開源磁盤加密軟件VeraCrypt教程

轉載請註明文章出處: https://tlanyan.me/veracrypt-...

VeraCrypt介紹

VeraCrypt是一款開源的磁盤加密軟件,前身是大名鼎鼎的TrueCrypt。2014年5月微軟中止Windows XP的支持,TrueCrypt的做者認爲Win7及後續版本內置的BitLocker足夠好用,TrueCrypt再也不那麼必要,因而同月中止了TrueCrypt的開發。目前TrueCrypt的官網永久重定向到TrueCrypt的Sourceforge項目主頁,並警告用戶TrueCrypt含有未修復的安全漏洞,應該儘快將TrueCrypt加密的數據遷移到其餘工具php

VeraCrypt由IDRIX開發和維護,基於TrueCrypt 7.1a版本。2013年6月VeraCrypt發佈初始版本,2016年進行了安全審計,最新版本是2018年9月23號發佈的1.23。VeraCrypt支持Windows、MacOS和Linux平臺,暫不支持安卓和iOS。html

相對於其餘磁盤加密軟件,VeraCrypt的優點在於:linux

  1. 開源,活躍開發中。TrueCrypt的另外一個分支CipherShed基本已暫停開發;
  2. 跨平臺,支持PC上的主流操做系統。對比之下BitLocker官方僅支持Windows、eCryptfs只支持Linux;
  3. 安全,2016年由專業機構對VeraCrypt進行安全審計,發現多個高危漏洞並進行了修復;
  4. 功能強大。既支持文件容器的加密、卷隱藏,也支持分區/設備加密,Windows下還支持系統盤啓動加密。

VeraCrypt安裝

VeraCrypt的源碼託管在官網、Sourceforge、GitHub等多個網站上。發佈的版本及可執行文件可從lauchpad、Sourceforge等網站下載。官網的Windows版本下載地址是https://launchpad.net/veracry...(launchpad下載地址)。下載exe後點擊安裝便可。算法

其餘操做系統的下載地址請訪問官網。安全

VeraCrypt使用

Windows上,VeraCrypt支持三種加密方式:加密文件卷加密非系統分區/設備加密系統分區/設備。非Windows操做系統不支持對系統所在設備加密。架構

下文基於Windows分別對三種加密進行說明。ide

加密文件卷

通俗的理解,加密文件卷是一個加密的壓縮文件或者ISO文件。沒有解密的文件卷是一個普通的文件,容許任何有效的文件名後綴,往文件卷讀寫文件時需先掛載工具

接下來圖文結合展現加密文件卷的建立和使用。性能

啓動VeraCrypt後,點擊「建立加密卷」,在彈出來的引導界面中選擇「建立文件型加密卷」:網站

<img src="https://tlanyan.me/wp-content...; alt="" width="900" height="585" class="aligncenter size-full wp-image-3173" />

點擊「下一步」進入加密卷類型選擇界面。標準加密卷是文件夾中的一個文件,隱藏加密卷是加密卷中的隱藏文件。關於隱藏加密卷和隱藏分區在後文備註,這裏咱們選擇「標準VeraCrypt加密卷」。

而後選擇加密卷的存放位置:點擊「選擇文件」,找一個文件夾,輸入保存文件的文件名,例如「演唱會.avi」。文件名能夠是任意合法的文件名,不限定後綴。注意不要選擇已有的文件,不然會刪除其內容。

<img src="https://tlanyan.me/wp-content...; alt="" width="900" height="579" class="aligncenter size-full wp-image-3174" />

接着選擇加密算法和哈希算法。使用默認設置便可,除非你對密碼學比較瞭解。點擊下一步,選擇加密卷的大小,好比1GB。肯定好好加密卷大小後設置加密卷的密碼:

<img src="https://tlanyan.me/wp-content...; alt="" width="901" height="582" class="aligncenter size-full wp-image-3175" />

最後選擇文件系統格式和簇大小。文件系統建議使用"exFAT"或「NTFS」,簇大小保持默認或「4KB」,而後點擊「格式化」。」NTFS「格式化過程當中可能會出現受權彈框,點擊肯定便可:

<img src="https://tlanyan.me/wp-content...; alt="" width="905" height="584" class="aligncenter size-full wp-image-3177" />

格式化後即完成了加密卷的建立過程,此時能夠關掉嚮導。

建立好加密卷,要先掛載才能進行讀寫。回到軟件主界面,點擊「選擇文件」,找到剛纔建立的加密卷文件,點擊「加載」,在彈出窗口輸入建立時設置的密碼,點擊「肯定」:

<img src="https://tlanyan.me/wp-content...; alt="" width="883" height="705" class="aligncenter size-full wp-image-3178" />

VeraCrypt校驗密碼無誤後開始解密文件,解密完成後「個人電腦」中會出現一個新的硬盤,盤符是掛載時選擇的盤符。

接下來要加密數據,將文件拖入加密盤裏便可;將文件從加密盤複製到普通硬盤,就完成了數據的解密。同理能夠建立和刪除文件,使用上加密卷硬盤和普通硬盤(文件夾)沒有區別。

使用完後,能夠點擊軟件主界面上的「卸載」將加密盤卸載掉。

若是不想再對文件加密,可點擊「加密卷工具」中的「永久解密」,將加密文件釋放出來。

加密非系統分區/設備

若是有不少重要的數據放在同一個分區或者硬盤上,能夠考慮對整個分區進行加密。建立VeraCrypt加密分區/設備的操做與建立加密卷大體相同,一些步驟上略有出入。

因爲要加密整個設備或分區,引導時彈出來的是分區和設備信息:

<img src="https://tlanyan.me/wp-content...; alt="" width="899" height="578" class="aligncenter size-full wp-image-3179" />

後續會提示選擇加密卷建立模式。若是分區或者設備內數據較少,建議備份後選「建立加密卷並格式化」;若是分區或設備內已有大量數據,建議選擇「就地加密分區」:

<img src="https://tlanyan.me/wp-content...; alt="" width="901" height="579" class="aligncenter size-full wp-image-3180" />

最後一步格式化時,若是分區/設備內有數據,會彈出警告確認框。確認數據已備份後,點擊「經過在分區內建立VeraCrypt加密卷擦除剛分區上的任何文件」:

<img src="https://tlanyan.me/wp-content...; alt="" width="900" height="585" class="aligncenter size-full wp-image-3181" />

若是分區較大,格式化須要必定時間,完成後會彈出加密設備/分區的使用方法:

<img src="https://tlanyan.me/wp-content...; alt="" width="906" height="586" class="aligncenter size-full wp-image-3183" />

除主界面的「選擇文件」改爲「選擇設備」,使用上與加密卷一致,這裏再也不重複。

隱藏加密卷和隱藏分區/設備

因隱藏加密卷和隱藏分區/設備的操做相同,本節如下內容以(隱藏)加密卷作說明。

結合上述內容,本身動手實踐,讀者到這裏應該對加密卷有基本的理解。在加密卷基礎上,能夠進行更高層次的文件保護,那就是選擇類型時出現的「隱藏加密卷」。

首先澄清一下概念,「隱藏卷」和「卷中卷/嵌套卷」有所不一樣。嵌套卷是在一個加密卷裏再放一個加密文件卷,相似於RAR文件中的RAR文件;隱藏卷是在卷中劃分出一片空間給隱藏卷使用,不是簡單在裏面放加密卷。若是隻打開外層加密卷,看不到隱藏卷的內容,也不能知道是否有隱藏卷。這正是隱藏加密卷的厲害之處。

除非事先知道有隱藏卷,不然沒法判斷,VeraCrypt也不知道加密卷內是否有隱藏的內容。由於隱藏卷必然伴隨着外層卷,如何操做二者是有講究的。

對含有隱藏卷的加密卷,有三種操做模式:

  1. 打開加密卷時,只輸入外層卷密碼。這種模式直接打開外層卷,可對其進行讀寫。因爲VeraCrypt不知道是否有隱藏卷,往加密卷中寫內容可能會損壞隱藏卷的數據。若是你知道有隱藏卷,在加載時能夠點擊「加載選項」,在彈框中勾選「以只讀模式加載加密卷」,保護隱藏卷的數據;
  2. 打開加密卷時,只輸入隱藏卷的密碼。這種模式直接顯示隱藏卷,隱藏卷的操做不影響外層卷;
  3. 打開加密卷時,先輸入外層卷的密碼,同時在「加載選項」彈框中勾選「向外層加密卷寫入數據時保護隱藏加密卷」,並輸入隱藏卷的密碼。這種模式打開外層卷,但VeraCrypt知道含有隱藏卷,寫數據時不會覆蓋隱藏卷佔用的空間,數據是安全的。往外層卷寫入大量數據,即便外層卷空間不足,VeraCrypt也不會往隱藏捲上寫數據,而是直接提示「寫入失敗」。

若是有十分重要的數據須要放在隱藏卷中,外層加密卷應該存放一些「相對」不那麼重要的文件,用以矇蔽脅迫你說出密碼的人。但千萬要記住,不要說出隱藏卷的密碼,不然會直接解鎖隱藏卷

加密系統分區/設備

若是想更安全的保護設備,能夠考慮對系統盤/分區也進行全盤加密。系統盤加密後,系統啓動過程當中要先輸入密碼,解密硬盤數據後才能正常啓動操做系統。目前MacOS、iOS、安卓等操做系統均支持使用全盤加密,硬盤拆下來也沒法在其餘設備上讀取數據,大大提升安全性。

VeraCrypt僅支持對Windows進行系統盤加密,而且不支持2003等舊系統、安騰架構以及移動設備:

<img src="https://tlanyan.me/wp-content...; alt="" width="665" height="247" class="aligncenter size-large wp-image-3182" />

此功能耗時較長。本人未試驗,暫不提供詳情。

實用建議

如下是一些實用建議,能幫助你更好的保護隱私數據:

  1. 實用文件卷加密數據時,文件名和後綴儘可能選有欺騙性的,並將其放在常規地方。例如文件卷取名"Window10多合一純淨版.iso",放在「軟件/操做系統」文件夾下。對10G如下的加密卷,即便設備丟失後亦不會有人懷疑其中包含敏感數據。相反一個好幾G大小的txt或者word文件就會讓人很生疑。
  2. 若是有更私密的數據,建議使用隱藏卷功能;
  3. 文件加解密有必定的性能損耗,請選擇必要的文件放入加密卷/設備內;
  4. 妥善管理密碼,並建議加密時添加輔助解密的密鑰文件;
  5. 若是能夠,對新電腦使用全盤加密;將移動設備某個區做爲加密分區使用,其餘分區爲普通分區。

總結

本人對VeraCrypt進行了簡要介紹,並給出Windows上的使用說明。若有錯誤,敬請指正!

感謝閱讀!

參考

  1. TrueCrypt項目主頁
  2. 維基百科:TrueCrypt
  3. VeraCrypt主頁
  4. 維基百科:VeraCrypt
  5. VeraCrypt的SourceForge主頁
  6. VeraCrypt安全審計結果
  7. 多種流行的固態硬盤產品存在硬盤加密機制繞過漏洞
  8. ArchLinux:磁盤加密
  9. 維基百科:硬盤加密軟件比較
  10. 唐緣:保護你的設備
相關文章
相關標籤/搜索