使用方法

创建简单的加密卷

步骤1

image-20240610100017060

VeraCrypt 主窗口应该会出现。单击创建卷(为清楚起见,用红色矩形标记)。

步骤2

image-20240610100201782

步骤3

image-20240610101117231

点击“下一步”进入加密卷类型选择界面。标准加密卷是文件夹中的一个文件,隐藏加密卷是加密卷中的隐藏文件。关于隐藏加密卷和隐藏分区在后文备注,这里我们选择“标准VeraCrypt加密卷”。

image-20240610101700902

然后选择加密卷的存放位置:点击“选择文件”,找一个文件夹,输入保存文件的文件名,例如“windows.iso”。文件名可以是任意合法的文件名,不限定后缀。注意不要选择已有的文件,否则会删除其内容。

image-20240610101826875

接着选择加密算法和哈希算法。使用默认设置即可,除非你对密码学比较了解。

image-20240610101913943

点击下一步,选择加密卷的大小,比如1GB。

image-20240610102017840

确定好好加密卷大小后设置加密卷的密码:

image-20240610102104223

最后选择文件系统格式和簇大小。文件系统建议使用”exFAT”或“NTFS”,簇大小保持默认或“4KB”,然后点击“格式化”。”NTFS“格式化过程中可能会出现授权弹框,点击确定即可:

image-20240610102129183

加密隐藏卷

结合上述内容,自己动手实践,读者到这里应该对加密卷有基本的理解。在加密卷基础上,可以进行更高层次的文件保护,那就是选择类型时出现的“隐藏加密卷/设备/设备”。因隐藏加密卷和隐藏分区/设备的操作相同,本节以下内容以(隐藏)加密卷做说明。

首先澄清一下概念,“隐藏卷”和“卷中卷/嵌套卷”有所不同。嵌套卷是在一个加密卷里再放一个加密文件卷,类似于RAR文件中的RAR文件;隐藏卷是在卷中划分出一片空间给隐藏卷使用,不是简单在里面放加密卷。如果只打开外层加密卷,看不到隐藏卷的内容,也不能知道是否有隐藏卷。这正是隐藏加密卷的厉害之处。

除非事先知道有隐藏卷,否则无法判断,VeraCrypt也不知道加密卷内是否有隐藏的内容。因为隐藏卷必然伴随着外层卷,如何操作两者是有讲究的。

对含有隐藏卷的加密卷,有三种操作模式:

  1. 打开加密卷时,只输入外层卷密码。这种模式直接打开外层卷,可对其进行读写。由于VeraCrypt不知道是否有隐藏卷,往加密卷中写内容可能会损坏隐藏卷的数据。如果你知道有隐藏卷,在加载时可以点击“加载选项”,在弹框中勾选“以只读模式加载加密卷”,保护隐藏卷的数据;
  2. 打开加密卷时,只输入隐藏卷的密码。这种模式直接显示隐藏卷,隐藏卷的操作不影响外层卷;
  3. 打开加密卷时,先输入外层卷的密码,同时在“加载选项”弹框中勾选“向外层加密卷写入数据时保护隐藏加密卷”,并输入隐藏卷的密码。这种模式打开外层卷,但VeraCrypt知道含有隐藏卷,写数据时不会覆盖隐藏卷占用的空间,数据是安全的。往外层卷写入大量数据,即使外层卷空间不足,VeraCrypt也不会往隐藏卷上写数据,而是直接提示“写入失败”。

如果有十分重要的数据需要放在隐藏卷中,外层加密卷应该存放一些“相对”不那么重要的文件,用以蒙蔽胁迫你说出密码的人。但千万要记住,不要说出隐藏卷的密码,否则会直接解锁隐藏卷

加密系统分区/设备

如果想更安全的保护设备,可以考虑对系统盘/分区也进行全盘加密。系统盘加密后,系统启动过程中要先输入密码,解密硬盘数据后才能正常启动操作系统。目前MacOS、iOS、安卓等操作系统均支持使用全盘加密,硬盘拆下来也无法在其他设备上读取数据,大大提高安全性。

VeraCrypt仅支持对Windows进行系统盘加密,并且不支持2003等旧系统、安腾架构以及移动设备

实用建议

以下是一些实用建议,能帮助你更好的保护隐私数据:

  1. 实用文件卷加密数据时,文件名和后缀尽量选有欺骗性的,并将其放在常规地方。例如文件卷取名”Window10多合一纯净版.iso”,放在“软件/操作系统”文件夹下。对10G以下的加密卷,即使设备丢失后亦不会有人怀疑其中包含敏感数据。相反一个好几G大小的txt或者word文件就会让人很生疑。
  2. 如果有更私密的数据,建议使用隐藏卷功能;
  3. 文件加解密有一定的性能损耗,请选择必要的文件放入加密卷/设备内;
  4. 妥善管理密码,并建议加密时添加辅助解密的密钥文件;
  5. 如果可以,对新电脑使用全盘加密;将移动设备某个区作为加密分区使用,其他分区为普通分区。