Криптография в массы / Інформатика та побутова електроніка

Эту статью написал один из постоянных членов форума, который желает остаться инкогнито.

Чтобы скачать ее в PDF формате:

http://zalil.ru/31539552

Криптография в массы
или безопасность информации на физических носителях для всех

«Безопасность — процесс, а не результат»
«Мы должны защищаться не только с помощью силы,
но и с помощью математики»
Брюс Шнайер, всемирно известный криптоаналитик

Информация на физических носителях (внутренний жесткий диск компьютера/ноутбука, CD-диск, внешний жесткий диск, флешка, SSD-диск и т. д.) может представлять интерес для праздношатающихся людей, слишком любопытных людей, злоумышленников, представителей власти, конкурентов и просто дураков. Практически у каждого есть такая информация, которую нежелательно делать общедоступной. Свои секреты имеет домохозяйка, менеджер, журналист, небольшая фирма, крупная корпорация.
Здесь пойдет речь о защите информации на физических носителях. Пожалуй, средства, представленные здесь, при правильном использовании будут даже избыточны для рядового пользователя. Но, как говорится, много — не мало.
Для начала — некоторые факты компрометации информации на физических носителях:
1) в 2009 г. у известного нейрохирурга и ученого Андрея Слюсарчука украли 2 Тб его научных разработок, которые он хранил на жестких дисках компьютера. Ничего не взяли, кроме жестких дисков.
«Були викрадені результати п'ятнадцяти років моєї пекельної роботи. Наукові матеріали стосувалися дослідження мозку, роботи з пам'яттю, розвитку нейронауки. Там містилися мої гіпотези, коментарі, які можуть зробити виклик сучасній науці. Вони не були надруковані, ще тривав процес їх узагальнення. Практично, зникло все», — сокрушался тогда Слюсарчук и предполагал, что за этим могут стоять силовые структуры Украины;
2) в 2010 г. у львовского ученого-историка Руслана Забилого, помимо ареста и прочих неприятностей, изъяли ноутбук и внешние носители информации. Фрагмент интервью (4 марта 2011 г.):
«Як розвивається «епопея» з вилученими у Вас носіями інформації? Вам їх збираються повернути?..
16 лютого я був на допиті у слідчого СБУ в Києві. Це вперше після затримання у вересні минулого року. Ті носії інформації, які вилучені з Музею та особисто в мене опрацьовуються експертами СБУ. Експертиза незабаром має завершитися. Після цього слідчий пообіцяв розглянути питання повернення вилучених носіїв. Отже, ми сподіваємося, що вилучене повернуть, й з тією інформацією, яка на носіях зберігається»;
3) 12 января 2011 г. у журналистки Белозерской изъяли все носители информации и технику. «В рамках розслідування кримінальної справи щодо підпалу громадської приймальні Партії Регіонів у Печерському районі, відео якого невідомі розмістили на відеохостингу Youtube (а на сайті «Поряд з вами» та в особистому блозі Білозерської з'явилося текстове посилання на нього), квартиру Олени Білозерської обшукано київською міліцією, а всі журналістські технічні засоби (аж до «мильнички» її батька) було вилучено». Кстати, здесь можно заметить, какую глупость совершила Белозерская;
4) изъятие компьютеров, лэптопов и флешек у журналистов, особенно оппозиционных — не редкость:
«Могильов за вилучення комп’ютерів у журналістів, якщо ті мовчать» — http://www.helsinki.org.ua/index.php?id=1306225257 .
Вообще же, для следственных органов есть даже инструкции, как именно изымать и изучать носители информации и компьютеры. С примером такой (довольно топорной) инструкции-рекомендации можно ознакомиться здесь: http://kiev-security.org.ua/box/12/62.shtml ;
5) с изъятием компьютеров вместе с носителями информации теоретически может столкнуться множество организаций, как коммерческих, так и некоммерческих;
6) также никто не застрахован от случайной потери или кражи. Автор в 2010 г. потерял с флешку ценными данными, которые были незашифрованы. Возможная их компрометация стоила автору множества нервных клеток.
Имеет ли право дурак, злоумышленник, конкурент, СБУ, МВД, налоговая и таможня совать нос туда, куда вы не хотите? Решайте сами. Для тех, кто ответил себе «Нет!», и написана эта небольшая статья.
Решений для шифрования данных, как «на месте», так и «на лету», существует довольно много. В данной заметке пойдет речь о TrueCrypt, разработке TrueCrypt Foundation. Программа бесплатная, с открытыми исходниками, созданная группой энтузиастов. Проект поддерживается добровольными дотациями, а также (по интернет-слухам) силовыми ведомствами США, разработчики сотрудничают с многими известными криптоаналитиками. На время написания заметки последняя стабильная версия 7.0а, релиз которой состоялся 6 сентября 2010 г. Нестабильные и бета-версии TrueCrypt Foundation в паблик не выпускает из-за критичной важности отсутствия багов в таком софте.
Веб-сайт проекта: http://www.truecrypt.org
На нем можно скачать как саму программу, так и исходники.
Автор использует программу уже год на семи разных машинах. За всё время работы не было выявлено ни одного бага или даже недочета.
Программа написана на ассемблере (драйвера) и С++.
Список поддерживаемых ОС для полного шифрования системного раздела (на момент написания заметки):
* Windows 7
* Windows 7 x64 (64-bit) Edition
* Windows Vista (SP1 or later)
* Windows Vista x64 (64-bit) Edition (SP1 or later)
* Windows XP
* Windows XP x64 (64-bit) Edition
* Windows Server 2008
* Windows Server 2008 x64 (64-bit)
* Windows Server 2003
* Windows Server 2003 x64 (64-bit)

Список ОС, на которых работает не весь функционал TrueCrypt:

* Mac OS X 10.6 Snow Leopard (32-bit)
* Mac OS X 10.5 Leopard
* Mac OS X 10.4 Tiger
* Linux (32-bit and 64-bit versions, kernel 2.4, 2.6 or compatible)

Как начать работать с TrueCrypt?
Скачайте инсталлятор TrueCrypt с официального сайта:
http://www.truecrypt.org

Заметка на полях: не качайте дистрибутив с других сайтов, файлообменников и т. п. Есть небольшая вероятность получить битый, затрояненный дистрибутив, или, что еще хуже, дистрибутив с «бэкдором».
Запустите инсталлятор. При установке у вас будут две опции: инсталлировать TrueCrypt в систему или распаковать его в указанную папку. Второй вариант годится, если вы не намереваетесь зашифровывать системный раздел или использовать TrueCrypt с флешки. В нашем случае выберите «Install».
Заметка на полях: каждый шаг, который вы намереваетесь предпринять, программа по возможности подробно и обстоятельно описывает. Потому не запутаетесь. Вообще же, для TrueCrypt характерна прекрасная документированность. Практически все вопросы, которые могут возникнуть у пользователя, обстоятельно описываются в отличном мануале, который идет вместе с программой в PDF формате.
Также при установке рекомендуется отключить антивирусное ПО. Дело в том, что при установке TrueCrypt устанавливает драйвер шифрования/дешифрования. Драйвер подписан, но некоторые антивирусные пакеты могут ругаться на скрытую установку драйвера, ибо установка драйвера характерна для руткитов.
Опционально можно загрузить языковой пакет c официального сайта. Локализация на русский проведена очень хорошо, переведено всё, в т.ч. мануал для TrueCrypt. Но всё же, знающим английский на достаточном уровне я не рекомендую делать локализацию.
После инсталляции TrueCrypt предложит вам почитать мануал.
Запустите TrueCrypt с иконки на рабочем столе.

Сразу же, не отходя от кассы, зайдите в Settings – Preferences. В секции Actions to perform upon logon to Windows отметьте галочкой Start TrueCrypt Background Task. Теперь Truecrypt пропишется в автозагрузку для большего удобства.
Заметка на полях: это никак не повлияет на вашу защищенность. Просто теперь не нужно будет кликать по иконке на рабочем столе. TrueCrypt будет висеть в трее и памяти.
Можно приступать к работе с программой.
Зайдите Volumes – Create New Volume. Появится вот такое окно.

Здесь вы можете увидеть, что три основных функции программы: создавать закриптованные файловые контейнеры, полностью криптовать разделы (полностью зашифровать можно хоть флешку, хоть внешний винчестер), а также полностью шифровать системный раздел или диск.
Что выбрать?
Для максимальной безопасности я рекомендую полностью шифровать системный диск. У такого способа есть дополнительный бонус: никто не может запустить ваш компьютер, не зная пароля.
Заметка на полях: если на компьютере несколько ОС, кроме той, что вы хотите закриптовать, то другие ОС можно будет спокойно запускать и без пароля (хотя можно настроить и так, чтобы при предзагрузочной аутентификации требовался пароль в любом случае, ДО выбора операционной системы, но при этом учтите, что данные на незакриптованных разделах не будут в безопасности — эти разделы можно будет подмонтировать к другому компьютеру и спокойно в них рыться).
Давайте зашифруем весь системный диск, на котором покоится ваш Windows. Выберите Encrypt Entire System Partition or Entire System Drive.
На этом этапе на некоторых системах могут возникнуть сложности. Дело в том, что для предзагрузочной аутентификации загрузчику TrueCrypt надо не меньше 32 Кб в самом начале диска. Некоторые компьютеры, а особенно где ОС была установлена со сборки, не имеют этих самых 32 Кб. Совет тут один: нужно чуть «подвинуть» раздел с помощью любого софта, что работает с разделами и дисками.
TrueCrypt спросит о том, какой раздел вы хотите создать: обычный или «спрятанный». Пока что не вникая в детали, выберите Normal.

Заметка на полях: TrueCrypt имеет в своем арсенале мощный инструметарий т. наз. правдоподобного отрицания. Неотъемлемой его частью есть создание скрытых разделов. Скрытые разделы можно создавать в контейнерах, разделах. Можно даже спрятать целую систему. Но для прятания целой системы нужно выполнить несколько условий: должно быть как минимум два раздела жесткого диска (например, C и D), а также нужно будет создать систему-обманку. Этот инструментарий, пожалуй, слишком мощный для рядового пользователя; кроме того, он требует от пользователя определенной технической подготовки и понимания.
Далее TrueCrypt преложит вам закриптовать или системный раздел, или весь диск.

Учтите, что под Windows XP и ниже нельзя закриптовать целый диск, можно закриптовать лишь системный раздел. Дело в том, что Windows XP и ниже не поддерживают разбиение файловой системы (shrinking). Это создает определенные неудобства, если у вас есть несколько разделов на одном жестком диске (например,C и D). Потом, после криптования системного раздела (как правило, это C), вам придется закриптовать остальные разделы вручную. При криптовании остальных разделов из них придется выгрузить все данные, закриптовать, а потом закинуть данные обратно. См. как это сделать ниже.
Под Vista и Windows 7 таких проблем не будет — можно и даже рекомендуется криптовать системный диск полностью, а не каждый раздел по отдельности.
Если у вас только один раздел на диске, то TrueCrypt предложит вам зашифровать диск полностью. Соглашайтесь.

Далее TrueCrypt предложит закриптовать т. наз. Host Protected Area. Здесь стоит ответить No. На безопасность это практически не влияет, а криптование этой части диска (она, как правило, в конце) может вызвать проблемы с совместимостью.
Далее TrueCrypt спросит у вас: одна у вас операционка или несколько? В данной заметке предполагается, что ОС у вас одна. Мультисистемная машина при криптовании требует определенных предосторожностей, о чем и предупреждает TrueCrypt при выборе Multi-boot.

Заметка на полях: наличие нескольких ОС на машине редко суть результат насущной необходимости. Кому надо несколько ОС, тот, как правило, использует виртуальные машины, что намного удобнее установки кучи ОС, ведь каждой нужен свой раздел, не говоря уже о других сложностях. Как правило, это результат бестолковых переустановок системы, а также «творчество» разных аникейщиков. Поэтому, если остальные ОС вам фактически не нужны и существуют по принципу «чтоб было», то удалите их.
Далее TrueCrypt предожит выбрать алгоритм шифрования и алгоритм хэш-функции.

Если вы не знаете, что именно выбрать, то всё оставьте так, как есть. Для дополнительной информации по алгоритмам шифрования см.:
http://ru.wikipedia.org/wiki/Advanced_Encryption_Standard
http://ru.wikipedia.org/wiki/Twofish
http://ru.wikipedia.org/wiki/Serpent
http://www.ixbt.com/soft/alg-encryption-aes.shtml
Заметка на полях: вы вправе выбрать любой алгоритм шифрования (или их каскад) и любой алгоритм для хэш-функции. Но я рекомендую AES. Во-первых, на подавляющем большинстве систем он показывает наибольшую производительность (правда, на некоторых машинах, как правило одноядерных, немного лучшие результаты показывает Twofish). Вы можете убедиться в этом, кликнув по кнопке Benchmark в этом же окне. Во-вторых, некоторые новые процессоры Intel i5 и i7 поддерживают аппаратное шифрование с помощью AES, что еще больше повышает производительность (скорость шифрования/дешифрования возрастает в 6-8 раз). Во-третьих, успешной криптоатаки на AES до сих по не осуществлено; большинство криптоаналитических атак на AES пока лишь находятся в теоретической разработке. AES, по сравнению с Twofish и Serpent, имеет теоретически более низкую стойкость против криптоанализа. Twofish имеет сложную структуру, что крайне усложняет его криптоанализ, а Serpent — довольно простую и консервативную, но в нем целых 32 раунда. Все эти алгоритмы — финалисты конкурса AES. Вероятность того, что ваши данные смогут быть вытянуты с помощью криптоанализа — пренебрежительно мала. Криптоаналитиков в СНГ очень мало, да и те, что еще остались, вскоре выедут в Штаты. Кроме того, для криптоанализа нужны не только интеллект и знания (читай — соответствующие кадры), но и дорогостоящее оборудование, вычислительные мощности и время. Именно поэтому каскадные шифры (напр., связка AES-Twofish), представленные в TrueCrypt, фактически не нужны рядовому пользователю. Больше нужно заботиться о качестве и сохранности паролей и сохранности ключевых файлов.
При нескомпроментированности ключей и/или ключевых файлов, а также при их качественности (длина не меньше 16 символов — для пароля, хорошая энтропия и укромное место — для ключевого файла) ваши данные в 99.9999% случаев техническими средствами достать будет невозмоджно. Если вы сами того не захотите. Или вас не вынудят.
Далее идет очень важный этап — выбор пароля.

Пароль должен быть нетривиальным, с использованием верхнего и нижнего регистра, с цифрами. Пароль должен быть набран латинницей (американская/английская раскладка клавиатуры). Он не должен быть похож на ваши обычные пароли в интернете. При длине пароля длиною меньше 128 бит TrueCrypt выдаст предупрежение о том, что такой пароль легко ломается прямым перебором. Но не помешает поставить пароль хоть «1». В обычных условиях, качественного и нетривиального пароля в 16 символов вполне достаточно.
Далее подергайте мышкой в пределах окна TrueCrypt с десяток секунд. Это поможет насобирать программе случайный пул для генерации ключей.

Далее TrueCrypt сообщит, что ключи сгенерированы.
Потом идет еще один важный этап — создание Rescue Disc, т.е. диска для восстановления системы.

Создастся ISO образ, который нужно прожечь на CD или DVD болванку. Если вы не имеет под рукой пустой болванки и лень сейчас же бежать в магазин, то ничего страшного. Созданный ISO образ подмонтируйте каким-либо софтом вроде Daemon Tools Lite. Это нужно для того, чтобы TrueCrypt не ругался, что диск не был создан. Сам ISO образ обязательно сохраните на каком-либо внешнем носителе (флешке, внешнем харде и т. п.), а лучше на двух. Когда выдастся время, то потом запишете. Только не тяните.

Заметка на полях: Rescue Disc уникален для каждой закриптованной системы. Они не взаимозаменяемы. Учтите это, если будете критовать несколько систем.
Потом вам будет предложено перезаписывать сектора при криптовании.

В большинстве случаев можно выбрать None, если же вы реально обеспокоены, что ваши носители информации могут предать очень тщательному анализу, то выберите трехпроходную перезапись: 3-pass. Этого вполне достаточно, 7-pass и 35-pass — для сущих маньяков. Учтите, что существующие данные стерты не будут. Схема такова: чтение данных — перезапись псевдослучайными числами — запись закриптованных данных. Но в большинстве случаев это бессмысленно. Автор не знает случаев на практике, когда можно было восстановить данные, что были перезаписаны другими данными. Этим занимаются некоторые специализированные центры, и то без всяких гарантий и с низким процентов результатов.
После этого TrueCrypt объявит, что всё готово для криптования системы и сейчас будет тестовая перезагрузка. При этом загрузчик TrueCrypt будет прописан в загрузочный сектор. Распечатайте выскочившие инструкции, если хотите. При этом, на самом деле, никакого криптования не произойдет, и если что-то даст сбой, то можно будет легко вернуться в исходное состояние даже без использования Rescue Disc.
Перезагрузитесь.
Если всё будет хорошо (а так оно будет в 99% случаев), выскочит загрузчик TrueCrypt. Введите пароль, который вы назначили ранее. Нажмите Enter.
Всё, система загрузилась, как обычно.
Теперь TrueCrypt приступит к шифрованию ваших данных на разделе/диске. Во время этого вы можете работать, как обычно.

Желательно отключить антивирусное ПО — оно тормозит множественные операции дискового ввода/вывода. На это время отключите машину от интернета, чтобы не подхватить вредоносное ПО. Скорость криптования в большинстве случаев зависит от величины раздела/диска, и может варьироваться от (примерно) 5 минут до 48 часов. С перезаписью будет еще дольше.
При завершении шифрования вы увидите сообщение.

Всё. Теперь можно пользоваться машиной, как обычно, а все данные на ней, в т. ч. файл подкачки, гибернации и дампы памяти будут зашифрованы. Но желательно навести несколько финальных штрихов. Зайдите в System – Settings. Там есть очень полезная опция: Do not show any texts in the pre-boot authentication screen… Также снимите галочку Allow authentication to be bypassed… и поставьте напротив Cache pre-boot authentication password…

Заметка на полях: зачем пропускать аутентификацию по ESC? Правильно, фактически, незачем. У нас и так одна ОС; нажав ESC, мы снова ж таки можем загрузить только одну ОС, и снова таки попадем на аутентификацию — без пароля загрузчик не запустит закриптованную ОС. Кэширование пароля в оперативной памяти очень пригодится при использовании внешних закриптованных носителей, монтирования других разделов диска, монтировании контейнеров и пр., которые используют тот же пароль, что и система.
Опция скрытия интерфейса загрузчика при аутентификации также очень полезна. Там же можно прописать какой-нибудь свой текст. Например, “Missing operating system” или “Please wait…”.
Производительность системы практически не пострадает. Конкретный процент падения производительности зависит от того, какие задачи выполняет машина и что за железо в ней установлено. Практически, на семи моих машинах (самая слабая — PIII со скоростью шифрования/дешифрования 20 Мб/с, самая сильная — i5 с 210 Мб/с) работа TrueCrypt в 90% незаметна. TrueCrypt на лету шифрует/дешифрует данные, считывая закриптованные данные с носителя, расшифровывая их в оперативной памяти и храня их там «до востребования» программой. При этом TrueCrypt использует Pipelining (непрерывную подачу данных), причем также использует параллелизацию при наличии нескольких ядер и/или технологии Hyper-Threading (логические ядра). Поскольку в подавляющем большинстве случаев скорость декриптования процессором данных намного больше максимальной скорости чтения носителя, то никаких проблем с производительностью не возникает. Современные процессоры и так, по большинству, большинство времени простаивают без дела.
Где могут быть заметны тормоза от TrueCrypt?
Практика показала, что это: современные динамичные, тяжелые игры с нагрузкой на дисковую подсистему (особенно при нехватке оперативной памяти); редактирование видео.
На обычных офисных компьютерах, даже при использовании Фотошопа и CorelDraw, автор разницы за год ни разу не ощутил.
Теперь все ваши данные на жестком диске зашифрованы. Монтировать такой диск к другому компьютеру бесполезно: на нем, на первый взгляд, случайные данные, и он неотформатирован.
Заметка на полях: при детальном изучении квалифицированные исследователи смогут определить, что в загрузочном секторе есть загрузчик TrueCrypt. Но это лишь скажет им о том, что диск закриптован. Каким алгоритмом закриптован и сколько данных — исследователи определить не смогут. Для этого им нужно либо совершить удачный прямой перебор, либо провести криптоатаку, либо использовать пока что еще неизвестную уязвимость какого-либо из шифров, либо выведать это у собственника жесткого диска.
Но о каких «квалифицированных» исследователях можно говорить в 90% случаев, особенно в условиях СНГ? В большинстве случаев такой исследователь решит, что диск вышел из строя или неотформатирован. Вполне возможно, что он уничтожит данные, отформатировав носитель. Именно поэтому всегда нужно хранить бэкапы в сухом, комфортном месте.
Теперь наша система в безопасности. Давайте займемся внешними носителями.
Volumes – Create New Volume. Тут можна выбрать два варианта. Можно создать зашифрованный файловый контейнер, который можно потом монтировать как обычный раздел жесткого диска, выбрав для него букву (или, опционально, — как флешку). Можно полностью закриптовать носитель. В этом случае его оригинальная буква работать не будет, а будет работать присвоенная.

Чтобы монтировать файловый контейнер, выбирайте Volumes – Select File. Чтобы монтировать полностью закриптованный носитель или раздел, выбирайте Volumes – Select Device.
Заметка на полях: можно обьяснить на примере. Допустим, у вас есть флешка на 2 Гб. Она полностью закриптована. Когда вы ее монтируете, то ее оригинальная буква (допустим, это F) работать не будет. Будет работать та, на которую вы ее подмонтировали.
Давайте сначала создадим файловый контейнер, тем более что именно этот метод шифрования рекомендуется для шифрования. Volumes – Create New Volume. Далее выберите Create an encrypted file container. Тут можно выбрать две опции — создать обычный (Normal) или скрытый (Hidden) том. В любом случае, чтобы создать скрытый том, вам нужно будет сначала создать нормальный. Потому пока выберите обычный.
Заметка на полях: скрытые тома — это тома, что созданы внутри нормальных. Они созданы для правдоподобного отрицания, т.е. если вы реально опасаетесь, что у вас могут вынудить раскрыть пароли к вашим контейнерам. Их функционал избыточен для рядового пользователя. Подробнее см. мануал.
Далее выберите имя и путь к файлу, который станет файловым контейнером. НЕ ВЫБИРАЙТЕ для этого существующие файлы! Они от этого не зашифруются, а уничтожатся. Придумайте некий container.zip. На самом деле это не будет ZIP файлом, конечно.

Оп! TrueCrypt ругается, что мы используем расширение ZIP! Почему? Дело в том, что антивирусы и некоторый другой софт может конфликтовать, если под личиной EXE, DLL, ZIP, RAR файлов будет скрываться файл, наполненный (на первый взгляд) случайными битами. Можете поменять расширение на *.tc или любое другое, что не используется, например, *.cont.
Далее снова выбираем алгоритм шифрования и алгоритм вычисления хэш-функции.
Далее выбираем размер будущего файлового контейнера. Учтите, что если на хост-системе у вас FAT32, то вы не сможете создать контейнер больше 4 Гб.

Выберите надежный пароль и/или ключевые файлы. Чтобы использовать ключевые файлы, поставьте галку напротив Use keyfiles.
Ключевым файлом может быть какой угодно файл. Предпочтительно, чтобы это были файлы сжатых форматов (MP3, ZIP, RAR) для того, чтобы энтропия Для наивысшей безопасности и производительности можно использовать встроенный генератор ключевых файлов, который cделает для вас ключевой файл размером 64 байта с очень высоким уровнем энтропии.

Использование ключевых файлов необязательно. Но при использовании ключевых файлов необязателен и пароль! Вы можете использовать только пароль, только ключевой файл/файлы или то и другое.
Заметка на полях: использование ключевых файлов значительно усиливает криптографическую стойкость вашего контейнера или раздела. Это делает прямой перебор невозможным, а остальные типы криптоатак практически нереальными. Кроме того, использование ключевых файлов имеет еще одно преимущество. Злоумышленник может просто физически стоять у вас за спиной, поставить вам кейлоггер (аппаратный/программный — неважно), посмотреть, какие клавиши вы набираете на клавиатуре. Это может быть даже не злоумышленник, а, скажем, сослуживец, что стоит возле вас, когда вы монтируете том TrueCrypt. Ключевой файл нельзя «подсмотреть», им можно только физически завладеть, прям как ключами от квартиры.
Но при потере ключевого файла или файлов доступ к данным будет утрачен! Также ключевые файлы, в целом и общем, волне могут быть скомпрометированными: их можно скопировать, если злоумышленник знает, где они хранятся.
Далее TrueCrypt предложит вам отформатировать файловую систему новосозданного контейнера. Контейнеры до 4 Гб я рекомендую форматировать в FAT 32. Больше — в NTFS.

Также опционально том можно сделать динамическим («резиновым»), поставив галочку напротив Dynamic. Том будет автоматически увеличиваться, если данные, что в него попадают, превышают объем свободного места на нем. Но это снижает безопасность контейнера и производительность.
Подождите, пока контейнер отформатируется. Всё. Теперь его можно монтировать, используя пароль и/или ключевые файлы к нему. Volumes – Select File. Выберите файл там, где вы его сохранили при создании. Выскочит окошко аутентификации.

Заметка на полях: окошко аутентификации выскочит в любом случае, даже если вы выбрали неправильный файл. Вы легко можете в этом убедиться, попытавшись подмонтировать любой попавшийся вам файл. Дело в том, что TrueCrypt не ставит никакой сигнатуры на свои контейнеры; не зная пароля и/или не имея ключевых файлов, невозможно определить, что это TrueCrypt-контейнер. На первый взгляд, файл-контейнер состоит из случайных битов.
Можете поставить галку Cache passwords and keyfiles in memory. Это избавит вас от необходимости каждый раз набивать пароль и/или вставлять ключевые файлы на этот сеанс.
Файловые контейнеры удобны. Их можно копировать, перемещать и удалять как обычные файлы. Их можно пересылать по почте, ставить на файлообменники и прочее. В то же время, будучи подмонтированными, они ведут себя как реальные физические диски: их можно дефрагментировать, форматировать, проверять файловую систему.
Создание закриптованных разделов и устройств практически ничем не отличается от создания файловых контейнеров.

Есть, правда, один нюанс. Дело в том, что Windows XP и ниже не поддерживает разделение файловой системы. Потому, увы, чтобы закриптовать несистемный раздел/диск, нужно будет выгрузить куда-нибудь данные (очень желательно, чтобы это был внешний носитель, который тоже закриптован), отформатировать раздел, потом закинуть данные обратно.

После того, как вы закриптовали все нужные вам данные и сделали столько контейнеров, сколько вам необходимо подумать о резервном копировании. Бэкап, естественно, тоже должен быть закриптован. Если вы делаете бэкапы софтом типа Acronis True Image Home, снимая весь образ диска, то тут вы должны учесть, что в образ попадают незашифрованные данные со всего диска. Поэтому образ должен храниться на зашифрованном носителе, очень желательно — внешнем.
Также храните TrueCrypt Rescue Disc в надежном месте. С его помощью взломщик не сможет взять доступ к вашей системе — ему в любом случае понадобится пароль. Диск восстановления имеет много инструментов для восстановления данных, а также может раскриптовать вашу систему без загрузки.
Также вы можете раскриптовать свою систему в любое время, выбрав System – Permanently Decrypt System Partition/Drive.
Заметка на полях: в случае краха системы вы сможете подмонтировать ваш системный диск к любому другому компьютеру, установив на нем TrueCrypt, используя опцию System – Mount without pre-boot authentication. Это при условии, если не имеет место физический отказ жесткого диска. Поэтому очень важно продумать хорошую схему бэкапов и хранить резервные копии в сухом и комфортном месте.
Чтобы не скомпрометировать пароли и/или ключевые файлы, обязательно используйте качественное антивирусное ПО, а также соблюдайте прочие правила информационной безопасности.
Кстати, TrueCrypt можно использовать в разных целях. Например, в файловых контейнерах по электронной почте можно высылать важные данные и документы. Реципиент должен знать пароль и/или иметь ключевой файл или файлы, а лучше и то, и другое (пароль и ключевой файл/файлы вы можете передать по двум независимым каналам для большей надежности, если реципиент их не имеет).
Заметка на полях: можно показать на примере. Например, А хочет переслать Б очень важные документы. А делает контейнер с помощью пароля и ключевого файла, закидывает туда данные. Пароль и ключевой файл А может передать Б при личной встрече; может намекнуть на пароль, известный Б, а передать ключевой файл. Может сказать пароль, скажем, по телефону, а ключевой файл выслать по электронке. Множество ситуаций уникально, потому всё описать нельзя.
При правильном использовании достать ваши данные техническими средствами будет практически невозможно.