オープンソースの暗号化フリーソフト、「VeraCrypt(ヴェラクリプト)」のよく使用するであろう設定を紹介するので、「目次」をうまく活用されたし。
まだインストールしていなかったり、ボリュームの作成は以下の記事を参照。
ボリュームを選択した状態でできる設定
「ファイルの選択」のことで、変更する際は必ず指定しておこう。
パスワードの項目でPIMやキーファイルも同時に設定できるが、わかりやすいように個別で説明していく。
パスワードの変更
ボリュームを選択した状態で「ボリュームパスワードの変更」に進むと、パスワードの変更ができる。
PIMの設定
「ボリューム作成の時点」で付けられるが、ここでは「PIMの設定を追加する方法」を紹介。
パスワードの変更ウィンドウの「新規」Use PIMにチェックを入れる。
この番号はパスワードと同様「毎回入力」することになるので必ず覚えておこう。
今までチェックを入れなかったデフォルトの状態が485となっており、マウント時の処理を早くしたいならそれ以下を、セキュリティを高めたいなら485以上の数字を入れよう。
485以下にすると「セキュリティが低下するからパスワードを強烈なのにしてね」、485以上にすると「デフォルトより大きい数字入ってるけど遅くなるから注意してね」という注意表示が出現し、「はい」をクリックしよう。
これでPIMの設定が完了し、「マウント時にPIMの入力」が増えた。
PIMの削除
PIMをデフォルトに戻したいなら空欄にするだけでOK。
キーファイル追加
次に「またマウスグリグリ?」かと思いきや、キーファイルの名前などを選択できる表示が出現する。
拡張子はボリュームと違い、エラーにならないので自由に付けられるぞ。
あとはマウントするときのパスワード入力画面で、「キーファイル」を同じように選択するだけだ。
保存場所も自由に変更して構わない。
キーファイル解除
上記の設定からも解除はできるが、専用の機能があるのでそちらを使う。
「ボリュームから全てのキーファイルを削除」を選択。
各種設定
「設定」→「各種設定」を紹介する。
ただし、項目を見れば意味を理解できるもの(自動アンマウント)、よくわからないもの(VeraCryptの常駐・ログオン時に自動的に実行する内容)は無視する。
デフォルトのマウントオプション
ボリューム全体が「読み取り専用でマウント」・「リムーバブルメディアとしてマウント」になってしまう。
一応個別設定でき、その場合はパスワード入力画面右下の「マウントオプション」からしよう。
ただし、個別にした場合はチェックが記憶されないので、「常時書き込みできない状態にして間違えてファイルを変更するのを防止」といった使い方はできない。
Windows
他のOSはどうなっているか不明。英語も翻訳しておいた。
- マウント成功時にそのボリュームのウィンドウを開く(チェック推奨)
- Make disconnected network drives available for mounting(切断されたネットワークドライブをマウント可能にする)
- Don’t show wait message dialog when performing operations(操作を実行するときに待機メッセージダイアログを表示しない)
- Use Secure Desktop for password entry(パスワード入力にSecure Desktopを使用する)
Secure Desktop(セキュアデスクトップ)はパスワードの盗聴、いわゆる「キーロガー対策」だが、パスワード管理ソフト(KeePass)を使用した自動入力が発動しなくなる(コピペは可)。
パスワード20桁以上のガチ勢にはちょっとキツイので、自分の環境と相談しよう。
パスワードの記憶
- Temporarily cache password during “Mount Favorite Volumes” operations(「お気に入りのボリュームをマウント」操作中に一時的にキャッシュ・パスワードを設定する)
- Include PIM when caching a password(パスワードをキャッシュするときにPIMを含める)
翻訳したが、よくわからなかったので無視。
USBやOS丸ごと暗号化
正直仮想コンテナ運用だけで事足りるが、もしやりたいのであれば以下の記事が役に立つ。
パスワード管理ソフトで20桁以上自動入力
KeePassならウィンドウを選択し、以下のような動作で入力することが可能。
個人的にはほぼセットで使うようなものなので、他のパスワード管理ソフトをお使いでも、VeraCrypt専用に設定するのはありだ。
セキュリティ意識の強化
VeraCryptを使うということはセキュリティ意識が比較的高めの方だろう。
以下の記事で人間の脆弱性を更に潰すか、復習してレベルアップを図るといい。
コメント
ちょっと気になるのでコメントさせていただきますが
キーファイルは、パスワードの一種と言う認識で問題無いですが、
どちらかというと、データを隠して保存するって用途では無く
外付けドライブをPCにマウントしていて、それが盗まれた際や、中古で売却する際にデータの復旧を妨げる用途用です
PCの内蔵ドライブにキーファイルを保存しておき、パスワード無しで運用しても、キーファイルが無いとマウント出来ませんので、外付けドライブの盗難や売却時の初期化の手間が減らせます(大容量HDDだと1回ランダムデータでワイプするだけでも1日仕事になりますから)
逆のパターンとして、キーファイルをUSBメモリに保存しておき、PCにそのUSBメモリが刺さってないと使えなくするって方法もあります
このような使い方であればパスワードが不要のため自動マウント出来、ディスク単体での盗難時や廃棄時は安全という状況を作る事が出来ます
非常にわかりやすく、しっくりきたため、「キーファイルの追加」の最初の方に、このコメントの案内を追加しました∩(・∀・∩