хтось попрохав мене накидати просту підказку з шифрування файлів на комп’ютері з windows. задача: зберегти приватну документацію (скани паспортів, податкових декларацій, паролі тощо) в хмарних сховищах на кшталт dropbox та google drive, але так, щоби перший-ліпший хакер не скористався так просто якоюсь там черговою вразливістю, а принаймні трохи помучився спершу. я гадав, що вже писав про це колись, бо вже грався з truecrypt, але виявилося, що ніт, не писав… тож накидаю нашвидкуруч покрокову інструкцію: як створити зашифроване сховище в одному файлі за допомогою veracrypt й користуватися ним для зберігання приватних документів.
- важлива вступна засторога
- інструмент: veracrypt
- інструкція зі створення зашифрованого контейнера
- крок 1. завантажити veracrypt
- крок 2. встановити veracrypt
- крок 3. створити контейнер
- інструкція з використання зашифрованого контейнера
- крок 4. підключити контейнер
- крок 5. відключити контейнер?
важлива вступна засторога
у світі інформаційних технологій не буває абсолютно надійного захисту з однією кнопкою «зашифрувати». всі паролі ламаються, всі шифри розшифровуються — це лише питання часу. сучасні програмні засоби збільшують цей час до мільйонів років… але завтра комп’ютери зробляться ще потужнішими, і доведеться змінювати технології захисту. окрім того, існують інші технічні (журнали, кешовані дані тощо) та нетехнічні загрози, як от право держави вимагати у вас розкриття певної, в тому числі приватної інформації для розкриття злочинів, а злочинці можуть банально силою примусити когось розкрити потрібну інформацію…
шифрування файлів хоч і покращує шанси на збереження приватности, але не є абсолютно надійним інструментом. втім, від онлайнових хуліганів, які сподіваються на легку поживу, не маючи серйозних технічних можливостей, такий інструмент убезпечить.
інструмент: veracrypt
ми скористаємося програмою veracrypt, яка є вдосконаленим нащадком колись популярного truecrypt’а. код відкритий, використання — безкоштовне, є версії для linux, windows (в т.ч. портативна) та mac os, а застосовані протоколи шифрування вельми надійні.
програма пропонує декілька режимів роботи, я пропоную найпростіший: зашифрований контейнер у файлі. як це працює? veracrypt створює файл довільного розміру (скажімо, 128 мегабайт), який може мати будь-яке ім’я і розширення. на позір цей файл міститиме випадкові дані, але насправді він слугуватиме зашифрованим контейнером, до якого, як на флешку, можна записувати свої файли — під час запису veracrypt шифрує все «на льоту», а під час читання — так само розшифровує. але для доступу до цієї «віртуальної флешки» необхідно знати пароль, який вказано під час створення контейнера.
нема пароля — неможливо «прочитати» вміст файла-контейнера, ба навіть побачити, чи в ньому щось є. тому цей файл-контейнер можна віносно безпечно зберігати на dropbox’і або google drive’і.
інструкція зі створення зашифрованого контейнера
поважаючи читача, я не опускатимусь до сентенцій на кшталт «завантажити файл veracrypt portable 1.23-hotfix-2.exe до теки Завантажене» та «клацнути двічі мишкою на файлі» тощо =)
крок 1. завантажити veracrypt
посилання на офіційний веб-сайт veracrypt є у вікіпедії; завантажити портативну версію (не потребує інсталяції) можна і з https://portableapps.com/apps/security/veracrypt-portable[portableapps.com]. з будь-яких інших джерел не треба завантажувати, бо ви не знаєте, хто що робив з програмою, якій ви збираєтеся довірити свої документи.
крок 2. встановити й запустити veracrypt
інсталятор не має української мови, — можна скористатися англійською, прийнявши всі запропоновані стандартні значення (мова, тека встановлення тощо). портативна версія не встановлюється, а просто розгортається з архіва — хоч і на флешку. після встановлення — запускаємо й (опційно) обираємо українську мову інтерфейсу.
крок 3. створити контейнер
найцікавіший крок — створення зашифрованого контейнера, кнопка «створити том» в головному вікні програми (або меню томи > створити новий том) відкриває «майтер», який пропонує три варіанти; обираємо перший: створити зашифрований файловий контейнер.
на наступній сторінці «майстра» обираємо звичайний том veracrypt.
далі знадобиться вказати назву й розташування файлу, який слугуватиме зашифрованим контейнером. в моєму випадку файл називатиметься сховище документів (можна на вказувати розширення, veracrypt ніяк не аналізує назв і не накладає обмежень) в теці приватні документи на google drive’і.
налаштування шифрування — залишаємо все як запропоновано.
далі обираємо розмір для контейнера — на випробу я вказую щось не надто велике, 128 мб.
наступний крок надзвичайно важливий — вибір пароля для доступу до контейнера. все, що коротше 12 символів, містить звичайні слова, дати, і не містить пунктуації чи спеціяльних символів — на сьогодні вважається недостатньо надійним навіть для найпростішого захисту. з іншого боку, не можна забути цей пароль, бо тоді доступ до зашифрованих файлів буде втрачено (ще трохи підказок щодо паролів).
тепер треба вибрати файлову систему для контейнера — рекомендую exfat як найпростішу й найшвидшу (можна й ntfs, але не рекомендую fat). далі veracrypt пропонує рухати мишкою, аж поки програма накопичить достатньо ентропії для генерації надійноих ключів для шифрування контейнера; коли смужка на долі екрану позеленіє, можна рухатися далі (кнопка форматувати).
тепер veracrypt створить файл контейнера, створить в ньому файлову систему і зашифрує. надійний контейнер для документів готовий. це була підготовча частина інструкції, її слід виконати один раз (ну, хіба що потрібно більше контейнерів для різних задач). наступна частина — про те, як тим контейнером користуватися.
інструкція з використання зашифрованого контейнера
фактично, ця частина складатиметься тільки з однієї підказки: щоби скористатися контейнером, його треба… підключити (приблизно так, як підключають usb-флешку, щоби щось на неї записати чи з неї прочитати), або точніше, на айтішному жаргоні, «(під)монтувати».
крок 4. підключити контейнер
у головному вікні veracrypt вибираємо літеру пристрою (в моєму випадку v:), вибираємо файл-контейнер для монтування (у мене: файл сховище документів у теці приватні документи), і клацаємо монтувати.
veracrypt запитає пароль — той самий, вказаний під час створення контейнера…
…і підключить зашифрований контейнер як «диск» з вибраною літерою (v:); наразі він порожній. всі файли, які створити чи перенести на цей «диск» — насправді буде збережено в зашифрованому файлі-контейнері «сховище документів».
крок 5. відключити контейнер?
файл-контейнер «портативний»: його можна скопіювати чи перемістити на dropbox, на google drive тощо. але! так само, як підключену флешку треба відмонтувати й відключити від комп’ютера, щоби перенести файли деінде — і файл-контейнер варто «відключити», коли ми ним не користуємося (або якщо його треба кудись перемістити). для цього треба вибрати пристрій v: в головному вікні veracrypt і клацнути розмонтувати.
наступного разу, щоби отримати доступ до своїх зашифрованих файлів, доведеться знову підключити контейнер (крок 4), вказавши пароль. якщо потрібно відкрити той самий контейнер (приміром, він зберігається на google drive) на іншому комп’ютері — знадобляться лише veracrypt і пароль.
власне, це все. не забувайте свої паролі =)