 14-16 символов), в нем не должны использоваться обычные слова, в нем обязательно нужно использовать символы в разных регистрах. Идеальный вариант - сгенерировать пароль с помощью генератора устойчивых паролей и сохранить его в менеджере паролей. (При этом само приложение VeraCrypt рекомендует использовать пароль не менее 20 символов.) 

На следующем этапе нам задают вопрос, планируем ли мы хранить в этом контейнере файлы размером более 4 ГБ - это повлияет на выбор файловой системы для контейнера. Лучше выбрать "Да", а то мало ли, вдруг понадобится.

После этого появляется окно форматирования нашего контейнера, при этом прежде чем нажать кнопку "Разметить", вам нужно некоторое время хаотично перемещать курсор мыши внутри этого окна, пока индикатор внизу окна не станет зеленым - это нужно для повышения криптостойкости ключей шифрования.

Когда индикатор станет зеленым, нажимаем "Разметить". Процесс форматирования идет очень быстро - со скоростью 2-3 ГБ в секунду, ну и по окончании VeraCrypt выдаст сообщение о том, что контейнер создан.

Этот контейнер представляет собой обычный файл, лежащий в том месте, которое вы выбрали при создании контейнера.

Этот файл спокойно можно куда-то перемещать, также его, конечно же, можно копировать, создавая таким образом страховочную копию ваших конфиденциальных данных. Имя файла спокойно можно менять - VeraCrypt к имени не привязывается.

Если вы хотите, чтобы по щелчку на этом файле автоматически запускалось приложение VeraCrypt, тогда файлу нужно дать расширение ".hc", с которым VeraCrypt ассоциируется в системе. Однако этим вы показываете посторонним, что данный файл - контейнер VeraCrypt.

Для максимальной маскировки этого контейнера, его можно поместить в какое-нибудь окружение - например, открыть на диске "С" папку Program Files, выбрать там папку часто используемой программы и переместить этот контейнер туда. В этом случае никто в жизни никогда не догадается, где лежит ваш защищенный контейнер.

Теперь о том, как этим пользоваться.

Запускаете программу VeraCrypt. Нажимаете на кнопку "Выбрать файл" и там выбираете файл контейнера: только вы знаете, где он находится и как называется. 

После этого нужно выбрать незанятую букву диска - контейнер будет смонтирован как логический диск с выбранной буквой.

Нажимаете кнопку "Смонтировать" - у вас, разумеется, запросят пароль.

Если пароль введен правильно, то программе понадобится какое-то время на монтирование тома (обычно это занимает несколько секунд), после чего логический диск появится в системе. Я выбрал букву "А" - вот этот логический диск размером под 30 ГБ.

И вы с ним можете работать как с самым обычным диском - например, скопировать туда вашу папку "Документы", что я и сделал для теста.

Скопировали туда все что нужно, закончили работу с контейнером. Теперь, чтобы его снова закрыть, контейнер нужно размонтировать. В окне VeraCrypt показаны все ваши смонтированные контейнеры. Вы можете размонтировать сразу все - специальной кнопкой, - можете выбрать конкретный том и размонтировать его.

При следующем монтировании этого контейнера вы найдете все ваши файлы в том виде, в котором они были перед размонтированием.

То есть схема работы с защищенным контейнером строится очень просто: вы в VeraCrypt монтируете том с вашим контейнером, далее с ним работаете как с обычным диском, а когда работу закончили - том размонтировали, и он хранится защищенным.

Тут сразу возникает два вопроса. Первый. Ну, хорошо, смонтировали том, поработали с ним, размонтировали. Но при следующем запуске VeraCrypt показывает имя нашего контейнера - и зачем тогда мы его прятали? Ну да, показывает. Потому что вы не отметили опцию "Не сохранять историю". Если ее отметить, то никакие имена контейнеров запоминаться не будут.

Второй вопрос. Предположим, мы поработали с нашим смонтированным томом, а потом в суете забыли его закрыть. Получается, что посторонний, севший за мой компьютер, получит доступ к моей конфиденциальной информации?

Ну да, если том смонтирован, то он выглядит как обычный логический диск. Но это уже ваша забота - так настроить компьютер, чтобы никто не мог войти туда под вашим пользователем. В Windows для этого полно средств идентификации и защиты. Да и самый простейший способ: если вам надо отойти от ПК, просто нажимаете Win+L - компьютер заблокируется и будет требовать пароль для входа.

Второй важный момент - вы можете использовать авторазмонтирование тома. Давайте заглянем в "Настройки - Параметры" этого приложения. Видите пункт "Автоматически размонтировать тома при неактивности в течение"? Отмечаете эту настройку, задаете временной промежуток - например, 30 минут или 60 минут, и контейнеры будут автоматически размонтироваться, если вы ими не пользуетесь в течение какого-то времени. Также тут можно задавать автоматический запуск VeraCrypt и автоматическое монтирование всех ваших томов (разумеется, соответствующие пароли будут запрашиваться).

Ну и еще пара важных замечаний.

Защищенный контейнер - это обычный файл. Когда он подключен как том (смонтирован) - вы не сможете его удалить. Однако когда он размонтирован, то он с легкостью удаляется, и вам система не будет задавать никаких дополнительных вопросов из серии - действительно ли вы хотите его удалить. Поэтому делайте страховочные копии контейнера, они ведь хорошо защищены. Единственное - никогда не монтируйте копии для работы, иначе есть риск потерять какую-то информацию. Всегда работайте с основным контейнером, а копию (копии) храните просто для страховки и периодически обновляйте.

Если у вас очень большой контейнер - например, фотоальбом, который может занимать и терабайт, и больше, - то напрямую каждый раз копировать огромный файл - не очень хорошее решение. В этом случае просто монтируйте основной контейнер и его копию, и синхронизируйте копию пофайлово с помощью какой-нибудь удобной программы - это будет значительно быстрее.

И еще одно замечание. Если вы забудете пароль к контейнеру, то вы не сможете восстановить доступ к нему. Он закрывается паролем, без пароля он не откроется. Поэтому самый хороший вариант - сохранить этот пароль в менеджере паролей (в современном мире без менеджера паролей - вообще никуда) - так вы точно не потеряете доступ к вашему защищенному контейнеру.

© 1998–2024 Alex Exler
18.06.2024

Комментарии 75

Пользуюсь верой уже много лет (сейчас 7.1а, но было много других), до этого трукриптом. Давно обратил внимание, что у веры есть одна странная проблема, не зависящая ни от мощности компа, ни от объема и скорости дисков - через некоторое время активного использования криптотома (чтение, запись разных файлов) скорость доступа к нему снижается, даже мелкий докфайл открывается в разы дольше, чем в первый раз. Почему так, вообще непонятно - машины разные, с разной производительностью и разной текущей нагрузкой. Но сразу отмечу и предупрежу очевидное предположение - антивирусов нет, ни виндового, ни сторонних. Может, что в курсе, что это. На ум приходит только то, что вера использует какой-то метод кэширования который не очень хорошо работает.
19.06.24 20:09
0 0

Эта проблема при работе VC с SSD давно уже описана и много лет как обсуждается, связана с легаси в исходном коде, который в таких объёмах никто переписывать не будет. Но можете в качестве альтернативы использовать другой опенсорсный проект Diskcryptor также позволяющий шифровать системный диск, не уступая по скорости битлокеру. Проект достаточно старый, одно время был заброшен, но в последнее время его снова начали развивать и даже доделали поддержку UEFI и Secure boot.

Может, и есть такая проблема, но это не мой случай, т.к. контейнеры на нескольких машинах лежат именно на HDD, только на одной на SATA SSD. Как раз и была мысль перекинуть контейнеры на SSD, но, учитывая большие объемы, отложу это на будущее.

например, открыть на диске "С" папку Program Files, выбрать там папку часто используемой программы и переместить этот контейнер туда. В этом случае никто в жизни никогда не догадается, где лежит ваш защищенный контейнер.

Смешно и наивно. Если контейнер большой (>1 Гб), даже я его за 5 минут вычислю в Program Files при помощи windirstat или тотал коммандером. А если он более 10Гб, как в статье, то вообще пофиг где вы его спрячете и как назовете - он будет торчать, как баобаб среди чистого поля. Даже, если вы его попытаетесь спрятать среди больших файлов видео например, все равно найду. Ну т.е. контейнер от спеца на компе спрятать очень трудно. А дальше вообще все просто - в 99,99999% случаев достаточно помахать терморектальным криптоанализатором перед носом. Даже в розетку включать не надо.

Если контейнер маленький (до 100 мб), тогда его заныкать значительно проще.
19.06.24 00:06
1 2

OK, все уже давно поняли, что вам очень нравится словосочетание "терморектальный криптоанализатор", можете уже не повторять его в каждом комментарии!

Такая прога должна быть обязательно портабельной и находиться на флешке. Ибо при обнаружении ее на компе, сразу понятно, что клиент что-то скрывает и можно расчехлять и прогревать тероморектальный криптоанализатор.
18.06.24 23:39
2 1

При обнаружении любого подозрительного контейнера можно догадаться, что это - контейнер.
Я бы переименовал его в hiberfil.sys и тем самым сильно бы затруднил первый этап идентификации - есть ли на компе контейнер вообще в принципе.
Ну или сделал зашифрованный раздел, но он палится через диспетчер дисков.
Вряд ли ты сможешь убедить тща майора, что "ой я забыл при разметке диска эту часть инициализировать, такой я лох"
19.06.24 12:48
0 1

А чем он лучше (или хуже) чем LUKS ?
18.06.24 21:08
0 0

Тем что он для винды и по умолчанию не имеет стандартного заголовка - сложнее обнаружить. Но с помощью LUKS это тоже реализуемо, хоть и сложнее.
19.06.24 05:54
0 0

У меня была проблема с Vera Crypt: по неизвестным причинам содержимое смонтированного диска стало кашей. Куча папок с названиями странными символами (такие символы иногда печатают принтеры при сбоях). Все попытки привезти в чувство файловую систему диска к успеху не привели.

Поэтому да, бэкапы контейнеров обязательны.
18.06.24 20:05
0 0

Бэкапы вообще обязательны. Не существует гарантированно бессбойных программ.
20.06.24 06:10
0 0

Давно пользуюсь TrueCrypt 7.1a
Всё устраивает.
Какие VeraCrypt преимущества по сравнению с TrueCrypt?
18.06.24 17:37
0 0

TrueCrypt скомпрометирована и больше не развивается.

> после архивирования саму папку удаляете
Только с моющим средством. Т.е. с переписыванием удалённых секторов. Самым параноидальным написать такую прогу можно самим, но и здесь ОС может держать копию файла.
18.06.24 13:28
0 0

с переписыванием удалённых секторов.
В FAR это можно через Alt-Del.
18.06.24 13:50
0 1

написать такую прогу можно самим
есть такая партия прога: Jetico BCWipe
18.06.24 14:33
0 1

Или Bleachbit.
Я её использую вместо почившего Ccleaner. Она умеет и вычищать без восстановления файлы-папки.
19.06.24 12:50
0 0

Такие способы хороши когда нужно спрятать фото любовницы от жены, или наоборот. При столкновении с кем-то более подготовленным, то они прекрасно знают что есть такие фокусы как скрытый том и всё подобное. Они-то тоже могут прочитать в интернете эту статью, как минимум. Ну а сделать так, чтоб клиент выдал нужную информацию там умеют.
18.06.24 12:42
0 2

Понятно, что под пытками любые пароли выдашь.
Тут смысл в том, чтоб защититься просто от каких-нибудь мошенников, хакеров и т.п., кто не имеет возможности на тебя воздействовать физически.
19.06.24 11:28
0 0

кто не имеет возможности на тебя воздействовать физически.
Физически не имеет возможности воздействовать, но имеет физический доступ к компьютеру или диску? Это если например украли? Но для таких случаев тут сразу написали, что давно изобрели шифрование всего диска, и не надо ничего городить и ничего изобретать.
19.06.24 15:56
0 0

Физически не имеет возможности воздействовать, но имеет физический доступ к компьютеру или диску? Это если например украли? Но для таких случаев тут сразу написали, что давно изобрели шифрование всего диска, и не надо ничего городить и ничего изобретать.
к компьютеру или каким-то отдельным важным данным на нем можно же и удаленно доступ получить. А еще ноутбук могут укарсть, или его можно забыть. Или кто-то может получить доступ к облаку с незафшифрованными данными.
А еще наверно есть страны (ну я надеюсь), где услоные "силовики" не имеют права выбивать доступ к нужным данным грубой силой. Ну может там в Финляндии, или в Швейцарии какой-нибудь не принято пытать людей. Там можно тогда и шифрованием себя защитить от чего-нибудь.
20.06.24 16:30
0 0

Статья хорошая, но надо чётко понимать, что она для домохозяек и для защиты от домохозяек.
Из того что бросилось в глаза, как айтишнику, но не (!) специалисту по безопасности и доступу к информации.
1. Размер контейнера - выдаёт себя сам, т.е. от случайного взгляда защитит, но при обследовании диска методично - он будет торчать как слон среди пигмеев.
2. Само наличие VeraCrypt может служить подсказкой, что на диске есть контейнеры.
3. Бэкап, бэкап и ещё раз бэкап, причём не только контейнера, но и БД менеджера паролей. И на съемные носители, ибо один шифровальщик и адьё.
4. Авторазмонтирование - не защищает от экспозии временных файлов, например, редактор может хранить временную копию в профильной папке Temp, браузер может хранить кэш и сохранённые пароли в папке профиля, а не в контейнере и тд. Т.е. шифрование диска - в дополнение к контейнеру отнюдь не лишняя идея.
18.06.24 12:29
0 8

хранить временную копию в ... папке Temp,
И нет более постоянного, о чём говорит растущий размер нечищенной вручную папки.
18.06.24 14:28
0 1

Я немного добавлю с профессиональной точки зрения. Алгоритм шифрования (AES) трогать не нужно, это контрпродуктивно (я когда-то писал статью, в которой рассказывал, почему так). А вот алгоритм хэширования - можно и даже рекомендуется: для SHA-512 довольно быстро работает перебор; более современные алгоритмы хэширования паролей значительно медленнее, а, следовательно, гораздо медленнее будут работать и атаки, и, следовательно, с той же степенью безопасности можно использовать более короткий (в разумных пределах!) пароль. Кроме того, есть такая вещь, как значение PIM (оно показано на одном из скриншотов). Это значение влияет на число итераций вычисления ключа шифрования из введённого пароля (но не равно ему, там формула). Чем больше PIM - тем больше итераций - тем больше усилий нужно потратить злоумышленнику, чтобы проверить каждый следующий пароль, тем медленнее идёт атака. А нам как пользователю - всё равно, будет том с правильным паролем открываться четверть секунды или целую секунду, а то и две. Дополнительный бонус PIM - далеко не все программы для перебора паролей его поддерживают, т.е. вообще высока вероятность, что с нестандартным PIM ваш пароль, даже если он "123", никто никогда не найдёт, т.к. не угадали правильный PIM. Ещё по-другому скажу: с нестандартным значением PIM атака превращается из линейной (перебор только паролей) в двумерную (для каждого пароля надо попробовать все разумные значения PIM, причём если ваш PIM не попал в заданный промежуток, то атака не сможет обнаружить пароль).

Кроме того, в VC есть функция обфускации ключа шифрования в памяти, что сильно затрудняет атаки, когда компьютер захватили включённым (но заблокированным) или выключенным, но в состоянии гибридного сна или гибернации.
18.06.24 12:06
0 7

Для максимальной маскировки этого контейнера, его можно поместить в какое-нибудь окружение - например, открыть на диске "С" папку Program Files, выбрать там папку часто используемой программы и переместить этот контейнер туда. В этом случае никто в жизни никогда не догадается, где лежит ваш защищенный контейнер.
Это весьма наивный способ спрятать контейнер и сработает разве что против "домохозяек". Обычно так дети прячут порнуху от родителей. Вычисляется очень просто - тупо смотрим размер папок в файловом менеджере и если видим что условная папка winrar весит 30гиг, то понимаем что туда стоит заглянуть. Если уж так сильно хочеться скрыть существование контейнера, то лучше создавать его на неразмеченном диске вообще, предварительно забив диск мусорными данными. Тогда уже потребуется чуть больше компетенция чтобы найти такой контейнер. Второй вариант попроще - создание контейнера с "двойным дном", насколько помню VeraCrypt это умеет. Для сторонних это будет выглядеть как один контейнер, в котором для прикрытия можно разместить немного своих нюдсов(ценной инфы), но основная информация будет хранится в отдельной скрытой части этого контейнера.
18.06.24 12:00
0 4

Допустим вы видите:
1) c:\mydocuments.hc. Если узнать пароль и смонтировать этот контейнер, там внезапно обнаружатся сканы паспорта, СНИЛС и т. п.
2) 100500+ разных файлов и папок. Среди прочего там есть "\video\" с 50+ *.avi/*.mp4 и т. п.
Ну и каковы ваши действия? Если внезапно у вас бесконечное количество ресурсов, вы можете пытаться вручную пытаться монтировать все файлы или написать скрипт, который будет проверять сигнатуру, чтобы предположить, что данный avi на самом деле контейнер veracrypt.
В реальности с 90% вероятностью вы займетесь mydocuments.hc, потому что у вас в очереди на проверку еще 10 устройств, а начальство орет "срочно!".
18.06.24 12:44
0 1

Зачем писать скрипт, когда forensic утилиты уже давно написаны и лежат в свободном доступе

Просто натравливаете их на диск C и они сами вам скажут где контейнер, а где 100500 фоток
18.06.24 15:41
0 0

2) 100500+ разных файлов и папок. Среди прочего там есть "\video\" с 50+ *.avi/*.mp4 и т. п.
Ну и каковы ваши действия?
Если 100500+ файлов безобидные, то у меня возникнет вопрос "А зачем это спрятано в контейнере? Уж не пытаются ли меня пустить по ложному следу?" После расчехлю терморектальный криптоанализатор и вежливо спрошу, где прячется то, что реально спрятано.
19.06.24 01:16
1 0

Также можно поставить компонент Hyper-V, сделать виртуалку на зашифрованном томе.
Работает очень даже хорошо.
18.06.24 11:24
0 1

Зачем виртуалку? Можно без Hyper-V просто средствами Windows создать VHDX-том и зашифровать его BitLocker. Единственная проблема — всех этих инструментов нет в Home-редакциях Windows, поэтому для "домохозяек" они не подходят. Ну и еще стоит держать в голове, что материнки с TPM-чипом под запретом в России, но это уже местная специфика.
18.06.24 14:52
1 0

материнки с TPM-чипом под запретом в России
*Глядя на все мои материнки с TPM-чипом, которые у меня есть* да вроде не под запретом.
19.06.24 12:52
0 0

*Глядя на все мои материнки с TPM-чипом, которые у меня есть* да вроде не под запретом.
Тем не менее. Не изучал вопрос на предмет настоящего положения дел, но доподлинно знаю, что лет десять назад когда наша контора заказывала для своих сотрудников ноуты HP и Lenovo, отдельно предупреждали, что для РФ ноуты будут без TPM, в соответствии с местным законодательством. И моя личная, купленная в РФ материнка от ASUS для сокета 1155 имела пустое распаянное место под TPM чип с дисклеймером "в РФ функционал не поддерживается".
20.06.24 00:53
0 0

Тогда можно использовать VirtualBox, там уже из коробки есть шифрование виртуальных машин

Это ж вроде статья не реклама, а ликбез...

Тогда, просто для сравнения: список 80+ приложений, которые делают где-то тоже самое, со сравнением характеристик (много с открытым кодом).
18.06.24 11:19
1 3

Тогда, просто для сравнения: список 80+ приложений, которые делают где-то тоже самое,
Большая часть проприетарных. Около трети уже не развиваются. А среди тех, что еще обновляются очень мало кроссплатформенных. Т.о. полных аналогов ВераКрипт почти нет. Хотя порыться среди них можно, конечно, если понимать зачем.
Ведь VeraCrypt стал фактически "золотым стандартом", благодаря кроссплатформенности, надежности, открытому коду и бесплатности.
19.06.24 05:59
0 0

Есть еще Personal Vault который включен в OneDrive от Windows.
18.06.24 10:53
1 0

Не совсем полный аналог, ведь там нет пароля, а разархивирование осуществляется через привязку к адресу электронной почты или мобильному приложению.

Не совсем полный аналог, ведь там нет пароля, а разархивирование осуществляется через привязку к адресу электронной почты или мобильному приложению.
Это вообще ни разу не аналог. В Personal Vault *нет* шифрования. Вообще нет. Никакого. Никак. Нет. Отсутствует. Данные оттуда вытаскиваются точно так же, как из обычного OneDrive. Защита только от домохозяек.

Это вообще ни разу не аналог.
Скажите об этом dexter@md'у, не мне.

А если вы собираетесь переустанавливать систему, то проще при установке зашифровать весь диск целиком системными средствами

Особенно если это ноутбук
18.06.24 10:47
0 0

А если вы собираетесь переустанавливать систему, то проще при установке зашифровать весь диск целиком системными средствами
Вообще не вижу в этом никакого смысла. Зашифрованный диск работает медленнее незашифрованного.
18.06.24 10:52
4 0

Если ноутбук украдут, то все данные легко прочитав вытащив диск. А там наверняка открытые сессии в браузерах к почте и прочему, даже ломать не надо

И современное железо уже давно имеет сопроцессор шифрования типа T2 для маков или AES-NI инструкции еще с 6 поколения Intel
18.06.24 10:57
0 5

Какое счастье, что у меня Макбук, в котором шифрование диска нисколько не замедляет работу системы.

Если ноутбук украдут, то все данные легко прочитав вытащив диск.
И что вы прочитаете в защищенном контейнере?
18.06.24 11:06
0 0

Ну так я и говорю, что надо шифровать систему. Или куки от браузера в контейнере держать?
18.06.24 11:22
0 1

Вообще не вижу в этом никакого смысла. Зашифрованный диск работает медленнее незашифрованного.
В общем случае - нет. Начну с того, что даже чисто программная реализация BitLocker работает с инструкциями AES-NI, у которых на современных процессорах потоковая скорость шифрования - десятки гигабайт в секунду. И закончу тем, что в подавляющем большинстве современных SSD есть аппаратное шифрование, которое взаимодействует с тем же BitLocker по протоколу OPAL (если в групповой политике Windows не запрещено аппаратное шифрование). Причём если диск умеет шифровать данные в принципе, то он их шифрует ВСЕГДА, независимо от того, включил ли пользователь шифрование или нет. Просто, если шифрование включено, то ключ шифрования на самом диске не хранится, а если выключено, то хранится, и контроллер берёт его при включении диска.
18.06.24 12:16
0 7

И современное железо уже давно имеет сопроцессор шифрования типа T2 для маков или AES-NI инструкции еще с 6 поколения Intel
T2 - архаичная древность. Сейчас в чипах Apple Silicon используется с той же целью SEP (Secure Enclave Processor). Очень правильная архитектура по сравнению с T2, который был внешним чипом и для которого уже существуют атаки.
18.06.24 12:21
0 3

Ну просто когда основной процессор стал arm, то логично t2 было засунуть в него же
18.06.24 12:37
0 0

А если вы собираетесь переустанавливать систему, то проще при установке зашифровать весь диск целиком системными средствами
А зачем обязательно переустанавливать? Что мешает включить шифрование в любой момент времени?
В PRO версиях это делается из настроек. В Home из настроек не получится. Но есть команды PowerShell.
Например, для проверки статуса шифрования:
Get-BitLockerVolume -MountPoint "C:"
Кстати, проверьте свой компьютер командой из спойлера выше. Возможно, ваш диск уже автоматически зашифрован.

Подробнее об условиях и возможностях см. Управление автоматическим шифрованием в домашних изданиях

А ниже показано как это выглядит в ПРО версиях Вин10.
19.06.24 05:16
0 2

19.06.24 05:50
0 1

А если вы собираетесь переустанавливать систему, то проще при установке зашифровать весь диск целиком системными средствамиОсобенно если это ноутбук
Зачем для этого переустанавливать систему? Все прекрасно включается на лету. И системными средствами, если мы про BitLocker, и несистемными.
20.06.24 00:58
0 1

Вообще не вижу в этом никакого смысла. Зашифрованный диск работает медленнее незашифрованного.
А еще можно купить SSD, рекомендую. И тогда разница будет заметна только в синтетике.
20.06.24 01:02
0 0

А еще можно купить SSD, рекомендую.
Да ты мне прям открыл глаза!

И тогда разница будет заметна только в синтетике.
В случае с VeraCrypt разница заметна буквально "на глаз". Ты можешь проверить, это несложно. У тебя же есть SSD? Или ты пока раздумываешь о покупке?
20.06.24 07:37
0 0

В подобные программы надо бы еще kill слово добавлять. При вводе которого будет убиваться все зашифрованное содержимое - как средство от крипторектального взлома.
Вводишь "ромашка" - том монтируется.
Вводишь "одуванчик" - содержимое убивается без возможности восстановления.
18.06.24 10:36
0 3

Что то мне подсказывает что в случае саботажа при ректальном криптоанализе, эксперты анализатор не станут вынимать из системы и выключать из розетки.
Но, собственно, к технической защите данных это отношения не имеет.
18.06.24 10:49
0 2

В подобные программы надо бы еще kill слово добавлять.
Частично эту функцию выполняет скрытый том. Делается обычный том с подставными данными, а что там есть еще и скрытый раздел - никто кроме владельца не знает.
18.06.24 10:53
0 4

Я тут пораскинул мозгами. Излишняя это функция. Потому что, уж если ты попал в поле интересов спецов по крипторектальному взлому, то уж лучше чтоб он получил то, что надо.
Ну а если реально заинтересовались службы, где есть спецы по криптовзлому - то первое что такие делают - клонирование диска и работа с клоном клона, а не с оригиналом.
18.06.24 12:11
0 4

именно, никто кроме совсем уж любителей, не работает с оригиналом, сначала делается битовая копия и можно "пытаться" по всякому. Поэтому скрытые данные вообще не должны выдавать свое существование, если введён неправильный пароль, и даже структура на диске должна выглядеть случайной.
18.06.24 12:34
0 1

А вот TrueCrypt когда закрылся, то "прощальным письмом" было двусмысленное сообщение "не надейтесь отсутствие бекдоров". Насколько можно доверять VeraCrypt?
18.06.24 10:21
0 3

"не надейтесь отсутствие бекдоров"
Что-то в этом сообщении пропущено.

А вот TrueCrypt когда закрылся, то "прощальным письмом" было двусмысленное сообщение "не надейтесь отсутствие бекдоров".
Насколько я помню, дело было не так.

Насколько можно доверять VeraCrypt?
Это открытый код. Берешь, проверяешь, компилируешь сам.
18.06.24 10:27
0 1

Насколько я помню, дело было не так.
Даже из Вики:
TrueCrypt 7.2 — 28 мая 2014 года. Официального списка изменений нет. Это последняя версия, она поддерживает только дешифрование данных, возможность шифрования удалена. Добавлены предупреждения о том, что TrueCrypt небезопасен. Сайт и программа настоятельно рекомендуют переходить на BitLocker. Вероятные причины — взлом или давление на разработчиков. Предыдущие версии — по-прежнему рабочие и нескомпрометированные. Переход на BitLocker считается менее безопасным ввиду его закрытого исходного кода. Поскольку авторы TrueCrypt всегда высмеивали безопасность BitLocker, такой совет многие восприняли как свидетельство канарейки, то есть намёк на неискренность собственных слов и попытку сказать нечто важное через молчание[8].
18.06.24 10:29
0 5

Что-то в этом сообщении пропущено.
"на" пропущено.

А вот TrueCrypt когда закрылся, то "прощальным письмом" было двусмысленное сообщение "не надейтесь отсутствие бекдоров". Насколько можно доверять VeraCrypt?
На хабре например была статья давно уже. Разработчик сделал TrueCrypt изначально для себя, для своей работы - наркотой торговал. А потом его таки нашли, и в том числе получили доступ к исходным кодам TrueCrypt.
18.06.24 10:33
0 0

Ну и? Давление на разработчиков. Предыдущие версии были безопасными. Никаких бэкдоров в старых версиях TrueCrypt не было.
18.06.24 10:36
0 0

Никаких бэкдоров в старых версиях TrueCrypt не было.
Ну все равно 2014 год слишком старое, чтобы сейчас использовать. Посмотрим VeraCrypt.
18.06.24 10:40
0 0

Ну все равно 2014 год слишком старое, чтобы сейчас использовать. Посмотрим VeraCrypt.
Ну так я поэтому и пишу о VeraCrypt 😉
18.06.24 10:51
0 2

Это открытый код. Берешь, проверяешь, компилируешь сам.
Тут есть засада, нужно быть экспертом...
Ну т.е. SSL HeartBleed был внесён как ошибка (или намеренно) в 2012 году, а обнаружен два года спустя. Просто потому, что для неспециалиста он выглядел как разумная модификация.
Поэтому открытый код не панацея. Но да, скорее именно бэкдоров нет, но могут быть уязвимости снижающие уровень защиты
18.06.24 12:22
0 1

Вот насчет бесплатности WinRAR это как-то крутовато....
18.06.24 10:08
1 4

Вот насчет бесплатности WinRAR это как-то крутовато....
Для РФ она бесплатная, насколько я помню.
18.06.24 10:12
0 0

насколько я помню.
Память подводит. Да, кроме вылезающего окошка "купи лицензию", функциональность не ограничивается, но бесплатности не было. Плюсом конечно лицензия пожизненная - купив лет много назад для версии 3, современные версии ее вовсю принимают.

Ну и да - если к архиву rar забыл пароль, то лучше даже не пытаться восстановить. Смириться с потерей.
18.06.24 10:14
0 0

Да, кроме вылезающего окошка "купи лицензию", функциональность не ограничивается, но бесплатности не было.
Для РФ была, отлично помню. Может, сейчас нет.

Плюсом конечно лицензия пожизненная - купив лет много назад для версии 3, современные версии ее вовсю принимают.
Аналогично, я сто лет назад купил - работает.
18.06.24 10:26
0 0

Вот насчет бесплатности WinRAR это как-то крутовато....
Он условно-бесплатный, такая позиция разработчиков.
18.06.24 10:30
0 0

Он условно-бесплатный, такая позиция разработчиков.
License.txt:

END USER LICENSE AGREEMENT

The following agreement regarding RAR (and its Windows version - WinRAR)
archiver - referred to as "software" - is made between win.rar GmbH -
referred to as "licensor" - and anyone who is installing, accessing
or in any other way using the software - referred to as "user".

1. The author and holder of the copyright of the software is
Alexander L. Roshal. The licensor and as such issuer of the license
and bearer of the worldwide exclusive usage rights including the rights
to reproduce, distribute and make the software available to the public
in any form is win.rar GmbH, Marienstr. 12, 10117 Berlin, Germany.

2. The software is distributed as try before you buy. This means that
anyone may use the software during a test period of a maximum of 40 days
at no charge. Following this test period, the user must purchase
a license to continue using the software.
18.06.24 10:37
0 0

Для РФ была, отлично помню.
Ты, вероятно, с FAR путаешь. Он был бесплатным для РФ.
18.06.24 11:07
0 4