BitLocker 虽然可以防住普通人,但防不住一些有“实力”的人和组织,而 VeraCrypt 可以。
VeraCrypt 是一个开源的磁盘加密软件,旨在提供对数据的强大保护。它可以创建一个虚拟加密磁盘,用户可以在其中存储文件,或者可以加密整个分区或存储设备(如 U 盘)。
VeraCrypt 的主要特点包括:
写在前面:因任何不当操作导致的数据损毁、丢失等,本作者不负任何责任。
在 VeraCrypt 官网下载页面(`https://veracrypt.fr/en/Downloads.html`)中,找到 VeraCrypt Setup 1.26.15.exe 并点击下载,这是 VeraCrypt 在 Windows 中的安装包,其它平台用户请自行下载对应版本。
若已经跟着本作者的上一个帖子折腾完 GnuPG,则请点击安装包下载链接旁的“(PGP Signature)”下载`.sig`文件,然后滑到页面最底下点击 VeraCrypt 提供的 PGP 公钥文件链接并按下 Ctrl + S 保存公钥文件。
通过`.sig`文件验证源文件完整性的方法将不再此赘述。
在 VeraCrypt 安装页面中,可选择两种安装模式:“安装”和“释放”。“安装”表示正常安装软件,“释放”可以理解为解压缩所有文件到指定目录。如果有加密系统分区的需求,请不要选择“释放”选项。
接下来的安装选项没有需要特别注意的,请等待 VeraCrypt 安装完毕。
在“设置 -> 性能...”中,在左下方找到“对存储在RAM中的密钥和密码进行加密”选项并启用。启用此选项后会带来小幅度的额外 CPU 性能开销,若并非过于在意 CPU 性能即可忽略。
在 VeraCrypt 主页中,点击“创建加密卷”,选择“加密非系统分区/设备”并点击“下一步”,选择“标准 VeraCrypt 加密卷”并点击“下一步”,选择一个欲加密的分区或设备并点击“下一步”。
在加密卷创建模式中,有“创建加密卷并格式化”和“就地加密分区”两个选项。若分区中没有重要数据,或有在分区创建隐藏加密卷的需求,请选择“创建加密卷并格式化”;若分区中有重要数据,或仅想简单加密分区,请选择“就地加密分区”。选择完毕后点击“下一步”。
注意:无法在被就地加密的分区中创建隐藏加密卷!
注意:台式机用户若选择“就地加密分区”,请尽量备份分区数据或使用 UPS。
在加密选项中,“AES + SHA-512”的组合已经足够。若对安全性有高要求,请在“加密算法”中选择级联加密算法,如 AES(Twofish)、AES(Twofish(Serpent)) 等。选择完毕后点击“下一步”。
提示:级联加密算法相比于 AES 性能较差。欲了解具体的性能差距,请到 VeraCrypt 主页并在“工具 -> 基准测试...”中测试各个加密算法的加解密速度。
设置强密码算是老生常谈的问题。强密码应当符合以下特点:长度大于 20 个字符;包含大小写字母、数字以及特殊符号;不得包含简单词汇、名字和生日。
“使用密钥文件”和“使用 PIM”为可选项,若认为自己的密码强度足够高则可以略过这两个选项。
勾选“使用密钥文件”后,可选择一个或多个文件(与次序无关)作为密钥的一部分。VeraCrypt 不会修改密钥文件的内容。用涩图作为密钥文件也不是不行……
勾选“使用 PIM”后,可自定义 PIM(自定迭代次数) 的值。简而言之,使用强密码时可任意自定 PIM 的值,未使用强密码时 PIM 的值不能小于 485;PIM 大于 485 可能导致加密卷的挂载速度下降,PIM 小于 485 可能会提高挂载速度,但若未使用强密码,这会降低安全性。VeraCrypt 默认使用 485 作为 PIM 的值。
一切完毕后,点击“下一步”。
注意:若在 2.2.2 中选择“就地加密分区”选项,请略过此章节。
请根据自身需求选择“是”或“否”。
注意:若在 2.2.2 中选择“就地加密分区”选项,请略过此章节。
在“文件系统”中,若在 2.2.5 中选择“是”,请选择 exFAT 或 NTFS,反之请选择 FAT。若有在分区中创建隐藏加密卷的需求,则不推荐选择 NTFS。
对于空分区或已被完全加密过的分区,可以选择“快速格式化”。
接下来请尽可能地在窗口中随机移动鼠标,在进度条达到 100% 后点击“格式化”。
注意:若在 2.2.2 中选择“创建加密卷并格式化”选项,请略过此章节。
请尽可能地在窗口中随机移动鼠标,在进度条达到 100% 后点击“下一步”。
注意:若在 2.2.2 中选择“创建加密卷并格式化”选项,请略过此章节。
请根据分区磁盘类型(SSD 或 HDD)、自身拥有的空闲时间和对安全性的需求程度在“1-次擦除”“3-次擦除”和“7-次擦除”当中选择其一。
注意:若在 2.2.2 中选择“创建加密卷并格式化”选项,请略过此章节。
在加密前,请确保与此分区相关的进程已全部关闭。加密过程可随时中断,随时继续,但在加密完毕前无法访问分区中的文件。
确认无误后点击“加密”,并耐心等待着这漫长的加密过程。
提示:有时可能会遇到 VeraCrypt 提示无法锁定分区,要求强制卸载分区的情况。请先检查 PC 中是否依旧存在与此分区相关的进程,若确定不存在,则有概率是 System 进程在占用分区,此时可以放心卸载分区。
若一切顺利,标准加密卷已成功创建,但仍有一些注意事项。
在 VeraCrypt 主页中,点击“创建加密卷”,选择“加密非系统分区/设备”并点击“下一步”,选择“隐藏的 VeraCrypt 加密卷”并点击“下一步”。
在加密卷创建模式中,有“常规模式”和“直接模式”两个选项。“常规模式”将会首先创建一个外层加密卷,随后在外层加密卷中创建一个隐藏加密卷;“直接模式”将会在已有的标准加密卷中创建隐藏加密卷。
常规模式在创建外层加密卷时遵循 2.2.3 到 2.2.6 中的步骤。
直接模式无法在就地加密的分区中使用,且选择此模式时将需要输入标准加密卷的密码。
选择好加密卷创建模式后点击“下一步”,选择一个欲加密的分区或设备并点击“下一步”。
在隐藏加密卷加密选项中,“AES + SHA-512”的组合已经足够。若对安全性有高要求,请在“加密算法”中选择级联加密算法,如 AES(Twofish)、AES(Twofish(Serpent)) 等。选择完毕后点击“下一步”。
提示:级联加密算法相比于 AES 性能较差。欲了解具体的性能差距,请到 VeraCrypt 主页并在“工具 -> 基准测试...”中测试各个加密算法的加解密速度。
一般而言,隐藏加密卷的大小为外层加密卷的 50% 就足够,但若外层加密卷的文件系统为 NTFS,则可创建的最大隐藏加密卷的大小相比于 FAT 和 exFAT 有限。
设置强密码算是老生常谈的问题。强密码应当符合以下特点:长度大于 20 个字符;包含大小写字母、数字以及特殊符号;不得包含简单词汇、名字和生日。
“使用密钥文件”和“使用 PIM”为可选项,若认为自己的密码强度足够高则可以略过这两个选项。
勾选“使用密钥文件”后,可选择一个或多个文件(与次序无关)作为密钥的一部分。VeraCrypt 不会修改密钥文件的内容。
勾选“使用 PIM”后,可自定义 PIM(自定迭代次数) 的值。简而言之,使用强密码时可任意自定 PIM 的值,未使用强密码时 PIM 的值不能小于 485;PIM 大于 485 可能导致加密卷的挂载速度下降,PIM 小于 485 可能会提高挂载速度,但若未使用强密码,这会降低安全性。VeraCrypt 默认使用 485 作为 PIM 的值。
一切完毕后,点击“下一步”。
请根据自身需求选择“是”或“否”。
在“文件系统”中,若在 2.3.6 中选择“是”,请选择 exFAT 或 NTFS,反之请选择 FAT。
接下来请尽可能地在窗口中随机移动鼠标,在进度条达到 100% 后点击“格式化”。
在 VeraCrypt 主页中,选择一个盘符和设备,接着点击“加载”,输入标准加密卷密码后点击“确定”。若密码无误且分区正常,标准加密卷将被挂载到指定盘符。
在 VeraCrypt 主页中,选择一个盘符和设备,接着点击“加载”,输入隐藏加密卷密码后点击“确定”。若密码无误且分区正常,隐藏加密卷将被挂载到指定盘符。
请将真正重要的文件存放进去。
在 VeraCrypt 主页中,选择一个盘符和设备,接着点击“加载”,输入外层加密卷密码后点击“确定”。若密码无误且分区正常,外层加密卷将以常规模式被挂载到指定盘符。
以常规模式挂载外层加密卷适合在面对无法拒绝的透露加密卷密码要求时使用。
在 VeraCrypt 主页中,选择一个盘符和设备,接着点击“加载”,点击“加载选项...”,勾选“向外层加密卷写入数据时保护隐藏加密卷”并输入隐藏加密卷密码后点击“确定”,接着输入外层加密卷密码并点击“确定”。若密码无误且分区正常,外层加密卷将以保护隐藏加密卷模式被挂载到指定盘符。
以保护隐藏加密卷模式挂载外层加密卷适合在存放“诱饵文件”时使用。
Android 用户可使用 EDS Lite 软件作为平替,其仅支持文件型加密卷。以下是 EDS Lite 的官网(仅支持 Google 商店下载):
或者可在这个网站中直接下载`.apk`文件(需挂 T):