Slik krypterer du data med VeraCrypt og beskytter diskene dine

  • VeraCrypt er den sikre, åpen kildekode-utviklingen av TrueCrypt for kryptering av containere, partisjoner og hele disker.
  • Den lar deg opprette normale og skjulte volumer, kryptere USB-stasjoner og til og med systemstasjonen med autentisering før oppstart.
  • Sikkerheten din avhenger av sterke passord, god nøkkelhåndtering og sikkerhetskopier av headeren eller redningsdisken.
  • Det har en liten innvirkning på ytelse og kompleksitet i bruken, oppveid av et høyt nivå av databeskyttelse.
Daniel Terrasa

18 minutter

Krypter data med VeraCrypt

Beskytt personlig og profesjonell informasjon Sikkerhet har blitt like viktig som å ha et godt antivirusprogram eller å holde systemet oppdatert. Arbeidsdokumenter, bilder, kopier av offisielle dokumenter, passord lagret i ren tekst – alt dette havner vanligvis på PC-ens harddisk, en USB-stasjon som alltid er i ryggsekken, eller en eller annen skylagringstjeneste. Hvis noen får tak i den enheten eller får tilgang til kontoen din uten tillatelse eller kryptering, er det som å la inngangsdøren stå på vidt gap.

VeraCrypt Den har etablert seg som den naturlige etterfølgeren til TrueCrypt For robust kryptering av data på Windows, Linux og macOS. Den lar deg opprette krypterte beholdere, beskytte USB-stasjoner og eksterne harddisker, og til og med kryptere hele disken der operativsystemet er installert med autentisering før Windows starter opp. Gjennom denne veiledningen vil du se i detalj hva den tilbyr, hvordan den fungerer og hvordan du kan bruke den til å sikre filene dine uten å måtte være sikkerhetsekspert.

Fra TrueCrypt til VeraCrypt: hvorfor krypteringslandskapet endret seg

TrueCrypt var de facto-standarden i årevis Den ble brukt til å kryptere disker og mapper, helt til utviklerne brått forlot prosjektet i 2014. På den offisielle nettsiden anbefalte de å avvikle bruken, advarte om potensielle sikkerhetssårbarheter og foreslo å bytte til BitLocker eller andre krypteringssystemer integrert i Linux og macOS. Den siste versjonen, 7.2, var begrenset til å dekryptere eksisterende volumer, uten mulighet til å opprette nye containere.

Stilt overfor det tomrommet, En uavhengig gruppe utviklere lanserte VeraCrypt som en forgrening av TrueCrypt-koden. Derfra har de korrigert sårbarheter, styrket kryptografiske parametere og innlemmet nye krypteringsalgoritmer og avanserte sikkerhetsfunksjoner. For mange resonerte TrueCrypts avvikling så sterkt fordi det var et av de få verktøyene som i alvorlig grad kompliserte arbeidet til etater som NSA eller FBI når de skulle få tilgang til beslaglagte disker.

I dag er den generelle anbefalingen å la TrueCrypt ligge til side og bruk utelukkende VeraCryptIkke bare har den adressert eldre problemer, men den har også forbedret ytelsen med støtte for AES-NI-akselerasjon, lagt til mer fleksible krypteringsalternativer og forblir aktiv med hyppige utgivelser og eksterne sikkerhetsrevisjoner.

veracrypt

Hva er VeraCrypt, og hvordan skiller det seg fra andre løsninger?

VeraCrypt er en programvare for diskkryptering på farten (OTFE)Det er et gratis og åpen kildekode-verktøy som krypterer data i sanntid, transparent for brukeren. Du kan opprette en containerfil som monteres som en hvilken som helst annen disk, kryptere en bestemt partisjon (D:, E:, F: osv.), eller kryptere hele systemdisken med autentisering før oppstart i Windows.

Den Tilgjengelig for Windows, Linux, macOS og noen BSD-systemerDette gjør den spesielt attraktiv for blandede miljøer eller for brukere som bytter plattform. På macOS og Linux krypterer den ikke systempartisjonen, men den krypterer containere og sekundære disker eller partisjoner, omtrent som den gjør på Windows.

En av de store fordelene med VeraCrypt er gjennomsiktigheten i kodenSiden den er åpen kildekode, har den blitt revidert av uavhengige organisasjoner og eksperter. Enheter som QuarksLab og det tyske BSI har gjennomgått sikkerheten, sårbarheter har blitt oppdatert, og standard kryptografiske parametere har blitt styrket. Videre implementerer den industristandardalgoritmer som AES, Serpent, Twofish, Camellia og Kuznyechik, i XTS-modus og med PBKDF2-nøkkelavledning ved bruk av hundretusenvis av iterasjoner for å hindre brute-force-angrep.

Sammenlignet med BitLocker eller andre proprietære løsninger, VeraCrypt tilbyr mer detaljert kontroll over hvordan og hva som krypteres, tillater skjulte volumer med "plausibel fornektelse", og fungerer på tvers av flere operativsystemer.Til gjengjeld mangler den en sentralisert administrasjonskonsoll og direkte integrasjon med Active Directory eller TPM; for maskinvaregodkjenningsløsninger, se [lenke til relevant dokumentasjon]. Windows Hello for BusinessDerfor sameksisterer det ofte i store selskaper med mer «automatiserte» bedriftsverktøy.

Hovedfunksjoner og -funksjoner i VeraCrypt

VeraCrypt er designet for både hjemmebrukere og profesjonelle miljøer som trenger robust kryptering. Dette er hovedfunksjonene, gruppert sammen slik at du kan se nøyaktig hva den kan gjøre for deg.

  • Opprette krypterte containere. Det mest allsidige alternativet er å opprette en fil som fungerer som en «kryptert virtuell disk». Denne filen kan ligge på den interne harddisken, en USB-minnepinne, en ekstern harddisk eller til og med en filserver eller skylagringstjeneste.
  • Kryptere disker og hele partisjonerHvis du ikke vil bruke containerfiler, kan du kryptere en hel partisjon eller disk. Dette er ideelt for USB-minnepinner, SD-kort, eksterne harddisker eller ekstra PC-stasjoner.
  • Kryptering av systemstasjon med autentisering før oppstart. En av hovedfunksjonene er muligheten til å kryptere hele disken der Windows er installert. Når du slår på datamaskinen, vises en liten VeraCrypt-oppstartsbehandler som ber deg om passordet (og eventuelt PIM- eller nøkkelfilen).
  • Kryptering i sanntid og maskinvareakselerasjon. Kryptering og dekryptering utføres automatisk, underveis. Brukeren ser bare en annen disk. Hvis du velger AES og prosessoren din støtter AES-NI, er lese- og skriveytelsen svært høy, til det punktet at begrensningen i mange tilfeller er pålagt av selve disken, ikke krypteringen.
  • Skjulte volumer for plausibel benektelseVeraCrypt lar deg opprette et "skjult" volum i et annet volum. Ett passord monterer det eksterne (normale) volumet, og et annet passord monterer det skjulte volumet.

veracrypt

Nedlastings-, installasjons- og bruksmoduser (installert eller bærbar)

Det mest fornuftige er Last alltid ned VeraCrypt fra den offisielle nettsiden.Der finner du installasjonsprogrammer for Windows, macOS, Linux, FreeBSD og kildekoden. Det finnes ingen betalt versjon: den er helt gratis, og du kan bruke den uten begrensninger.

I Windows tilbyr installasjonsprogrammet to muligheter:

  • Installer programmet på systemet.
  • Pakk ut filene for å bruke dem i "bærbar" modus.

Hvis målet ditt er å kryptere systemdisken eller partisjonen der Windows er installert, er installasjon obligatorisk. For kryptering av USB-stasjoner, eksterne harddisker eller andre flyttbare medier er bærbar modus veldig nyttig fordi du kan kopiere den kjørbare filen til selve enheten på en ukryptert partisjon og bruke den på andre datamaskiner uten å installere noe.

El installasjonsveiviseren Det er typisk for ethvert program: du velger språk, godtar lisensen, velger om du vil ha snarveier på skrivebordet eller i Start-menyen, og det er det. Til slutt tilbyr VeraCrypt vanligvis en nybegynnerguide som er verdt å lese hvis det er første gang du bruker denne typen programvare.

På Linux og macOS gjøres installasjonen ved hjelp av spesifikke pakker. eller ved å kompilere fra kildekode, avhengig av distribusjonen. Uansett er grensesnittet og de grunnleggende trinnene for å opprette volumer svært like de i Windows, noe som gjør det enkelt å veksle mellom plattformer.

Kryptere en "normal" container trinn for trinn

For mange brukere vil deres første kontakt med VeraCrypt være å opprette en kryptert filbeholderDen generelle flyten, lik i alle systemer, er denne:

1. Lag volumFra hovedvinduet i VeraCrypt klikker du på «Opprett volum». Veiviseren vil spørre hva du vil gjøre; velg «Opprett en kryptert filbeholder». Velg deretter «Vanlig VeraCrypt-volum» (standardvolumet) og ikke det skjulte volumet, som vi skal diskutere senere.

2. Velg plassering og navn på containerfilenBruk knappen «Velg fil» for å angi bane og navn. Du trenger ikke å velge en eksisterende fil; bare skriv inn navnet du vil ha for den nye beholderen (for eksempel «work_data.hc»). Du kan lagre denne filen på din lokale disk, en USB-stasjon, en NAS eller til og med en mappe som er synkronisert med skyen.

3. Velg krypterings- og hashingalgoritmerSom standard bruker VeraCrypt AES som symmetrisk algoritme og enten SHA-512 eller SHA-256 som hash-funksjon. AES er den nåværende standarden, og hvis CPU-en din støtter AES-NI, tilbyr den utmerket ytelse. Ved å bruke alternativet "Benchmark" kan du teste forskjellige kombinasjoner for å se hvilken som fungerer best på systemet ditt, selv om AES + SHA-256 er mer enn tilstrekkelig i de fleste situasjoner.

4. Definer volumstørrelsenAngi størrelsen på beholderen i megabyte eller gigabyte. Tenk over hvordan du vil bruke den: for noen få dokumenter er hundrevis av MB nok, men hvis du vil lagre komplette sikkerhetskopier, kan det hende du trenger flere GB eller enda mer.

5. Konfigurer autentisering: passord, nøkkelfil og PIMSom et minimum bør du opprette et sterkt passord, som blander store og små bokstaver, tall og symboler, med en rimelig lengde. VeraCrypt vil advare deg hvis den oppdager at passordet ditt er for svakt. I tillegg kan du bruke nøkkelfiler (enhver fil som fungerer som en del av hemmeligheten) og en numerisk verdi kalt en PIM (Personal Iterations Multiplier) som gjør det vanskeligere å gjette passordet. Kombinasjonen av disse tre faktorene gir et svært høyt beskyttelsesnivå.

6. Velg filsystemet og opprett volumetFor containere på eksterne disker er exFAT vanligvis en god idé; for interne disker er NTFS; og for grunnleggende bruk er FAT greit hvis det ikke er noen filer større enn 4 GB. Før du klikker på "Format", vil veiviseren be deg om å bevege musen tilfeldig i vinduet til en linje blir grønn: disse bevegelsene brukes som en kilde til entropi for å generere mer uforutsigbare nøkler. Når formateringen er fullført, er volumet klart.

7. Monter og demonter beholderenTilbake i hovedvinduet velger du en ledig stasjonsbokstav, klikker på «Velg fil», peker på beholderen og klikker på «Mount». Skriv inn passordet (og hvis aktuelt, nøkkelfilen og PIM), så vises en ny stasjon i «Denne PC-en». Alt du kopierer eller endrer der vil automatisk bli kryptert. For å lukke den, kan du ganske enkelt «Avmontere» stasjonen eller bruke «Avmonter alle».

veracrypt

Skjulte volumer: hvordan plausibel benektelse fungerer

La skjult volumfunksjon Det er en av de mest omtalte funksjonene i VeraCrypt. Hensikten er å la deg avsløre et "ufarlig" passord under press, samtidig som virkelig sensitive data holdes trygge i et volum hvis eksistens ikke kan bevises.

Grunnordningen er som følger:

  1. Først opprettes et "eksternt" volum (det vanlige), med eget passord og størrelse.
  2. Innenfor den ledige plassen på det volumet ligger et andre skjult volum, med en annen nøkkel, andre krypteringsalgoritmer hvis du vil, og en mindre størrelse.
  3. Når VeraCrypt monterer containerfilen, bestemmer den hvilket volum som skal åpnes basert på passordet som er oppgitt.

For å opprette et skjult volum brukes følgende igjen: opprettelsesassistentDenne gangen velger du alternativet «Skjult VeraCrypt-volum». Du blir først veiledet gjennom konfigurasjonen av det eksterne volumet (kryptering, hash, størrelse, passord, filsystem), og deretter defineres det skjulte volumet: hvor mye plass det vil oppta, hvilken kryptering det vil ha og hvilket passord det vil bruke.

Det er avgjørende respekter plassen som er reservert for det skjulte volumetHvis for eksempel det eksterne volumet er 50 MB og det skjulte volumet er 25 MB, bør du ikke fylle det eksterne volumet til det punktet hvor det kan overløpe til området der det skjulte volumet befinner seg. VeraCrypt inkluderer en beskyttelsesmodus for skjulte volum for å redusere risikoer, men det er fortsatt lurt å gå frem med forsiktighet og la det være litt plass.

Krypter USB-stasjoner, SD-kort og hele eksterne harddisker

USB-minnepinner og bærbare harddisker er blant de enkleste tingene å miste eller havne i gale hender.Derfor er de klare kandidater for kryptering. Videre kan du kombinere kryptering med USB-datablokkere For bedre beskyttelse. Med VeraCrypt kan du beskytte dem fullt ut eller beholde eksisterende data, avhengig av dine behov.

1. Velg riktig alternativ i veiviserenNår enheten er tilkoblet, trykker du på «Opprett volum» og velger «Krypter partisjon/sekundær disk». Bestem om du vil ha et vanlig volum eller et skjult volum, akkurat som før. Når du deretter trykker på «Velg enhet», velger du den spesifikke partisjonen på USB-stasjonen eller den eksterne harddisken.

2. Opprett et volum ved å formatere eller bevare dataVeraCrypt tilbyr to alternativer: å opprette et nytt kryptert volum ved å formatere harddisken (raskt, men sletter alt) eller å kryptere partisjonen samtidig som dataene bevares (tregere, men du mister ingenting). I mange tilfeller er den mest praktiske tilnærmingen å sikkerhetskopiere dataene dine, formatere med VeraCrypt og deretter gjenopprette filene dine.

3. Konfigurer kryptering, hashing og autentiseringAkkurat som med containere velger du krypterings- og hash-algoritmen, definerer om du bare skal bruke et passord eller også en nøkkelfil og PIM, beveger musen for å generere entropi og klikker på "Format". Programmet vil advare deg om at dataene på harddisken vil gå tapt hvis du har valgt å opprette et volum fra bunnen av.

4. Monter og bruk den krypterte enhetenNår prosessen er fullført, vil operativsystemet se disken som «uformatert» eller be deg om å formatere den. Ignorer disse meldingene. For å bruke den i VeraCrypt, klikk på «Velg enhet», velg den krypterte partisjonen, tilordne en ledig stasjonsbokstav og monter den ved å skrive inn passordet. Fra det øyeblikket vil en ny disk (for eksempel F:) dukke opp der du kan lese og skrive data, som er kryptert transparent.

Når du er ferdig, må du alltid avmontere harddisken fra VeraCrypt. Før du kobler fra USB-en eller slår av datamaskinen, akkurat som med «Fjern maskinvare på en trygg måte». Dette forhindrer dataødeleggelse og sikrer at volumet er ordentlig lukket.

veracrypt

Krypter hele Windows-disken din med VeraCrypt

Det maksimale beskyttelsesnivået som VeraCrypt tilbyr på Windows er krypter partisjonen eller hele disken der systemet er installertPå denne måten, hvis den bærbare datamaskinen blir stjålet eller noen tar harddisken, vil de ikke kunne starte Windows eller lese en eneste fil uten nøkkelen.

Før du starter, må du ha visse ting i tankene. forholdsreglerTa en fullstendig sikkerhetskopi av viktige data (på en annen disk, i skyen osv.). Se vår Sammenligning av sikkerhetskopieringsmetoderSørg for at datamaskinen ikke mister strøm under prosessen (koblet til en strømforsyning eller UPS), og fremfor alt, velg et passord du ikke glemmer. Hvis du mister oppstartspassordet, blir det ekstremt vanskelig å få tilgang til systemet.

Systemkrypteringsveiviseren følger omtrent disse trinnene:

  1. Fra «Opprett volum» velger du «Krypter hele systempartisjonen/disken».
  2. Du velger «Normal» som krypteringstype («Skjult»-modus oppretter et system i et annet for svært spesifikke scenarier).
  3. Du bestemmer om du bare vil kryptere Windows-partisjonen eller hele den fysiske disken.
  4. Du angir om du har ett operativsystem («Single boot») eller multiboot.
  5. Du beholder standardverdiene for kryptering (AES) og hash (SHA-256 eller SHA-512) med mindre du vet nøyaktig hvorfor du skal endre dem.

Så kommer øyeblikket til å angi oppstartspassordetDen skal være huskeverdig for deg, men kompleks: en blanding av tegn, uten åpenbare mønstre, og av en viss lengde. Veiviseren kan vise en advarsel hvis den anser den som upålitelig, men du tar risikoen. VeraCrypt genererer deretter de interne nøklene ved å be deg om å bevege musen rundt en stund.

En sentral del av prosessen er copprettelse av redningsdiskenProgrammet genererer et ISO-bilde som du bør brenne til en USB-stasjon eller annen sikker lagringsenhet. Denne platen lar deg gjenopprette VeraCrypt-oppstartsbehandleren og gjenopprette systemet i tilfelle visse feil, men du vil alltid trenge passordet. Du kan velge å hoppe over bekreftelsen av redningsplaten, men det anbefales ikke.

Før du faktisk krypterer disken, VeraCrypt utfører en "oppstartstest"Datamaskinen starter på nytt, VeraCrypt-ledeteksten vises og ber om dekrypteringsnøkkelen, og hvis alt går bra, starter Windows opp som vanlig. Tilbake på skrivebordet vil programmet indikere at testen var vellykket, og du kan nå starte den faktiske krypteringen av systemstasjonen.

Hvorfor det er verdt å kryptere filene og enhetene dine

Utover de tekniske aspektene, Det viktigste er å forstå i hvilke tilfeller kryptering av data utgjør en forskjellDet handler ikke om paranoia, men om å redusere svært realistiske risikoer i hverdagen.

Lagring av filer i skyen uten kryptering gir en ekstra angrepsflateSelv om store leverandører implementerer sine egne sikkerhetstiltak, er det fortsatt nyttig å vite hvordan. administrere metadata i Office og WindowsSårbarheter kan oppstå, inkludert uautorisert tilgang fra privilegerte ansatte, konfigurasjonsfeil eller enkle brukerforsømmelser. Hvis du laster opp filer til skyen som tidligere var kryptert med VeraCrypt (containere eller sikkerhetskopier), kan selv et massivt datainnbrudd gjøre dataene dine uleselige uten nøkkelen.

På delte datamaskiner, både hjemme og på kontoret, hindrer kryptering nysgjerrige øyne.Hvis flere personer bruker samme datamaskin, eller hvis andre kolleger på jobb har fysisk tilgang til utstyret, er en kryptert beholder en veldig tydelig grense: uten passordet kan ikke innholdet nås, uansett hvor mye tillit det er.

Mot skadelig programvare og uautorisert fjerntilgangKryptering av data gir et ekstra lag med sikkerhet. En trojaner som klarer å infiltrere systemet ditt, kan enkelt stjele klartekstfiler, men hvis alt den finner er lukkede, krypterte volumer, er informasjonen den innhenter ubrukelig. Dette erstatter selvsagt ikke et godt antivirusprogram eller et oppdatert operativsystem (se [lenke til relevant dokumentasjon]). nettsikkerhet i Windows), men det gir ekstra beskyttelse.

Hvis noen av kontoene dine er kompromittert (For eksempel skytjenesten der du lagrer en container, eller e-posten der du sendte en kryptert fil), vil angriperen bare se en tilsynelatende tilfeldig datablokk. Dette fremhever forskjellen mellom å sende en sensitiv PDF som den er og å sende den i en kryptert ZIP- eller VeraCrypt-volum.

I næringslivet og den profesjonelle verden krever mange lover at visse data krypteres.Forskrifter om databeskyttelse, lover mot hvitvasking av penger og lover om taushetsplikt for advokater og helseforetak krever kryptering av sensitiv informasjon, eller anbefaler i det minste eksplisitt kryptering som et passende sikkerhetstiltak. Verktøy som VeraCrypt bidrar til å oppfylle disse kravene, forutsatt at de ledsages av forsvarlig nøkkelhåndtering og passende interne retningslinjer.

Reelle fordeler og ulemper med kryptering med VeraCrypt

Ethvert seriøst krypteringssystem Det har klare fordeler, men også noen ulemper. noe som er greit å vite, slik at man ikke får noen overraskelser.

Fordelene inkluderer null kostnader, åpenhet og fleksibilitetVeraCrypt er gratis, åpen kildekode, kjører på diverse operativsystemer og tilbyr ulike beskyttelsesnivåer (containere, sekundære disker, komplett system, skjulte volumer osv.). Den støtter også et bredt spekter av internasjonalt validerte kryptografiske algoritmer og har gjennomgått uavhengige revisjoner.

Sikkerhetsnivået det tilbyr er svært høyt, forutsatt at passord og nøkkelhåndtering er riktig.Bruken av PBKDF2 med mange iterasjoner, kombinert med muligheten til å bruke nøkkelfiler og PIM-er, gjør brute-force-angrep ekstremt kostbare. Å legge til gode fremgangsmåter (unike passord, passordbehandlere som KeePassXC eller Bitwarden, og kopier av volumhodet) resulterer i et svært robust system.

På den negative siden er den største ulempen at det å miste nøkkelen vanligvis tilsvarer å miste dataene.VeraCrypt har ikke et magisk gjenopprettingssystem eller bakdører: hvis du glemmer passordet og ikke har sikkerhetskopier eller sikkerhetskopi av header, gjør krypteringen akkurat det den skal gjøre, som er å forhindre tilgang selv for den distraherte legitime eieren.

En annen ulempe er effekten på ytelsen på eldre maskinvare eller maskinvare uten AES-NI.På moderne systemer med prosessorer som akselererer AES via maskinvare, er ytelsestapet minimalt og ofte umerkelig. På eldre maskiner, eller hvis du bruker svært tunge kaskadealgoritmer, kan imidlertid disktilgang bli tregere, spesielt med svært store volumer.

Det er også begrensninger når det gjelder kompatibilitet og brukervennlighet.Systemkryptering er bare tilgjengelig på Windows, integreres ikke med TPM eller eksterne administrasjonsløsninger i bedriftsklassen, og grensesnittet kan virke skremmende for brukere som ikke er kjent med konsepter som volumer, partisjoner eller krypteringsalgoritmer. Det er et kraftig verktøy, men det er ikke en forenklet "neste, neste, ferdig"-veiviser.

Til slutt medfører kryptering alltid en viss ekstra risiko for korrupsjon.Hvis en kryptert fil er skadet, er gjenoppretting mer komplisert enn med en ren tekstfil. Dette understreker viktigheten av å ta regelmessige sikkerhetskopier og avmontere volumer på riktig måte før du slår av eller kobler fra enheter.

Hvis du veier innsatsen ved å lære å bruke VeraCrypt opp mot den lave ytelseskostnaden Sammenlignet med hva du får i personvern, samsvar med regelverk og beskyttelse mot tap, tyveri eller angrep, blir det ganske tydelig hvorfor dette verktøyet har blitt målestokken for å kryptere data på alvor i både hjemme- og bedriftsmiljøer, forutsatt at det ledsages av godt administrerte passord og et minimum av disiplin når du håndterer krypterte volumer.

Nettsikkerhet på Windows: hvordan beskytte deg mot hacking og cyberangrep
Relatert artikkel:
Nettsikkerhet på Windows: Beskytt PC-en din mot hacking og angrep