VeraCrypt

VeraCrypt — это канонический инструмент шифрования полного диска и контейнеров со скрытыми томами правдоподобного отрицания — преемник TrueCrypt (который, как известно, самоликвидировался в 2014 году) и эталонная реализация для пользователей, которым нужны зашифрованные тома, выглядящие на диске как случайные данные, с опциональными скрытыми томами, позволяющими пользователю раскрыть одну парольную фразу под принуждением, сохраняя второй том невидимым. Оценён как Grade A · выбор редактора, потому что VeraCrypt занимает уникальную структурную позицию: единственный инструмент шифрования потребительского уровня с надёжными примитивами правдоподобного отрицания, каноническое продолжение после TrueCrypt, и устоявшаяся история аудита через множество независимых проверок.

Background. VeraCrypt был ответвлён от TrueCrypt в 2013 году Mounir Idrassi из IDRIX (французская консультационная компания по безопасности) и продолжает поддерживаться IDRIX с участием сообщества. Сам TrueCrypt, оригинальная кодовая база, был заброшен в мае 2014 года с, как известно, загадочным уведомлением от его анонимных разработчиков о том, что программное обеспечение «больше не безопасно» — уведомление, которое сообщество безопасности в основном интерпретировало либо как warrant canary, либо как стратегический выход, а не как реальный криптографический недостаток. VeraCrypt является фактическим преемником с 2014 года, с независимыми аудитами безопасности, включая аудит 2016 года, проведённый Quarkslab при финансировании OSTIF (Open Source Technology Improvement Fund), и последующий аудит 2018 года, также финансируемый OSTIF. Аудит 2016 года выявил 8 уязвимостей; все были исправлены в последующих релизах. Открытый исходный код под лицензией Apache 2.0 (с частями под старой лицензией TrueCrypt 3.0 для унаследованного кода TrueCrypt). Кроссплатформенный: macOS, Windows, Linux — полный паритет функций на всех платформах.

What you trust. Сильная криптография — AES-256, Serpent, Twofish, Kuznyechik, Camellia (или каскады из нескольких алгоритмов); SHA-256, SHA-512, Whirlpool, BLAKE2s, Streebog для выведения ключей. Выведение ключей PBKDF2 с настраиваемым количеством итераций (по умолчанию консервативно, замедляет атаки перебора на парольную фразу). Зашифрованные тома выглядят как случайные данные — контейнеры VeraCrypt не имеют магических байтов заголовка, нет файловой сигнатуры; для злоумышленника без парольной фразы том статистически неотличим от случайных байтов. Функция скрытого тома — внутри зашифрованного внешнего тома вы можете создать скрытый внутренний том, защищённый отдельной парольной фразой; существование скрытого тома не обнаруживается при проверке открытого текста внешнего тома. Системное шифрование — полнодисковое шифрование систем Windows, Linux и macOS с аутентификацией до загрузки. Скрытая ОС — только Windows: вы можете иметь скрытую операционную систему, загружающуюся из скрытого тома, обеспечивая правдоподобное отрицание «двух компьютеров» под принуждением. Открытый исходный код + множественные независимые аудиты — аудиты Quarkslab + OSTIF обеспечивают внешнюю проверку; кодовая база доступна для аудита. Чему вы не доверяете: судебно-криминалистическому анализу зашифрованного устройства (том всё ещё обнаруживается как зашифрованные-данные-какого-то-вида по размеру файла и высокоэнтропийному содержимому); принудительному раскрытию (правдоподобное отрицание обеспечивает защиту только тогда, когда злоумышленник не может *доказать* существование скрытого тома, а не в юрисдикциях, где вас могут принудить раскрыть все ключи шифрования независимо от этого).

Operational specs. Платформы: macOS, Windows, Linux настольные. Режимы томов: стандартный зашифрованный контейнер (файл `.hc` или раздел), шифрование системного раздела (полнодисковое шифрование с аутентификацией до загрузки), скрытый том (внутри стандартного контейнера), скрытая ОС (только Windows). Каскады шифров: вы можете наложить несколько алгоритмов шифрования (например, AES-Serpent-Twofish) для глубокоэшелонированной защиты от будущего криптоанализа любого отдельного шифра. Монтирование: зашифрованные тома монтируются как виртуальные диски — отображаются как буква диска (Windows) или точка монтирования (Linux/macOS) и ведут себя как обычные файловые системы. Ключевые файлы + парольная фраза: вы можете требовать парольную фразу, ключевой файл или и то, и другое для монтирования; ключевые файлы могут находиться на USB-накопителе, который вы держите отдельно от зашифрованного тома. Аппаратное ускорение: аппаратное ускорение AES-NI на поддерживаемых CPU (практически все современные x86/x64). Мастер создания томов: проведёт вас через выбор алгоритма, установку парольной фразы, создание скрытого тома и сопряжение ключевого файла. Портативный режим: портативная установка VeraCrypt на USB-накопитель — зашифрованный том + бинарный файл VeraCrypt путешествуют вместе; монтируйте на любом компьютере без локальной установки VeraCrypt.

Philosophy. Редакционный отличительный признак VeraCrypt — модель скрытого тома с правдоподобным отрицанием. Современные альтернативы — LUKS (Linux), BitLocker (Windows), FileVault (macOS), age (на уровне файлов), Cryptomator (на уровне облачных папок) — все предлагают сильное шифрование, но ни одна не предлагает скрытые тома. Для большинства пользователей скрытые тома избыточны (модель угроз — «потерять ноутбук из-за кражи», и FileVault/BitLocker достаточно). Для пользователей, чья модель угроз включает принудительное раскрытие (пересечение границ, враждебные государственные субъекты, «дайте нам пароль, или мы вас задержим»), скрытые тома являются каноническим смягчением. Компромисс: сложность (настройка скрытого тома требует осторожного UX, чтобы избежать случайной перезаписи скрытого тома); правовой риск (в некоторых юрисдикциях отказ раскрыть ключи дешифрования сам по себе является уголовным преступлением, независимо от того, можно ли доказать существование скрытого тома); и операционная хрупкость (монтирование внешнего тома на чтение-запись без включения защиты скрытого тома может повредить скрытый том). VeraCrypt — канонический инструмент для пользователей, которым это нужно; для тех, кому не нужно, BitLocker / FileVault / LUKS / age проще и одинаково сильны против моделей угроз без принуждения.

Grade rationale. Оценка Grade A и выбор редактора отражают: открытый исходный код под лицензией Apache 2.0; кроссплатформенность (macOS, Windows, Linux) с полным паритетом функций; множественные независимые аудиты безопасности (Quarkslab 2016 + 2018, финансируемые OSTIF) с устранением всех обнаруженных проблем; сильная криптография (AES-256, Serpent, Twofish, Kuznyechik, Camellia, каскады) с выведением ключей PBKDF2; уникальные функции правдоподобного отрицания скрытого тома + скрытой ОС (ни один альтернативный инструмент не предлагает их на потребительском уровне); поддержка названным оператором (Mounir Idrassi / IDRIX) с публичной личностью и более чем 10-летним опытом; документированные воспроизводимые сборки; поддержка аппаратного ускорения AES-NI; включён в справочник Privacy Guides. Последняя проверка: 2026-05-12.

Useful when. Вы пересекаете границы с конфиденциальными данными и хотите правдоподобного отрицания — функция скрытого тома VeraCrypt является каноническим смягчением для «покажите, что у вас на ноутбуке». Вы журналист, активист или правозащитник в юрисдикции, где принудительное раскрытие является реальной угрозой. Вы хотите полнодисковое шифрование на Windows или Linux, которое не является BitLocker (у которого были опасения по поводу депонирования ключей) или LUKS (который не предлагает скрытые тома). Вы хотите перевозить зашифрованные данные на USB-накопителе через портативный режим VeraCrypt — зашифрованный том + бинарный файл VeraCrypt путешествуют вместе, монтируются где угодно. Вы хотите каскады шифров для глубокоэшелонированной защиты от будущего криптоанализа (наложить AES + Serpent + Twofish). Вы хотите кроссплатформенный зашифрованный контейнер — файл `.hc`, работающий идентично на macOS, Windows, Linux. Вы работаете с глубоким архивным хранением конфиденциальных данных и хотите инструмент шифрования с самой длинной историей аудитов.

Caveats. Правдоподобное отрицание не является правовой защитой во всех юрисдикциях — в Великобритании (RIPA s.49), Франции (недавняя судебная практика) и других странах отказ раскрыть ключи дешифрования может сам по себе быть уголовным преступлением, независимо от того, можно ли доказать существование скрытого тома. Изучите местную правовую базу, прежде чем полагаться на скрытые тома как на защиту от принуждения. Операционная хрупкость скрытого тома — монтирование внешнего тома на чтение-запись *без* опции защиты скрытого тома может перезаписать сектора скрытого тома. Всегда используйте опцию «защитить скрытый том» при монтировании внешнего тома на чтение-запись или монтируйте только для чтения по умолчанию. Скрытая ОС только для Windows — Linux и macOS не имеют эквивалентной функции. Аутентификация до загрузки может не работать на системах с UEFI Secure Boot — VeraCrypt поддерживает UEFI, но некоторые конфигурации требуют отключения Secure Boot. Протестируйте, прежде чем полагаться на это. Накладные расходы на производительность — аппаратное ускорение AES-NI делает шифрование практически бесплатным на современных CPU, но каскады шифров (AES-Serpent-Twofish) накладывают три прохода шифрования, что медленнее; выбирайте одиночный AES для производительности, каскады для параноидальных моделей угроз. Требование резервного ключа восстановления — при полнодисковом шифровании системного раздела VeraCrypt предлагает создать Rescue Disk; если вы пропустите это и забудете парольную фразу, данные невосстановимы. Для монтирования требуется установленный VeraCrypt — зашифрованные контейнеры не могут быть смонтированы стандартными средствами ОС; вам нужен VeraCrypt на машине, которая их монтирует. Криминалистическое обнаружение — тома VeraCrypt выглядят как случайные данные, но наличие высокоэнтропийных данных на диске всё ещё обнаруживается криминалистическими инструментами как «здесь где-то есть зашифрованный том»; *содержимое* защищено, *существование шифрования* — нет. Ключевые файлы на том же диске, что и том, сводят на нет смысл — храните ключевые файлы на отдельном USB-накопителе или отдельном устройстве для получения преимущества в безопасности.