VeraCrypt — шифрование файлов, папок и дисков

VeraCrypt — программа для шифрования файлов и дисков. VeraCrypt умеет:

• создавать защищённые (зашифрованные) программные «контейнеры», в которых можно хранить важные файлы и папки;
• шифровать логические разделы на дисках и целые диски, в том числе внешние диски и флешки.

Шифрование и расшифровка данных выполняются «на лету». Несколько простых манипуляций в начале рабочего дня, и дальше VeraCrypt работает в фоновом режиме без потери скорости.

Загрузка и установка VeraCrypt

VeraCrypt — бесплатная кросс-платформенная программа с открытым кодом. Вы можете загрузить версии VeraCrypt для Windows, macOS и Linux с официального сайта разработчика. В качестве примера мы будем использовать версию для Windows. Пользователи macOS и Linux могут действовать по аналогии. (Обратите внимание, что «маководам» может понадобиться сначала установить компонент macFUSE).

1. Загрузите дистрибутив VeraCrypt (файл .exe) с официального сайта на свой компьютер. Если вы хотите установить VeraCrypt на компьютер как обычную программу, выбирайте самую первую строчку в разделе «Windows». Ссылка начинается со слов «VeraCrypt Setup». В этом материале мы будем использовать эту версию. Если вам больше по душе портативная версия, выбирайте вторую строчку. Ссылка начинается со слов «VeraCrypt Portable».

2. Запустите установку. Вам предложат выбрать язык.

Выбирайте и нажимайте «ОК».

3. Окно с лицензионным соглашением.

Поставьте галочку в поле «I accept the license terms» и нажмите кнопку «Далее».

4. Выберите «Установить» и нажмите кнопку «Далее».

5. По умолчанию программа предложит папку C:\Program Files\Veracrypt

Выберите папку и нажмите кнопку «Установить». Когда все завершится, VeraCrypt торжественно сообщит «Программа VeraCrypt успешно установлена». Нажмите кнопку «ОК».

6. VeraCrypt предложит сделать пожертвование разработчикам («Please consider making a donation»). Если хотите помочь прямо сейчас, нажмите кнопку «Помочь…», в противном случае кнопку «Готово». 

7. Появится окно с предложением почитать документацию (можете выбрать «Да» или «Нет»).

8. Если в Windows включена функция быстрой загрузки (а по умолчанию это так), VeraCrypt предложит ее отключить. Если говорить простыми словами, то с точки зрения безопасности это может иметь смысл, ведь функция быстрой загрузки подразумевает дополнительное автоматическое сохранение рабочих данных. Но можно использовать выгоды от быстрой загрузки и работу с VeraCrypt, например, если не шифровать системный диск и аккуратно выполнять все работы по ручному монтированию и размонтированию (об этом ниже). Так что если сомневаетесь, не отключайте быструю загрузку сейчас, это всегда можно сделать позже. 

На этом установка VeraCrypt завершена.

Если в самом начале вы выбрали портативную версию, то для запуска программы нужно будет запустить файл .exe:

• VeraCrypt, если у вас 32-битная операционная система,
• VeraCrypt-x64, если у вас 64-битная операционная система.

Не знаете, какая у вас операционная система? Нажмите правой кнопкой мыши на кнопку «Пуск», выберите в меню «Система» и обратите внимание на характеристики устройства.

Создание файлового контейнера

1. Запустите программу. Скорее всего, интерфейс у вас будет сразу на русском языке. Если нет, выберите в меню «Settings» пункт «Language» и нужный язык из списка.​

2. Нажмите кнопку «Создать том». Откроется окно мастера создания томов VeraCrypt.

Оставьте пункт, выбранный по умолчанию — «Создать зашифрованный файл-контейнер». Нажмите кнопку «Далее».

3. Откроется окно выбора типа тома.

Оставьте пункт по умолчанию — «Обычный том VeraCrypt». (О скрытом томе мы расскажем потом). Нажмите кнопку «Далее».

4. На этом этапе нужно выбрать место и название файла-контейнера. Не следует называть файл «Важное», «Сейф», «Рабочие документы» и т.п. Если злоумышленник получит доступ к вашему компьютеру, такое название лишь привлечёт его внимание. Вряд ли стоит маскировать файл, придумывая ему расширение вроде .mkv или .avi. Ваш контейнер ожидаемо не откроется ни в каком медиаплеере, что может вызвать дополнительные вопросы у «проверяющего». Придумайте файлу произвольное имя и расширение. При необходимости файл можно потом переместить и переименовать.

Итак, нажмите кнопку «Выбрать файл…», укажите место для создания файла, придумайте файлу название. Галочку в поле «Не сохранять историю» не трогайте, пусть стоит. Запомните, где находится этот файл и как называется. Нажмите кнопку «Далее».

5. Выбор настроек шифрования.

Продвинутые пользователи могут почитать о том, какие алгоритмы шифрования использует VeraCrypt, и даже сделать выбор между ними. Мы же оставим все без изменений и нажмем кнопку «Далее».

6. Выбор размера тома.

Контейнер — как сундук. Он ограничен в объёме, и этот объём мы задаем с самого начала. Советуем задавать объем с учётом размера всех важных файлов, которые вы собираетесь хранить внутри, лучше с запасом. Если потом места не хватит, можно создать новый контейнер попросторнее. Итак, выберите размер и нажмите кнопку «Далее».

Если на этом шаге вы указали размер тома 4 Гб и более, а диск, который вы выбрали на шаге 4 для создания контейнера, отформатирован в файловой системе FAT (FAT32), VeraCrypt сообщит об ошибке. Причина в том, что эта распространенная, но старая файловая система не поддерживает файлы размером более 4 Гб. Уменьшите размер тома или выберите для хранения контейнера другой носитель данных (диск или флешку).

7. Пароль для контейнера.

Это очень важный пароль. Он должен быть по-настоящему надежным. (О том, что такое надежные пароли и как их хранить, есть отдельный онлайн-курс). Введите пароль дважды, нажмите кнопку «Далее». Пароли длиной менее 20 символов VeraCrypt считает слишком короткими и на всякий случай просит подтверждение.

Увеличьте длину пароля или, если пароль достаточно надежный, нажмите «Да».

8. Большие файлы

Если на шаге 6 вы указали размер тома 4 Гб и более, а диск, который вы выбрали на шаге 4 для создания контейнера, отформатирован НЕ в файловой системе FAT (FAT32), вы увидите дополнительное окно «Большие файлы». VeraCrypt спросит, собираетесь ли вы хранить в своем контейнере файлы размером более 4 Гб. Если да, на следующем шаге вам будет по умолчанию предложена файловая система exFAT. Если нет — файловая система FAT. (Подробнее см. ниже).

9. Подготовка тома (контейнера).

• Файловая система FAT — самая старая. Она лучше всего с точки зрения совместимости. Если вы используете FAT, ваш контейнер можно будет открыть практически на любом устройстве, где есть VeraCrypt, включая компьютеры с macOS и Linux и откровенно старые устройства. FAT обладает важным ограничением: она не понимает крупные файлы 4 Гб и больше. 
• exFAT — более современная файловая система. Это «NTFS лайт» с хорошей совместимостью, близкой к FAT. Если у вас нет старых устройств и/или вы допускаете хранение в зашифрованном контейнере файлов размером 4 Гб и больше, возможно, лучше выбрать exFAT.
• NTFS — полнофункциональная файловая система современных операционных систем Windows. Может иметь ограничения совместимости, так что рассматривать ее лучше тем пользователям, которые работают исключительно с Windows.

macOS и Linux предложат также собственные «родные» файловые системы. Остальные параметры в этом окне оставьте как есть.

Перемещайте курсор мыши внутри окна. Так вы помогаете программе собирать случайные данные и увеличиваете криптостойкость ключей. Полоска в нижней части окна растет и меняет цвет от красной к зеленой. Когда полоска окончательно позеленеет или вам надоест толкать курсор по экрану, нажмите кнопку «Разметить». Наблюдайте за индикатором в центре окна.

После того, как этот индикатор станет полностью зеленым, появится окошко с сообщением об успехе. 

Нажмите «ОК» и увидите последнее окно мастера создания томов. Нажмите «Выход», чтобы покинуть мастер создания томов.

Создавать контейнеры приходится не каждый день. На практике люди обычно создают один, реже два контейнера.

Может показаться, что ничего не изменилось. На экране то же окно VeraCrypt, что в самом начале. Но если вы воспользуетесь любым файловым менеджером (например, «Проводником»), то в указанной вами папке найдете файл с выбранными вами именем и размером. Файл-контейнер создан. Чтобы им пользоваться, нужно его смонтировать — превратить в виртуальный диск.

Монтирование

Эту несложную процедуру понадобится проделывать, чтобы у вас в системе появился виртуальный шифрованный диск (такие виртуальные сущности в операционных системах часто называют томами). На практике монтирование тома обычно делают в начале работы.

1. Запустите VeraCrypt, если вы этого еще не сделали.

2. Выберите в окне букву для будущего виртуального диска — любую, какая вам больше нравится. (Пользователи macOS и Linux на этом шаге будут выбирать цифру).

3. Нажмите кнопку «Выбрать файл» в правой части окна. Отыщите на своем компьютере файл-контейнер, созданный вами ранее. (См. предыдущий раздел).

4. Нажмите кнопку «Смонтировать» в левом нижнем углу окна. В открывшемся окошке введите пароль. (Тот, который вы придумали при создании контейнера). 

VeraCrypt может попросить немножко подождать. Смонтированный том в программе VeraCrypt выглядит так:

Если вы воспользуетесь файловым менеджером, то увидите в системе новый диск (в нашем примере диск K:). Это виртуальный диск, с которым можно работать так же, как с любым другим диском. При записи на этот диск файлы будут автоматически, в фоновом режиме шифроваться. При прочтении или копировании файлов с виртуального диска VeraCrypt на обычный диск они будут так же «на лету» расшифровываться.

Попробуйте скопировать на виртуальный диск парочку файлов и убедитесь, что все работает как надо.

Когда работа завершена, следует размонтировать том. Сначала завершите все действия с этим виртуальным диском, сохраните работу, закройте файлы. Затем нажмите кнопку «Размонтировать» в левом нижнем углу программы. Не забывайте делать это в конце работы. Не оставляйте том смонтированным, когда перезагружаете или выключаете компьютер.

Создание скрытого тома

Предположим, обстоятельства сложились неудачно: вас принуждают сдать пароль от зашифрованного контейнера. VeraCrypt позволяет одновременно выполнить это требование и сохранить конфиденциальность данных. В иностранной литературе этот принцип называется plausible deniability (приблизительный перевод — «легальный отказ»).

Вы создаёте в своем контейнере второе, секретное отделение. У него нет «выпирающих частей» или дополнительных входов. Представьте себе сейф с кодовым замком. С виду сейф как сейф, но кодов не один, а два. Об этом знаете только вы, и нет никакой технической возможности доказать наличие второго кода. Первый код открывает обычное отделение. Второй — секретное. При необходимости вы можете пожертвовать первым кодом.

1. Запустите VeraCrypt.

Пользователи Windows могут выбрать последовательность действий:

• создать скрытый том в существующем томе; 
• создать новый обычный том, а потом внутри него скрытое отделение.

Для экономии времени и места мы показываем первый вариант. Чтобы его использовать, сначала нужно размонтировать соответствующий том, если он у вас смонтирован. (Пользователи macOS в силу особенностей этой операционной системы могут выбрать только второй вариант).

2. Нажмите кнопку «Создать том». Откроется уже знакомый мастер создания томов.

Выберите «Создать зашифрованный файловый контейнер» (по умолчанию) и нажмите кнопку «Далее».

3. Выбор типа тома.

Выберите «Скрытый том VeraCrypt» и нажмите кнопку «Далее».

4. Нужно выбрать режим создания тома (у пользователей macOS, как мы говорили, такого выбора нет, для них только обычный режим).

А у нас уже есть том VeraCrypt (мы его создали в предыдущем разделе). Поэтому выберите «Прямой режим» и нажмите кнопку «Далее».

5. Нажмите кнопку «Выбрать файл» и найдите на компьютере тот файл, который мы создавали в предыдущем разделе этого руководства.

Отыщите на диске созданный ранее файл-контейнер и нажмите кнопку «Далее».

6. Сначала нужно ввести пароль внешнего тома.

Введите пароль внешнего тома  и нажмите кнопку «Далее». VeraCrypt может попросить вас немножко подождать.

7. Пароль проверен, VeraCrypt сообщает, что всё нормально, можно продолжать.

Нажмите «Далее».

8. Остальные шаги повторяют соответствующие шаги предыдущего раздела. По ходу дела вам придется придумать второй пароль — для скрытого тома.

Монтирование скрытого тома

Скрытый том монтируется так же, как внешний. В зависимости от того, какой пароль вы укажете на входе, будет смонтирован внешний том или скрытый том. Вот как выглядит смонтированный скрытый том в основном рабочем окне VeraCrypt:

Обратите внимание на значение «Скрытый» в столбце «Тип».

Работать с новым виртуальным диском скрытого тома можно так же, как и с виртуальным диском открытого тома.

Если вы прибегаете к созданию скрытого тома и собираетесь хранить там важные файлы, советуем также записать во внешний том какие-нибудь файлы — важные, но не конфиденциальные. Если злодей получит доступ к внешнему тому, он увидит, что тот имеет содержимое. Пустой внешний том выглядел бы подозрительно.

Шифрование диска

Иногда удобно зашифровать целый диск — например, флешку. Сделать это ничуть не сложнее, чем файл-контейнер.

1. Подготовьте флешку. Если на флешке есть сколь-нибудь важные файлы, сделайте резервную копию. Вставьте флешку в USB-порт компьютера. Операционная система распознает её как внешний носитель.

2. Запустите VeraCrypt.

3. Нажмите кнопку «Создать том». Появится мастер создания томов.

Выберите пункт «Зашифровать раздел или диск без системы». Нажмите кнопку «Далее».

4. Выбор типа тома.

Выберите «Обычный том VeraCrypt» и нажмите «Далее».

5. Теперь предстоит выбрать устройство, которое вы планируете зашифровать.

Нажмите кнопку «Выбрать устройство». Появится список доступных носителей данных и разделов.

Выберите раздел, который соответствует флешке. Будьте осторожны, не перепутайте! Это особенно важно, если на компьютере больше одного диска и/или к нему подключены два и более внешних носителя. Убедитесь, что это именно та флешка, какая нужно. Нажмите кнопку «ОК», затем кнопку «Далее».

6. Выберем режим создания тома.

• «Создать и отформатировать зашифрованный том»: флешка будет отформатирована, а все данные на ней утрачены. Быстрый способ.
• «Зашифровать раздел на месте»: все данные на флешке сохранятся. Медленный способ.

Поскольку мы используем чистую флешку (или, по крайней мере, сделали резервную копию — см. п.1), то выбираем первый вариант. «Далее».

7. Знакомый этап — настройки шифрования.

Можем оставить всё как есть и нажать «Далее».

8. Размер шифрованного диска.

Здесь ничего не выбрать и не изменить — указан объем флешки. Нажмите кнопку «Далее».

9. Придумывайте пароль и введите его в оба поля.

Нажмите «Далее». Если VeraCrypt выразит недовольство насчет длины пароля, можете вернуться и рассмотреть более длинный вариант — или нажать кнопку «Да».

10. Большие файлы.

Этот запрос появится, если носитель данных имеет объем 4 Гб и более. (Аналогично вопросу для файловых контейнеров) Выберите «Да» или «Нет» и нажмите «Далее».

11. Остальные шаги соответствуют тем, которые вы проделывали при создании зашифрованного файлового контейнера.

Работа с зашифрованным диском

Откройте VeraCrypt. Подключить зашифрованную флешку можно ровно так же, как зашифрованный файловый контейнер, см. выше. Единственная разница: в главном окне программы нажмите не кнопку «Выбрать файл», а кнопку «Выбрать устройство».

Если вашу флешку заполучит злоумышленник и вставит её в USB-порт своего компьютера Windows, операционная система сообщит, что диск, вероятно, не отформатирован. Даже если на компьютере злоумышленника установлен VeraCrypt, злоумышленник не узнает, что флешка зашифрована. Он просто будет видеть «битую» флешку без каких-либо данных, пригодных для просмотра или восстановления.

Смена пароля

1. Запустите VeraCrypt.

2. Нажмите кнопку «Выбрать файл» или «Выбрать устройство» в правой части окна и выберите, соответственно, файловый контейнер или зашифрованный диск.

3. В меню «Тома» (первый пункт главного меню VeraCrypt) выберите пункт «Изменить пароль тома…».

В окне «Изменение пароля или ключевых файлов» введите текущий пароль (вверху) и – дважды – новый пароль (ниже). Нажмите кнопку «ОК».

Вопросы и ответы

Если я перенесу файл-контейнер на другой компьютер, то чтобы его открыть, мне понадобится запустить на этом компьютере VeraCrypt?

Да.

Если я удалю программу VeraCrypt с компьютера, что станет с моими зашифрованными файловыми контейнерами и дисками?

С ними ничего не произойдет. Все папки и файлы останутся зашифрованными. Вы сможете их расшифровать на любом компьютере, где есть VeraCrypt.

Все ли типы файлов можно шифровать?

Да, любые.

Можно ли комбинировать разные программы защиты данных, например, VeraCrypt и KeePassXС?

Дополнительный уровень защиты — неплохая мысль. Базу паролей KeePassXС (как и саму программу KeePassXС) можно хранить в защищенном контейнере VeraCrypt. Или, наоборот, пароль к контейнеру или диску VeraCrypt — в базе KeePassXС.

Могу ли я как-нибудь восстановить забытый пароль к файловому контейнеру (диску)?

Нет. Не забывайте пароль, пожалуйста. Лучше всего хранить пароли в менеджере паролей.

Оставляет ли VeraCrypt в файле-контейнере свою «сигнатуру», какую-то информацию, по которой можно догадаться, что это — том VeraCrypt?

Нет, не оставляет.

Если мы записываем что-то в зашифрованный контейнер, меняется ли соответствующим образом дата создания/изменения этого файла-контейнера?

Дата остается прежней: той, которая была при создании файла-контейнера.

Можно ли одновременно открыть (смонтировать) два файла-контейнера и работать с ними?

Можно.

Можно ли открыть одновременно внешний и скрытый том одного и того же контейнера и работать с ними?

Нет, одновременно их открыть не получится.

Могу ли я вернуть зашифрованный диск в прежнее, не зашифрованное состояние?

Да, в меню «Тома» есть пункт «Окончательно расшифровать…» 

Почему бы не использовать динамические контейнеры, которые могут изменять размер? Записал больше файлов — контейнер автоматически увеличился. Ведь это удобно?

Да, это удобно. Однако если злоумышленник имеет возможность наблюдать за изменениями файлов на диске, он может заметить, что некий файл постоянно меняет свой размер, и это способно вызвать дополнительные подозрения. Если вам нужен более емкий контейнер, создайте новый, большего объема, и перенесите в него данные обычным копированием. Можете также воспользоваться утилитой VeraCrypt Expander, которая находится в той же папке, что и основные программные компоненты VeraCrypt.

Предположим, у нас есть контейнер, а в нем скрытый том. Злоумышленник уже получил пароль к внешнему тому и начал записывать в него данные. Когда он исчепает объем внешнего тома, он сравнит его с объемом всего файла-контейнера, заметит разницу и таким образом догадается о существовании скрытого тома. Разве нет?

В описанном примере злоумышленник будет записывать данные, пока не заполнит ими весь объем файла-контейнера (а не только внешнего тома). VeraCrypt не выдаст существование скрытого тома. Конечно, данные скрытого тома при этом будут утрачены. Но мы исходим из того, что лучше их потерять, чем раскрыть злоумышленнику. Поэтому лучше быть аккуратными при записи данных во внешний том, если у вас есть скрытый том.