開源磁碟加密軟體VeraCrypt教程
轉載請註明文章出處: https://tlanyan.me/veracrypt-tutorial/
VeraCrypt介紹
VeraCrypt是一款開源的 磁碟加密軟體 ,前身是大名鼎鼎的 TrueCrypt 。2014年5月微軟停止Windows XP的支援,TrueCrypt的作者認為Win7及後續版本 內建的BitLocker足夠好用 ,TrueCrypt不再那麼必要,於是同月停止了TrueCrypt的開發。目前TrueCrypt的官網永久重定向到TrueCrypt的Sourceforge專案主頁,並警告使用者 TrueCrypt含有未修復的安全漏洞,應該儘快將TrueCrypt加密的資料遷移到其他工具 。
VeraCrypt由 IDRIX 開發和維護,基於TrueCrypt 7.1a版本。2013年6月VeraCrypt釋出初始版本, 2016年進行了安全審計 ,最新版本是2018年9月23號釋出的1.23。 VeraCrypt支援Windows、MacOS和Linux平臺 ,暫不支援安卓和iOS。
相對於其他磁碟加密軟體,VeraCrypt的優勢在於:
- 開源,活躍開發中。TrueCrypt的另一個分支CipherShed基本已暫停開發;
- 跨平臺,支援PC上的主流作業系統。對比之下BitLocker官方僅支援Windows、eCryptfs只支援Linux;
- 安全,2016年由專業機構對VeraCrypt進行安全審計,發現多個高危漏洞並進行了修復;
- 功能強大。既支援檔案容器的加密、卷隱藏,也支援分割槽/裝置加密,Windows下還支援系統盤啟動加密。
VeraCrypt安裝
VeraCrypt的原始碼託管在官網、Sourceforge、GitHub等多個網站上。釋出的版本及可執行檔案可從lauchpad、Sourceforge等網站下載。官網的Windows版本下載地址是 https://launchpad.net/veracrypt/trunk/1.23/+download/VeraCrypt%20Setup%201.23-Hotfix-2.exe (launchpad下載地址)。下載exe後點擊安裝即可。
其他作業系統的下載地址請訪問官網。
VeraCrypt使用
Windows上,VeraCrypt支援三種加密方式: 加密檔案卷 ; 加密非系統分割槽/裝置 ; 加密系統分割槽/裝置 。非Windows作業系統不支援對系統所在裝置加密。
下文基於Windows分別對三種加密進行說明。
加密檔案卷
通俗的理解,加密檔案卷是一個加密的壓縮檔案或者ISO檔案。沒有解密的檔案卷是一個普通的檔案,允許任何有效的檔名字尾,往檔案卷讀寫檔案時需先 掛載 。
接下來圖文結合展示加密檔案卷的建立和使用。
啟動VeraCrypt後,點選“建立加密卷”,在彈出來的引導介面中選擇“建立檔案型加密卷”:
點選“下一步”進入加密卷型別選擇介面。標準加密卷是資料夾中的一個檔案,而隱藏加密卷是加密卷中的一個檔案。可以簡單理解為隱藏加密卷等同於壓縮檔案中的壓縮檔案。
我們選擇“標準VeraCrypt加密卷”,接著選擇加密卷的存放位置。點選“選擇檔案”,找一個資料夾,輸入儲存檔案的檔名,例如“演唱會.avi”。檔名可以是任意合法的檔名,不限定字尾。注意不要選擇已有的檔案,否則會刪除其內容。
接著選擇加密演算法和雜湊演算法。使用預設設定即可,除非你對密碼學比較瞭解。點選下一步,選擇加密卷的大小,比如1GB。確定好好加密卷大小後設置加密卷的密碼:
最後選擇檔案系統格式和簇大小。檔案系統建議使用”exFAT”或“NTFS”,簇大小保持預設或“4KB”,然後點選“格式化”。”NTFS“格式化過程中可能會出現授權彈框,點選確定即可:
格式化後即完成了加密卷的建立過程,此時可以關掉嚮導。
建立好加密卷,要先掛載才能進行讀寫。回到軟體主介面,點選“選擇檔案”,找到剛才建立的加密卷檔案,點選“載入”,在彈出視窗輸入建立時設定的密碼,點選“確定”:
VeraCrypt校驗密碼無誤後開始解密檔案,解密完成後“我的電腦”中會出現一個新的硬碟,碟符是掛載時選擇的碟符。
接下來要加密資料,將檔案拖入加密盤裡即可;將檔案從加密盤複製到普通硬碟,就完成了資料的解密。同理可以建立和刪除檔案,使用上加密卷硬碟和普通硬碟(資料夾)沒有區別。
使用完後,可以點選軟體主介面上的“解除安裝”將加密盤解除安裝掉。
如果不想再對檔案加密,可點選“加密卷工具”中的“永久解密”,將加密檔案釋放出來。
加密非系統分割槽/裝置
如果有很多重要的資料放在同一個分割槽或者硬碟上,可以考慮對整個分割槽進行加密。建立VeraCrypt加密分割槽/裝置的操作與建立加密卷大致相同,一些步驟上略有出入。
由於要加密整個裝置或分割槽,引導時彈出來的是分割槽和裝置資訊:
後續會提示選擇加密卷建立模式。如果分割槽或者裝置內資料較少,建議備份後選“建立加密卷並格式化”;如果分割槽或裝置內已有大量資料,建議選擇“就地加密分割槽”:
最後一步格式化時,如果分割槽/裝置內有資料,會彈出警告確認框。確認資料已備份後,點選“通過在分割槽內建立VeraCrypt加密卷擦除剛分割槽上的任何檔案”:
如果分割槽較大,格式化需要一定時間,完成後會彈出加密裝置/分割槽的使用方法:
除了主介面的“選擇檔案”改成“選擇裝置”,使用上與加密卷一致,這裡不再重複。
加密系統分割槽/裝置
如果想更安全的保護裝置,可以考慮對系統盤/分割槽也進行全盤加密。系統盤加密後,系統啟動過程中要先輸入密碼,解密硬碟資料後才能正常啟動作業系統。目前MacOS、iOS、安卓等作業系統均支援使用全盤加密,硬碟拆下來也無法在其他裝置上讀取資料,大大提高安全性。
VeraCrypt僅支援對Windows進行系統盤加密,並且不支援2003等舊系統、安騰架構以及移動裝置:
此功能耗時較長。本人未試驗,暫不提供詳情。
實用建議
以下是一些實用建議,能幫助你更好的保護隱私資料:
- 實用檔案卷加密資料時,檔名和字尾儘量選有欺騙性的,並將其放在常規地方。例如檔案卷取名”Window10多合一純淨版.iso”,放在“軟體/作業系統”資料夾下。對10G以下的加密卷,即使裝置丟失後亦不會有人懷疑其中包含敏感資料。相反一個好幾G大小的txt或者word檔案就會讓人很生疑。
- 如果有更私密的資料,建議使用隱藏功能;
- 檔案加解密有一定的效能損耗,請選擇必要的檔案放入加密卷/裝置內;
- 妥善管理密碼,並建議加密時新增輔助解密的金鑰檔案;
- 如果可以,對新電腦使用全盤加密;將移動裝置某個區作為加密分割槽使用,其他分割槽為普通分割槽。
總結
本人對VeraCrypt進行了簡要介紹,並給出Windows上的使用說明。如有錯誤,敬請指正!
感謝閱讀!