company_banner

Создание зашифрованного диска с «двойным» дном с помощью Veracrypt

  • Tutorial


VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров.

В этой статье мы рассмотрим интересную возможность VeraCrypt для создания зашифрованного диска со скрытым разделом, этот метод, также называемый методом «двусмысленного шифрования», обеспечивает возможность правдоподобного отрицания наличия второго тома, т.к. не обладая нужным паролем, доказать существование скрытого тома не представляется возможным.

Создание ключевого файла


Для работы с зашифрованным разделом наличие ключевого файла не является обязательным, но если защищать данные по-максимуму, то лишним не будет, например, как еще один фактор для обеспечения достаточно высокой стойкости к принуждающим атакам, также известным как «метод терморектального криптоанализа».


В данном случае предполагается наличие двух ключевых файлов на внешних носителях, один из которых будет хранится в достаточно надежном месте, например, в защищенной банковской ячейке.

Вторая же копия при возникновении угрозы уничтожается. Таким образом, даже если наличие скрытого раздела стало известно, а пароль от него извлечен методом силового воздействия — без ключевого файла доступ к зашифрованной информации получить не удастся.

В VeraCrypt есть инструмент для генерации ключевого файла, позволяющий создать файл со случайными данными заданного размера. Для этого необходимо запустить из меню Сервис — Генератор ключевых файлов, задать необходимое количество ключевых файлов и их размер, и сгенерировать энтропию, совершая хаотичные движения мышкой. После этого сохранить ключевой файл (в нашем случае, также сделав и его копию).

Создание зашфированного раздела


Для того чтобы создать скрытый зашифрованный раздел, нужно сначала подготовить обычный (внешний) зашифрованный том. Для его создания запустим из меню СервисМастер создания томов.

Выберем "Зашифровать несистемный раздел/диск", что бы создать зашифрованный диск (в моем случае это небольшой SSD диск). Если отдельного диска нет, можно использовать "Создать зашифрованный файловый контейнер", т.к. он будет в дальнейшем смонтирован как виртуальный диск, все последующие инструкции справедливы и для него.

Тип тома зададим "Скрытый том Veracrypt", режим тома «Обычный» (т.к. мы создаём новый том). В размещении тома нужно выбрать диск, на котором будет создан зашифрованный том, в случае создания файлового контейнера, нужно будет указать место, где этот файл создать.

Режим создания тома "Создать и отформатировать" если диск пустой, или "Зашифровать на месте", если на диске уже есть данные, которые нужно зашифровать.

Алгоритм шифрования оставляем AES, т.к. несмотря на наличие возможности выбрать один из пяти алгоритмов шифрования, AES является достаточно надежным и быстрым (в VeraCrypt поддерживается и включено по умолчанию аппаратное ускорение этого алгоритма, при использовании процессоров, имеющих набор инструкций AES-NI).

Средняя скорость шифрования/дешифрования в памяти (12 потоков, Апп. ускорение AES включено, Мб/c, больше-лучше):


Зададим надежный пароль (как выбрать надежный пароль мы рассказывали в этой статье).
Интересный факт: пароль “самого разыскиваемого хакера”, использовавшего полное шифрование дисков, Джереми Хэммонда, был именем его кошки: “Chewy 123”;

Перед форматированием тома потребуется совершить несколько хаотичных движений мышкой, что бы создать необходимый уровень энтропии для шифрования. Опцию «быстрое форматирование» не следует использовать, так как предполагается создание скрытого раздела. Если не предполагается хранение больших файлов (>4Гб), тип файловой системы рекомендуется оставить FAT.

Создание скрытого тома


В мастере томов выберем "Зашифровать несистемный раздел/диск". Режим тома "Скрытый том VeraCrypt". Режим создания "Прямой режим". Выберем устройство или контейнер, зашифрованные на предыдущем шаге. Введем созданный ранее пароль и нажмем "Далее".

Укажем тип шифрования для скрытого тома. Как и выше, я рекомендую оставить настройки по умолчанию. На данном этапе мы можем добавить использование ключевого файла, как дополнительной меры защиты.

На следующем шаге определим сколько места "забрать" у основного тома для создания скрытого тома. Дальнейший процесс настройки тома, аналогичен настройке внешнего тома.

Подключение внешнего тома


Монтирование тома может занимать некоторое время, это связано с большим количеством итераций при генерации ключа, что повышает стойкость при атаках «в лоб» в десятки раз.

Для подключения внешнего тома нажмем "Смонтировать", откроем "Параметры" и установим опцию "Защитить скрытый том от повреждения при записи" и укажем пароль и ключевой файл от скрытого тома.


Опцию защиты при монтировании внешнего тома необходимо включать, так как скрытый том является частью внешнего, и запись во внешний том без защиты может повредить скрытый том. В том случае, если вас заставляют смонтировать внешний том силовым методом (против которого этот механизм и был создан), то, естественно, вы его монтируете как обычный том, и VeraCrypt не будет показывать что это внешний том, он будет выглядеть как обычный.

Во внешнем томе можно разместить информацию, которая будет выглядеть или быть отчасти чувствительной, в то время как все самое ценное будет храниться на скрытом томе.

Подключение скрытого тома


Для подключения скрытого тома, нажмем «Смонтировать», укажем пароль и ключевой файл от скрытого тома. При примонтированном скрытом томе, VeraCrypt добавляет пометку "Скрытый".


Векторы атаки


Атака в лоб:


Атаки методом перебора, при наличии стойкого пароля малоэффективна — это тот сценарий, к которому и готовились разрабочики VeraCrypt, а при наличии ключевого файла — неэффективны абсолютно.

Извлечение ключей шифрования:


Теоретически, получив доступ к выключенному компьютеру, есть некоторый шанс извлечь ключи шифрования из памяти или файла гибернации и файла подкачки. Для противодействия такого рода атакам рекомендуется включить опцию шифрования ключей и паролей в ОЗУ в меню Настройка — Быстродействие и отключить файл подкачки и спящий режим.

Скрытое управление:


Хранение данных в зашифрованном виде убережет их в случае утери, конфискации или кражи устройства, но в случае, если злоумышленники получили скрытый контроль над компьютером по сети, например, с использованием вредоносного ПО с возможностями удаленного управления, им не составит труда получить ключевой файл и пароль в момент использования. Варианты противодействия этим типам атак рассматривать не будем, так как тема сетевой безопасности довольно обширна, и выходит за рамки данной статьи.



RUVDS.com
VDS/VPS-хостинг. Скидка 10% по коду HABR

Комментарии 56

    +3
    VeraCrypt — свободный форк TrueCrypt используемый для сквозного шифрования в Windows, Mac OSX и Linux, и позволяет шифровать системный диск, отдельный внутренний или внешний диск или создавать виртуальные диски с использованием файлов-контейнеров.

    Спустя столько времени, появилась ли достоверная информация кто же на самом деле заставил разработчика TrueCrypt удалить оригинальный проект и можно ли доверять форкам, к примеру VeraCrypt, учитывая что их почему-то никто не спешит закрывать, в отличии от оригинала?
      –1
      По TrueCrypt был независимый аудит, который подтвердил, что ничего криминального в них нет, кроме устаревших алгоритмов шифрования.

      VeraCrypt основана на данных исходниках, и также имеет их в открытом доступе — можно всегда посмотреть и оценить степень доверия. Автор обновил алгоритмы и чуть поправил интерфейс. Никаких нареканий на закладки или что-либо такое, насколько я знаю, не было.
        +4
        В том то и вопрос, что(или кто) вынудил автора оригинального TrueCrypt резко закрыть проект и написать что «TrueCrypt плохой, все используйте проприетарный BitLocker».
          0
          Что если просто надоело? Дело довольно ответственное, при этом некоммерческое, дохода не приносящее. Человек мог психануть и завязать с проектом.

          Если бы автора софтины нашли спецслужбы, то никакого сообщения о BitLocker бы не было. И вообще бы не было никаких сообщений.
            +2
            Ну он не просто забил на проект, он выпустил специальную новую версию, которая умела только расшифровывать уже существующие тома, удалил все старые версии и написал что софт плохой, все используйте BitLocker.
            0
            Я понимаю что коммент с заделом на конспирологию, но может KISS
            Просто бабло победило, а финальным дембельским аккордом золотым парашютом стала реклама битлокера
            0
            Там есть что-нибудь достоверное про удаление TrueCrypt? Я только нашёл: «Encryption experts puzzled over possible explanations, and I wondered if it might have something to do with Le Roux’s arrest. Perhaps Le Roux was helping the government break his own code, but then the TrueCrypt announcement could have been a coincidence.»

            И ещё Википедия говорит: «In 1999, he created E4M, a free and open-source disk encryption software program for Microsoft Windows, and is sometimes credited for open-source TrueCrypt, which is based on E4M's code, though he denies involvement with TrueCrypt.»
              +2
              А можно здесь вкратце?
                +1

                Предполагаемым автором TrueCrypt и E4M (более старый софт для шифрования) является Пол Ле Ру (Paul LeRoux) — человек с очень сложной и интересной биографией, талантливый программист и глава мафиозного картеля, которого всё-таки повязали и осудили некоторое время назад.
                Вот тут на русском: https://wob.su/blog/paul-le-roux-truecrypt/
                А вот тут занятная гипотеза о том, что он же имеет отношение к созданию биткоина (перевод надмозговый, но смысл понятен): https://ff.ru/7005

                  0
                  О! Спасибо!
                0
                Спасибо тебе милый человек, отплюсовать не могу — подвергся нападению банды минусеров.
                Ты просто сделал мне вечер субботы и часть ночи воскресенья. Оторваться не смог, прям как про профессора Мориарти нашего поколения. Про связь с TrueCrypt читать Эпизод 3 «У него всегда была темная сторона»
                  0
                  «Про связь с TrueCrypt» — там есть что-либо кроме домыслов? В этом же самом Эпизоде 3 явно написано: «Hafner and his SecurStar colleagues suspected that Le Roux was part of the TrueCrypt collective but couldn’t prove it. Indeed, even today the question of who launched the software remains unanswered.»
              +1
              Ну так и как скрывается скрытый раздел? Что, forensics tools не увидят «белого пятна» на диске?
                +1
                В статье про это одна строчка:
                В том случае, если вас заставляют смонтировать внешний том силовым методом (против которого этот механизм и был создан), то естественно вы его монтируете как обычный том, и VeraCrypt не будет показывать что это внешний том, он будет выглядеть как обычный.


                Идея в том, что без ввода пароля для всех forensics tools диск видится как набор случайных данных. При вводе только одного, «внешнего», пароля, открывается внешний том, где хранятся только фотографии любимой кошки. Место на диске, где записан скрытый том, при этом видится как свободное место диска, где записаны случайные данные. Случайные данные на диск записываются, когда его VeraCrypt первый раз форматирует.
                  0
                  А как ОС видит этот скрытый том? Как свободное место «внешнего» тома или неразмеченое место?
                    +2
                    Когда введен пароль от «внешнего» тома — то система видит это место как свободное место «внешнего» тома. И может попытаться туда что-нибудь записать. Если включена защита скрытого тома — то VeraCrypt откажется записывать и, возможно, поломает файловую систему «внешнего» тома. Если эта защита выключена — то скрытый том поломается. Поэтому, как написано в статье:

                    Опцию защиты при монтировании внешнего тома необходимо включать, так как скрытый том является частью внешнего, и запись во внешний том без защиты может повредить скрытый том


                    А также в качестве файловой системы «внешнего» тома надо использовать такую, которая записывает файлы «подряд» начиная с начала диска (например FAT), т.к. скрытый том добавляется в конце «внешнего». NTFS, насколько я помню, тоже «записывает файлы „подряд“ начиная с начала диска», однако добавляет свою служебную информацию в середину тома, так что если «внешний» том отформатирован в NTFS, то скрытый должен быть меньше 50% по размеру от внешнего. Ну и, само собой, на «внешнем» томе должно быть много свободного места :)
                      0
                      (DEL — ниже уже ответили)
                    0

                    Что-то я не очень понял, а что помешает «силовикам» заставить смонтировать том не как «обычный», а как «внешний». Очевидно, они тоже знают об этой фиче VeraCrypt и вряд ли поверят на слово «но я её не использовал, мамой кля-янусь!»

                      –1
                      Очевидно, они тоже знают об этой фиче VeraCrypt и вряд ли поверят на слово «но я её не использовал, мамой кля-янусь!»


                      Это если вы попали «в самый крутой отдел занимающийся самым серьезным». Те, конечно, знают.

                      А если вы попали в рядовой отдел — могут и не догадаться. На этом и основано.
                      На твоих глазах открывается контейнер, данные тебе отдают, начальству можно доложить…
                        0
                        Догадаться могут, весь смысл в убедительной отрицаемости. Они не могут быть уверены, что скрытый том действительно имеется. А значит, меньше шансов на силовое воздействие.
                          +1
                          Догадаться могут, весь смысл в убедительной отрицаемости. Они не могут быть уверены, что скрытый том действительно имеется. А значит, меньше шансов на силовое воздействие.

                          «В самом крутом отделе», что точно знают о существовании «двойного дна» догадаются как бы убедительно вы не отрицали.
                          А вот в рядовом отделе им может и в голову не прийти проверить занятое/свободное место и размер открытого контейнера и сопоставить эти цифры.
                            0
                            А если даже им отдать пароль от скрытого раздела, то как доказать, что там на свободном месте не лежит ещё один файл со скрытыми разделами?
                              0
                              то как доказать, что там на свободном месте не лежит ещё один файл со скрытыми разделами?

                              Никак. Это невозможно.
                                +1
                                Вот именно, так же как и доказать отсутствие скрытого раздела в любом зашифрованном томе (даже если у тебя его нет) и вообще, отсутствие зашифрованных томов (даже если у тебя их и правда нет и не было), поэтому _атакующие_ могут тебя пытать паяльником до бесконечности, пока им кажется, что ты что-то скрываешь.
                                  0
                                  Если под скрытые тома использовано всё место, то пытать можно прекращать.
                                    0
                                    Т.е. пытать прекратят только в том случае, если тебя вообще никакого свободного места нет? Тогда вступит следующее соображение — а что у тебя на зашифрованных томах за файлы лежат? Может там стеганография какая в последних битах каждого пикселя?

                                    Вообще, обычно самые важные данные — это единицы-десятки килобайт, ну может мегабайты. Такой объём можно долго искать по закоулочкам современных терабайтных дисков.
                                      0
                                      Именно. Нужно иметь актуальный компромат на себя, но при этом не сильно чувствительный. Ну чтобы срок впаяли (его всё равно впаяют), но не сильно большой. Но вот с поддержанием актуальности есть некоторые сложности. Будет странно, если в архив с так скрываемыми «мокрыми кисками» не заходили 2 года. То есть нужно работать с этим фейковым компроматом каждый день.
                              0
                              Размер открытого контейнера не отличается от размера этого контейнера на диске. Если при открытии не вводили пароль на «защиту скрытого тома», поведение такого контейнера полностью эквивалентно обычному контейнеру без скрытого тома. В закрытом виде он весь заполнен случайными или шифрованными данными, там невозможно определить, какая часть реально занята файлами. В открытом будет видно только то, что он заполнен файлами не до конца, но это вообще ни о чём не говорит.
                          0
                          и вряд ли поверят на слово «но я её не использовал, мамой кля-янусь!»

                          Ну с таким подходом вам не поможет даже реальное отсутствие шифрованного раздела. С тем же успехом они могут наткнуться на ваш старый экзешник, который вы запакованный в зашифрованный архив, чтобы его можно было без проблем отправить коллеге по gmail, или (что хуже) он вам его таким образом прислал, а пароль за давностью лет вы даже примерно не помните. А может это какой-либо шифрованный системный файл, или файл который шифрует какое-либо установленное ПО неизвестным вам ключом. В общем, если задача стоит выбить у вас признание, то это будут делать будь вы хоть 10 раз невиновны.
                            +1
                            Причём такой сценарий ещё хуже. Наличие скрытого тома хотя бы под сомнением и недоказуемо, если человек не откроет его сам. А тут шифрованный архив налицо, и выбивать пароль могут очень долго, даже если он действительно забыт. Всё-таки проще поверить в отсутствие гипотетического контейнера, чем поверить в отсутствие пароля от явно имеющегося файла.
                          +1
                          При вводе только одного, «внешнего», пароля, открывается внешний том, где хранятся только фотографии любимой кошки.


                          Посмотрит на этот цирк т-щ майор и

                          Раз-два-три по почкам,
                          раз-два-три по печени
                          — Потрепи, браточек,
                          А мы тебя подлечим
                        +1
                        > пароль “самого разыскиваемого хакера”, использовавшего полное шифрование дисков,
                        > Джереми Хэммонда, был именем его кошки: “Chewy 123”

                        — Вася, ты типа мамкин хакер. А какой у тебя пароль от контактика?
                        — Имя моего кота.
                        — Вась, ну даже я знаю, что нельзя ставить имя кота в качестве пароля!
                        — Если кота зовут K5MLdLR2bcrUkz7oR97u5, то можно.
                          +5
                          всё равно же нельзя
                            +5
                            — Если кота зовут K5MLdLR2bcrUkz7oR97u5, то можно.

                            Но ведь уже не важно какой длины пароль, если ты назвал его вслух хотя бы раз.
                              +1

                              Это имя. А он своего кота зовёт по имени и отчеству.

                                +2
                                Это имя. А он своего кота зовёт по имени и отчеству.

                                Наоборот. Он зовет его уменьшительно-ласкательно K5iurgyv
                                +1
                                > Но ведь уже не важно какой длины пароль, если ты назвал его вслух хотя бы раз.

                                Вслух имя не произносится. Вслух произносится только хэш имени (обязательно с секретной солью).
                                  +1
                                  Бедный кот. Его ещё и солят каждый раз! </irony>
                                    0
                                    Имя кота — это то, что произносится в слух, чтобы этого кота позвать, а если пароль не то же самое(не важно как полученное), то это уже не имя кота, точнее имя кота ≠ пароль.
                                    Иначе получается просто игра слов, грубо говоря, всегда можно сделать хэш функцию, которая будет из одного конкретного слова получать на выходе нужное другое, так можно сказать что у людей, которые вводят «password» на самом деле 128-значный пароль, просто они прогоняют его через специальную хэш-функцию с солью и на выходе получается хэш «password», его то они и вводят.
                                +9
                                Зададим надежный пароль (как выбрать надежный пароль мы рассказывали в этой статье).


                                В какой статье?
                                  +3

                                  Насчёт "невозможно доказать наличие скрытого тома".
                                  Как при этом объяснить разницу в объемах?


                                  Например:
                                  Есть флешка на 8гб.
                                  4 Гб — скрытый том
                                  4 Гб — зашифрованный том-обманка.


                                  Под принуждением открываем том-обманку. Злоумышленник видит что он занимает далеко не весь доступный объем (при том что ничего другого нет, флешка размечена полностью) и делает выводы.


                                  Upd: увидел выше объяснение. Злоумышленник в этом случае попытается записать данными доступный объем и наткнувшись на преграду в виде "защиты скрытого тома" — сделает выводы.

                                    +6
                                    Upd: увидел выше объяснение. Злоумышленник в этом случае попытается записать данными доступный объем и наткнувшись на преграду в виде «защиты скрытого тома» — сделает выводы.

                                    Что бы заработала «защита скрытого тома» надо при монтировании тома-обманки поставить соответствующий чекбокс и в появившемся втором поле ввести пароль от скрытого тома. Без этого VeraCrypt тоже не знает о существовании скрытого тома, иначе это было бы известно и злоумышленнику.
                                      0
                                      О как. Тогда да, круто.
                                      В худшем случае — убьем данные, ну это наверное лучше, чем они попадут в руки злоумышленника.

                                      Хотя… на месте руководства злоумышленника написал бы инструкцию, что при подобных действиях при включении тома-обманки В ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ ставил чекбокс о защите скрытого тома и пытаемся занять доступный объем чем-нибудь (большим файлом и т.д.)
                                      — если дает записать весь доступный объем — ок, считаем что скрытого тома нет.
                                      — если НЕ дает записать… штош… возвращаемся к вопросу о монтировании скрытого тома

                                      UPD: еще раз перечитал. Разработчики и тут нашли «контргайку».
                                      Если я все правильно понял — при установке чекбокса «защиты скрытого тома» требуется пароль от скрытого тома.
                                      Соответственно можно продолжать утверждать что скрытого тома нет и пароля от него нет и чекбокс поставить не получится.
                                      Туше!
                                        +1
                                        В ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ ставил чекбокс о защите скрытого тома

                                        А пароль, пароль то кто введёт? Без него не сработает.
                                    0
                                    Я, вот, наоборот, за то, чтоб «секретные данные» НЕ были защищены от повреждения, и в случае потери/кражи устройства, ничего не подозревающий мог запросто их затереть…
                                    И вообще, хотелось бы монтировать все внутренние разделы только конкретно указав номера кластеров, в которых они расположены, а потом уже вводить пароль «спец-символами» типа «возврат каретки», «подача строки» и пр. (или оставить пустую строку, если нет никакого пароля) ну или графический/фоно-ключ/мн.др.
                                    А если уж так нужна надёжность, то помещать их в другие скрытые внутренние тома, да ещё сделать две или три теневые копии…
                                    Интересно, а можно ли на 32-гиговой FAT`нутой флешке сделать несколько томов (общей сложенности в гигов 10) так, чтоб можно было собрать виртуальный RAID-массив, но уже NTFS (правильнее сказать, разбитый на несколько частей 10-гиговый NTFS-раздел внутри FAT флешки)?
                                      0
                                      grub позволяет загружаться с зашифрованного раздела. У меня есть стойкое ощущение, что когда-то я читал, что grub может грузиться с произвольного места на диске, которое можно задать смещением. Сейчас пытался найти подтверждение, но что-то быстро не получилось, так что я уже не уверен :(. Но в принципе если где-то на в середине флэшки сделать зашифрованный диск и грузиться с него вбивая смещение руками, то доказать, что там что-то есть, будет весьма сложно.
                                        0
                                        Ну, мне загрузка со скрытого раздела и не интересовала вообще-то – зачем перезагружать комп (или запускать виртуалку) ради только закидывания чего-либо в засекреченную область (или области) на флешке (или только считать с неё)?
                                        Но раз уж упомянули:
                                        chainloader offset+length …?
                                        А прокатит ли банально с VeraCrypt`овым разделом? В случае с зашифрованной виндой, придётся давать управление VeraCrypt`овскому загрузчику: SourceForge.net / VeraCrypt / Forums / Technical Topics: Using GRUB to boot into Vera encrypted windows disk. Вот только ещё бы хотелось у этого файла имя убрать, хотя… попробуй скрыть что-нибудь от DiskInternals…
                                          0
                                          Прошу прощения, не осознал до конца ваш юз кейс. Похоже я немного перепутал. luks действительно позволяет задавать отступ при создании зашифрованного диска с detached header. Найти подтверждение, что grub может загрузиться с такого диска мне не удалось.
                                      0
                                      Я читал, что среди исчезнувших (с сайта автора?) версий TrueCrypt была конкретная, прошедашая аудит и вообще типа считающаяся самой лучшей. Она где-то ещё существует в открытом доступе? Или автор, начав сотрудничать со спецслужбами, добился её удаления из всех мест интернета?
                                        0
                                        прошедашая аудит

                                        Аудит кстати нашёл пару огрехов. Не критичных, но в форке их уже исправили.
                                          0
                                          Пусть так. Тогда вопрос в том, осталась ли в публичном доступе ровно эта версия, прошедшая аудит (пусть и не без потерь), а также текст самого этого аудита?
                                          0
                                          Последней версией была 7.1a, обычно она считается безопасной, и была ещё 7.2, которая, возможно, имела бэкдор. В любом случае, Veracrypt за прошедшие годы получил массу улучшений по сравнению с TrueCrypt.
                                          0
                                          С Win10 же эта фишка так и не работает без диких танцев? Да и без скрытого тома обновления винды любят прибивать загрузчик Veracrypt, в итоге всегда надо иметь аварийную флешку. Интересно, в этом направлении что-то планируется менять?
                                            0
                                            Я сильно симневаюсь, что разработчики видят особый смысл в использовании VeraCrypt в Win10, которая даже буфер обмена сливает в microsoft.
                                              0
                                              В статье речь вообще идёт о шифровании несистемного диска, с этим в винде никаких проблем и не было, в том числе со скрытым томом. Системный диск в принципе тоже спокойно шифруется, но во избежание проблем с обновлением винды есть смысл расшифровывать систему перед обновлением. По-моему, это касается только крупных апгрейдов, когда увеличивается номер версии, типа 1909->2004. Всякие рядовые апдейты обычно не трогают загрузчик. Ну а вот с фичей «скрытая ОС» — там проблема есть. По-прежнему заводится только на MBR-разметке.

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое