隐私保护工具之磁盘加密软件 VeraCrypt

VeraCrypt – 为偏执狂提供强大安全的免费开源磁盘加密.

veracrypt简介

把你的敏感数据加密存储保存,只有特定的密码+密钥才能解开.

VeraCrypt 是一个免费的开源磁盘加密软件，适用于 Windows、Mac OSX 和 Linux。由IDRIX ( https://www.idrix.fr ) 提供并基于 TrueCrypt 7.1a.

VeraCrypt 是一种用于建立和维护动态加密卷（数据存储设备）的软件。动态加密意味着数据在保存前自动加密，加载后立即解密，无需任何用户干预。如果不使用正确的密码/密钥文件或正确的加密密钥，则无法读取（解密）存储在加密卷上的数据。整个文件系统被加密（例如，文件名、文件夹名、每个文件的内容、可用空间、元数据等）。文件可以复制到挂载的 VeraCrypt 卷中，也可以从任何普通磁盘复制文件（例如，通过简单的拖放操作）。在从加密的 VeraCrypt 卷中读取或复制文件时，文件会被自动解密（在内存/RAM 中）。同样，正在写入或复制到 VeraCrypt 卷的文件会自动在 RAM 中动态加密（就在它们写入磁盘之前）。

请注意，这并不 意味着要加密/解密的整个文件必须先存储在 RAM 中，然后才能对其进行加密/解密。VeraCrypt 没有额外的内存 (RAM) 要求。有关如何完成此操作的说明，请参见以下段落。假设有一个 .avi 视频文件存储在 VeraCrypt 卷上（因此，视频文件是完全加密的）。用户提供正确的密码（和/或密钥文件）并挂载（打开）VeraCrypt 卷。当用户双击视频文件的图标时，操作系统会启动与文件类型相关的应用程序——通常是媒体播放器。然后媒体播放器开始将视频文件的一小部分初始部分从 VeraCrypt 加密的卷加载到 RAM（内存）以播放它。在加载该部分时，VeraCrypt 会自动对其进行解密（在 RAM 中）。视频的解密部分（存储在 RAM 中）然后由媒体播放器播放。在播放这部分时，媒体播放器开始将视频文件的另一小部分从 VeraCrypt 加密卷加载到 RAM（内存）并重复该过程。此过程称为动态加密/解密，它适用于所有文件类型（不仅适用于视频文件）。

请注意，VeraCrypt 从不将任何解密的数据保存到磁盘——它只是将它们临时存储在 RAM（内存）中。即使安装了卷，存储在卷中的数据仍然是加密的。当您重新启动 Windows 或关闭计算机时，该宗卷将被卸载，其中存储的文件将无法访问（并且已加密）。即使电源突然中断（没有正确关闭系统），存储在卷中的文件也无法访问（并且已加密）。要使它们再次可访问，您必须安装卷（并提供正确的密码和/或密钥文件）。

VeraCrypt主要特点：

• 在文件中创建虚拟加密磁盘并将其作为真实磁盘挂载。
• 加密整个分区或存储设备，例如 USB 闪存驱动器或硬盘驱动器。
• 加密安装 Windows 的分区或驱动器（预启动身份验证）。
• 加密是自动的、实时的（即时）和透明的。
• 并行化和流水线允许数据的读取和写入速度与驱动器未加密一样快。
• 加密可以在现代处理器上进行硬件加速。
• 提供合理的可否认性，以防对手强迫您泄露密码：隐藏​​卷（隐写术）和隐藏的操作系统。
• 有关 VeraCrypt 功能的更多信息，请参阅文档

VeraCrypt下载地址

https://veracrypt.fr/en/Downloads.html

最新稳定版本 – 1.25.9（2022 年 2 月 19 日星期六）

• Windows：
  • EXE 安装程序： VeraCrypt 安装程序 1.25.9.exe (21.1 MB)  （PGP 签名）
  • 适用于 Windows 10 及更高版本的 MSI 安装程序（64 位）： VeraCrypt_Setup_x64_1.25.9.msi (29 MB)  （PGP 签名）
  • 便携版： VeraCrypt Portable 1.25.9.exe (20.9 MB)  （PGP 签名）
  • 调试符号： VeraCrypt_1.25.9_Windows_Symbols.zip (18.4 MB)  （PGP 签名）
• macOS：
  • macOS Mavericks 10.9 及更高版本： VeraCrypt_1.25.9.dmg (11.7 MB)（PGP 签名）
  • 必须安装 OSXFUSE 3.10 或更新版本。
• Linux：
  • 通用安装程序： veracrypt-1.25.9-setup.tar.bz2 (41.5 MB)（PGP 签名）
  • 适用于不带 SSE2 的 32 位 CPU 的 Linux 旧版安装程序： veracrypt-1.25.9-x86-legacy-setup.tar.bz2 (13.8 MB)  （PGP 签名）
  • Debian/Ubuntu 软件包：
    • Debian 11：
      • 图形用户界面： veracrypt-1.25.9-Debian-11-amd64.deb   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-Debian-11-amd64.deb   （PGP 签名）
    • Debian 10：
      • 图形用户界面： veracrypt-1.25.9-Debian-10-amd64.deb   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-Debian-10-amd64.deb   （PGP 签名）
    • Ubuntu 21.10：
      • 图形用户界面： veracrypt-1.25.9-Ubuntu-21.10-amd64.deb   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-Ubuntu-21.10-amd64.deb   （PGP 签名）
    • Ubuntu 21.04：
      • 图形用户界面： veracrypt-1.25.9-Ubuntu-21.04-amd64.deb   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-Ubuntu-21.04-amd64.deb   （PGP 签名）
    • Ubuntu 20.04：
      • 图形用户界面： veracrypt-1.25.9-Ubuntu-20.04-amd64.deb   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-Ubuntu-20.04-amd64.deb   （PGP 签名）
    • Ubuntu 18.04：
      • 图形用户界面： veracrypt-1.25.9-Ubuntu-18.04-amd64.deb   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-Ubuntu-18.04-amd64.deb   （PGP 签名）
  • RPM 包：
    • CentOS 8/Fedora 34：
      • 图形用户界面： veracrypt-1.25.9-CentOS-8-x86_64.rpm   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-CentOS-8-x86_64.rpm   （PGP 签名）
    • CentOS 7：
      • 图形用户界面： veracrypt-1.25.9-CentOS-7-x86_64.rpm   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-CentOS-7-x86_64.rpm   （PGP 签名）
    • CentOS 6：
      • 图形用户界面： veracrypt-1.25.9-CentOS-6-x86_64.rpm   （PGP 签名）和 veracrypt-1.25.9-CentOS-6-i686.rpm   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-CentOS-6-x86_64.rpm   （PGP 签名）和 veracrypt-console-1.25.9-CentOS-6-i686.rpm   （PGP 签名）
    • openSUSE 15：
      • 图形用户界面： veracrypt-1.25.9-openSUSE-15-x86_64.rpm   （PGP 签名）
      • 控制台： veracrypt-console-1.25.9-openSUSE-15-x86_64.rpm   （PGP 签名）
• 树莓派（arm64 和 armhf）：
  • Debian 11 Bullseye：
    • 图形用户界面： veracrypt-1.25.9-Debian-11-arm64.deb   （PGP 签名）和 veracrypt-1.25.9-Debian-11-armhf.deb   （PGP 签名）
    • 控制台： veracrypt-console-1.25.9-Debian-11-arm64.deb   （PGP 签名）和 veracrypt-console-1.25.9-Debian-11-armhf.deb   （PGP 签名）
  • Debian 10 Buster：
    • 图形用户界面： veracrypt-1.25.9-Debian-10-arm64.deb   （PGP 签名）和 veracrypt-1.25.9-Debian-10-armhf.deb   （PGP 签名）
    • 控制台： veracrypt-console-1.25.9-Debian-10-arm64.deb   （PGP 签名）和 veracrypt-console-1.25.9-Debian-10-armhf.deb   （PGP 签名）
  • Ubuntu 20.04：
    • 图形用户界面： veracrypt-1.25.9-Ubuntu-20.04-arm64.deb   （PGP 签名）和 veracrypt-1.25.9-Ubuntu-20.04-armhf.deb   （PGP 签名）
    • 控制台： veracrypt-console-1.25.9-Ubuntu-20.04-arm64.deb   （PGP 签名）和 veracrypt-console-1.25.9-Ubuntu-20.04-armhf.deb   （PGP 签名）
• FreeBSD 12/13 (amd64): veracrypt-1.25.9-freebsd-setup.tar.bz2 (7.7 MB) ( PGP 签名)
• 源代码：
  • VeraCrypt 1.25.9 源代码（Windows Zip） （PGP 签名）
  • VeraCrypt 1.25.9 源代码（UNIX tar bzip2） （PGP 签名）
  • VeraCrypt DCS EFI 引导加载程序 1.25.9 源 （PGP 签名）
• 用户指南 CHM： VeraCrypt 1.25.9 用户指南 CHM  （PGP 签名）
• 完整的更改列表： README.txt （PGP 签名）
• 校验和：
  • VeraCrypt 1.25.9 发布文件的 SHA256 总和 （PGP 签名）
  • VeraCrypt 1.25.9 发布文件的 SHA512 总和 （PGP 签名）
• 包含所有发布文件的捆绑包：
  • VeraCrypt_1.25.9_Bundle.7z  （PGP 签名）
  • VeraCrypt 1.25.9 Bundle  （PGP 签名）的 SHA256/SHA512 总和

以前的版本

所有以前 VeraCrypt 版本的软件包和安装程序都可以在https://sourceforge.net/projects/veracrypt/files/找到。

veracrypt使用方法

此处以Windows为例.

创建一个文件型加密卷(标准veracrypt加密卷)

①点击创建加密卷–创建文件型加密卷

②勾选标准veracrypt加密

③选择加密卷位置(你创建的加密卷要放的地方及名称)

例如:我加密卷起名为ddosi.org 并将其保存在桌面上.

④加密选项默认即可

⑤加密卷大小根据自己需求设置.

比如我要用这个加密卷隐藏1G左右的文件,那么我就给个2G大小

⑥设置密码+密钥文件+PIM码

比如我的密钥文件选择的是桌面上的一首音乐(你也可以选择其他任何文件作为密钥)

直接把这个音乐文件拖进去即可

PIM设置一个大于485的数字,比如我这里设置的PIM为32649,至于PIM是什么一会解释.(PIM尽量不要设置太大,不然很费时间才能完成操作)

⑦加密卷格式化

用你的鼠标在这个软件界面上胡乱移动,直到下面的横条全部变成绿色:

就是变成如下这个样子,然后点击格式化.

PIM输入过大的话,这个地方就会耗时很久,总之,等桌面出现ddosi.org这个加密卷,且弹出来如下提示时,说明加密卷创建完成.

接下来点击退出即可

至此,加密卷创建完成,在桌面上以ddosi.org的形式存在.

⑧需要重点保护的东西

• ddosi.org —–加密卷
• Roll Is One (Original Mix)-Pasha Lee、Ruler.flac ———密钥文件
• 密码
• 32649 ——-PIM码

打开加密卷

我们已经创建了一个加密卷,接下来就是在这个加密卷中存储东西

以桌面上的ddosi.org 加密卷文件为例进行打开:

为了演示节省时间,我重新创建了一个PIM相对较小的加密卷(PIM为649的),这样的话解密较快.[如果你之前创建的PIM为32649,建议你重新创建一个PIM小的,以免卡死]

①选择一个空的盘符,比如Z:
②把加密卷 ddosi.org 拖进去选择文件的方框里
③点击左下角的加载按钮
④输入密码
⑤勾选使用PIM,输入PIM码
⑥勾选使用密钥文件(S),点击密钥文件(K),把密钥文件拖进去
⑦点确定,等待解密完成,双击Z:盘就可以打开此加密卷
⑧把你想要隐藏的文件拖进去这个Z盘中即可,最终的文件都会保存在这个名叫 ddosi.org 的加密卷中.

把你想要隐藏的文件拖进去Z盘中即可

使用完点击卸载按钮即可.

创建隐藏的veracrypt加密卷

简单来说就是创建一个加密卷,输入不同的密码密钥打开的东西不一样,就是说在被别人发现你加密卷时,你用来骗过对方的手段,打开一个无关紧要的文件给他看,证明你隐藏的文件是个清白的,但是实际上你另一个密码打开的才是你真正隐藏的文件.

与上次不同的是这次需要勾选如下所示创建隐藏的veracrypt加密卷
第二点不同是要创建两次加密卷(外层+内层)
第三点要注意的是外层的空间要比内层大.

看如下gif演示:

现在我们在外层加密卷里面放入一个文件:IDA 7.7 KeyGen.7z

在内层加密卷里放入文件:比特币钱包seed-bitcoin.txt

用不同的密码+pim+密钥打开的同一个文件看到的东西就是不一样的

外层加密卷看到的如下所示:

内层加密卷看到的如下所示:

看下面的gif演示:

如果有人强迫你交出密码和密钥文件,此时你可以输入外层加密卷的密码+PIM+密钥,给他看无关紧要的东西.

PIM相关知识

PIM (Personal Iterations Multiplier)代表“个人迭代乘数”。它是 VeraCrypt 1.12 中引入的一个参数，它的值控制着头部密钥派生函数使用的迭代次数。该值可以通过密码对话框或命令行指定。

如果没有指定 PIM 值，VeraCrypt 将使用 1.12 之前的版本中使用的默认迭代次数.

当指定 PIM 值时，迭代次数计算如下：

• 对于不使用 SHA-512 或 Whirlpool 的系统加密：迭代次数 = PIM x 2048
• 对于使用 SHA-512 或 Whirlpool 的系统加密、非系统加密和文件容器：迭代次数 = 15000 + (PIM x 1000)

在 1.12 版本之前，VeraCrypt 卷的安全性仅基于密码强度，因为 VeraCrypt 使用固定次数的迭代。
随着 PIM 的引入，VeraCrypt 为基于一对（密码、PIM）的卷提供了二维安全空间。这为调整所需的安全级别提供了更大的灵活性，同时还控制了挂载/引导操作的性能。

在创建卷或更改密码时，用户可以通过选中“使用 PIM”复选框来指定 PIM 值，这反过来将使 PIM 字段在 GUI 中可用，因此可以输入 PIM 值。PIM 被视为一个秘密值，用户每次都必须在密码旁边输入该值。如果指定了不正确的 PIM 值，则挂载/引导操作将失败。由于迭代次数的增加，使用高 PIM 值会带来更好的安全性，但它会带来更慢的安装/启动时间。使用较小的 PIM 值，安装/启动会更快，但如果使用弱密码，这可能会降低安全性。在创建卷或系统加密过程中，当密码小于 20 个字符时，VeraCrypt 会强制 PIM 值大于或等于某个最小值。进行此检查是为了确保对于短密码，安全级别至少等于空 PIM 提供的默认级别。对于不使用 SHA-512 或 Whirlpool 的系统加密， 短密码的 PIM 最小值为98 ，其他情况下为485。对于 20 个或更多字符的密码，PIM 最小值为 1。

在所有情况下，将 PIM 保留为空或将其值设置为 0 将使 VeraCrypt 使用默认的高迭代次数.

使用自定义 PIM 值的动机可能是：

• 添加攻击者必须猜测的额外秘密参数 (PIM)
• 通过使用较大的 PIM 值来提高安全级别，以阻止未来暴力攻击的发展。
• 通过使用较小的 PIM 值（对于不使用 SHA-512 或 Whirlpool 的系统加密小于 98，对于其他情况小于 485）加速启动或挂载

注意事项

隐藏卷中,外层卷尽量不去动.
所有指定的密钥文件均为不变的东西才行.
PIM之不要设置过于大,不然电脑会卡死.
密码文件,PIM码,密钥文件需要严格保密.
生成的卷文件可以复制到其他地方.
如果想隐藏超过4G的文件,注意格式化时选择文件系统格式(NTFS/FAT/exFAT/ReFS) 中选择NTFS

关于veracrypt详细指南参考如下官方文档

https://veracrypt.fr/en/Documentation.html

转载请注明出处及链接

希望大家都能保护好自己的学习资料.