44

开源磁盘加密软件VeraCrypt教程

 5 years ago
source link: https://www.tlanyan.me/veracrypt-tutorial/?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

转载请注明文章出处: https://tlanyan.me/veracrypt-tutorial/

VeraCrypt介绍

VeraCrypt是一款开源的 磁盘加密软件 ,前身是大名鼎鼎的 TrueCrypt 。2014年5月微软停止Windows XP的支持,TrueCrypt的作者认为Win7及后续版本 内置的BitLocker足够好用 ,TrueCrypt不再那么必要,于是同月停止了TrueCrypt的开发。目前TrueCrypt的官网永久重定向到TrueCrypt的Sourceforge项目主页,并警告用户 TrueCrypt含有未修复的安全漏洞,应该尽快将TrueCrypt加密的数据迁移到其他工具

VeraCrypt由 IDRIX 开发和维护,基于TrueCrypt 7.1a版本。2013年6月VeraCrypt发布初始版本, 2016年进行了安全审计 ,最新版本是2018年9月23号发布的1.23。 VeraCrypt支持Windows、MacOS和Linux平台 ,暂不支持安卓和iOS。

相对于其他磁盘加密软件,VeraCrypt的优势在于:

  1. 开源,活跃开发中。TrueCrypt的另一个分支CipherShed基本已暂停开发;
  2. 跨平台,支持PC上的主流操作系统。对比之下BitLocker官方仅支持Windows、eCryptfs只支持Linux;
  3. 安全,2016年由专业机构对VeraCrypt进行安全审计,发现多个高危漏洞并进行了修复;
  4. 功能强大。既支持文件容器的加密、卷隐藏,也支持分区/设备加密,Windows下还支持系统盘启动加密。

VeraCrypt安装

VeraCrypt的源码托管在官网、Sourceforge、GitHub等多个网站上。发布的版本及可执行文件可从lauchpad、Sourceforge等网站下载。官网的Windows版本下载地址是 https://launchpad.net/veracrypt/trunk/1.23/+download/VeraCrypt%20Setup%201.23-Hotfix-2.exe (launchpad下载地址)。下载exe后点击安装即可。

其他操作系统的下载地址请访问官网。

VeraCrypt使用

Windows上,VeraCrypt支持三种加密方式: 加密文件卷加密非系统分区/设备加密系统分区/设备 。非Windows操作系统不支持对系统所在设备加密。

JbU3qiV.jpg!web

下文基于Windows分别对三种加密进行说明。

加密文件卷

通俗的理解,加密文件卷是一个加密的压缩文件或者ISO文件。没有解密的文件卷是一个普通的文件,允许任何有效的文件名后缀,往文件卷读写文件时需先 挂载

接下来图文结合展示加密文件卷的创建和使用。

启动VeraCrypt后,点击“创建加密卷”,在弹出来的引导界面中选择“创建文件型加密卷”:

i2uiqq2.jpg!web

点击“下一步”进入加密卷类型选择界面。标准加密卷是文件夹中的一个文件,而隐藏加密卷是加密卷中的一个文件。可以简单理解为隐藏加密卷等同于压缩文件中的压缩文件。

我们选择“标准VeraCrypt加密卷”,接着选择加密卷的存放位置。点击“选择文件”,找一个文件夹,输入保存文件的文件名,例如“演唱会.avi”。文件名可以是任意合法的文件名,不限定后缀。注意不要选择已有的文件,否则会删除其内容。

JnEFvan.jpg!web

接着选择加密算法和哈希算法。使用默认设置即可,除非你对密码学比较了解。点击下一步,选择加密卷的大小,比如1GB。确定好好加密卷大小后设置加密卷的密码:

JFRzeqa.jpg!web

最后选择文件系统格式和簇大小。文件系统建议使用”exFAT”或“NTFS”,簇大小保持默认或“4KB”,然后点击“格式化”。”NTFS“格式化过程中可能会出现授权弹框,点击确定即可:

VeraCrypt-format.jpg

格式化后即完成了加密卷的创建过程,此时可以关掉向导。

创建好加密卷,要先挂载才能进行读写。回到软件主界面,点击“选择文件”,找到刚才创建的加密卷文件,点击“加载”,在弹出窗口输入创建时设置的密码,点击“确定”:

mi2aYrV.jpg!web

VeraCrypt校验密码无误后开始解密文件,解密完成后“我的电脑”中会出现一个新的硬盘,盘符是挂载时选择的盘符。

接下来要加密数据,将文件拖入加密盘里即可;将文件从加密盘复制到普通硬盘,就完成了数据的解密。同理可以创建和删除文件,使用上加密卷硬盘和普通硬盘(文件夹)没有区别。

使用完后,可以点击软件主界面上的“卸载”将加密盘卸载掉。

如果不想再对文件加密,可点击“加密卷工具”中的“永久解密”,将加密文件释放出来。

加密非系统分区/设备

如果有很多重要的数据放在同一个分区或者硬盘上,可以考虑对整个分区进行加密。创建VeraCrypt加密分区/设备的操作与创建加密卷大致相同,一些步骤上略有出入。

由于要加密整个设备或分区,引导时弹出来的是分区和设备信息:

yMbaYzr.jpg!web

后续会提示选择加密卷创建模式。如果分区或者设备内数据较少,建议备份后选“创建加密卷并格式化”;如果分区或设备内已有大量数据,建议选择“就地加密分区”:

VeraCrypt-encrypt-mode.jpg

最后一步格式化时,如果分区/设备内有数据,会弹出警告确认框。确认数据已备份后,点击“通过在分区内创建VeraCrypt加密卷擦除刚分区上的任何文件”:

VeraCrypt-confirm.jpg

如果分区较大,格式化需要一定时间,完成后会弹出加密设备/分区的使用方法:

qQBnyqV.jpg!web

除了主界面的“选择文件”改成“选择设备”,使用上与加密卷一致,这里不再重复。

加密系统分区/设备

如果想更安全的保护设备,可以考虑对系统盘/分区也进行全盘加密。系统盘加密后,系统启动过程中要先输入密码,解密硬盘数据后才能正常启动操作系统。目前MacOS、iOS、安卓等操作系统均支持使用全盘加密,硬盘拆下来也无法在其他设备上读取数据,大大提高安全性。

VeraCrypt仅支持对Windows进行系统盘加密,并且不支持2003等旧系统、安腾架构以及移动设备:

I3EN32Q.jpg!web

此功能耗时较长。本人未试验,暂不提供详情。

实用建议

以下是一些实用建议,能帮助你更好的保护隐私数据:

  1. 实用文件卷加密数据时,文件名和后缀尽量选有欺骗性的,并将其放在常规地方。例如文件卷取名”Window10多合一纯净版.iso”,放在“软件/操作系统”文件夹下。对10G以下的加密卷,即使设备丢失后亦不会有人怀疑其中包含敏感数据。相反一个好几G大小的txt或者word文件就会让人很生疑。
  2. 如果有更私密的数据,建议使用隐藏功能;
  3. 文件加解密有一定的性能损耗,请选择必要的文件放入加密卷/设备内;
  4. 妥善管理密码,并建议加密时添加辅助解密的密钥文件;
  5. 如果可以,对新电脑使用全盘加密;将移动设备某个区作为加密分区使用,其他分区为普通分区。

总结

本人对VeraCrypt进行了简要介绍,并给出Windows上的使用说明。如有错误,敬请指正!

感谢阅读!

参考

  1. TrueCrypt项目主页
  2. 维基百科:TrueCrypt
  3. VeraCrypt主页
  4. 维基百科:VeraCrypt
  5. VeraCrypt的SourceForge主页
  6. VeraCrypt安全审计结果
  7. 多种流行的固态硬盘产品存在硬盘加密机制绕过漏洞
  8. ArchLinux:磁盘加密
  9. 维基百科:硬盘加密软件比较
  10. 唐缘:保护你的设备

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK