VeraCrypt - Бесплатное надёжное шифрование дисков с открытым исходным кодом

Утечки данных

Когда смонтирован том VeraCrypt, операционная система и сторонние приложения могут записывать в незашифрованные тома (обычно в незашифрованный системный том) незашифрованную информацию о данных, хранящихся в томе VeraCrypt (например, имена и пути файлов, к которым недавно было обращение, создаваемые программами индексации базы данных, и т. д.), или собственно данные в незашифрованном виде (временные файлы и т. п.), или незашифрованную информацию о находящейся в томе VeraCrypt файловой системе.

Обратите внимание, что Windows автоматически ведёт запись больших объёмов таких потенциально секретных данных, как имена и пути открываемых вами файлов, запускаемые вами приложения и т. д. Например, Windows при работе с Проводником использует набор ключей реестра, называемых “shellbags” (“скорлупа”) для хранения имени, размера, вида, значка и позиции папки. При каждом открытии папки эта информация обновляется, включая дату и время доступа. Пакеты Windows Shellbags можно найти в нескольких местах, в зависимости от версии операционной системы и профиля пользователя. В Windows XP пакеты shellbags находятся в "HKEY_USERS\{USERID}\Software\Microsoft\Windows\Shell\" и "HKEY_USERS\{USERID}\Software\Microsoft\Windows\ShellNoRoam\". В Windows 7 они располагаются в "HKEY_USERS\{USERID}\Local Settings\Software\Microsoft\Windows\Shell\". Более подробную информацию см. на странице https://www.sans.org/reading-room/whitepapers/forensics/windows-shellbag-forensics-in-depth-34545.

Кроме того, начиная с Windows 8, при каждом монтировании тома VeraCrypt, отформатированном в NTFS, в журнал системных событий записывается Событие 98 (Event 98), содержащее имя устройства (\\device\VeraCryptVolumeXX) тома. Эта "особенность" журнала событий была представлена в Windows 8 как часть недавно введённых проверок состояния NTFS, см. пояснения здесь. Чтобы избежать этой утечки, необходимо монтировать том VeraCrypt как сменный носитель. Большое спасибо Liran Elharar, обнаружившему эту утечку и предложившему способ её обхода.

Чтобы предотвратить утечки данных, вы должны проделать следующее (возможны и альтернативные меры):

Если вам не нужно правдоподобное отрицание наличия шифрования:
- Зашифруйте системный раздел/диск (о том, как это сделать, см. главу Шифрование системы) и убедитесь, что в течение каждого сеанса работы с секретными данными смонтированы только зашифрованные файловые системы или системы, доступные только для чтения.
  
  или
- Если вы не можете проделать указанное выше, загрузите или создайте "live CD"-версию своей операционной системы (т. е. "live"-систему, целиком расположенную на CD/DVD и оттуда же загружающуюся) – это гарантирует, что любые записываемые в системный том данные записываются в RAM-диск (диск в ОЗУ). Когда вам требуется поработать с секретными данными, загрузите систему с такого live-CD/DVD и проверьте, что в течение сеанса смонтированы только зашифрованные и/или доступные только для чтения файловые системы.
Если вам нужно правдоподобное отрицание наличия шифрования:
- Создайте скрытую операционную систему. При этом защита от утечек данных будет обеспечена VeraCrypt автоматически. См. подробности в разделе Скрытая операционная система.
  
  или
- Если вы не можете проделать вышеуказанное, загрузите или создайте "live CD"-версию своей операционной системы (т. е. "live"-систему, целиком расположенную на CD/DVD и оттуда же загружающуюся) – это гарантирует, что любые записываемые в системный том данные записываются в RAM-диск (диск в ОЗУ). Когда вам требуется поработать с секретными данными, загрузите систему с такого live-CD/DVD. Если вы используете скрытые тома, следуйте требованиям безопасности, указанным в подразделе Требования безопасности и меры предосторожности, касающиеся скрытых томов. Если скрытые тома вами не используются, проверьте, что в течение сеанса смонтированы только несистемные тома VeraCrypt на основе раздела и/или файловые системы, доступные только для чтения.