Window 10 salaus VeraCryptillä

[Eli4s]

Tulee nykyisin liikuttua jonkin verran koneen kanssa kämpän ulkopuolella, ja haluaisin salata kannettavani kovalevyn mahdollisen varastamisen tms. vuoksi. Mitään yrityssalaisuuksia koneella ei ole, mutta koulujuttuja ja omia arkaluontoisia tietoja kuitenkin. Bitlocker olisi ilmeisesti tähän kaikista simppelin vaihtoehto, mutta se ilmeisesti löytyy vain Windowsin pro -versiosta.

Mitä mahdollisia riskejä tuossa on lähteä salaamaan jollakin kolmannen osapuolen ohjelmalla, ja haittaako paljon jos tulevaisuudssa haluaa esim. Linuxin dualbootille? Onko tuo salaus vaikeaa poistaa käytöstä jälkeenpäin?

 

[escalibur]

Itse ratkaisisin ongelman käyttämällä nykyaikaista pilvitallennustilaa. Näin tiedostot eivät ole kannettavan levyllä, joka on erittäin huono tallennuspaikka muutenkin.

Pilvitallennustilan kohdalla kannattaa ottaa 2FA-autentikointi käyttöön, niin tiedostot pysyvät turvassa. Tällä tavalla vältyt riskiltä jossa levy on salattu ja salausavain hukassa. Puhumattakaan jos salattu levy päättää tehdä kuolemaa, eikä käyttöjärjestelmä enää suostu käynnistymään.

 

[Eli4s]

Itse ratkaisisin ongelman käyttämällä nykyaikaista pilvitallennustilaa. Näin tiedostot eivät ole kannettavan levyllä, joka on erittäin huono tallennuspaikka muutenkin.

Pilvitallennustilan kohdalla kannattaa ottaa 2FA-autentikointi käyttöön, niin tiedostot pysyvät turvassa. Tällä tavalla vältyt riskiltä jossa levy on salattu ja salausavain hukassa. Puhumattakaan jos salattu levy päättää tehdä kuolemaa, eikä käyttöjärjestelmä enää suostu käynnistymään.

Käytänkin siis pilvitallennuspalveluita enkä tallenna mitään vain ja ainoastaan tietokoneen kovalevylle, mutta käytän niiden työpöytäsovelluksia jotka luovat synkkaavan kansion koneelle josta pääsen käsiksi tiedostoihin. Tässä tapauksessahan tiedostot ovat tallennettuna myös kovalevylleni.

 

[mikkonen12]

Helpoimmalla Veracryptin kanssa pääsee alkuun kun tekee salatun tiedoston (encrypted file container) mihin siirtelee tärkeät tiedostot. Wizardilla vaatii muutaman klikkauksen.
Huomioi että bitlocker vaatii myös TPM sirun jota ei taida löytyä kaikista kuluttajaläppäreistä. Ilman sitä pitää salasana näpytellä aina koneen käynnistyessä.

 

[A Lake Elk]

Helpoimmalla Veracryptin kanssa pääsee alkuun kun tekee salatun tiedoston (encrypted file container) mihin siirtelee tärkeät tiedostot. Wizardilla vaatii muutaman klikkauksen.
Huomioi että bitlocker vaatii myös TPM sirun jota ei taida löytyä kaikista kuluttajaläppäreistä. Ilman sitä pitää salasana näpytellä aina koneen käynnistyessä.

Joko salasanan tai sitten USB-tikun, että saa salauksen auki boottauksen jälkeen.

 

[maajussi]

Vahva suositukseni Veracryptille.
Itse asensin ja salasin muinoin koko kannettavan Truecryptillä juurikin tietoturvan takia jos matkalla kannettava pöllittäisiin niin ei olisi ainakaan pienintäkään pelkoo että varkaat saisi mitään dataa siitä irti ja olen siitä asti sitä käyttänyt ja nykyään siis käytän Veracryptiä (joka siis jatkaa siitä mihin Truecrypt ohjelma lopetettiin).

Toki voi noita containereja ja yksittäisiäkin levy-asemia sillä cryptailla, mutta itse sanoisin koko kovalevyn ja siis Windows osionkin cryptaamisen suoraan olevan helpompi ja yksinkertaisempi tapa, tällä ainakin varmistat sen että jos matkalla kone pöllitään sieltä ei varas saisi ulos kovalevyltä yhtään ainutta selkokielistä tiedostoa.

Siis tuo koko koneen cryptaaminen on todella helppo ja yksinkertainen prosessi jonka se Veracryptin asennusohjelman wizardi tekee ja neuvoo käyttäjää koko ajan ei siis vaadi mitään kovin expertti käyttäjää edes, samaten koneen palauttaminen ennalleen eli koko salauksen poisto on vielä yksinkertaisempaa ja se ohjelma tekee senkin hyvin yksinkertaisesti, ainoastaan aikaa noihin kuluu itselläni 256Gt SSD levyn cryptaaminen kestää noin 2h jo useamman vuoden vanhalla kannettavalla ja cryptauksen poisto kestää sitten myös kymmenii minuutteja.
Haittapuolia se että Windows 10 ne isot kevään ja syksyn päivitykset vaativat salauksen purkamisen, muuten ei pysty asentaa noita isoja käyttispäivityksiä. Normaalit Windows viikko ja kuukausi päivitykset kyllä asentuu aivan hyvin cryptattuunkin koneeseen.

Koneen käyttö koko käyttöjärjestelmä ja kiintolevy salattuna ei siis eroa mitenkään normaalista, ET siis arkikäytössä huomaa asiaa mistään muusta kuin koneen käynnistyksessä kun se Veracrypt kysyy aina salasanaasi ja numerokoodia jotka antamalla kone ja Windows latautuu normaalisti.

Samaten koko koneen cryptaus suojaa käyttäjää matkoilla noilta huijaus yrityksiltä mitä joskus on raportoitu, että jossain maissa on hotellien henkilökunta murtautunut asiakkaiden huoneisiin ja asentanut jotain keyloggereita ja vastaavia ihmisten kannettaviin.

Riskit on lähinnä ensikertaa konetta salatessa kun se ohjelma cryptaa sen kovalevyn se kirjoittaa silloin koko levyn datat uusiksi (salatuiksi) eli jos siinä joku menee vikaan menetät käytännössä kaiken ja joudut asentaa pahimmillaan Windowsin uusiksi. Siksi asennusohjelma aina muistuttaa varmuuskopioinnista ennen salaamisen aloitusta. Ei haittaa mahdollisii Linux dualbootteja myöhemmin, kun aina voit purkaa salauksen helposti tarvittaessa.

Bitlockereista ei ole kokemusta, mutta jos foliohattuilla haluaa niin Bitlocker salauksista pääsee sisälle kyllä varmaan jotkut hallituksen miehet, kun taas Veracryptissä tuokin riski tiettävästi ainakin pienempi

 

[Eli4s]

Vahva suositukseni Veracryptille.
Itse asensin ja salasin muinoin koko kannettavan Truecryptillä juurikin tietoturvan takia jos matkalla kannettava pöllittäisiin niin ei olisi ainakaan pienintäkään pelkoo että varkaat saisi mitään dataa siitä irti ja olen siitä asti sitä käyttänyt ja nykyään siis käytän Veracryptiä (joka siis jatkaa siitä mihin Truecrypt ohjelma lopetettiin).

Toki voi noita containereja ja yksittäisiäkin levy-asemia sillä cryptailla, mutta itse sanoisin koko kovalevyn ja siis Windows osionkin cryptaamisen suoraan olevan helpompi ja yksinkertaisempi tapa, tällä ainakin varmistat sen että jos matkalla kone pöllitään sieltä ei varas saisi ulos kovalevyltä yhtään ainutta selkokielistä tiedostoa.

Siis tuo koko koneen cryptaaminen on todella helppo ja yksinkertainen prosessi jonka se Veracryptin asennusohjelman wizardi tekee ja neuvoo käyttäjää koko ajan ei siis vaadi mitään kovin expertti käyttäjää edes, samaten koneen palauttaminen ennalleen eli koko salauksen poisto on vielä yksinkertaisempaa ja se ohjelma tekee senkin hyvin yksinkertaisesti, ainoastaan aikaa noihin kuluu itselläni 256Gt SSD levyn cryptaaminen kestää noin 2h jo useamman vuoden vanhalla kannettavalla ja cryptauksen poisto kestää sitten myös kymmenii minuutteja.
Haittapuolia se että Windows 10 ne isot kevään ja syksyn päivitykset vaativat salauksen purkamisen, muuten ei pysty asentaa noita isoja käyttispäivityksiä. Normaalit Windows viikko ja kuukausi päivitykset kyllä asentuu aivan hyvin cryptattuunkin koneeseen.

Koneen käyttö koko käyttöjärjestelmä ja kiintolevy salattuna ei siis eroa mitenkään normaalista, ET siis arkikäytössä huomaa asiaa mistään muusta kuin koneen käynnistyksessä kun se Veracrypt kysyy aina salasanaasi ja numerokoodia jotka antamalla kone ja Windows latautuu normaalisti.

Samaten koko koneen cryptaus suojaa käyttäjää matkoilla noilta huijaus yrityksiltä mitä joskus on raportoitu, että jossain maissa on hotellien henkilökunta murtautunut asiakkaiden huoneisiin ja asentanut jotain keyloggereita ja vastaavia ihmisten kannettaviin.

Riskit on lähinnä ensikertaa konetta salatessa kun se ohjelma cryptaa sen kovalevyn se kirjoittaa silloin koko levyn datat uusiksi (salatuiksi) eli jos siinä joku menee vikaan menetät käytännössä kaiken ja joudut asentaa pahimmillaan Windowsin uusiksi. Siksi asennusohjelma aina muistuttaa varmuuskopioinnista ennen salaamisen aloitusta. Ei haittaa mahdollisii Linux dualbootteja myöhemmin, kun aina voit purkaa salauksen helposti tarvittaessa.

Bitlockereista ei ole kokemusta, mutta jos foliohattuilla haluaa niin Bitlocker salauksista pääsee sisälle kyllä varmaan jotkut hallituksen miehet, kun taas Veracryptissä tuokin riski tiettävästi ainakin pienempi

Kiitos.

Tässä tuli aika hyvin vastaukset niihin asioihin mitä ihmettelin.

 

[Kautium]

Ei mielestäni mitään järkeä alkaa säätämään millään muulla kuin Bitlockerilla. Se on helppo ottaa käyttöön ja vastaavasti pois käytöstä ja on myös tuettu ratkaisu Microsoftin toimesta, joka kestää kaikki tietoturva-auditoinnit.

Dual-boot voi aiheuttaa haasteita, mutta niin se aiheuttaa muillakin ratkaisuilla.

 

[Eli4s]

Ei mielestäni mitään järkeä alkaa säätämään millään muulla kuin Bitlockerilla. Se on helppo ottaa käyttöön ja vastaavasti pois käytöstä ja on myös tuettu ratkaisu Microsoftin toimesta, joka kestää kaikki tietoturva-auditoinnit.

Dual-boot voi aiheuttaa haasteita, mutta niin se aiheuttaa muillakin ratkaisuilla.

Tällä sen toteuttaisinkin, mutta ei ole saatavilla minun Windows versiolleni.

 

[Kautium]

Tällä sen toteuttaisinkin, mutta ei ole saatavilla minun Windows versiolleni.

Aah, sori, en huomannut tuota mainintaa aloituksessa.

 

[mario]

TrueCrypt ja VeraCrypt käytössä. Ainioa, että olen tehnyt TC:llä kansion jossa tärkeää, mutta nykyään avaan sen containerin (onko se container?) VC:llä. Onko tuossa tullut jotain ongelmia joskus? Itse en ole ainakaan havainnut mitään. En näe tarvetta koko järjestelmän salaamiselle vaan joidenkin tiedostojen vain.

 

[=JP=]

En näe tarvetta koko järjestelmän salaamiselle vaan joidenkin tiedostojen vain.

Riippuen mitä tiedostoja siellä pidät ja mitä ohjelmia käytät niiden tiedostojen hyödyntämiseen, niin ne usein saattavat tehdä temp tiedostoja salaamattomana levylle, joissa voipi olla sitä sun salaista tietoa kaikkien luettavissa. Sen takia monet haluaa salata koko koneen esimerkiksi...

Se on ihan käyttötarpeista kiinni loppupeleissä!

 

[terve]

Ei mielestäni mitään järkeä alkaa säätämään millään muulla kuin Bitlockerilla. Se on helppo ottaa käyttöön ja vastaavasti pois käytöstä ja on myös tuettu ratkaisu Microsoftin toimesta, joka kestää kaikki tietoturva-auditoinnit.

Dual-boot voi aiheuttaa haasteita, mutta niin se aiheuttaa muillakin ratkaisuilla.

Auditoitu ilmeisesti NSA:n toimesta.

 

[Tigerelli]

Nostellaan vanhaa ylös kun tämä nyt hauissakin tuli esiin.
Itselläni on win 10 koneessa usempi eri fyysinen kovalevy ja olosuhteiden takia alkoi kiinnostamaan noiden kryptaus. Kryptauksen tasolla ei ole hirveästi väliä koska ei noita näitä yritä oikeasti purkaa, mutta lähinnä jos koneen joku 'tavis' varastaa niin se ei pääse tietoja selailemaan.

Päädyin asentamaan veracryptin ja kokeilin kryptata ensin yhden kovalevyistä (ei vielä järjestelmäasema) ja itse kryptaus kyllä onnistui, mutta toimiiko tämä nyt oikeasti niin että tuonne uudellen osiolle (asematunnus) ei pääse resurssinhallinasta, ilman että sen joka bootin jälkeen veracryptillä erikseen mounttaa?

Nyt siis jos käynnistän koneen niin asemaa ei näy, veracryptin kautta sen pystyy mounttaamaan jolloin se näkyy omana asemanaan aina boottiin asti.
Olisin ajatellut että asema näkyy aina suoraan omalla asematunnuksellaan ja sen aukaisu vaatii salasanan.
(ainakin siihen asti kunnes järjestelmäasema on kryptattu ja sitten ehkä koneen käynnistys vaatii salasanan ja sen jälkeen kaikki asemat näkyisivät suoraan kuten ennenkin..)

Mutta onko yksittäisen kryptatun aseman käyttö siis näin että se vaatii aina mounttauksen, mikäli itse käyttöjärjestelmää ei ole veracryptilla kryptattu?

 

[Tigerelli]

Päätin sitten rohkeasti cryptata kaikki 3 kovalevyä Veracryptillä, mukaanlukien järjestelmäasema jossa windows asennettu. Hitusen sai säädellä partitioiden kanssa ensin, mutta järjestelmäaseman cryptaus meni juuri kuten toiveissa olikin, eli 'ymmärtääkseni' kaikki nyt cryptattua ja konetta käynnistäessä aukeaa veracryptin oma bootloader. Tähän annetaan salasana ja muutaman sekunnin jälkeen lähtee windows latautumaan ja kaikki toimii tällä asemalla hienosti.

Edelleen ongelma jota en ole osanut ratkaista on nuo kaksi muuta cryptattua asemaa. Ne vaatii erillisen mounttauksen joka bootin jälkeen ennenkuin niihin pääsee käsiksi. Kait tässä nyt on joku tapa jolla nämä kaikki saisi ns. aukeamaan kerralla, kunhan tuossa bootissa antaa tarpeellisen salasanan? eli bootin jälkeen kaikki asemat olisi käytettävissä normaalisti?

 

[mixoet]

Edelleen ongelma jota en ole osanut ratkaista on nuo kaksi muuta cryptattua asemaa. Ne vaatii erillisen mounttauksen joka bootin jälkeen ennenkuin niihin pääsee käsiksi. Kait tässä nyt on joku tapa jolla nämä kaikki saisi ns. aukeamaan kerralla, kunhan tuossa bootissa antaa tarpeellisen salasanan? eli bootin jälkeen kaikki asemat olisi käytettävissä normaalisti?

Taikasana on System Favorite Volumes (huomoi System-etuliite):

VeraCrypt - Free Open source disk encryption with strong security for the Paranoid

VeraCrypt is free open-source disk encryption software for Windows, Mac OS X and Linux. In case an attacker forces you to reveal the password, VeraCrypt provides plausible deniability. In contrast to file encryption, data encryption performed by VeraCrypt is real-time (on-the-fly), automatic...

veracrypt.eu

 

[SakariO]

Päätin sitten rohkeasti cryptata kaikki 3 kovalevyä Veracryptillä, mukaanlukien järjestelmäasema jossa windows asennettu. Hitusen sai säädellä partitioiden kanssa ensin, mutta järjestelmäaseman cryptaus meni juuri kuten toiveissa olikin, eli 'ymmärtääkseni' kaikki nyt cryptattua ja konetta käynnistäessä aukeaa veracryptin oma bootloader. Tähän annetaan salasana ja muutaman sekunnin jälkeen lähtee windows latautumaan ja kaikki toimii tällä asemalla hienosti.

Edelleen ongelma jota en ole osanut ratkaista on nuo kaksi muuta cryptattua asemaa. Ne vaatii erillisen mounttauksen joka bootin jälkeen ennenkuin niihin pääsee käsiksi. Kait tässä nyt on joku tapa jolla nämä kaikki saisi ns. aukeamaan kerralla, kunhan tuossa bootissa antaa tarpeellisen salasanan? eli bootin jälkeen kaikki asemat olisi käytettävissä normaalisti?

Taikasana on System Favorite Volumes (huomoi System-etuliite):

VeraCrypt - Free Open source disk encryption with strong security for the Paranoid

VeraCrypt is free open-source disk encryption software for Windows, Mac OS X and Linux. In case an attacker forces you to reveal the password, VeraCrypt provides plausible deniability. In contrast to file encryption, data encryption performed by VeraCrypt is real-time (on-the-fly), automatic...

veracrypt.eu

Selvennän vielä sen verran, että tuohon vaaditaan kaksi asiaa:

1) kaikissa kovalevyissä on sama salasana, jotka haluat boottisalasanalla aukaista automaattisesti
2) kun ehto yksi täyttyy, niin kuten mixoet kertoo, ne muut levyt pitää merkitä System Favorite listalle.
3) bonuskohta, asetuksista pitää laittaa päälle, että buutissa System Favorite -asemat mountataan.

Anteeksi kamala finglish-kieli. En jaksanut alkaa etsimään noille termeille oikeaa suomenkielistä sanaa.

Laitetaan vielä yksi bonustieto: kannattaa laittaa asetus päälle, joka estää asemien irroittamisen (Unmount) tavallisella käyttäjällä. Toisin sanottuna: vain admin-oikeuksilla voi ottaa avatun (Mounted) aseman pois käytöstä.

 

[Tigerelli]

Kiitos, Kiitos, kiitos!
Kiitos Mixoet, Kiitos, SakariO

Siitähän tässä oli kyse että nuo piti laittaa system favouriteksi..

Sama salasana kaikissa jo olikin, koska ajatus oli juuri että kerran bootissa annetaan salasana ja sitten kone toimii ns. normaalisti.
Mutta enpä osanu laittaa noita "System" favouriteksi, jotenkin ajattelin vaan että tuo käyttöjärjestelmä -levy on se system volume ja loput kovalevyt sitten jotain 'tavallisia' volumeita..

Mutta nyt ohjeidenne avulla sain tuon toimimaan kuten haluttu, eli bootissa kerran salasana ja sitten kone latautuu normaalisti ja loputkin kovalevyt näkyy resussinhallinnassa suoraan 'avoimina'