• sourceforge.net/projects/veracrypt/
VeraCrypt on pätevä kryptattujen tiedostojen luomiseen. Tiedostot voi luoda ja avata VeraCryptillä ikäänkuin "virtuaalisina kiintolevyinä" joiden sisältö on kuitenkin salattu. Salausta voi tarvittaessa tehostaa monin keinoin, kuten laittamalla pitkän ja väärin kirjoitetun salalauseen, ison PIM:n, erikseen vaadittavan avaintiedoston ja piilovolumen volumen sisällä. Pienet VeraCrypt-volumet voi piilottaa samaa kokoluokkaa olevien bulkkitiedostojen sekaan, esimerkiksi pelin tallennustiedostojen, nimeämällä ne samoin ja sijoittamalla samaan sijaintiin.

Taviskäyttäjälle, jonka perässä Mustat Helikopterit ei ole, ja jolla on tapana hukkailla kännireissuilla muistitikkuaan riittää kuitenkin perusvoluumi perussalasanalla tyyliin "wapaamuurari.0lawi".

Kannattaa tallentaa VeraCryptin "portable"-versio mukaan muistitikulle, jotta voi reissuillaan suoraan avata ja sulkea tiedostonsa myös kavereiden koneita käyttäessä ja toisaalta kannattaa jättää suurin osa tikusta vapaaksi tiedostoille, jotka ei sisällä yhtään mitään henkilökohtaista (yhdessä katsottavat elokuvat, kaverille kopioitavat pelit ym), koska suurin osa isoista mukana kulkevista tiedostoista tahtoo tällaisia olla.

Mutta kuvitellaan skenaario, jossa sinulla on äärimmäisen arkaluontoista dataa ja olet tavallinen, persaukinen siviili-ihminen, jolla on tavallinen laitteisto, eikä kontakteja Systeemiin ja sen isokenkäisiin. Data on tarkoitus antaa Hyvälle Tohtorille, joka on matkalla maahan Alfa Centaurista. Hyvä Tohtori saa sen avulla kehitettyä ihmiskuntaa hyödyttävän Taikatöpselin, joka kykenee tuottamaan päästötöntä energiaa 50 000 maapallon tarpeisiin. Sen datan perässä on valitettavasti myös Ulkoavaruuden Saalistaja, ja mikäli tämä saa datan haltuunsa, seuraukset ovat kauheat; paha keisari syö kaikilta pään, verisilmä purskahtaa ja galaksit räjähtää sekä katoaa. Olisi siis suuri askel ihmiskunnalle, mikäli Hyvä Tohtori saisi datan haltuunsa, mutta toisaalta kaikki tuhoutuisi Ulkoavaruuden Saalistajan saadessa datan.

Tämä on silloin hyvä modus operandi:

– VeraCrypt pitkin salalausein (esim. Mustan Raamatun sivun 6 rivi 6 takaperin, korvaten kaikki välimerkit, välilyönnit ja skandit luvulla 6) isoin PIM-luvuin ym.
– Erillinen tietokone, jolla ei voi edes saada internet-yhteyttä
– Ei kiintolevyä tietokoneeseen, vaan data sijaitsee USB-muistitikulla, jos sitä on tarkoitus muokata, tai DVD-levyllä, jos sitä on tarkoitus vain lukea muokkaamatta. Syynä tähän on se, että USB-muistitikku ja varsinkin DVD-levy on helpompia tuhota fyysisesti hätätilanteessa.
– Kone käynnistetään erilliseltä DVD-levyltä, jolta käyttöjärjestelmä ladataan RAMmiin. Ainoa tapa peukaloida DVD-levyä on korvata se salaa kokonaan uudella levyllä, joka näyttää samalta ja joka toimii päällepäin samoin.
– Em. boottaavan DVD-levyn salaa vaihtamisen estämiseksi, levyn md5sum otetaan sen luomisen jälkeen ylös ja tarkistetaan se joka kerta ennen boottaamista.


• sourceforge.net/projects/dban
DBAN päällekirjoittaa kaiken datan kiintolevyltä. Se siis poistaa käyttöjärjestelmää myöten aivan kaiken pysyvästi, jokaiselta partitiolta, mutta ei tee kiintolevystä "uusiokäyttökelvotonta" kuten rälläköinti tai vastaavat fyysiset metodit.

Kun kiintolevyltä tuhotaan tavanomaisin keinoin dataa, ei se tuhoudu oikeasti, vaan sen voi palauttaa. "Formatointi" ei tuhoa dataa myöskään, päällekirjoitus tuhoaa. Jos datan haluaa pyyhkiä niin, ettei esimerkiksi Suomen poliisi saa sitä auki, yksi päällekirjoituskerta riittää, tai jos olet paranoiaa taipuvainen, ainakin DBANin "autonuke"-toiminto, joka on melko nopea myös, ja jossa on muutama päällekirjoituskerta.

Tämä on anekdotaalista, mutta USDoD-tasoiset tekijät olisi mahdollisesti saaneet päällekirjoitettua dataa palautettua, näiden operaatioiden ollessa hyvin kalliita ja niitä tehdäänkin "vain kansallisen turvallisuuden tähden". Samoin 90-luvun alun ja sitä vanhemmat MFM/RLL-kiintolevyt saattavat olla vastustuskykyisempiä päällekirjoitukselle ja niihin kannattaa käyttää suosiolla "Gutmann-metodia" joka tekee 35 päällekirjoitusta.

USB-muistitikut ja SSD-levyt toimivat eri tavoin, ja päällekirjoitus toimii niihin kyllä jossain määrin, mutta ei täysin, ja useat metodit ei edes välttävästi. Kalifornian yliopiston nörtit testailivat tätä joskus vuonna 2010, joten data on vanhaa ja sen soveltuvuus nykyajan tallennusvälineisiin ei välttämättä ole paikkansapitävää, mutta heidän kokeissaan USB-muistitikuille toimi HDD-levyille tarkoitetuista päällekirjoitusmetodeista parhaiten British HMG IS5 (Base.) ja SSD-levyille US DoD 5220.22-M.


• pkgs.org/download/secure-delete
• srm.sourceforge.net
• learn.microsoft.com/en-us/sysinternals/downloads/sdelete
"Arkiseen" tiedostojen tai tyhjän levytilan päällekirjoitukseen, jotka käyttö- ja tiedostojärjestelmästä riippuen toimivat kyllä kiintolevyihin, mutta eivät "täydellisesti". Vapaan kiintolevytilan päällekirjoitus kannattanee tehdä erilliseltä, vaikkapa DVD:ltä tai USB:ltä boottaavalla käyttöjärjestelmällä.


• launchpad.net/ubuntu/jammy/+package/age
• age-online.com
• github.com/FiloSottile/age
AGE on hyvä tekstin kryptaukseen, ja kryptattu tuotos on tekstiä, tai pikemminkin kirjainsotkua, jota voi lähettää vaikka sähköpostiviestissä, koska se kuitenkin koostuu kirjaimista ja muista tavallisista merkeistä kuten tekstikin. Kuin PGP, mutta helppokäyttöinen, yksinkertaistettu versio ilman ylimääräistä sähellystä. Yhdistelmällä VeraCrypt+AGE pääsee pitkälle, eli omalle VeraCrypt-voluumille talteen private key yhteen tiedostoon, public key toiseen tiedostoon ja shell script, joka muuttaa VeraCrypt-voluumille tallennetun salattu.txt:n avattu.txt:ksi, jonka se edelleen tallentaa VeraCrypt-voluumille. Kuvatkin voi salata AGEn avulla, jos ne ensin muuttaa base64:ksi.


• libreoffice.org
Jos AGE on liian vaikea, niin LibreOfficella saa tehtyä varsin hyvin salattuja dokumentteja. Etuna on myös se, että näihin voi sisällyttää tekstin lisäksi kuvaa ja muuta krumeluuria, ja haittana toisaalta, että näitä pitää myös lähettää liitetiedostona eikä niitä voi lähettää plaintextinä, kuten AGE-kryptattua dataa (jota taas sitten pystyisi lähettämään vaikka vanhan ajan SMS-tekstiviesteinä tai kirjoittamaan kirjeeksi ruutupaperiin, eli ilman internet-yhteyttä tai edes puhelinta). LibreOfficella on paha tapa tehdä backuppeja tiedostoista, joten suosittelen tekemään valmiin pohjan, salasanasuojatun tauski.odt:n, johon olet copypastettanut vaikka Korsoraattorin läpi ajetut Tauskin lyriikat tekstinä. Kun sitten haluat tallentaa oikeaa sisältöä salattuna, teet eri nimisen kopion tuosta Tauskin diskografiatiedostosta, avaat sen ja muokkaat siitä halutunlaisen. Näin kaikki väliaikaistiedostot pysyvät salattuina.