хтось попрохав мене накидати просту підказку з шифрування файлів на комп’ютері з windows. задача: зберегти приватну документацію (скани паспортів, податкових декларацій, паролі тощо) в хмарних сховищах на кшталт dropbox та google drive, але так, щоби перший-ліпший хакер не скористався так просто якоюсь там черговою вразливістю, а принаймні трохи помучився спершу. я гадав, що вже писав про це колись, бо вже грався з truecrypt, але виявилося, що ніт, не писав… тож накидаю нашвидкуруч покрокову інструкцію: як створити зашифроване сховище в одному файлі за допомогою veracrypt й користуватися ним для зберігання приватних документів.

важлива вступна засторога

у світі інформаційних технологій не буває абсолютно надійного захисту з однією кнопкою «зашифрувати». всі паролі ламаються, всі шифри розшифровуються — це лише питання часу. сучасні програмні засоби збільшують цей час до мільйонів років… але завтра комп’ютери зробляться ще потужнішими, і доведеться змінювати технології захисту. окрім того, існують інші технічні (журнали, кешовані дані тощо) та нетехнічні загрози, як от право держави вимагати у вас розкриття певної, в тому числі приватної інформації для розкриття злочинів, а злочинці можуть банально силою примусити когось розкрити потрібну інформацію…

шифрування файлів хоч і покращує шанси на збереження приватности, але не є абсолютно надійним інструментом. втім, від онлайнових хуліганів, які сподіваються на легку поживу, не маючи серйозних технічних можливостей, такий інструмент убезпечить.

інструмент: veracrypt

ми скористаємося програмою veracrypt, яка є вдосконаленим нащадком колись популярного truecrypt’а. код відкритий, використання — безкоштовне, є версії для linux, windows (в т.ч. портативна) та mac os, а застосовані протоколи шифрування вельми надійні.

програма пропонує декілька режимів роботи, я пропоную найпростіший: зашифрований контейнер у файлі. як це працює? veracrypt створює файл довільного розміру (скажімо, 128 мегабайт), який може мати будь-яке ім’я і розширення. на позір цей файл міститиме випадкові дані, але насправді він слугуватиме зашифрованим контейнером, до якого, як на флешку, можна записувати свої файли — під час запису veracrypt шифрує все «на льоту», а під час читання — так само розшифровує. але для доступу до цієї «віртуальної флешки» необхідно знати пароль, який вказано під час створення контейнера.

нема пароля — неможливо «прочитати» вміст файла-контейнера, ба навіть побачити, чи в ньому щось є. тому цей файл-контейнер можна віносно безпечно зберігати на dropbox’і або google drive’і.

інструкція зі створення зашифрованого контейнера

поважаючи читача, я не опускатимусь до сентенцій на кшталт «завантажити файл veracrypt portable 1.23-hotfix-2.exe до теки Завантажене» та «клацнути двічі мишкою на файлі» тощо =)

крок 1. завантажити veracrypt

посилання на офіційний веб-сайт veracrypt є у вікіпедії; завантажити портативну версію (не потребує інсталяції) можна і з https://portableapps.com/apps/security/veracrypt-portable[portableapps.com]. з будь-яких інших джерел не треба завантажувати, бо ви не знаєте, хто що робив з програмою, якій ви збираєтеся довірити свої документи.

веб-сайт veracrypt

крок 2. встановити й запустити veracrypt

інсталятор не має української мови, — можна скористатися англійською, прийнявши всі запропоновані стандартні значення (мова, тека встановлення тощо). портативна версія не встановлюється, а просто розгортається з архіва — хоч і на флешку. після встановлення — запускаємо й (опційно) обираємо українську мову інтерфейсу.

запуск і вибір мови інтерфейсу veracrypt

крок 3. створити контейнер

найцікавіший крок — створення зашифрованого контейнера, кнопка «створити том» в головному вікні програми (або меню томи > створити новий том) відкриває «майтер», який пропонує три варіанти; обираємо перший: створити зашифрований файловий контейнер.

створення зашифрованого контейнера veracrypt

на наступній сторінці «майстра» обираємо звичайний том veracrypt.

створення зашифрованого контейнера veracrypt

далі знадобиться вказати назву й розташування файлу, який слугуватиме зашифрованим контейнером. в моєму випадку файл називатиметься сховище документів (можна на вказувати розширення, veracrypt ніяк не аналізує назв і не накладає обмежень) в теці приватні документи на google drive’і.

розташування контейнера veracrypt

налаштування шифрування — залишаємо все як запропоновано.

тип шифрування для контейнера veracrypt

далі обираємо розмір для контейнера — на випробу я вказую щось не надто велике, 128 мб.

розмір контейнера veracrypt

наступний крок надзвичайно важливий — вибір пароля для доступу до контейнера. все, що коротше 12 символів, містить звичайні слова, дати, і не містить пунктуації чи спеціяльних символів — на сьогодні вважається недостатньо надійним навіть для найпростішого захисту. з іншого боку, не можна забути цей пароль, бо тоді доступ до зашифрованих файлів буде втрачено (ще трохи підказок щодо паролів).

пароль до контейнера veracrypt

тепер треба вибрати файлову систему для контейнера — рекомендую exfat як найпростішу й найшвидшу (можна й ntfs, але не рекомендую fat). далі veracrypt пропонує рухати мишкою, аж поки програма накопичить достатньо ентропії для генерації надійноих ключів для шифрування контейнера; коли смужка на долі екрану позеленіє, можна рухатися далі (кнопка форматувати).

форматування контейнера veracrypt

тепер veracrypt створить файл контейнера, створить в ньому файлову систему і зашифрує. надійний контейнер для документів готовий. це була підготовча частина інструкції, її слід виконати один раз (ну, хіба що потрібно більше контейнерів для різних задач). наступна частина — про те, як тим контейнером користуватися.

контейнер veracrypt готовий!

інструкція з використання зашифрованого контейнера

фактично, ця частина складатиметься тільки з однієї підказки: щоби скористатися контейнером, його треба… підключити (приблизно так, як підключають usb-флешку, щоби щось на неї записати чи з неї прочитати), або точніше, на айтішному жаргоні, «(під)монтувати».

крок 4. підключити контейнер

у головному вікні veracrypt вибираємо літеру пристрою (в моєму випадку v:), вибираємо файл-контейнер для монтування (у мене: файл сховище документів у теці приватні документи), і клацаємо монтувати.

підключення контейнера veracrypt

veracrypt запитає пароль — той самий, вказаний під час створення контейнера…

контейнер veracrypt підключено як диск v:

…і підключить зашифрований контейнер як «диск» з вибраною літерою (v:); наразі він порожній. всі файли, які створити чи перенести на цей «диск» — насправді буде збережено в зашифрованому файлі-контейнері «сховище документів».

підключений порожній контейнер veracrypt

крок 5. відключити контейнер?

файл-контейнер «портативний»: його можна скопіювати чи перемістити на dropbox, на google drive тощо. але! так само, як підключену флешку треба відмонтувати й відключити від комп’ютера, щоби перенести файли деінде — і файл-контейнер варто «відключити», коли ми ним не користуємося (або якщо його треба кудись перемістити). для цього треба вибрати пристрій v: в головному вікні veracrypt і клацнути розмонтувати.

наступного разу, щоби отримати доступ до своїх зашифрованих файлів, доведеться знову підключити контейнер (крок 4), вказавши пароль. якщо потрібно відкрити той самий контейнер (приміром, він зберігається на google drive) на іншому комп’ютері — знадобляться лише veracrypt і пароль.

власне, це все. не забувайте свої паролі =)