読者です 読者をやめる 読者になる 読者になる

Carpe Diem

備忘録。https://github.com/jun06t

TrueCryptでドライブの暗号化

機密情報流出がよく話題にあがる昨今、暗号化は必須の技術と言えます。暗号化にはいろんなソフトがあります。 暗号化ソフト徹底比較 今回はTrueCryptというツールでドライブを暗号化する方法です。FBIも解析できなかったほどなので、一般的にほぼ解析する方法はないと考えて良さそうです。 使用方法はチュートリアルやネットの解説サイトに任せて、ここではTrueCryptを使用する上でのメリット、注意点をいくつか述べようと思います。 ◆メリットマルチプラットフォームに対応(Windows, Mac, Linux)。どこで暗号化しても、TrueCryptの入ったシステムなら復号化可能。 ・平文のパスワードと別で、キーファイル(jpeg, mp3など何でも良い。複数ファイル使用可)を使うことで解析を困難にさせる。 ・キーファイルはファイル名を変更してもOK(ハッシュを見ている?) ・暗号化フォルダを二重にできる(外殻ボリュームと隠しボリューム)。万一の際は外殻のダミーを復号させればいいです。 ・OSのドライブを暗号化できる(Windowsのみ。Linuxは未対応) ・一般的にドライブの暗号は、データを入れる前に行わなければいけないが、TrueCryptはデータが入った後でも暗号化可能(ただし暗号化に時間がかかる) ・一度ドライブを暗号化すれば、後のファイル操作では暗号化・復号時間はあまりかからない  →アクセス速度は1〜2割程度低下した? ◆注意点 ①丸々暗号化したときに、「未フォーマットドライブ」と認識されるため、間違ってフォーマットしてしまう可能性がある。 →対処 a. あらかじめ小さな別パーティションを作成しておく。 b. USBデバイスのドライブの種類に関する識別コードを変える(ただしWindows7で接続すれば) c. ドライブレターを削除(ただし別のPCにつなげるとフォーマットのダイアログは出る) ②過去にデータを入れたHDDの場合、クイックフォーマットによる暗号化はダメ。復元される可能性あり。 →対処 時間はかかるけど、未使用HDDでない限り必ず通常のフォーマットをしましょう。SATAなら3Tで5〜7時間くらいです。 ③外殻ボリュームをマウントする際、オプションで「隠しボリュームを外殻ボリュームへの書き込みによる破壊から保護する」を設定しないと、ファイルサイズが大きいと隠しボリュームを破壊してしまう場合がある。 TrueCryptの隠しボリューム壊しちゃった★ →対処 a. 外殻は、リードオンリーでマウントする b. 外殻には、データを書き込まない(これ鉄則) c. 外殻ボリュームに対し、隠しボリュームのサイズをある程度小さくする。 →対処2 破壊してしまった場合、一応マウントだけはできるケースもあるらしいです。その場合はマウントだけして、データ復旧ソフトで復旧を試してみたください。 ④複数の暗号化したボリュームを一括でマウントできない →対処 a. TrueCrypt PasswordDialogという、同時マウント支援ツールを使う b. バッチファイルで対応 ◆補足 少しいじって試してみたこと ・同じHDDで別パーティションのボリューム名を変更しても使える。 ・同じHDDで別パーティションを編集しても問題なし(予約領域と別パーティションをワイプ、マージしてみた) ・パスワード、キーファイルをあとから変更可能 ・スリープしても復帰させた時ちゃんとマウントしたままだった(Windowsはスリープ対応。ただし内蔵HDDのみで外付けHDDは未対応) ・暗号化したドライブをマウント後、ボリューム名を変更。その後どのドライブに再マウントしても変更後の名称はきちんと表示(保存)されていた ・2TのHDDで暗号化フォーマット(クイックでない)をすると4~5時間かかった ・3TのHDDで暗号化フォーマット(クイックでない)をすると5~6時間かかった ・1TのHDD(データあり)で直接暗号化(ワイプ処理なし)すると最初は14時間と表示されたが実際は7~8時間で済んだ。 ・復号した外付けHDDのケーブルをふとしたはずみで抜いてしまった  →データは破損しなかった。ソフト側では警告。 ・暗号化HDDにMBRを書き込んでしまった(暗号化HDD入れたままOSインストールしたら勝手に書き込まれた)  →データ破損。修復作業を行ったがデータの救出は不可 こんなところでしょうか。暗号化するということは必然その中のデータは大事なデータが多いです。なので試す際は万が一を考えてバックアップをとってからにした方がいいと思います。 特に最後の「OSのインストール」時はインストール先が別HDDでもSATAの接続順で勝手にMBRが書き込まれるので、OSインストールの時は暗号化ディスクは必ず外しておいてください。 また暗号化はCPUによって速度が変わるとも聞きます。i5、i7だと以前のCPUより断然早いはずです。 初期投資はややかかりますが、後のことを考えるとかなり有益なのでオススメです。