Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Czym jest VeraCrypt? Kompleksowy poradnik dotyczący szyfrowania dysków

04 czerwca 2021, 12:21 | W biegu | komentarze 24

Słowem wstępu przypominamy, że na sekuraku ostatnio opublikowaliśmy już kilka poradników dotyczących prywatności oraz bezpieczeństwa danych:

  • Jak używać Bitwardena? Kompleksowy poradnik używania tego bezpłatnego menedżera haseł.
  • Czym jest komunikator Signal? Jakie bezpieczeństwo zapewnia? Jak z niego korzystać?
  • Prywatność korespondencji, czyli o Tutanota słów kilka…

Tym razem omówimy program VeraCrypt: jego instalację oraz konfigurację, kwestie związane z bezpieczeństwem poszczególnych opcji oraz znane sposoby ataków.

Czym jest VeraCrypt?

VeraCrypt to otwartoźródłowe narzędzie używane do szyfrowania danych. Pozwala na szyfrowanie całych dysków, partycji, przenośnych dysków USB oraz na tworzenie wirtualnych zaszyfrowanych dysków o określonej pojemności. VeraCrypt jest forkiem nie rozwijanego już programu TrueCrypt.

Umożliwia szyfrowania za pomocą algorytmów: AES, Camellia, Kuznyechik, Serpent i Twofish, a także szyfrowanie wielokrotnie przy pomocy: AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES, Twofish-Serpent.

W VeraCrypt dostępnych jest pięć funkcji haszujących: RIPEMD-160, SHA-256, SHA-512, Whirlpool i Streebog.

Dlaczego warto korzystać z narzędzia VeraCrypt?

Znaczna część społeczeństwa dalej tkwi w fałszywym przekonaniu, że korzystanie z narzędzi takich jak szyfrowane komunikatory (np. Signal), szyfrowanie dysku (np. VeraCrypt) czy z wirtualnej sieci prywatnej (np. OpenVPN) jest domeną tylko i wyłącznie przestępców. Edward Snowden, jeden z najbardziej rozpoznawalnych sygnalistów i obrońców prywatności, skwitował tego typu myślenie:

“Arguing that you don’t care about the right to privacy because you have nothing to hide is no different than saying you don’t care about free speech because you have nothing to say. “

Tworzenie narracji, że prywatność jest domeną przestępców, jest na rękę większym korporacjom czy organom ścigania, którym niejednokrotnie “zdarza się” wykorzystywać informacje z naszej prywatnej przestrzeni do nieetycznych celów:

  • Polska: Policjant sprzedawał poufne dane.
  • Facebook ma dostać maksymalną karę za „data breach” – sprawa Cambridge  Analytica.
  • Udostępniono za darmo bazę ~533 milionów użytkowników Facebooka (w tym ~2,7 milionów z Polski).

Oczywiście to tylko losowo wybrane przykłady, gdyż tego typu incydentów było bardzo dużo. VeraCrypt służy do ochrony danych (np. filmów, zdjęć, dokumentów, kodów źródłowych, portfeli kryptowalutowych, umów, aktów prawnych itd). 

Po co? Przywołajmy kilka “życiowych przykładów” użycia szyfrowania dysku:

  • Polska: Chcieli porwać inwestora i zażądać 300 mln zł okupu (Pan inwestor mógł się zabezpieczyć opcją “ukrytego dysku” w VeraCrypt. Jednocześnie tak zabezpieczony portfel kryptowalutowy [wallet.dat] jest bezpieczniejszy niż portfele online).
  • TrueCrypt i historia pewnego użytkownika Reddita.
  • Historia Kevina Mitnicka.

Generalnie szyfrowanie danych w szczególności może się okazać istotne dla:

  • prezesów firm, przede wszystkim tych, którymi mogą interesować się grupy APT (np. obszar medycyny czy technologii wojskowej),
  • dyplomatów czy urzędników państwowych,
  • przedstawicieli organów ścigania,
  • pracowników firm z list Fortune 500 (i im podobnych),
  • dziennikarzy (szczególnie dziennikarzy śledczych),
  • psychologów i psychiatrów,
  • adwokatów,
  • polityków,
  • aktywistów.

Oczywiście taka lista mogłaby być znacznie dłuższa. 

Jeśli kiedykolwiek spotkasz kogoś, kto twierdzi że “nie ma nic do ukrycia”, proszę, podeślij mu ten artykuł…

VeraCrypt: instalacja

Wchodzimy na oficjalną stronę VeraCrypt, a następnie klikamy w zakładkę “Downloads”:

Następnie wybieramy instalator odpowiednio dla naszego systemu. W moim przypadku będzie to “Installer for Windows 8 and later”:

Po pobraniu instalatora VeraCrypt, możemy opcjonalnie sprawdzić autentyczność instalatora, korzystając chociażby z oprogramowania Gpg4win:

Teraz wystarczy podwójnie kliknąć plik .asc (klucz publiczny) VeraCrypt:

Najpierw musimy jednak utworzyć certyfikat OpenPGP dla siebie:

Następnie oznaczamy certyfikat “VeraCrypt Team” statusem “godny zaufania”, klikając “Certyfikuj”:

Aby sprawdzić autentyczność instalatora, musimy dwukrotnie kliknąć plik jego sygnatury:

Sprawdzenie autentyczności przebiegło pomyślnie:

Teraz możemy już z czystym sumieniem uruchomić nasz instalator:

Wybieramy język, a następnie klikamy w “OK”:

Po zapoznaniu się z licencją, zaznaczamy “I accept the license term” i klikamy w “Dalej”:

Opcja “Zainstaluj” w naszym przypadku jest odpowiednia, więc ponownie wybieramy “Dalej”:

Następnie wybieramy lokalizację, w której chcemy zainstalować VeraCrypt, po czym klikamy w “Zainstaluj”:

Instalacja nie powinna zająć więcej, niż kilka minut:

Po jej zakończeniu, klikamy w “OK”:

Teraz wystarczy jeszcze kliknąć w “Zakończ”. Warto dodać, że istnieje opcja wspierania twórców VeraCrypt za pomocą dotacji:

Teraz wyświetli się komunikat dotyczący pierwszego uruchomienia VeraCrypt. Jeśli zdecydujemy się na wybranie opcji “Tak”, to zostaniemy przeniesieni do poradnika z oficjalnej strony. Jest on jednak dość powierzchowny i jedynie w wersji angielskiej, dlatego wybieram opcję “Nie”:

Teraz część z Was może otrzymać taki oto komunikat:

Ponieważ jesteśmy dopiero w trakcie instalacji, wchodzenie w szczegóły dotyczące treści komunikatu nie ma większego sensu (więcej na temat zagrożenia płynącego z “Szybkiego uruchamiania Windows” znajdziesz tutaj). Ufamy oprogramowaniu i klikamy “Tak”:

Po wybraniu opcji “Tak”,  VeraCrypt prosi o potwierdzenie ponownego uruchomienia komputera:

Po restarcie komputera możemy uruchomić program:

Tak prezentuje się interfejs zainstalowanego VeraCrypta. Jeśli przytłacza Cię mnogość opcji, nie martw się, bo większość z nich jest jedynie “laniem wody”, a w dalszej części poradnika dowiesz się, co tak naprawdę jest istotne.

VeraCrypt: prawidłowa konfiguracja i użytkowanie

Zacznijmy od utworzenia wolumenu (utworzenie “wirtualnej” partycji dysku lub zaszyfrowanie istniejącej już partycji):

Wywołujemy w ten sposób “Kreatora tworzenia wolumenów”:

Jest to jeden z ważniejszych momentów, gdyż każda opcja ma swoje wady i zalety:

  • “Stwórz zaszyfrowany plik (magazyn)” – tworzy “dysk wirtualny” w postaci zaszyfrowanego pliku. 
  • “Zaszyfruj bezsystemową partycję lub dysk” – będzie potrzebne do szyfrowania istniejącej już partycji, w tym dysków zewnętrznych (np. na dysku flash).
  • “Zaszyfruj partycję lub cały dysk systemowy” – użyjemy do szyfrowania całego systemu. Ta opcja zapewnia najwyższy poziom prywatności i bezpieczeństwa, ponieważ wszystkie pliki, w tym wszelkie pliki tymczasowe tworzone przez system Windows i aplikacje na partycji systemowej (zazwyczaj bez Twojej wiedzy i zgody), pliki hibernacji, pliki wymiany itp. są zawsze zaszyfrowane. System Windows rejestruje również duże ilości potencjalnie wrażliwych danych, takich jak nazwy i lokalizacje otwieranych plików, uruchamiane aplikacje itp. W przypadku opcji “szyfrowania systemu”, wyżej wspomniane wrażliwe dane również zostaną zaszyfrowane. Opcja ta jest jednak najmniej wygodna z wyżej wymienionych i używając jej, w niektórych przypadkach, możesz odczuć spadek wydajności podczas codziennej pracy lub narazić się na inne problemy, w tym utratę dostępu do swoich danych. My zalecamy korzystanie z tej opcji wyłącznie użytkownikom zaawansowanym technicznie.

Tu szczegółowo omówimy opcję pierwszą i drugą, choć w wypadku opcji trzeciej, schemat postępowania jest identyczny. 

Tworzenie zaszyfrowanego pliku (magazynu)

Po dokonaniu wyboru, klikamy w przycisk “Dalej”. Tym razem VeraCrypt poprosi o wybranie typu wolumenu. Wybieram opcję “standardową”, choć w dalszej części poradnika utworzymy również wolumen ukryty:

Teraz musimy określić “lokalizację wolumenu”. Klikamy przycisk “wybierz plik”:

Dochodzimy do  dość “podchwytliwej” części, którą należy dobrze zrozumieć i przyswoić. Część osób może pomyśleć, że VeraCrypt prosi o wskazanie pliku do zaszyfrowania. Błąd. Program prosi o wybranie ścieżki oraz nazwy wolumenu, czyli w przypadku omawianej opcji (pierwszej), specjalnego pliku VeraCrypt, w którym będą przechowywane szyfrowane dane. Wskazanie pliku do “zaszyfrowania” skończyłoby się jego usunięciem!

Po wybraniu nazwy pliku (wolumenu), klikamy w “Zapisz”, a następnie wybieramy przycisk “Dalej”:

Kolejna ważna rzecz – algorytm szyfrowania. Jest to główna “bariera” przed atakami brute force, dlatego odpowiedni wybór jest ważny. Standardową (domyślną) opcją jest AES oraz algorytm mieszający SHA-512:

Jest to wybór domyślny nie bez powodu. To znany i bezpieczny algorytm, przy którego użyciu nie tracimy za bardzo na wydajności. Warto jednak wziąć pod uwagę, że obecnie perspektywa wynajęcia w chmurze 10 tysięcy maszyn próbujących złamać nasze hasło nie jest wcale nieprawdopodobna, choć tego typu działania byłyby prowadzone raczej przez organy ścigania, firmy trzecie, ewentualnie bardziej wyrafinowane grupy przestępcze lub przez wywiad / kontrwywiad obcych państw. Warto więc zastanowić się nad wyborem, dającym nam większą przewagę w walce z metodą brute force. 

Kombinacją, którą możemy polecić, jest szyfrowanie kaskadowe AES-Twofish-Serpent i Whirlpool:

Dlaczego akurat taka kombinacja?

  • W dużym uproszczeniu: dane są szyfrowane jednym algorytmem, a następnie dane wyjściowe są szyfrowane drugim algorytmem, którego dane wyjściowe są szyfrowane kolejnym, trzecim algorytmem. Nawet jeśli w jednym (lub dwóch) z tych szyfrów zostanie znaleziona luka, twoje dane nadal powinny być bezpieczne.
  • Whirlpool jako algorytm mieszający w kontekście bezpieczeństwa można stawiać na równi z SHA-512. Jedyną małą, acz istotną różnicą jest fakt, że SHA-512 zostało zaprojektowane przez NSA, więc dla niektórych użytkowników może to być jego wadą.
  • Aby atak brute force miał sens, atakujący musi znać algorytm szyfrowania. Większość programów próbuje domyślną kombinację AES + SHA-512. Z tego względu oraz z powodu samej specyfikacji szyfrowania kaskadowego, wydłużamy w ten sposób czas potrzebny do potencjalnego “odszyfrowania” dysku.
  • Szyfrowanie kaskadowe może jednak odbić się na wydajności pracy w takim środowisku, zwłaszcza w przypadku szyfrowania całego systemu.

Gdy dokonaliśmy już wyboru, klikamy w przycisk “Dalej”. Teraz musimy wybrać rozmiar naszego wolumenu:

Dla testu wybrałem 5 GB, choć każdy może zdecydować się na inną wielkość w zależności od wielkości i liczby plików, które chcemy przechowywać w danym wolumenie. Następnie klikamy w “Dalej”:

Dotarliśmy do jednego z ważniejszych momentów – ustawiania hasła. Od silnego hasła zależy bezpieczeństwo naszych danych i powinno ono być jak najdłuższe. Domyślnie w  VeraCrypt hasło powinno zawierać więcej niż 20 znaków, a jego maksymalna długość to 128 znaków. Choć każda metoda, która zapewni odpowiednią siłę hasła jest dobra, to tu zaproponujemy dość nietypowe podejście:

  • Pierwszą część hasła (minimum 20 znaków) możemy utworzyć przykładowo za pomocą losowych słów i zdań w języku ojczystym, np:

okowa-blat-mikser-koniec-szczyt-rdza-szumny-ptak-twarz-powstanie

Co daje nam następujące hasło: obmksrsptp

Michał Bentkowski zaprezentował już Czytelnikom sekuraka inną, ciekawą metodę:

tyle-nauki-lękał-się-by-nie-został-pośmiewiska-celem-i-jąkał-się-jak-żaczek-przed-nauczycielem-szczęściem-że-nauczyciel-ładny-i-niesrogi-odgadnęła-sąsiadka-powód-jego, co daje nami 26 znaków. Plusem tej metody jest fakt, że możemy wygenerować dosyć długie hasło, a jego zapamiętanie jest banalne. Dodatkowo, gdy zapomnimy tak ustalone hasło, to funkcję “odzyskaj hasło” pełni książka ;)

  • Gdy wygenerowaliśmy już “główny trzon” hasła wolumenu, możemy je teraz urozmaicić i wydłużyć. Dla przykładu, możemy wygenerować i zapisać hasło w menedżerze haseł:

A następnie wykorzystać je do utworzenia konta w mniej istotnym dla nas serwisie, np. na portalu do zamawiania jedzenia:

Hasło takie możemy wykorzystać jako kolejny “człon” hasła wolumenu.

  • Na koniec możemy też skorzystać z naszego starego, zazwyczaj mniej skomplikowanego hasła, np. Sekurak155.

O to jak prezentuje się ostateczne hasło, stworzone w trzech powyższych krokach:

tnlsbnzpcijsjżpnsżnłinospjZpe^QUNf58V4buHfXYRJ&ZchJwC&6ESekurak155 – 67 znaków

Oczywiście inną, prawdopodobnie bardziej bezpieczną metodą, może być wygenerowanie 128 znakowego hasła zaufanym generatorem haseł (działającym offline), a następnie zapisanie go na kartce, którą w razie problemów, możemy po prostu zniszczyć. W tym przypadku musimy poświęcić więcej uwagi poprawnemu zapisaniu hasła oraz stworzeniu “backupu” naszej kartki i ukryciu jej w bezpiecznym miejscu, inaczej narażamy się na bezpowrotną utratę dostępu do zaszyfrowanych danych.  

Tak utworzone hasło wpisujemy w odpowiednie pola, zaznaczamy opcję “PIM” i klikamy w przycisk “Dalej”:

PIM (Personal Iterations Multiplier) jest kolejnym zabezpieczeniem (obok hasła), które jeszcze bardziej utrudnia złamanie hasła metodą brute force. Gdybyśmy nie zdecydowali się na opcję “Użyj PIM”, jego domyślna wartość wynosiłaby ~ 485 dla  “Stwórz zaszyfrowany plik (magazyn)” oraz “Zaszyfruj bezsystemową partycję lub dysk”. W przypadku  szyfrowania całego systemu, wartość ta wynosiłaby ~ 98. Tu zamiast 485 zdecydowałem się na PIM 578. Liczbę tę musimy zapamiętać, możemy ją traktować np. jak PIN do odblokowania telefonu. 

Po czym klikamy w “Dalej”:

Warto pamiętać o tym, że ustawienie dla PIM wartości większej niż podstawowa również ma wpływ na wydajność pracy, o czym informuje nas sam VeraCrypt:

Teraz program zapyta, czy planujemy przechowywać w tworzonym wolumenie pliki większe niż 4 GB. Tutaj wybrałem opcję “Nie”:

W następnym kroku program prosi o wykonywanie w oknie programu losowych ruchów myszą, do momentu aż pasek losowości zostanie wypełniony na zielono. Następnie klikamy w “Sformatuj”:

 Musimy poczekać, aż pole “Ukończone” będzie wynosiło 100%:

Cała operacja zakończy się poniższym komunikatem:

Teraz wystarczy kliknąć w przycisk “Dalej”:

Przechodzimy do głównego interfejsu VeraCrypta i klikamy w “Wybierz plik”:

W oknie dialogowym musimy wybrać plik, który utworzyliśmy jako nasz wolumen. W omawianym przypadku był to plik “CatPhotos” znajdujący się w folderze “test”:

Teraz musimy wybrać literę dla naszego wolumenu, a następnie kliknąć w przycisk “Podłącz”:

Otwieramy wolumen:

Zostaniemy poproszeni o hasło dla wybranego wolumenu. Jeśli zdecydowaliśmy się na PIM inny niż domyślny, musimy również wybrać opcję “użyj PIM”:

Oprócz PIM należy pamiętać także o wskazaniu algorytmu szyfrującego, który wybraliśmy w trakcie tworzenia wolumenu (w naszym przypadku będzie to HMAC-Whirlpool):

Musimy chwilę poczekać:

Po czym wybieramy nasz wolumen i klikamy “Otwórz”:

I gotowe! Wszystkie pliki, które znajdą się w naszym wolumenie, będą zaszyfrowane. 

W tym momencie warto jeszcze zwrócić uwagę na jeden, dość istotny szczegół:

Błędem jest zakładanie, że jeśli chcemy zabezpieczyć plik “cat.jpg”, wystarczy “przeciągnąć” go na zaszyfrowaną, wirtualną partycję. To błąd. W ten sposób jedynie kopiujemy plik “cat.jpg”, czyli nasz niezabezpieczony plik “cat.jpg”  pozostanie również na nie zaszyfrowanej partycji. A co się stanie, gdy usuniemy nasz plik z niezaszyfrowanej partycji, po skopiowaniu go do tej bezpiecznej, w poniższy sposób:

To również błędne podejście, ponieważ usuwanie w ten sposób pliku nie daje nam pełnej gwarancji, że nie uda się go odzyskać. Aby mieć pewność, że skutecznie usunęliśmy plik, możemy skorzystać z różnych dedykowanych do tego narzędzi, takich jak np. Eraser:

Gdy nie potrzebujemy już dostępu do plików, należy kliknąć w przycisk “Odłącz”:

Gotowe. Za każdym razem, gdy będziemy chcieli mieć dostęp do zaszyfrowanych plików, wystarczy otworzyć stworzony przez VeraCrypt wolumen i podać hasło:

Szyfrowanie istniejącej partycji

Zobaczmy teraz, co należy zrobić, gdy chcemy zaszyfrować istniejącą partycję. Schemat postępowania w tym przypadku będzie podobny. Klikamy w “Utwórz wolumen”:

Teraz wybieramy jednak opcję “Zaszyfruj bezsystemową partycję lub dysk”:

Gdy dojdziemy do etapu “Lokalizacja wolumenu”, klikamy w “Wybierz urządzenie”:

Musimy wybrać partycję, którą chcemy zaszyfrować. W moim przypadku będzie to partycja “T”:

Wybieramy odpowiedni tryb tworzenia wolumenu. Jeśli na dysku, który chcesz zaszyfrować, znajdują się już jakieś istotne dane, to wybierz opcję “Zaszyfruj partycję w miejscu”. W moim przypadku partycja T jest nowo utworzona, więc wybieram opcję “Stwórz zaszyfrowany wolumen i sformatuj go”:

Dalej konfiguracja wygląda tak samo jak w pierwszym omawianym przypadku – wybranie algorytmu szyfrowania i ustawienie hasła:

Ukryty wolumen VeraCrypt

W przypadku gdy ktoś próbuje zmusić nas do ujawnienia hasła, ciekawą opcją może być “Ukryty wolumen VeraCrypt”:

Następnie wybieramy opcję “Tryb zwykły”. W dużym skrócie, tryb ten pomoże nam w tworzeniu zwykłego wolumenu “przynęty”, a ten prawdziwy zostanie ukryty:

Wybieramy “Lokalizację wolumenu”:

Konfigurujemy wolumen przynętę, w omówiony już powyżej sposób:

Po skończonej konfiguracji VeraCrypt zaleca skopiowanie danych, które dla atakującego będą wyglądały na “cenne”.

I przechodzimy do tworzenia “wolumenu ukrytego”, czyli tego, w którym znajdą się faktycznie cenne dla nas dane:

Schemat postępowania jest taki sam, jak podczas tworzenia poprzednich  wolumenów. Pamiętać należy o długim, silnym haśle oraz o odpowiednim wyborze algorytmu szyfrującego. 

A jak dostać się do ukrytego wolumenu?

Po wybraniu “HiddenCat”, czyli podstawionego wolumenu, są dwie możliwości:

  • podajemy hasło do wolumenu-pułapki; robimy tak w przypadku, gdy ktoś próbuje zmusić nas do podania hasła.
  • podajemy hasło do sekretnego wolumenu; tym momencie otrzymamy dostęp do cennych danych.

Szyfrowanie dysku systemowego

W przypadku systemu Windows, mamy jeszcze opcję trzecią – szyfrowanie całego dysku systemowego:

Schemat postępowania będzie podobny do poprzednich opcji.

Hasło oraz wartość PIM będziemy musieli podać przy starcie systemu:

VeraCrypt: ataki

Gdy już zabezpieczyliśmy cenne dane, należy wiedzieć, jakie typy zagrożeń nas dotyczą. Możemy wyróżnić trzy główne rodzaje ataków:

  • Pamięć RAM

Jeśli atakujący ma bezpośredni dostęp do naszego urządzenia, to za pomocą odpowiednich narzędzi, może zdołać odzyskać część “zaszyfrowanych” danych lub uzyskać informacje niezbędne do odszyfrowania dysku. Ochroną przed tego typu atakiem jest najpierw “odłączenie” wolumenu, a następnie zamknięcie systemu:

Warto dodać, że według oficjalnej dokumentacji VeraCrypt, oprogramowanie wykrywa moment zamknięcia systemu i automatycznie odłącza za nas wolumen. Tę funkcjonalność możemy wykorzystać przykładowo, gdy korzystamy z funkcji wyłączenia systemu po zamknięciu klapy w laptopach:

Przykładem narzędzia wykorzystującego wyżej wspomnianą technikę ataku do odzyskiwania danych jest. “Elcomsoft Forensic Disk Decryptor”:

  • Brute force

Jedną z bardziej oczywistych metod ataku na szyfrowane dane jest próba złamania hasła. Tu kluczową rolę odgrywa długie i silne hasło oraz algorytm szyfrowania. W poradniku omawialiśmy jaki algorytm wybrać, by jak najbardziej utrudnić ten wektor ataku. Jednym z bardziej znanych narzędzi do łamania haseł jest hashcat:

Lub “Elcomsoft Password Recorvery”: 

  • Złośliwe oprogramowanie

Atakujący może próbować dostać się do cennych danych ofiary za pomocą złośliwego oprogramowania. Malware obecne na zaatakowanym urządzeniu może np. przechwycić hasło potrzebne do odszyfrowania wolumenu. Jednym z bardziej popularnych narzędzi dla pentesterów (oraz przestępców) wykorzystywanych w tym celu jest “Cobalt Strike”:

  • Tortury

Jeśli wszystkie inne metody zawiodą to zdarza się i tak, że przestępcy lub organy ścigania, w mniej cywilizowanych krajach, mogą posunąć się do “poproszenia” o hasło…

Na tego typu okoliczności polecamy opcję “Ukryty wolumen”, dzięki której możemy sprytnie “oszukać” napastników i dać im to, czego chcą…

VeraCrypt versus miłośnicy teorii spiskowych

Z uwagi na fakt, że VeraCrypt powstał na bazie porzuconego TrueCrypta, część użytkowników sądzi, że taka nagła zmiana została wprowadzona celowo, aby dodać tylną furtkę dla służb pokroju FBI czy NSA. Tak myślący użytkownicy to zazwyczaj ten sam typ osób, które twierdzą, że <tu podaj nazwę bezpiecznego i szyfrowanego komunikatora> jest kontrolowany przez służby, koniec i kropka. Spójrzmy jednak na suche fakty:

  • VeraCrypt jest darmowy oraz otwartoźródłowy, a więc samodzielnie możesz poszukać tych “oczywistych” backdoorów dla NSA czy FBI.
  • Kod VeraCrypt przechodzi ciągle liczne audyty bezpieczeństwa. 
  • Zagraniczne media dość często publikują historie, w których FBI korzysta z firm trzecich celem otrzymania dostępu do zablokowanego iPhone’a. A więc FBI nie jest takie “dobre”, jak mogłoby się nam wydawać.
  • Ciężko o dobrą alternatywę dla VeraCrypt.

Nikt jednak nie może zmusić Cię do wyboru VeraCrypt, bowiem to Ty decydujesz, w jaki sposób chcesz zabezpieczyć swoje dane.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. szy-frant

    Wazny temat i wartosciowy artykul!

    Chcialbym sie podzielic paroma wskazowkami/uwagami i zadac pytania.

    1) Podlinkowany wpis na Reddicie – naprawde wart przeczytania!
    Unaocznia, ze nie trzeba byc Snowdenem, zeby znalezc sie na celowniku sluzb i stanac przed grozba wielu lat wiezienia, ruiny majatku i reputacji; wystarczy pech.

    2) Riposta dla naiwnego argumentu „nie mam nic do ukrycia”:

    Skoro nie masz nic do ukrycia, na pewno nie masz nic przeciwko podaniu mi adresow i hasel twoich skrzynek pocztowych oraz odblokowanego komorkowca, prawda? I zrobie zdjecie twojego dowodu osobistego. Aha, przy najblizszej okazji nagraj film pokazujacy, jak wspolzyjesz ze swoja dziewczyna i wrzuc go do sieci. Wystarczy, ze wyslesz link do siebie – przeczytam juz sam w twojej skrzynce.

    3) Narzedzie moze byc PRZEZNACZONE lub SLUZACE do usuwania plikow. Nie „dedykowane”. Por. np. https://polszczyzna.pl/spolegliwy-atencja-oportunista-dedykowany/

    4) Czy oprocz problemu z EFS sa inne przeciwwskazania do zaszyfrowania dysku systemowego?

    5) Wiem, ze np. w W. Brytanii grozi kara wiezienia za niepodanie hasla do danych (m.in. dlatego tak przydatna jest mozliwosc tworzenia ukrytych wolumenow).

    Czy w Polsce jest podobny obowiazek zeznawania de facto na wlasna niekorzysc?

    Odpowiedz
    • Autor

      Nie jestem prawnikiem, więc traktuj moją odpowiedź z przymrużeniem oka, ale z tego co mi wiadomo, to nie ma bezpośrednio prawa, które nakazuje ujawnienie hasła do zaszyfrowanego dysku. Myślę, że w konfliktach z prawem, służby powoływałyby się na „utrudnianie śledztwa”, ale możesz skorzystać z ukrytego wolumenu i np. w sądzie mógłbyś powiedzieć „ale przecież podałem hasło, więc o co chodzi?”

      Odpowiedz
  2. Jontek

    > przestępcy lub organy ścigania, w mniej cywilizowanych
    > krajach, mogą posunąć się do “poproszenia” o hasło…

    Proszę nie manipulować. Tortury są stosowane również przez służby krajów cywilizowanych (Francja, USA, Wielka Brytania).

    A główną wadą oprogramowania VeraCrypt jest brak możliwości wyboru funkcji haszującej z wymuszoną trudnością obliczeniową i pamięciową (na przykład Argon2, która jest obsługiwana przez linuksowy cryptsetup w standardzie szyfrowania LUKS).

    Odpowiedz
    • Autor

      Sformułowanie „w mniej cywilizowanych (krajach)” zostało użyte, żeby nie wymieniać konkretnie danego kraju, bo każdy może mieć swoje za uszami, i działanie takie niebezpośrednio określiłem jako „niecywilizowane”.

      Odpowiedz
  3. Rad

    Ciekawy i pomocny artykuł. Mam pytanie jak się ma VeraCeypt przy szyfrowaniu dysku wraz z partycja systemową a update’m systemu operacyjnego Windows 10? Czy nie będzie kłopotów podczas aktualizacji windowsa np 20h1 na 20h2 itp? Wbudowany w Windowsa Bitlocker jest wyłączany na czas update’u o czym pisano niedawno.

    Odpowiedz
  4. A

    Świetny artykuł. Dzięki za wzmiankę o „Eraser”. Może teraz artykuł nt. szyfrowania chmury przy użyciu Cryptomatora (lub innych narzędzi)?

    Odpowiedz
    • Autor

      Hej. Nie chcę obiecywać, ale prawdopodobnie coś o Cryptomator się pojawi. (+ może połączę to jakoś z usługą ProtonDrive, czyli „szyfrowany magazyn w chmurze” od twórców ProtonMaila)

      Odpowiedz
  5. Marek

    Szyfr kaskadowy uznaje się raczej za złą praktykę – niewiele wnosi, a wpływ na wydajność jest dosyć istotny (Serpent i Twofish w przeciwieństwie do AESa nie mają wsparcia od dedykowanych instrukcji procesora). Nie popadajmy w paranoję, nawet chińskim opozycjonistom sam AES w zupełności wystarczy.
    Co do Whirpool – jego plusem jest to, że jest wolniejszy niż SHA, przez co jego łamanie zajmie więcej czasu. Z drugiej strony SHA jest lepiej przebadane i bardziej sprawdzone w boju.

    Ale artykuł dobry, świetna robota.

    Odpowiedz
    • Autor

      Hej. Tak, sam podkreśliłem że szyf kaskadowy wpływa na wydajność, ale wyjaśniłem też cel tego zabiegu – minimalizujemy wektor ataku „brute force”, a w 2021 roku możliwości w tym zakresie są co raz większe (np. Z tego co wiem to Elcomsoft oferuje usługę łamania hasła do szyfrowanego dysku z pomocą setek serwerów). Co do whirpoola to ponownie, chodzi o spowolnienie procesu brute force (Programy do „łamania” VeraCrypt zazwyczaj próbują atakować z pomocą domyślnych ustawień, a jak nie działa, to lecą po kolei, co wydłuża proces łamania)

      Odpowiedz
  6. Czesiu
    Odpowiedz
    • Autor

      Hej. Fakt, niektóre zagadnienia zostały omówione dość szczegółowo, inne jedynie wspominanie. Wiąże się to z czasem, a raczej jego brakiem (Sekurak to nie jedyne moje zajęcie), a poradnik jest dość „długi”. Co do opcji na „NO”, z tego co wiem, to są one domyślnie tak ustawione. W kwestii „Activate encryption […] in RAM” to działa na x64 i na „pełnej instalce” (czyli wersja portable odpada), ale fakt, opcja ta jest dość istotna (choć i tak podchodziłbym do niej z dozą nieufności). Zapewne za jakiś czas odświeżymy lekko poradnik (jest jeszcze kilka innych ustawień wartych uwagi) i poinformujemy o tym fakcie na socialach.

      Odpowiedz
  7. czesław

    Fragment
    „Teraz wystarczy kliknąć w przycisk “Dalej”:”
    poprawcie na
    „Teraz wystarczy kliknąć w przycisk “Wyjście”:”

    a na zrzutach jest prawidłowo

    Odpowiedz
    • Autor

      Słuszna uwaga, błąd zostanie poprawiony.

      Odpowiedz
  8. Chichahi

    hi,
    @sekurak co myślicie i o oprogramowaniu cryptomator, o którym ktoś wspomniał w poprzednich komentarzach ?

    pozdrowienia

    Odpowiedz
    • Autor

      Osobiście nie korzystałem, ale moim zdaniem VeraCrypt i Cryptomator mają dwa różne założenia. W tym pierwszym chodzi o szyfrowanie danych, które chcesz chronić i z którymi pracujesz na bieżąco np. kody źródłowe, akta sprawy, dokumenty firmowe, patenty etc
      To drugie jest przydatne, gdy chcemy zabezpieczyć nasz backup, który wysyłamy do chmury np. Dropbox

      Odpowiedz
  9. asdsad

    A jak jest w przypadku dysków samo-szyfrujących (OPAL)? Bezpieczne to, czy raczej iluzja dawana przez producentów dysków?

    Odpowiedz
  10. Do woluminu „przynęty” chyba wystarczy jakieś proste hasło typu „BORUSSIA” albo inny klub piłkarski.

    Odpowiedz
  11. Szymon

    Witam,

    Mam pytanie odnośnie VeraCrypt, a raczej nietypowym problemem.
    Pytanie brzmi czy da się odzyskać pliki?

    Sytuacja:
    Kupiłem ostatnio drugi większy dysk i chciałem zrobić kopię bezpieczeństwa posiadanego dysku, który w całości jest zaszyfrowany i ma w sobie ukryty wolumin ukryty.
    Dysk sformatowany jest jako exFAT.
    Na nowym dysku chciałem zrobić dwa ukryte woluminy i jeden podstawowy, ale nie wiedziałem jak więc podzieliłem go na 2 partycję i każdą z osobna zaszyfrowałem woluminem zwykłym i ukrytym (możliwe, że gdzieś nie wybrałem opcji dużych plików i jest tam system plików NTFS).

    Następnie przystąpiłem do kopiowania.
    Najpierw na stary dysk szyfrowany podstawowy wolumin dograłem pliki z odłączanego dysku pomocniczego, aby zrobić miejsce na drugi dysk z ukrytymi partycjami.

    Potem przez 20 godzin kopiowałem ze starej podstawowej szyfrowanej partycji na starym dysku na nowa szyfrowaną podstawową partycję na nowym dysku (używałem BC, pokazał 10 błędów – nie chciał skopiować podejrzanych plików).

    Teraz chciałem skopiować zawartość starej ukrytej partycji na nową ukrytą i mam problem – obie nie działają.
    Tzn. do obu jak podaję hasło to VC montuje wolumin, ale nie rozpoznaje systemu plików i po wybraniu dysku z eksploratora pyta czy go sformatować.

    I stało się to na obu dyskach i obu ukrytych partycjach jednocześnie. Mam działające hasła do wszystkich 4 woluminów, ale na ukrytych nie pokazuje mi plików.
    Nie mam kopi nagłówka.
    Na Ubuntu przy próbie zamontowania ukrytego wolumenu pojawia się błąd systemu plików.

    Czy jest szansa na odzyskanie danych i jeśli tak to w jaki sposób?

    Odpowiedz
    • Krzysiek

      No właśnie. Nad tym się zastanawiałem. Kiedy jeden bajt, ba, jeden bit się zmieni, wszystkie dane są nie do odzyskania. Podsumowując, dobre narzędzia, dobrze że są, ale tak jak np. młotka, używamy rozsądnie.
      To ja już wolę (to jest moja osobista opinia, do której mam prawo jak i sposobu chronienia swoich jakże cennych danych (no bo każdy przecież trzyma intymne filmy ze swoją drugą połówką na pamiątkę czy też z innych względów)) poczciwe archiwum z hasłem – przynajmniej prościej i sprawniej (też nie odzyskam danych przy błędzie, ale przynajmniej jest mniej z tym zabawy).
      Każdy ma swoje zdanie, ja podsumuję to tak: najbezpieczniejsze dane, to takie, których nie ma. Nie popadajmy w paranoję, bo czasu zabraknie na życie…

      Odpowiedz
    • Kacper

      Nie wiem czy dobrze zrozumiałem sytuację, którą opisałeś, ale przed zapisaniem jakichkolwiek plików na szyfrowany podstawowy wolumen trzeba, za każdym razem, równolegle podłączyć zaszyfrowany ukryty wolumen. Jeśli tego nie zrobisz może dojść do nadpisania danych na ukryty wolumen. Wtedy dane na ukrytym wolumenie są RAW i system proponuje formatowanie, pomimo podania dobrego hasła.

      Tutaj o tym dlaczego tak jest i jak to robić poprawnie:
      https://www.veracrypt.fr/en/Protection%20of%20Hidden%20Volumes.html

      W skrócie:
      – VC nie wie o tym, że na zaszyfrowanym dysku jest ukryty wolumen. Gdyby VC o tym wiedział z automatu, to ten wolumen nie byłby ukryty, więc każdy mógłby zażądać ujawnienia hasła.

      P.S. Mnie w tej sytuacji uratował backup. Ewentualnie zostają programy do odzyskiwania danych.

      Odpowiedz
  12. jasiek

    Hej. Gdzieś czytałem (chyba na niebezpieczniku), że szyfrowanie dysku z już zapisanymi na nim plikami wcześniej może grozić odczytaniem jakiejś ich części i z tego względu lepiej najpierw szyfrować pusty dysk, a dopiero potem dodawać na niego dane. Możesz się do tego odnieść?

    Odpowiedz
  13. Rednask

    Używam wielu dysków cały czas truecrypt-owych nawet juz 10tb i 18TB i ten stary 7.0 versja daje rade i działa na każdym systemie. Ale …. i tu jest problem odpadłem na szyfrowanej partycji bo wymusiło u mnie na nowym sprzęcie GPT i już w pracy posypał się system po kilku miesiącach. Straszne bo nie dość że były tam płatne programy dane klientów itp. To jeszcze nic nie szło ruszyć, nawet legło zaufanie do dysku Patriot gdzie kiedyś z 16sztuk padło mi 11szt bez niewiadomej przyczyny. Jestem teraz bez wiedzy i bezpieczeństwa z dylematem. Brak zaufania do veracrypt i nowego komputera a stary chodzi na trucrypcie i ledwo dyszy ale chodzi.

    Odpowiedz
  14. Irek

    Jak zabezpieczyć się przed dostępem do danych przez innych użytkowników domeny? Bo rozumiem, że administrator może w dowolnym momencie przeglądać moje dane w momencie jak udział VC jest odblokowany.
    Chodzi mi o sytuację, gdy w firmie jest kilku adminów i jak oni mogą między sobą zabezpieczyć swoje dane tak by jeden nie widział danych drugiego?

    Odpowiedz

Odpowiedz