VeraCrypt – шифрование файлов, папок и дисков — Проект SAFE
Инструменты
VeraCrypt – шифрование файлов, папок и дисков

Как надежно защитить и спрятать свои данные от чужих любопытных глаз

VeraCrypt умеет создавать защищенные (зашифрованные) "контейнеры". Физически такой контейнер выглядит как обычный файл, но с помощью VeraCrypt превращается в виртуальный диск. С этим диском можно работать так же, как с любым другим, в частности, создавать папки, копировать файлы. При записи файла на виртуальный диск VeraCrypt этот файл будет автоматически ("на лету") зашифрован, а при считывании, наоборот, расшифрован. Эти действия выполняются в фоновом режиме, незаметно для пользователя и не сказываются на скорости работы.

С помощью VeraCrypt можно зашифровать USB-флешку и даже весь жесткий диск (в том числе системный).

Данные, зашифрованные VeraCrypt, находятся под паролем. Он должен быть достаточно надежным.

Мы расскажем, как создать в контейнере VeraCrypt "двойное дно", чтобы обмануть даже самого продвинутого злоумышленника, не нарушая при этом никакие законы.

Версия программы, использованная в этом руководстве: 1.19
Последняя редакция этого текста: февраль 2017 г.

I. Загрузка и установка VeraCrypt

VeraCrypt – бесплатная кросс-платформенная программа с открытым кодом. Вы можете загрузить версии VeraCrypt для Windows, MacOS и Linux с официального сайта разработчика: https://veracrypt.codeplex.com/releases. В качестве примера мы будем использовать версию для Windows, предполагая, что пользователи MacOS и Linux сумеют действовать по аналогии.

1. Загрузите дистрибутив VeraCrypt (файл .exe) на свой компьютер.

2. Запустите дистрибутив. Появится окно с лицензионным соглашением.

Лицензионное соглашение

3. Поставьте галочку в поле "I accept the license terms" и нажмите кнопку "Next". Вы увидите окно с выбором режима установки.

Выбор режима установки

  • "Install". VeraCrypt будет установлен, как обычная программа Windows. Этот удобный режим подходит, если нет нужды скрывать сам факт наличия шифровальных средств на компьютере. Кроме того, это единственный выбор, если вы намереваетесь зашифровать системный диск.
  • "Extract". Архив VeraCrypt будет распакован в созданную вами папку. Вы получаете портативность: папку VeraCrypt можно перенести, например, на USB-флешку и запускать программу оттуда. Этот вариант более мобильный, к тому же подходит, если вы не хотите обнаруживать факт использования вами шифрования VeraCrypt. Он не годится, если вы намерены зашифровать системный диск.

Рассмотрим портативный вариант. Выберите "Extract" и нажмите кнопку "Next".

4. Пояснение об особенностях портативного режима. Нажмите кнопку "ОК".

5. Еще одно окно с объяснением, как работают драйверы VeraCrypt в портативном режиме. Нажмите "Да".

Выбор папки для установки VeraCrypt

6. Нужно выбрать папку для установки программы. (Помните, что это портативный вариант, поэтому папку впоследствии можно переименовать или перенести по вашему желанию). Сделайте это и нажмите кнопку "Extract".

7. После окончания распаковки вы увидите окошко с информацией об этом и единственной кнопкой "ОК". Нажмите ее.

8. Последнее окно установщика VeraCrypt – просьба поддержать разработчиков (кнопка "Donate now…"). Чтобы завершить мастер установки, нажмите кнопку "Finish".

II. Создание зашифрованного контейнера

VeraCrypt может организовать защиту ваших данных двумя способами: помещая их в защищенный контейнер или шифруя целиком весь диск. Начнем с первого способа.

1. Запустите программу. Если у вас 64-битная операционная система – файл VeraCrypt-x64.exe, если 32-битная – VeraCrypt.exe. Откроется основное рабочее окно программы.

Основное рабочее окно VeraCrypt

Если по каким-то причинам программа запустилась на английском языке, выберите в меню "Settings" пункт "Language" и, соответственно, русский язык.

2. Нажмите кнопку "Создать том". Откроется окно мастера создания томов VeraCrypt.

Мастер создания томов VeraCrypt

3. Оставьте пункт, выбранный по умолчанию – "Создать зашифрованный файловый контейнер". Нажмите кнопку "Далее". Откроется окно выбора типа тома.

Выбор типа тома VeraCrypt

4. Оставьте пункт по умолчанию – "Обычный том VeraCrypt". (О скрытом томе мы расскажем потом). Нажмите кнопку "Далее". Нам предстоит выбрать место для контейнера.

Размещение тома VeraCrypt

5. На этом этапе нужно выбрать место и название файла-контейнера. Не особенно переживайте по этому поводу: при необходимости файл можно переместить и переименовать. Нажмите кнопку "Файл…", выберите удобное место и придумайте название (любое) и нажмите кнопку "Сохранить". Убедитесь, что в поле "Не сохранять историю" установлена галочка (по умолчанию она должна там быть). Запомните, где находится этот файл и как называется. Нажмите кнопку "Далее".

Настройки шифрования VeraCrypt

6. Продвинутые пользователи могут почитать о том, какие алгоритмы шифрования использует VeraCrypt, и даже сделать выбор между ними. Мы же оставим все без изменений и нажмем кнопку "Далее", чтобы перейти к важному этапу: выбору размера тома.

Выбор размера тома VeraCrypt

7. Контейнер – как сундук, он ограничен в объеме, и этот объем мы задаем с самого начала. Советуем делать это с учетом важных файлов, которые вы собираетесь хранить внутри, лучше с запасом. Если впоследствии все-таки места не хватит, ничего страшного: всегда можно создать новый контейнер попросторнее. Выбрав размер, нажмите кнопку "Далее".

Пароль тома VeraCrypt

8. Настало время придумать пароль для защиты контейнера. Это очень важный пароль, и он должен быть по-настоящему надежным. (Позже мы покажем, как его можно сменить). Введите пароль дважды и нажмите кнопку "Далее". (Если пароль окажется, по мнению VeraCrypt, чересчур коротким, программа дополнительно сообщит об этом в небольшом окошке).

Форматирование тома VeraCrypt

9. Пора создать наш файловый контейнер. В открывшемся окне можно выбрать, в частности, файловую систему. Если вы не собираетесь размещать в контейнере особо крупные файлы (4 Гб и более), рекомендуем выбрать FAT (из соображений совместимости), если такие крупные файлы вам нужны, то NTFS. Остальные параметры лучше оставить нетронутыми. Перемещая курсор мыши внутри окна, вы "помогаете" программе собирать случайные данные и увеличиваете криптостойкость ключей (полоска в нижней части окна). Когда вам надоест толкать курсор по экрану, нажмите кнопку "Разметить" и понаблюдайте за индикатором в центре окна. После того, как этот индикатор станет полностью зеленым, возникнет окошко "Том VeraCrypt успешно создан".

Том VeraCrypt успешно создан

10. Нажмите "ОК", а затем "Выход", чтобы покинуть мастер создания томов.

Много шагов, да? К счастью, создавать контейнеры приходится не каждый день. На практике люди обычно создают один, реже два контейнера, и пользуются ими довольно долго – пока хватает места.

Может показаться, что ничего не изменилось. На экране то же окно VeraCrypt, что в самом начале. Это не совсем так: если вы воспользуетесь любым файловым менеджером (например, "Проводником"), то в указанной вами папке (шаг 5) найдете файл с выбранным вами именем и размером (шаг 7). Зашифрованный файл-контейнер создан. Чтобы им пользоваться, нужно его смонтировать.

III. Монтирование тома

Эту несложную процедуру понадобится проделывать всякий раз для подключения вашего зашифрованного контейнера (тома). Набив руку, вы обнаружите, что она почти не отнимает времени.

1. Запустите VeraCrypt, если вы этого еще не сделали.

2. Выберите в окне букву для будущего виртуального диска – любую, какая вам больше нравится.

3. Нажмите кнопку "Файл…" в правой части окна.

4. Отыщите папку и файл-контейнер, созданный ранее. (Предыдущий раздел, п.5).

5. Нажмите кнопку "Смонтировать" в левом нижнем углу окна.

Ввод пароля

6. В открывшемся маленьком окошке введите пароль. (Тот, который придумали в предыдущем разделе, п.8). VeraCrypt может попросить немножко подождать. Смонтированный том в программе VeraCrypt выглядит так:

Том VeraCrypt смонтирован

Если вы воспользуетесь файловым менеджером, то можете убедиться: в системе появился новый диск. Это виртуальный диск, с которым можно работать так же, как с любым другим диском. Попробуйте скопировать на этот диск парочку файлов и убедитесь, что все работает как надо.

Когда работа завершена, нужно размонтировать том. Для этого достаточно нажать кнопку "Размонтировать" в левом нижнем углу программы. Не забывайте делать это, не оставляйте том смонтированным, когда перезагружаете или выключаете компьютер.

IV. Смена пароля

1. Запустите VeraCrypt.

2. Нажмите кнопку "Файл…" в правой части окна и выберите файл с вашим зашифрованным контейнером.

3. В меню "Тома" (первый пункт) выберите пункт "Изменить пароль тома".

Изменение пароля

4. В окне "Изменение пароля или ключевых файлов" введите текущий пароль (вверху) и – дважды – новый пароль (ниже). Нажмите кнопку "ОК".

V. Создание скрытого тома

Предположим, обстоятельства сложились для вас неудачно: вас принуждают сдать пароль от вашего зашифрованного контейнера. (Может быть, вы удивитесь, но в законодательстве некоторых стран есть такая норма). VeraCrypt позволяет одновременно выполнить требования закона и сохранить конфиденциальность данных. В иностранной литературе этот принцип называется plausible deniability (приблизительный перевод – "легальный отказ").

Хитрость этого приема в том, что вы создаете в своем контейнере второе, секретное отделение. У него нет "выпирающих частей" или дополнительных входов. Представьте себе сейф, с виду обычный, с единственным кодовым замком, но не одним, а двумя кодами. При вводе первого кода открывается обычное отделение. При вводе второго кода – секретное. Вы можете пожертвовать первым кодом. Программа устроена так, что никаких технических возможностей доказать существование скрытого отделения (тома) не существует.

1. Запустите VeraCrypt.

2. Нажмите кнопку "Создать том". Откроется уже знакомый мастер создания томов.

3. Выберите "Создать зашифрованный файловый контейнер" (по умолчанию) и нажмите кнопку "Далее".

Выбор типа тома VeraCrypt

4. Выберите "Скрытый том VeraCrypt" и нажмите кнопку "Далее".

Выбор режима

5. Вам предлагаются два варианта. "Обычный режим" подразумевает создание защищенного контейнера "с нуля": сначала внешний том, затем скрытый. Если у вас уже есть том VeraCrypt (мы его создали в разделе II), можно выбрать "Прямой режим". Нажмите кнопку "Далее".

Выбор тома VeraCrypt

6. Отыщите на диске созданный ранее файл-контейнер и нажмите кнопку "Далее".

Пароль для внешнего тома VeraCrypt

7. Введите пароль внешнего тома (II.8) и нажмите "Далее". VeraCrypt может попросить вас немножко подождать.

8. Информационное окно – сообщение, что все готово для создания скрытого тома. "Далее".

Остальные шаги повторяют 6-10 в разделе II. Единственная разница в том, что вы не можете задать произвольный объем для скрытого тома – по понятным причинам он будет ограничен объемом внешнего тома.

Монтирование тома тоже осуществляется по шагам раздела III. В зависимости от того, какой пароль вы укажете на входе, будет смонтирован внешний или скрытый том. Вот как выглядит смонтированный скрытый том в основном рабочем окне VeraCrypt:

Скрытый том VeraCrypt смонтирован

Обратите внимание на значение "Скрытый" в столбце "Тип".

Работать с новым виртуальным диском скрытого тома можно так же, как и с виртуальным диском открытого тома.

Если вы прибегаете к созданию скрытого тома, советуем записать во внешний том какие-нибудь файлы – важные, но не конфиденциальные. Если злодей получит доступ к внешнему тому, он увидит, что тот имеет содержимое. Пустой внешний том выглядел бы подозрительно.

V. Шифрование диска

Иногда удобно зашифровать целый диск – например, флешку. Сделать это ничуть не сложнее, чем файл-контейнер.

Вы можете зашифровать диск с данными так, что все данные будут потеряны (быстрее) или сохранены (дольше). В нашем примере мы будем использовать пустую флешку. Процесс шифрования диска – однократный, но может понадобиться продолжительное время (в зависимости от объема диска).

1. Вставьте флешку в USB-порт компьютера. Если с флешкой все в порядке, система распознает ее как внешний носитель и присвоит ей букву.

2. Запустите VeraCrypt.

3. Нажмите кнопку "Создать том". Появится мастер создания томов.

Мастер создания томов VeraCrypt

4. Выберите пункт "Зашифровать несистемный раздел/диск". Нажмите кнопку "Далее".

5. Выберите "Обычный том VeraCrypt" и нажмите "Далее".

Выбор места

6. Нажмите кнопку "Устройство…". Появится список дисков.

Выбор раздела (устройства)

Выберите диск, который соответствует нашей флешке. Будьте осторожны, не перепутайте (особенно важно, если к компьютеру подключены две и более флешки). Нажмите кнопку "ОК", затем кнопку "Далее".

Выбор режима создания тома

7. На этом этапе нужно выбрать способ подготовки флешки. Первый вариант ("Создать и отформатировать зашифрованный том") означает, что флешка будет отформатирована, а все данные на ней утрачены. Это более быстрый способ. Второй вариант ("Зашифровать раздел на месте") подразумевает сохранение всех данных, но потребуется больше времени. Поскольку мы договорились, что флешка чистая, выберите первый вариант. Нажмите "Далее".

8. Знакомый этап – настройки шифрования. Оставляем все как есть и нажимаем "Далее".

9. Информация о размере тома (устройства). Здесь ничего не изменить – мы имеем дело с флешкой "как есть". Нажмите кнопку "Далее".

10. Придумывайте пароль и введите его в оба поля. Нажмите "Далее". Если VeraCrypt выразит недовольство насчет длины пароля, можете вернуться и рассмотреть более длинный вариант – или нажать кнопку "Да".

Нужны ли большие файлы

11. Планируете работать с файлами более 4 Гб? Вопрос связан с ограничением файловой системы FAT. Если оставите выбор по умолчанию ("Нет"), то при подготовке флешки будет использована система FAT — с ограничением, но более совместимая с разными устройствами. Если выберете "Да", будет предложена система exFAT. На следующем экране вы можете скорректировать выбор. Нажмите "Далее".

12. Дальнейшие шаги по подготовке флешки аналогичны шагам по созданию файлового контейнера.

Как работать с подготовленной флешкой? Вставьте ее в USB-порт. Операционная система сообщит, что диск не отформатирован, и предложит его отформатировать. Будьте осторожнее, не соглашайтесь.

Предупреждение о форматировании диска

Нажмите кнопку "Отмена" и действуйте так же, как с зашифрованными файловыми контейнерами. Откройте VeraCrypt, в главном окне программы нажмите кнопку "Устройство…", выберите диск и нажмите "ОК". Затем нажмите кнопку "Смонтировать". Если пароль верный, в системе появится новый диск – так, словно мы смонтировали файловый контейнер. Если же пароль ошибочный, вы увидите окошко "Неверный пароль, либо это не том VeraCrypt".

VI. Вопросы и ответы

ВОПРОС. Если я удалю программу VeraCrypt с компьютера, что станет с моими зашифрованными файловыми контейнерами и дисками?

ОТВЕТ. С ними ничего не произойдет. Все папки и файлы останутся зашифрованными. Вы сможете их расшифровать на любом компьютере, где есть VeraCrypt.

ВОПРОС. Все ли типы файлов можно шифровать?

ОТВЕТ. Да. Вы можете зашифровать любой файл: и текстовый документ, и электронную таблицу, и архив, и фотографию, и звуковой файл.

ВОПРОС. А программы?

ОТВЕТ. Да, и программы. Вы можете держать в зашифрованном контейнере целый набор портативных программ, например, текстовый редактор, просмотрщик фотографий, музыкальный проигрыватель, и так далее. Фактически, вы организуете собственное защищенное рабочее пространство.

ВОПРОС. Что если комбинировать разные программы защиты данных, например, VeraCrypt и KeePassX?

ОТВЕТ. Дополнительный уровень защиты – неплохая мысль. Базу паролей KeePassX (как и саму программу KeePassX) можно хранить в защищенном контейнере VeraCrypt. Или, наоборот, пароль к контейнеру или диску VeraCrypt – в базе KeePassX.

ВОПРОС. Я забыл пароль к файловому контейнеру (диску). Могу ли я как-нибудь восстановить пароль?

ОТВЕТ. Нет.

ВОПРОС. А не лучше ли замаскировать файл-контейнер под какой-нибудь другой формат, если дать ему соответствующее расширение? Например, звуковой файл, картинку или видео?

ОТВЕТ. Такая рекомендация встречается у экспертов по цифровой безопасности, но вряд ли это удачная идея. Во-первых, нужно быть достаточно информированным о форматах файлов, чтобы не попасть впросак. Например, "фотография JPEG" размером в 2Гб может вызвать подозрение, поскольку для этого формата не характерны столь большие размеры файлов. Во-вторых, злоумышленника может насторожить, что фотография (видео и др.) не открываются в соответствующих приложениях. В-третьих, файлы многих форматов имеют узнаваемые "сигнатуры": просмотрев начало такого файла в редакторе, можно убедиться, что ожидаемая сигнатура отсутствует. Лучше не маскировать ваш файл под распространенные форматы.

ВОПРОС. А сам VeraCrypt не оставляет в файле-контейнере свою "сигнатуру", по которой можно догадаться, что это – том VeraCrypt?

ОТВЕТ. Нет, не оставляет.

ВОПРОС. Почему бы не использовать динамические контейнеры, которые могут изменять размер? Записал больше файлов – контейнер автоматически "вырос". Ведь это удобно?

ОТВЕТ. Да, это удобно. Однако если злоумышленник имеет возможность наблюдать за изменениями файлов на диске, он может заметить, что некий файл постоянно меняет свой размер, и это способно вызвать дополнительные подозрения. Если вам нужен более емкий контейнер, создайте новый, большего объема, и перенесите в него данные обычным копированием.

ВОПРОС. Вы сказали, что злодей не может "на глаз" определить существование скрытого тома. Но ведь он может просто записывать данные во внешний том, а когда дойдет до конца, выяснится, что часть объема "куда-то делась" – это и будет признаком скрытого тома, разве нет?

ОТВЕТ. По умолчанию защита скрытого тома отсутствует. Это значит, что в описанном примере злодей будет записывать данные, пока не заполнит ими весь контейнер. Он не "споткнется" на какой-то границе. Конечно, данные скрытого тома при этом будут утрачены. Но мы исходим из того, что лучше их потерять, чем раскрыть злодею.

Версия для печати