开源磁盘加密软件VeraCrypt教程

时间 2020-02-07

标签开源磁盘加密软件 veracrypt 教程繁體版

原文原文链接

转载请注明文章出处： https://tlanyan.me/veracrypt-...

VeraCrypt介绍

VeraCrypt是一款开源的磁盘加密软件，前身是大名鼎鼎的TrueCrypt。2014年5月微软中止Windows XP的支持，TrueCrypt的做者认为Win7及后续版本内置的BitLocker足够好用，TrueCrypt再也不那么必要，因而同月中止了TrueCrypt的开发。目前TrueCrypt的官网永久重定向到TrueCrypt的Sourceforge项目主页，并警告用户TrueCrypt含有未修复的安全漏洞，应该尽快将TrueCrypt加密的数据迁移到其余工具。php

VeraCrypt由IDRIX开发和维护，基于TrueCrypt 7.1a版本。2013年6月VeraCrypt发布初始版本，2016年进行了安全审计，最新版本是2018年9月23号发布的1.23。VeraCrypt支持Windows、MacOS和Linux平台，暂不支持安卓和iOS。html

相对于其余磁盘加密软件，VeraCrypt的优点在于：linux

开源，活跃开发中。TrueCrypt的另外一个分支CipherShed基本已暂停开发；
跨平台，支持PC上的主流操做系统。对比之下BitLocker官方仅支持Windows、eCryptfs只支持Linux;
安全，2016年由专业机构对VeraCrypt进行安全审计，发现多个高危漏洞并进行了修复；
功能强大。既支持文件容器的加密、卷隐藏，也支持分区/设备加密，Windows下还支持系统盘启动加密。

VeraCrypt安装

VeraCrypt的源码托管在官网、Sourceforge、GitHub等多个网站上。发布的版本及可执行文件可从lauchpad、Sourceforge等网站下载。官网的Windows版本下载地址是https://launchpad.net/veracry...（launchpad下载地址）。下载exe后点击安装便可。算法

其余操做系统的下载地址请访问官网。安全

VeraCrypt使用

Windows上，VeraCrypt支持三种加密方式：加密文件卷；加密非系统分区/设备；加密系统分区/设备。非Windows操做系统不支持对系统所在设备加密。架构

下文基于Windows分别对三种加密进行说明。ide

加密文件卷

通俗的理解，加密文件卷是一个加密的压缩文件或者ISO文件。没有解密的文件卷是一个普通的文件，容许任何有效的文件名后缀，往文件卷读写文件时需先挂载。工具

接下来图文结合展现加密文件卷的建立和使用。性能

启动VeraCrypt后，点击“建立加密卷”，在弹出来的引导界面中选择“建立文件型加密卷”：网站

点击“下一步”进入加密卷类型选择界面。标准加密卷是文件夹中的一个文件，隐藏加密卷是加密卷中的隐藏文件。关于隐藏加密卷和隐藏分区在后文备注，这里咱们选择“标准VeraCrypt加密卷”。

而后选择加密卷的存放位置：点击“选择文件”，找一个文件夹，输入保存文件的文件名，例如“演唱会.avi”。文件名能够是任意合法的文件名，不限定后缀。注意不要选择已有的文件，不然会删除其内容。

接着选择加密算法和哈希算法。使用默认设置便可，除非你对密码学比较了解。点击下一步，选择加密卷的大小，好比1GB。肯定好好加密卷大小后设置加密卷的密码：

最后选择文件系统格式和簇大小。文件系统建议使用"exFAT"或“NTFS”，簇大小保持默认或“4KB”，而后点击“格式化”。”NTFS“格式化过程当中可能会出现受权弹框，点击肯定便可：

格式化后即完成了加密卷的建立过程，此时能够关掉向导。

建立好加密卷，要先挂载才能进行读写。回到软件主界面，点击“选择文件”，找到刚才建立的加密卷文件，点击“加载”，在弹出窗口输入建立时设置的密码，点击“肯定”：

VeraCrypt校验密码无误后开始解密文件，解密完成后“个人电脑”中会出现一个新的硬盘，盘符是挂载时选择的盘符。

接下来要加密数据，将文件拖入加密盘里便可；将文件从加密盘复制到普通硬盘，就完成了数据的解密。同理能够建立和删除文件，使用上加密卷硬盘和普通硬盘（文件夹）没有区别。

使用完后，能够点击软件主界面上的“卸载”将加密盘卸载掉。

若是不想再对文件加密，可点击“加密卷工具”中的“永久解密”，将加密文件释放出来。

加密非系统分区/设备

若是有不少重要的数据放在同一个分区或者硬盘上，能够考虑对整个分区进行加密。建立VeraCrypt加密分区/设备的操做与建立加密卷大体相同，一些步骤上略有出入。

因为要加密整个设备或分区，引导时弹出来的是分区和设备信息：

后续会提示选择加密卷建立模式。若是分区或者设备内数据较少，建议备份后选“建立加密卷并格式化”；若是分区或设备内已有大量数据，建议选择“就地加密分区”：

最后一步格式化时，若是分区/设备内有数据，会弹出警告确认框。确认数据已备份后，点击“经过在分区内建立VeraCrypt加密卷擦除刚分区上的任何文件”：

若是分区较大，格式化须要必定时间，完成后会弹出加密设备/分区的使用方法：

除主界面的“选择文件”改为“选择设备”，使用上与加密卷一致，这里再也不重复。

隐藏加密卷和隐藏分区/设备

因隐藏加密卷和隐藏分区/设备的操做相同，本节如下内容以(隐藏)加密卷作说明。

结合上述内容，本身动手实践，读者到这里应该对加密卷有基本的理解。在加密卷基础上，能够进行更高层次的文件保护，那就是选择类型时出现的“隐藏加密卷”。

首先澄清一下概念，“隐藏卷”和“卷中卷/嵌套卷”有所不一样。嵌套卷是在一个加密卷里再放一个加密文件卷，相似于RAR文件中的RAR文件；隐藏卷是在卷中划分出一片空间给隐藏卷使用，不是简单在里面放加密卷。若是只打开外层加密卷，看不到隐藏卷的内容，也不能知道是否有隐藏卷。这正是隐藏加密卷的厉害之处。

除非事先知道有隐藏卷，不然没法判断，VeraCrypt也不知道加密卷内是否有隐藏的内容。由于隐藏卷必然伴随着外层卷，如何操做二者是有讲究的。

对含有隐藏卷的加密卷，有三种操做模式：

打开加密卷时，只输入外层卷密码。这种模式直接打开外层卷，可对其进行读写。因为VeraCrypt不知道是否有隐藏卷，往加密卷中写内容可能会损坏隐藏卷的数据。若是你知道有隐藏卷，在加载时能够点击“加载选项”，在弹框中勾选“以只读模式加载加密卷”，保护隐藏卷的数据；
打开加密卷时，只输入隐藏卷的密码。这种模式直接显示隐藏卷，隐藏卷的操做不影响外层卷；
打开加密卷时，先输入外层卷的密码，同时在“加载选项”弹框中勾选“向外层加密卷写入数据时保护隐藏加密卷”，并输入隐藏卷的密码。这种模式打开外层卷，但VeraCrypt知道含有隐藏卷，写数据时不会覆盖隐藏卷占用的空间，数据是安全的。往外层卷写入大量数据，即便外层卷空间不足，VeraCrypt也不会往隐藏卷上写数据，而是直接提示“写入失败”。

若是有十分重要的数据须要放在隐藏卷中，外层加密卷应该存放一些“相对”不那么重要的文件，用以蒙蔽胁迫你说出密码的人。但千万要记住，不要说出隐藏卷的密码，不然会直接解锁隐藏卷！

加密系统分区/设备

若是想更安全的保护设备，能够考虑对系统盘/分区也进行全盘加密。系统盘加密后，系统启动过程当中要先输入密码，解密硬盘数据后才能正常启动操做系统。目前MacOS、iOS、安卓等操做系统均支持使用全盘加密，硬盘拆下来也没法在其余设备上读取数据，大大提升安全性。

VeraCrypt仅支持对Windows进行系统盘加密，而且不支持2003等旧系统、安腾架构以及移动设备：

此功能耗时较长。本人未试验，暂不提供详情。

实用建议

如下是一些实用建议，能帮助你更好的保护隐私数据：

实用文件卷加密数据时，文件名和后缀尽可能选有欺骗性的，并将其放在常规地方。例如文件卷取名"Window10多合一纯净版.iso"，放在“软件/操做系统”文件夹下。对10G如下的加密卷，即便设备丢失后亦不会有人怀疑其中包含敏感数据。相反一个好几G大小的txt或者word文件就会让人很生疑。
若是有更私密的数据，建议使用隐藏卷功能；
文件加解密有必定的性能损耗，请选择必要的文件放入加密卷/设备内；
妥善管理密码，并建议加密时添加辅助解密的密钥文件；
若是能够，对新电脑使用全盘加密；将移动设备某个区做为加密分区使用，其余分区为普通分区。

总结

本人对VeraCrypt进行了简要介绍，并给出Windows上的使用说明。若有错误，敬请指正！

感谢阅读！