Jak šifrovat data pomocí VeraCryptu a chránit své disky

  • VeraCrypt je bezpečná, open-source verze TrueCryptu pro šifrování kontejnerů, oddílů a celých disků.
  • Umožňuje vytvářet normální a skryté svazky, šifrovat USB disky a dokonce i systémový disk s ověřováním před spuštěním.
  • Vaše zabezpečení závisí na silných heslech, dobré správě klíčů a zálohách hlavičkového disku nebo záchranného disku.
  • Má to mírný dopad na výkon a složitost použití, což je vyváženo vysokou úrovní ochrany dat.
Daniel Terrasa

18 minut

Šifrování dat pomocí VeraCryptu

Chraňte osobní a profesní informace Bezpečnost se stala stejně nezbytnou jako dobrý antivirový software nebo udržování systému aktualizovaného. Pracovní dokumenty, fotografie, kopie oficiálních dokumentů, hesla uložená v prostém textu – to vše obvykle končí na pevném disku vašeho počítače, USB disku, který máte neustále v batohu, nebo v nějaké cloudové úložišti. Pokud se někdo k tomuto zařízení dostane nebo přistupuje k vašemu účtu bez povolení nebo šifrování, je to, jako byste nechali otevřené dveře dokořán.

VeraCrypt Stala se přirozeným nástupcem TrueCryptu. Pro robustní šifrování dat v systémech Windows, Linux a macOS. Umožňuje vytvářet šifrované kontejnery, chránit USB disky a externí pevné disky a dokonce šifrovat celý disk, na kterém je nainstalován operační systém, s ověřováním před spuštěním systému Windows. V této příručce se podrobně dozvíte, co nabízí, jak funguje a jak ho můžete použít k zabezpečení souborů, aniž byste museli být bezpečnostním expertem.

Z TrueCryptu na VeraCrypt: proč se změnila šifrovací krajina

TrueCrypt byl po léta de facto standardem Používal se k šifrování disků a složek, dokud jeho vývojáři v roce 2014 projekt náhle neopustili. Na oficiálních webových stránkách doporučili ukončit jeho používání, varovali před potenciálními bezpečnostními zranitelnostmi a navrhli přechod na BitLocker nebo jiné šifrovací systémy integrované do Linuxu a macOS. Poslední verze 7.2 se omezovala na dešifrování stávajících svazků bez možnosti vytvářet nové kontejnery.

Tváří v tvář té prázdnotě, Nezávislá skupina vývojářů spustila VeraCrypt jako fork kódu TrueCrypt. Od té doby opravují zranitelnosti, posilují kryptografické parametry a začleňují nové šifrovací algoritmy a pokročilé bezpečnostní funkce. Pro mnohé rezonovalo ukončení podpory TrueCryptu tak silně, protože to byl jeden z mála nástrojů, které vážně komplikovaly práci agenturám, jako je NSA nebo FBI, při přístupu k zabaveným diskům.

Dnes se obecně doporučuje nechat TrueCrypt v minulosti a používejte výhradně VeraCryptNejenže řeší starší problémy, ale také zlepšil výkon díky podpoře akcelerace AES-NI, přidal flexibilnější možnosti šifrování a zůstává aktivní díky častým vydáním a externím bezpečnostním auditům.

veracrypt

Co je VeraCrypt a jak se liší od ostatních řešení?

VeraCrypt je software pro šifrování disku za běhu (OTFE)Je to bezplatný nástroj s otevřeným zdrojovým kódem, který šifruje data v reálném čase a transparentně pro uživatele. Můžete vytvořit kontejnerový soubor, který se připojuje jako jakýkoli jiný disk, zašifrovat konkrétní oddíl (D:, E:, F: atd.) nebo zašifrovat celý systémový disk s ověřováním před spuštěním ve Windows.

Je K dispozici pro Windows, Linux, macOS a některé systémy BSDDíky tomu je obzvláště atraktivní pro smíšená prostředí nebo pro uživatele, kteří přecházejí na jiné platformy. V systémech macOS a Linux nešifruje systémový oddíl, ale šifruje kontejnery a sekundární disky nebo oddíly, podobně jako ve Windows.

Jednou z velkých výhod VeraCryptu je transparentnost jeho kóduJelikož se jedná o open source, byl auditován nezávislými organizacemi a experty. Subjekty jako QuarksLab a německý BSI prověřily jeho zabezpečení, byly opraveny zranitelnosti a posíleny výchozí kryptografické parametry. Dále implementuje standardní algoritmy v oboru, jako jsou AES, Serpent, Twofish, Camellia a Kuznyechik, v režimu XTS a s odvozením klíče PBKDF2 pomocí stovek tisíc iterací, aby se zabránilo útokům hrubou silou.

Ve srovnání s BitLockerem nebo jinými proprietárními řešeními, VeraCrypt nabízí podrobnější kontrolu nad tím, jak a co je šifrováno, umožňuje skryté svazky s „věrohodným odmítnutím“ a funguje napříč různými operačními systémy.Na oplátku postrádá centralizovanou konzoli pro správu a přímou integraci s Active Directory nebo TPM; řešení hardwarového ověřování naleznete na [odkaz na příslušnou dokumentaci]. Windows Hello pro firmyProto ve velkých firmách často koexistuje s „automatizovanějšími“ firemními nástroji.

Hlavní vlastnosti a funkce VeraCryptu

VeraCrypt je navržen pro domácí uživatele i profesionální prostředí které vyžadují robustní šifrování. Toto jsou jeho klíčové funkce seskupené dohromady, abyste přesně viděli, co pro vás může udělat.

  • Vytváření šifrovaných kontejnerů. Nejvšestrannější možností je vytvořit soubor, který funguje jako „šifrovaný virtuální disk“. Tento soubor může být uložen na interním pevném disku, USB flash disku, externím pevném disku nebo dokonce na souborovém serveru či v cloudovém úložišti.
  • Šifrování disků a celých oddílůPokud nechcete používat kontejnerové soubory, můžete zašifrovat celý oddíl nebo disk. To je ideální pro USB flash disky, SD karty, externí pevné disky nebo další disky počítače.
  • Šifrování systémových jednotek s ověřováním před spuštěním. Jednou z jeho klíčových funkcí je schopnost šifrovat celý disk, na kterém je nainstalován systém Windows. Po zapnutí počítače se zobrazí malý bootovací správce VeraCrypt, který vás vyzve k zadání hesla (a volitelně i souboru PIM nebo klíče).
  • Šifrování v reálném čase a hardwarová akcelerace. Šifrování a dešifrování se provádí automaticky, za chodu. Uživatel jednoduše vidí jiný disk. Pokud zvolíte AES a váš procesor podporuje AES-NI, je výkon čtení a zápisu velmi vysoký, a to do té míry, že v mnoha případech je omezení dáno samotným diskem, nikoli šifrováním.
  • Skryté objemy pro věrohodné popíráníVeraCrypt umožňuje vytvořit „skrytý“ svazek uvnitř jiného svazku. Jedno heslo připojí externí (normální) svazek a jiné heslo připojí skrytý svazek.

veracrypt

Režimy stahování, instalace a použití (instalovaný nebo přenosný)

Nejrozumnější je Vždy stahujte VeraCrypt z jeho oficiálních webových stránek.Najdete zde instalační programy pro Windows, macOS, Linux, FreeBSD a zdrojový kód. Neexistuje žádná placená verze: je zcela zdarma a můžete ji používat bez omezení.

Ve Windows nabízí instalační program dvě možnosti:

  • Nainstalujte program do systému.
  • Pro použití v „přenosném“ režimu extrahujte soubory.

Pokud je vaším cílem zašifrovat systémový disk nebo oddíl, na kterém je nainstalován systém Windows, je instalace nutná. Pro šifrování USB disků, externích pevných disků nebo jiných vyměnitelných médií je přenosný režim velmi užitečný, protože můžete spustitelný soubor zkopírovat na samotné zařízení na nešifrovaném oddílu a používat ho na jiných počítačích, aniž byste museli cokoli instalovat.

El Průvodce instalací Je to typické pro každý program: vyberete si jazyk, přijmete licenci, vyberete, zda chcete zástupce na ploše nebo v nabídce Start, a to je vše. Na konci VeraCrypt obvykle nabízí průvodce pro začátečníky, který stojí za přečtení, pokud tento typ softwaru používáte poprvé.

V systémech Linux a macOS se instalace provádí pomocí specifických balíčků. nebo kompilací ze zdrojového kódu, v závislosti na distribuci. V každém případě je rozhraní a základní kroky pro vytváření svazků velmi podobné těm ve Windows, což usnadňuje přechod mezi platformami.

Šifrování „normálního“ kontejneru krok za krokem

Pro mnoho uživatelů bude jejich prvním kontaktem s VeraCrypt vytvoření šifrovaného kontejneru pro soubory.Obecný postup, podobný ve všech systémech, je tento:

1. Vytvořte objemV hlavním okně VeraCrypt klikněte na „Vytvořit svazek“. Průvodce se vás zeptá, co chcete udělat; vyberte „Vytvořit šifrovaný kontejner souborů“. Poté zvolte „Běžný svazek VeraCrypt“ (standardní) a nikoli skrytý svazek, o kterém si povíme později.

2. Vyberte umístění a název souboru kontejneruPomocí tlačítka „Vybrat soubor“ zadejte cestu a název. Nemusíte vybírat existující soubor, stačí zadat požadovaný název pro nový kontejner (například „work_data.hc“). Tento soubor můžete uložit na místní disk, USB disk, NAS nebo dokonce do složky synchronizované s cloudem.

3. Vyberte šifrovací a hašovací algoritmyVe výchozím nastavení používá VeraCrypt jako symetrický algoritmus AES a jako hašovací funkci buď SHA-512, nebo SHA-256. AES je aktuální standard a pokud váš procesor podporuje AES-NI, nabízí vynikající výkon. Pomocí možnosti „Benchmark“ můžete testovat různé kombinace a zjistit, která z nich ve vašem systému funguje nejlépe, i když pro většinu situací je AES + SHA-256 více než dostačující.

4. Definujte velikost svazkuZadejte velikost kontejneru v megabajtech nebo gigabajtech. Zvažte, jak jej budete používat: pro několik dokumentů stačí stovky MB, ale pokud chcete ukládat kompletní zálohy, můžete potřebovat několik GB nebo i více.

5. Konfigurace ověřování: heslo, soubor klíčů a PIMMinimálně byste si měli vytvořit silné heslo, které bude kombinovat velká a malá písmena, číslice a symboly a bude mít rozumnou délku. VeraCrypt vás upozorní, pokud zjistí, že vaše heslo je příliš slabé. Dále můžete použít soubory klíčů (libovolný soubor, který slouží jako součást tajného klíče) a číselnou hodnotu nazývanou PIM (Personal Iterations Multiplier), která ztěžuje uhodnutí hesla. Kombinace těchto tří faktorů poskytuje velmi vysokou úroveň ochrany.

6. Vyberte souborový systém a vytvořte svazekPro kontejnery na externích discích je obvykle vhodný exFAT, pro interní disky NTFS a pro základní použití je FAT v pořádku, pokud nebudou žádné soubory větší než 4 GB. Před kliknutím na tlačítko „Formátovat“ vás průvodce vyzve k náhodnému pohybu myši v okně, dokud se pruh nezmění na zelený: tyto pohyby se používají jako zdroj entropie pro generování nepředvídatelnějších klíčů. Jakmile je formátování dokončeno, je svazek připraven.

7. Sestavení a rozebrání kontejneruZpět v hlavním okně vyberte volné písmeno jednotky, klikněte na „Vybrat soubor“, ukažte na kontejner a klikněte na „Připojit“. Zadejte heslo (a případně i soubor s klíčem a PIM) a nová jednotka se zobrazí v „Tento počítač“. Vše, co tam zkopírujete nebo upravíte, bude automaticky zašifrováno. Chcete-li ji zavřít, jednoduše jednotku „Odpojit“ nebo použijte možnost „Odpojit vše“.

veracrypt

Skryté objemy: jak funguje věrohodné popírání

La funkce skryté hlasitosti Je to jedna z nejdiskutovanějších funkcí VeraCryptu. Jejím účelem je umožnit vám pod nátlakem odhalit „neškodné“ heslo a zároveň uchovat skutečně citlivá data v bezpečí na úložišti, jehož existenci nelze prokázat.

Základní schéma je následující:

  1. Nejprve se vytvoří „externí“ svazek (normální) s vlastním heslem a velikostí.
  2. Ve volném prostoru tohoto svazku je umístěn druhý skrytý svazek s dalším klíčem, případně i jinými šifrovacími algoritmy a menší velikostí.
  3. Při připojování kontejnerového souboru VeraCrypt na základě zadaného hesla rozhodne, který svazek otevřít.

Pro vytvoření skrytého svazku se opět použije následující: asistent tvorbyTentokrát vyberte možnost „Skrytý svazek VeraCrypt“. Nejprve budete provedeni konfigurací externího svazku (šifrování, hash, velikost, heslo, souborový systém) a poté je definován skrytý svazek: kolik místa bude zabírat, jaké bude mít šifrování a jaké heslo bude používat.

Je to zásadní respektujte prostor vyhrazený pro skrytý objemPokud má například externí svazek 50 MB a skrytý svazek 25 MB, neměli byste externí svazek zaplňovat do bodu, kdy by mohl přetéct do oblasti, kde se nachází skrytý svazek. VeraCrypt obsahuje režim ochrany skrytého svazku pro snížení rizik, ale i tak je rozumné postupovat opatrně a ponechat nějaký prostor.

Šifrování USB disků, SD karet a celých externích pevných disků

USB flash disky a přenosné pevné disky patří k věcem, které se nejsnadněji ztratí nebo se dostanou do nesprávných rukou.Proto jsou jasnými kandidáty pro šifrování. Šifrování lze navíc kombinovat s Blokátory dat z USB Pro větší ochranu. S VeraCryptem je můžete plně chránit nebo si zachovat stávající data, v závislosti na vašich potřebách.

1. V průvodci vyberte příslušnou možnostPo připojení zařízení klepněte na „Vytvořit svazek“ a zvolte „Šifrovat oddíl/sekundární disk“. Stejně jako předtím se rozhodněte, zda chcete běžný nebo skrytý svazek. Poté po klepnutí na „Vybrat zařízení“ vyberte konkrétní oddíl na USB disku nebo externím pevném disku.

2. Vytvořte svazek formátováním nebo zachováním datVeraCrypt nabízí dvě možnosti: vytvoření nového šifrovaného svazku formátováním disku (rychlé, ale smaže se vše) nebo šifrování oddílu se zachováním dat (pomalejší, ale nic neztratíte). V mnoha případech je nejpohodlnějším přístupem zálohovat data, formátovat je pomocí VeraCryptu a poté soubory obnovit.

3. Konfigurace šifrování, hašování a ověřováníStejně jako u kontejnerů si vyberete šifrovací a hašovací algoritmus, definujete, zda budete používat pouze heslo, nebo také soubor s klíči a PIM, pohnete myší pro generování entropie a kliknete na „Formátovat“. Program vás upozorní, že data na disku budou ztracena, pokud se rozhodnete vytvořit svazek od nuly.

4. Připojte a používejte šifrované zařízeníJakmile je proces dokončen, operační systém uvidí disk jako „neformátovaný“ nebo vás vyzve k jeho formátování. Tyto zprávy ignorujte. Chcete-li jej použít, klikněte ve VeraCrypt na „Vybrat zařízení“, vyberte šifrovaný oddíl, přiřaďte mu volné písmeno disku a připojte jej zadáním hesla. Od tohoto okamžiku se zobrazí nový disk (například F:), na kterém můžete číst a zapisovat data, která jsou transparentně šifrována.

Po dokončení vždy odpojte disk od VeraCryptu. Před odpojením USB nebo vypnutím počítače, stejně jako u funkce „Bezpečně odebrat hardware“, tím zabráníte poškození dat a zajistíte, že svazek bude správně uzavřen.

veracrypt

Zašifrujte celý disk Windows pomocí VeraCryptu

Maximální úroveň ochrany, kterou VeraCrypt nabízí ve Windows, je zašifrovat oddíl nebo celý disk, na kterém je systém nainstalovánTímto způsobem, pokud je notebook ukraden nebo někdo vezme pevný disk, nebude moci bez klíče spustit Windows ani přečíst jediný soubor.

Než začnete, je třeba mít na paměti určité věci. opatřeníVytvořte si úplnou zálohu důležitých dat (na jiný disk, do cloudu atd.). Viz naše Porovnání metod zálohováníUjistěte se, že počítač během procesu neztratí napájení (je-li zapojený do zásuvky nebo připojen k UPS), a především si zvolte heslo, které nezapomenete. Pokud heslo pro spuštění ztratíte, přístup k systému se stane extrémně obtížným.

Průvodce šifrováním systému postupuje zhruba takto:

  1. V nabídce „Vytvořit svazek“ vyberte „Zašifrovat celý systémový oddíl/disk“.
  2. Jako typ šifrování vyberete „Normální“ (režim „Skrytý“ vytváří systém v jiném pro velmi specifické scénáře).
  3. Vy se rozhodnete, zda chcete zašifrovat pouze oddíl Windows nebo celý fyzický disk.
  4. Uvedete, zda máte jeden operační systém („Single boot“) nebo více operačních systémů.
  5. Výchozí hodnoty šifrování (AES) a hashování (SHA-256 nebo SHA-512) ponecháte, pokud přesně nevíte, proč je chcete změnit.

Pak přichází okamžik, kdy nastavit heslo pro spouštěníMělo by být pro vás zapamatovatelné, ale složité: směsice znaků bez zjevných vzorů a určité délky. Průvodce může zobrazit varování, pokud jej považuje za nespolehlivý, ale riziko přebíráte vy. VeraCrypt poté vygeneruje interní klíče tím, že vás požádá o chvíli pohybu myši.

Klíčovou součástí procesu je cvytvoření záchranného diskuProgram vygeneruje ISO obraz, který byste měli vypálit na USB disk nebo jiné zabezpečené úložné zařízení. Tento disk vám umožňuje obnovit bootovací manažer VeraCrypt a obnovit systém v případě určitých selhání, i když budete vždy potřebovat heslo. Ověření záchranného disku můžete přeskočit, ale nedoporučuje se to.

Než disk skutečně zašifrujete, VeraCrypt provádí „bootovací test“Počítač se restartuje, zobrazí se výzva VeraCrypt s žádostí o dešifrovací klíč a pokud vše proběhne v pořádku, systém Windows se spustí jako obvykle. Zpět na ploše program označí, že test byl úspěšný, a nyní můžete zahájit samotné šifrování systémového disku.

Proč se vyplatí šifrovat soubory a zařízení

Kromě technických aspektů, Důležité je pochopit scénáře, ve kterých šifrování dat hraje roli.Nejde o paranoiu, ale o snižování velmi realistických rizik v každodenním životě.

Ukládání souborů do cloudu bez šifrování zvyšuje riziko útoku.Přestože velcí poskytovatelé zavádějí svá vlastní bezpečnostní opatření, je stále užitečné vědět, jak na to. správa metadat v Office a WindowsMohou se vyskytnout zranitelnosti, včetně neoprávněného přístupu privilegovaných zaměstnanců, chyb v konfiguraci nebo jednoduchých přehlédnutí uživatelů. Pokud nahráváte do cloudu soubory, které byly dříve šifrovány pomocí VeraCryptu (kontejnery nebo zálohy), i rozsáhlý únik dat může vaše data bez klíče znemožnit čtení.

Na sdílených počítačích, ať už doma nebo v kanceláři, šifrování zabraňuje zvědavým pohledům.Pokud stejný počítač používá více lidí nebo pokud k němu mají fyzický přístup další kolegové v práci, šifrovaný kontejner představuje velmi jasnou hranici: bez hesla není možné k obsahu přistupovat, bez ohledu na míru důvěry.

Proti malwaru a neoprávněnému vzdálenému přístupuŠifrování dat přidává další vrstvu zabezpečení. Trojský kůň, kterému se podaří infiltrovat váš systém, může snadno ukrást soubory v prostém textu, ale pokud najde pouze uzavřené, šifrované svazky, získané informace jsou k ničemu. To samozřejmě nenahradí dobrý antivirový program ani aktualizovaný operační systém (viz [odkaz na příslušnou dokumentaci]). online zabezpečení ve Windows), ale přidává ochranu.

Pokud je některý z vašich účtů ohrožen (Například cloudová služba, kde ukládáte kontejner, nebo e-mail, kam jste odeslali zašifrovaný soubor), útočník uvidí pouze zdánlivě náhodný blok dat. To zdůrazňuje rozdíl mezi odesláním citlivého PDF souboru tak, jak je, a jeho odesláním v zašifrovaném ZIP souboru nebo svazku VeraCrypt.

V obchodním a profesním světě mnoho zákonů vyžaduje šifrování určitých dat.Předpisy o ochraně osobních údajů, zákony proti praní špinavých peněz a zákony o profesním tajemství pro právníky a zdravotnické subjekty vyžadují šifrování citlivých informací, nebo alespoň výslovně doporučují šifrování jako vhodné bezpečnostní opatření. Nástroje jako VeraCrypt pomáhají tyto požadavky splnit, pokud jsou doprovázeny řádnou správou klíčů a vhodnými interními zásadami.

Skutečné výhody a nevýhody šifrování pomocí VeraCryptu

Jakýkoli seriózní šifrovací systém Má to jasné výhody, ale i určité nevýhody. což je dobré vědět, abyste se vyhnuli nějakým překvapením.

Mezi jeho výhody patří nulové náklady, transparentnost a flexibilita.VeraCrypt je bezplatný, open-source, běží na různých operačních systémech a nabízí různé úrovně ochrany (kontejnery, sekundární disky, celý systém, skryté svazky atd.). Podporuje také širokou škálu mezinárodně ověřených kryptografických algoritmů a prošel nezávislými audity.

Úroveň zabezpečení, kterou nabízí, je velmi vysoká, za předpokladu správného hesla a správy klíčů.Použití PBKDF2 s mnoha iteracemi v kombinaci s možností používat klíčové soubory a PIM činí útoky hrubou silou extrémně nákladnými. Přidání osvědčených postupů (unikátní hesla, správci hesel jako KeePassXC nebo Bitwarden a kopie hlaviček svazku) vede k velmi odolnému systému.

Nevýhodou je, že ztráta klíče obvykle znamená ztrátu dat.VeraCrypt nemá magický systém obnovy ani zadní vrátka: pokud zapomenete heslo a nemáte zálohy ani zálohu hlaviček, šifrování udělá přesně to, co má dělat, tedy zabránit přístupu i rozptýlenému legitimnímu vlastníkovi.

Další nevýhodou je dopad na výkon na starším hardwaru nebo hardwaru bez AES-NI.Na moderních systémech s procesory, které hardwarově akcelerují AES, je pokles výkonu minimální a často nepostřehnutelný. Na starších počítačích nebo pokud používáte velmi náročné kaskádové algoritmy, se však přístup k disku může zpomalit, zejména u velmi velkých svazků.

Existují také omezení, pokud jde o kompatibilitu a snadnost použití.Šifrování systému je k dispozici pouze ve Windows, neintegruje se s TPM ani s řešeními pro vzdálenou správu na podnikové úrovni a rozhraní se může zdát zastrašující pro uživatele, kteří nejsou obeznámeni s koncepty, jako jsou svazky, oddíly nebo šifrovací algoritmy. Je to výkonný nástroj, ale není to zjednodušený průvodce typu „další, další, konec“.

A konečně, šifrování vždy s sebou nese určité dodatečné riziko poškození.Pokud je zašifrovaný soubor poškozen, je jeho obnova složitější než u prostého textového souboru. To zdůrazňuje důležitost pravidelného zálohování a správného odpojení svazků před vypnutím nebo odpojením zařízení.

Pokud zvážíte úsilí spojené s učením se používat VeraCrypt oproti malým nákladům na výkon Ve srovnání s tím, co získáte v oblasti soukromí, dodržování předpisů a ochrany před ztrátou, krádeží nebo útoky, je zcela jasné, proč se tento nástroj stal měřítkem pro seriózní šifrování dat v domácím i firemním prostředí, za předpokladu, že je doprovázen dobře spravovanými hesly a minimální disciplínou při práci se šifrovanými svazky.

Online zabezpečení ve Windows: jak se chránit před hackerskými útoky a kybernetickými útoky
Související článek:
Online zabezpečení ve Windows: Chraňte svůj počítač před hackery a útoky