Ce este bitlocker Windows 10. Criptare hardware sau software

Pe Windows 10 și versiuni anterioare versiuni Windows Criptarea fișierelor este furnizată folosind tehnologia BitLocker. Trebuie să-l configurați o singură dată și puteți fi sigur că nimeni nu va avea acces la fișierele dvs. sau nu va putea rula programele dvs., chiar dacă o fac. acces fizic pe unitatea laptopului sau computerului dvs.

Cum activez criptarea BitLocker? În primul rând, trebuie să activați politicile de securitate:

1. Apăsați Win+R și rulați comanda gpedit.msc.
2. Accesați Șabloane administrative > Componentele Windows» Criptare unități BitLocker > Unități ale sistemului de operare.

3. Faceți dublu clic pe butonul stâng al mouse-ului pe „Această setare de politică vă permite să configurați cerința verificare suplimentară autentificare la pornire” și selectați opțiunea „Activat”.

Acum puteți trece direct la criptare:

1. Deschideți File Explorer > My Computer și selectați unitatea pe care doriți să o criptați.
2. Faceți clic pe pictograma unității Click dreapta mouse-ul și selectați „Activați BitLocker”.

3. Se va deschide o casetă de dialog cu opțiuni pentru accesarea datelor criptate. Urmați instrucțiunile acestuia și reporniți computerul. Discul va fi criptat. Procesul de criptare poate fi lung, durata acestuia depinzând de volumul de date criptate.

În timpul procesului de configurare a criptării, va trebui să creați o cheie sau o parolă pentru a decripta datele. Parola trebuie să utilizeze litere și numere mixte. Când unitatea este instalată în computer, datele sunt criptate și decriptate automat, dar dacă eliminați unitatea criptată de pe aceasta și o conectați la un alt dispozitiv, veți avea nevoie de o cheie pentru a accesa fișierele.

Datele de recuperare a cheilor pot fi stocate pe o unitate flash, într-un cont Microsoft, într-un fișier text sau pe o foaie de hârtie tipărită. Rețineți că aceasta nu este cheia în sine, ci doar informații care vă vor ajuta să o recuperați. Cheia poate fi obținută numai după introducerea numelui de autentificare și a parolei pentru contul dvs. Microsoft, ceea ce face mai dificilă spargerea criptării.

Dacă ați criptat sistemul unitate logică, atunci parola va trebui introdusă în timpul pornirii la rece a dispozitivului sau după repornirea acestuia.

Bitlocker este un program de criptare care a apărut pentru prima dată în Windows 7. Cu ajutorul acestuia, puteți cripta volumele de hard disk (chiar și partiția de sistem), unitățile flash USB și MicroSD. Dar se întâmplă adesea ca utilizatorul să uite pur și simplu parola pentru acces criptat Date Bitlocker. Citiți cum să deblocați informațiile pe mediile criptate în cadrul acestui articol.

Programul însuși sugerează modalități de decriptare a datelor în etapa creării blocării:

1. Pregătiți unitatea pe care doriți să o criptați. Faceți clic dreapta pe el și selectați „Activați Bitlocker”.
2. Selectați o metodă de criptare.
   De obicei, o parolă este setată pentru deblocare. Dacă aveți un cititor de carduri inteligente USB cu un cip obișnuit ISO 7816, îl puteți folosi pentru a debloca.
   Pentru criptare, opțiunile sunt disponibile separat sau ambele simultan.
3. În pasul următor, Expertul de criptare disc oferă opțiuni pentru arhivarea cheii de recuperare. Sunt trei în total:
   
4. După ce ați ales opțiunea de salvare a cheii de recuperare, selectați partea din unitate pe care doriți să o decriptați.
   
5. Înainte de a începe criptarea datelor, va apărea o fereastră care vă anunță despre proces. Faceți clic pe „Start Encryption”.
   
6. Așteptați ceva timp până când procedura este finalizată.
7. Unitatea este acum criptată și va cere o parolă (sau un smart card) la conexiunea inițială.
   

Important! Puteți alege metoda de criptare. Bitlocker acceptă criptarea XTS AES și AES-CBC pe 128 și 256 de biți.

Schimbarea metodei de criptare a unității

În editorul local Politica de grup(nu este acceptat de Windows 10 Home) puteți alege metoda de criptare pentru unitățile de date. Valoarea implicită este XTS AES 128 biți pentru unitățile neamovibile și AES-CBC 128 biți pentru hard disk-uri și unități flash amovibile.

Pentru a schimba metoda de criptare:

După modificări ale politicii, Bitlocker va putea proteja cu parolă noile media cu parametrii selectați.

Cum se deblochează?

Procesul de blocare oferă două modalități de a obține acces în continuare la conținutul unității: parola și legarea la un card inteligent. Dacă ți-ai uitat parola sau ai pierdut accesul la smart card (sau, mai degrabă, nu ai folosit-o deloc), tot ce trebuie să faci este să folosești cheia de recuperare. Când protejați cu parolă o unitate flash, aceasta trebuie creată, astfel încât să o puteți găsi:

1. Imprimat pe o coală de hârtie. Poate ai pus-o cu documente importante.
2. ÎN document text(sau pe o unitate flash USB dacă partiția de sistem a fost criptată). Pastă Flash Drive USBîn computer și urmați instrucțiunile. Dacă cheia este salvată în fisier text, citiți-l pe un dispozitiv necriptat.
3. ÎN cont Microsoft. Conectați-vă la profilul dvs. de pe site, în secțiunea „Cheile de recuperare Bitlocker”.

După ce ați găsit cheia de recuperare:

1. Faceți clic dreapta pe unitatea blocată și selectați „Deblocați unitatea”.
2. O fereastră de introducere a parolei Bitlocker va apărea în colțul din dreapta sus al ecranului. Faceți clic pe „Opțiuni avansate”.
   
3. Selectați Introduceți cheia de recuperare.
4. Copiați sau rescrieți cheia din 48 de cifre și faceți clic pe „Deblocare”.
5. După aceasta, datele de pe mass-media vor deveni disponibile pentru citire.

Odată cu lansarea sistemului de operare Windows 7, mulți utilizatori s-au confruntat cu faptul că în el a apărut un serviciu BitLocker oarecum de neînțeles. Ce este BitLocker, mulți pot doar ghici. Să încercăm să clarificăm situația cu exemple concrete. Pe parcurs, vom lua în considerare întrebările referitoare la cât de adecvat este să activați această componentă sau să o dezactivați complet.

BitLocker: ce este BitLocker, de ce este nevoie de acest serviciu

Dacă te uiți la asta, BitLocker este un instrument universal și complet automatizat pentru stocarea datelor stocate pe un hard disk. Ce este BitLocker pe un hard disk? Da, doar un serviciu care protejează fișierele și folderele fără intervenția utilizatorului prin criptarea acestora și crearea unei chei text speciale care oferă acces la documente.

Atunci când un utilizator lucrează în sistem sub propriul său cont, poate nici măcar să nu realizeze că datele sunt criptate, deoarece informațiile sunt afișate într-o formă care poate fi citită, iar accesul la fișiere și foldere nu este blocat. Cu alte cuvinte, un astfel de instrument de protecție este conceput doar pentru acele situații în care este accesat un terminal de computer, de exemplu, când se încearcă să interfereze din exterior (atac pe internet).

Parole și probleme de criptare

Totuși, dacă vorbim despre ce este BitLocker în Windows 7 sau sisteme de rang superior, este de remarcat faptul neplăcut că, dacă își pierd parola de autentificare, mulți utilizatori nu numai că nu se pot conecta în sistem, ci și efectuează unele acțiuni de navigare. documente disponibile anterior pentru copiere, mutare etc.

Dar asta nu este tot. Dacă te uiți la întrebarea ce este BitLocker Windows 8 sau 10, atunci nu există diferențe semnificative, cu excepția faptului că au o tehnologie de criptare mai avansată. Problema aici este clar alta. Faptul este că serviciul în sine este capabil să funcționeze în două moduri, stocând cheile de decriptare fie pe un hard disk, fie pe o unitate USB detașabilă.

Aceasta sugerează cea mai simplă concluzie: dacă cheia este salvată pe hard disk, utilizatorul are acces fără probleme la toate informațiile stocate pe acesta. Dar când cheia este salvată pe o unitate flash, problema este mult mai gravă. În principiu, puteți vedea un disc sau o partiție criptată, dar nu puteți citi informațiile.

În plus, dacă vorbim cu adevărat despre ce este BitLocker Windows 10 sau mai multe sisteme versiuni anterioare, nu putem să nu remarcăm faptul că serviciul se integrează în orice tip de meniu contextual cu clic dreapta, ceea ce este pur și simplu enervant pentru mulți utilizatori. Dar să nu trecem înaintea noastră, ci să luăm în considerare toate aspectele principale legate de funcționarea acestei componente și oportunitatea utilizării sau dezactivării acesteia.

Metodă de criptare a discurilor și a suporturilor amovibile

Cel mai ciudat lucru este că pe diferite sisteme și modificările acestora, serviciul BitLocker poate fi în mod implicit atât activ, cât și activ. modul pasiv. În „șapte” este activat în mod implicit; în versiunile a opta și a zecea, uneori este necesară activarea manuală.

În ceea ce privește criptarea, aici nu a fost inventat nimic deosebit de nou. De regulă, se utilizează aceeași tehnologie AES bazată pe chei publice, care este cel mai des folosită în rețele corporative. Prin urmare, dacă terminalul computerului dvs. cu sistemul de operare corespunzător la bord este conectat la retea locala, puteți fi sigur că politica aplicabilă de securitate și protecție a datelor implică activarea acestui serviciu. Fără drepturi de administrator (chiar dacă începi să schimbi setările ca administrator), nu vei putea modifica nimic.

Activați BitLocker dacă serviciul este dezactivat

Înainte de a aborda problema legată de BitLocker (cum să dezactivați serviciul, cum să eliminați comenzile acestuia din meniul contextual), să ne uităm la activare și configurare, mai ales că pașii de dezactivare vor trebui să se facă în ordine inversă.

Activarea criptării în cel mai simplu mod se face din „Panou de control” selectând secțiunea. Această metodă este aplicabilă numai dacă cheia nu trebuie salvată pe un suport amovibil.

Dacă dispozitivul blocat este o unitate neamovibilă, va trebui să găsiți răspunsul la o altă întrebare despre serviciul BitLocker: cum să dezactivați această componentă pe o unitate flash? Acest lucru se face destul de simplu.

Cu condiția ca cheia să fie localizată pe un mediu amovibil, pentru a decripta discurile și partițiile de disc, mai întâi trebuie să o introduceți în portul (conector) corespunzător, apoi să mergeți la secțiunea de sistem de securitate a Panoului de control. După aceasta găsim rostul Criptare BitLocker, apoi uitați-vă la discurile și mediile pe care este instalată protecția. În partea de jos veți vedea un hyperlink pentru a dezactiva criptarea, pe care trebuie să faceți clic. Dacă cheia este recunoscută, procesul de decriptare este activat. Rămâne doar să așteptăm finalizarea lui.

Probleme la configurarea componentelor ransomware

În ceea ce privește configurarea, nu te poți lipsi de o durere de cap. În primul rând, sistemul oferă să rezerve cel puțin 1,5 GB pentru nevoile dvs. În al doilea rând, trebuie să ajustați permisiunile sistemului de fișiere NTFS, să reduceți dimensiunea volumului etc. Pentru a evita astfel de lucruri, este mai bine să dezactivați imediat această componentă, deoarece majoritatea utilizatorilor pur și simplu nu au nevoie de ea. Chiar și toți cei care au acest serviciu activat în setările lor implicite, de asemenea, nu știu întotdeauna ce să facă cu el sau dacă este necesar. Dar în zadar. Îl puteți folosi pentru a proteja datele de pe computerul local chiar dacă nu aveți software antivirus.

BitLocker: cum se dezactivează. Primul stagiu

Din nou, utilizați elementul specificat anterior în „Panou de control”. În funcție de modificarea sistemului, numele câmpurilor de dezactivare a serviciului se pot schimba. Unitatea selectată poate avea o linie pentru suspendarea protecției sau o indicație directă pentru a dezactiva BitLocker.

Nu asta e ideea. Aici merită să acordați atenție faptului că va trebui să dezactivați complet și fișierele de boot sistem informatic. În caz contrar, procesul de decriptare poate dura destul de mult.

Meniul contextual

Aceasta este doar o față a monedei BitLocker. Ce este BitLocker este probabil deja clar. Dar reversul este de a izola meniurile suplimentare de prezența legăturilor către acest serviciu în ele.

Pentru a face acest lucru, să ne uităm din nou la BitLocker. Cum să eliminați toate linkurile către un serviciu? Elementar! În Explorer, la selectare fisierul dorit sau foldere, utilizați secțiunea de servicii și editați meniul contextual corespunzător, accesați setări, apoi utilizați setările comenzii și organizați-le.

După aceea, în editorul de registry, intrați în ramura HKCR, unde găsim secțiunea ROOTDirectoryShell, extindeți-o și ștergeți-o element necesar apăsând tasta Del sau comanda de ștergere din meniul de clic dreapta. De fapt, acesta este ultimul lucru despre componenta BitLocker. Cum să-l dezactivați, cred, este deja clar. Dar nu te amăgi. Cu toate acestea, acest serviciu va funcționa (doar pentru orice eventualitate), indiferent dacă doriți sau nu.

În loc de o postfață

Rămâne de adăugat că despre asta nu se poate spune tot componenta sistemului Criptare BitLocker. Ce este BitLocker, am descoperit cum să-l dezactivezi și să ștergi și comenzile din meniu. Întrebarea este: ar trebui să dezactivați BitLocker? Aici putem da un singur sfat: într-o rețea locală corporativă, nu ar trebui să dezactivați deloc această componentă. Dar dacă este un terminal de computer de acasă, de ce nu?

Tehnologia de criptare BitLocker a apărut pentru prima dată în urmă cu zece ani și s-a schimbat cu fiecare versiune de Windows. Cu toate acestea, nu toate modificările din acesta au fost concepute pentru a crește puterea criptografică. În acest articol vom arunca o privire detaliată asupra dispozitivului diferitelor versiuni de BitLocker (inclusiv cele preinstalate în cel mai recent Windows se construiește 10) și arată cum să ocoliți acest mecanism de protecție încorporat.

Atacurile offline

Tehnologia BitLocker a fost răspunsul Microsoft la numărul tot mai mare de atacuri offline care au fost deosebit de ușor de efectuat împotriva computerelor Windows. Oricine se poate simți ca un hacker. Pur și simplu va opri cel mai apropiat computer și apoi îl va porni din nou - cu sistemul său de operare și un set portabil de utilitare pentru găsirea parolelor, date confidențiale și disecția sistemului.

La sfârșitul zilei de lucru, puteți chiar să organizați o mică cruciadă cu o șurubelniță Phillips - deschideți computerele angajaților decedați și scoateți unitățile din ele. În aceeași seară, într-un mediu de acasă liniștit, conținutul discurilor extrase poate fi analizat (și chiar modificat) în o mie și una de moduri. A doua zi, vino devreme și întoarce totul la locul său.

Cu toate acestea, nu este necesar să deschideți computerele altor persoane chiar la locul de muncă. O mulțime de scurgeri de date confidențiale după reciclarea computerelor vechi și înlocuirea unităților. În practică, ștergerea securizată și formatarea la nivel scăzut a discurilor scoase din funcțiune sunt realizate de foarte puțini oameni. Ce îi poate opri pe tinerii hackeri și colecționari de trupuri digitale?

După cum a cântat Bulat Okudzhava: „Întreaga lume este făcută de restricții, pentru a nu înnebuni de fericire”. Principalele restricții din Windows sunt stabilite la nivelul drepturilor de acces la obiectele NTFS, care nu protejează împotriva atacurilor offline. Windows pur și simplu verifică permisiunile de citire și scriere înainte de a procesa orice comenzi care accesează fișiere sau directoare. Această metodă este destul de eficientă atâta timp cât toți utilizatorii lucrează într-un sistem configurat de administrator cu conturi limitate. Cu toate acestea, de îndată ce porniți într-un alt sistem de operare, nu va rămâne nicio urmă din această protecție. Utilizatorul va reatribui drepturile de acces sau pur și simplu le va ignora prin instalarea unui alt driver de sistem de fișiere.

Există multe metode complementare pentru a contracara atacurile offline, inclusiv protectie fizicași supraveghere video, dar cele mai eficiente necesită utilizarea unei criptografii puternice. Semnăturile digitale ale bootloaderului împiedică pornirea cod străin, A singura cale Singura modalitate de a proteja cu adevărat datele de pe hard disk este să le criptați. De ce criptarea completă a discului a lipsit din Windows atât de mult timp?

De la Vista la Windows 10

Există o mulțime de oameni diferiți care lucrează la Microsoft și nu toți codifică cu piciorul stâng din spate. Din păcate, deciziile finale în companiile de software au fost luate de mult timp nu de programatori, ci de marketeri și manageri. Singurul lucru pe care îl iau în considerare cu adevărat atunci când dezvoltă un produs nou este volumul vânzărilor. Cu cât este mai ușor pentru o gospodină să înțeleagă software-ul, cu atât va putea vinde mai multe copii ale acestui software.

„Gândește-te, jumătate la sută dintre clienți sunt îngrijorați de siguranța lor! Sistemul de operare este deja un produs complex și aici sperii publicul țintă cu criptare. Ne putem lipsi de el! Ne-am descurcat înainte!” - Managementul de top al Microsoft ar fi putut raționa aproximativ în acest fel până în momentul în care XP a devenit popular în segmentul corporativ. Printre administratori, prea mulți specialiști s-au gândit deja la securitate pentru a-și refuza opinia. Prin urmare în următoarea versiune Windows a introdus mult așteptatul volum de criptare, dar numai în edițiile Enterprise și Ultimate, care sunt destinate pieței corporative.

Noua tehnologie se numește BitLocker. Acesta a fost probabil singurul lucru bun despre Vista. BitLocker a criptat întregul volum, realizând personalizarea și fișiere de sistem imposibil de citit, ocolind sistemul de operare instalat. Documente importante, fotografii cu pisici, registru, SAM și SECURITATE - totul s-a dovedit a fi de necitit atunci când efectuați un atac offline de orice fel. În terminologia Microsoft, un „volum” nu este neapărat un disc ca dispozitiv fizic. Tom ar putea fi disc virtual, partiție logică sau invers - combinând mai multe discuri (volum compus sau cu dungi). Chiar o simplă unitate flash poate fi considerat un volum montat pt criptare end-to-end dintre care, începând cu Windows 7, există o implementare separată - BitLocker To Go (mai multe detalii în bara laterală de la sfârșitul articolului).

Odată cu apariția BitLocker, a devenit mai dificil să încărcați un sistem de operare terță parte, deoarece toate încărcătoarele au primit semnături digitale. Cu toate acestea, o soluție este încă posibilă datorită modului de compatibilitate. Merită să schimbați modul de pornire din BIOS de la UEFI la Legacy și să îl dezactivați Funcție sigură Boot, și vechiul bun unitate flash bootabilă va veni din nou la îndemână.

Cum se utilizează BitLocker

Să ne uităm la partea practică Exemplu de Windows 10. În versiunea 1607, BitLocker poate fi activat prin panoul de control (secțiunea „Sistem și securitate”, subsecțiunea „Criptarea unității BitLocker”).

Cu toate acestea, dacă placa de bază nu are un procesor criptografic TPM versiunea 1.2 sau o versiune ulterioară, atunci BitLocker pur și simplu nu poate fi utilizat. Pentru a-l activa, va trebui să accesați editorul de politici de grup local (gpedit.msc) și să extindeți ramura „Configurare computer -> Șabloane administrative -> Componente Windows -> Criptare unități BitLocker -> Unități ale sistemului de operare” la setarea „ Această setare de politică vă permite să configurați cerințele de autentificare suplimentară la pornire." În el trebuie să găsiți setarea „Permiteți BitLocker fără un TPM compatibil...” și să o activați.

În secțiunile adiacente ale politicilor locale puteți seta suplimentar Setări BitLocker, inclusiv lungimea cheii și modul de criptare AES.

După aplicarea noilor politici, reveniți la panoul de control și urmați instrucțiunile asistentului de configurare a criptării. La fel de protectie suplimentara puteți alege să introduceți o parolă sau să conectați o anumită unitate flash USB.

Deși BitLocker este considerat o tehnologie de criptare completă a discului, permite criptarea parțială numai a sectoarelor ocupate. Acest lucru este mai rapid decât criptarea tuturor, dar această metodă este considerată mai puțin fiabilă. Numai pentru că, în acest caz, fișierele șterse, dar care nu au fost încă suprascrise, rămân disponibile pentru citire directă o perioadă de timp.

Criptare completă și parțială

După setarea tuturor parametrilor, tot ce rămâne este să reporniți. Windows vă va cere să introduceți parola (sau să introduceți o unitate flash USB) și apoi să începeți Mod normalși va începe proces de fundal criptarea volumului.

În funcție de setările selectate, dimensiunea discului, frecvența procesorului și suportul acestuia pentru comenzile AES individuale, criptarea poate dura de la câteva minute la câteva ore.

După finalizarea acestui proces, vor apărea elemente noi în meniul contextual Explorer: schimbați parola și Trecere rapidă la setările BitLocker.

Vă rugăm să rețineți că toate acțiunile, cu excepția modificării parolei, necesită drepturi de administrator. Logica aici este simplă: deoarece v-ați autentificat cu succes în sistem, înseamnă că știți parola și aveți dreptul să o schimbați. Cât de rezonabil este asta? Vom afla în curând!

Cum funcționează BitLocker

Fiabilitatea BitLocker nu trebuie judecată după reputația AES. Un standard de criptare popular poate să nu aibă, sincer puncte slabe, dar implementările sale în produse criptografice specifice sunt adesea pline de ele. Cod complet Tehnologia BitLocker Compania Microsoft nu dezvăluie. Se știe doar că în versiuni diferite Windows pe care s-a bazat scheme diferite, iar modificările nu au fost comentate. Mai mult, în versiunea 10586 a Windows 10 a dispărut pur și simplu, iar două versiuni mai târziu a reapărut. Cu toate acestea, primul lucru.

Prima versiune a BitLocker a folosit modul de înlănțuire a blocurilor de text cifrat (CBC). Chiar și atunci, neajunsurile sale erau evidente: ușurința de a ataca un text cunoscut, rezistența slabă la atacuri precum substituția și așa mai departe. Prin urmare, Microsoft a decis imediat să consolideze protecția. Deja în Vista, algoritmul Elephant Diffuser a fost adăugat la schema AES-CBC, ceea ce face dificilă compararea directă a blocurilor de text cifrat. Cu acesta, același conținut a două sectoare a dat rezultate complet diferite după criptarea cu o singură cheie, ceea ce a complicat calculul modelului general. Cu toate acestea, cheia în sine era scurtă în mod implicit - 128 de biți. Prin politicile administrative se poate extinde la 256 de biți, dar merită făcut?

Pentru utilizatori, după schimbarea cheii, nimic nu se va schimba extern - nici lungimea parolelor introduse, nici viteza subiectivă a operațiunilor. La fel ca majoritatea sistemelor de criptare pe disc complet, BitLocker folosește chei multiple... și niciuna dintre ele nu este vizibilă pentru utilizatori. Aici schema circuitului BitLocker.

1. Când activați BitLocker folosind un generator numere pseudoaleatoare este creată o secvență principală de biți. Aceasta este cheia de criptare a volumului - FVEK (volum complet cheie de criptare). Cu aceasta, conținutul fiecărui sector este acum criptat.
2. La rândul său, FVEK este criptat folosind o altă cheie - VMK (cheie master de volum) - și este stocat în formă criptată printre metadatele de volum.
3. VMK în sine este, de asemenea, criptat, dar deja căi diferite la alegerea utilizatorului.
4. Pe altele noi plăci de bază Cheia VMK este criptată implicit folosind cheia SRK (cheia rădăcină de stocare), care este stocată într-un criptoprocesor separat - modul de platformă de încredere (TPM). Utilizatorul nu are acces la conținutul TPM și este unic pentru fiecare computer.
5. Dacă nu există un cip TPM separat pe placă, atunci în loc de SRK, se folosește un cod PIN introdus de utilizator sau o unitate flash USB la cerere cu informații despre cheie preînregistrate pe ea pentru a cripta cheia VMK.
6. Pe lângă TPM sau unitatea flash, puteți proteja cheia VMK cu o parolă.

Astfel de schema generala BitLocker a continuat să funcționeze în versiunile ulterioare ale Windows până în prezent. Cu toate acestea, metodele de generare a cheilor și modurile de criptare ale BitLocker s-au schimbat. Deci, în octombrie 2014, Microsoft a eliminat în liniște algoritmul suplimentar Elephant Diffuser, lăsând doar schema AES-CBC cu deficiențele sale cunoscute. La început nu s-a făcut nimic în privința asta declarații oficiale. Oamenii au primit pur și simplu o tehnologie de criptare slăbită cu același nume sub masca unei actualizări. Au urmat explicații vagi pentru acest pas după ce cercetătorii independenți au observat simplificări în BitLocker.

Formal, a fost necesară renunțarea la Elephant Diffuser pentru a asigura conformitatea Cerințe Windows Federal Information Processing Standards (FIPS), dar un argument respinge această versiune: Vista și Windows 7, care foloseau Elephant Diffuser, au fost vândute fără probleme în America.

Un alt motiv imaginar pentru abandonarea algoritmului suplimentar este lipsa accelerației hardware pentru Elephant Diffuser și pierderea vitezei la utilizarea acestuia. Cu toate acestea, în anii precedenți, când procesoarele erau mai lente, viteza de criptare era oarecum satisfăcătoare. Și același AES a fost utilizat pe scară largă chiar înainte ca seturi de instrucțiuni separate și cipuri specializate să pară să-l accelereze. De-a lungul timpului, a fost posibil să se realizeze accelerare hardware pentru Elephant Diffuser sau cel puțin să le ofere clienților posibilitatea de a alege între viteză și securitate.

O altă versiune, neoficială, pare mai realistă. „Elefantul” a interferat cu angajații NSA care doreau să depună mai puțin efort pentru decriptarea următorului disc, iar Microsoft cooperează de bunăvoie cu autoritățile chiar și în cazurile în care solicitările lor nu sunt în întregime legale. Confirmă indirect teoria conspirației este faptul că înainte de Windows 8, la crearea cheilor de criptare în BitLocker, era folosit generatorul de numere pseudo-aleatoare încorporat în Windows. În multe (dacă nu toate) versiunile Windows, acesta a fost Dual_EC_DRBG - un „PRNG criptografic puternic” dezvoltat de Agenția de Securitate Națională a SUA și care conține o serie de vulnerabilități inerente.

Desigur, slăbirea în secret a criptării încorporate a provocat un val puternic de critici. Sub presiunea ei, Microsoft a rescris BitLocker din nou, înlocuind PRNG cu CTR_DRBG în noile versiuni de Windows. În plus, în Windows 10 (începând cu versiunea 1511), schema de criptare implicită este AES-XTS, care este imună la manipularea blocurilor de text cifrat. ÎN ultimele versiuni Au fost remediate „zeci” de alte defecte BitLocker cunoscute, dar principala problemă a rămas. Este atât de absurd încât face alte inovații fără sens. Este despre despre principiile managementului cheilor.

Principiul Los Alamos

Sarcina de a decripta unitățile BitLocker este simplificată și de faptul că Microsoft promovează în mod activ metoda alternativa restabilirea accesului la date prin Recuperare date Agent. Ideea „Agentului” este că criptează cheile de criptare ale tuturor unităților din rețeaua întreprinderii cu o singură cheie acces. Odată ce îl aveți, puteți decripta orice cheie și, prin urmare, orice disc folosit de aceeași companie. Confortabil? Da, mai ales pentru hacking.

Ideea de a folosi o cheie pentru toate încuietorile a fost deja compromisă de multe ori, dar continuă să fie returnată într-o formă sau alta de dragul confortului. Așa a înregistrat Ralph Leighton amintirile lui Richard Feynman despre un episod caracteristic al lucrării sale la Proiectul Manhattan în Laboratorul Los Alamos: „...Am deschis trei seifuri - și toate trei cu aceeași combinație.<…>M-am ocupat de toate: am deschis seifurile cu toate secretele bombei atomice - tehnologia de producere a plutoniului, o descriere a procesului de purificare, informații despre cât de mult material este necesar, cum funcționează bomba, cum sunt produși neutronii, cum funcționează bomba, care sunt dimensiunile ei - într-un cuvânt, tot ceea ce știau ei în Los Alamos, întreaga bucătărie!”.

BitLocker amintește oarecum de designul sigur descris într-un alt fragment al cărții You’re Surely Joking, Mr. Feynman! Cel mai impresionant seif dintr-un laborator top-secret avea aceeași vulnerabilitate ca un simplu dulap de dosare. „...Acesta era un colonel și avea un seif mult mai sofisticat, cu două uși, cu mânere mari care scoteau din cadru patru tije de oțel groase de trei sferturi de inci.<…>Am examinat partea din spate a uneia dintre ușile impunătoare de bronz și am descoperit că cadranul era conectat la o mică broască care arăta exact ca încuietoarea de pe dulapul meu Los Alamos.<…>Era evident că sistemul de pârghie depindea de aceeași tijă mică care încuia dulapurile de dosare.<…>. Prefăcând un fel de activitate, am început să rotesc cadranul la întâmplare.<…>Două minute mai târziu - faceți clic! - seiful s-a deschis.<…>Când ușa seifului sau sertarul superior al unui dulap de dosare este deschisă, este foarte ușor să găsești combinația. Este exact ceea ce am făcut când mi-ați citit raportul, doar pentru a vă demonstra pericolul.”.

Containerele cripto BitLocker în sine sunt destul de sigure. Dacă vă aduc o unitate flash care a venit de nicăieri, criptată cu BitLocker To Go, atunci este puțin probabil să o decriptați într-un timp acceptabil. Cu toate acestea, într-un scenariu real de utilizare a discurilor criptate și suporturi amovibile plin de vulnerabilități care pot fi exploatate cu ușurință pentru a ocoli BitLocker.

Potențiale vulnerabilități

Probabil ați observat că trebuie să așteptați mult timp când activați BitLocker pentru prima dată. Acest lucru nu este surprinzător - procesul de criptare sector cu sector poate dura câteva ore, deoarece nici măcar citirea tuturor blocurilor unui HDD terabyte nu este posibilă mai rapid. Cu toate acestea, dezactivarea BitLocker este aproape instantanee - cum se poate?

Ideea este că atunci când dezactivând BitLocker nu decriptează datele. Toate sectoarele vor rămâne criptate cu cheia FVEK. Pur și simplu, accesul la această cheie nu va mai fi limitat în niciun fel. Toate verificările vor fi dezactivate, iar VMK-ul va rămâne înregistrat printre metadate în text clar. De fiecare dată când porniți computerul, sistemul de încărcare a sistemului de operare va citi VMK (fără a verifica TPM-ul, a cere o cheie pe o unitate flash sau o parolă), decriptează automat FVEK cu acesta și apoi toate fișierele pe măsură ce sunt accesate. Pentru utilizator, totul va arăta absență completă criptare, dar cei mai atenți pot observa o ușoară scădere a performanței subsistemului de disc. Mai exact, nu există o creștere a vitezei după dezactivarea criptării.

Mai este ceva interesant în această schemă. În ciuda numelui (tehnologia de criptare a discului complet), unele dintre date sunt folosind BitLocker rămâne încă necriptat. MBR și BS rămân deschise (cu excepția cazului în care discul a fost inițializat în GPT), sectoarele și metadatele deteriorate. Un bootloader deschis oferă spațiu imaginației. Sectoarele pseudo-defectuoase sunt convenabile pentru ascunderea rootkit-urilor și a altor programe malware, iar metadatele conțin o mulțime de lucruri interesante, inclusiv copii ale cheilor. Dacă BitLocker este activ, ele vor fi criptate (dar mai slab decât FVEK criptează conținutul sectoarelor), iar dacă BitLocker este dezactivat, vor rămâne pur și simplu în clar. Aceștia sunt toți potențiali vectori de atac. Sunt potențiale pentru că, pe lângă ele, există și altele mult mai simple și mai universale.

Cheie de recuperare

Pe lângă FVEK, VMK și SRK, BitLocker folosește un alt tip de cheie care este creată „pentru orice eventualitate”. Acestea sunt cheile de recuperare, care sunt un alt vector de atac popular. Utilizatorilor le este frică să-și uite parola și să nu piardă accesul la sistem, iar Windows însuși le recomandă să facă o autentificare de urgență. Pentru a face acest lucru, vrăjitorul de criptare BitLocker este activat ultima etapă vă solicită să creați o cheie de recuperare. Nu este posibil să refuzi crearea lui. Puteți alege doar una dintre opțiunile cheie de export, fiecare dintre acestea fiind foarte vulnerabilă.

În setările implicite, cheia este exportată ca un simplu fișier text cu un nume ușor de recunoscut: „BitLocker Recovery Key #”, unde ID-ul computerului este scris în loc de # (da, chiar în numele fișierului!). Cheia în sine arată așa.

Dacă ați uitat (sau nu ați știut niciodată) cele specificate Parola BitLocker, apoi căutați doar fișierul cu cheia de recuperare. Cu siguranță va fi salvat printre documentele utilizatorului actual sau pe unitatea flash a acestuia. Poate chiar este imprimat pe o bucată de hârtie, așa cum recomandă Microsoft. Așteaptă doar până când colegul tău ia o pauză (uitând să-și blocheze computerul, ca întotdeauna) și începe să cauți.

Conectați-vă cu cheia de recuperare

Pentru a localiza rapid o cheie de recuperare, este convenabil să limitați căutarea după extensie (txt), data creării (dacă vă puteți imagina când ar fi putut fi activat BitLocker) și dimensiunea fișierului (1388 de octeți dacă fișierul nu a fost editat). După ce găsiți cheia de recuperare, copiați-o. Cu acesta, puteți ocoli oricând autorizarea standard în BitLocker. Pentru a face acest lucru, trebuie doar să apăsați Esc și să introduceți cheia de recuperare. Te vei autentifica fără probleme și poți chiar să-ți schimbi parola BitLocker cu una personalizată fără a specifica cea veche! Acest lucru amintește deja de trucurile din secțiunea „Construcții de Vest”.

Deschiderea BitLocker

Real sistem criptografic este un compromis între confort, viteză și fiabilitate. Ar trebui să ofere proceduri de criptare transparentă cu metode de decriptare din mers și de recuperare parole uitateși lucru convenabil cu cheile. Toate acestea slăbesc orice sistem, indiferent de algoritmii puternici pe care se bazează. Prin urmare, nu este necesar să căutați vulnerabilități direct în algoritmul Rijndael sau în diverse scheme ale standardului AES. Este mult mai ușor să le detectați în specificul unei anumite implementări.

În cazul Microsoft, astfel de „specificități” sunt suficiente. De exemplu, copiile cheilor BitLocker sunt trimise în mod implicit către SkyDrive și strânse Director activ. Pentru ce? Ei bine, dacă le pierzi... sau întreabă agentul Smith. Este incomod să aștepți un client, cu atât mai puțin un agent.

Din acest motiv, compararea puterii criptografice a AES-XTS și AES-CBC cu Elephant Diffuser trece în fundal, la fel ca și recomandările pentru a crește lungimea cheii. Indiferent cât de lungă este, un atacator îl poate obține cu ușurință în formă necriptată.

Obținerea cheilor escrowed dintr-un cont Microsoft sau AD este metoda principală de a sparge BitLocker. Dacă utilizatorul nu și-a înregistrat un cont în Microsoft cloud, iar computerul lui nu se află în domeniu, atunci vor exista în continuare modalități de extragere a cheilor de criptare. În cursul funcţionării normale ei copii deschiseîntotdeauna salvat în memorie cu acces aleator(altfel nu ar exista o „criptare transparentă”). Aceasta înseamnă că acestea sunt disponibile în fișierul său de descărcare și hibernare.

De ce sunt ținute acolo? Indiferent cât de amuzant ar părea - pentru comoditate. BitLocker a fost conceput pentru a proteja numai împotriva atacurilor offline. Ele sunt întotdeauna însoțite de o repornire și conectarea discului la un alt sistem de operare, ceea ce duce la ștergerea memoriei RAM. Cu toate acestea, în setările implicite, sistemul de operare aruncă memoria RAM atunci când are loc o blocare (care poate fi provocată) și își scrie întregul conținut într-un fișier de hibernare ori de câte ori computerul intră în somn profund. Prin urmare, dacă v-ați conectat recent la Windows cu BitLocker activat, există șanse mari să primiți o copie decriptată a cheii VMK și să o utilizați pentru a decripta FVEK și apoi datele în sine de-a lungul lanțului. Să verificăm?

Toate metodele de hacking BitLocker descrise mai sus sunt colectate într-un singur program - Forensic Disk Decryptor, dezvoltat de compania națională Elcomsoft. Poate prelua automat cheile de criptare și poate monta volume criptate ca discuri virtuale, decriptându-le din mers.

În plus, EFDD implementează o altă metodă non-trivială de obținere a cheilor - un atac prin portul FireWire, care este recomandabil să fie folosit în cazurile în care nu este posibil să rulați software-ul pe computerul atacat. Întotdeauna instalăm programul EFDD propriu-zis pe computerul nostru, iar pe computerul piratat încercăm să facem pașii minimi necesari.

De exemplu, să alergăm sistem de testare cu BitLocker activ și „invizibil” vom face un dump de memorie. Așa că vom simula o situație în care un coleg a ieșit la prânz și nu și-a blocat computerul. Lansăm RAM Capture și în mai puțin de un minut primim un dump complet într-un fișier cu extensia .mem și o dimensiune corespunzătoare cantității de RAM instalată pe computerul victimei.

Efectuarea unei gropi de memorie

Cum să faci o groapă - de în general nu contează. Indiferent de extensie, va funcționa fisier binar, care va fi apoi analizat automat de EFDD în căutarea cheilor.

Scriem dump-ul pe o unitate flash sau îl transferăm prin rețea, după care ne așezăm la computer și lansăm EFDD.

Selectați opțiunea „Extrage chei” și introduceți calea către fișierul de descărcare a memoriei ca sursă a cheilor.

Specificați sursa cheii

BitLocker este un container cripto tipic, cum ar fi PGP Disk sau TrueCrypt. Aceste containere s-au dovedit a fi destul de fiabile singure, dar aplicații client Pentru a lucra cu ei sub Windows, ei plasează cheile de criptare în RAM. Prin urmare, EFDD implementează un scenariu de atac universal. Programul găsește instantaneu chei de criptare din toate cele trei tipuri de containere cripto populare. Prin urmare, puteți lăsa toate casetele bifate în cazul în care victima folosește în secret TrueCrypt sau PGP!

După câteva secunde, Elcomsoft Forensic Disk Decryptor arată toate cheile găsite în fereastra sa. Pentru comoditate, le puteți salva într-un fișier - acest lucru va fi util în viitor.

Acum BitLocker nu mai este o problemă! Puteți efectua un atac offline clasic - de exemplu, scoateți hard diskul unui coleg și copiați conținutul acestuia. Pentru a face acest lucru, pur și simplu conectați-l la computer și rulați EFDD în modul „decriptare sau montare disc”.

După ce a specificat calea către fișierele cu cheile salvate, EFDD va efectua, la alegerea dvs., o decriptare completă a volumului sau îl va deschide imediat ca disc virtual. ÎN acest din urmă caz fișierele sunt decriptate pe măsură ce sunt accesate. În orice caz, nu se fac modificări la volumul original, așa că a doua zi îl puteți returna ca și cum nimic nu s-ar fi întâmplat. Lucrul cu EFDD are loc fără urmă și numai cu copii ale datelor și, prin urmare, rămâne invizibil.

BitLocker To Go

Începând cu Windows 7, a devenit posibil să se cripteze unități flash, USB-HDD-uri și alte medii externe. O tehnologie numită BitLocker To Go criptează unitățile amovibile în același mod ca discuri locale. Criptarea este activată utilizând elementul corespunzător din meniul contextual Explorer.

Pentru unitățile noi, puteți utiliza criptarea numai a zonei ocupate - la fel loc liber Secțiunea este plină de zerouri și nu există nimic de ascuns acolo. Dacă unitatea a fost deja utilizată, se recomandă activarea criptare completă. În caz contrar, locația marcată ca liberă va rămâne necriptată. Poate conține deschis recent fișiere șterse, care nu au fost încă suprascrise.

Chiar și criptarea rapidă numai a zonei ocupate durează de la câteva minute la câteva ore. Acest timp depinde de volumul de date, lățime de bandă interfața, caracteristicile unității și viteza de calcul criptografic al procesorului. Deoarece criptarea este însoțită de compresie, spațiul liber de pe discul criptat crește de obicei ușor.

Data viitoare când conectați o unitate flash criptată la orice computer care rulează Windows 7 sau o versiune ulterioară, expertul BitLocker va fi apelat automat pentru a debloca unitatea. În Explorer, înainte de deblocare, acesta va fi afișat ca un disc blocat.

Aici puteți folosi atât opțiunile deja discutate pentru ocolirea BitLocker (de exemplu, căutarea cheii VMK într-un fișier de memorie sau hibernare), cât și pe cele noi legate de cheile de recuperare.

Dacă nu cunoașteți parola, dar ați reușit să găsiți una dintre chei (manual sau folosind EFDD), atunci există două opțiuni principale pentru accesarea unității flash criptate:

• utilizați vrăjitorul BitLocker încorporat pentru a lucra direct cu o unitate flash;
• utilizați EFDD pentru a decripta complet unitatea flash și pentru a-i crea imaginea sector cu sector.

Prima opțiune vă permite să accesați imediat fișierele înregistrate pe unitatea flash, să le copiați sau să le modificați și, de asemenea, să le scrieți pe ale dvs. A doua opțiune durează mult mai mult (de la o jumătate de oră), dar are avantajele ei. Imaginea decriptată sector cu sector vă permite să efectuați în continuare o analiză mai rafinată a sistemului de fișiere la nivel de laborator criminalistic. În acest caz, unitatea flash în sine nu mai este necesară și poate fi returnată neschimbată.

Imaginea rezultată poate fi deschisă imediat în orice program care acceptă formatul IMA sau poate fi convertită mai întâi într-un alt format (de exemplu, folosind UltraISO).

Desigur, pe lângă detectarea cheii de recuperare pentru BitLocker2Go, EFDD acceptă și toate celelalte metode de ocolire BitLocker. Doar trece prin toate Optiuni Disponibileîntr-un rând până găsești o cheie de orice tip. Restul (până la FVEK) va fi decriptat de-a lungul lanțului și veți avea acces complet la disc.

concluzii

Tehnologia de criptare a discului complet BitLocker diferă între versiunile de Windows. După o configurație adecvată, vă permite să creați containere cripto care sunt teoretic comparabile ca putere cu TrueCrypt sau PGP. Cu toate acestea, mecanismul încorporat în Windows pentru lucrul cu taste anulează toate trucurile algoritmice. În special, cheia VMK folosită pentru a decripta cheia principală în BitLocker este recuperată folosind EFDD în câteva secunde dintr-un duplicat escrowed, o descărcare de memorie, un fișier de hibernare sau un atac de port FireWire.

Odată ce aveți cheia, puteți efectua un atac offline clasic, puteți copia în liniște și decripta automat toate datele de pe discul „protejat”. Prin urmare, este recomandabil să utilizați BitLocker numai împreună cu alte mijloace de protecție: criptat Sistemul de fișiere(EFS), Rights Management Service (RMS), controlul lansării programului, instalarea dispozitivului și controlul conexiunii, precum și politici locale mai stricte și măsuri generale de securitate.

Ultima actualizare până la 28 februarie 2017.

Sistemul de operare Windows nu poate garanta 100% că, dacă ai o parolă, persoanele neautorizate nu vor avea acces la laptopul tău. Parola contului poate fi găsită și modificată folosind instrumente speciale fără a avea acces la sistemul de operare în sine. Prin urmare, este necesară criptarea datelor de pe hard disk. Acest lucru vă permite să nu vă faceți griji cu privire la accesul neautorizat dacă proprietarul îl blochează înainte de a lăsa laptopul nesupravegheat.

Acest articol va discuta despre un program pentru criptare tare Discul VeraCrypt cu sistemul de operare Windows 10 și întregul hard disk al sistemului cu toate partițiile, inclusiv partiția de sistem, vor fi criptate. Atitudinea categorică față de sistemul de operare se datorează faptului că articolele „Virtual encrypted hard disk using VeraCrypt” și „Crypt a computer using TrueCrypt” au fost deja publicate anterior, iar întrebările despre criptarea unui hard disk pe Windows 10 au început să apară frecvent printre vizitatorii site-ului.

Instalarea VeraCrypt

Hai să lansăm fișier de instalare. Se afișează prima fereastră acord de licențiere, apasa butonul " Accept termenii licenței", ceea ce înseamnă acord cu termenii săi. Faceți clic pe " Următorul".

În fereastra următoare trebuie să selectați modul de instalare - instalare sau despachetare. Modul de despachetare poate fi util pentru a lucra cu criptare virtuală hard disk-uri. Deoarece este necesar să criptați întregul disc și nu să creați virtual hard discuri, trebuie să selectați " Instalare" și apăsați butonul " Următorul".

Apoi, trebuie să selectați opțiunile de instalare. Lăsați opțiunile implicite, faceți clic pe „ Instalare".

Procesul de instalare a început, doar așteptăm să apară mesajul despre instalare reușită.

Apare un mesaj care indică faptul că instalarea a fost finalizată cu succes.

Acum puteți vedea o solicitare din partea dezvoltatorilor de a dona bani. Faceți clic pe " finalizarea".

După ce faceți clic pe Terminare, apare un mesaj care vă cere să priviți materialul de referință, faceți clic pe „ Nu".

Instalarea programului de criptare a hard diskului a fost finalizată cu succes.

Configurarea programului și criptarea hard disk-ului

Lansați comanda rapidă de pe desktop " VeraCrypt".

Implicit, interfața este activată Limba engleză, dar există o traducere în rusă, interfața trebuie doar comutată în rusă. Accesați fila " Setări", apoi punctează" Limba...".

În fereastra următoare trebuie să selectați „ Rusă„limbă și apăsați butonul” Bine".

Interfața devine imediat în rusă. Acest lucru este frumos, deoarece în TrueCrypt a fost necesar să reporniți programul pentru a aplica limbajul interfeței, dar în VeraCrypt limbajul se schimbă imediat fără repornire.

Acum să începem procesul de criptare a hard disk-ului, ținând cont de faptul că folosim sistemul de operare Windows 10. Accesați fila „ Sistem" și selectați elementul " Criptați partiția/discul de sistem".

Acum trebuie să selectați tipul de criptare - obișnuită sau ascunsă. Pentru utilizare tip ascuns trebuie să ai două hard disk-uri, două partiții ale unui disc nu vor funcționa. Alegeți tipul normal.

Apoi, trebuie să specificați zona pentru criptare. Criptare partiția sistemului recomandat de dezvoltatori, deoarece criptarea întregului disc poate cauza probleme cu sectorul de boot VeraCrypt din cauza spațiului insuficient. Este de remarcat faptul că, dacă aveți mai multe partiții pe un disc și selectați „ criptați partiția sistemului„Doar partiția pe care este instalat Windows va fi criptată. Pe laptopuri, oamenii creează adesea două partiții, una pentru sistem și cealaltă pentru datele utilizatorului. În acest caz, datele utilizatorului nu vor fi protejate, așa că se recomandă selectarea " Criptarea întregului disc". Selectați întregul disc.

Apare o notificare care vă recomandă să utilizați criptarea numai pentru partiția de sistem. Faceți clic pe " Nu", deoarece întregul disc trebuie criptat.

Acum trebuie să specificați dacă doriți să detectați și să criptați partiția ascunsă. Criptarea întregului disc a fost deja selectată, deci selectați „ Nu".

În continuare trebuie să indicați numărul de sisteme de operare instalate. Dacă nu există nicio opțiune de sistem de operare când porniți computerul, atunci este instalat un singur sistem de operare. Această instrucțiune este destinat unui laptop cu un singur sistem de operare, dacă sunt utilizate mai multe sisteme de operare, atunci selectați elementul „” pe propriul risc și risc. Selectați elementul „”.

Acum selectăm algoritmul de criptare. Algoritmul implicit este AES cu o lungime a cheii de 256. Alegerea optimă. Puteți alege AES(Twofish(Serpent)), dar apoi criptarea poate dura mai mult de patru ore. Lăsați-l ca implicit sau alegeți o opțiune mai robustă.

Dacă " AES (Doi pești (Șarpe))„În continuare va apărea o notificare despre utilizarea unei cascade de cifruri. Ar trebui să o citiți cu atenție și să nu pierdeți discul de recuperare care va fi creat ulterior. Faceți clic pe „ da".

În continuare, va apărea o altă notificare despre utilizarea unei cascade de cifruri. Faceți clic pe " Bine".

Acum trebuie să specificați parola care va fi folosită pentru a porni sistemul de operare. Este recomandat să folosiți parole de cel puțin 20 de caractere. Dacă o astfel de parolă nu este potrivită, deoarece cu siguranță nu o veți putea aminti, atunci puteți introduce una scurtă, dar cel puțin 8 caractere folosind semne și simboluri. Nu trebuie să conțină cuvinte sau abrevieri de la nume de familie și inițiale. Dacă utilizați o parolă scurtă, va apărea un avertisment. Se recomandă să lăsați alte opțiuni implicite. Puteți bifa caseta " Folosiți PIM" și în fereastra următoare va trebui să indicați pur iterații, care trebuie reținute, altfel nu vă veți putea conecta la sistem. Prin urmare, vă recomandăm să nu bifați caseta " Folosiți PIM". Introduceți parola.

Urmează colectarea de date aleatorii. Doar mutați mouse-ul în jurul ferestrei până când indicatorul devine verde, apoi faceți clic pe „ Mai departe".

Cheile și datele aleatorii au fost create cu succes, faceți clic pe „ Mai departe".

Acum trebuie să creați o imagine de recuperare și să o inscripționați pe disc. În mod implicit, imaginea este creată în documentele utilizatorului, dar puteți schimba locația făcând clic pe „ Revizuire", principalul lucru este să specificați un nume cu aceeași extensie atunci când schimbați locația " VeraCrypt Rescue Disk.iso„. Faceți clic pe „ Mai departe".

Introduceți un disc gol sau reinscriptibil (CD sau DVD) și inscripționați imaginea discului. Faceți clic pe " Scrie".

După ce discul a fost inscripționat cu succes, apăsați butonul „ Închide„Nu scoateți discul din unitate, deoarece va trebui verificat mai târziu.

Revenim la fereastra expertului VeraCrypt. Apoi, discul de recuperare va fi verificat. Faceți clic pe " Mai departe".

Următoarea fereastră spune că scanarea discului a avut succes. Faceți clic pe " Mai departe".

Acum trebuie să selectați modul de curățare. Această fereastră o descrie bine, dar trebuie remarcat că curățarea va adăuga, în plus, timp procesului de criptare. Dacă în cazul dvs. există pericolul ca aceștia să încerce să extragă datele în viitorul apropiat, atunci ar trebui să alegeți un mod de curățare cu un număr de treceri de cel puțin trei. Selectați modul de curățare și apăsați „ Mai departe".

Acum trebuie să verificați dacă totul funcționează corect. Apasa butonul " Test".

În continuare, va apărea o notificare care să afirme că încărcătorul VeraCrypt nu a fost tradus în rusă, adică până la încărcarea sistemului de operare, totul va fi în engleză. Faceți clic pe " da".

Apoi, Expertul de creare a volumului vă va cere să reporniți computerul. Faceți clic pe " da".

Când porniți computerul înainte de a încărca sistemul de operare, va apărea bootloader-ul VeraCrypt. Introduceți parola specificată mai devreme, dar nu introduceți nimic în câmpul PIM (cu excepția cazului în care ați bifat " Folosiți PIM"), trebuie doar să apăsați Enter. Dacă ați bifat " Folosiți PIM", atunci trebuie să introduceți numărul de iterații în câmpul corespunzător. În continuare, va începe procesul de verificare a parolei, care poate dura ceva timp, deci nu este nevoie să vă panicați dacă durează de la 2 la 5 minute. Dacă introduceți un parolă incorectă sau un PIM incorect (dacă este folosit), se va scrie o parolă incorectă.

Dacă computerul nu pornește, ar trebui să utilizați un disc de recuperare. Când computerul pornește cu succes, vedem un mesaj despre testarea cu succes. Acum totul este gata pentru criptare. Faceți clic pe " Criptare".

În continuare, va apărea un mesaj cu instrucțiuni pentru utilizarea discului de recuperare, pe care trebuie să îl imprimați. Faceți clic pe " Bine".

Începe procesul de criptare. Timpul de criptare depinde de computer - cât de puternic este acesta și ce tip de suport de stocare este utilizat. In caz de Timp SSD Criptarea cifrurilor în cascadă fără ștergere poate dura aproximativ 80 de minute. În cazul hard disk-urilor convenționale în condiții similare, timpul de criptare poate fi de aproximativ patru ore.

Când criptarea este completă, va apărea un mesaj care indică faptul că hard disk-ul a fost criptat cu succes.

Criptarea este completă, faceți clic pe „ Gata".

Decriptarea discului

Această metodă de decriptare este potrivită numai dacă procesul de criptare a fost finalizat fără erori și Sistem de operare se incarca cu succes.
Lansați VeraCrypt, unitatea de sistem va fi în listă, faceți clic dreapta pe ea și selectați „Decriptare permanent”.
Programul va cere confirmarea decriptării. Faceți clic pe „Da”. Apoi va apărea o altă confirmare, faceți clic pe „Da”.
Începe procesul de decriptare, care va dura același timp ca și procesul de decriptare minus ștergerea. Odată finalizat, va apărea o notificare care indică decriptarea reușită și vi se va solicita să reporniți computerul.