Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Открыть новую тему     Написать ответ в эту тему

GREENcode

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чем зашифровать данные на диске

Текущая версия: 1.24-Update7 (от 7 августа 2020 г.)
Онлайн-документация | История версий

Бесплатная программа с открытым исходным кодом для шифрования данных «на лету» в компьютерах под управлением Windows, macOS и Linux.
VeraCrypt базируется на исходном коде программы TrueCrypt 7.1a, среди основных отличий — поддержка российской криптографии, увеличенное число итераций (более надёжное шифрование), поддержка шифрования EFI-систем. Поддерживаются тома и разделы, созданные с помощью TrueCrypt версий 6.x/7.x.


Подводные камни
Неактуальное (касающееся устаревших версий)

Всего записей: 455 | Зарегистр. 03-10-2015 | Отправлено: 20:12 31-01-2016 | Исправлено: gjf, 11:13 19-03-2021
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DimmY
Дык выяснили уже все. Вопрос в акцентах, долгого обсуждения не стоит.
Если старожилы посчитают нужным, можно добавить в шапку Предупреждение

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 20:34 07-01-2017 | Исправлено: emhanik, 20:46 07-01-2017
DimmY



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik
Если вы уверены в этой информации, то было бы полезно поделиться ею не только с посетителями данного форума, но и со всеми пользователями программы, то есть было бы правильным добавить это предупреждение в саму программу. Так что контакт с автором имеет самый прямой смысл.

Всего записей: 4142 | Зарегистр. 22-04-2002 | Отправлено: 21:01 07-01-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А как зашифровать весь комп под пароль? Это по дискам делается (у меня 2 физических) или можно разом всю машину?

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 09:25 13-01-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всю нельзя, если только это не аппаратный RAID
 
Можно зашифровать систему и второй диск подключать как System Favorite Volumes
https://veracrypt.codeplex.com/wikipage?title=System%20Favorite%20Volumes

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 12:17 13-01-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf
Мне надо просто закрыть весь комп, в том числе и от стороннего (a-ля LiveCD) доступа. Какой смысл закрывать только системный диск, если на втором находятся пользовательские данные?

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 16:31 13-01-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik
 
Зашифровать можно все, но чтоб не вводит пароль несколько раз(для каждого диска), то можно использовать  System Favorite Volumes

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 17:36 13-01-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf
Можешь последовательность действий расписать? Куда и в каком порядке жать, чтобы был один пароль на 2 диска. Как я понял нужно сперва зашифровать системный, а потом в этот том добавить второй диск или это сразу можно сделать?

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 10:44 17-01-2017 | Исправлено: Diabolik, 10:45 17-01-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Шифруются сначала система, потом диск с данными. Ключи у дисков будут разные. Важно - пароль должен быть одинаковый. Используя этот пароль от системного диска, после загрузки, происходит автоматическое монтирование System Favorite. VeraCrypt запускается как служба.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 11:15 17-01-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kavsrf
То есть мне нужно будет при загрузке 2 раза вводить пароль на каждый диск? Почему вообще ключи у диском должны быть разные? Что нельзя всю дисковую подсистему закрыть одним ключом?

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 18:10 17-01-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik
 
Ключи лежат в заголовке диска. Эти ключи зашифрованы на пароле.
 
Для автоматического монтирования пароль от системы и от диска с данными должны быть одинаковыми

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 18:19 17-01-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik
Давайте я по-простому скажу, чего делать)
Меню > Система > Зашифровать системный раздел/диск
Следуйте инструкциям
Если машина слабая, придумайте пароль из не менее 20 символов и установите PIM поменьше, можно 1. Если нет, PIM не меняйте.
 
Если у вас BIOS/MBR, то, скорее всего, проблем с загрузкой не будет.
Но если UEFI/GPT и используется Secure Boot, то:
- либо отключите Secure Boot;
- либо добавьте в Secure Boot ключ VeraCrypt. Для этого переключите Secure Boot в Setup/Custom Mode и запустите скрипт, потом верните Secure Boot. Не проверял, но, скорее всего, для запуска скрипта будет достаточно открыть командную строку от имени администратора и выполнить команду:
Код:
PowerShell.exe -ExecutionPolicy Bypass -File .\sb_set_siglists.ps1

 
Когда с шифрованием системы закончите, зашифруйте несистемный раздел/диск с тем же паролем и, если использовали, PIM'ом.
Чтобы лишняя буква не болталась в проводнике, запустите diskmgmt.msc > выбрать раздел > изменить букву > удалить. Теперь смонтируйте свежезашифрованный том на любую букву, можно на прежнюю. На нем в VeraCrypt контекстное меню > Добавить в системные избранные > включить опцию «Монтировать системные избранные тома при старте Windows».
 
И крайне желательно: Панель управления > Электропитание > Действие кнопок питания > отключить опцию Быстрого запуска

----------
Всем спасибо.

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 19:48 17-01-2017 | Исправлено: emhanik, 20:04 17-01-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik
У меня ноут с SSD на 128Gb и HDD на 1Tb. На борту i7 (6-ое поколение) и 8Gb оперативки. Естественно все в UEFI/GPT, как и должно быть на таком железе. Стоит параноидальная задача закрыть машину на совсем. То если она загибается, то данные умирают вместе с ней, без возможности восстановления. Мануал конечно жесть, чувствую нервишки вымотать придется.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 13:34 18-01-2017 | Исправлено: Diabolik, 13:37 18-01-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik
 
 

Цитата:
если она загибается, то данные умирают вместе с ней, без возможности восстановления. Мануал конечно жесть, чувствую нервишки вымотать придется.

 
Хорошее железо. Мануал - то, что есть. Монье делает как может.
 
VeraCrypt это скорее конструктор, как и любой open source. Работать может, но в процессе надо подкрутить.
 
Есть возможность привязать пароль к платформе. Чуть подробнее про возможности EFI загрузчика здесь
https://sourceforge.net/u/kavsrf/wiki/DcsInt/
https://sourceforge.net/u/kavsrf/wiki/DcsCfg/
 
Нужно отделить ключи шифрования от данных? Нужна скрытая ОС?  
 
Есть там TPM 1.2? Сделал недавно поддержку. В TPM может быть ключевой файл.
 
 

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 17:38 18-01-2017 | Исправлено: kavsrf, 17:38 18-01-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik
А есть какой-нибудь манул для тупых и желательно на русском? Потому что фраза о добавлении ключей в SecureBoot (по умолчанию он включен и я не хочу дефолтные настройки трогать) у меня вызывает ужас близкий к панике. У меня всего одна попытка зашифровать машину в данной конфигурации и сделать это надо правильно.
 
kavsrf
Скрытая ОС не нужна. Нужно сделать так, чтобы при загрузке вводился пароль и никаким другим способом (в том числе сторонним достпупом) получить доступ к системе и данным было невозможно. Если бы на ноуте был 1 диск и MBR наверно было бы намного проще, но работать приходится с тем что есть.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 12:37 22-01-2017 | Исправлено: Diabolik, 12:38 22-01-2017
Dart Raiden



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вышеописанным способом (шифрование системного раздела, шифрование остальных разделов с тем же паролем и добавление их в системные избранные) именно так и выйдет.  
 
SecureBoot таки проще отключить один раз, чем настраивать его ключи.
 
Сложностей никаких нет. Сначала зашифровать ОС, потом настроить по вкусу "Система > Установки" (например, можно имитировать надпись "Missing operating system" вместо интерфейса загрузчика, а пароль вводить вслепую - хотя, это обманет лишь профанов), отключить быструю загрузку, гибернацию. Погонять систему в таком виде. Если устраивает - зашифровать остальные разделы, как описано выше. При шифровании оставляйте по умолчанию все настройки, значений которых не знаете. Длина пароля - компромисс между паранойей и удобством. Лично мне хватает 40+ символов.

Всего записей: 4763 | Зарегистр. 20-10-2006 | Отправлено: 13:50 22-01-2017 | Исправлено: Dart Raiden, 14:03 22-01-2017
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik
Трогать Secure Boot придется в любом случае. Проще всего отключить.
 
Но добавить ключ не сильно сложнее: перевести в режим Setup/Custom Mode, а потом в Windows скачать архив, распаковать и запустить скрипт. Он сам все сделает, вам останется только включить Secure Boot обратно.
 
Единственная тонкость: по умолчанию запрещен запуск скриптов PowerShell. Это вопрос гуглится на раз, я предложил, кажется, простейший вариант:
запустить командную строку от администратора и выполнить

Код:
cd /d "путь к папке\src\Boot\EFI"
PowerShell.exe -ExecutionPolicy Bypass -File .\sb_set_siglists.ps1

 
Признаюсь, исчезающе мало смыслю в теме, просто сделал по инструкции, и оно сработало.
 
Кстати, вопрос к компетентным: правильно ли я понял, что в случае EFI зашифровать целый диск вообще невозможно, поскольку нужно оставить незашифрованным EFI-раздел? (Т.е. в случае EFI несистемные тома придется шифровать отдельно и добавлять в системноизбранные)
 
Dart Raiden 13:50 22-01-2017
Цитата:
Лично мне хватает 40+ символов.

Ой

Всего записей: 877 | Зарегистр. 18-12-2011 | Отправлено: 14:34 22-01-2017 | Исправлено: emhanik, 14:39 22-01-2017
kavsrf

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emhanik

Цитата:
Кстати, вопрос к компетентным: правильно ли я понял, что в случае EFI зашифровать целый диск вообще невозможно, поскольку нужно оставить незашифрованным EFI-раздел?  

 
Зашифровать можно все кроме EFI раздела и таблицы разделов (начало и конец диска). Автомат такой настройки не сделан. Можно через довольно сложную процедуру с настройкой из EFI shell. Еще это позволит отделить ключи от зашифрованных данных.
 

Цитата:
Т.е. в случае EFI несистемные тома придется шифровать отдельно и добавлять в системноизбранные

 
Пока только так.
 
Dart Raiden

Цитата:
SecureBoot таки проще отключить один раз, чем настраивать его ключи.  

SecureBoot это просто RSA подпись для модулей EFI, для защиты от всяких бут логеров пароля при включении. В стандарте лежат два сертифика от винды и от шим. Скрипт добаляет третий от dcs.

Всего записей: 276 | Зарегистр. 06-10-2016 | Отправлено: 17:33 22-01-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik

Цитата:
Скрытая ОС не нужна. Нужно сделать так, чтобы при загрузке вводился пароль и никаким другим способом (в том числе сторонним достпупом) получить доступ к системе и данным было невозможно. Если бы на ноуте был 1 диск и MBR наверно было бы намного проще, но работать приходится с тем что есть.
Используйте лучше билокер - разобраться там можно гораздо легче, работает всё надёжно и быстро и секуребут тоже работает без лишних телодвижений.
 
emhanik

Цитата:
правильно ли я понял, что в случае EFI зашифровать целый диск вообще невозможно, поскольку нужно оставить незашифрованным EFI-раздел?
Да.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 17:55 22-01-2017
Diabolik



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WildGoblin
Цитата:
Используйте лучше билокер - разобраться там можно гораздо легче, работает всё надёжно и быстро и секуребут тоже работает без лишних телодвижений.  
Быстрее может быть, но вот надежность под вопросом. Да и как быть с 2 дисками? Что их в 1 том там можно загнать? Он же тоже вроде по-дисково шифрует.

Всего записей: 4646 | Зарегистр. 02-10-2004 | Отправлено: 22:36 22-01-2017 | Исправлено: Diabolik, 22:37 22-01-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Diabolik

Цитата:
Быстрее может быть, но вот надежность под вопросом.
Вот к этому как раз никаких вопросов.

Цитата:
Да и как быть с 2 дисками? Что их в 1 том там можно загнать? Он же тоже вроде по-дисково шифрует.
По-дисково, но на не системном диске можно включить автомонтирование.
 
P.S. Лучше в соответствующем топике это обсуждать.

Всего записей: 20417 | Зарегистр. 15-09-2001 | Отправлено: 12:53 23-01-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

Компьютерный форум Ru.Board » Компьютеры » Программы » VeraCrypt


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru