長期以來,TrueCrypt 一直是安全專業人士首選的全盤加密解決方案(它由愛德華·斯諾登推薦,並成功阻止英國警方訪問格倫·格魯內瓦爾德的搭檔大衛·米蘭達攜帶的文件)。
因此,當 TrueCrypt 開發人員在非常可疑的情況下撤回他們的產品時(這種情況導致了不小的普遍偏執),安全界感到非常震驚。當時,對該軟件進行了眾籌全面審核,第一階段最近已經解除了一切障礙。
TrueCrypt開發商的撤回讓審計項目陷入了一些混亂,但最終決定繼續進入第二階段並完成審計。該工作於 2015 年 4 月初完成,雖然發現了一些問題,但報告(如本博文中總結的)發現,
'Truecrypt 似乎是一款設計相對完善的加密軟件。 NCC 審計沒有發現故意後門的證據,也沒有發現任何會導致軟件在大多數情況下不安全的嚴重設計缺陷。'
這是個好消息,但留下了 TrueCrypt 不再受支持的問題。由於存在一些已知的弱點,再加上不會有更多更新可用,因此現在很難推薦使用 TrueCrypt……。所以進入 VeraCrypt...
維拉密碼
VeraCrypt 是經過全面審核和開源TrueCrypt 的分支,“解決了 TrueCrypt 中發現的許多漏洞和安全問題。”它也正在積極開發中,因此可能會得到改進,並會及時修復任何剩餘的缺陷。
使用 VeraCrypt,您可以:
- 創建一個虛擬加密磁盤(卷),您可以像真實磁盤一樣安裝和使用它(並且可以將其製作為隱藏卷)
- 加密整個分區或存儲設備(例如硬盤驅動器或 USB 記憶棒)
- 創建包含整個操作系統的分區或存儲驅動器(可以隱藏)
所有加密都是實時執行的,使 VeraCrypt 的操作透明。然而,應該指出的是,儘管這種安裝加密驅動器的能力非常出色(這也是使 VeraCrypt 成為出色程序的原因之一),但它確實意味著加密密鑰在使用過程中存儲在臨時內存 (RAM) 中,理論上這會使 VeraCrypt 用戶面臨通過使用預安裝的鍵盤記錄器和其他惡意軟件進行攻擊的可能性。
隱藏捲和隱藏操作系統提供合理的推諉,因為不可能證明它們存在(只要所有正確的預防措施被採取)。在第2部分在本文中,我們將詳細探討隱藏卷。
VeraCrypt 適用於 Windows、OSX 和 Linux。我們的操作指南是針對 Windows 8.1 編寫的,但對於任何操作系統(以及 TrueCrypt 的其他分支或版本),基礎知識應該或多或少相同。
請注意,與密碼棚,VeraCrypt 與 TrueCrypt 卷不兼容(有關此主題的更多信息,請參閱本文末尾)。
創建容器
使用 VeraCrypt 最簡單的方法是在文件中創建加密容器。該文件的行為就像任何其他文件一樣,可以像普通文件一樣移動、刪除、重命名等。
1. 下載維拉密碼,安裝並運行它,然後單擊主屏幕上的“創建卷”。
2. 確保選中“創建加密文件容器”單選按鈕,然後單擊“下一步”。
3. 確保選擇“標準 VeraCrypt 卷”,然後單擊“下一步”。
4. 單擊“選擇文件”,選擇要保存文件的位置,然後選擇文件的名稱。不要選擇已經存在的文件,因為 VeraCrypt 將刪除它並用新的 VeraCrypt 容器替換它。
5. 選擇加密算法和哈希算法。提供了有關每種加密算法的信息,以幫助您選擇適合您的算法。一般來說,加密強度越強,加密/解密過程所需的時間就越長。
您可以對加密/解密的速度進行基準測試,並測試所有算法是否正常工作。
雖然不如 AES 快,但我們更喜歡雙魚因為我們對 NIST 認證的任何東西都持懷疑態度(我們解釋了原因這裡.) 我們也會選擇漩渦出於同樣的原因,哈希算法(請參閱完整的文件有關此主題的更多信息)
6. 選擇您想要的文件大小。它可以是其所在驅動器上可用空間的任意大小。
7. 選擇密碼。這是至關重要的一步;如果您的數據值得加密,那麼就值得使用良好的密碼進行保護。該嚮導提供了一些關於選擇強密碼的好建議(可以使用密鑰文件代替,但為了簡單起見,在本初學者教程中,我們將堅持使用密碼)
8. 在“卷格式”屏幕中,您可以選擇要使用的文件系統。我們將採用 FAT 來保持跨設備和平台的最大兼容性。在窗口周圍移動鼠標指針可以通過引入真正的隨機元素(從而提高安全性)來增強加密密鑰的加密強度,因此您應該移動鼠標指針至少 30 秒。完成後,單擊“格式化”並等待確認對話框(然後單擊“確定”和“退出”)。
您現在已經創建了一個 VeraCrypt 卷(文件容器)!耶!
安裝和使用 VeraCrypt 卷
1. 從 VeraCrypt 主屏幕上的列表中選擇驅動器號。然後單擊“選擇文件”並導航到保存剛剛創建的 VeraCrypt 卷的位置,然後單擊“打開”。完成後,單擊“安裝”。
任何備用字母都可以,所以我們選擇“J”。現在這將是分配給我們的加密卷的驅動器號
2. 系統將要求您輸入之前指定的密碼。
3. 該卷現在已安裝,並且在所有方面都將像普通卷一樣運行,只是其上的所有數據都已加密。您可以通過雙擊 VeraCrypt 主屏幕上的捲名稱來打開它......
...或者可以在資源管理器中作為常規捲進行訪問。
正如您所看到的,設置簡單加密卷的基礎知識非常簡單,VeraCrypt 在這方面做得很好。要了解如何設置隱藏卷,請查看本指南的第 2 部分。
方便的提示
如果您使用 Dropbox 並且擔心 Dropbox 能夠看到您的文件,您可以在 Dropbox 文件夾中創建一個加密的 VeraCrypt 容器。這樣,放置在掛載容器中的所有文件在上傳到 Dropbox 之前都會被加密,並在本地解密以供查看。
當然,這並不會使文件共享和協作變得容易,但它確實可以保護文件免受窺探。 Android 用戶也很幸運,因為 EDS(完整)應用程序允許您在移動時瀏覽和打開 VeraCrypt 加密卷(免費的 EDS Lite 與 TrueCrypt 容器兼容。)
其他 TrueCrypt 分叉
VeraCrypt 的主要競爭對手是密碼棚,這也是基於原始 TrueCrypt 代碼的一個分支。與 VeraCrypt 不同,Ciphershed 與傳統 TrueCrypt 容器完全兼容,但通常被認為不安全。
'作為 VeraCrypt 的作者,我可以說它與 CipherShed 的主要區別與安全性有關:
- 自 2013 年以來,我們選擇增強密鑰派生,因為 TrueCrypt 方法無法提供與 2004 年發佈時相同的安全性。這解釋了為什麼 VeraCrypt 不再支持 TrueCrypt 容器(計劃提供轉換工具)。
- 在最新版本中,我們糾正了 Open Crypto Audit 項目發現的大部分安全問題。在下一個版本中,我們將糾正引導加載程序中的安全問題。
我理解 CipherShed 決定堅持使用 TrueCrypt 格式,但這使得他們很難增強密鑰派生的安全性。儘管如此,他們可以從我們迄今為止實施的所有安全修復中受益(由於缺乏時間,我很難為 CipherShed 做出貢獻,但由於這兩個項目共享相同的代碼庫,因此將一個項目的修改報告給另一個項目是可行的)。'
一些用戶更喜歡堅持使用最後一個已知的“安全”版本TrueCrypt (7.1a),但由於這包含已知(如果不是關鍵)的弱點,我們建議使用 VeraCrypt 代替(如果向後兼容性很重要,則使用 Ciphershed)。
對於那些仍然對 TrueCrypt 保持警惕的人(在我們看來,無論審計結果如何,這是一個完全可以理解的立場),我們有一篇關於 TrueCrypt 的 6 種最佳開源替代品的文章。