Cos'è BitLocker Windows 10. Crittografia hardware o software

Su Windows 10 e versioni precedenti Versioni di Windows La crittografia dei file viene fornita utilizzando la tecnologia BitLocker. Devi configurarlo solo una volta e puoi essere sicuro che nessuno avrà accesso ai tuoi file o sarà in grado di eseguire i tuoi programmi, anche se lo fanno. accesso fisico all'unità del tuo laptop o computer.

Come posso abilitare la crittografia BitLocker? Innanzitutto è necessario attivare le policy di sicurezza:

1. Premi Win+R ed esegui il comando gpedit.msc.
2. Vai su Modelli amministrativi > Componenti di Windows» Crittografia unità BitLocker > Unità del sistema operativo.

3. Fare doppio clic con il pulsante sinistro del mouse su "L'impostazione di questo criterio consente di configurare il requisito controllo aggiuntivo autenticazione all'avvio" e selezionare l'opzione "Abilitata".

Ora puoi procedere direttamente alla crittografia:

1. Apri Esplora file > Risorse del computer e seleziona l'unità che desideri crittografare.
2. Fare clic sull'icona dell'unità fare clic con il tasto destro mouse e seleziona "Abilita BitLocker".

3. Si aprirà una finestra di dialogo con le opzioni per accedere ai dati crittografati. Segui le sue istruzioni e riavvia il computer. Il disco verrà crittografato. Il processo di crittografia può essere lungo e la sua durata dipende dal volume di dati da crittografare.

Durante il processo di configurazione della crittografia, dovrai creare una chiave o una password per decrittografare i dati. La password deve utilizzare lettere e numeri misti. Quando l'unità è installata nel computer, i dati vengono crittografati e decrittografati automaticamente, ma se rimuovi l'unità crittografata da essa e la colleghi a un altro dispositivo, avrai bisogno di una chiave per accedere ai file.

I dati di ripristino della chiave possono essere archiviati su un'unità flash, in un account Microsoft, in un file di testo o su un foglio di carta stampato. Tieni presente che questa non è la chiave stessa, ma solo le informazioni che ti aiuteranno a recuperarla. La chiave può essere ottenuta solo dopo aver inserito login e password per il tuo account Microsoft, il che rende più difficile decifrare la crittografia.

Se hai crittografato il sistema unità logica, la password dovrà essere inserita durante l'avvio a freddo del dispositivo o dopo il riavvio.

Bitlocker è un programma di crittografia apparso per la prima volta in Windows 7. Con il suo aiuto, puoi crittografare i volumi del disco rigido (anche la partizione di sistema), le unità flash USB e MicroSD. Ma capita spesso che l'utente dimentichi semplicemente la password per accedere criptato Dati di BitLocker. Leggi come sbloccare le informazioni sui media crittografati nell'ambito di questo articolo.

Il programma stesso suggerisce modi per decrittografare i dati nella fase di creazione del blocco:

1. Prepara l'unità che desideri crittografare. Fare clic destro su di esso e selezionare "Abilita Bitlocker".
2. Seleziona un metodo di crittografia.
   In genere, viene impostata una password per lo sblocco. Se disponi di un lettore di smart card USB con un normale chip ISO 7816, puoi utilizzarlo per sbloccare.
   Per la crittografia, le opzioni sono disponibili separatamente o entrambe contemporaneamente.
3. Nel passaggio successivo, la procedura guidata di crittografia del disco offre opzioni per l'archiviazione della chiave di ripristino. Sono tre in totale:
   
4. Dopo aver scelto l'opzione per salvare la chiave di ripristino, seleziona la parte dell'unità che desideri decrittografare.
   
5. Prima che inizi la crittografia dei dati, verrà visualizzata una finestra che ti informa del processo. Fare clic su "Avvia crittografia".
   
6. Attendere qualche tempo fino al completamento della procedura.
7. L'unità è ora crittografata e richiederà una password (o smart card) al momento della connessione iniziale.
   

Importante! Puoi scegliere il metodo di crittografia. Bitlocker supporta la crittografia XTS AES e AES-CBC a 128 e 256 bit.

Modifica del metodo di crittografia dell'unità

Nell'editor locale politica di gruppo(non supportato da Windows 10 Home) è possibile scegliere il metodo di crittografia per le unità dati. L'impostazione predefinita è XTS AES 128 bit per unità non rimovibili e AES-CBC 128 bit per dischi rigidi rimovibili e unità flash.

Per modificare il metodo di crittografia:

Dopo le modifiche alla policy, Bitlocker sarà in grado di proteggere con password il nuovo supporto con i parametri selezionati.

Come sbloccare?

Il processo di blocco fornisce due modi per ottenere ulteriormente l'accesso al contenuto dell'unità: password e associazione a una smart card. Se hai dimenticato la password o hai perso l'accesso alla tua smart card (o meglio, non l'hai utilizzata affatto), non devi fare altro che utilizzare la chiave di ripristino. Quando si protegge con password un'unità flash, è necessario crearla, in modo da poterla trovare:

1. Stampato su un foglio di carta. Forse l'hai messo con documenti importanti.
2. IN documento di testo(o su un'unità flash USB se la partizione di sistema era crittografata). Impasto chiavetta USB nel computer e seguire le istruzioni. Se la chiave è salvata in file di testo, leggilo su un dispositivo non crittografato.
3. IN account Microsoft. Accedi al tuo profilo sul sito web nella sezione “Chiavi di ripristino Bitlocker”.

Una volta trovata la chiave di ripristino:

1. Fare clic con il tasto destro sull'unità bloccata e selezionare "Sblocca unità".
2. Nell'angolo in alto a destra dello schermo verrà visualizzata una finestra per l'immissione della password di Bitlocker. Fare clic su "Opzioni avanzate".
   
3. Seleziona Inserisci chiave di ripristino.
4. Copia o riscrivi la chiave di 48 cifre e fai clic su "Sblocca".
5. Successivamente, i dati sui media diventeranno disponibili per la lettura.

Con il rilascio del sistema operativo Windows 7, molti utenti si sono trovati di fronte al fatto che al suo interno appariva un servizio BitLocker alquanto incomprensibile. Che cosa sia BitLocker, molti possono solo immaginarlo. Proviamo a chiarire la situazione con esempi concreti. Lungo il percorso, prenderemo in considerazione le domande su quanto sia appropriato attivare questo componente o disabilitarlo completamente.

BitLocker: cos'è BitLocker, perché è necessario questo servizio

Se lo guardi, BitLocker è uno strumento universale e completamente automatizzato per l'archiviazione dei dati archiviati su un disco rigido. Cos'è BitLocker su un disco rigido? Sì, solo un servizio che protegge file e cartelle senza l'intervento dell'utente crittografandoli e creando una speciale chiave di testo che consente l'accesso ai documenti.

Quando un utente lavora nel sistema con il proprio account, potrebbe anche non rendersi conto che i dati sono crittografati, perché le informazioni vengono visualizzate in forma leggibile e l'accesso a file e cartelle non è bloccato. In altre parole, tale strumento di protezione è concepito solo per le situazioni in cui si accede ad un terminale di computer, ad esempio, quando si tenta un'interferenza dall'esterno (attacco Internet).

Problemi di password e crittografia

Tuttavia, se parliamo di cosa sia BitLocker in Windows 7 o nei sistemi di rango superiore, vale la pena notare il fatto spiacevole che se perdono la password di accesso, molti utenti non solo non possono accedere al sistema, ma eseguono anche alcune azioni di navigazione documenti precedentemente disponibili per la copia, lo spostamento, ecc.

Ma non è tutto. Se guardi alla domanda su cosa sia BitLocker Windows 8 o 10, non ci sono differenze significative, tranne che hanno una tecnologia di crittografia più avanzata. Qui il problema è chiaramente diverso. Il fatto è che il servizio stesso è in grado di funzionare in due modalità, memorizzando le chiavi di decrittazione su un disco rigido o su un'unità USB rimovibile.

Ciò suggerisce la conclusione più semplice: se la chiave viene salvata sul disco rigido, l'utente può accedere senza problemi a tutte le informazioni archiviate su di essa. Ma quando la chiave viene salvata su un'unità flash, il problema è molto più serio. In linea di principio, puoi vedere un disco o una partizione crittografata, ma non puoi leggere le informazioni.

Inoltre, se parliamo davvero di cosa BitLocker è Windows 10 o più sistemi versioni precedenti, non si può fare a meno di notare il fatto che il servizio è integrato in qualsiasi tipo di menu contestuale cliccabile con il tasto destro, il che è semplicemente fastidioso per molti utenti. Ma non anticipiamoci, ma consideriamo tutti gli aspetti principali legati al funzionamento di questo componente e all'opportunità del suo utilizzo o disattivazione.

Metodo di crittografia di dischi e supporti rimovibili

La cosa più strana è che su diversi sistemi e relative modifiche, il servizio BitLocker può essere sia in modalità attiva che attiva per impostazione predefinita. modalità passiva. Nel "sette" è abilitato di default, nell'ottava e nella decima versione a volte è richiesta l'attivazione manuale.

Per quanto riguarda la crittografia, qui non è stato inventato nulla di particolarmente nuovo. Di norma, viene utilizzata la stessa tecnologia AES basata su chiave pubblica, che viene spesso utilizzata in reti aziendali. Pertanto, se è collegato il terminale del computer con il sistema operativo corrispondente a bordo rete locale, puoi essere certo che la politica di sicurezza e protezione dei dati applicabile implica l'attivazione di questo servizio. Senza diritti di amministratore (anche se inizi a modificare le impostazioni come amministratore), non sarai in grado di modificare nulla.

Abilita BitLocker se il servizio è disabilitato

Prima di affrontare la questione relativa a BitLocker (come disabilitare il servizio, come rimuovere i suoi comandi dal menu contestuale), diamo un'occhiata all'abilitazione e alla configurazione, soprattutto perché i passaggi di disattivazione dovranno essere eseguiti in ordine inverso.

L'abilitazione della crittografia nel modo più semplice si effettua dal “Pannello di controllo” selezionando la sezione Questo metodo è applicabile solo se la chiave non deve essere salvata su un supporto rimovibile.

Se il dispositivo bloccato è un'unità non rimovibile, dovrai trovare la risposta a un'altra domanda sul servizio BitLocker: come disabilitare questo componente su un'unità flash? Questo viene fatto in modo abbastanza semplice.

A condizione che la chiave si trovi su un supporto rimovibile, per decrittografare dischi e partizioni del disco è necessario prima inserirla nella porta (connettore) appropriata, quindi accedere alla sezione del sistema di sicurezza del Pannello di controllo. Fatto questo troviamo il punto Crittografia BitLocker, quindi esaminare i dischi e i supporti su cui è installata la protezione. In fondo vedrai un collegamento ipertestuale per disabilitare la crittografia, su cui devi fare clic. Se la chiave viene riconosciuta, il processo di decrittazione viene attivato. Non resta che attendere il suo completamento.

Problemi nella configurazione dei componenti ransomware

Per quanto riguarda la configurazione, non puoi fare a meno del mal di testa. Innanzitutto, il sistema offre di riservare almeno 1,5 GB per le tue esigenze. In secondo luogo, è necessario regolare le autorizzazioni del file system NTFS, ridurre la dimensione del volume, ecc. Per evitare di fare tali cose, è meglio disabilitare immediatamente questo componente, perché la maggior parte degli utenti semplicemente non ne ha bisogno. Anche tutti coloro che hanno abilitato questo servizio nelle impostazioni predefinite non sempre sanno cosa farne o se è necessario. Ma invano. Puoi usarlo per proteggere i dati sul tuo computer locale anche se non disponi di un software antivirus.

BitLocker: come disabilitarlo. Primo stadio

Ancora una volta, utilizzare l'elemento precedentemente specificato nel "Pannello di controllo". A seconda della modifica del sistema, i nomi dei campi di disabilitazione del servizio potrebbero cambiare. L'unità selezionata potrebbe avere una linea per sospendere la protezione o un'indicazione diretta per disabilitare BitLocker.

Non è questo il punto. Qui vale la pena prestare attenzione al fatto che dovrai disabilitarlo completamente e file di avvio sistema informatico. Altrimenti, il processo di decrittazione potrebbe richiedere molto tempo.

Menù contestuale

Questo è solo un lato della medaglia di BitLocker. Probabilmente è già chiaro cosa sia BitLocker. Ma il rovescio della medaglia è isolare menu aggiuntivi dalla presenza di collegamenti a questo servizio in essi.

Per fare ciò, esaminiamo nuovamente BitLocker. Come rimuovere tutti i collegamenti a un servizio? Elementare! In Explorer, quando si seleziona il file desiderato o cartelle, utilizza la sezione servizi e modifica il menu contestuale corrispondente, vai alle impostazioni, quindi utilizza le impostazioni dei comandi e organizzale.

Successivamente, nell'editor del registro, inserisci il ramo HKCR, dove troviamo la sezione ROOTDirectoryShell, espandila ed eliminala elemento richiesto premendo il tasto Canc o il comando Elimina dal menu contestuale. In realtà, questa è l'ultima cosa riguardo al componente BitLocker. Come disabilitarlo, penso, è già chiaro. Ma non illuderti. Tuttavia, questo servizio funzionerà (per ogni evenienza), che tu lo voglia o no.

Invece di una postfazione

Resta da aggiungere che questo non è tutto ciò che si può dire componente del sistema Crittografia BitLocker. Cos'è BitLocker, ho capito come disabilitarlo ed eliminare anche i comandi di menu. La domanda è: dovresti disabilitare BitLocker? Qui possiamo dare solo un consiglio: in una rete locale aziendale non dovreste assolutamente disattivare questo componente. Ma se si tratta del terminale di un computer domestico, perché no?

La tecnologia di crittografia BitLocker è apparsa per la prima volta dieci anni fa ed è cambiata con ogni versione di Windows. Tuttavia, non tutte le modifiche apportate sono state progettate per aumentare la forza crittografica. In questo articolo daremo uno sguardo dettagliato al dispositivo delle diverse versioni di BitLocker (comprese quelle preinstallate nell'ultima versione) Build di Windows 10) e mostra come aggirare questo meccanismo di protezione integrato.

Attacchi offline

La tecnologia BitLocker è stata la risposta di Microsoft al crescente numero di attacchi offline particolarmente facili da eseguire contro i computer Windows. Chiunque può sentirsi un hacker. Spegnerà semplicemente il computer più vicino, quindi lo riavvierà, con il suo sistema operativo e un set portatile di utilità per trovare password, dati riservati e analizzare il sistema.

Alla fine della giornata lavorativa, puoi persino organizzare una piccola crociata con un cacciavite Phillips: aprire i computer dei dipendenti defunti ed estrarre da loro le unità. Quella stessa sera, nel tranquillo ambiente domestico, il contenuto dei dischetti estratti può essere analizzato (e perfino modificato) in mille e un modo. Il giorno dopo, vieni presto e rimetti tutto al suo posto.

Tuttavia, non è necessario aprire i computer di altre persone direttamente sul posto di lavoro. Molti dati riservati vengono dispersi dopo aver riciclato vecchi computer e sostituito le unità. In pratica, la cancellazione sicura e la formattazione di basso livello dei dischi dismessi vengono eseguite da pochissime persone. Cosa può fermare i giovani hacker e collezionisti di carogne digitali?

Come cantava Bulat Okudzhava: “Il mondo intero è fatto di restrizioni, per non impazzire di felicità”. Le principali restrizioni in Windows sono impostate a livello dei diritti di accesso agli oggetti NTFS, che non proteggono dagli attacchi offline. Windows controlla semplicemente le autorizzazioni di lettura e scrittura prima di elaborare qualsiasi comando che acceda a file o directory. Questo metodo è abbastanza efficace purché tutti gli utenti lavorino in un sistema configurato dall'amministratore con account limitati. Tuttavia, non appena si avvia un altro sistema operativo, non rimarrà traccia di tale protezione. L'utente riassegnerà i diritti di accesso o semplicemente li ignorerà installando un altro driver del file system.

Esistono molti metodi complementari per contrastare gli attacchi offline, inclusi protezione fisica e videosorveglianza, ma quelle più efficaci richiedono l’uso della crittografia forte. Le firme digitali del bootloader impediscono l'avvio codice straniero, UN l'unico modo L'unico modo per proteggere veramente i dati sul tuo disco rigido è crittografarli. Perché Windows manca da così tanto tempo alla crittografia completa del disco?

Da Vista a Windows 10

Ci sono molte persone diverse che lavorano in Microsoft e non tutte codificano con il piede sinistro posteriore. Purtroppo, le decisioni finali nelle società di software non sono state prese da tempo dai programmatori, ma da operatori di marketing e manager. L’unica cosa che considerano veramente quando sviluppano un nuovo prodotto è il volume delle vendite. Quanto più facile sarà per una casalinga comprendere il software, tante più copie di questo software sarà in grado di vendere.

“Pensa che mezzo per cento dei clienti è preoccupato per la propria sicurezza! Il sistema operativo è già un prodotto complesso e qui stai spaventando il pubblico di destinazione con la crittografia. Possiamo fare a meno di lui! Ci siamo riusciti prima!” - Il top management di Microsoft avrebbe potuto ragionare in questo modo fino al momento in cui XP non è diventato popolare nel segmento aziendale. Tra gli amministratori, troppi specialisti hanno già pensato alla sicurezza per sminuire la loro opinione. Pertanto dentro prossima versione Windows ha introdotto la tanto attesa crittografia dei volumi, ma solo nelle edizioni Enterprise e Ultimate, destinate al mercato aziendale.

La nuova tecnologia si chiama BitLocker. Questa era probabilmente l'unica cosa positiva di Vista. BitLocker ha crittografato l'intero volume, rendendolo personalizzato e file di sistema illeggibile bypassando il sistema operativo installato. Documenti importanti, foto di gatti, registro, SAM e SICUREZZA: tutto si è rivelato illeggibile durante un attacco offline di qualsiasi tipo. Nella terminologia Microsoft, un "volume" non è necessariamente un disco come dispositivo fisico. Tom potrebbe esserlo disco virtuale, partizione logica o viceversa - combinando più dischi (volume composto o con striping). Anche una semplice chiavetta USB può essere considerato un volume montato per crittografia end-to-end di cui, a partire da Windows 7, esiste un'implementazione separata: BitLocker To Go (maggiori dettagli nella barra laterale alla fine dell'articolo).

Con l'avvento di BitLocker, è diventato più difficile caricare un sistema operativo di terze parti, poiché tutti i boot loader lo hanno ricevuto firme digitali. Tuttavia, una soluzione alternativa è ancora possibile grazie alla modalità compatibilità. Vale la pena cambiare la modalità di avvio nel BIOS da UEFI a Legacy e disabilitarla Funzione sicura Boot e il buon vecchio unità flash avviabile tornerà utile di nuovo.

Come utilizzare BitLocker

Diamo un'occhiata alla parte pratica Esempio di Windows 10. Nella build 1607, BitLocker può essere abilitato tramite il pannello di controllo (sezione "Sistema e sicurezza", sottosezione "Crittografia unità BitLocker").

Tuttavia, se la scheda madre non dispone di un processore crittografico TPM versione 1.2 o successiva, semplicemente non è possibile utilizzare BitLocker. Per attivarlo, dovrai andare all'editor dei criteri di gruppo locale (gpedit.msc) ed espandere il ramo “Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Crittografia unità BitLocker -> Unità del sistema operativo” nell'impostazione “ Questa impostazione di criterio consente di configurare il requisito di autenticazione aggiuntiva all'avvio." In esso è necessario trovare l'impostazione "Consenti BitLocker senza un TPM compatibile..." e abilitarla.

Nelle sezioni adiacenti delle politiche locali è possibile impostare ulteriori Impostazioni di BitLocker, inclusa la lunghezza della chiave e la modalità di crittografia AES.

Dopo aver applicato le nuove politiche, torna al pannello di controllo e segui le istruzioni della procedura guidata di configurazione della crittografia. COME protezione aggiuntiva puoi scegliere di inserire una password o connettere una specifica unità flash USB.

Sebbene BitLocker sia considerata una tecnologia di crittografia dell'intero disco, consente la crittografia parziale solo dei settori occupati. Questo è più veloce della crittografia di tutto, ma questo metodo è considerato meno affidabile. Se non altro perché in questo caso i file cancellati ma non ancora sovrascritti rimangono disponibili per la lettura diretta per qualche tempo.

Crittografia completa e parziale

Dopo aver impostato tutti i parametri non resta che riavviare. Windows ti chiederà di inserire la password (o di inserire un'unità flash USB) e quindi di avviare modalità normale e inizierà processo in background crittografia del volume.

A seconda delle impostazioni selezionate, della dimensione del disco, della frequenza del processore e del supporto per i singoli comandi AES, la crittografia può richiedere da un paio di minuti a diverse ore.

Una volta completato questo processo, nel menu contestuale di Explorer verranno visualizzati nuovi elementi: cambia password e Passaggio veloce alle impostazioni di BitLocker.

Tieni presente che tutte le azioni, tranne la modifica della password, richiedono i diritti di amministratore. La logica qui è semplice: poiché hai effettuato l'accesso con successo al sistema, significa che conosci la password e hai il diritto di cambiarla. Quanto è ragionevole tutto ciò? Lo scopriremo presto!

Come funziona BitLocker

L'affidabilità di BitLocker non dovrebbe essere giudicata dalla reputazione di AES. Uno standard di crittografia popolare potrebbe non averlo francamente punti deboli, ma le sue implementazioni in prodotti crittografici specifici ne sono spesso piene. Codice completo Tecnologia BitLocker Azienda Microsoft non rivela. Si sa solo che in versioni diverse Windows su cui era basato schemi diversi, e le modifiche non sono state commentate. Inoltre, nella build 10586 di Windows 10 è semplicemente scomparso e due build dopo è riapparso. Tuttavia, andiamo prima di tutto.

La prima versione di BitLocker utilizzava la modalità CBC (ciphertext block chaining). Anche allora, i suoi difetti erano evidenti: la facilità di attaccare un testo noto, la debole resistenza agli attacchi come la sostituzione e così via. Pertanto, Microsoft ha deciso immediatamente di rafforzare la protezione. Già in Vista, l'algoritmo Elephant Diffuser era stato aggiunto allo schema AES-CBC, rendendo difficile il confronto diretto dei blocchi di testo cifrato. Con esso, gli stessi contenuti di due settori hanno dato risultati completamente diversi dopo la crittografia con una chiave, il che ha complicato il calcolo del modello complessivo. Tuttavia, la chiave stessa era corta per impostazione predefinita: 128 bit. Attraverso politiche amministrative può essere esteso a 256 bit, ma vale la pena farlo?

Per gli utenti, dopo aver cambiato la chiave, esternamente non cambierà nulla: né la lunghezza delle password inserite, né la velocità soggettiva delle operazioni. Come la maggior parte dei sistemi di crittografia dell'intero disco, BitLocker utilizza più chiavi... e nessuna di esse è visibile agli utenti. Qui schema elettrico BitLocker.

1. Quando si attiva BitLocker utilizzando un generatore numeri pseudocasuali viene creata una sequenza di bit principale. Questa è la chiave di crittografia del volume: FVEK (full volume Chiave crittografica). È con questo che i contenuti di ogni settore sono ora crittografati.
2. A sua volta, FVEK viene crittografato utilizzando un'altra chiave, VMK (chiave master del volume), e viene archiviato in forma crittografata tra i metadati del volume.
3. Anche VMK stesso è crittografato, ma già diversi modi a scelta dell'utente.
4. Su quelli nuovi schede madri La chiave VMK viene crittografata per impostazione predefinita utilizzando la chiave SRK (chiave root di archiviazione), che è archiviata in un crittoprocessore separato - modulo di piattaforma affidabile (TPM). L'utente non ha accesso al contenuto TPM ed è univoco per ciascun computer.
5. Se sulla scheda non è presente un chip TPM separato, invece di SRK, per crittografare la chiave VMK viene utilizzato un codice PIN immesso dall'utente o un'unità flash USB su richiesta con informazioni sulla chiave preregistrate su di essa.
6. Oltre al TPM o all'unità flash, puoi proteggere la chiave VMK con una password.

Come schema generale BitLocker ha continuato a funzionare nelle versioni successive di Windows fino ai giorni nostri. Tuttavia, i metodi di generazione delle chiavi e le modalità di crittografia di BitLocker sono cambiati. Pertanto, nell'ottobre 2014, Microsoft ha rimosso silenziosamente l'algoritmo aggiuntivo Elephant Diffuser, lasciando solo lo schema AES-CBC con i suoi noti difetti. All'inizio non è stato fatto nulla al riguardo dichiarazioni ufficiali. Alle persone è stata semplicemente fornita una tecnologia di crittografia indebolita con lo stesso nome con il pretesto di un aggiornamento. Spiegazioni vaghe per questo passaggio sono seguite dopo che ricercatori indipendenti hanno notato delle semplificazioni in BitLocker.

Formalmente, per garantire la conformità è stato richiesto l'abbandono dell'Elephant Diffuser Requisiti di Windows FIPS (Federal Information Processing Standards) statunitense, ma un argomento smentisce questa versione: Vista e Windows 7, che utilizzavano Elephant Diffuser, furono venduti senza problemi in America.

Un altro motivo immaginario per abbandonare l'algoritmo aggiuntivo è la mancanza di accelerazione hardware per Elephant Diffuser e la perdita di velocità durante l'utilizzo. Tuttavia, negli anni precedenti, quando i processori erano più lenti, la velocità di crittografia era in qualche modo soddisfacente. E lo stesso AES era ampiamente utilizzato anche prima che set di istruzioni separate e chip specializzati apparissero per accelerarlo. Nel corso del tempo, è stato possibile implementare l'accelerazione hardware per Elephant Diffuser, o almeno offrire ai clienti la possibilità di scegliere tra velocità e sicurezza.

Un'altra versione non ufficiale sembra più realistica. L '"elefante" ha interferito con i dipendenti della NSA che volevano dedicare meno sforzi alla decrittografia del disco successivo, e Microsoft collabora volentieri con le autorità anche nei casi in cui le loro richieste non sono del tutto legali. Una conferma indiretta della teoria del complotto è il fatto che prima di Windows 8, durante la creazione delle chiavi di crittografia in BitLocker, veniva utilizzato il generatore di numeri pseudo-casuali integrato in Windows. In molte (se non tutte) versioni di Windows, si trattava di Dual_EC_DRBG, un "PRNG crittograficamente potente" sviluppato dalla National Security Agency degli Stati Uniti e contenente una serie di vulnerabilità intrinseche.

Naturalmente, l'indebolimento segreto della crittografia integrata ha causato una potente ondata di critiche. Sotto la sua pressione, Microsoft ha riscritto nuovamente BitLocker, sostituendo PRNG con CTR_DRBG nelle nuove versioni di Windows. Inoltre, in Windows 10 (a partire dalla build 1511), lo schema di crittografia predefinito è AES-XTS, che è immune alla manipolazione dei blocchi di testo cifrato. IN ultime build Sono state corrette "dozzine" di altri difetti noti di BitLocker, ma il problema principale rimaneva. È così assurdo da rendere prive di significato altre innovazioni. Riguarda sui principi della gestione delle chiavi.

Principio di Los Alamos

Il compito di decrittografare le unità BitLocker è semplificato anche dal fatto che Microsoft sta promuovendo attivamente metodo alternativo ripristinare l'accesso ai dati tramite Recupero dati Agente. Lo scopo dell'"Agente" è che crittografa le chiavi di crittografia di tutte le unità all'interno della rete aziendale con una sola chiave accesso. Una volta ottenuta, potrai decriptare qualsiasi chiave, e quindi qualsiasi disco utilizzato dalla stessa azienda. Comodo? Sì, soprattutto per l'hacking.

L'idea di utilizzare una chiave per tutte le serrature è già stata compromessa molte volte, ma continua a essere restituita in una forma o nell'altra per motivi di comodità. È così che Ralph Leighton ha registrato i ricordi di Richard Feynman di un episodio caratteristico del suo lavoro sul Progetto Manhattan in Laboratorio di Los Alamos: “...Ho aperto tre casseforti - e tutte e tre con la stessa combinazione.<…>Li ho affrontati tutti: ho aperto le casseforti con tutti i segreti della bomba atomica: la tecnologia per produrre il plutonio, una descrizione del processo di purificazione, informazioni su quanto materiale è necessario, come funziona la bomba, come vengono prodotti i neutroni, come funziona la bomba, quali sono le sue dimensioni - in una parola, tutto quello che sapevano a Los Alamos, tutta la cucina!.

BitLocker ricorda in qualche modo il design della cassaforte descritto in un altro frammento del libro Stai sicuramente scherzando, signor Feynman! La cassaforte più imponente in un laboratorio top-secret aveva la stessa vulnerabilità di un semplice schedario. “...Questo era un colonnello e aveva una cassaforte a due ante molto più sofisticata con grandi maniglie che tiravano fuori dal telaio quattro aste d'acciaio spesse tre quarti di pollice.<…>Esaminai il retro di una delle imponenti porte di bronzo e scoprii che il quadrante era collegato a una piccola serratura che somigliava esattamente a quella del mio armadio a Los Alamos.<…>Era ovvio che il sistema di leve dipendeva dalla stessa piccola asta che chiudeva gli schedari.<…>. Fingendo qualche tipo di attività, ho iniziato a girare il quadrante a caso.<…>Due minuti dopo: clicca! - la cassaforte si è aperta.<…>Quando la porta della cassaforte o il cassetto superiore di uno schedario sono aperti, è molto facile trovare la combinazione. Questo è esattamente quello che ho fatto quando avete letto il mio rapporto, solo per dimostrarvi il pericolo.".

Gli stessi contenitori crittografici BitLocker sono abbastanza sicuri. Se ti portano un'unità flash arrivata dal nulla, crittografata con BitLocker To Go, difficilmente riuscirai a decrittografarla in un tempo accettabile. Tuttavia, in uno scenario reale di utilizzo di dischi crittografati e supporti rimovibili pieno di vulnerabilità che possono essere facilmente sfruttate per aggirare BitLocker.

Potenziali vulnerabilità

Probabilmente hai notato che devi aspettare molto tempo quando attivi BitLocker per la prima volta. Ciò non sorprende: il processo di crittografia settore per settore può richiedere diverse ore, poiché anche leggere tutti i blocchi di un HDD da terabyte non è possibile più velocemente. Tuttavia, la disattivazione di BitLocker è quasi istantanea: come può essere?

Il punto è quando disabilitando BitLocker non decodifica i dati. Tutti i settori rimarranno crittografati con la chiave FVEK. Semplicemente, l’accesso a questa chiave non sarà più limitato in alcun modo. Tutti i controlli verranno disabilitati e la VMK rimarrà registrata tra i metadati in testo non crittografato. Ogni volta che accendi il computer, il bootloader del sistema operativo leggerà VMK (senza controllare il TPM, chiedendo una chiave su un'unità flash o una password), decodificherà automaticamente FVEK con esso e quindi tutti i file man mano che si accede. Per l'utente tutto sarà simile completa assenza crittografia, ma i più attenti potrebbero notare un leggero calo delle prestazioni del sottosistema del disco. Più precisamente, non si verifica alcun aumento di velocità dopo aver disabilitato la crittografia.

C'è qualcos'altro di interessante in questo schema. Nonostante il nome (tecnologia di crittografia dell'intero disco), alcuni dati lo sono utilizzando BitLocker rimane ancora non crittografato. L'MBR e il BS rimangono aperti (a meno che il disco non sia stato inizializzato in GPT), settori danneggiati e metadati. Un bootloader aperto dà spazio all'immaginazione. I settori pseudo-danneggiati sono utili per nascondere rootkit e altri malware e i metadati contengono molte cose interessanti, comprese le copie delle chiavi. Se BitLocker è attivo, verranno crittografati (ma il contenuto dei settori è più debole di FVEK) e, se disattivato, rimarranno semplicemente in chiaro. Questi sono tutti potenziali vettori di attacco. Sono potenziali perché, oltre a loro, ce ne sono altri molto più semplici e universali.

Chiave di ripristino

Oltre a FVEK, VMK e SRK, BitLocker utilizza un altro tipo di chiave creata "per ogni evenienza". Queste sono le chiavi di ripristino, che sono un altro popolare vettore di attacco. Gli utenti hanno paura di dimenticare la password e di perdere l'accesso al sistema e Windows stesso consiglia loro di effettuare un accesso di emergenza. Per fare ciò, attiva la procedura guidata di crittografia BitLocker ultima fase ti chiede di creare una chiave di ripristino. Non è possibile rifiutare la sua creazione. Puoi scegliere solo una delle opzioni di esportazione chiave, ognuna delle quali è molto vulnerabile.

Nelle impostazioni predefinite, la chiave viene esportata come un semplice file di testo dal nome riconoscibile: “BitLocker Recovery Key #”, dove al posto di # è scritto l'ID del computer (sì, proprio nel nome del file!). La chiave stessa assomiglia a questa.

Se hai dimenticato (o non hai mai saputo) quanto specificato Password di BitLocker, quindi cerca il file con la chiave di ripristino. Sicuramente verrà salvato tra i documenti dell’utente corrente o sulla sua chiavetta. Forse è addirittura stampato su un pezzo di carta, come consiglia Microsoft. Aspetta solo che il tuo collega vada in pausa (dimenticandosi di chiudere a chiave il computer, come sempre) e inizia a cercare.

Accedi con la chiave di ripristino

Per individuare rapidamente una chiave di ripristino, è conveniente limitare la ricerca per estensione (txt), data di creazione (se si può immaginare quando BitLocker avrebbe potuto essere attivato) e dimensione del file (1388 byte se il file non è stato modificato). Una volta trovata la chiave di ripristino, copiala. Con esso, puoi ignorare l'autorizzazione standard in BitLocker in qualsiasi momento. Per fare ciò, basta premere Esc e inserire la chiave di ripristino. Potrai accedere senza problemi e potrai anche cambiare la tua password BitLocker con una personalizzata senza specificare quella vecchia! Questo ricorda già i trucchi della sezione "Costruzione occidentale".

Apertura di BitLocker

Vero sistema crittograficoè un compromesso tra comodità, velocità e affidabilità. Dovrebbe fornire procedure per la crittografia trasparente con metodi di decrittografia e ripristino al volo password dimenticate e comodo lavoro con le chiavi. Tutto ciò indebolisce qualsiasi sistema, indipendentemente dagli algoritmi forti su cui si basa. Pertanto non è necessario cercare le vulnerabilità direttamente nell'algoritmo Rijndael o nei vari schemi dello standard AES. È molto più semplice rilevarli nelle specifiche di una particolare implementazione.

Nel caso di Microsoft, tali “specifiche” sono sufficienti. Ad esempio, le copie delle chiavi BitLocker vengono inviate a SkyDrive per impostazione predefinita e depositate presso un deposito Directory attiva. Per quello? Ebbene, e se li perdessi... o se lo chiede l'agente Smith. È scomodo far aspettare un cliente, tanto meno un agente.

Per questo motivo, il confronto della forza crittografica di AES-XTS e AES-CBC con Elephant Diffuser passa in secondo piano, così come le raccomandazioni per aumentare la lunghezza della chiave. Non importa quanto tempo sia, un utente malintenzionato può facilmente ottenerlo in forma non crittografata.

Ottenere le chiavi depositate in deposito da un account Microsoft o AD è il metodo principale per violare BitLocker. Se l'utente non ha registrato un account in Microsoft nuvola e il suo computer non è nel dominio, sarà comunque possibile estrarre le chiavi di crittografia. Nel corso del normale funzionamento essi copie aperte sempre salvato memoria ad accesso casuale(altrimenti non esisterebbe la “crittografia trasparente”). Ciò significa che sono disponibili nel file di dump e di ibernazione.

Perché sono tenuti lì? Non importa quanto possa sembrare divertente, per comodità. BitLocker è stato progettato per proteggere solo dagli attacchi offline. Sono sempre accompagnati da un riavvio e dalla connessione del disco a un altro sistema operativo, che porta alla cancellazione della RAM. Tuttavia, nelle impostazioni predefinite, il sistema operativo scarica la RAM quando si verifica un arresto anomalo (che può essere provocato) e scrive l'intero contenuto in un file di ibernazione ogni volta che il computer entra in modalità di sospensione profonda. Pertanto, se di recente hai effettuato l'accesso a Windows con BitLocker abilitato, ci sono buone probabilità che riceverai una copia decrittografata della chiave VMK e la utilizzerai per decrittografare il FVEK e quindi i dati stessi lungo la catena. Controlliamo?

Tutti i metodi di hacking BitLocker sopra descritti sono raccolti in un unico programma: Forensic Disk Decryptor, sviluppato dalla società nazionale Elcomsoft. Può recuperare automaticamente le chiavi di crittografia e montare volumi crittografati come dischi virtuali, decrittografandoli al volo.

Inoltre EFDD implementa un altro metodo non banale per ottenere le chiavi: un attacco tramite la porta FireWire, che è consigliabile utilizzare nei casi in cui non è possibile eseguire il software sul computer attaccato. Installiamo sempre il programma EFDD stesso sul nostro computer e sul computer da hackerare cerchiamo di eseguire i passaggi minimi necessari.

Ad esempio, corriamo e basta sistema di prova con BitLocker attivo e “invisibilmente” effettueremo un dump della memoria. Quindi simuleremo una situazione in cui un collega è uscito a pranzo e non ha bloccato il computer. Lanciamo RAM Capture e in meno di un minuto riceviamo un dump completo in un file con estensione .mem e una dimensione corrispondente alla quantità di RAM installata sul computer della vittima.

Fare un dump della memoria

Come fare una discarica - a cura di nell'insieme non importa. Indipendentemente dalla proroga funzionerà file binario, che verrà poi analizzato automaticamente dall'EFDD alla ricerca delle chiavi.

Scriviamo il dump su un'unità flash o lo trasferiamo in rete, dopodiché ci sediamo al computer e lanciamo EFDD.

Seleziona l'opzione "Estrai chiavi" e inserisci il percorso del file di dump della memoria come origine della chiave.

Specificare l'origine della chiave

BitLocker è un tipico contenitore crittografico, come PGP Disk o TrueCrypt. Questi contenitori si sono rivelati abbastanza affidabili da soli, ma applicazioni client Per lavorare con loro sotto Windows, inseriscono le chiavi di crittografia nella RAM. Pertanto, l’EFDD implementa uno scenario di attacco universale. Il programma trova immediatamente le chiavi di crittografia da tutti e tre i tipi di contenitori crittografici più diffusi. Pertanto, puoi lasciare tutte le caselle selezionate nel caso in cui la vittima utilizzi segretamente TrueCrypt o PGP!

Dopo alcuni secondi, Elcomsoft Forensic Disk Decryptor mostra tutte le chiavi trovate nella sua finestra. Per comodità, puoi salvarli in un file: questo sarà utile in futuro.

Ora BitLocker non è più un problema! Puoi eseguire un classico attacco offline, ad esempio estrarre il disco rigido di un collega e copiarne il contenuto. Per fare ciò, collegalo semplicemente al tuo computer ed esegui EFDD in modalità “decrittografa o monta disco”.

Dopo aver specificato il percorso dei file con le chiavi salvate, EFDD, a tua scelta, eseguirà una decrittografia completa del volume o lo aprirà immediatamente come disco virtuale. IN quest'ultimo caso i file vengono decrittografati al momento dell'accesso. In ogni caso non viene apportata alcuna modifica al volume originale, quindi il giorno dopo potrete restituirlo come se nulla fosse successo. Il lavoro con EFDD avviene senza lasciare traccia e solo con copie di dati, e quindi rimane invisibile.

BitLocker per andare

A partire da Windows 7 è diventato possibile crittografare unità flash, dischi rigidi USB e altri supporti esterni. Una tecnologia chiamata BitLocker To Go crittografa le unità rimovibili allo stesso modo di dischi locali. La crittografia viene abilitata utilizzando l'apposita voce nel menu contestuale di Explorer.

Per le nuove unità è possibile utilizzare la crittografia solo dell'area occupata, comunque posto libero La sezione è piena di zeri e non c'è nulla da nascondere lì. Se l'unità è già stata utilizzata, si consiglia di abilitarla crittografia completa. In caso contrario, la posizione contrassegnata come libera rimarrà non crittografata. Potrebbe contenere file aperti di recente file cancellati, che non sono ancora stati sovrascritti.

Anche la crittografia rapida della sola area occupata richiede da alcuni minuti a diverse ore. Questa volta dipende dal volume dei dati, larghezza di banda interfaccia, caratteristiche dell'unità e velocità di calcolo crittografico del processore. Poiché la crittografia è accompagnata dalla compressione, lo spazio libero sul disco crittografato in genere aumenta leggermente.

La prossima volta che collegherai un'unità flash crittografata a qualsiasi computer con Windows 7 o versioni successive, verrà automaticamente richiamata la procedura guidata BitLocker per sbloccare l'unità. In Explorer, prima dello sblocco, verrà visualizzato come disco bloccato.

Qui puoi utilizzare sia le opzioni già discusse per bypassare BitLocker (ad esempio, cercare la chiave VMK in un dump della memoria o in un file di ibernazione), sia quelle nuove relative alle chiavi di ripristino.

Se non conosci la password, ma sei riuscito a trovare una delle chiavi (manualmente o utilizzando EFDD), ci sono due opzioni principali per accedere all'unità flash crittografata:

• utilizzare la procedura guidata BitLocker integrata per lavorare direttamente con un'unità flash;
• utilizzare EFDD per decrittografare completamente l'unità flash e creare la sua immagine settore per settore.

La prima opzione ti consente di accedere immediatamente ai file registrati sull'unità flash, copiarli o modificarli e anche scriverne di tuoi. La seconda opzione richiede molto più tempo (da mezz'ora), ma ha i suoi vantaggi. L'immagine decodificata settore per settore consente di eseguire un'analisi più raffinata del file system a livello di laboratorio forense. In questo caso la chiavetta stessa non è più necessaria e può essere restituita senza modifiche.

L'immagine risultante può essere aperta immediatamente in qualsiasi programma che supporti il ​​formato IMA o prima convertita in un altro formato (ad esempio utilizzando UltraISO).

Naturalmente, oltre a rilevare la chiave di ripristino per BitLocker2Go, EFDD supporta anche tutti gli altri metodi di bypass di BitLocker. Basta esaminare tutto Opzioni disponibili di seguito finché non trovi una chiave di qualsiasi tipo. Il resto (fino a FVEK) verrà decrittografato lungo la catena e avrai pieno accesso al disco.

conclusioni

La tecnologia di crittografia dell'intero disco BitLocker differisce tra le versioni di Windows. Dopo un'adeguata configurazione, consente di creare contenitori crittografici teoricamente paragonabili in termini di forza a TrueCrypt o PGP. Tuttavia, il meccanismo integrato in Windows per lavorare con le chiavi annulla tutti i trucchi algoritmici. In particolare, la chiave VMK utilizzata per decrittografare la chiave master in BitLocker viene recuperata utilizzando EFDD in pochi secondi da un duplicato depositato in deposito, un dump della memoria, un file di ibernazione o un attacco alla porta FireWire.

Una volta ottenuta la chiave, è possibile eseguire un classico attacco offline, copiare silenziosamente e decrittografare automaticamente tutti i dati presenti sul disco “protetto”. Pertanto, è consigliabile utilizzare BitLocker solo insieme ad altri mezzi di protezione: crittografati file system(EFS), Rights Management Service (RMS), controllo del lancio dei programmi, installazione dei dispositivi e controllo della connessione, nonché politiche locali più rigorose e misure di sicurezza generali.

Ultimo aggiornamento il 28 febbraio 2017.

Il sistema operativo Windows non può garantire al 100% che se disponi di una password, persone non autorizzate non possano accedere al tuo laptop. La password dell'account può essere trovata e modificata utilizzando strumenti speciali senza accedere al sistema operativo stesso. Pertanto, è necessario crittografare i dati sul disco rigido. Ciò consente di non preoccuparsi di accessi non autorizzati se il proprietario lo blocca prima di lasciare il portatile incustodito.

Questo articolo discuterà un programma per crittografia dura Il disco VeraCrypt con il sistema operativo Windows 10 e l'intero disco rigido del sistema con tutte le partizioni, inclusa la partizione di sistema, verranno crittografati. L'atteggiamento categorico nei confronti del sistema operativo è dovuto al fatto che gli articoli "Disco rigido crittografato virtuale utilizzando VeraCrypt" e "Crittografa un computer utilizzando TrueCrypt" erano già stati pubblicati in precedenza e le domande sulla crittografia di un disco rigido su Windows 10 hanno iniziato a sorgere frequentemente tra i visitatori del sito.

Installazione di VeraCrypt

Lanciamo file di installazione. Viene visualizzata la prima finestra contratto di licenza, premi il bottone " accetto i termini della licenza", che significa accordo con i suoi termini. Fare clic su " Prossimo".

Nella finestra successiva è necessario selezionare la modalità di installazione: installazione o disimballaggio. La modalità di decompressione può essere utile per lavorare con la crittografia virtuale dischi fissi. Poiché è necessario crittografare l'intero disco e non creare difficile virtuale dischi, è necessario selezionare " Installare" e premi il pulsante " Prossimo".

Successivamente, è necessario selezionare le opzioni di installazione. Lasciare le opzioni predefinite, fare clic su " Installare".

Il processo di installazione è iniziato, stiamo solo aspettando che venga visualizzato il messaggio sull'installazione riuscita.

Viene visualizzato un messaggio che indica che l'installazione è stata completata correttamente.

Ora puoi vedere una richiesta da parte degli sviluppatori di donare denaro. Fare clic su " Fine".

Dopo aver fatto clic su Fine, viene visualizzato un messaggio che chiede di guardare il materiale di riferimento, fare clic su " NO".

L'installazione del programma di crittografia del disco rigido è stata completata con successo.

Configurazione del programma e crittografia del disco rigido

Avvia il collegamento dal desktop " VeraCrypt".

Per impostazione predefinita l'interfaccia è attiva lingua inglese, ma c'è una traduzione in russo, l'interfaccia deve solo essere cambiata in russo. Vai alla scheda " Impostazioni", quindi puntare" Lingua...".

Nella finestra successiva è necessario selezionare " russo"lingua e premi il pulsante" OK".

L'interfaccia diventa immediatamente in russo. Questo è carino, poiché in TrueCrypt era necessario riavviare il programma per applicare la lingua dell'interfaccia, ma in VeraCrypt la lingua cambia immediatamente senza riavviare.

Ora iniziamo il processo di crittografia del disco rigido, tenendo conto del fatto che stiamo utilizzando il sistema operativo Windows 10. Vai alla scheda " Sistema" e seleziona la voce " Crittografare la partizione/disco di sistema".

Ora devi selezionare il tipo di crittografia: normale o nascosta. Per uso tipo nascosto devi averne due dischi fissi, due partizioni di un disco non funzioneranno. Scegli il tipo normale.

Successivamente, è necessario specificare l'area per la crittografia. Crittografia partizione di sistema consigliato dagli sviluppatori, poiché la crittografia dell'intero disco potrebbe causare problemi con settore di avvio VeraCrypt a causa di spazio insufficiente. Vale la pena notare che se hai più partizioni su un disco e seleziona " crittografare la partizione di sistema"Verrà crittografata solo la partizione su cui è installato Windows. Sui laptop, spesso le persone creano due partizioni, una per il sistema e l'altra per i dati dell'utente. In questo caso, i dati dell'utente non saranno protetti, quindi si consiglia di selezionare " Crittografia dell'intero disco". Seleziona l'intero disco.

Viene visualizzata una notifica che consiglia di utilizzare la crittografia solo per la partizione di sistema. Fare clic su " NO", poiché l'intero disco deve essere crittografato.

Ora devi specificare se desideri rilevare e crittografare la partizione nascosta. La crittografia dell'intero disco è già stata selezionata, quindi seleziona " NO".

Successivamente è necessario indicare il numero di sistemi operativi installati. Se non è possibile scegliere il sistema operativo all'avvio del computer, verrà installato solo un sistema operativo. Questa istruzioneè rivolto a un laptop con un sistema operativo, se vengono utilizzati più sistemi operativi, selezionare l'elemento "" a proprio rischio e pericolo. Selezionare la voce "".

Ora selezioniamo l'algoritmo di crittografia. L'algoritmo predefinito è AES con una lunghezza della chiave pari a 256. La scelta ottimale. Puoi scegliere AES(Twofish(Serpent)), ma la crittografia potrebbe richiedere più di quattro ore. Lascialo come predefinito o scegli un'opzione più robusta.

Se " AES(Duepesci(Serpente))"Successivamente apparirà una notifica sull'utilizzo di una cascata di codici. Dovresti leggerla attentamente e non perdere il disco di ripristino che verrà creato in seguito. Fai clic su " SÌ".

Successivamente apparirà un'altra notifica sull'uso di una cascata di codici. Fare clic su " OK".

Ora è necessario specificare la password che verrà utilizzata per avviare il sistema operativo. Si consiglia vivamente di utilizzare password di almeno 20 caratteri. Se una password di questo tipo non è adatta, poiché sicuramente non sarai in grado di ricordarla, puoi inserirne una breve, ma di almeno 8 caratteri, utilizzando segni e simboli. Non deve contenere parole o abbreviazioni del cognome e delle iniziali. Se utilizzi una password breve, verrà visualizzato un avviso. Si consiglia di lasciare le altre opzioni come predefinite. Puoi selezionare la casella " Usa PIM" e nella finestra successiva dovrai indicare puramente le iterazioni, che devono essere ricordate, altrimenti non potrai accedere al sistema. Ti consigliamo quindi di non selezionare la casella " Usa PIM". Inserisci la password.

Poi arriva la raccolta di dati casuali. Basta spostare il mouse sulla finestra finché l'indicatore non diventa verde, quindi fare clic su " Ulteriore".

Chiavi e dati casuali sono stati creati con successo, fare clic su " Ulteriore".

Ora devi creare un'immagine di ripristino e masterizzarla su disco. Per impostazione predefinita, l'immagine viene creata nei documenti dell'utente, ma puoi modificare la posizione facendo clic sul pulsante " Revisione", l'importante è specificare un nome con la stessa estensione quando si cambia la posizione " VeraCrypt Rescue Disk.iso". Fare clic su " Ulteriore".

Inserisci un disco vuoto o riscrivibile (CD o DVD) e masterizza l'immagine del disco. Fare clic su " Scrivi".

Dopo che il disco è stato masterizzato con successo, premere il pulsante " Vicino"Non rimuovere il disco dall'unità poiché dovrà essere controllato in seguito.

Torniamo alla finestra della procedura guidata VeraCrypt. Successivamente, verrà controllato il disco di ripristino. Fare clic su " Ulteriore".

La finestra successiva dice che la scansione del disco ha avuto successo. Fare clic su " Ulteriore".

Ora devi selezionare la modalità di pulizia. Questa finestra lo descrive bene, ma va notato che la pulizia aggiungerà ulteriore tempo al processo di crittografia. Se nel tuo caso c'è il pericolo che tentano di estrarre i dati nel prossimo futuro, allora dovresti scegliere una modalità di pulizia con un numero di passaggi di almeno tre. Selezionare la modalità di pulizia e premere " Ulteriore".

Ora devi verificare che tutto funzioni correttamente. Premi il bottone " Test".

Successivamente, verrà visualizzata una notifica che il caricatore VeraCrypt non è stato tradotto in russo, ovvero finché non verrà caricato il sistema operativo, tutto sarà in inglese. Fare clic su " SÌ".

Successivamente, la procedura guidata di creazione del volume ti chiederà di riavviare il computer. Fare clic su " SÌ".

Quando avvii il computer prima di caricare il sistema operativo, apparirà il bootloader VeraCrypt. Inserisci la password specificata in precedenza, ma non inserire nulla nel campo PIM (a meno che tu non abbia selezionato " Usa PIM"), basta premere Invio. Se hai selezionato " Usa PIM", quindi è necessario inserire il numero di iterazioni nel campo appropriato. Successivamente, inizierà il processo di verifica della password, che potrebbe richiedere del tempo, quindi non c'è bisogno di farsi prendere dal panico se dura dai 2 ai 5 minuti. Se si inserisce un password errata o PIM errato (se utilizzato), verrà scritto password errata.

Se il tuo computer non si avvia, dovresti utilizzare un disco di ripristino. Quando il computer si avvia correttamente, viene visualizzato un messaggio relativo al test riuscito. Ora tutto è pronto per la crittografia. Fare clic su " Crittografia".

Successivamente, verrà visualizzato un messaggio con le istruzioni per l'utilizzo del disco di ripristino, che è necessario stampare. Fare clic su " OK".

Inizia il processo di crittografia. La durata della crittografia dipende dal computer: dalla sua potenza e dal tipo di supporto di memorizzazione utilizzato. In caso di Tempo SSD La crittografia delle cifre a cascata senza cancellazione può richiedere circa 80 minuti. Nel caso dei dischi rigidi convenzionali in condizioni simili, il tempo di crittografia può essere di circa quattro ore.

Una volta completata la crittografia, verrà visualizzato un messaggio che indica che il disco rigido è stato crittografato correttamente.

La crittografia è completa, fare clic su " Pronto".

Decrittazione del disco

Questo metodo di decrittografia è adatto solo se il processo di crittografia è stato completato senza errori e Sistema operativo carica con successo.
Avvia VeraCrypt, l'unità di sistema sarà nell'elenco, fai clic destro su di essa e seleziona "Decrittografa permanentemente".
Il programma chiederà la conferma della decrittazione. Fare clic su "Sì". Quindi apparirà un'altra conferma, fare clic su "Sì".
Inizia il processo di decrittazione, che richiederà lo stesso tempo impiegato dal processo di decrittografia meno la cancellazione. Una volta completato, verrà visualizzata una notifica che indica che la decrittografia è riuscita e ti verrà richiesto di riavviare il computer.