跳到主要內容

[How To] TrueCrypt使用教學 - 重要資訊的加密保險箱

更新說明


我在2013年八月的時候寫了這篇關於TrueCrypt的使用教學,但從去年(2014)五月下旬開始,TrueCrypt的首頁出現了"Using TrueCrypt is not secure as it may contain unfixed security issues"這項警告,作者解釋道,隨著微軟的Windows XP於2014年5月停止支援,且Vista之後的Windows作業系統已經整合了夠好的加密解密功能BitLocker(但這該死的玩意只有旗艦版企業版的使用者能夠使用),因此原作者David將終止TrueCrypt這十年來的開發與維護。

這件事情在當時引起了社群的軒然大波,一開始有人質疑是遭到駭客惡意攻擊,但稍後透過數位簽章的比對,以及Steven Barnhart (@stevebarnhart)Matthew Green (@matthew_d_green)透過原本開發者所使用的電子郵件信箱與開發者"David"取得聯絡,證實了這則訊息應是由Truecrypt的開發者所發布,對這來龍去脈感興趣的使用者可以參考這篇文章:"True Goodbye: ‘Using TrueCrypt Is Not Secure"。

然而,除了TrueCrypt不再繼續開發維護之外,開發者也將原本存在sourceforge.net上頭的歷史檔案砍得一乾二淨,除了最後發布的7.2版之外使用者無法抓到其他版本,但7.2版基本上只留下解密功能,因此公認的TrueCrypt最後版本為2012年八月發布的7.1a版,想要下載7.1a版的使用者可以到GRC架設的"TrueCrypt Final Version Repository page"(此網站與我電腦內保留的檔案Hash值相同)或是到FileHippo(但FileHippo只提供Windows的版本)下載。

不過值得慶幸的是,目前已經有其他開發者出來建立TrueCrypt的新分支:VeraCrypt。這個後起之秀修正了一些安全性問題,並且在輸入密碼解密時加入延遲的功能,當使用者輸入錯誤的密碼時,必須要等待一段時間才能輸入,這項新功能提高了VeraCrypt被暴力破解的難度,而且由於是fork自TrueCrypt,因此能相容由TrueCrypt產生的檔案,而且操作模式目前也沒什麼太大的變化,因此我建議使用者可以從TrueCrypt轉換到VeraCrypt了,這是VeraCrypt的版本資訊頁(Release Notes)面

基本資訊

建立資料加密區(Volume)

  1. 到truecrypt.org下載最新版的TrueCrypt並安裝。

  2. 打開TrueCrypt之後,會在Volume區塊上方看到一個叫做Create Volume,點擊他開始創建資料加密區(Volume)

  3. TrueCrypt支援三種不同的Volume:獨立檔案、非系統切割區、將系統切割區或整個系統加密。這裡我們選擇第一項,"Create an encrypted file container"。未來電腦若需要重灌,獨立加密檔案的作法會比較方便使用者備份。

  4. 接下來會詢問是要用Standard TrueCrypt volume或Hidden TrueCrypt volume兩種,Hidden TrueCrypt Volume在安全性上比較強,但對第一次使用的人來說先用Standard TrueCrypt Volume就好,未來還有更進一步的需要再創新的TrueCrypt Volume

    ◎補充,我看到有人對Hidden Volume做出簡單易懂的描述:

    用一個大箱子(加密容器)裝東西(需要加密的文件)這時候就是標準模式。如果大箱子(加密容器)裡面還有一個小箱子(隱藏的加密容器)來區別裝的東西,那就是隱藏式的。但是兩者從外表看都只是一個箱子。

    出處:進階檔案加密之TrueCrypt術 — 設定篇

  5. 創建Volume的時候,建議除了檔案名稱之外,最好也給Volume一個副檔名,譬如 .dat,.cfg,,.sav 諸如此類的副檔名,可以降低被猜出是TrueCrypt檔案的可能性。

  6. TrueCrypt提供三種基本的演算法,AES、Serpent、TwoFish。這三種演算法都是當年美國國家標準技術研究所招標高階加密演算法時的候選人,因此這三個演算法都有一定的強度,只選其中一個演算法來進行加密強度也足夠,如果要提升加密強度,則可以選擇兩種以上的演算法組合,但請考慮到電腦本身的運算速度,"Benchmark"提供的數據可以讓使用者作為參考。

    至於雜湊演算法,提供RIPEMD-160、SHA-512、Whirlpool三種方法,任選一種即可。

    如果想要稍微了解這些演算法的基本概念可以參照:
    讓你的資料連 FBI 都無法解開!TrueCrypt 加密軟體原理介紹(1/3)

  7. 接下來的步驟是選擇Volume的大小。如果是個人使用TrueCrypt Volume的大小最大設512MB就綽綽有餘,個人用來儲存私密資料的Volume大小僅50M,但如果是工作上有另外的需要,再依照需要建立比較大的Volume。

    ※Volume容量要設比自己預期大小稍大,否則會因為Cluster大小不同而有所損失。

  8. 終於到了設定密碼的部分,TrueCrypt下面對於密碼的建議寫的落落長,像是盡可能不要含有字典中找得到的單字(避免密碼遭到字典檔攻擊)、不要包含姓名或者出生年月日、然後密碼最好區分大小寫、並且包含!@#$%^...等特殊字元、最後密碼長度要大於20個字元,字元越多則密碼強度越強,TrueCrypt最多支援到64個字元。

    不過除了用密碼保護之外,TrueCrypt還支援用keyfile。簡單來講,如果有設定keyfiles,其他使用者若沒有掛載正確的keyfile(s),取得密碼也無法開啟加密資料區(Volume)

    按下Keyfiles按鈕之後,會看到這樣的對話視窗,TrueCrypt支援三種keyfiles:Files、Path、Token Files。Token Files是利用Secuirty Token和Smart Card來作為keyfiles,建議需要比較高安全性的使用者再使用這個選項,一般使用者用Files與Path的方式即可。

    KeyFiles視窗的右下角有一個:Generate Random Keyfile,點下去會跳出一個視窗用來產生新的keyFile。使用者只要在這個視窗的範圍內不斷的移動你的滑鼠即可,移動的時間越長,則加密的強度也越高。完成以後按下Generate and Save Keyfile的按鈕就會跳出令存檔案的視窗,記得檔案在命名的時候要賦予檔案一個副檔名,理由在方才建立Volume的時候就解釋過,這裡不多加贅述。

    然而TrueCrypt並非一次只能使用一個keyfile,而是支援同時存在數個keyfile,除了隨機建立的keyfile之外,建議也拿其他現有的檔案(*.pdf, *.avi, *.dll...etc.)作為keyfile,但記得不要不小心把作為Keyfile的檔案給砍了,那可是神仙難救無命客。

  9. 最後的步驟要將Volume格式化,檔案系統我建議選用NTFS,叢集(Cluster)大小則依建立的Volume大小而定,如果只有數10MB,那Default即可,設大了反而使得可用空間變小。但如果Volume容量GB以上,Cluster設大一點可以增加檔案傳輸的效率。

    至於中間的Random Pool Block跟方才製作Random Keyfile的時候一樣,在這個視窗的範圍內移動滑鼠,移動的越多,則Random的效果會越好,接下來只要按下Format的按鈕就大功告成。

掛載資料加密區

  1. 打開TrueCrypt主視窗,選擇要掛載的磁碟機代號,這裡我選擇Q磁碟機作為範例。

  2. 選擇好要掛載的Volume Files之後,點選Mount(掛載)

  3. 接下來跳出輸入密碼的視窗,如果先前有設定keyfiles,記得要點選Keyfiles的按鈕然後掛載Keyfiles。

  4. 掛載好之後會在我的電腦的清單中看到磁碟機Q,這就是新掛載上去的TrueCrypt Volume

基本設定解說

主視窗→Setting→Perferences

Default Mount Option

Mount Volumes as Read-only
-將Volume掛載為唯獨磁區,如果是不希望掛載的資料被修改,則可以將Volume掛載為唯獨磁區如果是不希望掛載的資料被修改,則可以將Volume掛載為唯獨磁區

Mount Volumes as Removable media
-將Volume掛載為可拆式媒體

TrueCrypt Background Task

Enable
-勾選此項會讓TrueCrypt作為背景工作。

Exit when there are no Mounted Volumes
-當沒有掛載Volume時會關閉TrueCrypt主視窗。若前一個選項沒勾選,TrueCrypt卸載最後一個Volume等同關閉TrueCrypt,前一個選項若勾選則是縮小到系統圖示(TrayIcons)

Actions to perform up logon to Windows

這個部分則是決定TrueCrypt是否隨Windows登入後開始運作

Start TrueCrypt Background Task
-當Windows登入的時候啟動TrueCrypt於背景工作

Mount all device-hosted TrueCrypt Volumes
-掛載所有以裝置主端的資料加密區(Volume),裝置主端指的是將切割區作為Volume。

Auto-Dismount

User logo off
-當使用者登出時自動卸除掛載

Screen Saver is launched
-螢幕保護程式啟動時自動卸除掛載

Entering power saving mode
-省電模式時自動卸載,使用筆電的時候要特別注意這項,如果勾選可能會影響正常使用。

Auto dismount volume after no data have been read/written to if for ___ Minutes
-當一段時間Volume沒有資料的寫入或讀取時自動卸載Volume

Force auto-dismount even if volume contains open files or directories
-強制卸除,即使Volume仍然在開啟特定檔案或資料夾,如果要使用自動卸載的功能,那這必須啟用這個功能,否則自動卸載會被中斷。

Windows

Open Explorer windows for successfully mounted volume
-成功掛載Volume時開啟該Volume在檔案總管

Use a different taskbar icon when there are mounted volumes
-掛載Volume時顯示的工作列Icon會與平時不同。

Preserve modification timestamp of file containers
-不更動Volume的"最後修改時間",由於TrueCrypt的預設並不會改變Volume的大小,因此如果使用軟體進行差異備份,則TrueCrypt的Volume會被認定為未經修改,若要解決這個問題就不能勾選這個項目。

Password Cache

Cache password in driver memory
-將密碼快取在驅動程式記憶體中

Wipe Cached passwords on exit
-TrueCrypt主視窗關閉時抹除快取密碼

Wiped cached passwords on auto-dismount
-自動卸載時抹除快取密碼

更換密碼、keyfiles

話說在前頭,雖然TrueCrypt本身有提供更換Volume密碼與keyfiles的功能,但遇到需要更換密碼或keyfile時,最好還是重新做一個Volume,這也是選擇獨立檔案作為Volume最大的優點。

  1. 打開TrueCrypt主視窗,先選擇好要改變密碼/Keyfiles的Volume。

  2. 接著點選位置在主視窗中間的Volume Tools,選擇Change Volume Password或add/remove Keyfiles to/from Volume。這兩個叫出的功能其實一模一樣  ̄▽ ̄||

  3. 開啟"Change Password or Keyfiles"視窗之後,視窗上半部是輸入現在的密碼與Keyfiles,下面則是未來要使用的密碼與Keyfiles。總而言之,可以一口氣修改密碼或Keyfiles,如果下面只輸入密碼,那未來掛載Volume就會只需要輸入密碼,切記。

後記:基本的使用方式這篇應該都有介紹到。至於TrueCrypt的其他功能,就等我哪天有空的時候再說吧

本著作依據Creative Commons 姓名標示-非商業性-相同方式分享授權條款釋出

留言

黄先生寫道…
学习了,谢谢,有浅有深呀
Unknown寫道…
謝謝島兄的詳細說明.
個人最欣賞truecrypt的地方.是他設計哲學.把一切安全問題都在後台完成.不會把安全問題丟給使用者.
VeraCrypt密碼錯誤.必須要等待一段時間才能輸入.這把"安全問題丟給使用者的設計"。truecrypt是絕對不會這樣做的.
truecrypt大編副推薦bitlocker.讓人有點懷疑是被ms收買.畢竟ms不是第一次搞這把戲.所以我還是選擇相信truecrypt是安全的.所以繼續留在truecrypt7.1a

熱門文章

[分享] 台北市長候選人政見懶人包─柯文哲篇

這篇文章在我心中其實已經醞釀很久了,雖然目前台北市的三位主要市長候選人都有在各自的官方網站上公布政見,但以我自己瀏覽的經驗來講,這些官網都沒辦法讓民眾很輕易地就找到其所重視的政見,在 連勝文的明日台北 還有 馮光遠的夯台北 網站上,甚至沒有提供站內搜尋的功能,在設計上非常社群網站。而候選人的政見也未必能透過新聞媒體很好的傳達給民眾,或者經由對手在新聞上的操作而受到曲解。 有感於此,為了讓台北市的選民能夠更方便的瀏覽三位主要市長候選人的各項政見,我開始著手製作各個候選人的政見懶人包,而首先完成的就是這篇柯文哲篇,而當柯文哲、連勝文與馮光遠三人的政見懶人包都完成之後,如果有額外的時間我會對這三位候選人共通的政見(譬如:居住問題方面的政策)進行比較。總之,由於我的目標是希望能夠傳遞正確的資訊,如果在政見整理時有所疏漏,煩請在底下留言,我會盡我所能地盡速更新。 最後,在你開始看這篇文章之前,我想引用 《談論價值的重要性》 這篇文章的其中一段話:「當以後別人告訴你,要當個理性的選民,要回歸政策去討論的時候,也許你可以告訴他,你很樂意討論政策,但在討論政策之前,也許我們應該先討論一下,這個候選人,他相信的價值,到底是什麼,他又為自己的理念,付出了哪些努力,因此讓你可以檢視,他的政策,全盤看下來,是否和他的理念相符。也讓你可以相信,他真的會按照這樣的理念,去推動他的政策。」。 本懶人包的所有內容皆出自於 柯文哲官網 以及柯文哲醫師的幕僚 潘建志醫師所建置的Tumblr 與 柯P新政推廣影片 。 政見目錄 衛生福利政策 02 安心外食 10 緊急照護 11 家醫制度 12 銀髮照顧 18 食安・10安 25 貼心的醫療 29 公益企業 教育政策 09 課後及寒暑假照護班 13 優質高中職 26 創新實驗教育 動保政策 22 打造友善動物城市 政府運作 01 i-Voting 03 參與式預算 交通政策 04 道路統一挖補 15 解救血汗計程車 16 公車路線大調整 23 發展完整自行車網絡 文化政策 17 文化自治 20 打造台北文化夢工場 21 讓流行音樂迎向下一個日出 觀光政策 19 觀光, 讓世界愛上台北 能源政策 14 先進節能城市 居住政策

[How To] 還不知道怎樣低調還原的鄉民看這裡

本文絕對沒有叫鄉民去領便當的意圖(?)。在批踢踢上的某些專版,會因為某些特別的需要,所以必須使用低調碼來傳遞訊息。有沒有效果當然是見人見智,但板規這麼寫,也只好這麼做。

[How To] 如何將Windows10的數位授權連結(綁定)Microsoft帳號?

前一篇網誌是我在2016年6月那時所寫的,轉眼間現在已經到了2017年年底,雖然中間也不是沒有興起想寫網誌的念頭,但那段期間的生活上也不像過去那般有餘裕,直到最近社畜的生活比較上軌道後,才有機會來想想要寫些什麼。 這次要介紹的是Windows10的數位授權連結,換句話說就是將使用者的微軟帳號( 申請新帳號 )與Windows10的授權綁定。這樣做對使用者會有什麼好處?在你未來要將安裝Windows10的電腦淘汰時,Windows10授權不再是綁定電腦的主機板,而是綁定微軟帳號,所以只要在將擁有Windows10授權的微軟帳號做為新電腦的系統管理員帳號,就可以在新的電腦上使用前一台電腦上的Windows10授權,當然前一台電腦將不再有Windows10的授權。有關 硬體變更(包括更換主機板)之後重新啟用Windows10 的相關說明可以參考微軟的這篇: 硬體變更之後重新啟用 Windows 10 。

[How To] 關閉Windows 10檔案總管「最近使用過的檔案」功能

剛開始使用Windows 10的使用者,應該會發現檔案總管跟過去有點不同,一打開就會顯示「最近使用過的檔案」。如果電腦只有使用者自己在使用,那的確是挺不錯的功能,但如果是和家人共用的情況下,也等於是直接把最近開對於啟檔案的紀錄暴露出來,對於我這種害羞內向的人來說與公開處刑無異,是個絕對NG的功能。 因此這次就是要告訴各位要怎樣把「最近使用過的檔案」這個NG的功能給關閉,並且將檔案總管的初始畫面調整成過去使用者所熟悉的「我的電腦」。 ▲在未關閉「最近使用過的檔案」的情況下,檔案總管的初始畫面會如上圖這般。

[How To] VPN Gate:由日本筑波大學所營運的免費VPN服務

一般使用者會接觸到VPN,最常見的情況就是想訪問被封鎖的網站、匿名上網、又或者想使用某些限定國家或區域的線上服務、遊戲等等。如果使用者不想付費購買VPN服務,這時候可以利用筑波大學以學術研究為目的而營運的 VPN Gate 來達成,VPN Gate這項計畫的目的在於推廣「全球分散式公共VPN中繼伺服器」的相關知識,為此VPN Gate的中繼伺服器由世界各地的志願者所提供的,用戶無須註冊就能使用,並且支援Windows、Mac、iPhone、iPad、Android等不同的作業系統,連線方式除支援SSL-VPN協議(必須使用Softether VPN)外,各伺服器的維護者也能選擇是否支援L2TP/IPsec、OpenVPN、Microsoft SSTP等不同的網路協議,這次我要介紹的是透過Softether VPN Client搭配VPN Gate Client Plugin來進行連線的方法。

[How To] 利用線上RSS閱讀器服務 打造專屬的新聞閱讀環境

在智慧型手機如此普及的現代,新聞App多如牛毛,但對我來說,其實有些問題存在。首先是現有的新聞APP多半是由單一新聞媒體業者自行建構,自由時報的新聞APP,裡面只提供自由時報的新聞,紐約時報的APP,理所當然的只有來自紐約時報的新聞,但如果你想要閱讀到不同媒體的報導,就必須同時安裝有不同媒體業者的新聞APP。 不然就是使用Google新聞或Yahoo! 口袋新聞這類的新聞彙整平台所提供的App,但這類App多半缺乏自訂性,無法讓使用者自行選擇新聞來源。除此之外還有Flipboard( 相關介紹 )這類社交新聞雜誌工具,但我個人並不喜歡由演算法決定我該看什麼,長期下來接受到的資訊同質性會變得相當高,讓人有種生無可戀的厭世感(笑)。 也因為如此,相較於Facebook和Twitte這類靠演算法運作的社群網站,個人更喜歡 Plurk 這種不替使用者篩選資訊的社群網站。

[How To] 將手機分享的網路設定為計量付費連線,避免Windows Update吃光你的網路流量。(Windows10)

原本我的規劃是先寫Windows系統重設教學,但昨天發生了一件令人悲痛的事情,讓我決定先寫這個主題。 這裡先講一下事情經過,昨天我帶著筆電去參加教育訓練,接著像其他人一樣用手機分享網路供筆電使用,但是當教育訓練經過兩小時之後,Windows10突然跳出已經準備好Windows Update,電腦需要重新啟動的提示訊息。看到的當下眼前一片黑暗!所以Windows 10在我用手機分享網路給筆電時,默默地下載了Windows Update所需的檔案?可是我的手機並不是網路吃到飽啊!當下立刻用中華客服檢查 了這個月未出帳的網路流量,結果我當天就噴了高達700MB的流量!(我並不常使用筆電,所以累積了不少更新未下載。)

[How To] VLC Media Player影片錄製及截圖功能介紹

前陣子才剛寫過網誌 介紹VLC Media Player 這套影音播放程式,它是我目前在 MPC-HC專案終結 以後的替代方案,VLC Media Player跨多種平台(Windows, Mac OSX, Linux, Android, iOS )、並且廣泛支援各種影音格式,並且無須經過太複雜的設定即可上手。這次我就來說一下,VLC Media Player錄製影片片段以及製作影片截圖的功能該如何使用。

[SAS] 利用PROC IMPORT匯入外部資料

因為資料來源的不同,所以拿到的資料格式往往各式各樣,可能是Excel的xls,xlsx檔,SPSS的sav檔,STATA的dta檔,txt純文字檔,csv檔,dat原始資料檔等等。SAS雖然能使用Import Wizard匯入其他統計套裝軟體和Excel資料,但以我過去的經驗來講,套裝軟體之間的發行時間差太多,或是作業系統因素(參考 【SAS 9.3小技巧】SAS 9.3 64位元版匯入Excel?! ),常常會讓這個功能折騰使用者老半天,所以建議在原生軟體先把資料存成純文字檔讓SAS來讀取(建議存成CSV檔,以逗號來區隔資料的純文字格式),今天將介紹如何用SAS內的PROC IMPORT敘述句來匯入純文字格式的外部資料。(.dat原始資料還是要使用FILENAME+INFLIE敘述句來匯入)

[How To] 在Windows10 家用版啟用本機群組原則編輯器功能(GPedit.msc)

一直以來Windows 10 家用版因為無法啟用「本機群組原則編輯器(GPedit.msc)」,使得不少要有GPedit.msc功能才能調整的設定。譬如Windows更新政策,就會受限於沒有GPedit.msc而無法調整,所以我都將Windows 10 家用視為閹割版,並不建議朋友購買,寧可多花一點錢買專業版。 小秘訣: 如何檢測Windows10的版本?以快捷「 WinKey+R 」叫出「執行」功能,並以「 winver 」關鍵字執行,就會出現「關於Windows」視窗,上面就有記載Windows10的版本。 最近因為 Windows 10 1809版更新的災情 鬧得沸沸揚揚,和朋友聊天的時候又聊到Windows10以來的這一連串災難,這時候我才知道原來我的資訊已經落伍了,Windows 10的家用版其實也可以啟用GPedit.msc,只是需要下指令來執行。今天我就來說明Windows 10家用版的使用者,該如何正確啟用「本機群組原則編輯器(GPedit.msc)」這項超重要的功能。