Hej. Mam pytanie odnośnie programu VeraCrypt i zaszyfrowanego nośnika zawnętrznego. Mam zamiar zaszyfrować dysk zewnętrzny za pomocą VeraCrypt, który to program mam zainstalowany na komputerze. Co się stanie, gdy na przykład padnie mi system (co mi się przytrafiło jakiś czas temu). Czy gdy na nowym Windowsie czy nowym komputerze znów zainstaluję VeraCrypt to będę mogł odczytać zaszyfrowane treści? Wydaje mi się, że nie i dlatego jestem ciekaw, czy można coś zrobić, aby niezależnie od warunków zewnętrznych (awarii kamputera, czy jego zmiany) jednak zachować dostęp do zaszyfrowanych danych.
Nie jest tak, że można wyeksportować klucz?
Stwórz takie hasło abyś był w stanie je zapamiętać. To wszystko czego potrzebujesz do odszyfrowania nośnika, gdziekolwiek i na czymkolwiek. Nawet sama VeraCrypt nie jest taka znowu niezbędna.
Czy gdy na nowym Windowsie czy nowym komputerze znów zainstaluję VeraCrypt to będę mogł odczytać zaszyfrowane treści? Wydaje mi się, że nie
Źle ci się wydaje… To nie BitLocker. Nie jest pożenione z systemem. Nikt o zdrowych zmysłach nie używa vendor locków do szyfrowania ważnych danych.
Na słabszy sprzęt, zamiast VC, lepiej użyć TrueCrypt v7.1a. A jeśli masz wyjątkowo wrażliwe dane to też lepiej zrezygnować z VC na jego rzecz. Dlatego że TC przeszedł profesjonalny audyt i nawet udowodniono zgodność skompilowanych binarek z udostępnianym kodem źródłowym. Problem za to jest znalezienie w tych czasach wersji oryginalnej bo TC został zdjęty w niejasnych okolicznościach, że tak powiem.
Nie jest tak, że można wyeksportować klucz?
Nigdzie nie jest zapisany. Jaki byłby sens szyfrowania gdzie klucz (umownie hasło) byłby zaszyty gdzieś w ustawieniach systemu, programu, szyfrowanym kontenerze/nośniku? W tym ostatnim jest tylko hasz.
Nie szyfruj całego dysku zewnętrznego tylko zrób sobie zaszyfrowany kontener (pliko-partycję) przy pomocy VeraCrypt, jest to nieco bezpieczniejsza opcja w przypadku problemów z dyskiem.
Po ustawieniu hasła wyeksportuj sobie nagłówek wolumenu (zawiera m. in. Master key) i zapisz w kilku bezpiecznych miejscach. Jeżeli coś uszkodzi taką pliko-partycję, to taka kopia jest bardzo ważna. Pamiętaj tylko, że jeżeli zmienisz hasło to kopię nagłówka trzeba wykonać nową.
Jeśli masz rację to jest to świetna wiadomość, choć nie bardzo rozumiem jak to działa. Czyli wygląda na to, że sam zaszyfrowany nośnik potrzebuje jedynie dostać właściwe hasło, aby pokazać zwartość. A zawsze mi się wydawało, że ten nośnik jest jakoś związany z programem (nawet jego konkretną wersją), który go zaszyfrował. Coś na zasadzie, że ten konkretny zainstalowany program „wie” jakie jest hasło i tym samym ma klucz do otwarcia poprzez hasło. A „świeży” program, który go nie szyfrował nie zna hasła i tym samym nie pozwoli na dostęp do czegoś o czym nic "nie wie’. To takie moje rozumowanie, ale jestem laikiem.
Hasło na pewno, ale program chyba generuje jeszcze klucz odzyskiwania i prosi o przechowanie go w bezpiecznym miejscu. Zarówno hasło jak i klucz odzyskiwania mogą posłużyć do odblokowania dostępu do szyfrowanego nośnika.
Nośniki i zaszyfrowane kontenery możesz deszyfrować/montować na dowolnym urządzeniu z zainstalowanym veracryptem.
Na Sekuraku masz tutorial:
- Tak, twoje hasło jest kluczem użytym do szyfrowania.
- Tak, aby odszyfrować kontener lub nośnik zaszyfrowany VC, musisz znać tylko owe hasło (i PIM jeśli użyłeś).
- Program jest potrzebny jeśli nie masz innych narzędzi pod ręką i/lub nie wiesz jakimi algorytmami dane zostały zaszyfrowane i/lub nie znasz struktury formatu użytego przez VC. Np. kontener *.tc (TrueCrypta, czyli protoplasty VeraCrypt) możesz odszyfrować na Linuksie za pomocą dmcrypt jeśli znasz klucz, funkcję skrótu i algorytm/y jakie zostały wykorzystane do szyfrowania.
Hasło nie jest potrzebne do otwarcia, to nie jest hm… brama którą strzeże dozorca. Ono jest potrzebne do wykonania operacji matematycznych na każdym bloku danych (np. na każdych kolejnych 512 bajtach) - błędne liczby dadzą błędne dane.
@anon42271672 To drugie jest potrzebne na wypadek uszkodzenia kontenera/nośnika. Na nieuszkodzonych, wystarczy samo „hasło”.