VeraCryptの設定とPIMでマウントを早くする使い方

HDDの設定

オープンソースの暗号化フリーソフト、「VeraCrypt(ヴェラクリプト)」のよく使用するであろう設定を紹介するので、「目次」をうまく活用されたし。

まだインストールしていなかったり、ボリュームの作成は以下の記事を参照。

スポンサーリンク

ボリュームを選択した状態でできる設定

「ファイルの選択」のことで、変更する際は必ず指定しておこう。

ファイルを選択した状態にする
これから3つの設定とPIMを紹介

パスワードの項目でPIMやキーファイルも同時に設定できるが、わかりやすいように個別で説明していく。

パスワードの変更

ボリュームを選択した状態で「ボリュームパスワードの変更」に進むと、パスワードの変更ができる。

ボリュームパスワードの変更
パスワード変更
VeraCryptに対応していない文字をパスワードに設定できないので、ANSI文字など特殊なものは使わないようにしよう。
マウスをグリグリしてセキュリティを高める

PIMの設定

マウント時の反復回数を操作し、処理を重くしてセキュリティを上げたり、セキュリティを下げて高速にする設定のこと。

「ボリューム作成の時点」で付けられるが、ここでは「PIMの設定を追加する方法」を紹介。

パスワードの変更ウィンドウの「新規」Use PIMにチェックを入れる。

この番号はパスワードと同様「毎回入力」することになるので必ず覚えておこう。

PIMの追加
PIMの数値入力

今までチェックを入れなかったデフォルトの状態が485となっており、マウント時の処理を早くしたいならそれ以下を、セキュリティを高めたいなら485以上の数字を入れよう。

試しに半分か、1に減らしてみるといい。ただし、パスワードが20桁以上じゃないと「485以下」にできない。最後に紹介するパスワード管理ソフト必須の機能だろう。

485以下にすると「セキュリティが低下するからパスワードを強烈なのにしてね」、485以上にすると「デフォルトより大きい数字入ってるけど遅くなるから注意してね」という注意表示が出現し、「はい」をクリックしよう。

強烈なパスワードを使っているか聞かれる
マウスをグリグリしてセキュリティを高める

これでPIMの設定が完了し、「マウント時にPIMの入力」が増えた。

『バグ?』私の環境だけかもしれないが、PIMを設定した状態でパスワードを記憶させるマウント方法だと、マウントする前にすごく硬直し、結局パスワード入力を求められる。

PIMの削除

PIMをデフォルトに戻したいなら空欄にするだけでOK。

新しいPIMの欄を空欄にする
マウスをグリグリしてセキュリティを高める

キーファイル追加

ボリュームへのキーファイルの追加
キーファイルをクリック
ランダムキーファイルの生成をクリック

次に「またマウスグリグリ?」かと思いきや、キーファイルの名前などを選択できる表示が出現する。

拡張子はボリュームと違い、エラーにならないので自由に付けられるぞ。

2022/4/4追記:キーファイルの理想的な使い方

とてもわかりやすいコメントを頂いたので、意味があるのか悩んだら、一度見てみるといい。

参考匿名さんのコメント

すごくしっくりくる。

カモフラージュできるオススメ拡張子一覧:png・jpg・zip・mp3・aviや、他のソフトで使用している拡張子。
キーファイルを生成する
とりあえずデスクトップに保存
作成したキーファイルを選択してOK
またOKを押して完了
マウスをグリグリしてセキュリティを高める
全体的にグリグリ過多だが、このグリグリは大切なグリグリなので、なかったことにはできない。また、このグリグリをなくす設定は知らない。

あとはマウントするときのパスワード入力画面で、「キーファイル」を同じように選択するだけだ。

保存場所も自由に変更して構わない。

パスワードの一部なので、紛失や変更をしたらマウントできなくなると覚えておこう。

キーファイル解除

上記の設定からも解除はできるが、専用の機能があるのでそちらを使う。

「ボリュームから全てのキーファイルを削除」を選択。

ボリュームから全てのキーファイルを削除
削除と書いてあるが解除のことなので安心しよう。
現在のパスワードを入れてキーファイル選択
解除したいキーファイルを選択
マウスをグリグリしてセキュリティを高める
スポンサーリンク

各種設定

「設定」→「各種設定」を紹介する。

各種設定へ進む
各種設定

ただし、項目を見れば意味を理解できるもの(自動アンマウント)、よくわからないもの(VeraCryptの常駐・ログオン時に自動的に実行する内容)は無視する。

デフォルトのマウントオプション

ボリューム全体が「読み取り専用でマウント」・「リムーバブルメディアとしてマウント」になってしまう。

一応個別設定でき、その場合はパスワード入力画面右下の「マウントオプション」からしよう。

マウントオプション

ただし、個別にした場合はチェックが記憶されないので、「常時書き込みできない状態にして間違えてファイルを変更するのを防止」といった使い方はできない。

Windows

他のOSはどうなっているか不明。英語も翻訳しておいた。

  • マウント成功時にそのボリュームのウィンドウを開く(チェック推奨)
  • Make disconnected network drives available for mounting(切断されたネットワークドライブをマウント可能にする)
  • Don’t show wait message dialog when performing operations(操作を実行するときに待機メッセージダイアログを表示しない)
  • Use Secure Desktop for password entry(パスワード入力にSecure Desktopを使用する)

Secure Desktop(セキュアデスクトップ)はパスワードの盗聴、いわゆる「キーロガー対策」だが、パスワード管理ソフト(KeePass)を使用した自動入力が発動しなくなる(コピペは可)。

パスワード20桁以上のガチ勢にはちょっとキツイので、自分の環境と相談しよう。

パスワードの記憶

  • Temporarily cache password during “Mount Favorite Volumes” operations(「お気に入りのボリュームをマウント」操作中に一時的にキャッシュ・パスワードを設定する)
  • Include PIM when caching a password(パスワードをキャッシュするときにPIMを含める)

翻訳したが、よくわからなかったので無視。

スポンサーリンク

USBやOS丸ごと暗号化

正直仮想コンテナ運用だけで事足りるが、もしやりたいのであれば以下の記事が役に立つ。

スポンサーリンク

パスワード管理ソフトで20桁以上自動入力

KeePassならウィンドウを選択し、以下のような動作で入力することが可能。

KeePassを使ったVeraCrypt自動入力

個人的にはほぼセットで使うようなものなので、他のパスワード管理ソフトをお使いでも、VeraCrypt専用に設定するのはありだ。

すでにKeePassをお使いの方へ:「上位のANSI文字」を含んだパスワードを設定できないため、普通のパスワードにしよう。
スポンサーリンク

セキュリティ意識の強化

VeraCryptを使うということはセキュリティ意識が比較的高めの方だろう。

以下の記事で人間の脆弱性を更に潰すか、復習してレベルアップを図るといい。

電車内の覗き見・盗み見対策、モロ見えデンジャラス
【合法】正しく偽名・偽個人情報を入力して本名を守る

コメント

  1. 匿名 より:

    ちょっと気になるのでコメントさせていただきますが
    キーファイルは、パスワードの一種と言う認識で問題無いですが、

    どちらかというと、データを隠して保存するって用途では無く
    外付けドライブをPCにマウントしていて、それが盗まれた際や、中古で売却する際にデータの復旧を妨げる用途用です

    PCの内蔵ドライブにキーファイルを保存しておき、パスワード無しで運用しても、キーファイルが無いとマウント出来ませんので、外付けドライブの盗難や売却時の初期化の手間が減らせます(大容量HDDだと1回ランダムデータでワイプするだけでも1日仕事になりますから)

    逆のパターンとして、キーファイルをUSBメモリに保存しておき、PCにそのUSBメモリが刺さってないと使えなくするって方法もあります

    このような使い方であればパスワードが不要のため自動マウント出来、ディスク単体での盗難時や廃棄時は安全という状況を作る事が出来ます

    • ぷっぷ より:

      非常にわかりやすく、しっくりきたため、「キーファイルの追加」の最初の方に、このコメントの案内を追加しました∩(・∀・∩