VeraCrypt是TrueCrypt的免费分支,用于Windows,Mac OSX和Linux上的端到端加密,并允许您加密系统驱动器,独立的内部或外部驱动器或使用容器文件创建虚拟驱动器。
在本文中,我们将考虑VeraCrypt的一个有趣功能,用于创建具有隐藏分区的加密磁盘,该方法也称为“模糊加密”方法,它提供了可能拒绝第二个卷的可能性,因为 没有正确的密码,就不可能证明隐藏卷的存在。
创建密钥文件
要使用加密分区,不需要密钥文件,但是,如果您最大程度地保护数据,那么它就不是多余的,例如,它是确保足够高的抵抗强迫攻击能力的另一个因素,也称为“热直肠密码分析法”。 ...
在这种情况下,假定外部媒体上有两个密钥文件,其中一个将存储在足够安全的地方,例如,安全的保险箱中。
当威胁发生时,第二份副本将被销毁。因此,即使已经知道隐藏分区的存在,并且已经强行从中提取了密码,如果没有密钥文件,也将无法访问加密信息。
VeraCrypt具有密钥文件生成工具,可让您使用给定大小的随机数据创建文件。为此,请从“服务”菜单中启动“密钥文件生成器”,设置所需的密钥文件数及其大小,并通过使用鼠标进行混沌移动来生成熵。之后,保存密钥文件(在我们的情况下,还要复制它)。
创建一个加密分区
为了创建隐藏的加密卷,您首先需要准备一个常规(外部)加密卷。要创建它,请从菜单工具-卷创建向导运行。
让我们选择“ Encrypt non-system partition / disk ”来创建一个加密磁盘(在我的情况下,它是一个小的SSD磁盘)。如果没有单独的磁盘,则可以使用“创建加密的文件容器”,因为它将进一步安装为虚拟磁盘,所有后续说明也对其有效。将
卷类型设置为“隐藏的Veracrypt卷”“卷模式”“普通”(当我们创建新卷时)。放置卷选择将在其上创建加密卷的驱动器,在创建文件容器的情况下,需要指定创建文件的位置。
卷创建模式如果磁盘为空,则“创建并格式化”,如果磁盘上已有数据需要加密,则为“就地加密”。
加密算法保留为AES,因为尽管可以选择五种加密算法之一,但AES足够了可靠且快速(在VeraCrypt中,当使用带有AES-NI指令集的处理器时,默认情况下支持并启用此算法的硬件加速)。
内存中的平均加密/解密速度(12个线程,启用了App.AES加速,Mb / s,越多越好):
让我们设置一个强密码(在本文中我们介绍了如何选择一个强密码)。
趣闻:使用全盘加密的“最想要的黑客”的密码是杰里米·哈蒙德(Jeremy Hammond),是他的猫的名字:“耐嚼123”;
在格式化卷之前,您将需要对鼠标进行一些混乱的移动,以创建所需级别的加密熵。不应使用“快速格式”选项,因为它旨在创建隐藏分区。如果您不打算存储大文件(> 4GB),建议保留文件系统类型为FAT。
创建一个隐藏的卷
在卷向导中,选择“加密非系统分区/磁盘”。音量模式“ VeraCrypt隐藏音量”。创建模式为“直接模式”。让我们选择在上一步中加密的设备或容器。输入您先前创建的密码,然后单击“下一步”。
让我们指出隐藏卷的加密类型。如上所述,我建议保留默认设置。在此阶段,我们可以添加使用密钥文件作为附加保护措施。
在下一步中,我们将确定要从主卷“占用”多少空间来创建隐藏卷。设置音量的进一步过程类似于设置外部音量。
安装外部卷
安装卷可能要花费一些时间,这是由于在密钥生成过程中进行了大量的迭代,这将抵抗“正面攻击”的抵抗力提高了十倍。
要挂载外部卷,请单击“挂载”,打开“选项”,然后设置“保护隐藏的卷在写入过程中不受损坏”选项,并指定隐藏卷的密码和密钥文件。
由于隐藏卷是外部卷的一部分,因此必须启用安装外部卷时的安全选项,并且在没有保护的情况下写入外部卷可能会损坏隐藏卷。如果您被迫强行装入外部卷(反对创建此机制),则自然地将其装入普通卷,而VeraCrypt不会显示这是外部卷,它看起来像普通卷。
外卷可以容纳看起来或有些敏感的信息,而所有最有价值的信息都将存储在隐藏的卷中。
挂载隐藏卷
要安装隐藏卷,请单击“安装”,指定隐藏卷的密码和密钥文件。装入隐藏卷后,VeraCrypt会添加“隐藏”标记。
攻击向量
前额攻击:
具有强密码的蛮力攻击是无效的-这是VeraCrypt开发人员正在准备的方案,并且在存在密钥文件的情况下,它们绝对无效。
提取加密密钥:
从理论上讲,一旦您可以访问已关闭的计算机,就有机会从内存或休眠和分页文件中提取加密密钥。为抵制此类攻击,建议在“设置”-“性能”菜单中启用用于加密RAM中的密钥和密码的选项,并禁用页面文件和休眠模式。
隐藏控件:
以加密形式存储数据将在设备丢失,没收或被盗的情况下提供保护,但是,如果攻击者通过网络获得对计算机的隐藏控制(例如,使用具有远程控制功能的恶意软件),则此时他们将不难获得密钥文件和密码。使用。由于网络安全性主题涉及面很广,因此超出了本文的讨论范围,因此我们将不考虑用于应对此类攻击的选项。
