先週、機密データの保護に役立つ 、シンプルだが強力に暗号化された TrueCrypt ボリュームをセットアップする方法を説明しました 。今週はさらに深く掘り下げて、暗号化されたデータを暗号化されたデータ内に隠す方法を紹介します。
隠しボリュームとは何ですか?
ほとんどの人は、暗号化の概念にすでに慣れています。単純または複雑な暗号化スキームを使用して、データが何らかの方法でシフトされ、復号化しないと元の状態に戻らなくなります。単純なボーイスカウトマニュアル暗号の場合でも、強化された軍用レベルの暗号化アプリケーションの場合でも、基本原理は同じです。暗号化されていないデータが入力され、暗号化メカニズムが適用され、暗号化されたデータが出力されます。
納税申告書のようなものを保護する場合は、強力な暗号化を中心に構築されたシンプルなワークフローで十分です。結局のところ、誰もあなたの税務情報にアクセスできないようにしようとしているのではなく (結局のところ、政府はすでにすべての情報をファイルに保存しています)、コンピュータが盗まれた場合に個人情報の盗難から身を守ろうとしているだけなのです。そのためには 、TrueCrypt を使い始めるための以前のガイド に従えば、完全に満足できるでしょう。
しかし、どうしても隠しておきたいデータがある場合はどうすればよいでしょうか?深いプライバシー意識、多少の偏執症、あるいは腐敗した政府からの迫害に対する正当な恐怖のためであっても、単純な暗号化の使用には重大な欠陥があり、それがこの XKCD 漫画でユーモラスに強調されています。
あなたが暗号化されたボリュームを持っていることを相手が知っている場合、何らかの方法でその暗号化ボリュームのパスワードを提供するよう強制することができます。結局のところ、暗号化されたファイル コンテナまたはハード ドライブをすでに所有している場合、データが暗号化されていることを否定することはできません。
このような状況、またはデータの存在を完全に否定できるほどデータを徹底的に暗号化したい場合、何ができるでしょうか?インセプションの暗号バージョンのようなもので、さらに深くデータを隠したい場合はどうすればよいでしょうか?この目的を達成するために、「隠しボリューム」として知られる暗号化の概念に注目します。これは、先週使用方法を示した TrueCrypt ソフトウェアに便利なツールとして含まれています。
TrueCrypt ボリュームを作成すると、ボリュームの外側からはボリューム全体がランダム データの巨大なブロックのように見えます。ボリュームの内容を解読する以外に、内容を明らかにする方法はありません。ファイルと空きスペースは同様に一様にランダムです。隠しボリュームはこのランダム データを利用し、クロークとして使用します。結局のところ、暗号化されていないボリュームがランダム データのように見え、暗号化されていないボリューム上の空き領域がランダム データのように見える場合、そのランダム データを使用して追加の暗号化されたボリュームを隠すのは簡単です。
この目的を達成するには、合理的に暗号化できるファイル (個人的な通信、税務書類、クライアント ファイルなど) を親暗号化ボリュームに入れ、その中に隠してネストし、実際の個人情報を格納する検出不可能なボリュームを作成します。 (ジミー・ホッファの遺体の GPS 座標、コカ・コーラのレシピ、エリア 51 での休暇の写真など) 明らかにすることができない、または明らかにしたくない。
では、どうやって隠しボリュームにアクセスするのでしょうか?親ボリュームをマウントするときは、パスワード (および場合によってはキー ファイルなどの追加の検証) を入力する必要があります。親ボリュームの正しいパスワードを入力すると、親ボリュームがマウントされます (税務書類が公開されます)。隠しボリュームをマウントするには、親ボリュームのパスワードの代わりに隠しボリュームのパスワードを入力する必要があります。次に、TrueCrypt はセカンダリ ボリューム ヘッダーをセカンダリ パスワードと照合して、隠しボリュームをマウントします。繰り返しますが、隠しボリュームは、親ボリューム内の空のランダムなスペースと完全に区別できません。
隠しボリュームの技術的側面と TrueCrypt での実行について詳しく知りたい場合は、 ここでこの詳細な説明を詳しく読む ことができます。それ以外の場合は、隠しボリュームの構築を始めましょう。
TrueCrypt を使用して隠しボリュームを作成する
隠しボリュームを作成するには 2 つの方法があります。1 つ目の方法は、完全にゼロから開始して、新しい親ボリュームと隠しボリュームを同時に作成する方法です。 2 番目の方法は、既存の親ボリューム内にネストする新しい隠しボリュームを作成することです。親ボリュームの作成方法はすでに説明したので、中断したところから再開します。親ボリュームをまだ作成していない場合は 、TrueCrypt の使用を開始するためのガイドにアクセスして 、アプリケーションに慣れ、親ボリュームを作成することをお勧めします。今回はプロセスをそれほど深く掘り下げないため、一括オプションを使用する予定がある場合でも、ざっと読んでおくことをお勧めします。
親ボリューム内に暗号化されたボリュームを作成するには、TrueCrypt を起動する必要があります。親ボリュームはマウントしないでください。親ボリュームを開いた場合は、少し時間をかけてマウントを解除してください。親ボリュームがマウントされている間は、隠しボリュームを作成することはできません。
「ボリューム – > 新しいボリュームの作成」 をクリックして、ボリューム作成ウィザードを起動します。前のガイドと同様に、 [暗号化されたファイル コンテナーの作成] を 選択します。次のステップでは、 [非表示の TrueCrypt ボリューム] を選択し、次に [ダイレクト モード] を 選択します。
注: 親ボリュームと隠しボリュームを同時に作成する場合は、 通常モード を選択します。唯一の違いは、既存のボリュームを開いてその中に隠しボリュームを作成する代わりに、ウィザードを 2 回実行することです。
次のステップでは、隠しボリュームをネストする既存の TrueCrypt コンテナを選択するよう求められます。先週のチュートリアルで作成したのと同じコンテナーを選択しました。
プロンプトが表示されたら、そのボリュームのパスワードを入力します (キー ファイルなどの追加の検証を使用している場合は、実際に使用するためにボリュームをマウントする場合と同じように、今すぐそのパスワードを使用する必要があります)。 TrueCrypt は親ボリュームをスキャンして最大サイズを決定します。
隠しボリュームのサイズを指定したら、 親ボリュームを作成した ときとまったく同じボリューム作成プロセス (暗号化とハッシュ タイプ、ボリューム サイズ、パスワード、ファイル システムなどの選択) を繰り返します。ボリューム サイズとは別にとパスワードを使用すると、元のボリュームで使用した設定を再利用できます。ボリュームのサイズとパスワードについては、親ボリュームを引き続き使用できるように十分なスペースを残しておくことが重要です (これについては後で詳しく説明します)。 4.4 GB のボリュームがあり、そのうちの 1 GB を隠しボリュームに割り当てました。 また、親ボリュームに使用したパスワードとは大幅に異なるパスワードを使用することが重要です 。適切な設定をすべて選択し、強力なパスワードを選択したら、ドライブをフォーマットします。
ドライブが作成されたら、ウィザードを閉じてメインの TrueCrypt インターフェイスに戻ります。隠しボリュームをマウントします。親ボリュームを開く場合と同様に、ボリューム ファイルに移動します。 [ファイルの選択] をクリックし、ファイルを選択して、 [マウント] をクリックします。 パスワードの入力を求められたら、親ボリュームの パスワードではなく、隠しボリュームのパスワードを入力します 。 TrueCrypt は隠しボリュームをマウントし、[タイプ] 列にそれが「隠し」ボリュームであることを示します。さあ、埋めるべき極秘の Spy Guy ファイルをすべて埋め込んでください。
親ボリュームを安全にマウントする手順を説明するので、少し時間をかけて隠しボリュームをマウント解除してください。親ボリューム上のランダム データ内に実際のデータが隠蔽されたので、その隠されたデータを保護するために正しくマウントすることが重要です。
親ボリュームを選択してパスワードを入力するだけではなく、 「ボリューム」 –> 「オプションを使用してボリュームをマウント」 に移動します。次のメニューがポップアップ表示されます。
[隠しボリュームを保護する…] にチェックを入れてパスワードを入力し、[OK] をクリックします。これらの手順に従わない場合、親ボリュームでの作業中に、誤って隠しボリュームの一部を上書きして破損する可能性があります。 親ボリュームにデータを書き込む場合は常に、Hidden Volume Protection を有効にする必要があります 。これで、親ボリュームのデータに安全にアクセスできるようになりました。
親ボリュームがその目的のためにのみ存在するかのような錯覚を生み出すために、適切なおとりデータ (通常の人が暗号化したいと思うデータ) を保存するために親ボリュームを使用し続けることが重要です。コンテナーフィルが頻繁にアクセスされ、変更されるが、中にあるファイルが 5 年前の税務書類だけである場合、もっともらしい否認は枠外になります。
隠しボリュームの詳細については、 隠しボリューム に関する TrueCrypt のドキュメントと付属のサポート ドキュメントを必ず確認してください。
