Создание зашифрованного контейнера VeraCrypt в Linux

Создание зашифрованного контейнера VeraCrypt в Linux

Введение


В продолжении цикла статей про безопасность, хочу логически перейти к такому важному моменту как шифрование файлов. У каждого есть личная информация, которую не хочется хранить на компьютере в не защищенном виде.
Например, отсканированная копия вашего паспорта, водительских прав, СНИЛС или других документов, личные фотографии, важные документы. Примеров много, каждый сам для себя решает, какие данные он хочет защитить. Способов защитится масса, но в этой статье рассмотрим как это сделать в программном обеспечении VeraCrypt.

Немного о ПО. VeraCrypt – это открытое ПО, которое является форком знаменитого TrueCrypt (печальная история, почитайте, оно того стоит), распространяется по лицензии Apache License 2.0. Про историю и на что способна программа, отлично написано на википедии. Дублировать сюда смысла не вижу. И так начнем.

 

Создание контейнера


Сразу обращаю ваше внимание, создать контейнер может только пользователь, который является администратором. В конце процесса создания контейнера, у вас спросят пароль для sudo. Имейте в виду.
Запускаем VeraCrypt. Начнем создание зашифрованного контейнера.

Volumes > Create New Volume…

Создание зашифрованного контейнера VeraCrypt
В открывшимся окне выбираем первый пункт “Create an encrypted file container” — Создать зашифрованный файл контейнер.

Пункт «Create a volume within a partition/drive» нужен для шифрования разделов дисков и самих дисков целиком: жестких дисков, usb-флешек и т.д. Подробно как создать зашифровать флешку, раздел диска и сам диск я напишу в другой статье.
Создание зашифрованного контейнера VeraCrypt

Переходим в раздел Volume Type, здесь мы выбираем тип контейнера «Standard VeraCrypt Volume».
Второй тип под названием «Hidden VeraCrypt Volume» создает скрытый контейнер, о том как он работает и как его создать, будет отдельная статья, а сейчас мы создаем стандартный контейнер.
Создание зашифрованного контейнера VeraCrypt
Далее мы окажемся в разделе Volume Location, в нем мы укажем где мы сохраним контейнер. Пишем путь в ручную или жмем “Select File…” и в открывшимся окне файлового менеджера указываем путь.
Создание зашифрованного контейнера VeraCrypt
Определившись с расположением контейнера, мы переходим в раздел Encryption Options. Здесь мы выбираем алгоритм шифрования и алгоритм хэш-функции.
По умолчанию используется шифрование AES и хэш-функция SHA-512, это серьезная защита для наших данных, однако возможно выбрать более защищенную связку алгоритмов шифрования.
Создание шифрованного контейнера VeraCrypt
Например, AES(Twofish(Serpent)). Выбрав этот вариант наш контейнер будет каскадно зашифрован тремя алгоритмами шифрования. Каждый блок данных сначала будет зашифрован алгоритмом Serpent 256-битным ключем, потом эти зашифрованные блоки будут зашифрованы алгоритмом Twofish 256-битным ключем и в конце снова будут зашифрованы алгоритмом AES 256-битным ключем. Круто, да? Ниже схема для наглядного понимания.
Каскадный алгоритм шифрования

В следующем разделе Volume Size указываем размер контейнера. Размер можно указывать в KB, MB и GB. Определяемся с размером и идем далее.
Создание шифрованного контейнера VeraCrypt
Раздел Volume Password. Из названия ясно, что здесь будем указывать парольную фразу. Рекомендую создавать пароль минимум из 26 символов, с цифрами, заглавными буквами и спец символами.
Создание шифрованного контейнера VeraCrypt
Обратите внимание на пункт “Use PIM”. Его значение по умолчанию — 485, этого нам ххватит. Возможно указать значение как больше так и меньше, но:
— Значение больше 485 замедлит монтирование.
— Значение меньше 485 ускорит его, однако это отразиться на ббезопасности. Также обратите внимание, что если ваш пароль меньше 20 символов, значение меньше 485 также сильно ударит по вашей безопасности.

Например, я поставил значение 525 на скрине ниже.
Создание шифрованного контейнера VeraCrypt
Так же важным пунктом является “Use keyfiles”. Выбрав этот пункт и нажав “Keyfiles…” на откроется окно для работы с ключами. Здесь мы можем выбрать в качестве ключа любой файл, например фотографию в jpeg или музыкальный трек в формате mp3 или сгенерировать файл-ключ с случайными данными.
Создание шифрованного контейнера VeraCrypt
Для генерации файла ключа кликаем “Generate Random Keyfile…”, в открывшемся окне выбираем размер ключа в байтах (от 64 байт), имя для него и начинаем водить мышкой в этом окне, пока не заполнится шкала “Randomness Collected From Mouse Movements”. Жмем “Generate and Save Keyfile…”, выбираем куда сохранить готовый ключ, а после закрываем окно генерации. Нас вернуло в окно работы с ключами. Теперь мы можем нажать “Add Files…” и добавить наш сгенерированный ключ.
Создание шифрованного контейнера VeraCrypt
Подумайте какие широкие возможности у VeraCrypt при работе с ключами.

Например, мы создаем том со сложной парольной фразой, используем PIM и файлы-ключи. Сложный пароль защитит от атаки подбора паролей (брутфорс-атака), даже подобрав пароль для расшифровки нужно знать еще и значение PIM. Предположим и парольная фраза и PIM каким-то способом были скомпрометированны, контейнер все равно не расшифровать без файлов-ключей, которым(ми) может быть все что угодно, ведь ключей может быть несколько. Мы можем выбрать музыкальный трек на компьютере в качестве ключа и он потеряется в большом количестве других треков, при этом сгенерировать ключ и хранить его на флешке. Для расшифровки уже нужна будет флешка, которую вы например всегда носите с собой (правда утеря этой флешки будет печальным происшествием 🙂 ). Или например ключ может лежать на удаленном сервере и перед расшифровкой тома, вы монтируете к себе в систему удаленный каталог с этом ключем. Вариантов масса, все зависит от вашей фантазии и если в большинстве случаев реально такие средства излишни, то создать контейнер с такой сложно системой расшифровки просто интересно. Каждый решит для себя. В скрине ниже, я выбрал в качестве ключа картинку со своего жесткого диска и сгенерированный ключ, который расположен на usb-флэшке.

Переходим в раздел Format Options. Здесь нужно будет выбрать файловую систему. Доступны файловые системы Windows: FAT, exFAT и NTFS; и файловые системы системы Linux, точне разные версии файловой системы EXT: EXT2, EXT3, EXT4. Пользуюсь я только Linux поэтому выставляю “Linux Ext4”. Выбирая EXT имейте в виду, что если вы планируете расшифровывать контейнер также и в ОС Windows, то эта файловая система не подходит.
Создание шифрованного контейнера VeraCrypt
Если мы выбрали любую файловую систему, кроме FAT, то мы перейдем в раздел Cross-Platform Support, где нас попросят указать хотим ли мы монтировать том на других платформах кроме Linux или только на Linux. Выбрав пункт “I will mount the volume on other platforms” нам любезно укажут на то, что другие системы могут не поддерживать выбранную файловую систему и порекомендуют выбрать FAT.
Создание шифрованного контейнера VeraCrypt
Мы же выбираем “I will mount the volume only on Linux”
Создание шифрованного контейнера VeraCrypt
Остался последний раздел Volume Format. Где происходит генерация нашего контейнера. Сначала вводим мышкой пока не заполнится шкала “Randomness Collected From Mouse Movements” и жмем “Format”. И начнется запись файла контейнера.
Создание шифрованного контейнера VeraCrypt
В конце у нас спросят пароль администратора, о чем я писал в самом начале.
Создание шифрованного контейнера VeraCrypt
И наконец мы увидим заветное окно с текстом “The VeraCrypt volume has been successfully created.”
Создание шифрованного контейнера VeraCrypt
Все. Контейнер готов. В окне нам будут предлагать создать еще один, но мы жмем “Exit…”.

Теперь давайте смонтируем контейнер.
В главном меню VeraCrypt выбираем свободный слот, жмем “Select File…” выбираем наш контейнер и жмем “Mount”. В открывшемся окне вводим парольную фразу, значение PIM и выбираем файл-ключи. Жмем “ОК”.
Монтирование контейнера veracrypt в linux
При монтирование всегда спрашивает пароль администратора, однако если вы его уже вводили в текущей сессии, то в зависимости от настроек вашей системы, пароль второй раз вводить не придется.
Чтобы размонтировать контейнер, выбираем слот с смонтированным контейнером и жмем “Dismount…”
Монтирование контейнера veracrypt в linux
На этом все. Спасибо за изучение этой статьи. Надеюсь она была полезна!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *