🥈 VeraCrypt

VeraCrypt to darmowe narzędzie pozwalające na szyfrowanie danych. Pozwala na zaszyfrowanie całego dysku, pojedynczej partycji, przenośnych dysków USB oraz na stworzenie wirtualnego, zaszyfrowanego dysku, który działa jak zwykły dysk, ale jest zapisany w pliku.

Istotną zaletą VeraCrypt jest możliwość korzystania z zaszyfrowanych dysków na wszystkich popularnych systemach operacyjnych na komputerach (Windows, MacOS, Linux), a nawet na urządzeniach mobilnych (Android, iOS).

Podsumowanie

Cena Darmowy
Łatwość użycia Średnio trudny w użyciu
Rozwijany przez Tworzy komercyjna firma
Kraj siedziby Unia Europejska Francja
Licencja TrueCrypt-3.0
Analiza bezpieczeństwa Przeprowadzony audyt
Wersja językowa Po polsku
Algorytmy szyfrowania Różne algorytmy
Kaskadowe szyfrowanie Kaskadowe szyfrowanie
Ukryte wolumeny Ukryte wolumeny
Szyfrowanie “w locie” (in-place) Szyfrowanie “w locie”

Zalety VeraCrypt

  • Aktywny rozwój – VeraCrypt jest aktywnie rozwijany, regularnie otrzymuje nowe funkcje i aktualizacje zabezpieczeń.

  • Darmowy, z dostępnym kodem źródłowym – VeraCrypt jest darmowy, a jego kod źródłowy jest publicznie dostępny (przeczytaj poniżej o niejasnościach związanych z licencją VeraCrypt).

  • Wszechstronne zastosowanie – Program umożliwia stworzenie szyfrowanego wolumenu w postaci: całego dysku systemowego (uruchomienie systemu będzie wymagało podania hasła), wybranej partycji nie-systemowej (np. przenośnego dysku USB) lub nawet pliku.

  • Obsługa wielu algorytmów szyfrowania – VeraCrypt umożliwia zaszyfrowanie danych przy pomocy algorytmów: AES, Camelia, Kuznyechik, Serpent, Twofish oraz obsługuje funkcje skrótu (hash algorithms): SHA-256, SHA-512, Whirlpool, Streebog.

  • Obsługa kaskadowego szyfrowania – Wolumeny mogą być jednocześnie zaszyfrowane kombinacją algorytmów (np. AES-Twofish, AES-Twofish-Serpent, Serpent-AES). Zwiększa to bezpieczeństwo danych, ale negatywnie wpływa na wydajność dostępu. Zapobiega to zagrożeniu danych, gdyby okazało się, że algorytm zawiera błąd ułatwiający dostęp do danych.

  • Obsługa ukrytych wolumenów (Hidden Volume) – VeraCrypt pozwala stworzyć wolumen ukryty wewnątrz innego zaszyfrowanego wolumenu i zabezpieczony niezależnym hasłem. Pozwala to ukrycie danych wrażliwych, które nie będą dostępne po wprowadzeniu hasła głównego wolumenu, a osoba chcąca uzyskać dostęp nie będzie mogła udowodnić, że ukryty wolumen w ogóle istnieje wewnątrz zaszyfrowanego wolumenu. Daje to możliwość “wiarygodnego zaprzeczenia” istnienia zaszyfrowanych danych (plausible deniability).

  • Obsługa ukrytego systemu operacyjnego (Hidden Operating System) – Kolejny etap po klasycznych ukrytych wolumenach z danymi to stworzenie ukrytej partycji systemowej, z której można uruchomić system operacyjny. Analogicznie do ukrytych wolumenów, osoba nie znająca hasła nie będzie mogła udowodnić, że ukryty system operacyjny w ogóle istnieje wewnątrz zaszyfrowanego wolumenu. Daje to możliwość “wiarygodnego zaprzeczenia” istnienia zaszyfrowanego systemu operacyjnego (plausible deniability).

  • Szyfrowanie i deszyfrowanie “w locie” in-place (Windows) – W systemie Microsoft Windows szyfrowanie lub odszyfrowanie dysku może odbywać się w tle i może być przerywane przez użytkownika (np. na życzenie albo przez wyłączenie komputera). Proces może zostać wznowiony po ponownym uruchomieniu od miejsca, w którym został zatrzymany. Ta funkcja jest szczególnie przydatna, jeśli korzystasz z dużych dysków i operacje kryptograficzne mogą zająć dużo czasu.

  • Polska wersja językowa – VeraCrypt jest dostępny w wielu wersjach językowych, co ułatwia korzystanie z niego osobom nieznającym angielskiego. Dostępna jest polska wersja językowa.

  • Działa na wszystkich popularnych systemach na komputerach – Program można zainstalować na wszystkich popularnych systemach operacyjnych na komputerach. Sposób korzystania będzie taki sam na każdym z nich. Jest dostępna wersja dla Microsoft Windows, Apple MacOS, Linux.

Czy VeraCrypt jest bezpieczny

  • Bezpieczeństwo kodu źródłowego VeraCrypt zostało dwukrotnie zweryfikowane przez niezależne firmy specjalizujące się w wykonywaniu audytów bezpieczeństwa, a raporty z tych analiz są publicznie dostępne.
  • Bezpieczeństwo TrueCrypt, na którym VeraCrypt bazuje, było weryfikowane w 2014 roku przez iSEC Partners oraz w 2015 przez NCC Group i BSI.
  • Najbardziej aktualna jest analiza bezpieczeństwa VeraCrypt z 2020 roku, która zwraca uwagę, że VeraCrypt:
    • Jest rozwijany głównie przez pojedynczego programistę, a nie zespół programistów.
    • Nie stosuje najlepszych praktyk rozwoju oprogramowania (brak bramek kontroli jakości, brak recenzji kodu, brak dokumentowania zmian w kodzie).
    • W istotnym stopniu bazuje na kodzie źródłowym TrueCrypt, który nie stosował się do najlepszych praktyk programistycznych (zły styl kodowania, różnice w implementacji generatora liczb pseudolosowych dla różnych systemów).
    • Nie korzysta z gotowych, bibliotek kryptograficznych z otwartym kodem źródłowym (np. OpenSSL), a zamiast tego używa własnych implementacji lub kopii gotowych implementacji funkcji kryptograficznych.
  • Przeprowadzona analiza bezpieczeństwa nie wykryła istotnych błędów bezpieczeństwa w VeraCrypt
    • Stwierdzono, że VeraCrypt zapewnia poufność danych (confidentiality) na dysku, który nie jest w danej chwili używany w przypadku jego utraty (np. wskutek kradzieży, zgubienia).
    • Audytorzy odradzają korzystanie z VeraCrypt do przechowywania danych wrażliwych oraz przez aplikacje lub osoby mające wysokie wymagania odnośnie bezpieczeństwa informacji, ze względu na uchybienia w procesie rozwoju oprogramowania oraz jakość kodu źródłowego.

Licencja VeraCrypt i otwarty kod źródłowy

  • VeraCrypt wywodzi się z programu TrueCrypt, którego rozwój został porzucony w maju 2014 roku w dość nieoczekiwanych okolicznościach, a autorzy przestali się kontaktować ze światem.
  • Początkowo większość kodu źródłowego VeraCrypt bazowała na kodzie TrueCrypt i była tym samym licencjonowana zgodnie z licencją TrueCrypt License 3.0 (licencja nie jest otwartym oprogramowaniem open source). Z czasem kod VeraCrypt był zmieniany i uzupełniany i nowe fragmenty są licencjonowane zgodnie z wolną i otwartą licencją Apache License 2.0 (licencja jest otwartym oprogramowaniem open source).
  • Brak kontaktu z pierwotnymi autorami TrueCrypt uniemożliwia zmianę przez nich licencji kodu źródłowego, którego są autorami na licencję typu open source.
  • Oznacza to, że kod źródłowy VeraCrypt nie jest dostępny na jednej licencji uznawanej przez Open Source Initiative (OSI) ani przez Free Software Foundation (FSF) za licencję open source.
  • W konsekwencji VeraCrypt nie jest dostępny w repozytoriach pakietów większości dystrybucji Linuksa. Instalacja programu wymaga pobrania go bezpośrednio ze strony autorów, którzy udostępniają wersję instalacyjną dla wszystkich popularnych dystrybucji (Debian, Ubuntu, CentOS, Fedora, openSUSE) oraz FreeBSD.
  • Problem uznania licencji VeraCrypt za licencję open source nie zmienia jednak faktu, że kod źródłowy jest dostępny, z wszystkimi tego zaletami – przede wszystkim każdy może zapoznać się z nim i sprawdzić jak oprogramowanie faktycznie działa, i czy nie zawiera np. umyślnie stworzonych luk bezpieczeństwa (backdoor).

Wersja dla Android i iOS

  • Autorzy VeraCrypt nie planują tworzenia oficjalnej wersji na systemy Android i iOS.
  • Istnieją nieoficjalne wersje stworzone przez niezależnych autorów, ale nie jesteśmy w stanie ich ani polecić ani odradzić:
    • Android: EDS (darmowa wersja z otwartym kodem źródłowym na licencji GPL-2.0 i płatna z zamkniętym kodem źródłowym)
    • iOS: Disk Decipher (płatna, zamknięty kod źródłowy) oraz Crypto Disks & File Explorer (płatna, zamknięty kod źródłowy)

VeraCrypt czy szyfrowanie systemowe

  • Skorzystaj z VeraCrypt, jeśli
    • Nie masz możliwości skorzystania z szyfrowania dysku wbudowanego w system operacyjny, z którego korzystasz (np. Microsoft Windows 10 lub 11 wersja Home nie zawiera wbudowanego BitLockera).
    • Szyfrujesz dysk, który będzie używany w wielu systemach operacyjnych (np. pendrive, dysk USB).
    • Zależy Ci na wykorzystaniu konkretnego algorytmu szyfrującego, którego nie obsługuje szyfrowanie dysku wbudowane w system operacyjny.
    • Zależy Ci na wykorzystaniu kaskadowego szyfrowania (wolumen jednocześnie zaszyfrowany kombinacją algorytmów, np. AES-Twofish, AES-Twofish-Serpent, Serpent-AES).
    • Wykorzystujesz mechanizm ukrytych wolumenów (Hidden Volume) lub ukrytego systemu operacyjnego (Hidden Operating System), żeby mieć możliwość “wiarygodnego zaprzeczenia” istnieniu zaszyfrowanych danych (plausible deniability).
  • Skorzystaj z szyfrowania dysku wbudowanego w system operacyjny w pozostałych przypadkach.
    • Szyfrowanie wbudowane w system operacyjny jest prostsze w użyciu.
    • Mechanizmy bezpieczeństwa rozwija zespół programistów, ze wsparciem zespołu bezpieczeństwa tworzącego system operacyjny, zgodnie z najlepszymi praktykami tworzenia oprogramowania.

Dlaczego warto szyfrować cały dysk (partycję systemową)

  • Szyfrowanie całego dysku (FDE, Full Disk Encryption), łącznie z partycją systemową (na której jest zainstalowany system operacyjny) zapewnia najwyższy poziom bezpieczeństwa i prywatności.
  • Programy działające na komputerze i mające dostęp do poufnych danych zapisanych na zaszyfrowanym wolumenie mogą zapisywać informacje na temat tych danych na niezaszyfrowanym dysku (najczęściej partycji systemowej).
  • Najczęściej będą to informacje takie jak:
    • ścieżki i nazwy do ostatnio otwieranych plików,
    • bazy indeksów stworzonych przez narzędzie wyszukiwania,
    • pliki tymczasowe zawierające cząstkowe dane,
    • informacje o systemie plików na zaszyfrowanym wolumenie,
    • plik wymiany zawierający fragmenty pamięci RAM (swap file),
    • pliki zapisywane przy hibernacji systemu.
  • Jeśli chcesz mieć pewność, że żadne informacje o poufnych danych zapisanych na zaszyfrowanym wolumenie nie zostaną przypadkowo ujawnione i zapisane na niezabezpieczonym dysku, należy stosować jedno z dwóch rozwiązań:
    • Podłączać dysk z zaszyfrowanymi poufnymi danymi tylko do komputera, który ma zaszyfrowany cały dysk (partycję systemową). Dzięki temu masz pewność, że jeśli jakieś informacje zostały zapisane, to pozostają zaszyfrowane.
    • Uruchamiać komputer wyłącznie z płyty DVD (ew. nośnika USB) z systemem live. Taki system wszystkie informacje zapisuje w pamięci RAM, a nie na nośniku danych, z którego jest uruchomiony. Dzięki temu masz pewność, żen jeśli jakieś informacje zostały zapisane, to po wyłączeniu komputera znikną z pamięci RAM.
  • Szyfrowanie całego dysku chroni również ustawienia konfiguracyjne systemy operacyjnego.

Szyfrowanie partycji systemowej Microsoft Windows (C:\)

  • Szyfrowanie partycji systemowej Microsoft Windows (C:\) może powodować problemy przy aktualizacji systemu Microsoft Windows. Dotyczy to zwłaszcza “dużych aktualizacji” (feature update).
  • Problem występuje niezależnie od wybranego sposobu szyfrowania partycji systemowej
    • VeraCrypt może (choć nie musi) spowodować problem z ponownym uruchomieniem systemu po aktualizacji – korzystanie z komputera nie będzie możliwe.
    • Bitlocker umożliwia bezproblemową aktualizację systemu, ale w trakcie aktualizacji hasło pozwalające na dostęp do zaszyfrowanej partycji będzie możliwe do odczytania przez osobę mającą w tym momencie dostęp do komputera.
  • Obejściem tego problemu jest podzielenie dysku na dwie partycje
    • Partycja systemowa zabezpieczona przy pomocy Bitlockera – godzimy się na możliwe niebezpieczeństwo dostępu do hasła chroniącego zapisane na niej dane, kiedy system operacyjny jest aktualizowany, ale aktualizacje systemu będą bezproblemowe.
    • Partycja na dane zabezpieczona przy pomocy Bitlockera lub VeraCrypt – dane są bezpieczne niezależnie od przeprowadzanych aktualizacji systemu operacyjnego.

Na co zwrócić uwagę

  • Żaden program do szyfrowania dysku nie zabezpiecza przed dostępem do danych, kiedy komputer lub urządzenie jest włączone, a dysk jest używany (dysk jest w tym czasie odszyfrowany). Możesz zapoznać się ze szczegółowym opisem modelu bezpieczeństwa VeraCrypt.
  • Jeśli chcesz korzystać z ukrytych wolumenów (Hidden Volume), to koniecznie przeczytaj jak robić to w sposób bezpieczny.
  • Przed rozpoczęciem szyfrowania “w locie” (in-place), upewnij się, że masz kopię danych, a jeśli szyfrujesz partycję systemową – możliwość odtworzenia systemu operacyjnego (np. ponownego zainstalowania). Proces ten może odbywać się w tle i może być przerywany przez użytkownika (np. na życzenie albo przez wyłączenie komputera), a następnie zostać wznowiony od miejsca, w którym został zatrzymany. Jeśli jednak nastąpi awaria systemu operacyjnego z powodu błędu oprogramowania (np. zawieszenie systemu operacyjnego) lub sprzętu (np. utrata zasilania), podczas gdy VeraCrypt szyfruje lub deszyfruje istniejące dane, część danych może zostać uszkodzona lub utracona.
    • W trakcie szyfrowania “w locie” partycji systemowej, możesz normalnie z niej korzystać.
    • W trakcie szyfrowania “w locie” partycji nie-systemowej, nie możesz z niej korzystać do czasu zakończenia szyfrowania – nie będzie możliwości dostępu do niej ani jako niezaszyfrowanej, ani jako zaszyfrowanej.
  • Zawsze korzystaj z najnowszej dostępnej wersji VeraCrypt, ponieważ może zawierać poprawki błędów bezpieczeństwa. Konsekwencją nieaktualizowania oprogramowania może być wykorzystanie odkrytych podatności (błędów) przez cyberprzestępców.

Interesuje Cię temat bezpieczeństwa i prywatności?

Zapisz się na newsletter!

Pamiętaj, żeby odebrać e-mail potwierdzający i kliknąć link, żeby potwierdzić Twój adres! Jeśli e-mail nie przyszedł, to sprawdź foldery „spam” i „oferty”.

Zapisując się na newsletter, zgadzasz się na przetwarzanie Twoich danych osobowych w celu wysyłania na adres e-mail informacji handlowych o nowościach, promocjach, produktach i usługach IMAGIN Sp. z o.o., która będzie Administratorem Twoich danych. Twoje dane będą przetwarzane na zasadach opisanych w Polityce prywatności. W każdej chwili możesz zrezygnować z otrzymywania newslettera.