VeraCrypt, обсуждение

[Agent J]

Всем привет!
Только начинаю свое знакомство с VeraCrypt и сразу столкнулся с проблемой. Не дает зашифровать весь диск, хотя он не внешний и всего один. Шировать только системный раздел я так понимаю особого смысла нет, т.к. он отвечает только за загрузку системы. А может мне вообще не надо так заморачиваться и просто создать контейнер и хранить все рабочие инструменты в нем? Единственное чем планирую пользоваться это парочка виртуальных машин.

 

[singular]

Цитирую возможное решение:

VeraCrypt не поддерживает UEFI/GPT для системного шифрования.
Нажмите, чтобы раскрыть...

У меня тоже зашифрованы только виртуальные машины, но на linux. Хочу обратить твоё внимание, что virtualbox логирует запуски/выключения, ошибки и подобную информацию. Решением для меня было убрать права записи в папку через команду "chmod -w {logsfolder}". Шифрование только машин полезно в том случае, когда ты хочешь скосить под дурачка при принималове. Если разделить зашифрованный файл и его header, данные на уровне закона не могут считаться зашифрованными, это никак не доказать. (исключение: вытянут историю ввода команд из ~/.bash_history, запись туда тоже нужно запретить)

 

[RealMayer]

На твоем месте я бы зашифровал. Виндоус как умалишенный логирует каждый твой пердеж. Да и вообще как говаривал мой батя:"Если хочешь что-то делать, то делай это в гондоне".
По поводу проблемы. Есть вероятность проблемы в версии веры (портабл не может шифровать системный раздел). Так же проблема может быть в самом диске, он может быть поврежден. Либо файловая система диска несовместима для работы с веркой.
А вообще вводных данных не особо много. Что хотя бы за ошибку выбивает?

 

[Agent J]

Ошибку никакую не выдает, просто этот вариант при выборе не кликабельный. Диск на сколько я знаю не вопрежден, версия не портабл. Скорее всего проблема в несовместимости(

RealMayer сказал(а):
На твоем месте я бы зашифровал. Виндоус как умалишенный логирует каждый твой пердеж. Да и вообще как говаривал мой батя:"Если хочешь что-то делать, то делай это в гондоне".
По поводу проблемы. Есть вероятность проблемы в версии веры (портабл не может шифровать системный раздел). Так же проблема может быть в самом диске, он может быть поврежден. Либо файловая система диска несовместима для работы с веркой.
А вообще вводных данных не особо много. Что хотя бы за ошибку выбивает?
Нажмите, чтобы раскрыть...

 

[Agent J]

Объясните тупому (мне) пожалуйста, в чем разница между шифрованием всего диска и шифрованием только системного раздела виндовс. В случае если я выберу вариант шифрования только системного раздела, то какие данные тогда смогут извлечь из моего компа блюстители закона?

 

[Veil]

Цитата:
- Есть поддержка UEFI BIOS?
Ответ координатора проекта :
-GPT и UEFI пока не поддерживаются.VeraCrypt выполняет тесты до начала шифрования системы, с тем, чтобы избежать нарушения системы. Так что, если UEFI включен, VeraCrypt будет просто отказаться от шифрования системы и ничего не произойдет.
А вот ответ с форума,где это обсуждалось.
Если вы не знаете, что такое SecureBoot и зачем оно вам нужно — просто отключите эту функцию в UEFI BIOS (см. ниже)

Перед шифрованием системного раздела (или сразу после него) необходимо зайти в настройки UEFI BIOS (обычно нажатием Del или F2 при запуске компьютера) и отключить SecureBoot. Эта настройка, чаще всего, находится в разделе с названием Boot (впрочем, это зависит от производителя материнской платы). У SecureBoot, обычно, есть всего два состояния: Enabled/Windows UEFI Mode (точное название, опять же, зависит от производителя) и Disabled. Выставляем её в состояние Disabled, сохраняем настройки (обычно, F10) и перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot отключён.

Снова перезагружаемся, заходим в настройки SecureBoot и ищем пункт, переводящий систему в Setup/Custom Mode. На материнских платах ASUS, например, для этого нужно зайти в настройки ключей SecureBoot (Key Management), выбрать управление PK (PK Management), удалить ключ PK (Delete key), после чего система объявит, что теперь она находится в Setup Mode. Сохраняем настройки, перезагружаемся, заходим в Windows.

Скачиваем исходные коды VeraCrypt и распаковываем.
Дальше я исхожу из того, что у нас теперь есть структура папок C:\VeraCrypt-master\src\Boot\EFI\

Запускаем командную строку с правами администратора, выполняем команды:
cd "C:\VeraCrypt-master\src\Boot\EFI"
PowerShell.exe -ExecutionPolicy Bypass -File.\sb_set_siglists.ps1

Снова перезагружаемся, заходим в настройки UEFI BIOS -> настройки SecureBoot и включаем SecureBoot (там же, где вы её отключали в самом начале). Сохраняем настройки, перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot настроен.

Некоторые программы после этого могут лишаться способности использовать свои драйверы. На данный момент известно об одной такой программе - CoreTemp. Это баг программы, а не VeraCrypt.

 

[Agent J]

Veil сказал(а):
Цитата:
- Есть поддержка UEFI BIOS?
Ответ координатора проекта :
-GPT и UEFI пока не поддерживаются.VeraCrypt выполняет тесты до начала шифрования системы, с тем, чтобы избежать нарушения системы. Так что, если UEFI включен, VeraCrypt будет просто отказаться от шифрования системы и ничего не произойдет.
А вот ответ с форума,где это обсуждалось.
Если вы не знаете, что такое SecureBoot и зачем оно вам нужно — просто отключите эту функцию в UEFI BIOS (см. ниже)

Перед шифрованием системного раздела (или сразу после него) необходимо зайти в настройки UEFI BIOS (обычно нажатием Del или F2 при запуске компьютера) и отключить SecureBoot. Эта настройка, чаще всего, находится в разделе с названием Boot (впрочем, это зависит от производителя материнской платы). У SecureBoot, обычно, есть всего два состояния: Enabled/Windows UEFI Mode (точное название, опять же, зависит от производителя) и Disabled. Выставляем её в состояние Disabled, сохраняем настройки (обычно, F10) и перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot отключён.

Снова перезагружаемся, заходим в настройки SecureBoot и ищем пункт, переводящий систему в Setup/Custom Mode. На материнских платах ASUS, например, для этого нужно зайти в настройки ключей SecureBoot (Key Management), выбрать управление PK (PK Management), удалить ключ PK (Delete key), после чего система объявит, что теперь она находится в Setup Mode. Сохраняем настройки, перезагружаемся, заходим в Windows.

Скачиваем исходные коды VeraCrypt и распаковываем.
Дальше я исхожу из того, что у нас теперь есть структура папок C:\VeraCrypt-master\src\Boot\EFI\

Запускаем командную строку с правами администратора, выполняем команды:
cd "C:\VeraCrypt-master\src\Boot\EFI"
PowerShell.exe -ExecutionPolicy Bypass -File.\sb_set_siglists.ps1

Снова перезагружаемся, заходим в настройки UEFI BIOS -> настройки SecureBoot и включаем SecureBoot (там же, где вы её отключали в самом начале). Сохраняем настройки, перезагружаемся. Если вы успешно дошли до ввода пароля VeraCrypt и загрузилась система — SecureBoot настроен.

Некоторые программы после этого могут лишаться способности использовать свои драйверы. На данный момент известно об одной такой программе - CoreTemp. Это баг программы, а не VeraCrypt.
Нажмите, чтобы раскрыть...

Правильно ли понимаю что эти манипуляции помогают зашифровать только раздел который отвечает за запуск системы, а не весь диск. Если да то является ли эта мера достаточной для того чтобы сохранить безопасность моих данных?

 

[solomonfinik]

Agent J сказал(а):
Правильно ли понимаю что эти манипуляции помогают зашифровать только раздел который отвечает за запуск системы, а не весь диск. Если да то является ли эта мера достаточной для того чтобы сохранить безопасность моих данных?
Нажмите, чтобы раскрыть...

вроде бы как если поменять на legacy вера шифрует весь диск, типа трабла в uefi/gpt в этой х#йне на новом железе
сам долго гуглил в итоге ничего не менял и пошифровал не весь диск а только с ос
хз как оно будет работать безопасно или нет, но я пробовал тыкать через лайв ос и вроде бы как все пошифровано, непонятно какие там методы у спецслужб есть мб просто паяльником легче достать пассы будет

 

[Californium]

solomonfinik сказал(а):
вроде бы как если поменять на legacy вера шифрует весь диск, типа трабла в uefi/gpt в этой х#йне на новом железе
сам долго гуглил в итоге ничего не менял и пошифровал не весь диск а только с ос
хз как оно будет работать безопасно или нет, но я пробовал тыкать через лайв ос и вроде бы как все пошифровано, непонятно какие там методы у спецслужб есть мб просто паяльником легче достать пассы будет
Нажмите, чтобы раскрыть...

Если ты изучал этот вопрос, что если установить буткит в первый загрузочный раздел?

 

[InCrease]

Смысл есть.
И он в технической изюминке ВераКрипт.
Если коротко - шифрованный том может содержать в себе помимо данных еще и ложный том.
Для примера - вводите свой пароль и монтируется том с вашими секретными данными, а если вводите другой свой пароль, то монтируется другой том, с архивом журнала Хакер за 1999-2005 года к примеру.

Слово "архив" тут не для юмора, на ложном томе лучше всего деражать именно архивы, а так же основной и ложный том должны быть схожего размера, что позволит списать разницу между количеством зашифрованных данных и количеством данных в ложном томе на степень сжатия архива.

Все что нужно сделать - сообщить "другой" пароль. И без серьезной экспертизы выкупить подвох будет невозможно, в некоторых случаях и с ней.

 

[RosyCard]

InCrease сказал(а):
Смысл есть.
И он в технической изюминке ВераКрипт.
Если коротко - шифрованный том может содержать в себе помимо данных еще и ложный том.
Для примера - вводите свой пароль и монтируется том с вашими секретными данными, а если вводите другой свой пароль, то монтируется другой том, с архивом журнала Хакер за 1999-2005 года к примеру.

Слово "архив" тут не для юмора, на ложном томе лучше всего деражать именно архивы, а так же основной и ложный том должны быть схожего размера, что позволит списать разницу между количеством зашифрованных данных и количеством данных в ложном томе на степень сжатия архива.

Все что нужно сделать - сообщить "другой" пароль. И без серьезной экспертизы выкупить подвох будет невозможно, в некоторых случаях и с ней.
Нажмите, чтобы раскрыть...

Ждем статью про веракрипт и как сделать так, чтоб компик не вскрыли

 

[waahoo]

А с чего Вы взяли, что Ваш комп интересен только спец службам? Забыли историю как абу-бандиты похитили какого-то там криптоинвестора? Им тяму не хватило просто забрать его битки имея полный доступ к кошельку. Я вот сейчас ссылку найти не смогу, мне лень, дело было года три назад. Если ты кучеряво живешь, тобой могут заинтересоваться не только копы, просто ебнут по голове и отожмут рюкзак с ноутом например и збс если он верой накрыт.

 

[error 404]

InCrease сказал(а):
Смысл есть.
И он в технической изюминке ВераКрипт.
Если коротко - шифрованный том может содержать в себе помимо данных еще и ложный том.
Для примера - вводите свой пароль и монтируется том с вашими секретными данными, а если вводите другой свой пароль, то монтируется другой том, с архивом журнала Хакер за 1999-2005 года к примеру.

Слово "архив" тут не для юмора, на ложном томе лучше всего деражать именно архивы, а так же основной и ложный том должны быть схожего размера, что позволит списать разницу между количеством зашифрованных данных и количеством данных в ложном томе на степень сжатия архива.

Все что нужно сделать - сообщить "другой" пароль. И без серьезной экспертизы выкупить подвох будет невозможно, в некоторых случаях и с ней.
Нажмите, чтобы раскрыть...

Двойное дно это очень крутая фича, но к сожалению не работает когда в машинке стоит всего один диск(

 

[_lain]

Обнаружил что veracrypt хранит файлы в памяти. Суть в том что я вытянул m2 диск где находился контейнер открытый. Я могу в примонтированном контейнере читать файлы!!! Когда диск вообще не в системе. Как он хавает контейнер на 800гб? Ну ладно не все файлы хавает, но те которые я никогда не открывал, он тоже открывает.

 

[MaFio]

_lain сказал(а):
Обнаружил что veracrypt хранит файлы в памяти. Суть в том что я вытянул m2 диск где находился контейнер открытый. Я могу в примонтированном контейнере читать файлы!!! Когда диск вообще не в системе. Как он хавает контейнер на 800гб? Ну ладно не все файлы хавает, но те которые я никогда не открывал, он тоже открывает.
Нажмите, чтобы раскрыть...

Ситуация связана с кэшированием данных операционкой. Когда VeraCrypt монтирует контейнер, система может закэшировать часть файловой системы или отдельные файлы в RAM для ускорения доступа. Поэтому даже после выдергивания диска файлы остаются доступны — это не VeraCrypt держит их в памяти, а ОС. Данные могли быть предзагружены, поэтому доступны и те файлы, которые не открывались. Всегда правильно размонтируй контейнер перед тем, как вытаскивать носитель.

 

[_lain]

MaFio сказал(а):
Ситуация связана с кэшированием данных операционкой. Когда VeraCrypt монтирует контейнер, система может закэшировать часть файловой системы или отдельные файлы в RAM для ускорения доступа. Поэтому даже после выдергивания диска файлы остаются доступны — это не VeraCrypt держит их в памяти, а ОС. Данные могли быть предзагружены, поэтому доступны и те файлы, которые не открывались. Всегда правильно размонтируй контейнер перед тем, как вытаскивать носитель.
Нажмите, чтобы раскрыть...

Да мне лень было комп вырубать, да и веракрипт не размонтировалься. Смешная ситуация что диска нет а он контейнер держит, на ноутбуке же на винде у меня при вытаскиваний диска он размонтировал сразу. Возможно был такой момент что я комп в спящий режим бросил и вытащил и из за этого веракрипт не понял что пропало какое то устройство

 

[OldFont]

_lain сказал(а):
Да мне лень было комп вырубать, да и веракрипт не размонтировалься. Смешная ситуация что диска нет а он контейнер держит, на ноутбуке же на винде у меня при вытаскиваний диска он размонтировал сразу. Возможно был такой момент что я комп в спящий режим бросил и вытащил и из за этого веракрипт не понял что пропало какое то устройство
Нажмите, чтобы раскрыть...

друг подскажи как можно сделать dualboot + veracrypt

 

[_lain]

OldFont сказал(а):
друг подскажи как можно сделать dualboot + veracrypt
Нажмите, чтобы раскрыть...

хз не делал дуалбут