Толчком к глубокому изучению шифрования стало прибытие внешней комиссии, сующей нос не в свои дела. Пострадал сотрудник, вина которого не была доказана: парню просто предъявили, что на его флешке что-то нашли давнее плохое, - и не предоставили никаких доказательств найденного (даже флешку не вернули). Когда он всё это рассказывал - он заикался даже: так его вымурыжили.

Встал вопрос: как обезопаситься от такого рода параноидальных шизофреников, имеющих неограниченную власть. Использовать методы, где они не имеют власти: выколоть им глаза шифрованием VirtualBox - не найдут ничего и никогда. "Ой, а я пароль забыл!" - и всё, пусть трахаются с расшифровкой годами.

Шифрование VirtualBox, несмотря на его изобретение в далёком прошлом, имеет принципиально важные парадигмы, повышающие итоговую криптостойкость информации:
- политика неких открытых и закрытых ключей: зашифрованная виртуалка может быть открыта только на ОС, на которой проходило шифрование. Если целиком унести эту виртуалку за пределы ОС - даже при вводе правильного пароля, виртуалка не расшифруется. Это - одновременно и опасность: если накроется ОС - накроются все зашифрованные виртуалки. Но это легко обходится, например, хранением всех настроек виртуальных машин в разделе с ОС, а виртуальных дисков с информацией - в другом месте. В моём случае - тупо бакап каждой идеально настроенной ОС вместе с её конкретными виртуалками (бакапы, естественно, тоже зашифрованы - но уже функционалом TeraByte Image). Если же виртуалку надо перенести в другое место - дешифровка диска, корректный перенос незашифрованного диска, зашифровка уже на нужном месте;
- шифрование AES256: особо не удивишь - однако криптостойкость выше, чем у MD5. Еле-еле запустившаяся утилита взлома пароля hashcat (раз, два): показала скорость расшифровки MD5 ~5млрд паролей в секунду на стоковой GeForce GTX 1050 2016 года выпуска - в то время, как 7-Zip расшифровывался в 2.5млн раза медленнее (при этом шифруя тем же AES256). Напрямую скорость расшифровки VirtualBox получить не удалось: запустилась только старая версия утилиты, не знавшая о VirtualBox тогда ничего;
- правильный подбор длины пароля: минимум 11 символов, регистрозависимость, цифры, спецсимволы. Да даже номер банковской карты с амперсандом посередине - уже для расшифровщиков непосильная задача будет;
- слабое влияние на ЦП (пытался обнаружить высокую нагрузку, в сравнении с нешифрованной ОС, - не вышло);
- пароль Windows - можно сбросить за 5мин, независимо от его длины. Пароль шифрованного диска - ничем не скинуть.

Ложки дёгтя:

- шифрованные виртуальные диски - несжимаемые, требуются дополнительные накопители для хранения информации;

- миграция реальной ОС в виртуальную - очень больно для Linux и почти без проблем для Windows;

- шифрованная информация - монолитна. 1 битый сектор или ошибка файловой системы - и весь виртуальный диск может быть повреждён (с шифрованным образом TeraByte Image - дважды такая ситуация возникала).

(добавлено 01.07.2025) А ведь тут можно играться. С учётом, что передавать данные с виртуальных дисков по сети - медленно: разграничить настройки виртуалок и их диски нужно наоборот. Настройки - на сетевом ресурсе (тут и 100Мб/с хватит), виртуальные диски - каждый на компьютере нужного пользователя. И настройки-обманки разместить у этих пользователей: чтобы создать иллюзию, что виртуальная машина полностью локальная: вот и пусть взламывают с неправильным закрытым ключом.

(добавлено 05.07.2025) Если на диске создать виртуалку с диском 1ТБ, выбрать выделение полного места под виртуальный диск, а потом поставить шифрование диска - всё, на медленном носителе можно курить бамбук часа 3. Поэтому есть смысл сначала всё в виртуалку поставить - и шифровать в самом конце. К сожалению, автоматическое завершение работы ПК после шифрования - не предусмотрено.

Важный момент по паролям: пароль не должен храниться у пользователя и начальника. Первый может откинуться от возраста, второй потеряет бумажку с паролем за несколько месяцев (сымитированная ситуация, кроме смерти) - всё, к данным не добраться. Виртуалку пришлось сносить и пересоздавать заново - по накопленному за 3мес опыту (данных в ней ценных не было). Нужен кто-то 3-й, хранящий рабочие пароли дома: чтобы никакой любитель копаться в грязном белье других людей до них не добрался даже при обыске.

(добавлено 10.07.2025) После шифрования виртуалки - нужно затереть свободное место на её разделе: информация с нешифрованного виртуального диска - сохраняется.

Способ облегчить пользователям ввод сложных паролей от виртуалок: гибернация родительской ОС при уже запущенных дочерних ОС с введённым паролем - после пробуждения вообще никакие пароли вводить не надо. Для стационарных ПК подойдёт - но для ноутбуков крайне не рекомендуется.

(добавлено 24.07.2025) Интересный, но логичный, феномен произошёл:

- если переносить шифрованную виртуалку на другую ОС - да, она перестаёт загружаться даже при вводе правильного пароля;

- но так как во время миграции с Windows на Linux использовался раскатываемый на чистый диск один и тот же образ ОС - получается, везде ОС "одна и та же". Соответственно, алгоритмы шифрования VirtualBox работают не в пределах одного ПК - а в пределах всей комнаты, где этот образ был раскатан; и шифрованные виртуалки можно перетаскивать между ними без необходимости дешифровки.

(добавлено 14.08.2025) Шифрованный диск, даже после зануления свободного места: при копировании средствами VirtualBox - займёт тот же самый объём (логично). Но если расшифровать диск, занулить свободное место, скопировать диск, зашифровать скопированный - он может занять и 1/5 от объёма (зависит от того, как часто с ним работали в плане записи и удаления информации). Таким образом, рождается простой алгоритм хранения эталонных зашифрованных дисков; особенно когда свободное место ограничено.

(добавлено 20.08.2025) Общая папка внутри шифрованной виртуалки - повышение безопасности информации в ней.