使用VeraCrypt製作一個強加密卷
If you want to keep a secret, you must also hide it from yourself.
起因
最近在Twitter上看到黨國公安的取證大師
一系列看起來很高級的東西,雖然它對付普通人比較厲害,對付我這種人還是略遜一籌(我不用QQ飛信微信這一類的東西,而看截圖它主要是針對這些大眾軟件的,因此對我的殺傷力就少了一些),但是還是不能掉以輕心,如果它在技術上能實現說明書上的三分之二,那就是相當厲害了,在這個大數據的年代裡,隱私似乎變成了一種奢侈品,Big brother is always watching you。
關於取證大師可以參看這裡。
為了保護我那丁點可憐的隱私,我用VeraCrypt製作了一個強加密卷。
VeraCrypt 簡單介紹
- 功能強大,提供圖形界面
- 隱藏加密卷功能
- keyfile作為密鑰加密文件
加密卷結構
第一層
首先選擇一個合適的硬盤作為第一層加密卷,可以是一整塊磁盤,或者是一塊磁盤中的一部分,或者是一個移動硬盤。
第二層
在第一層加密卷中再存放一個隱藏加密卷,這種隱藏加密卷分為兩個部分,經過不同的解密方式後開啟的是不同的區域,掩護加密卷就是第二層。
第三層
在創建好隱藏卷後,最核心的隱藏卷就是真正用來存放資料的地方,這裡是第三層。
第N層
當然,只要空間足夠,可以創建無數個隱藏加密卷中的隱藏加密卷,來最大程度保護核心機密。
下載VeraCrypt
這篇文章默認操作系統是OS X,Linux系統大同小異,只是一些軟件的版本不同。
VeraCrypt的官網在這裡。
官網提供下載文件、GPG簽名文件以及GPG公鑰,關於什麼是數字簽名可以參考官方說明,關於GPG的命令行操作可以參考這篇博文。
在核對完簽名後就可以放心安裝了。
OS X FUSE
VeraCrypt需要FUSE來支持,可以在FUSE官網上下載。
建議下載穩定版,測試版bug實在太多
在安裝FUSE的時候需要勾選FUSE Compatibility Layer
,否則VeraCrypt會提醒你重新安裝。
創建加密卷
VeraCrypt的引導界面非常詳細,只要英文閱讀能力不算太差,一般不會出現太大問題,可能出現問題的時候都會多次彈出Warning
來警告確認操作。
注:在選擇加密卷文件類型時不能選NONE
,否則無法讀取。
加密準備
在進行創建加密區域前,VeraCrypt需要收集大量的隨機信息,所以需要不斷的移動鼠標來產生隨機信息,直到第一個進度條讀取完畢。
進行加密
第二個進度條顯示的是創建加密卷的進度,如果創建的加密卷容量比較大,這個過程真的需要非常久的時間,一般需要幾個小時才能完成。
隱藏卷的掩護卷
在隱藏卷創建完成後,VeraCrypt會彈出掩護卷,你可以放置任何你在被迫解密的情況下想讓對方看到的東西。如果不想做得太明顯,這部分的文件最好是一些看似重要其實無關緊要的內容,最好採取棄車保帥的策略。
掛載加密卷
在連接一個加密的硬盤後,電腦會跳出無法識別的警告,這時候需要先用VeraCrypt掛載後才能使用。
假設創建的是一個三層加密卷,那麼需要掛載兩次,第一次先掛載加密的磁盤,第二次掛載隱藏卷。
掛載過程會非常緩慢,不能著急,否則很有可能死機,需要耐心等待。
更多保護措施
Keyfile
VeraCrypt提供使用一個文件作為密鑰加密文件的功能,這個Keyfile可以是任何文件,包括MP3
,jpg
,txt
甚至是一份說明書,都可以作為Keyfile,也可以讓VeraCrypt自動生成一個Keyfile。
有了Keyfile,可以省去記憶密碼的麻煩,但是缺點是Keyfile一旦丟失,加密文件就永遠無法打開,因此Keyfile最好選擇不引人注目又常見的內容,比如一首歌或者一份冰箱說明書。
加密卷名稱
無論是加密後的磁盤還是隱藏卷,它的名稱都是可以任意修改的,甚至可以將隱藏卷的名稱修改成一個隱藏文件,這樣都不會影響到其中存放的數據。
分區加密
對於一個加密的磁盤來說,在其中再次創建加密卷的時候最好進行分區加密,一來不同的加密分區可以更好的保護數據安全,二來一個加密卷不會太大,更能分散注意力。
當然,無論是隱藏卷中的隱藏卷分區,還是加密分區中的隱藏卷,就看你如何部署了。
缺點
所有事物都是有缺點的,VeraCrypt也不例外。
- 加密過程無比緩慢,一般沒有幾個小時跑不完
- 裝載過程也無比緩慢,而且還容易死機
- 使用過程中讀寫文件無比緩慢,我使用命令行操作都讓Mac被迫重啟過三次
總而言之,和所有的安全措施一樣,那就是運行緩慢,無比緩慢,但是針對VeraCrypt幾乎無法暴力破解這一點,所有的等待都是值得的,因而它也更適合需要高強度加密並且不會被經常修改的數據。