TrueCrypt oferuje dwie podstawowe „formy” szyfrowania danych. Można zdecydować się na stworzenie pliku, który będzie pełnił funkcję kontenera dla danych, albo wybrać szyfrowanie całej partycji. Szyfrowanie partycji systemowej jest pochodną drugiej formy, ale dość znacznie zmodyfikowaną, można więc uznać je za jeszcze jedną, trzecią formę szyfrowania danych. Zostaną one po kolei opisane w kolejnych rozdziałach.

Pliki-kontenery są idealne, jeżeli chcemy nasze dane kopiować pomiędzy partycjami i dyskami oraz przenosić na inne komputery. Wówczas zamiast wpisywać hasło w i kopiować pliki z zaszyfrowanej partycji, możemy skopiować cały plik-kontener.

Przypuśćmy, ze chcemy zaszyfrować plik zdjęcia.zip o pojemności 3GB, a następnie przenieść jego zawartość na pen drive’a (wybór pliku o tej pojemności jest nieprzypadkowy – przyda się w dalszej części artykułu). Przypuśćmy, że trzymamy ten plik na partycji E w katalogu… CDRinfo :)

Po otwarciu programu należy wybrać zakładkę „Wolumeny”, a następnie „Utwórz Nowy Wolumen…”

Po kliknięciu pojawi się Kreator tworzenia wolumenów TrueCrypt. Interesująca nas opcja – „Utwórz kontener plikowy” – jest już zaznaczona, możemy więc przejść dalej.

Następnie Kreator zapyta nas, czy chcemy utworzyć wolumen standardowy, czy ukryty (w tym wypadku interesuje nas pierwsza opcja).

Kreator zapyta nas, gdzie ma być położony nasz wolumen. W tym momencie należy pamiętać o bardzo ważnej rzeczy – Kreator pyta nas, gdzie stworzyć kontener, do którego chcemy skopiować nasze dane, a nie o to, gdzie jest plik z tymi danymi! Stworzony, lub wybrany przez nas plik będzie sformatowany – dlatego koniecznie musi to być plik inny niż ten, który chcemy szyfrować!

W tym wypadku stworzony został plik w tym samym katalogu, w którym znajdują się spakowane zdjęcia, ale dla łatwego rozróżnienia ma on inną nazwę i inne rozszerzenie. Tworzonemu kontenerowi można nadać dowolną nazwę i dowolne rozszerzenie, wcale nie musi to być rozszerzenie .tc. Program odradza tylko wybór niektórych specyficznych typów rozszerzeń:

Okno takie pojawi się przy wyborze rozszerzeń, które mogą powodować problemy z pracą z woluminem (na przykład program antywirusowy widząc „nietypowy” plik .exe może go blokować, nie wiedząc, czy nie zawiera wirusa). Jeśli po wybraniu rozszerzenia pojawi nam się ten komunikat, najlepiej zmienić je na inne.

Nadszedł czas, żeby ustalić algorytm szyfrujący. Do wyboru są algorytmy AES, Serpent i Twofish. Można wybrać szyfrowanie za pomocą różnych sekwencji tych algorytmów (szyfrowanie najpierw jednym, potem uzyskane dane kolejnym), co powinno skutkować absurdalnym wręcz poziomem bezpieczeństwa, jednocześnie jednak bardzo obciąża procesor komputera.

To, jak komputer poradzi sobie z poszczególnymi metodami szyfrowania można sprawdzić, wybierając opcję „Test porównawczy”.

Po teście (który odbywa się w pamięci RAM, żeby jego wyniki nie były uzależnione od ograniczonej prędkości dysku twardego) wyświetli się okno z wynikami, domyślnie uszeregowanymi od najwyższego do najniższego. Warto zauważyć, że w wersji 5.1 TrueCrypta, proces szyfrowania i deszyfrowania danych odbywa za pomocą algorytmu AES odbywa się szybciej niż w przypadku algorytmu Twofish, który dotąd był wydajniejszy. Jeszcze w wersji 5.0 średnia dla algorytmu AES ledwie przekraczała 60MB/s – różnica jest więc znaczna.

Przy wyborze algorytmu warto jest wziąć pod uwagę wyniki testu – obecne dyski mają rzeczywiste transfery często przekraczające 80, a nawet 100MB/s, więc użycie zbyt silnej metody szyfrowania może doprowadzić do spowalniania komputera, który nie będzie w stanie wykorzystać ich potencjału. Co prawda najnowsze procesory potrafią szyfrować dane szybciej niż na przykładzie powyżej, ale należy pamiętać, że te wartości spadną dwukrotnie, jeśli będziemy chcieli przenieść lub skopiować dane z jednej zaszyfrowanej partycji na drugą – wówczas procesor będzie musiał kolejno przeprowadzić operację deszyfrowania i ponownego szyfrowania. Ponadto proces ten wiąże się z obciążeniem procesora, a więc spadkiem wydajności komputera w czasie odczytywania/zapisywania danych z i na dysk.

Obecnie 256-bitowy algorytm AES wciąż jest uznawany za „silny” (czyli nie znaleziono innego sposobu na jego złamanie, jak tylko użycie techniki Brute Force) i jego używanie powinno zapewnić skuteczną ochronę dla umieszczonych na dysku informacji. Także algorytmy Twofish i Serpent są dziś określane jako silne. Sytuacja ta może ulec zmianie, jeśli ktoś opracuje metodę na złamanie któregoś z tych szyfrów, czyli odczytania danych bez znajomości hasła, ale na razie nic nie wskazuje, że ma to szanse szybko nastąpić.

Kolejnym krokiem jest określenie rozmiaru wolumenu. Z oczywistych powodów nie może mieć on pojemności mniejszej, niż łączny rozmiar wszystkich danych, jakie chcemy na nim zapisać. W tym przypadku chcemy zapisać plik o pojemności dokładnie 3GB (czyli 3072 MB), więc minimalny rozmiar tworzonego pliku nie może być mniejszy niż ok. 3080 MB (zawsze należy zostawić parę wolnych megabajtów, które w części zostaną wykorzystane przez system). Ja, aby zostawić trochę wolnego miejsca, stworzę plik o wielkości 3,5GB (czyli 3,5 x 1024 = 3584MB).

Po wybraniu algorytmu pora na kluczową wręcz kwestię – wybór hasła. Hasło musi spełniać dwa warunki, żeby było naprawdę skuteczne.

Po pierwsze musi być długie. Jest to zabezpieczenie przed wspomnianą metodą Brute Force, która polega na tym, że program łamiący hasło sprawdza po kolei różne hasła w kolejności alfabetycznej. Biorąc pod uwagę, że hasło może składać się z dużych i małych liter, cyfr oraz znaków specjalnych, wydłużenie hasła o jeden tylko znak spowoduje, że czas potrzebny na jego złamanie wzrośnie parudziesięciokrotnie. Jeżeli na przykład bardzo szybki komputer będzie w stanie sprawdzić w ciągu sekundy 100 000 haseł, to złamanie 5-znakowego hasła zajmie mu 22 godziny, 6-znakowego – 90 dni, a 7-znakowego – ponad 20 lat.

Po drugie hasło powinno być skomplikowane. Druga z istniejących metod znajdowania haseł, zwana słownikową, korzysta z faktu, że wielu użytkowników aby ułatwić sobie życie układa hasła proste do zapamiętania, czyli np. wyrazy lub krótkie zdania, imiona, nazwy miejsc czy przedmiotów. Wyrazów takich jest nieporównanie mniej, niż wszystkich losowych kolejności losowo wybranych znaków, przez co złamanie takich haseł, nawet długich, jest znacznie szybsze. Sprawdzane są kolejno różne wyrazy znajdujące się w specjalnie przygotowanej bazie i ich sekwencje. Nie należy się tu oszukiwać – dodanie przed, w czy po haśle dodatkowej cyfry czy znaku (.hasło, hasło6, ha@sło), niewiele zmieni – silniki szukające są na takie (i znacznie bardziej skomplikowane) ewentualności przygotowane, a takie metody tylko nieznacznie wydłużają czas potrzebny na znalezienie odpowiedniego hasła. Dla porównania – sprawdzenie wszystkich możliwych kombinacji haseł złożonych tylko i wyłącznie z małych liter, ale wciąż losowo, a nie logicznie ułożonych zajmie komputerowi z poprzedniego przykładu:

• 5 i pół minuty – w przypadku 5-znakowego hasła,
• niecałe 3 godziny – w przypadku hasła o długości sześciu znaków,
• ok. 4 dni – gdy hasło będzie miało 7 znaków.

Pod hasłem znajduje się jeszcze opcja użyj pliku-klucza, nią jednak zajmiemy się potem.

Jeśli zdecydujemy się na użycie hasła krótszego niż 20 znaków, Kreator zapyta nas, czy jesteśmy pewni swojego wyboru. Program umożliwia tworzenie haseł o długości do 64 znaków.

Teraz zostaniemy zapytani, jaki format plików ma mieć tworzony przez nas wolumen, oraz jaki ma być rozmiar klastra. Można również w tym miejscu określić, że chcemy stworzyć wolumen dynamiczny - wówczas wielkość podana przez nas wcześniej będzie maksymalną wielkością tego wolumenu, w przypadku zaś jeśli będziemy na nim przechowywać mniej danych, jego rozmiar zmniejszy się. Nie powinno się jednak używać tej opcji, gdyż wpływa ona negatywnie zarówno na wydajność wolumenu, jak i na bezpieczeństwo danych. Teraz powinno się jeszcze przez jakiś czas poruszać chaotycznie myszą po ekranie, w celu wygenerowania klucza nagłówka i klucza głównego.

Po określeniu wszystkich parametrów można rozpocząć formatowanie wolumenu. Jeśli używamy pliku, który już istnieje, Kreator jeszcze raz ostrzeże, że operacja doprowadzi do sformatowania pliku na „czysty” wolumen, a nie zaszyfrowania go. Wielość tego typu komunikatów jest trochę męcząca, ale za to może przyczynić się do uniknięcia tragicznej w skutkach pomyłki.

Formatowanie wcale nie musi przebiegać z prędkością równą prędkości uzyskanej w teście porównawczym – zależy ona bowiem również od dysku twardego, który (jak w tym przypadku) może stanowić „wąskie gardło” dla wydajności procesu szyfrowania.

Proces tworzenia wolumenu zakończy się stosownym komunikatem. Po nim pojawi się ekran z zapytaniem, czy chcemy stworzyć kolejny wolumen, czy zakończyć działanie Kreatora.