VeraCryptでWin10のOSディスクを暗号化
前回Windows10のBitLockerでOSが入っているディスクを暗号化しました。
BitLockerはWindowsのHOMEバージョンでは利用できません。代替のアプリにはVeraCryptがあります。
VeraCryptは無料のディスク暗号化アプリで、以前にUSBメモリを暗号化したことはありましたが、今回はOSディスクを暗号化してみます。また、使用していたPCが故障した際のディスクのレスキューもテストしてみました。
ダウンロードとインストール
Windows用のインストーラーはVeraCrypt公式ページにあります。
自身の環境にあわせたインストーラーをダウンロードします。ここではWindows10用だったので、「Installer for Windows 8 and later」と表記のある「VeraCrypt Setup 1.24-Update7.exe 」をダウンロードしました。
ダウンロードしたら起動してインストールします。使用する言語を聞いてきます。完全日本語化されているわけではなさそうですが、とりあえず日本語にを選びます。他はウィザードに従えば特に問題はないと思いますが、最後に表示される質問には「はい」と答えてください。Windowsの高速起動をOFFにしてもいいかの確認で、高速起動を設定していると問題があるということです。
OSドライブの暗号化
OSドライブの暗号化はウイザードに従って進めていきます。
アプリを起動し、システムタブより「システムパーテーション/ドライブの暗号化」を選択します。
2.「システム暗号タイプ」を選択します。「隠し」を選択するとOSディスクである事を隠せますが、ここでは「通常」にしました。
3.暗号化する領域をシステム(Windows)パーテーションだけにするか、システム入っているディスク全体にするかを決めます。ディスク全体を選択した際、そこにOS用のリカバリ領域等があるとそこへの通常アクセスができなくなってしまいます。ここではWindowsパーテーションだけにしました。
OSはシングルブートにしました。
暗号化のアルゴリズムを選択できますが、デフォルトのまま進めます。
パスワードの設定時は20字以下のパスワードは注意が出ます。併せてPIMを使うかどうかも設定できます。
やりすぎセキュリティ:「VeraCryptの設定とPIMでマウントを早くする使い方」によればPIMは暗号化の強度に影響する数値で、自分で設定すると設定値を覚えておく必要あります。
ランダムなデータを作成します、下のゲージが緑色になるまでマウスを動かします。
鍵の作成の確認をして進めます。
レスキューディスクを作成するための場所を聞いてきます。ここで作成されたisoイメージをディスクに書き込んでレスキュー用のOS起動させることで、ディスクの暗号化を解除できます。この時に使うPCは暗号化に使ったものでなくても、Windowsが入っていなくてもかまいません。
暗号化で失敗した場合に備えて、作成したイメージファイルはUSBメモリなど使用するPCの外に出しておきましょう。
予備検査のために再起動をするということなので従います。
テストでは真っ暗なコマンドライン表示になると思います。この画面で設定したパスワードを入力します。PIMは設定していなければ空白のままENTERを押します。ちなみに暗号化後は起動のたびにこの画面になりパスワードの入力を求められます。
パスワードが合っていれば、しばらくした後OSが起動されます。
VeraCrypt Boot Loader 1.24-Update?
Keybord Controls: [F5] Hide/Show Password and PIM [Esc] Skip Authenticateion(Boot Manager) Enter password: ******* PIM: (設定していなければ空白)
予備調査が成功したら暗号化を開始できます。
暗号化を開始します。筆者の環境では初期表示で約4時間と出ました。一晩放っておいたら朝には暗号化が終わっていました。
暗号化済ディスクのレスキュー
レスキューディスクを使う場合は、CD(DVD)をブートシーケンスの上位において解除したいディスクをつなげた状態でPCを起動させます。レスキューディスクは暗号化したディスク毎に中身が違うので複数ある場合は管理に注意してください。
レスキューディスクから起動すると、[F8:Repair]の項目が出現します。ここから暗号化解除ができます。
VeraCrypt Boot Loader 1.24-Update?
Keybord Controls: [F5] Hide/Show Password and PIM [Esc] Skip Authenticateion(Boot Manager) [F8] Repair Options Enter password: PIM:
F8で表示させたメニューから「1 Permanently decrypt system partition/drive」を選択して、起動時と同様にパスワードとPIMを入力します。
VeraCrypt Boot Loader 1.24-Update?
Available Repair Options: _________________________ [1] Permanently decrypt system partition/drive [2] Restore VeraCrypt Boot Loader [3] Restore key data (volume header) [4] Restore original system loader [Esc] Cancel To select, press 1-9: 1
「Windowsを起動できない場合にのみ使用してください。Windows経由で暗号化解除したほうが早いです」ということですが、故障したという仮定なのでそのまま進めます。パスワードを聞いてくるので、設定したパスワードを入力します。
VeraCrypt Boot Loader 1.24-Update?
... Enter password: ******* PIM: (設定していなければ空白) Verifying password...OK Use only if Windows cannot start. Decryption under Windows is much faster (in VeraCrypt, select 'System' > 'Permanently Decrypt'). Decrypt now? (y/n): y To safely interrrupt and defer decryption, press Esc. WARNING: You can turn off power only after you press Esc. Remaining: 376027MiB _
解除の状況は常に「Remaining」に表示されます。筆者の環境では10分に5Gぐらいのペースで解除が進んでいきました。
電源を切ったり中断するときはEscキーを押してくださいと書いてあります。正規に中断すれば次回再開は途中からになりますが、処理中に電源を落とすと最後に正規中断したところからになります。正常に復旧できなくなる可能性があるので、PCの電源を切るときは必ずEscキーで中断させましょう。
VeraCrypt Boot Loader 1.24-Update?
... (ESCキーを押す) Updating header...Done! decryption deferred
レスキューディスクを使ったリカバリーをするのは、Windowsが動かなくなった時なのであまりないケースかもしれませんが、暗号化解除をしただけでは起動時にパスワードの確認はなくなりません。Escキーを押せばパスワードの入力なしにWindowsを起動することはできますが、この状態を解除したい場合は先のRepair Optionsのページで「4 Restore original system loader」を選択します。
Restore original system loaderを選択すると、暗号化の解除が終わっているか、修正してもいいかの確認を求められます。
VeraCrypt Boot Loader 1.24-Update?
... Is the partition/drive decrypted? (y/n): y Modify drive 0? (y/n): y System loader restoreed.
これで暗号化前の状態に戻りました。