Veracrypt linux русификация

Создание зашифрованного диска с «двойным» дном с помощью Veracrypt

Veracrypt linux русификация

VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров.

В этой статье мы рассмотрим интересную возможность VeraCrypt для создания зашифрованного диска со скрытым разделом, этот метод, также называемый методом «двусмысленного шифрования», обеспечивает возможность правдоподобного отрицания наличия второго тома, т.к. не обладая нужным паролем, доказать существование скрытого тома не представляется возможным.

Для работы с зашифрованным разделом наличие ключевого файла не является обязательным, но если защищать данные по-максимуму, то лишним не будет, например, как еще один фактор для обеспечения достаточно высокой стойкости к принуждающим атакам, также известным как «метод терморектального криптоанализа». В данном случае предполагается наличие двух ключевых файлов на внешних носителях, один из которых будет хранится в достаточно надежном месте, например, в защищенной банковской ячейке. Вторая же копия при возникновении угрозы уничтожается. Таким образом, даже если наличие скрытого раздела стало известно, а пароль от него извлечен методом силового воздействия — без ключевого файла доступ к зашифрованной информации получить не удастся. В VeraCrypt есть инструмент для генерации ключевого файла, позволяющий создать файл со случайными данными заданного размера. Для этого необходимо запустить из меню Сервис — Генератор ключевых файлов, задать необходимое количество ключевых файлов и их размер, и сгенерировать энтропию, совершая хаотичные движения мышкой. После этого сохранить ключевой файл (в нашем случае, также сделав и его копию).
Для того чтобы создать скрытый зашифрованный раздел, нужно сначала подготовить обычный (внешний) зашифрованный том. Для его создания запустим из меню СервисМастер создания томов.

Выберем “Зашифровать несистемный раздел/диск“, что бы создать зашифрованный диск (в моем случае это небольшой SSD диск). Если отдельного диска нет, можно использовать “Создать зашифрованный файловый контейнер“, т.к. он будет в дальнейшем смонтирован как виртуальный диск, все последующие инструкции справедливы и для него.

Тип тома зададим “Скрытый том Veracrypt“, режим тома «Обычный» (т.к. мы создаём новый том). В размещении тома нужно выбрать диск, на котором будет создан зашифрованный том, в случае создания файлового контейнера, нужно будет указать место, где этот файл создать.

Режим создания тома “Создать и отформатировать” если диск пустой, или “Зашифровать на месте“, если на диске уже есть данные, которые нужно зашифровать.

Алгоритм шифрования оставляем AES, т.к. несмотря на наличие возможности выбрать один из пяти алгоритмов шифрования, AES является достаточно надежным и быстрым (в VeraCrypt поддерживается и включено по умолчанию аппаратное ускорение этого алгоритма, при использовании процессоров, имеющих набор инструкций AES-NI). Средняя скорость шифрования/дешифрования в памяти (12 потоков, Апп. ускорение AES включено, Мб/c, больше-лучше): Зададим надежный пароль (как выбрать надежный пароль мы рассказывали в этой статье).Интересный факт: пароль “самого разыскиваемого хакера”, использовавшего полное шифрование дисков, Джереми Хэммонда, был именем его кошки: “Chewy 123”; Перед форматированием тома потребуется совершить несколько хаотичных движений мышкой, что бы создать необходимый уровень энтропии для шифрования. Опцию «быстрое форматирование» не следует использовать, так как предполагается создание скрытого раздела. Если не предполагается хранение больших файлов (>4Гб), тип файловой системы рекомендуется оставить FAT.
В мастере томов выберем “Зашифровать несистемный раздел/диск“. Режим тома “Скрытый том VeraCrypt“. Режим создания “Прямой режим“. Выберем устройство или контейнер, зашифрованные на предыдущем шаге. Введем созданный ранее пароль и нажмем “Далее“. Укажем тип шифрования для скрытого тома. Как и выше, я рекомендую оставить настройки по умолчанию. На данном этапе мы можем добавить использование ключевого файла, как дополнительной меры защиты.

На следующем шаге определим сколько места “забрать” у основного тома для создания скрытого тома. Дальнейший процесс настройки тома, аналогичен настройке внешнего тома.

Монтирование тома может занимать некоторое время, это связано с большим количеством итераций при генерации ключа, что повышает стойкость при атаках «в лоб» в десятки раз.

Для подключения внешнего тома нажмем “Смонтировать“, откроем “Параметры” и установим опцию “Защитить скрытый том от повреждения при записи” и укажем пароль и ключевой файл от скрытого тома.

Опцию защиты при монтировании внешнего тома необходимо включать, так как скрытый том является частью внешнего, и запись во внешний том без защиты может повредить скрытый том. В том случае, если вас заставляют смонтировать внешний том силовым методом (против которого этот механизм и был создан), то, естественно, вы его монтируете как обычный том, и VeraCrypt не будет показывать что это внешний том, он будет выглядеть как обычный. Во внешнем томе можно разместить информацию, которая будет выглядеть или быть отчасти чувствительной, в то время как все самое ценное будет храниться на скрытом томе.
Для подключения скрытого тома, нажмем «Смонтировать», укажем пароль и ключевой файл от скрытого тома. При примонтированном скрытом томе, VeraCrypt добавляет пометку “Скрытый“.

Атаки методом перебора, при наличии стойкого пароля малоэффективна — это тот сценарий, к которому и готовились разрабочики VeraCrypt, а при наличии ключевого файла — неэффективны абсолютно. Теоретически, получив доступ к выключенному компьютеру, есть некоторый шанс извлечь ключи шифрования из памяти или файла гибернации и файла подкачки. Для противодействия такого рода атакам рекомендуется включить опцию шифрования ключей и паролей в ОЗУ в меню Настройка — Быстродействие и отключить файл подкачки и спящий режим. Хранение данных в зашифрованном виде убережет их в случае утери, конфискации или кражи устройства, но в случае, если злоумышленники получили скрытый контроль над компьютером по сети, например, с использованием вредоносного ПО с возможностями удаленного управления, им не составит труда получить ключевой файл и пароль в момент использования. Варианты противодействия этим типам атак рассматривать не будем, так как тема сетевой безопасности довольно обширна, и выходит за рамки данной статьи.

Источник: https://habr.com/ru/company/ruvds/blog/525876/

Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными

Veracrypt linux русификация

Ты пользуешься VeraCrypt и всегда выбираешь самый надежный алгоритм шифрования и длинный пароль, надеясь, что так ты сделаешь контейнер неприступным? Эта статья перевернет твои представления о том, как работает безопасность криптоконтейнеров, и покажет, что на самом деле влияет на стойкость контейнера к взлому.

VeraCrypt — наиболее популярный форк знаменитого средства шифрования TrueCrypt.

Почему ему часто отдают предпочтение? На стороне VeraCrypt — открытый исходный код, а также собственный и более защищенный по сравнению с TrueCrypt формат виртуальных и зашифрованных дисков.

Исходники VeraCrypt проходили независимый аудит, и найденные уязвимости с тех пор закрыли, что сделало «Веру» еще надежнее.

Эта статья не о том, как ломать криптоконтейнеры. Однако, если ты не знаешь, как станут действовать эксперты, пытающиеся получить доступ к зашифрованным данным, будет трудно понять смысл описанных действий.

Действия эксперта в лаборатории зависят от того, что именно и каким именно образом изъято при обыске.

Самый типичный случай — изъятие внешних накопителей целиком; компьютеры выключаются и также изымаются целиком, но в лабораторию к эксперту попадает не целый компьютер в сборе, а только извлеченные из него диски.

Подобный сценарий — тот самый случай, противостоять которому так долго готовились разработчики всех криптоконтейнеров без исключения. Лобовые атаки на криптоконтейнеры малоэффективны, а на некоторые их разновидности (в частности, загрузочные разделы, зашифрованные в режиме TPM или TPM + ключ) неэффективны абсолютно.

В типичном случае эксперт попытается сначала проанализировать файлы гибернации и подкачки.

Если пользователь пренебрег настройками безопасности криптоконтейнера (кстати, при использовании BitLocker эти настройки далеко не очевидны), то ключи шифрования спокойно извлекаются из этих файлов, а зашифрованные тома расшифровываются без длительных атак. Разумеется, в ряде случаев эта атака не сработает. Она будет бесполезна, если выполнено хотя бы одно из описанных ниже условий.

1. Загрузочный диск зашифрован. В этом случае и файл подкачки, и файл гибернации будут также зашифрованы.

Например, если для шифрования загрузочного раздела используется BitLocker (это имеет смысл, даже если остальные данные зашифрованы в контейнерах VeraCrypt), то Microsoft подробно описывает модель безопасности в FAQ и BitLocker Security FAQ (раздел What are the implications of using the sleep or hibernate power management options?).

Кстати, из этого правила есть исключения — например, если файл подкачки вынесен на отдельное от загрузочного устройство (довольно распространенный случай для пользователей, которые таким образом «экономят» ресурс загрузочного SSD).

2. Компьютер был выключен штатным образом (через команду Shutdown) или был изъят в состоянии гибридного сна либо гибернации; при этом криптоконтейнер настроен таким образом, чтобы автоматически размонтировать зашифрованные тома и уничтожать ключи шифрования в оперативной памяти при переходе компьютера в сон, гибернацию или при его отключении.

Немного сложно для восприятия? Упрощу: если в момент изъятия зашифрованный том был смонтирован, а полиция просто выдернула вилку из розетки, то ключ шифрования, скорее всего, останется в файле гибернации (удастся ли его оттуда вытащить — зависит от пункта 1). А вот если компьютер выключили командой Shutdown, то наличие или отсутствие ключа будет зависеть от настроек криптоконтейнера. О том, как правильно настроить VeraCrypt, мы поговорим дальше.

3. Наконец, очевидное: анализ файлов подкачки и гибернации совершенно бесполезен, если в момент изъятия компьютера зашифрованный том не был подмонтирован.

Если извлечь ключи шифрования не удается, эксперт поищет их в облаке или корпоративной сети (для томов, зашифрованных штатными средствами BitLocker или FileVault 2). Только после этого в ход пойдет лобовая атака — перебор паролей.

С перебором паролей тоже непросто. Во-первых, давно прошли времена, когда под «лобовой атакой» понимался простой брутфорс. Скорость атаки будет такой, что полный перебор всего пространства паролей становится бесполезен, если длина пароля к криптоконтейнеру превышает 7–8 символов.

Соответственно, для атак используются словари, в первую очередь — словари, составленные из паролей самого пользователя (извлечь их можно как из компьютера пользователя, так и из его мобильных устройств или напрямую из облака Google Account).

Давно разработаны методы анализа паролей и составления правил-шаблонов, на основе которых будут генерироваться «похожие» пароли.

Для атаки в полиции будут использовать один из немногих пакетов программ, позволяющих запустить атаку на множестве (в теории — до нескольких тысяч, в реальности — порядка сотен) компьютеров, каждый из которых будет оснащен несколькими графическими ускорителями.

Звучит неправдоподобно? Тем не менее во время тренингов для полиции в разных частях земного шара я видел помещения с компьютерами, использующимися для распределенных атак. Могу сказать о них следующее.

Создателей фантастических фильмов в эти помещения, очевидно, не пускают, поэтому на экранах кинотеатров нам приходится наблюдать жалкие плоды убогой фантазии.

Просто чтобы обозначить масштаб, поделюсь поразившим меня фактом: на рабочих столах полицейских экспертов одного британского захолустья стоят компьютеры с GeForce 2080 и 40 процессорными ядрами.

Для начала область перебора будет ограничена набором символов, которые встречаются в паролях пользователя.

Дальше опробуют атаку с мутациями (берется слово из словаря, и проверяются его варианты, составленные по довольно простым правилам, которыми пользуется подавляющее большинство обычных пользователей). Кстати, на мутациях чаще всего и заканчиваются попытки атак в тех случаях, когда у полиции нет зацепок — не удалось получить ни одного пароля пользователя.

Если это не сработает, в ход пойдут маски (попытки вручную сконструировать пароли, «похожие» на те, которые были найдены у пользователя).

В особо сложных случаях дело дойдет до гибридных атак (использование комбинаций из одного или двух словарей в комбинации со скриптованными правилами, масками и/или префиксами).

Нестандартно действовать полиция начинает в редких случаях, когда у подозреваемого заранее предполагается наличие зашифрованных «цифровых улик». В этом случае вместе с оперативниками выезжают подготовленные эксперты, которые проконтролируют изъятие и попытаются исследовать включенные, работающие компьютеры прямо на месте. Эксперт попробует сделать следующее.

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Источник: https://xakep.ru/2020/01/30/fortified-veracrypt/

Как установить VeraCrypt в Linux

Veracrypt linux русификация

VeraCrypt – это наследница программы TrueCrypt. Она предназначена для шифрования дисков и обеспечивает очень надёжную безопасность. Программа полностью бесплатная, у неё открыт исходный код, автор программы регулярно выпускает обновления, которые не только исправляют ошибки, но и приносят новые функции и улучшения.

Установка VeraCrypt в Linux

VeraCrypt отсутствует в стандартных репозиториях ряда популярных дистрибутивов Linux. Поэтому без достаточной информации у некоторых пользователей могут быть затруднения. Эта инструкция описывает процесс установки VeraCrypt в Kali Linux, Linux Mint, Ubuntu, Arch Linux и BlackArch.

По аналогии, описанные здесь действия могут использоваться и для других дистрибутивов Linux. Кроме версий под Windows и Linux, также имеются версии VeraCrypt для FreeBSD и Raspbian (Raspberry Pi ARMv7).

Установка с помощью скрипта

Я написал скрипт, который упрощает установку VeraCrypt в Linux. Скрипт успешно протестировался в Kali Linux, Linux Mint, Ubuntu.

Чтобы воспользоваться этим скриптом создайте файл VeraCrypt-manager.sh, например, следующим образом:

gedit VeraCrypt-manager.sh

И скопируйте в него следующий скрипт:

Развернуть

#!/bin/bash # Скрипт для удобной установки VeraCrypt в Linux. # Поддержка в случае проблем со скриптом: https://hackware.ru/?p=4559 if [ “$1” ]; then if [ “$1” == “install” ]; then echo “Начинаем установку” temp=”$(curl -s https://sourceforge.net/projects/veracrypt/files/)” if [ $? -ne '0' ]; then echo “Не удалось подключиться к удалённому серверу” exit 1 fi v=`echo “${temp}” | grep -E -o '/projects/veracrypt/files/VeraCrypt%20[0-9.]+' | head -n 1 | sed 's/\/projects\/veracrypt\/files\/VeraCrypt%20//'` temp2=”$(curl -s https://sourceforge.net/projects/veracrypt/files/VeraCrypt%20$v/)” if [ $? -ne '0' ]; then exit 1 fi LINK=`echo “${temp2}” | grep -i -E -o 'https://sourceforge.net/projects/veracrypt/files/VeraCrypt%20[a-z0-9.-]+/veracrypt-[0-9.-]+-setup.tar.bz2/download' | head -n 1` wget “$LINK” -O “veracrypt-setup.tar.bz2” tar xvjf “veracrypt-setup.tar.bz2” echo “Имеются 64-битная и 32-битная версия. Какую версию вы хотите установить?” echo -e “\t1 – для установки 64-битной” echo -e “\t2 – для установки 32-битной” read -p “Введите номер: ” BITNUM echo “” echo “Имеются версия с графическим интерфейсом и консольная версия. Какую версию вы хотите установить?” echo -e “\t1 – для установки версии с графическим интерфейсом” echo -e “\t2 – для установки консольной версии” read -p “Введите номер: ” INTNUM echo “” if [ $BITNUM -eq 1 ]; then if [ $INTNUM -eq 1 ]; then echo “Начинается установка 64-битной версии с графическим интерфейсом:” sudo bash “veracrypt-${v}-setup-gui-x64” elif [ $INTNUM -eq 2 ]; then echo “Начинается установка 64-битной версии с интерфейсом командной строки:” sudo bash “veracrypt-${v}-setup-console-x64” else echo “Вы ввели неверный номер (интерфейс).” exit fi elif [ $BITNUM -eq 2 ]; then if [ $INTNUM -eq 1 ]; then echo “Начинается установка 32-битной версии с графическим интерфейсом:” sudo bash “veracrypt-${v}-setup-gui-x32” elif [ $INTNUM -eq 2 ]; then echo “Начинается установка 32-битной версии с интерфейсом командной строки:” sudo bash “veracrypt-${v}-setup-console-x32” else echo “Вы ввели неверный номер (интерфейс).” exit fi else echo “Вы ввели неверный номер (битность).” exit fi rm “veracrypt-setup.tar.bz2” veracrypt-*-setup-console-x64 veracrypt-*-setup-console-x86 veracrypt-*-setup-gui-x64 veracrypt-*-setup-gui-x86 elif [ “$1” == “uninstall” ]; then echo “Начинаем удаление” sudo bash veracrypt-uninstall.sh elif [ “$1” == “check” ]; then echo “Начинаем проверку версий” temp=”$(curl -s https://sourceforge.net/projects/veracrypt/files/)” if [ $? -ne '0' ]; then echo “Не удалось подключиться к удалённому серверу” exit 1 fi v=`echo “${temp}” | grep -E -o '/projects/veracrypt/files/VeraCrypt%20[0-9.]+' | head -n 1 | sed 's/\/projects\/veracrypt\/files\/VeraCrypt%20//'` temp2=”$(curl -s https://sourceforge.net/projects/veracrypt/files/VeraCrypt%20$v/)” if [ $? -ne '0' ]; then exit 1 fi echo “Последняя стабильная версия:” echo “${temp2}” | grep -i -E -o 'https://sourceforge.net/projects/veracrypt/files/VeraCrypt%20[a-z0-9.-]+/veracrypt-[0-9.-]+-setup.tar.bz2/download' | head -n 1 | grep -Eo 'veracrypt-[0-9.-]+-setup.tar.bz2' | sed 's/veracrypt-//' | sed 's/-setup.tar.bz2//' if [ “`which veracrypt`” ]; then echo “В системе установлена версия:” echo “$(veracrypt –version | sed 's/VeraCrypt //')” else echo “VeraCrypt не установлена в вашей системе.” fi else echo “Введена неверная команда” fi else echo “Использование:” echo “” echo “sudo bash VeraCrypt-manager.sh [КОМАНДА]” echo “” echo “В качестве [КОМАНДЫ] может быть:” echo -e “\t\033[1minstall\e[0m – для установки последней версии VeraCrypt” echo -e “\t\033[1muninstall\e[0m – для удаления VeraCrypt из системы” echo -e “\t\033[1mcheck\e[0m – для проверки последней выпущенной версии VeraCrypt и версии, установленной в системе” fi

При запуске:

sudo bash VeraCrypt-manager.sh

Будет выведена информация об использовании:

sudo bash VeraCrypt-manager.sh [КОМАНДА] В качестве [КОМАНДЫ] может быть: install – для установки последней версии VeraCrypt uninstall – для удаления VeraCrypt из системы check – для проверки последней выпущенной версии VeraCrypt и версии, установленной в системе

Для установки VeraCrypt запустите скрипт следующим образом:

sudo bash VeraCrypt-manager.sh install

Скрипт сам определит последнюю версию и скачает её с официального сайта.

Далее скрипт спросит:

Имеются 64-битная и 32-битная версия. Какую версию вы хотите установить? 1 – для установки 64-битной 2 – для установки 32-битной Введите номер:

Затем:

Имеются версия с графическим интерфейсом и консольная версия. Какую версию вы хотите установить? 1 – для установки версии с графическим интерфейсом 2 – для установки консольной версии Введите номер:

После ввода цифр, скрипт запустит нужный установщик:

Нажмите кнопку «Install VeraCrypt». Будет открыто окно с лицензией, примите её, нажамв кнопку «I accept and agree to be bound by the license terns»:

Будет показано окно с информацией для удаления:

Закройте это окно, после этого откроется ещё одно консольное окно, когда в нём завершаться все операции, также закройте его:

Всё, на этом установка завершена. Для запуска выполните

sudo veracrypt

С помощью этого же скрипта вы можете проверить текущую последнюю версию, а также удалить VeraCrypt.

Ручная установка VeraCrypt

Все программы, а в особенности имеющие отношение к безопасности, крайне важно скачивать только с официальных сайтов.

Официальными местами размещения установочных файлов VeraCrypt являются:

Скачайте версию для Linux – это файл с расширением .tar.bz2.

Распакуйте скаченный архив. Будет извлечено четыре новых файла с примерно следующими именами (номер версии может отличаться):

  • veracrypt-1.21-setup-console-x64
  • veracrypt-1.21-setup-console-x86
  • veracrypt-1.21-setup-gui-x64
  • veracrypt-1.21-setup-gui-x86

x64 и x86 здесь обозначают битность, gui – это версия с графическим интерфейсом, а console – версия с интерфейсом командной строки. Т.е., например, для запуска установки 64-битной версии с графическим интерфейсом нужно запустить файл veracrypt-1.21-setup-gui-x64.

Чтобы запустить установщик, откройте консоль (командную строку), перетащите туда нужный файл, и допишите перед ним sudo, чтобы получилось примерно так:

Нажмите ENTER и начнётся описанная выше установка.

Особенности установки консольной версии VeraCrypt

У консольной версии установка проходит в текстовом интерфейсе. В начале нужно выбрать:

При выборе первого пункта, будет произведена установка. При выборе второго пункта будет извлечён архив.

Далее нужно будет нажать Enter, чтобы была показана лицензия. Лицензия длинная, для её прокрутки можно использовать клавишу пробела (Space).

В самом конце нужно будет ввести yes, что будет подтверждать принятие лицензии:

Установка VeraCrypt в Arch Linux/BlackArch

И Arch Linux, и BlackArch имеют в своих репозиториях VeraCrypt, поэтому установка предельно проста:

sudo pacman -S veracrypt

Этой командой будет установлена версия с графическим интерфейсом. Чтобы открыть программу выполните:

sudo veracrypt

Портативная версия VeraCrypt для Linux

Для Linux нет специального архива с портативной версией. Тем не менее, любой установщик VeraCrypt на выбор предлагает установить или просто разархивировать программу:

В папку /tmp будет извлечён архив вида veracrypt_*_console_amd64.tar.gz или veracrypt_*_amd64.tar.gz.

Каталог /tmp очищается при каждой перезагрузке. Поэтому извлечённый файл нужно скопировать в другую папку:

cp /tmp/veracrypt_*_amd64.tar.gz ~/veracrypt.tar.gzЧтобы распаковать архив:
tar xvzf ~/veracrypt.tar.gz

Теперь портативная версия будет доступна по пути ~/usr/bin/veracrypt:

sudo ~/usr/bin/veracrypt

Как одновременно установить версии VeraCrypt с консольным и графическим интерфейсом в Linux

Чтобы иметь в системе VeraCrypt с различными интерфейсами, можно установить одну из версий как обычную программу, а вторую использовать как портативную. Либо обе версии использовать как портативные.

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.