本文章介绍TrueCrypt的使用方法。

介绍 本文章介绍的加密方法适用于:

  • 加密你的移动硬盘或U盘

  • 创建加密虚拟硬盘

  • Windows/Linux/Mac下硬盘加密

  • 隐藏分区和操作系统,提供否认力 许多U盘保护程序起不了真正数据保护作用,它们要么仅仅掩饰文件的存在,要么加密系数太弱,容易蛮力破解。使用这些加密工具并不能有效地保护你的银行信用卡信息,个人资料,知识产权,以及其他机密文件,并且有威胁逼迫下不得不交出密匙的风险。

本文介绍的加密方法加密系数极高,使用目前世界上最快的超级计算机蛮力破解大约耗费20年时间。本文介绍的加密方式还提供隐藏分区的否认力,即当你受到逼迫时,可以交出壳分区的密码,但可以否认隐藏分区的存在,而对方也绝对无法证明该分区的存在。

TrueCrypt

TrueCrypt是一款开源免费软件,即其源代码公开。你可以到其官方网站上下载最新版本,http://www.truecrypt.org/downloads.php。下载后请验证其电子签名,因为你的电脑可能遭到攻击,下载的程序可能遭到篡改,加入了木马或泄漏你密匙的程序。验证方法很简单,在Windows下,右健该程序,点击属性,点击电子签名,如果看到正确的签名者,则表示该程序是干净的。

安装过程中,建议你选择Extract,这样你可以拷贝整个TrueCrypt程序文件夹到你的移动储存设备,可在别的计算机上使用,俗称绿色软件。

创建一个加密分区

你有以下几种选择:

  • 创建虚拟分区,把整个分区制作成一个文件,建议这么做,因为你可以随意移动或复制该文件

  • 加密一个物理分区,如整个硬盘E区

  • 加密操作系统分区 你可以创建两种加密分区,一是普通加密分区,二是隐藏加密分区。下面仅介绍隐藏加密分区:

隐藏加密分区其实是一个普通加密分区的一部分。由于硬盘的空白部分理论上是随机数据,把隐藏加密分区(加了密的数据)放在普通加密分区的空白部分后,别人无法区分到底哪一部分是随机数据,哪一部分是隐藏加密分区,更不能使用与普通加密分区一样的密匙来解密隐藏分区的数据。而只有你知道该隐藏分区的存在以及其密匙,所以只有你知道隐藏分区的位置以及其大小。如果你坚决否认该分区的存在,对方看到的只是随机数据,所以无法证明该隐藏分区的存在,此为否认力。

首先运行TrueCrypt,然后点击Create Volume,选择Createa file container,选择Hidden TrueCrypt Volume,选择NormalMode,选择一个位置储存该文件。

现在创建壳分区(一个普通加密分区),选择AES作为加密算法,SHA512作为Hash算法。然后制定该分区的大小,注意隐藏分区的大小永远小于其壳分区的大小,所以如果你需要1G的隐藏分区储存空间,你应该选择1G以上的壳分区大小。假如你选择了1.5G作为该普通分区的大小,那么你将可以在隐藏分区内储存1G的数据,在普通分区内实际可储存512MB的数据。如果你储存太多,你将覆盖隐藏分区,造成永久性数据破坏。操作系统并不知道那里有个隐藏分区,因而误认为空白空间,不过有解决办法,请往后看。下一步为壳分区选择一个密码。如果你被问到是否需要储存大文件,请选择否,并在下一步选择FAT作为文件格式,此举可确保隐藏分区有足够的空间。然后你可以开始格式化,格式化会往壳分区内写入随机数据(空白空间)。

接下来创建隐藏分区,可选择一个强一点的加密算法,如Sperpent-TwoFish-AES,其实际上是使用了三种算法进行层叠加密。下一步制定隐藏分区的大小,下一步制定一个强密码(与刚才的壳分区密码不同),建议20位以上。最后格式化隐藏分区,此时可选择NTFS作为文件格式,NTFS允许储存大于4GB的单个文件,如高清晰电影,通常大于4GB。

使用隐藏加密分区

首先运行TrueCrypt,然后点击Select File…(如果使用上述方法创建了文件虚拟分区)或SelectDevice…(如果你加密了一个物理分区)。之后点Mount,此时请输入隐藏分区密码(非壳分区密码),隐藏分区将出现在你的我的电脑中,其使用方法与正常的物理分区一样。

使用普通加密分区

与隐藏分区使用方法一样,只是要输入密码时,输入壳分区的密码(而不是隐藏分区的密码)。但注意,为了防止意外覆盖隐藏分区数据,输入密码前请点 MountOptions…,然后选中Protecthidden volume against damage caused by writing to outer volume,然后输入隐藏分区密码。这样,当操作系统不小心要覆盖隐藏分区的数据时,TrueCrypt将把整个分区变成只读,以保护数据。

当然,你被威胁逼迫时,可以交出壳分区的密码,但否认隐藏分区的存在(不点那个Mount Options…)。别人将看不到隐藏分区的数据,但写入数据时有可能覆盖隐藏分区的数据。

提高加密安全系数

除了使用密码外,你还应该使用密码文件。在创建密码时(包括壳分区和隐藏分区),你可以点Use keyfiles,然后选择一系列文件作为钥匙,可以选择任何mp3、jpg、doc、pdf、zip等文件,但注意如果选择的文件受到修改,你将永远无法取回数据。文件选择的顺序不重要,但只有当所有选择的文件都在时,才能成功解密。你可以把多个文件分发给多个人保管,只有所有人都在场时,数据才得以解密。

其他

你还可以进行更改密码等操作。详细的文档说明可以到TrueCrypt的官方网站察看,http://www.truecrypt.org/docs/