VeraCryptの設定とPIMでマウントを早くする使い方

HDDの設定
この記事は約6分で読めます。

オープンソースの暗号化フリーソフト、「VeraCrypt(ヴェラクリプト)」のよく使用するであろう設定を紹介するので、「目次」をうまく活用されたし。

まだインストールしていなかったり、ボリュームの作成は以下の記事を参照。

スポンサーリンク

ボリュームを選択した状態でできる設定

「ファイルの選択」のことで、変更する際は必ず指定しておこう。

ファイルを選択した状態にする
これから3つの設定とPIMを紹介

パスワードの項目でPIMやキーファイルも同時に設定できるが、わかりやすいように個別で説明していく。

パスワードの変更

ボリュームを選択した状態で「ボリュームパスワードの変更」に進むと、パスワードの変更ができる。

ボリュームパスワードの変更
パスワード変更
VeraCryptに対応していない文字をパスワードに設定できないので、ANSI文字など特殊なものは使わないようにしよう。
マウスをグリグリしてセキュリティを高める

PIMの設定

マウント時の反復回数を操作し、処理を重くしてセキュリティを上げたり、セキュリティを下げて高速にする設定のこと。

「ボリューム作成の時点」で付けられるが、ここでは「PIMの設定を追加する方法」を紹介。

パスワードの変更ウィンドウの「新規」Use PIMにチェックを入れる。

この番号はパスワードと同様「毎回入力」することになるので必ず覚えておこう。

PIMの追加
PIMの数値入力

今までチェックを入れなかったデフォルトの状態が485となっており、マウント時の処理を早くしたいならそれ以下を、セキュリティを高めたいなら485以上の数字を入れよう。

試しに半分か、1に減らしてみるといい。ただし、パスワードが20桁以上じゃないと「485以下」にできない。最後に紹介するパスワード管理ソフト必須の機能だろう。

485以下にすると「セキュリティが低下するからパスワードを強烈なのにしてね」、485以上にすると「デフォルトより大きい数字入ってるけど遅くなるから注意してね」という注意表示が出現し、「はい」をクリックしよう。

強烈なパスワードを使っているか聞かれる
マウスをグリグリしてセキュリティを高める

これでPIMの設定が完了し、「マウント時にPIMの入力」が増えた。

『バグ?』私の環境だけかもしれないが、PIMを設定した状態でパスワードを記憶させるマウント方法だと、マウントする前にすごく硬直し、結局パスワード入力を求められる。

PIMの削除

PIMをデフォルトに戻したいなら空欄にするだけでOK。

新しいPIMの欄を空欄にする
マウスをグリグリしてセキュリティを高める

キーファイル追加

ボリュームへのキーファイルの追加
キーファイルをクリック
ランダムキーファイルの生成をクリック

次に「またマウスグリグリ?」かと思いきや、キーファイルの名前などを選択できる表示が出現する。

拡張子はボリュームと違い、エラーにならないので自由に付けられるぞ。

カモフラージュできるオススメ拡張子一覧:png・jpg・zip・mp3・aviや、他のソフトで使用している拡張子。
キーファイルを生成する
とりあえずデスクトップに保存
作成したキーファイルを選択してOK
またOKを押して完了
マウスをグリグリしてセキュリティを高める
全体的にグリグリ過多だが、このグリグリは大切なグリグリなので、なかったことにはできない。また、このグリグリをなくす設定は知らない。

あとはマウントするときのパスワード入力画面で、「キーファイル」を同じように選択するだけだ。

保存場所も自由に変更して構わない。

パスワードの一部なので、紛失や変更をしたらマウントできなくなると覚えておこう。

キーファイル解除

上記の設定からも解除はできるが、専用の機能があるのでそちらを使う。

「ボリュームから全てのキーファイルを削除」を選択。

ボリュームから全てのキーファイルを削除
削除と書いてあるが解除のことなので安心しよう。
現在のパスワードを入れてキーファイル選択
解除したいキーファイルを選択
マウスをグリグリしてセキュリティを高める
スポンサーリンク

各種設定

「設定」→「各種設定」を紹介する。

各種設定へ進む
各種設定

ただし、項目を見れば意味を理解できるもの(自動アンマウント)、よくわからないもの(VeraCryptの常駐・ログオン時に自動的に実行する内容)は無視する。

デフォルトのマウントオプション

ボリューム全体が「読み取り専用でマウント」・「リムーバブルメディアとしてマウント」になってしまう。

一応個別設定でき、その場合はパスワード入力画面右下の「マウントオプション」からしよう。

マウントオプション

ただし、個別にした場合はチェックが記憶されないので、「常時書き込みできない状態にして間違えてファイルを変更するのを防止」といった使い方はできない。

Windows

他のOSはどうなっているか不明。英語も翻訳しておいた。

  • マウント成功時にそのボリュームのウィンドウを開く(チェック推奨)
  • Make disconnected network drives available for mounting(切断されたネットワークドライブをマウント可能にする)
  • Don’t show wait message dialog when performing operations(操作を実行するときに待機メッセージダイアログを表示しない)
  • Use Secure Desktop for password entry(パスワード入力にSecure Desktopを使用する)

Secure Desktop(セキュアデスクトップ)はパスワードの盗聴、いわゆる「キーロガー対策」だが、パスワード管理ソフト(KeePass)を使用した自動入力が発動しなくなる(コピペは可)。

パスワード20桁以上のガチ勢にはちょっとキツイので、自分の環境と相談しよう。

パスワードの記憶

  • Temporarily cache password during “Mount Favorite Volumes” operations(「お気に入りのボリュームをマウント」操作中に一時的にキャッシュ・パスワードを設定する)
  • Include PIM when caching a password(パスワードをキャッシュするときにPIMを含める)

翻訳したが、よくわからなかったので無視。

スポンサーリンク

USBやOS丸ごと暗号化

正直仮想コンテナ運用だけで事足りるが、もしやりたいのであれば以下の記事が役に立つ。

スポンサーリンク

パスワード管理ソフトで20桁以上自動入力

KeePassならウィンドウを選択し、以下のような動作で入力することが可能。

KeePassを使ったVeraCrypt自動入力

個人的にはほぼセットで使うようなものなので、他のパスワード管理ソフトをお使いでも、VeraCrypt専用に設定するのはありだ。

すでにKeePassをお使いの方へ:「上位のANSI文字」を含んだパスワードを設定できないため、普通のパスワードにしよう。
スポンサーリンク

セキュリティ意識の強化

VeraCryptを使うということはセキュリティ意識が比較的高めの方だろう。

以下の記事で人間の脆弱性を更に潰すか、復習してレベルアップを図るといい。

電車内の覗き見・盗み見対策、モロ見えデンジャラス
修行すれば手の動きで入力内容を確認したり、毎日同じ時刻・車両に乗っているなら個人を狙うこともできる。よう...
【合法】正しく偽名・偽個人情報を入力して本名を守る
受け取るのはデータだけなのに「住所入力必須」など、必要のない情報は嘘をいれるべきだ。この方法は道徳心にソコソコ傷を入...

コメント

  1. tom より:

    非常に初歩的な質問で申し訳ないのですが
    そもそも「キーファイル」とは何ですか?

    • ぷっぷぷっぷ より:

      「もう一つの鍵」……かな?
      パスワードが1つ目、キーファイルは2つ目です。
      このキーファイルをローカル(オフライン)の他の場所に閉まっておけば、パスワードが漏洩しても、キーファイルは漏洩を免れているので、仕事をします!

  2. tom より:

    ありがとうございます

  3. 匿名 より:

    いつも拝見させております。VeraCryptの事で質問があります。

    外付けHDDをPCに常時接続しており、PCのCドライブと同じパスワードで暗号化しています。
    外付けHDDのボリュームをシステムお気に入りに登録しているのですが、PC起動時に自動でマウントしてくれません。後で写真(1)という形で載せますが、ログオン後にパスワードの手動入力を求められる状態です。
    少し調べたところ高速セットアップが有効になっているとダメみたいな記事を見ましたが、自分の場合無効になっているのでそれで改善しませんでした。

    設定の写真(2)を載せるので何か気になるところがありましたら、教えていただけると助かります。。。

    写真(1) DLPASS 7777
    https://dotup.org/uploda/dotup.org2643929.jpg.html

    写真(2) DLPASS 7777
    https://dotup.org/uploda/dotup.org2643931.jpg.html

    よろしくお願いいたします。

    • ぷっぷぷっぷ より:

      すみませんが、何かをダウンロードする系はjpgでもしないので、それっぽいことをお答えします(゚~゚o)

      外付けHDDをPCに常時接続しており、PCのCドライブと同じパスワードで暗号化しています。
      外付けHDDのボリュームをシステムお気に入りに登録しているのですが、PC起動時に自動でマウントしてくれません。後で写真(1)という形で載せますが、ログオン後にパスワードの手動入力を求められる状態です。

      難しい!それっぽいのはこれかな?
      https://sourceforge.net/p/veracrypt/discussion/technical/thread/4932c2cb5c/
      https://www.reddit.com/r/VeraCrypt/comments/jdo48b/noob_trying_to_mount_an_external_hard_drive/
      まったく役に立っていなくてすみません(゚´Д`゚)゚。

      • 匿名 より:

        パスワードの記憶というところがありますが、これの自動アンマウントの際に記憶していたパスワードを消去にチェックが入っているとダメでしょうか?
        てっきり、BIOSで求められたパスワードを使ってログイン後に自動マウントしているものかと思っていましたが、
        実際は過去に入力したパスワードを記憶しておいて自動マウントしているのでしょうか?

        • ぷっぷぷっぷ より:

          細かな仕様はわからないのと、その環境を作るのが大変なので、確かめられないです。
          申し訳ありません(゚´Д`゚)゚。

          • 匿名 より:

            結論から言うとパスワードに@が混ざっていたのが原因でした。
            biosではUS配列なので[になるのですが、非システムパーティションの暗号化時に@だったので、パスワードが違っていた感じですね。

            もし今後同じような人が訪ねてきたら教えてあげてください!
            お騒がせしました。

            • ぷっぷぷっぷ より:

              見つけたのがすごすぎる( Ꙭ)
              なるほど、色々起動前だから、常識外の答えになっちゃうのですね……。
              これは後世に語り継がれる解決な気がする!

  4. tom より:

    VeraCrypt で20文字以上の長いマスターパスワードを使っています。
    PCはWindows10のデスクトップ機です。
    しかし、PCを起動するたびにこの長いパスワードを入力するのが少々手間です。
    KeePassを使うと、KeePassのマスターパスワードが必要になるので
    KeePassを使う以外で、セキュリティを犠牲にする事なく
    VeraCryptの長いパスワードを省力、または簡素化する方法は
    無いでしょうか?
    Bitwarden は指紋認証が使えるから便利なんですが・・・・。

    • ぷっぷぷっぷ より:

      Bitwardenのデスクトップ版って、オフライン自動入力に対応していないはずなので、無理ですね(゚~゚o)
      ずーっと手動コピペになっちゃいます。
      自分専用のキーボードショートカットを作り、Bitwarden起動 → 指定のVeraパスコピー → Veraにカーソルを自動で合わせて入力!まですべてキーボードでいけそうだけど、やったことないです。
      でも、最初に調べる順番はこれのはず!

      あとは、KeePassの指紋認証かな?マスターパスワードに使えるか不明ですが、もし使えたらKeePass起動にマスターパスワード、VeraにはKeePass自動入力コマンドで結構簡単にできそう。
      欠点は、指紋認証が第三者開発ってとこですかね……。

  5. tom より:

    よくわかりました
    ありがとうございます!

タイトルとURLをコピーしました