如何使用 VeraCrypt 加密数据并保护您的磁盘

  • VeraCrypt 是 TrueCrypt 的安全开源升级版,用于加密容器、分区和整个磁盘。
  • 它允许您创建普通卷和隐藏卷,加密 USB 驱动器,甚至可以对系统驱动器进行预启动身份验证。
  • 您的安全取决于强密码、良好的密钥管理以及标头或救援磁盘的备份。
  • 它对性能和使用复杂性有轻微影响,但高水平的数据保护弥补了这一点。
Daniel Terrasa

18分钟

使用 VeraCrypt 加密数据

保护个人和职业信息 安全如今已变得与安装优秀的杀毒软件或保持系统更新同等重要。工作文档、照片、官方文件副本、以明文形式存储的密码——所有这些信息通常都会存储在你的电脑硬盘、背包里随身携带的U盘或云存储服务中。如果有人未经许可或加密就获得了这些设备或访问了你的账户,那就如同敞开了家门。

VeraCrypt 它已确立了自身作为 TrueCrypt 的天然继承者的地位。 这款软件能够为 Windows、Linux 和 macOS 系统上的数据提供强大的加密功能。它允许您创建加密容器、保护 U 盘和外置硬盘,甚至可以在 Windows 启动前对安装操作系统的整个磁盘进行加密并进行身份验证。在本指南中,您将详细了解它的功能、工作原理以及如何使用它来保护您的文件,而无需成为安全专家。

从 TrueCrypt 到 VeraCrypt:加密格局为何发生变化

TrueCrypt 多年来一直是事实上的标准。 它曾用于加密磁盘和文件夹,直到其开发者在 2014 年突然放弃了该项目。在其官方网站上,他们建议停止使用该软件,警告其存在潜在的安全漏洞,并建议改用 BitLocker 或其他集成到 Linux 和 macOS 中的加密系统。最后一个版本 7.2 仅限于解密现有卷,无法创建新的卷。

面对那份空虚, 一个独立的开发者团队推出了 VeraCrypt 它源自 TrueCrypt 代码的一个分支。在此基础上,他们一直在修复漏洞、加强加密参数,并整合新的加密算法和高级安全功能。对许多人来说,TrueCrypt 的退役之所以引起如此强烈的反响,是因为它是少数几个能够严重阻碍美国国家安全局 (NSA) 或联邦调查局 (FBI) 等机构访问缴获磁盘的工具之一。

如今,普遍的建议是把 TrueCrypt 留在过去。 仅使用 VeraCrypt它不仅解决了遗留问题,而且通过支持 AES-NI 加速提高了性能,增加了更灵活的加密选项,并通过频繁发布版本和外部安全审计保持活跃状态​​。

veracrypt

VeraCrypt是什么?它与其他解决方案有何不同?

VeraCrypt 是一种 即时(OTFE)磁盘加密软件它是一款免费开源工具,可以实时加密数据,且对用户完全透明。您可以创建一个容器文件,像挂载其他驱动器一样挂载它;也可以加密特定分区(D:、E:、F: 等);或者在 Windows 系统中使用预启动身份验证加密整个系统磁盘。

它是 适用于 Windows、Linux、macOS 和部分 BSD 系统这使其对混合环境或经常切换平台的用户尤其具有吸引力。在 macOS 和 Linux 系统上,它不会加密系统分区,但会加密容器和辅助磁盘或分区,这与它在 Windows 系统上的做法非常相似。

VeraCrypt 的一大优势是 其代码的透明度作为开源软件,它已通过独立机构和专家的审核。QuarksLab 和德国联邦信息安全局 (BSI) 等机构对其安全性进行了审查,漏洞已得到修复,默认加密参数也已加强。此外,它还实现了 AES、Serpent、Twofish、Camellia 和 Kuznyechik 等行业标准算法,采用 XTS 模式,并使用 PBKDF2 密钥派生算法,通过数十万次迭代来抵御暴力破解攻击。

与 BitLocker 或其他专有解决方案相比, VeraCrypt 提供对加密方式和加密内容更精细的控制,允许使用“似是而非的否认”来隐藏卷,并且可以在多个操作系统上运行。作为回报,它缺少集中式管理控制台和与 Active Directory 或 TPM 的直接集成;有关硬件身份验证解决方案,请参阅[相关文档链接]。 Windows的业务Hello因此,在大公司中,它通常与更“自动化”的企业工具并存。

VeraCrypt 的主要特性和功能

VeraCrypt 的设计 适用于家庭用户和专业环境 需要强大的加密功能。以下是它的主要功能,我们将其分组,以便您清楚地了解它能为您做些什么。

  • 创建加密容器。 最灵活的选择是创建一个充当“加密虚拟磁盘”的文件。该文件可以存储在您的内部硬盘驱动器、U盘、外部硬盘驱动器,甚至是文件服务器或云存储服务中。
  • 加密磁盘和整个分区如果您不想使用容器文件,也可以加密整个分区或磁盘。这非常适合用于U盘、SD卡、外置硬盘或额外的PC硬盘。
  • 系统驱动器加密,带预启动身份验证。 它的主要功能之一是能够加密安装 Windows 的整个磁盘。启动计算机时,会出现一个小型 VeraCrypt 启动管理器,提示您输入密码(以及可选的 PIM 或密钥文件)。
  • 实时加密和硬件加速。 加密和解密过程自动实时完成。用户只会看到另一个驱动器。如果您选择 AES 加密算法且您的处理器支持 AES-NI,则读写性能非常高,以至于在很多情况下,性能瓶颈在于驱动器本身,而非加密算法。
  • 隐藏卷宗以进行似是而非的否认VeraCrypt 允许您在一个卷内创建一个“隐藏”卷。一个密码用于挂载外部(普通)卷,另一个密码用于挂载隐藏卷。

veracrypt

下载、安装和使用方式(安装版或便携版)

最明智的做法是 请务必从 VeraCrypt 官方网站下载。您可以在这里找到适用于 Windows、macOS、Linux 和 FreeBSD 的安装程序以及源代码。该软件没有付费版本:完全免费,您可以不受任何限制地使用。

在 Windows 系统中,安装程序提供了两种可能性。:

  • 在系统上安装该程序。
  • 解压文件即可在“便携”模式下使用。

如果您的目标是加密系统磁盘或 Windows 安装分区,则必须进行安装。对于加密 U 盘、外置硬盘或其他可移动存储介质,便携模式非常有用,因为您可以将可执行文件复制到设备本身的未加密分区,然后在其他计算机上使用,而无需安装任何程序。

El 安装向导 它和其他程序一样:选择语言,接受许可协议,选择是否在桌面或“开始”菜单中创建快捷方式,就完成了。最后,VeraCrypt 通常会提供一份新手指南,如果您是第一次使用这类软件,建议阅读一下。

在Linux和macOS系统上,安装是通过特定的软件包完成的。 或者根据发行版的不同,通过从源代码编译来创建卷。无论哪种方式,创建卷的界面和基本步骤都与 Windows 非常相似,因此很容易在不同平台之间迁移。

逐步加密“普通”容器

对许多用户来说,他们与 VeraCrypt 的首次接触将是创建加密文件容器。所有系统的总体流程都类似,如下所示:

1. 创建卷在 VeraCrypt 主窗口中,点击“创建卷”。向导会询问您要执行的操作;选择“创建加密文件容器”。然后选择“通用 VeraCrypt 卷”(标准卷),而不是隐藏卷,我们稍后会讨论隐藏卷。

2. 选择容器文件的位置和名称使用“选择文件”按钮指定路径和名称。您不必选择现有文件;只需输入新容器的名称(例如,“work_data.hc”)。您可以将此文件保存到本地驱动器、U盘、NAS,甚至是与云端同步的文件夹。

3. 选择加密和哈希算法VeraCrypt 默认使用 AES 作为对称加密算法,并使用 SHA-512 或 SHA-256 作为哈希函数。AES 是当前的标准,如果您的 CPU 支持 AES-NI,则可以获得卓越的性能。您可以使用“基准测试”选项测试不同的组合,以确定哪种组合在您的系统上性能最佳。不过,在大多数情况下,AES + SHA-256 的组合已经足够使用。

4. 定义体积大小以兆字节 (MB) 或千兆字节 (GB) 为单位指定容器大小。考虑一下您的使用方式:如果只是存储少量文档,几百兆字节就足够了;但如果要存储完整的备份,则可能需要几千兆字节甚至更多。

5. 配置身份验证:密码、密钥文件和 PIM至少,您应该创建一个强密码,混合使用大小写字母、数字和符号,并保持合理的长度。如果 VeraCrypt 检测到您的密码强度不足,它会发出警告。此​​外,您还可以使用密钥文件(任何作为密钥一部分的文件)以及一个名为 PIM(个人迭代倍数)的数值,这可以增加密码的破解难度。结合这三项措施,可以提供非常高的安全性。

6. 选择文件系统并创建卷对于外置硬盘上的容器,exFAT 通常是一个不错的选择;对于内置硬盘,NTFS 格式更合适;而对于基本用途,如果不会有任何大于 4 GB 的文件,FAT 格式也足够了。在点击“格式化”按钮之前,向导会提示您在窗口内随机移动鼠标,直到进度条变为绿色:这些移动操作会作为熵源,用于生成更不可预测的密钥。格式化完成后,卷即可使用。

7. 组装和拆卸容器返回主窗口,选择一个空闲的驱动器号,点击“选择文件”,指向容器,然后点击“挂载”。输入密码(以及密钥文件和 PIM 文件,如果适用),一个新的驱动器将出现在“此电脑”中。您复制或修改的任何内容都将自动加密。要关闭它,只需“卸载”驱动器或使用“全部卸载”即可。

veracrypt

隐藏卷宗:合理否认是如何运作的

La 隐藏音量功能 这是 VeraCrypt 最受关注的功能之一。它的目的是让您在压力下透露一个“无害的”密码,同时将真正敏感的数据安全地保存在一个无法证明其存在性的卷中。

基本方案如下:

  1. 首先,创建一个“外部”卷(普通卷),并为其设置密码和大小。
  2. 在该卷的空余空间内,还隐藏着第二个卷,其中包含另一个密钥、其他加密算法(如果您需要的话),而且体积更小。
  3. 挂载容器文件时,VeraCrypt 会根据输入的密码决定要打开哪个卷。

要创建隐藏体积,再次使用以下方法: 创作助理这次,请选择“隐藏的 VeraCrypt 卷”选项。系统会先引导您完成外部卷的配置(加密方式、哈希值、大小、密码、文件系统),然后再定义隐藏卷:它占用多少空间、使用哪种加密方式以及使用什么密码。

至关重要 尊重为隐藏空间预留的空间例如,如果外部卷为 50 MB,隐藏卷为 25 MB,则不应将外部卷填满,以免溢出到隐藏卷所在的区域。VeraCrypt 包含隐藏卷保护模式以降低风险,但谨慎操作并预留一些空间仍然是明智之举。

对U盘、SD卡和整个外置硬盘进行加密

U盘和移动硬盘是最容易丢失或落入不法分子手中的物品之一。因此,它们显然是加密的理想对象。此外,您可以将加密与……结合使用 USB数据阻断器 为了更有效地保护数据。使用 VeraCrypt,您可以根据需要全面保护数据或保留现有数据。

1. 在向导中选择合适的选项设备连接后,点击“创建卷”,然后选择“加密分区/辅助驱动器”。和之前一样,选择创建普通卷还是隐藏卷。然后,点击“选择设备”,选择U盘或外置硬盘上的特定分区。

2. 通过格式化或保留数据创建卷VeraCrypt 提供两种选择:通过格式化驱动器创建新的加密卷(速度快,但会擦除所有数据)或加密分区并保留数据(速度较慢,但​​不会丢失任何数据)。在许多情况下,最便捷的方法是备份数据,使用 VeraCrypt 格式化,然后再恢复文件。

3. 配置加密、哈希和身份验证与容器操作类似,您可以选择加密和哈希算法,定义是仅使用密码还是同时使用密钥文件和密码管理工具 (PIM),移动鼠标生成熵,然后单击“格式化”。程序会警告您,如果您选择从头开始创建卷,驱动器上的数据将会丢失。

4. 挂载并使用加密设备流程完成后,操作系统会将该驱动器识别为“未格式化”或提示您进行格式化。请忽略这些提示信息。要使用该驱动器,请在 VeraCrypt 中点击“选择设备”,选择加密分区,分配一个空闲的驱动器号,然后输入密码进行挂载。之后,系统会生成一个新的驱动器(例如 F:),您可以在其中读写数据,所有数据都会被透明地加密。

使用完毕后,务必从 VeraCrypt 中卸载驱动器。 在断开 USB 连接或关闭计算机之前,请像使用“安全删除硬件”一样执行此操作。这可以防止数据损坏并确保卷已正确关闭。

veracrypt

使用 VeraCrypt 加密您的整个 Windows 驱动器

VeraCrypt 在 Windows 系统上提供的最高保护级别是 对系统安装所在的磁盘分区或整个磁盘进行加密这样一来,即使笔记本电脑被盗或硬盘被盗,没有密钥,他们也无法启动 Windows 系统或读取任何文件。

在正式上线之前,你需要考虑一些事项。 注意事项对重要数据进行完整备份(备份到另一个硬盘、云端等)。请参阅我们的 备份方法比较确保计算机在操作过程中不会断电(插上电源或连接到不间断电源),最重要的是,选择一个你不会忘记的密码。如果你忘记了启动密码,访问系统将变得极其困难。

系统加密向导大致遵循以下步骤:

  1. 在“创建卷”中,选择“加密整个系统分区/驱动器”。
  2. 您可以选择“普通”作为加密类型(“隐藏”模式是在另一个系统中创建一个系统,适用于非常特定的场景)。
  3. 您可以决定是只加密 Windows 分区还是加密整个物理磁盘。
  4. 您需要说明您使用的是单操作系统(“单启动”)还是多启动。
  5. 除非您确切知道为什么要更改,否则请保留默认的加密 (AES) 和哈希 (SHA-256 或 SHA-512) 值。

然后就到了……的时刻。 设置启动密码它应该让你印象深刻,但也很复杂:字符组合在一起,没有明显的规律,而且有一定的长度。如果向导认为它不可靠,可能会显示警告,但风险由你承担。然后,VeraCrypt 会要求你移动鼠标一段时间,以此生成内部密钥。

该过程的关键部分是c创建救援磁盘该程序会生成一个 ISO 镜像文件,您应该将其刻录到 U 盘或其他安全存储设备上。此光盘可用于恢复 VeraCrypt 启动管理器,并在某些故障情况下恢复系统,但您始终需要密码。您可以选择跳过恢复光盘验证,但不建议这样做。

在实际加密磁盘之前, VeraCrypt 执行“启动测试”电脑重启后,VeraCrypt 会弹出提示框,要求输入解密密钥。如果一切顺利,Windows 系统将正常启动。回到桌面后,程序会显示测试成功,此时即可开始对系统盘进行实际加密。

为什么加密文件和设备是值得的

抛开技术层面不谈, 重要的是要了解在哪些情况下数据加密会起到作用。这不是杞人忧天,而是为了降低日常生活中非常现实的风险。

在云端存储文件而不进行加密会增加额外的攻击面。虽然各大供应商都实施了自己的安全措施,但了解其运作方式仍然很有用。 在 Office 和 Windows 中管理元数据安全漏洞可能出现,包括特权员工未经授权的访问、配置错误或用户疏忽。如果您将之前使用 VeraCrypt 加密的文件(容器或备份)上传到云端,即使是大规模数据泄露也可能导致没有密钥的数据无法读取。

无论是在家还是在办公室,共享电脑上的加密都能防止他人窥视。如果多人共用一台电脑,或者其他同事可以实际接触到设备,加密容器就是一个非常清晰的边界:没有密码,无论彼此之间有多大的信任,都无法访问内容。

防范恶意软件和未经授权的远程访问数据加密可以增加一层额外的安全保障。木马程序即使成功入侵系统,也能轻易窃取明文文件,但如果它找到的都是已加密的卷,那么获取的信息就毫无用处。当然,这并不能取代优秀的杀毒软件或更新的操作系统(参见[相关文档链接])。 Windows 中的在线安全但它能提供保护。

如果您的任何账户被盗用 (例如,您存储容器的云服务,或者您发送加密文件的电子邮件),攻击者只会看到看似随机的数据块。这凸显了直接发送敏感 PDF 文件与将其包含在加密 ZIP 文件或 VeraCrypt 卷中发送之间的区别。

在商业和专业领域,许多法律都要求对某些数据进行加密。数据保护法规、反洗钱法以及针对律师和医疗机构的职业保密法均要求对敏感信息进行加密,或者至少明确建议将加密作为一项适当的安全措施。VeraCrypt 等工具有助于满足这些要求,前提是它们必须配备完善的密钥管理和适当的内部政策。

使用 VeraCrypt 加密的真正优缺点

任何严肃的加密系统 它有明显的优点,但也存在一些缺点。 事先了解这些信息很有帮助,以免出现意外情况。

其优势包括零成本、透明和灵活。VeraCrypt 是一款免费开源软件,可在多种操作系统上运行,并提供不同级别的保护(容器、辅助磁盘、全系统、隐藏卷等)。它还支持多种国际认可的加密算法,并通过了独立审计。

只要密码和密钥管理正确,它提供的安全级别就非常高。多次迭代使用 PBKDF2,并结合密钥文件和密码管理器 (PIM) 的功能,使得暴力破解攻击的成本极其高昂。此外,采用良好的安全实践(例如使用唯一密码、KeePassXC 或 Bitwarden 等密码管理器,以及备份卷头),可以构建一个非常强大的系统。

缺点在于,丢失密钥通常意味着丢失数据。VeraCrypt 没有神奇的恢复系统或后门:如果您忘记了密码并且没有备份或标头备份,加密将完全按照其应有的方式工作,即防止即使是分心的合法所有者也能访问。

另一个缺点是会对老旧硬件或不支持 AES-NI 的硬件的性能产生影响。在配备硬件加速AES处理器的现代系统中,性能下降幅度很小,通常难以察觉。然而,在老旧机器上,或者使用非常复杂的级联算法时,磁盘访问速度可能会变慢,尤其是在处理海量数据时。

在兼容性和易用性方面也存在一些局限性。系统加密仅适用于 Windows 系统,无法与 TPM 或企业级远程管理解决方案集成,而且对于不熟悉卷、分区或加密算法等概念的用户来说,其界面可能显得复杂难懂。它功能强大,但并非那种“下一步、下一步、完成”的简易向导。

最后,加密始终存在一定的数据损坏风险。如果加密文件损坏,恢复起来比恢复纯文本文件要复杂得多。这凸显了定期备份以及在关闭或断开设备连接前正确卸载卷的重要性。

如果你权衡一下学习使用 VeraCrypt 所花费的精力与它带来的微小性能损失。 与在隐私、合规性和防止丢失、被盗或攻击方面所获得的收益相比,就不难理解为什么该工具已成为家庭和商业环境中认真加密数据的基准,前提是配合妥善管理的密码和处理加密数据时的基本纪律。

Windows 系统网络安全:如何保护自己免受黑客攻击和网络攻击
相关文章:
Windows 在线安全:保护您的电脑免受黑客攻击和攻击