98 评论

TrueCrypt——文件加密的法宝

  前几天写了“文件加密的扫盲介绍”,普及了文件加密的重要性以及挑选加密工具的注意事项。貌似这个话题还比较受欢迎(获得很多转载),而且有读者在评论中让俺推荐一款文件加密软件。今天就来介绍一下,个人比较喜欢的文件加密工具——TrueCrypt。


★事先声明


  TrueCrypt 项目已经在2014年死亡,当时俺写了一篇《分析一下 TrueCrypt 之死(自杀 or 他杀?)——兼谈应对措施》。
  又过了一年(2015),俺介绍了 TrueCrypt 的【完美替代品】,参见《扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品》。
  虽然 TrueCrypt 已经死亡,但是它的替代品(VeraCrypt)完全兼容 TrueCrypt【所有的】功能。所以本文的内容以及下面列出的系列教程,依然是有用滴!
  本文主要介绍 TrueCrypt 的特色,【不是】详细的教程。更详细的使用介绍,参见下面列出的4篇。


  如果你已经在使用 TrueCrypt(或者它的“衍生品 or 替代品”),可以参考俺专门写的《TrueCrypt 使用经验》系列博文,链接的目录如下(需翻墙):
TrueCrypt 使用经验[1]:关于加密算法和加密盘的类型
TrueCrypt 使用经验[2]:关于加密盘的密码认证和 KeyFiles 认证
TrueCrypt 使用经验[3]:关于加密盘的破解和防范措施
TrueCrypt 使用经验[4]:关于隐藏卷的使用和注意事项


★TrueCrypt 是啥玩意儿?


  简单来说,TrueCrypt 是用来对整个硬盘或某个分区进行实时加密的工具。它具有非常高的知名度和用户使用量。
  更难能可贵的是——它【公开了源代码】!对于磁盘加密工具,很忌讳软件中有【后门】。由于 TrueCrypt 公开源代码,因此第三方可以审查其代码(业界行话叫做“代码审计”),这就大大降低了“潜藏后门”的风险。


★回顾一下挑选加密工具的注意事项


  俺在前一个帖子里,提到了挑选文件加密软件的几个注意事项。咱们首先来对照一下,TrueCrypt 是否符合这些要求。

◇知名度高,口碑好


  要判断某个软件的知名度高不高,一个简单的办法,就是到 Google 里搜索一下该软件。(除非碰到同名的情况)通常 Google 的搜索结果数,可以大致反映出该软件的知名度。列位看官可以自己去 Google 搜索一下便知。
  说到 TrueCrypt 的口碑,俺可以举一个例子。据说老美的 FBI 拿到某个犯罪分子用 TrueCrypt 加密的数据,结果 FBI 里的一堆密码专家都无计可施(懂洋文的同学可以看“这里”的报道)。

◇有较多的用户使用


  TrueCrypt 具体有多少用户,俺说不上来。不过,据说欧美很多经营色情网站的家伙,就是采用 TrueCrypt 来规避法律风险的——他们把色情内容用 TrueCrypt 加密后再放到托管的服务器上,警察即便拿到了也无法解密,也就无法举证。

◇支持主流的加密算法


  TrueCrypt 内置了 AES(Rijndael), Serpent, Twofish 这三种主流的加密算法。
  AES(全称:Advanced Encryption Standard)是美国官方在2002年确定的加密标准,其名气自不必多说。另外两种加密算法,名气也很大。当初,Rijndael, Serpent, Twofish 这3者都是 AES 的主要竞标者,最后是 Rijndael 中选(如今说到 AES 就是指 Rijndael)。
  你可以单独使用这3种的某一种,也可以【组合使用】这3种加密算法,以得到【更强】的加密效果(但速度也更慢)。可用的算法组合参见下图:
不见图 请翻墙

◇要能支持虚拟盘/虚拟分区


  这方面是 TrueCrypt 的强项。它除了支持虚拟硬盘/虚拟分区的加密(具体的概念,请看前一个帖子的介绍),还可以加密某个物理分区甚至整个物理硬盘;除了可以针对硬盘进行加密,还可以针对U盘(USB flash drive)加密。
  另外,它还支持隐含卷,隐藏操作系统等功能(俺后面会介绍)。

◇最好是免费且开源的


  TrueCrypt 是开源的,也是免费的。
  “开源的好处”,前面已经提到了。

◇最好支持多种操作系统


  它目前支持 Windows,Mac OS X,Linux 这3种主流操作系统。对于微软系,从 Windows 2000 一直到 Windows 7 都支持。常见的操作系统,基本上都涵盖了。

◇总结


  从上面列举的可以看出,TrueCrypt 完全满足俺挑选文件加密工具的要求。


★TrueCrypt 的几个特色


  说实话,满足上述要求的文件加密工具,绝不止 TrueCrypt 这一款。为啥俺首先推荐它捏?那是因为 TrueCrypt 还有另外几个很不错的特色。

◇KeyFiles


  大部分加密软件都会涉及到加密用的口令。口令是一个令人很纠结的东西——设得太复杂怕忘了,设得太简单怕被破了。俺之前还专门写过一个帖子——如何构造安全的口令——教你如何构造好记又难破解的口令。
  有了 TrueCrypt 之后,口令的问题就不成为问题了。因为 TrueCrypt 提供了 KeyFiles 功能。简单来说,就是用一个或多个文件作为加密的认证因素(类似于口令)。这样一来,你只要记住加密用的文件(KeyFiles)即可。对于破解的人,就很难再用传统的“暴力破解口令”的方式了。
所谓的“暴力破解口令”,就是把所有可能的口令组合都尝试一遍。比方说,你的口令只有小写字母,而且你的口令只有8个字符,那么所有可能的组合也就是26的8次方。虽然26的8次方挺大,但是用计算机进行穷举,用不了太长时间也可以全部尝试完。

◇双因素认证


  用刚才提到的 KeyFiles 功能,你就可以玩“双因素认证”的把戏了。假设你想保护一个很重要的加密卷,那么,你可以同时设置口令和 KeyFiles。这样一来,如果要解开这个加密卷,就需要同时知道口令并拿到 KeyFiles。这大大提高了攻击者的难度(提升了好几【数量级】)。

◇隐藏卷(Hidden Volume)


  另一个很吸引人的特色,是关于“隐藏卷”的功能。
  所谓的隐藏卷,就是在一个加密卷里面再创建一个加密卷。外层的那个加密卷是“明”的(也叫“宿主卷”);内层的那个,是“暗”的(叫“隐藏卷”)。这两个加密卷必须使用【不同】的“认证因素”(要么密码不同,要么 KeyFiles 不同)。在物理上,你只能看到外层的“卷文件”;内层的卷,是【看不到】独立的“卷文件”滴。
  当你要打开加密卷的时候,如果输入的是外层的“认证因素”(密码、KeyFiles),那就打开外层的卷(这时候看不到内层的数据);反之,输入内层的“认证因素”,则打开内层的卷(这时候看不到外层的数据)。
不见图 请翻墙
(隐藏卷存储示意图——利用外层卷的剩余空间来存储内层卷的数据)

  可能有同学会纳闷:这么玩,有啥用捏?请看下一节——Plausible Deniability

◇Plausible Deniability


  很抱歉,这个洋文,俺没有找到合适的中文来表达它的含义(网上有人翻译为:“冠冕堂皇地拒绝”,俺觉得不够贴切)。下面,俺用一个虚构的小故事让大伙儿明白,什么是“Plausible Deniability”。
  话说有一个 GG 叫小黑,他有一个 MM 叫小白。小黑喜欢背着小白偷看毛片,而且还喜欢把毛片收藏起来;而小白对毛片很反感。为了不让小白知道,小黑把毛片都用 TrueCrypt 加密保存。小黑GG的安全意识很高,他先创建了一个外层的加密卷(“明”的),里面放一些无光痛痒的文件。然后在外层加密卷中,再创建一个隐含加密卷(“暗”的),里面保存毛片。
  有一天,小白也不知道通过什么途径,发现小黑背着她,加密保存了一些文件。于是小白就威胁小黑,让小黑打开加密卷给她看一看。这时候,隐藏卷的好处就体现出来了。小黑可以装做很不情愿的样子,然后输入外层加密卷的口令,让小白看一看外层卷的东西(都是些无关紧要的文件)。小黑就这样顺利蒙混过关了 :-)
  这就是利用隐藏卷,实现“Plausible Deniability”的典型案例。你可以在受到胁迫的时候,用隐藏卷功能来“丢车保帅”,而胁迫你的人,未必能看出破绽。

◇隐藏操作系统(Hidden Operating System)


  隐藏操作系统的功能,本质上跟隐藏卷类似——也是有【一明一暗】两个加密卷,分别装两个操作系统。“明”的操作系统就放一些无关痛痒的文件,而那些敏感的文件都放到“暗”的操作系统中。
  当你受到胁迫的时候,你就输入“明”的那个密码,进入那个“明”的操作系统。这样一来,“暗”的那个操作系统就不会暴露。

◇短小精悍


  TrueCrypt 非常轻巧,安装程序仅有【3MB】多。安装之后,只有6个文件,如果去掉帮助文件和 license 文件,那就仅有4个文件了。
  另外,TrueCrypt 还支持免安装运行——你可以把安装目录拷贝到U盘,然后就可以在另外一台电脑上使用它。

◇成熟度较高


  对于加密工具来说,软件的成熟度是非常重要的。如果软件不成熟,会导致如下2种重要的风险:
其1,假如软件有Bug并导致解密后的数据和加密前的数据不一样(数据损坏)——意味着你的数据(往往是重要的)丢失了。
其2,如果软件的数据加密过程有缺陷,可能导致加密数据被攻击者轻易破解——意味着你的数据(往往是见不得人的)被曝光。
  而俺喜欢 TrueCrypt 的一个重要原因就是它的成熟度比较高。除了因为它研发时间长(截止本文发布时,已有7年多),除了因为它的口碑好,还有一个重要原因是软件的功能和文档做得很细致。(从一个软件的功能和相关文档,可以看出其研发团队的成熟度
  有这么多亮点功能,再配合较高的成熟度,TrueCrypt 绝对值得一试。


★使用 TrueCrypt 的注意事项


  介绍完特色功能,最后再讲几个注意事项,以免大伙儿走弯路。

◇关于“中文界面”


  TrueCrypt 默认是西洋文的界面,那些不适应西洋文的同学,可以到官网去下载语言包(在“这里”)。

◇关于“虚拟卷的尺寸”


  如果你要创建一个虚拟的加密卷。在创建的时候,一定要想好【卷的容量】——要足够大以便存放要加密的数据。目前 TureCrypt 没有提供“调整虚拟加密卷大小”的功能。也就是说,虚拟卷一旦创建,大小就固定了。万一你把这个卷的空间用完了,就只好另外创建一个新的,把原先的数据 copy 过去,再把老的删除。
  好在现在硬盘已经是白菜价了,所以大伙儿创建虚拟卷的时候,尺寸估计得充裕一些,免得日后麻烦。

◇关于“KeyFiles”


  用什么样的文件作为 KeyFiles 比较好捏?有两种方法:1. 自己找一个文件;2. 让 TrueCrypt 帮你创建一个随机文件。
  这两种方式的注意事项如下:

  1. 如果让 TrueCrypt 帮你随机生成
  那么,你一定要记得把生成的 KeyFiles 备份好。否则,一旦 KeyFiles 丢失了,那你就再也无法打开加密卷了。

  2. 如果你自己选择 keyfile
  要注意两点:其一、选作 keyfile 的文件不要太小(至少 10KB);其二、二进制格式的文件比文本格式要好。还有一个经验:你可以选某个比较知名的文件做 keyfile。一来比较好记,二来也不容易搞丢。比方说,你很喜欢 Firefox,那你可以用 Firefox 的安装文件作为 keyfile。万一搞丢了,还可以再去 Firefox 官网下载。

  为了让安全性更高些,你可以把 KeyFiles 跟加密卷分开存放。如果你的加密卷在电脑上,那建议你把 KeyFiles 保存在一个随身携带的U盘或者手机上(现在大部分手机都可以当U盘用)。

◇关于“隐藏卷”


  刚才聊“Plausible Deniability”的时候,大伙儿应该已经明白“隐藏卷”的妙用了。再顺便说一下使用隐藏卷的注意事项。
  由于隐藏卷是存储在外层卷(宿主卷)的【剩余空间】。理论上讲,当你往“外层卷”写入数据时,有可能(存在某种概率)会破坏隐藏卷。TrueCrypt 当然早就考虑到了这点,并提供了一种保护机制。当你想在“外层卷”写人数据,但是又不希望破坏内层卷,你就必须在打开卷的时候,同时输入【内外2个卷】的认证因素(密码、KeyFiles)。这时候,TrueCrypt 会打开外层卷,但是也会对隐含的内层卷进行暗中保护。一旦你在“外层卷”的写操作会影响到“内层卷”,TrueCrypt 会屏蔽掉这个“写操作”,然后提示你:写入失败。
  当然啦,你在受到胁迫的时候,千万【不要】输入内层卷的密码,否则就露馅啦!

◇关于“免安装运行”


  有些人喜欢把加密卷和 TrueCrypt 程序一起放到U盘上。然后,随便找一台电脑插上,就可以运行 TrueCrypt 并打开加密卷。这样的好处是——相当于一个移动硬盘,还不怕丢失。
  但是这么干有一个风险。如果你在一台不安全的电脑上运行 TrueCrypt,万一这台电脑上被植入了木马,万一这个木马还具有 Key Logger(键盘记录)的功能,那你的加密卷口令就有可能被盗取。


★关于 TrueCrypt 的进阶使用


  看完本文之后,如果你决定要用 TrueCrypt,建议你先花点时间看看它的使用手册。那手册写得可真好,不光介绍了 TrueCrypt 的使用,还介绍了很多信息安全方面的知识(可惜是洋文的)。
  不擅长看洋文的同学,请翻到本文开头,去看《TrueCrypt 使用经验》系列博文。


俺博客上,和本文相关的帖子(需翻墙)
扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品
文件加密的扫盲介绍
文件备份技巧:组合“虚拟加密盘”与“网盘”
扫盲 dm-crypt——多功能 Linux 磁盘加密工具(兼容 TrueCrypt 和 VeraCrypt)
扫盲 Linux 逻辑卷管理(LVM)——兼谈 RAID 以及“磁盘加密工具的整合”
如何用“磁盘加密”对抗警方的【取证软件】和【刑讯逼供】,兼谈数据删除技巧
分析一下 TrueCrypt 之死(自杀 or 他杀?)——兼谈应对措施
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2011/05/recommend-truecrypt.html?m=0

98 条评论

  1. 楼主您好,我在Windows 7 SP1 英文版系统上安装TrueCrypt,只有一个黑窗口一闪而过,再没有其他提示,在C:\下也找不到什么相关程序,请问怎么回事,下载了很多次,还是不行,官网写的文件3.3M,而我下载的大小为 2.6M,换了下载方式还是不行?谢谢了

    回复删除
    回复
    1. 以下内容来自《广东公安科技》2011年4月,TrueCrypt加密之后的取证方法。全文见附件。


      TrueCrypt加密之后的文件,目前没有好的办法破解,因此在调查取证的时候,可以考虑以下方法:
      4.1 分析和检查是否有TrueCrypt加密之后的文件存在。
      (a) TrueCrypt加密之后的文件没有固定的特征,如果加密者把这样的文件保存为常见格式的文件时,利用Encase、Winhex、取证大师等软件分析文件特征,对于不匹配的文件重点分析,进行排查是否为加密文件;
      (b) 搜索系统所安装软件,包括历史安装记录,检查是否有安装TrueCrypt软件的
      痕迹;
      (c) 搜索大文件,作为加密容器,一般都存放着多个文件,因此,较大的文件可能性会比较大,不过也不排除特别重要的文件单独加密的可能。
      4.2 TrueCrypt能设置双层加密,即在一个加密卷中再隐藏另一个加密卷,隐藏卷形象的来说就是“嵌套”在普通加密卷里边的。当用户被胁迫解密加密卷时,用户可以把隐藏加密卷的“外套”普通加密卷解密,透露一些无关紧要的信息,而真正的受保护的信息则隐藏在隐藏卷中,数据得以保护。加密卷的加载流程如下图所示:
      对于此类情况,首先要考虑是否能得到隐藏卷的密码,如果不能,应该把数据备份之后,用无用数据填充的方式覆盖普通卷空余的空间,可以把伪装在普通卷里面的数据破坏,让加密者自己也无法再恢复这些隐藏的数据。
      4.3 TrueCrypt对数据的操作都是在内存(RAM)中进行,因此软件不确定是否在计算机的内存中保存有密码、主密钥和一些未加密的数据。而最新的研究成果显示,即使计算机关机后,内存保存的资料,包括加密程序的安全锁和口令仍未消失,最长可能达数分钟之久,透过冷冻计算机记忆芯片,还可延长内存暂存资料的时间,普林斯顿大学一班计算机保安专家组成的研究小组组长-计算机科学家费尔滕解释:只要以液态氮(摄氏-196度)冷冻计算机芯片,即使电源已中断,内存仍可保持状态至少数小时。然后将芯片安装回计算机,就可读取里面的资料。
      4.4 在使用者机器上安装使用间谍或者监控程序,开机自动运行,利用键盘记录钩子记录TrueCrypt加载卷的密码。此外,还可以利用政策,社会工程学方法(如通过其他途径获得其他帐号密码或者其他方面的信息来分析加密文件的密码)等方式来获取密码,并注意是否可以获取隐藏卷的密码。
      5 总结
      TrueCrypt是全球著名的开源加密软件,有着安全、易用、功能强大等优点,也适用于可移动存储设备的加密。随着在国内应用的推广,对使用该软件加密之后的计算机数据的取证也变得越来越困难,因此有必要对这方面加强研究,总结规律,以提高取证的效率。

      TrueCrypt加密模式及对应取证方法研究.pdf

      删除
  2. 好东西!!谢谢,
    有个问题,如果我隐藏卷和外层卷的密码设成一样的了,该怎么打开加密卷呀?

    回复删除
  3. TrueCrypt documentation states that TrueCrypt can not secure data on a computer if it has any kind of malware installed.
    --from wiki

    回复删除
  4. 好东西,多谢楼主。。。以前一直用高强度加密,后来很流氓的把我的文件都弄没了,费了好大力气才找回来,又换了瑞星加密锁,不是很满意,这个没用过,值得研究下。。

    回复删除
  5. 传说TrueCrypt 的安装包是老美的后门程序.
    能用源码编个可用的二进制出来吗?

    回复删除
  6. LS你先看完LZ文章再说,这款软件是开源软件,源代码就在那里摆着,你要就可以自己下载编译。

    回复删除
  7. 1楼的同学:
    感觉你下载的安装程序有问题。你可以验证一下安装程序的数字签名。如果数字签名无效,多半就是没下载全。

    回复删除
  8. 这里可以匿名评论啊。国内好像都要注册了啊?为什么?

    回复删除
  9. 楼上的同学:
    因为俺设置了,允许匿名评论。
    俺是很强调隐私保护滴 :)

    回复删除
  10. 2楼的同学:
    如果宿主卷和隐藏卷的口令设置成一样,估计你就打不开隐藏卷了。
    俺猜测 TrueCrypt 验证口令时,先验证宿主卷的口令,如果验证成功,就直接打开宿主卷了。

    不过俺没试验过,你如果有兴趣,可以试验一下。

    回复删除
  11. 楼主,看了你几篇博文,写的不错,顶顶顶

    另外有个数学方面的问题,我会给你发邮件细述的

    回复删除
  12. 前端时间刚给TrueCrypt捐了5美元,作为对他们开发出这么好的加密产品的感谢。
    现在我对个人信息安全重视多了,新买的U盘,隐私文件什么的都不直接放到上面,先格式化整个u盘,再在上面做个加密卷,隐私文件(简历,照片之类的)直接写入加密卷中就好了,挺安全的。

    回复删除
  13. TO 楼上的网友
    赞!
    在天朝,难得有你这种愿意为开源项目捐钱的人。

    回复删除
  14. 记得在2000年初的时候接触过国内个人开发的一款软件。它也类似keyfile这种功能——利用的几张光盘和密码的组合方式。
    从几张光盘中随机读取散列数据,加上个人设定密码来加密。解密时,需要放入之前加密时使用的光盘。

    回复删除
  15. 中文语言包怎么安装进软件啊?

    回复删除
    回复
    1. 先到 TrueCrypt 官网 [url]http://www.truecrypt.org/localizations[/url] 下载语言包

      把里面那个 xml 解压缩到 TrueCrypt 的安装目录(也就是 TrueCrypt.exe 所在的目录)
      然后运行 TrueCrypt,在 Settings 菜单上点 Language
      最后选择那个 XML 文件,界面就变了。

      删除
  16. 不知道博主对于TrueCrypt的一些“疑点”怎么看
    http://huaidan.org/archives/2751.html

    不管怎样,确实如博主所说,从TC这儿学到很多信息安全方面的知识。

    回复删除
    回复
    1. TO Ziz Zway
      你贴出的这篇文章中提到的疑点,俺之前也有听说。俺的解释如下:

      质疑1、说 TrueCrypt 是 CIA 故意留的后门
      关于这个说法,目前没有看到确实的证据。
      而且这种说法本身就比较奇怪。如果美国政府真的要通过 TrueCrypt 来设置陷阱,那也应该是 NSA(国家安全局)来搞,而不是CIA(中央情报局)来搞。因为加密方面的牛人都在 NSA
      另外,退一步讲,及时 TrueCrypt 有美国政府的后门,俺觉得问题也不大。
      因为大部分天朝民众要对付的,是咱们的朝廷,而不是美国政府。

      质疑2、TrueCrypt 作者的身份不公开
      俺猜测,其作者有可能是为了规避法律方面的风险。
      某些国家(比如美国)对于高强度加密算法是有出口限制的。
      当年 PGP 的作者也被法律问题困扰过

      质疑3、TrueCrypt 提供的源代码,版本是旧的
      这个说法非常不靠谱。
      很多 Linux 发行版(比如 Gentoo)就是直接用 TrueCrypt 官网提供的源码编译二进制软件的。
      这足以说明官网提供的源代码,功能是足够新的。

      删除
    2. 如果对TrueCrypt有怀疑的话,也可以不用,有编程的能力的话也可以自己写一个类似的软件。
      TrueCrypt安装有两种模式,其中一种是释放,比较适合于安装到U盘,但也带来一个问题,每次加载的时候,都需要获得系统管理员权限,如果你在别人的电脑上运行,拿不到管理员权限是无法加载的驱动的,这点就不是很方便。所以对于日常的加密,我直接写了一个基于控制台的加密程序来搞定(算法是AES,256bit密钥,128bit区块),虽然功能没有TrueCrypt那么强大,但是总体上能已经满足我的要求了,并且AES算法到目前为止安全性还是很不错的,能够抵挡住已知的攻击。

      删除
    3. TO Curtis Wilbur
      自己写个简单的加密工具,通常不如专业的加密工具(很多细节,自己考虑不全)。
      而且 TrueCrypt 具备一些额外的功能,比如:
      keyfile
      Plausible Deniability
      ......

      如果比较看重便携式,可以考虑另外一个工具 [url=https://en.wikipedia.org/wiki/FreeOTFE]FreeOTFE[/url]
      俺前几年尝试过,不依赖管理员权限
      但是更新太慢——最新版本是3年前发布的

      删除
    4. 什么truecrypt有后门的说法, 就是TG有关部门刻意编造出来的谣言, 目的就是要把水搅浑, 引导网络舆论, 让部分人放弃使用truecrypt --- TC对于天朝衙门来说,太难对付了,目前基本无解。

      要对共产党的宣传机器有所了解, 包括网络上的所谓“舆情控制”。 何清涟女士的《雾锁中国》一书写得很详细了。

      删除
    5. TO 4单元的网友
      关于 TrueCrypt 所谓的“后门”,俺在1单元有相关解释。
      俺觉得,目前没有足够的证据说 TrueCrypt 有后门。

      退一步讲,即使有后门多半也只有美国政府才有这个技术能力。
      俺普及 TrueCrypt 主要是用来对付中国政府。
      所以,大伙儿不必担心 TrueCrypt 的后门问题。

      同意你说的,天朝的走狗目前无法对付 TrueCrypt
      即使是美国的 FBI,也拿 TrueCrypt 没辙。

      删除
  17. 博主,你在文中说道:

      当你想在外层卷写数据,但是又不希望破坏内层卷,你就必须在打开卷的时候,同时输入内外2个卷的认证因素。这时候,TrueCrypt 会打开外层卷,但是也会对隐含的内层卷进行暗中保护。

    这个“同时输入内外2个卷的认证因素”是何意思?如何操作?

    另,TrueCrypt 哪有中文文档?

    回复删除
    回复
    1. 加载加密卷时,加载---》加载选项,里面就有保护隐藏加密卷的选项

      删除
    2. TO 1单元的网友
      多谢帮俺回答 :)

      TO 19楼的网友
      用 TrueCrypt 的话,建议还花点力气看它的英文文档。
      TrueCrypt 的文档里面,除了该软件本身的功能,还介绍了不少信息安全的相关知识,

      删除
    3. TO: 博主
        就是听你说有不少信息安全的相关知识,所以才想去看一看、学习下。

        偶的英文太烂,怕是看不懂英文的!

      删除
    4. TO 3单元的网友
      回复好迅速哦 :)

      俺装的 TrueCrypt 里面,只有洋文手册。
      貌似百度文库里面有中文的(刚才用 Google 搜到标题,不知内容如何)
      你可以下载来瞧一瞧。

      删除
    5. TrueCrypt 7.1a安装文件下载([url]http://www.truecrypt.org/downloads[/url])
      TrueCrypt 7.1a中文语言文件Language.zh-cn.xml([url]http://www.truecrypt.org/localizations[/url])

      删除
    6. TO 5单元的网友
      TrueCrypt 的 Language.zh-cn.xml 只是界面汉化包,不是中文的手册

      删除
    7. 墙外真不赖

      TrueCrypt 7.1a安装文件下载(http://www.truecrypt.org/downloads)
      TrueCrypt 7.1a中文语言文件Language.zh-cn.xml(http://www.truecrypt.org/localizations)

      目前TrueCrypt的最新版就是上面链接的这个 7.1a?


      删除
    8. TO 墙外真不赖
      目前 TrueCrypt 的最新版本就是 7.1a
      7.1a 相对于 7.1 主要是修复 bug

      删除
  18. ◎加密盘、加密分区、加密操作系统常见安全问答
    [url]http://tiandixing.org/viewtopic.php?f=25&t=73260[/url]
    ◎TrueCrypt加密单系统创建教程 [url]http://tiandixing.org/viewtopic.php?f=25&t=8161[/url]
    ◎TrueCrypt加密分区之大隐于市[url]http://tiandixing.org/viewtopic.php?f=25&t=5514[/url]
    三、准备工作
    1、软件准备
    TrueCrypt 7.1a安装文件下载(http://www.truecrypt.org/downloads)
    TrueCrypt 7.1a中文语言文件Language.zh-cn.xml(http://www.truecrypt.org/localizations)


    2、分区准备
    创建过程都是在已有的C盘系统(第一系统)操作,要求第二个分区D大小为第一个分区C的1.05倍以上。建议电脑硬盘分区处理为一个主分区C,其余为逻辑分区模式,最好第二个分区是逻辑分区。win7系统容易出现硬盘上有多个主分区的格局,虽然也可以创建成功,但多主分区有时会出现莫名其妙的问题,有多个主分区出现问题,排查原因可能会麻烦一些。如果电脑硬盘分区不符合要求则需要调整分区,如果您目前还不会使用任何一种分区软件,则不建议安装TC双系统,还是继续沿用常规系统+无影无踪清除痕迹的方式,以后时机合适了再说。加密双系统只是一种选择,不是唯一选择,不会做双系统

    回复删除
  19. 随想,有没有更快的硬盘加密方法或工具?truecrypt这类软件加密速度太慢,几十个t的硬盘恐怕得用上大半年!

    回复删除
    回复
    1. 21楼神人,几十个T的硬盘那来干什么用,下载服务器?1T的硬盘几乎可以满足绝大多数人的需求了。划个加密分区,几十个G的新分区就是十来二十分钟。如果原来有资料,要转换为加密的,那可就麻烦了。我觉得如果是原来有资料的硬盘,不如先做镜像,再创建空的加密分区,再恢复镜像到这个分区中,可能会快一点吧。这是纯粹瞎猜的,我是这样做的,要腾挪空间、修改分区大小,这样做比较好。

      删除
    2. TO 21楼的网友
      俺跟“丑法刻”有相同的疑问。
      你需要几十 TB 的硬盘吗?
      存视频也用不了这么多吧?

      俺的环境,10 GB 大概1分钟不到吧。按此推算,就算是 1 TB 也不至于太久。

      删除
  20. 偶认真阅读了好大部分的E文说明,大概明白了。TrueCrypt的程序强调的是操作系统透明,除了加密,其他操作都是由操作系统完成的。打开外层卷时,如果要保护隐藏卷,就要在加载选项中输入隐藏卷的密码。当操作系统尝试向隐藏分区范围写入数据时,操作系统将报错。我的理解是,TrueCrypt通过隐藏分区密码,掌握隐藏分区空间范围,一旦操作系统有写入操作,就拒绝,操作系统就会报错。我印象中,操作系统写入报错后,外层卷也就不能再做写操作,直到卸载为止。TrueCrypt不会告诉操作系统什么范围不能写入,只在操作系统尝试写入时拒绝。
    英文说明中,说到了隐藏卷备份操作,我把我的理解说一下。
    TruCrypt不提供加密卷的备份功能,如果需备份,可以自己创建一个新的加密文件或分区,找一种制作硬盘镜像工具,加载要备份的加密卷,制作镜像文件保存到刚新建的加密卷中。
    如果你要备份带隐藏卷的分区或文件(称为A),那你就要新建一个带隐藏卷的加密文件或分区(称为B),把A的外层卷硬盘镜像文件备份到B外层卷,A的隐藏卷硬盘镜像文件备份到B的隐藏密卷中。再次备份时,外层卷和隐藏卷的备份动作要同时做。绝对不能只更新B的隐藏卷。如果你把存储备份的硬盘或U盘放到一个别人可能找到的地方,原文说是比如银行保险箱,那人家就可能发现前半部分没变化,后半部分有变化。每一次备份,外层卷和隐藏卷都是新建且外层对外层备份,隐藏对隐藏备份。即使给人截获,也无法对新旧备份对比检查变化情况,因为新旧完全不同。即使外层卷保存的内容没有变化,但TrueCrypt每一次建立的加密卷基本上是做到世界唯一的,不会两次走进同一条河流的。

    回复删除
    回复
    1. 我的理解是有隐藏卷的外层卷是伪装,永远不要拿来使用。使用外层卷的唯一目的:改善伪装。

      删除
    2. TO 丑法刻
      看来你已经体会到 TrueCrypt 手册的完善和专业了。
      看完那手册,你就知道啥叫“专业”。
      所以俺在这篇博文的末尾,强烈建议大伙儿去读读手册。

      使用外层卷的唯一情况,就是:
      当别人发现你的加密盘,并且胁迫你解密的时候,你用来伪装。

      删除
  21. 偶推荐用eCryptfs,感觉更好,不过感觉没有windows下的,在linux比较好用。

    回复删除
    回复
    1. eCryptfs 比较依赖于操作系统。
      而 TrueCrypt 跨三种主流的操作系统(Windows、Linux、Mac OS X)

      另外,eCryptfs 做不到 TrueCrypt 的某些功能——比如 Plausible Deniability

      删除
  22. 有没有用户提出,或者开发者考虑到的一种功能:可以设置一个自毁灭密码

    回复删除
    回复
    1. 这种需求,貌似比较难实现。

      删除
    2. 这种需求,比较难平衡。
      如果有这样一个密码,出于对数据安全的考虑,销毁数据之前必须确认,就像windows安装盘在删除分区之前所做的那样。在被胁迫的情况下,这种做法几乎没有机会得逞。
      如果销毁数据不做确认,静默销毁,非常容易误操作,数据的安全没法保证。
      记得以前看过一篇文章,说有人建议银行卡应该设一个锁定账号的密码,在被人胁迫取钱的时候可以保障安全,论证来论证去,结论是带来的问题比解决的问题更严重。

      删除
    3. TO ben
      你的分析有道理,确实是难以平衡。
      这个需求跟“数据的可用性”有矛盾。

      删除
    4. 销毁数据是不需要的,密码学的解决方案向来都是用密钥的管理代替对明文的管理。
      所以在紧急情况下,销毁密钥就可以了。
      而这个,甚至不需要特殊的软件。比如,truecrypt允许使用某个keyfile,这个keyfile也可以在u盘上,或者sd卡上。
      用鞭炮做个一键销毁的sd卡如何?或者,淘宝有硬件加密u盘(u盘上带键盘的,没有密码u盘插上去根本不认,输错10次就删数据。直接按“登录”键10次吧。)。
      或者传统的方法写在饼干上(要注意不要给物理入侵者留下拍照的机会),然后这饼干到时候吃掉就好了。

      删除
    5. TO 4单元的网友
      多谢分享思路 :)
      你的某个点子有创意。

      删除
  23. 请教博主一个问题, 我用VirtualBox创建了一个虚拟机系统, 又用TureCrypt创建了一个隐藏加密卷, 然后把虚拟硬盘文件放进隐藏加密卷里, 目的是想加密虚拟机的所有数据。
    可是问题来了, 放进隐藏加密卷的虚拟硬盘文件用VirtueBox无法打开了 。新建一个虚拟机, 设置好内存什么的, 使用现有的虚拟机硬盘文件(也就是隐藏加密卷里的虚拟机硬盘文件)也不行。 TC提示错误。

    请问怎么解决?

    回复删除
    回复
    1. 哦, 写错了。 不是TC提示错误, 是VirtualBox提示错误。

      删除
    2. 俺测试过,虚拟机(包括 VMware 和 VirtualBox)都可以放到 TrueCrypt 的隐藏加密卷。
      估计是你的 VirtualBox 设置有误。
      能否把 VirtualBox 的错误提示贴出来?

      删除
  24. 博主你觉得PGP这个软件如何?以前一直再用PGP不知道怎么样哎

    回复删除
    回复
    1. 5年以前,俺就是用的 PGP。
      但是后来发现 TrueCrypt 的磁盘加密功能比 PGP 好用。

      TrueCrypt 相比 PGP 有如下优点:
      开源项目
      短小精悍(Windows 的安装包只有 3兆多,Linux 的安装包只有2兆多)
      很多功能做的很细致。
      文档很好(非常专业周到,明显是安全方面的行家写的)

      删除
    2. 很好的文章,每次看博主的文章都能学到不少东西,虽然说谢谢感觉很苍白,但是还是要真心的说一句:谢谢~

      删除
    3. TO 2单元的网友
      多谢捧场 :)
      俺会继续努力,多发布一些对大伙儿有用的博文。

      删除
  25. 加密文件能被轻易删除,加密宿主硬盘能被轻易格式化。
    这个问题怎么解决?

    回复删除
    回复
    1. 删除文件。。。貌似真的没法阻止。
      还是多多备份吧

      删除
    2. 你这个问题可以这样解决:到外面买一个自带有厂家专用加密分区工具的U盘,用厂家专用加密分区工具分出的加密分区用系统自带的或其它的分区工具是无法删除和格式化的,是硬件级保护的。如嫌U盘的加密工具不保险可将TrueCrypt的加密文件整个拷进U盘的加密分区,这样就有了双重加密的效果了。鉴于当前的U盘用的存储芯片读写次数较少(便宜的都用了寿命更低的TLC芯片),建议买SLC芯片(写寿命达10万次)的U盘,例如我就在淘宝买了一个32GB USB3.0的SLC芯片的U盘,极速读写(读200/秒 写210/秒)。

      删除
    3. TO 27楼的网友
      TrueCrypt 作为加密工具,它是为了“保密性”,
      你提到的防止文件被删除,被格式化,这个是“可用性”
      这是安全领域两个不同的维度。
      要提高可用性,可以利用网盘。
      如果结合网盘和 TrueCrypt 虚拟加密盘,就同时具备了保密性和可用性。
      具体请看《[url=http://program-think.blogspot.com/2013/07/online-backup-virtual-encrypted-disk.html]文件备份技巧:组合"虚拟加密盘"和"网盘"[/url]》

      删除
  26. winrar是很多人用的软件,其加密自然也很多人用.请教博主,它的加密强度足够吗?假设密码足够复杂.

    回复删除
    回复
    1. TO 12345
      WinRAR 在加密压缩的时候,使用的是 AES 加密算法(密钥256比特)
      AES 算法是可靠的。
      但是 WinRAR 不是开源的,万一软件本身有缺陷,可能会导致安全问题。

      目前针对 加密RAR 的攻击,主要是暴力破解,如果密码足够长,应该不怕。

      顺便说一下:
      俺建议用 7zip 替代 WinRAR
      7zip 是开源的,可以避免潜在的软件缺陷。
      而且免费,无需破解。
      另外,7zip 支持的压缩格式比 WinRAR 多

      删除
  27. 能不能支持网盘同步的加密。比如做一个卷500M的文件,放到网盘上同步,但每次修改卷里面一点点东西,都得同步整个文件,很慢啊,有没有什么好办法?

    回复删除
    回复
    1. 因为你用的网盘不支持“字节级差异同步”
      建议你先看看俺的另一篇博文
      《[url=http://program-think.blogspot.com/2013/07/online-backup-virtual-encrypted-disk.html]文件备份技巧:组合"虚拟加密盘"和"网盘"[/url]》

      删除
    2. 先不论字节级差异同步,就算每次修改一点东西都得同步整个文件,似乎也不行啊。我做了一个卷,修改完了再同步,结果客户端认为文件没有变化!我看了文件的属性,确实修改时间还是建立时间。但实际上里面的文件确实变了,我mount之后再看里面的文件,明显是修改过了的呀。求解啊!

      删除
  28. 随想哥,您认为写出truecrypt的难度如何?我也是一位程式爱好者,您有没有时间建一个开源项目,做隐私保护类软体的开发呢?我期待加入。

    回复删除
  29. 发现此地真乃大幸,谢谢你做的一切

    回复删除
  30. 文章真心写的不错,读了楼上的评论,也豁然开朗

    回复删除
  31. http://truecrypt.sourceforge.net/
    WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
    发生什么事了?

    回复删除

  32. TrueCrypt网站建议Windows用户迁移到BitLocker http://www.solidot.org/story?sid=39729&utm_content=buffer6b962&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

    希望编程随想兄能帮忙分析一下神马情况啊。

    回复删除
  33. TC貌似摊上不小的事,求答案..
    http://truecrypt.sourceforge.net/
    WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

    回复删除
  34. TrueCrypt官方看来已经放弃这个软件了,网站上最新的7.2版只有解密没有加密功能,还把用户推向不开源的Bitlocker,事情太古怪了,求推荐另一个好用的开源加密软件。

    回复删除
    回复
    1. 首先 "TrueCrypt官方"到底是什么 能说得出其中一个开发者的名字么。。。

      删除
  35. 这是很重要的一个章节呀,TrueCrypt情况有变,编程大哥怎么看 ?

    回复删除
  36. TrueCrypt 默认是西洋文的界面,那些不适应西洋文的同学,可以到官网去下载语言包(在“这里”)。


    这里已经不能下载语言包了,还有别的语言包下载链接吗?

    回复删除
  37. TrueCrypt的中文语言包文件,不同版本的TrueCrypt可以通用吗?

    回复删除
  38. 需要语言包下载链接

    回复删除
  39. 用VeraCrypt呀,软件有中文选项,下载、使用方法找Google

    回复删除
  40. 嗯…它的官方網站被美國黑了

    回复删除
  41. 大神, TrueCrypt 已经停止维护了。如何是好啊?「On 28 May 2014, the TrueCrypt website announced that the project was no longer maintained and recommended users to find alternative solutions.」-- http://en.wikipedia.org/wiki/TrueCrypt

    回复删除
  42. [url]https://truecrypt.ch/downloads[index#]链接[url]
    看见有不少网友说TureCrypt下载链接已经挂掉,大家点击链接戳进去就可以了,语言包往下拉。

    回复删除
  43. 据说,veracrypt接手了truecrypt
    http://www.grabsun.com/news/2016/8420.html

    回复删除
  44. 此软件已被破解,请博主更新,有一个叫veracrypt的软件出现。博主尽快改改博文,以免大家都下载TrueCrypt了。另外希望博主改下旧文章,微软已经和中国合作,所有微软的账号如email,网盘,skype不安全。请博主改改!

    回复删除
  45. TrueCrypt已经终止开发很久了,似乎VeraCrypt可以作为替代选择

    回复删除
  46. Winrar is a software used by many people, and its encryption is naturally used by many people. Ask the blogger, is its encryption strength enough? Suppose the password is complicated enough.

    回复删除
  47. Winrar is a software used by many people, and its encryption is naturally used by many people. Ask the blogger, is its encryption strength enough? Suppose the password is complicated enough.

    回复删除
  48. hat do you think of PGP software? I have been using PGP before and I don’t know how to

    回复删除
  49. The front-end time just donated $5 to TrueCrypt as a thank you for developing such a good encryption product.
    Now I pay more attention to the security of personal information. The newly purchased U disk, privacy files are not directly placed on it, first format the entire u disk, then make an encrypted volume on it, privacy documents (CV, photo, etc.) It is good to write directly to the encrypted volume, which is quite safe.

    回复删除
  50. This Blog is fascinating one which induce me to know about it. Keep on updating like these blogs. I am waiting for your upcoming blogs.

    http://fortworthtaxicab.com

    回复删除
  51. Marvelous post. The articles are well written. Your blog is really outstanding. Thanks a lot for sharing such a wonderful post.

    http://irvingtaxi247.com

    回复删除