Ukryj swoje dane: szyfrowanie na Windows z VeraCryptem

O ile kwestia szyfrowania dysków na Linuksie jest dziś jużkwestią oczywistą – pakiet LUKS/dm-crypt jest częściąpraktycznie każdej dystrybucji – to z systemami z rodziny Windowsmamy pewien kłopot. Wcale nie dlatego, że niezbędnegooprogramowania brakuje, jest wręcz przeciwnie. Opróczmicrosoftowego BitLockera (niedostępnego jednak dla użytkownikówdomowych wersji „okienek”) mamy całą gamę oprogramowaniawłasnościowego, tworzonego wyraźnie z myślą o potrzebachkorporacyjnego użytkownika, oraz kilka rozwijających się projektówOpen Source, próbujących zająć miejsce słynnego True Crypta. Poanalizie ich jakości i możliwości zdecydowaliśmy się w naszymporadniku szyfrowania dla Windowsów zająć bliżej VeraCryptem.

Ukryj swoje dane: szyfrowanie na Windows z VeraCryptem

04.03.2016 | aktual.: 04.03.2016 13:41

Wybór VeraCryptu nie był wcale oczywisty – program, którypowstał na bazie kodu TrueCrypta, może u niejednego budzićniepokój. W końcu pamiętamy, jak TrueCrypt skończył, porzuconyprzez jego anonimowych autorów z tajemniczym komunikatem „zawieranierozwiązane usterki bezpieczeństwa”. Z drugiej jednak stronyjego konkurenci, tacy jak LibreCrypt, CipherShed czy DiskCryptor teżmają swoje problemy, nie dorównują też mu tempem rozwoju.

VeraCrypt na Windowsa znajdziecie w naszej bazie oprogramowania.

W swojej obecnej postaci (wersja 1.17) VeraCrypt wnosi na stółcałkiem sporo, eliminując nie tylko odkryte w TrueCrypcie lukibezpieczeństwa, ale i wzmacniając szyfrowanie, m.in. poprzezzastosowanie większej liczby iteracji dla funkcji wyprowadzeniaklucza PBKDF2 czy wprowadzenie możliwości wykorzystywania znakówUnicode w haśle. Od początku prac nad programem jego deweloperzypostarali się o dziesiątki drobnych, ale istotnych poprawekfunkcjonalnych, dzięki którym czuć, że nie jest to po prostuzrekompilowany TrueCrypt.

Prawdziwym powodem, dla którego jednak zdecydowaliśmy się naVeraCrypta jest chęć przedstawienia koncepcji znanej w kryptografiijako „wiarygodne zaprzeczenie” (ang. plausible deniability),która zdaniem niektórych może pozwolić nam przetrwać nawetkryptoanalizę za pomocą gumowej pałki. Istnieją inne programypozwalające na wiarygodne zaprzeczenie, ale żaden nie jest takdopracowany i wygodny.

Osoby mające rygorystyczny stosunek do licencjonowaniaoprogramowania mogą mieć mieszane uczucia do VeraCrypta. W pewnymsensie jest to oprogramowanie powstałe nielegalnie. Kod źródłowyTrueCryptu był bowiem publicznie udostępniony przez jegoanonimowych twórców, jednak z zastrzeżeniami zakazującymijakichkolwiek przeróbek czy forkowania – nie miał więc nicwspólnego z normalnie rozumianym Open Source. VeraCrypt jesttymczasem obecnie rozpowszechniany na licencji Apache 2.0 (wcześniejMicrosoft Public License), jednak wciąż sporo jego kodu jest na nie tak znowu wolnej licencjiTrueCrypt License. W teorii więc twórcy TrueCrypta mogliby sobiepozwolić na pozew przeciwko francuskiej firmie IDRIX, producentowi VeraCrypta – jest to jednakmało prawdopodobne, biorąc pod uwagę to, jak bardzo dbali o swojąanonimowość i jak gwałtownie odcięli się od swojego dzieła.

Kontener dla tych, co mają trochę do ukrycia

VeraCrypt oferuje swoim użytkownikom trzy funkcje związane zszyfrowaniem pamięci masowej. Za pomocą tego programu możemystworzyć wirtualny zaszyfrowany dysk-kontener, widoczny w systemiejak dowolny inny dysk, zaszyfrować fizyczną partycję lub całydysk, albo też zaszyfrować partycję z systemem operacyjnym.

VeraCrypt na Windowsa z funkcjami, których na Linuksie nie znajdziesz
VeraCrypt na Windowsa z funkcjami, których na Linuksie nie znajdziesz

Zacznijmy od najprostszego scenariusza, w którym użytkownik chcepo prostu stworzyć zaszyfrowany kontener – plik dowolnejwielkości, który można swobodnie przenosić między komputerami (ito nie tylko działającymi pod kontrolą Windowsów). Taki kontenermożna następnie poprzez VeraCrypt podpiąć do systemu plików, takby był widziany jako normalny dysk systemowy na czas, gdy jestpodpięty.

  • Kontenery możesz przechowywać w dowolnym miejscu systemu plików
  • Spotkanie z kreatorem. Dobrze, że nie z druidem
[1/2] Kontenery możesz przechowywać w dowolnym miejscu systemu plików

W tym celu klikamy przycisk Utwórz wolumen, który wywołujeKreatora tworzenia wolumentów VeraCrypt. Interesująca nas opcja,tj. Stwórz zaszyfrowany plik (magazyn), jest domyślnie zaznaczona.Klikamy więc Dalej, pozostawiając na następnym ekranie Typwolumenu domyślną opcję – Standardowy wolumen TrueCrypt. KolejneDalej i kolejny ekran, Lokalizacja wolumenu. Tu wybieramy miejsce inazwę pliku, uważając, by nie wprowadzić nazwy pliku jużistniejącego, gdyż to doprowadzi do jego skasowania.

Następny krok w kreatorze przedstawi opcje szyfrowania. Domyślnieustawiony jest jako algorytm szyfrujący AES z kluczem 256-bitowym,zaś jako algorytm mieszający – SHA512. Wbrew rozmaitym opiniom, zjakimi możecie spotkać się w Sieci, nie sądzimy, by były to złeustawienia. AES, choć nie został wybrany na standard za sprawąbezpieczeństwa, a raczej za sprawą łatwości jego sprzętowejimplementacji, nie ma znanych słabości, a gdyby miał, to byłabyto prawdziwa kryptokalipsa – jest dziś najpopularniejszym naświecie szyfrem blokowym. Ma też jeszcze jedną zaletę, nawiększości mikroprocesorów wykorzystuje sprzętową akcelerację,dzięki czemu jest znacznie szybszy od innych szyfrów. Przekonaćsię o tym możemy uruchamiając Test wydajności:

Na mobilnym Core i5 ok. 3 GB/s dla AES to dobry wynik. Na desktopowym Core i7 udało się uzyskać 6 GB/s
Na mobilnym Core i5 ok. 3 GB/s dla AES to dobry wynik. Na desktopowym Core i7 udało się uzyskać 6 GB/s

Jak widać, czysty AES jest o rząd wielkości szybszy odkonkurentów. Oczywiście, jeśli chodzicie w kapeluszach z foliialuminiowej, możecie zastosować jakiś inny szyfr, spoza oficjalnejrekomendacji amerykańskich władz, np. zaprojektowany przez słynnegoBruce'a Schneiera Twofish, a nawet połączyć algorytmy, czyliszyfrować kaskadowo, dwoma, a nawet trzema szyframi. W ten sposób,gdyby w przyszłości odkryto jakąś słabość w jednym zalgorytmów, użytych do szyfrowania, dane wciąż byłybybezpieczne. Pozostaje oczywiście pytanie, czy ludzie w takichkapeluszach chcieliby używać Windowsa, a nie np. OpenBSD.

Jeśli chcecie swoje dane zabezpieczyć przed jakąś dużąagencją o trzyliterowej nazwie, to można zastosowaćkombinację AES(Twofish(Serpent)). Napastnik na początku będzie sięmusiał zająć najpopularniejszym kryptosystemem (który być możejakoś tam potrafi złamać). Wtedy jednak odkryje, że pod spodemjest Twofish. Gdy i ten ulegnie, pod spodem czeka prawdziwe monstrum,Serpent, szyfr blokowy jak do tej pory najbardziej odporny nastarania matematyków.

Jeśli chodzi o algorytm funkcji skrótu, to oprócz SHA-512 mamydostępne SHA-256 (to ta sama funkcja SHA-2, tylko zwracającakrótszy skrót) i Whirlpool, będący pomysłem jednego zewspółautorów AES-a. Zwraca on 512-bitowe skróty wiadomości i wswojej obecnej trzeciej wersji jest odporny na wszelkie znane ataki.

  • Ile miejsca potrzebujesz na swoje tajemnice?
  • Dobre hasło to połowa sukcesu. Ania1983 nie jest dobrym hasłem
[1/2] Ile miejsca potrzebujesz na swoje tajemnice?

W następnych krokach pozostaje nam podać rozmiar pliku-kontenera(minimalna wielkość zależy od użytego w nim systemu plików, dlawindowsowego NTFS to niecałe 4 MB) i ustawić hasło dostępowe, omaksymalnej długości do 64 znaków. To ono (z dodatkiem obecnej wsystemie losowości oraz kryptograficznej soli) posłuży dowygenerowania kluczy szyfrujących. Obok hasła możemy zastosowaćteż binarne pliki-klucze (przechowywane później następnie nanoszonym przy sobie pendrivie), ale uwaga – jeśli je uszkodzimylub stracimy, dostępu do zaszyfrowanego kontenera nigdy nieodzyskamy. Można tu też włączyć zwiększenie liczby iteracjiszyfujących (poprzez zaznaczenie pozycji „użyj MOI”).

Entropii dość, więc można formatować
Entropii dość, więc można formatować

Czas na sformatowanie wolumenu. Tutaj musimy zbudować pulęentropii, która zasili generator liczb pseudolosowych, jeżdżącprzez chwilę wskaźnikiem myszki po ekranie, a gdy wskaźniklosowości będzie już zielonym paskiem, wybrać z opcji systemplików (na Windowsach to FAT, NTFS i exFAT do wyboru), rozmiarklastra (można pozostawić domyślny) i włączyć tryb dynamiczny.Tryb taki sprawia, że początkowo plik-kontener będzie małychrozmiarów, rosnąc w miarę jego zapełniania, aż do maksymalnejustalonej na początku pojemności. Niestety zwalnia to odczuwalniedziałanie kontenera, jak również stanowi pewne zagrożenie dlabezpieczeństwa, więc lepiej z dynamicznego trybu nie korzystać.

Po kliknięciu Sformatuj rozpocznie się proces tworzeniakontenera, który zakończy komunikat Wolumen VeraCrypt zostałpomyślnie utworzony.

Praca z zaszyfrowanymi kontenerami

Stworzony w poprzednim kroku kontener możemy teraz podłączyćjako dysk wirtualny Windowsa. W tym celu na głównym ekranieVeraCryptu klikamy Wybierz plik i odnajdujemy plik w systemie.Następnie z widocznej u góry listy wolnych liter napędówdyskowych wybieramy tę, którą chcemy używać dla wirtualnegodysku (np. K: – jak kryptografia). Teraz pozostaje jedynie kliknąćprzycisk Podłącz.

Zaszyfrowany kontener jako dysk K: w systemie Windows
Zaszyfrowany kontener jako dysk K: w systemie Windows

W wyświetlonym oknie dialogowym będziemy musieli podać naszehasło. Z dostępnych tu opcji najważniejszą rolę spełniawykorzystanie plików-kluczy (o ile zastosowaliśmy je przy tworzeniukontenera), oraz przechowywanie haseł i kluczy w pamięci podręcznejna czas trwania sesji. Jeśli mamy kontenery stworzone za pomocąstarego TrueCrypta, trzeba jeszcze zaznaczyć Tryb TrueCrypt.

Podłączanie zaszyfrowanego wolumenu
Podłączanie zaszyfrowanego wolumenu

Przed kliknięciem OK warto zerknąć jeszcze do Opcji: tammożna ustawić podłączanie zaszyfrowanego kontenera jako wolumenutylko do odczytu, jako nośnika wymiennego, podać jego etykietę,jak też zarządzać mechanizmami obsługi wspomnianych jużwolumenów ukrytych.

Dane bezpiecznie zaszyfrowane, a jednak na wyciągnięcie ręki
Dane bezpiecznie zaszyfrowane, a jednak na wyciągnięcie ręki

Po podłączeniu kontenera sprawuje się on dokładnie tak samojak każdy inny dysk w systemie, dostępny dla menedżera plików czyokien dialogowych innych aplikacji. Z kontenera można bezpośrednioodtwarzać media (będą one odszyfrowywane dynamicznie w pamięci)jak i bezpośrednio do niego media zapisywać. Po zakończeniu pracynależy kontener odłączyć (przycisk Odłącz lub Odłączwszystko, jeśli mamy ich więcej), a następnie, dla bezpieczeństwa…wyłączyć komputer. Wyłączyć, a nie tylko uśpić z zapisaniemstanu do RAM, znane są bowiem dobrze metody, które pozwalają zaktywnej pamięci komputera wydobyć klucze szyfrujące.

Mam wszystko do ukrycia – co robić?

Zabezpieczenie wrażliwych plików w kontenerze VeraCryptu todobry pomysł… ale jest tu jeden problem. Otwierając pliki zszyfrowanego wirtualnego dysku nie jesteśmy w stanie zapewnić, żenic z nich nie wycieknie, że nic nie zostanie zapisane gdzieś wpliku cache na partycji systemowej, że programy z którychkorzystamy nie zachowają czegoś w swojej historii. Dlatego opróczzaszyfrowanych kontenerów bardzo ważne jest zadbanie o to, byzaszyfrowany był cały systemowy dysk. Dzięki temu nawet jeślinapastnik uzyska fizyczny dostęp do komputera, nie będzie mógłprzeprowadzić analizy jego zawartości – jedyne, czego się dowie,to fakt, że korzystamy z szyfrowania.

Szyfrowanie całego dysku, by nic nie wyciekło do niezaszyfrowanego świata
Szyfrowanie całego dysku, by nic nie wyciekło do niezaszyfrowanego świata

Szyfrowanie systemowego dysku zaczynamy od wybrania z menu Systempozycji Szyfruj partycję lub dysk systemowy… Uruchamia to kreatoratworzenia wolumenów VeraCrypt, w którym zaczniemy od Typu SystemuSzyfrowania. Pozostawmy opcję domyślną – normalny. W kolejnymkroku należy wybrać Obszar do zaszyfrowania. Pierwsza opcja wiążesię z zaszyfrowaniem systemowej partycji Windows, druga służy dozaszyfrowania całego dysku, ze wszystkimi występującymi na nimpartycjami. Dla większego bezpieczeństwa polecamy skorzystanie zdrugiej opcji.

W systemach z aktywnym mechanizmem UserAccount Control otrzymamy wówczas pytanie o zgodę wprowadzeniezmian przez VeraCrypt – oczywiście udzielamy jej. WówczasVeraCrypt zapyta, czy chcemy szyfrować Obszar Chroniony Hosta, czylimiejsca, do których system operacyjny zwykle nie ma dostępu, ale doktórego dostęp mieć mogą pewne programy. Tutaj ludzie wkapeluszach z folii aluminiowej powinni zaznaczyć Tak – chyba żekorzystają np. z macierzy RAID, czy mają gdzieś zaszyte specjalnenarzędzia diagnostyczne czy usługi przywracania systemu.

Następny krok to pytanie o liczbę systemów operacyjnych. Jeślikorzystacie tylko z Windowsa, wybierzcie pierwszą opcję (jedensystem), jeśli np. z Windowsa i Linuksa, skorzystać należy zdrugiej. Wtedy przyjdzie wybrać algorytm szyfrowania – dostępnesą tu takie same opcje jak przy tworzeniu szyfrowanych kontenerów(z AES jako domyślnym algorytmem), oraz algorytm funkcji skrótu(tym razem do wyboru jest stary RIPEMD-160 oraz SHA-256. Tak samo teżwyglądają opcje Hasła, z możliwością zastosowania plików-kluczyczy zwiększenia liczby iteracji (MOI). Podajemy więc mocne hasłodo zaszyfrowania całego dysku i w kolejnym kroku machając myszkąwypełniamy pulę entropii.

Więcej kluczy na razie nie potrzeba
Więcej kluczy na razie nie potrzeba

Tylko kilka kliknięć Dalej dzieli nas od rozpoczęcia operacji –VeraCrypt informuje, że wygenerował klucz nagłówka i kluczgłówny. Operacja nie zaczyna się jednak od szyfrowania, lecz odwypalenia płyty ratunkowej. Pomoże ona w sytuacji, gdy bootloader,główny klucz lub inne ważne dane zostały uszkodzone, lub też gdyuszkodzeniu uległ system operacyjny. Za jej pomocą osoba znającahasło (i dysponująca ewentualnymi plikami-kluczami) możeodszyfrować dysk z systemem. Będziemy też musieli wybrać trybwymazywania, mający pomóc w obronie przed atakami pozwalającymiodtworzyć nadpisane (wcześniej niezaszyfrowane) treści. Domyślniejest on dziś wyłączony, ale paranoicy mogą zastosować nawet35-przebiegowe czyszczenie metodą Gutmanna. Oczywiście wydłuży tocały proces.

Kto dzisiaj ma w komputerze nagrywarkę CD/DVD? Mimo że nośnikioptyczne odeszły już do lamusa, program wciąż domaga sięwypalenia płyty. Na szczęście mamy możliwość wygenerowaniaobrazu ISO, do zapisania go np. na pendrive.

Można już szyfrować, test przebiegł pomyślnie
Można już szyfrować, test przebiegł pomyślnie

Przed rozpoczęciem szyfrowania VeraCrypt przeprowadza jeszczetest szyfrowania, a następnie wyświetla ostrzeżenia o tym, żeinterfejs bootloadera może być tylko w języku angielskim iwyjaśnia, jak odtworzyć system po tym, gdyby jednak po zakończeniuoperacji nie udało się uruchomić Windowsa. Kliknięcie OK powodujerestart systemu i uruchomienie go w trybie specjalnym, w którymzobaczymy jedynie surową konsolę VeraCrypt Boot Loader.

Minimalistyczna konsola bootloadera: bez hasła nie przejdziesz
Minimalistyczna konsola bootloadera: bez hasła nie przejdziesz

Po wpisaniu hasła, weryfikacja trochę potrwa, a następnieWindows uruchomi się ponownie – niezaszyfrowane. O co chodzi? Tobył tylko test. Dopiero teraz, jeśli wszystko poszło dotąddobrze, można rozpocząć szyfrowanie, klikając Zaszyfruj.

  • Początek szyfrowania całego dysku
  • Osiem godzin później dysk jest zabezpieczony
[1/2] Początek szyfrowania całego dysku

Proces ten potrwać może nawet wiele godzin. W tym czasie możemywciąż pracować (choć spowolni to operację) albo odłożyćproces kreatora na później (przycisk Opóźnij). Bez obaw możemyteż w trakcie szyfrowania zamknąć komputer – po włączeniuproces wznowiony zostanie od miejsca, w którym go zakończyliśmy.

Tu jest tylko porno, przysięgam!

W wielu sytuacjach posiadanie zaszyfrowanego dysku może oznaczaćkłopoty. Lecicie do Stanów Zjednoczonych z zaszyfrowanym laptopem?Nie zdziwcie się, jeśli na lotnisku zostaniecie poproszeni owłączenie komputera, tak by pracownik TSA zobaczył przynajmniejzrozumiały dla niego pulpit Windows. Laptop służbowy, obowiązkowozaszyfrowany? Nie szkodzi, lepiej go odszyfrujcie, chyba że chcecienie zdążyć na samolot, spędzić godziny z niekonieczniesympatycznymi panami. A może spotkanie z brytyjską policją, którana wszelki wypadek sprawdzi, czy na komputerze nie masz nielegalnejpornografii? Odmowa wydania policji kluczy kryptograficznych jest wZjednoczonym Królestwie przestępstwem, za które niektórzy trafilijuż do więzienia.

Wiarygodne zaprzeczenie jest sposobem na to, by oszukaćnapastników, którzy przejęli komputer i są w stanie zażądaćwydania do niego kluczy – bo podstawowe badanie pokazuje im, żemają do czynienia z zaszyfrowanym dyskiem. Tak, dysk jestzaszyfrowany, ale tam nie ma nic ciekawego – wyznaje ofiara.Ukryłem tam tylko kilka filmów z panienkami, by się żonaprzypadkiem nie dowiedziała… proszę, zobaczcie sami.Hasło zostaje wydane, dysk zostaje odszyfrowany, w środkunapastnicy znajdują wspomniane filmy. Taktyka wędzonego śledzia,by przerwać trop gończych psów.

Struktura danych w normalnym kontenerze: wolne miejsce też jest zaszyfrowane
Struktura danych w normalnym kontenerze: wolne miejsce też jest zaszyfrowane

Gdyby jednak ofiara wydała inne hasło, oczom napastnikówukazałyby się zupełnie inne dane – być może ważne danefinansowe spółki, a może szczegółowe plany jakiegoś wynalazku?Te dane znajdowały się w ukrytym wolumenie, nieodróżnialnym odlosowego szumu, zanurzonym w normalnie widocznym zaszyfrowanymwolumenie. Jeśli implementacja wiarygodnego zaprzeczenia jestpoprawna, żadna analiza zawartości dysku nie wykaże istnieniatakiego wolumenu, losowość odkrytych danych uzasadniona jestbezpiecznym czyszczeniem przed szyfrowaniem.

Kontener z ukrytym wolumenem: dane zwykłe, dane ukryte i wolne miejsce są nieodróżnialne
Kontener z ukrytym wolumenem: dane zwykłe, dane ukryte i wolne miejsce są nieodróżnialne

VeraCrypt pozwala na takie ukrycie danych zarówno w zaszyfrowanejpartycji jak i w zaszyfrowanym kontenerze. W wypadku korzystania zaśz kompletnego szyfrowania dysków, pozwala na stworzenie ukrytejinstalacji systemu operacyjnego. Zacznijmy od kontenera, choćbydlatego, by zrobić sobie małą odskocznię i pokazać, jak działaVeraCrypt pod Linuksem.

VeraCrypt w wersji na Linuksa i Maka jest zubożony, przedewszystkim nie pozwala zaszyfrować całego dysku z systememoperacyjnym. Można go tam jednak potraktować jako dobre dopełnienienatywnych dla tych systemów mechanizmów szyfrowania, tj.LUKS/dm-crypt i FileVault 2. Pełna kompatybilność z wersją dlaWindowsów, podobieństwo interfejsu i możliwość łatwegotworzenia ukrytych wolumenów sprawiają, że narzędzie to powinnosię spodobać nie tylko użytkownikom „okienek”.

Schowani w kontenerze

VeraCrypt na Linuksie: interfejs nieco zubożony, możliwości też nie te
VeraCrypt na Linuksie: interfejs nieco zubożony, możliwości też nie te

Na głównym ekranie klikamy Utwórz wolumen, a następnie wybieramy Stwórzzaszyfrowany plik (magazyn) i Ukryty wolumen VeraCrypt. Podobnie jakw wypadku zwykłego szyfrowanego wolumenu wskazujemy lokalizację iopcje szyfrowania zewnętrznego wolumenu oraz jego rozmiar. Pozostajejeszcze poruszać trochę myszką podczas generowania odpowiedniejilości entropii – i zewnętrzny wolumen jest gotowy.

  • Opcje szyfrowania na zewnątrz
  • Ukryty wolumen na Linuksie
[1/2] Opcje szyfrowania na zewnątrz

Teraz zaczynają się różnice. W kolejnych krokach określimyszyfrowanie i rozmiar ukrytego wolumenu – rozmiar oczywiścietrochę mniejszy niż wolumenu zewnętrznego. Radzi się zastosowaćodmienny szyfr jak i hasło znacząco niepodobne do wcześniejużytego. Wybierzemy jeszcze opcje formatowania, ustawimy współpracęz innymi systemami operacyjnymi, pomachamy nieco myszą dowygenerowania entropii – i rozpoczniemy formatowanie.

  • Formatowanie ukrytego wolumenu
  • /dev/random nie wystarczy, też trzeba machać myszką
[1/2] Formatowanie ukrytego wolumenu

Kluczową kwestią przy korzystaniu z ukrytego wolumenu jestzadbanie o bezpieczeństwo zawartych na nim danych. Pamiętajmy, żepo podłączeniu zewnętrznego szyfrowanego wolumenu, VeraCrypt nicnie wie o istnieniu czegokolwiek innego. Wszelkie operacje prowadzonena zaszyfrowanym zewnętrznym wolumenie mogą doprowadzić douszkodzenia ukrytych danych.

By tego uniknąć, podczas montowania zaszyfrowanego wolumenu,zawierającego ukryte dane, należy w Opcjach podłączenia zaznaczyćpozycję Chroń wolumeny ukryte przed zniszczeniem i podać hasło doukrytego wolumenu. VeraCrypt podłączy go w trybie bezpiecznym,blokując zapis w miejscach przynależnych wolumenowi ukrytemu. Wten sposób możemy spokojnie wypełniać zewnętrzny wolumen danymimającymi odwrócić uwagę.

Ocal swoje sekrety, chroniąc ukryte wolumeny
Ocal swoje sekrety, chroniąc ukryte wolumeny

Podłączenie ukrytego wolumenu sprowadza się do wybraniapliku-kontenera i podania nie hasła otwierającego zewnętrznyszyfrowany wolumen, ale właśnie hasła do wolumenu ukrytego. Zajmieto nieco dłużej czasu, jednak po chwili VeraCrypt pokaże podpiętywolumen, o innym rozmiarze (i być może systemie szyfrowania) odzewnętrznego. Możemy z niego korzystać tak samo, jak z każdegozwykłego wolumenu szyfrowanego.

Ten sam plik konteneru, ale inny, ukryty wolumen
Ten sam plik konteneru, ale inny, ukryty wolumen

Ukryty system? Jaki system?

W analogiczny sposób VeraCrypt pozwala na zastosowaniewiarygodnego zaprzeczenia dla ukrycia całego systemu operacyjnego.Powstaje w ten sposób zaszyfrowany system operacyjny – przynęta,np. Windows 10, oraz zaszyfrowany i ukryty system operacyjny, którybędzie zawierał wrażliwe pliki, i którego istnienia w teorii niemożna dowieść. W ten sposób grożącemu użyciem siłynapastnikowi można śmiało wydać hasło do komputera, by mógłsię cieszyć oglądaniem naszej kolekcji pornografii i PIT-ów.

Należy jednak podkreślić, że rozwiązanie to nie gwarantujetotalnego bezpieczeństwa, co więcej może ściągnąć naużytkownika kłopoty. Znane są pracedotyczące informatycznych technik wykrycia istnienia ukrytychwolumenów, sceptycy zauważają też, że wykorzystanie programupozwalającego na wiarygodne zaprzeczenie wcale nie uodparniaużytkownika na kryptoanalizę za pomocą gumowej pałki. Napastnikmoże być przekonany, że gdzieś tam są ukryte dane, eskalująctechniki przesłuchania ofiary do poziomu tortur, a ofiara, nawetjeśli niczego nie ukryła, nie może tego w żaden sposóbudowodnić.

By ta taktyka się powiodła, kluczowe jest jednak korzystanie zsystemu-przynęty jak najczęściej, właściwie to przynęta powinnabyć systemem głównym, podczas gdy system ukryty używany byłbytylko do pracy z tymi wrażliwymi danymi. Nie należy się przy tymobawiać o uszkodzenie danych, zadba o to VeraCrypt. Jak to siędzieje – to już wyjaśnimy sobie w kolejnym artykule z tego cyklu,poświęconym zaawansowanym technikom szyfrowania danych na dysku.

Programy

Zobacz więcej
Komentarze (107)