跳到主要內容

[How To] TrueCrypt使用教學 - 重要資訊的加密保險箱

更新說明


我在2013年八月的時候寫了這篇關於TrueCrypt的使用教學,但從去年(2014)五月下旬開始,TrueCrypt的首頁出現了"Using TrueCrypt is not secure as it may contain unfixed security issues"這項警告,作者解釋道,隨著微軟的Windows XP於2014年5月停止支援,且Vista之後的Windows作業系統已經整合了夠好的加密解密功能BitLocker(但這該死的玩意只有旗艦版企業版的使用者能夠使用),因此原作者David將終止TrueCrypt這十年來的開發與維護。

這件事情在當時引起了社群的軒然大波,一開始有人質疑是遭到駭客惡意攻擊,但稍後透過數位簽章的比對,以及Steven Barnhart (@stevebarnhart)Matthew Green (@matthew_d_green)透過原本開發者所使用的電子郵件信箱與開發者"David"取得聯絡,證實了這則訊息應是由Truecrypt的開發者所發布,對這來龍去脈感興趣的使用者可以參考這篇文章:"True Goodbye: ‘Using TrueCrypt Is Not Secure"。

然而,除了TrueCrypt不再繼續開發維護之外,開發者也將原本存在sourceforge.net上頭的歷史檔案砍得一乾二淨,除了最後發布的7.2版之外使用者無法抓到其他版本,但7.2版基本上只留下解密功能,因此公認的TrueCrypt最後版本為2012年八月發布的7.1a版,想要下載7.1a版的使用者可以到GRC架設的"TrueCrypt Final Version Repository page"(此網站與我電腦內保留的檔案Hash值相同)或是到FileHippo(但FileHippo只提供Windows的版本)下載。

不過值得慶幸的是,目前已經有其他開發者出來建立TrueCrypt的新分支:VeraCrypt。這個後起之秀修正了一些安全性問題,並且在輸入密碼解密時加入延遲的功能,當使用者輸入錯誤的密碼時,必須要等待一段時間才能輸入,這項新功能提高了VeraCrypt被暴力破解的難度,而且由於是fork自TrueCrypt,因此能相容由TrueCrypt產生的檔案,而且操作模式目前也沒什麼太大的變化,因此我建議使用者可以從TrueCrypt轉換到VeraCrypt了,這是VeraCrypt的版本資訊頁(Release Notes)面

基本資訊

建立資料加密區(Volume)

  1. 到truecrypt.org下載最新版的TrueCrypt並安裝。

  2. 打開TrueCrypt之後,會在Volume區塊上方看到一個叫做Create Volume,點擊他開始創建資料加密區(Volume)

  3. TrueCrypt支援三種不同的Volume:獨立檔案、非系統切割區、將系統切割區或整個系統加密。這裡我們選擇第一項,"Create an encrypted file container"。未來電腦若需要重灌,獨立加密檔案的作法會比較方便使用者備份。

  4. 接下來會詢問是要用Standard TrueCrypt volume或Hidden TrueCrypt volume兩種,Hidden TrueCrypt Volume在安全性上比較強,但對第一次使用的人來說先用Standard TrueCrypt Volume就好,未來還有更進一步的需要再創新的TrueCrypt Volume

    ◎補充,我看到有人對Hidden Volume做出簡單易懂的描述:

    用一個大箱子(加密容器)裝東西(需要加密的文件)這時候就是標準模式。如果大箱子(加密容器)裡面還有一個小箱子(隱藏的加密容器)來區別裝的東西,那就是隱藏式的。但是兩者從外表看都只是一個箱子。

    出處:進階檔案加密之TrueCrypt術 — 設定篇

  5. 創建Volume的時候,建議除了檔案名稱之外,最好也給Volume一個副檔名,譬如 .dat,.cfg,,.sav 諸如此類的副檔名,可以降低被猜出是TrueCrypt檔案的可能性。

  6. TrueCrypt提供三種基本的演算法,AES、Serpent、TwoFish。這三種演算法都是當年美國國家標準技術研究所招標高階加密演算法時的候選人,因此這三個演算法都有一定的強度,只選其中一個演算法來進行加密強度也足夠,如果要提升加密強度,則可以選擇兩種以上的演算法組合,但請考慮到電腦本身的運算速度,"Benchmark"提供的數據可以讓使用者作為參考。

    至於雜湊演算法,提供RIPEMD-160、SHA-512、Whirlpool三種方法,任選一種即可。

    如果想要稍微了解這些演算法的基本概念可以參照:
    讓你的資料連 FBI 都無法解開!TrueCrypt 加密軟體原理介紹(1/3)

  7. 接下來的步驟是選擇Volume的大小。如果是個人使用TrueCrypt Volume的大小最大設512MB就綽綽有餘,個人用來儲存私密資料的Volume大小僅50M,但如果是工作上有另外的需要,再依照需要建立比較大的Volume。

    ※Volume容量要設比自己預期大小稍大,否則會因為Cluster大小不同而有所損失。

  8. 終於到了設定密碼的部分,TrueCrypt下面對於密碼的建議寫的落落長,像是盡可能不要含有字典中找得到的單字(避免密碼遭到字典檔攻擊)、不要包含姓名或者出生年月日、然後密碼最好區分大小寫、並且包含!@#$%^...等特殊字元、最後密碼長度要大於20個字元,字元越多則密碼強度越強,TrueCrypt最多支援到64個字元。

    不過除了用密碼保護之外,TrueCrypt還支援用keyfile。簡單來講,如果有設定keyfiles,其他使用者若沒有掛載正確的keyfile(s),取得密碼也無法開啟加密資料區(Volume)

    按下Keyfiles按鈕之後,會看到這樣的對話視窗,TrueCrypt支援三種keyfiles:Files、Path、Token Files。Token Files是利用Secuirty Token和Smart Card來作為keyfiles,建議需要比較高安全性的使用者再使用這個選項,一般使用者用Files與Path的方式即可。

    KeyFiles視窗的右下角有一個:Generate Random Keyfile,點下去會跳出一個視窗用來產生新的keyFile。使用者只要在這個視窗的範圍內不斷的移動你的滑鼠即可,移動的時間越長,則加密的強度也越高。完成以後按下Generate and Save Keyfile的按鈕就會跳出令存檔案的視窗,記得檔案在命名的時候要賦予檔案一個副檔名,理由在方才建立Volume的時候就解釋過,這裡不多加贅述。

    然而TrueCrypt並非一次只能使用一個keyfile,而是支援同時存在數個keyfile,除了隨機建立的keyfile之外,建議也拿其他現有的檔案(*.pdf, *.avi, *.dll...etc.)作為keyfile,但記得不要不小心把作為Keyfile的檔案給砍了,那可是神仙難救無命客。

  9. 最後的步驟要將Volume格式化,檔案系統我建議選用NTFS,叢集(Cluster)大小則依建立的Volume大小而定,如果只有數10MB,那Default即可,設大了反而使得可用空間變小。但如果Volume容量GB以上,Cluster設大一點可以增加檔案傳輸的效率。

    至於中間的Random Pool Block跟方才製作Random Keyfile的時候一樣,在這個視窗的範圍內移動滑鼠,移動的越多,則Random的效果會越好,接下來只要按下Format的按鈕就大功告成。

掛載資料加密區

  1. 打開TrueCrypt主視窗,選擇要掛載的磁碟機代號,這裡我選擇Q磁碟機作為範例。

  2. 選擇好要掛載的Volume Files之後,點選Mount(掛載)

  3. 接下來跳出輸入密碼的視窗,如果先前有設定keyfiles,記得要點選Keyfiles的按鈕然後掛載Keyfiles。

  4. 掛載好之後會在我的電腦的清單中看到磁碟機Q,這就是新掛載上去的TrueCrypt Volume

基本設定解說

主視窗→Setting→Perferences

Default Mount Option

Mount Volumes as Read-only
-將Volume掛載為唯獨磁區,如果是不希望掛載的資料被修改,則可以將Volume掛載為唯獨磁區如果是不希望掛載的資料被修改,則可以將Volume掛載為唯獨磁區

Mount Volumes as Removable media
-將Volume掛載為可拆式媒體

TrueCrypt Background Task

Enable
-勾選此項會讓TrueCrypt作為背景工作。

Exit when there are no Mounted Volumes
-當沒有掛載Volume時會關閉TrueCrypt主視窗。若前一個選項沒勾選,TrueCrypt卸載最後一個Volume等同關閉TrueCrypt,前一個選項若勾選則是縮小到系統圖示(TrayIcons)

Actions to perform up logon to Windows

這個部分則是決定TrueCrypt是否隨Windows登入後開始運作

Start TrueCrypt Background Task
-當Windows登入的時候啟動TrueCrypt於背景工作

Mount all device-hosted TrueCrypt Volumes
-掛載所有以裝置主端的資料加密區(Volume),裝置主端指的是將切割區作為Volume。

Auto-Dismount

User logo off
-當使用者登出時自動卸除掛載

Screen Saver is launched
-螢幕保護程式啟動時自動卸除掛載

Entering power saving mode
-省電模式時自動卸載,使用筆電的時候要特別注意這項,如果勾選可能會影響正常使用。

Auto dismount volume after no data have been read/written to if for ___ Minutes
-當一段時間Volume沒有資料的寫入或讀取時自動卸載Volume

Force auto-dismount even if volume contains open files or directories
-強制卸除,即使Volume仍然在開啟特定檔案或資料夾,如果要使用自動卸載的功能,那這必須啟用這個功能,否則自動卸載會被中斷。

Windows

Open Explorer windows for successfully mounted volume
-成功掛載Volume時開啟該Volume在檔案總管

Use a different taskbar icon when there are mounted volumes
-掛載Volume時顯示的工作列Icon會與平時不同。

Preserve modification timestamp of file containers
-不更動Volume的"最後修改時間",由於TrueCrypt的預設並不會改變Volume的大小,因此如果使用軟體進行差異備份,則TrueCrypt的Volume會被認定為未經修改,若要解決這個問題就不能勾選這個項目。

Password Cache

Cache password in driver memory
-將密碼快取在驅動程式記憶體中

Wipe Cached passwords on exit
-TrueCrypt主視窗關閉時抹除快取密碼

Wiped cached passwords on auto-dismount
-自動卸載時抹除快取密碼

更換密碼、keyfiles

話說在前頭,雖然TrueCrypt本身有提供更換Volume密碼與keyfiles的功能,但遇到需要更換密碼或keyfile時,最好還是重新做一個Volume,這也是選擇獨立檔案作為Volume最大的優點。

  1. 打開TrueCrypt主視窗,先選擇好要改變密碼/Keyfiles的Volume。

  2. 接著點選位置在主視窗中間的Volume Tools,選擇Change Volume Password或add/remove Keyfiles to/from Volume。這兩個叫出的功能其實一模一樣  ̄▽ ̄||

  3. 開啟"Change Password or Keyfiles"視窗之後,視窗上半部是輸入現在的密碼與Keyfiles,下面則是未來要使用的密碼與Keyfiles。總而言之,可以一口氣修改密碼或Keyfiles,如果下面只輸入密碼,那未來掛載Volume就會只需要輸入密碼,切記。

後記:基本的使用方式這篇應該都有介紹到。至於TrueCrypt的其他功能,就等我哪天有空的時候再說吧

本著作依據Creative Commons 姓名標示-非商業性-相同方式分享授權條款釋出

留言

黄先生寫道…
学习了,谢谢,有浅有深呀
Unknown寫道…
謝謝島兄的詳細說明.
個人最欣賞truecrypt的地方.是他設計哲學.把一切安全問題都在後台完成.不會把安全問題丟給使用者.
VeraCrypt密碼錯誤.必須要等待一段時間才能輸入.這把"安全問題丟給使用者的設計"。truecrypt是絕對不會這樣做的.
truecrypt大編副推薦bitlocker.讓人有點懷疑是被ms收買.畢竟ms不是第一次搞這把戲.所以我還是選擇相信truecrypt是安全的.所以繼續留在truecrypt7.1a

熱門文章

[How To] VPN Gate:由日本筑波大學所營運的免費VPN服務

一般使用者會接觸到VPN,最常見的情況就是想訪問被封鎖的網站、匿名上網、又或者想使用某些限定國家或區域的線上服務、遊戲等等。如果使用者不想付費購買VPN服務,這時候可以利用筑波大學以學術研究為目的而營運的 VPN Gate 來達成,VPN Gate這項計畫的目的在於推廣「全球分散式公共VPN中繼伺服器」的相關知識,為此VPN Gate的中繼伺服器由世界各地的志願者所提供的,用戶無須註冊就能使用,並且支援Windows、Mac、iPhone、iPad、Android等不同的作業系統,連線方式除支援SSL-VPN協議(必須使用Softether VPN)外,各伺服器的維護者也能選擇是否支援L2TP/IPsec、OpenVPN、Microsoft SSTP等不同的網路協議,這次我要介紹的是透過Softether VPN Client搭配VPN Gate Client Plugin來進行連線的方法。

[How To] 關閉Windows 10檔案總管「最近使用過的檔案」功能

剛開始使用Windows 10的使用者,應該會發現檔案總管跟過去有點不同,一打開就會顯示「最近使用過的檔案」。如果電腦只有使用者自己在使用,那的確是挺不錯的功能,但如果是和家人共用的情況下,也等於是直接把最近開對於啟檔案的紀錄暴露出來,對於我這種害羞內向的人來說與公開處刑無異,是個絕對NG的功能。 因此這次就是要告訴各位要怎樣把「最近使用過的檔案」這個NG的功能給關閉,並且將檔案總管的初始畫面調整成過去使用者所熟悉的「我的電腦」。 ▲在未關閉「最近使用過的檔案」的情況下,檔案總管的初始畫面會如上圖這般。

[How To] 如何將Windows10的數位授權連結(綁定)Microsoft帳號?

前一篇網誌是我在2016年6月那時所寫的,轉眼間現在已經到了2017年年底,雖然中間也不是沒有興起想寫網誌的念頭,但那段期間的生活上也不像過去那般有餘裕,直到最近社畜的生活比較上軌道後,才有機會來想想要寫些什麼。 這次要介紹的是Windows10的數位授權連結,換句話說就是將使用者的微軟帳號( 申請新帳號 )與Windows10的授權綁定。這樣做對使用者會有什麼好處?在你未來要將安裝Windows10的電腦淘汰時,Windows10授權不再是綁定電腦的主機板,而是綁定微軟帳號,所以只要在將擁有Windows10授權的微軟帳號做為新電腦的系統管理員帳號,就可以在新的電腦上使用前一台電腦上的Windows10授權,當然前一台電腦將不再有Windows10的授權。有關 硬體變更(包括更換主機板)之後重新啟用Windows10 的相關說明可以參考微軟的這篇: 硬體變更之後重新啟用 Windows 10 。

[How To] 還不知道怎樣低調還原的鄉民看這裡

本文絕對沒有叫鄉民去領便當的意圖(?)。在批踢踢上的某些專版,會因為某些特別的需要,所以必須使用低調碼來傳遞訊息。有沒有效果當然是見人見智,但板規這麼寫,也只好這麼做。

[How To] VLC Media Player影片錄製及截圖功能介紹

前陣子才剛寫過網誌 介紹VLC Media Player 這套影音播放程式,它是我目前在 MPC-HC專案終結 以後的替代方案,VLC Media Player跨多種平台(Windows, Mac OSX, Linux, Android, iOS )、並且廣泛支援各種影音格式,並且無須經過太複雜的設定即可上手。這次我就來說一下,VLC Media Player錄製影片片段以及製作影片截圖的功能該如何使用。

[How To] 在Windows10 家用版啟用本機群組原則編輯器功能(GPedit.msc)

一直以來Windows 10 家用版因為無法啟用「本機群組原則編輯器(GPedit.msc)」,使得不少要有GPedit.msc功能才能調整的設定。譬如Windows更新政策,就會受限於沒有GPedit.msc而無法調整,所以我都將Windows 10 家用視為閹割版,並不建議朋友購買,寧可多花一點錢買專業版。 小秘訣: 如何檢測Windows10的版本?以快捷「 WinKey+R 」叫出「執行」功能,並以「 winver 」關鍵字執行,就會出現「關於Windows」視窗,上面就有記載Windows10的版本。 最近因為 Windows 10 1809版更新的災情 鬧得沸沸揚揚,和朋友聊天的時候又聊到Windows10以來的這一連串災難,這時候我才知道原來我的資訊已經落伍了,Windows 10的家用版其實也可以啟用GPedit.msc,只是需要下指令來執行。今天我就來說明Windows 10家用版的使用者,該如何正確啟用「本機群組原則編輯器(GPedit.msc)」這項超重要的功能。

[SAS] 利用PROC IMPORT匯入外部資料

因為資料來源的不同,所以拿到的資料格式往往各式各樣,可能是Excel的xls,xlsx檔,SPSS的sav檔,STATA的dta檔,txt純文字檔,csv檔,dat原始資料檔等等。SAS雖然能使用Import Wizard匯入其他統計套裝軟體和Excel資料,但以我過去的經驗來講,套裝軟體之間的發行時間差太多,或是作業系統因素(參考 【SAS 9.3小技巧】SAS 9.3 64位元版匯入Excel?! ),常常會讓這個功能折騰使用者老半天,所以建議在原生軟體先把資料存成純文字檔讓SAS來讀取(建議存成CSV檔,以逗號來區隔資料的純文字格式),今天將介紹如何用SAS內的PROC IMPORT敘述句來匯入純文字格式的外部資料。(.dat原始資料還是要使用FILENAME+INFLIE敘述句來匯入)

[How To] 影音播放器 MPC-HC 1.7.1 初學者設定教學

注意: 目前MPC-HC 開源專案已於v1.7.13結束( 資訊來源 ),建議使用者改用另一款開源影音播放器: VLC Media Player ( 相關介紹 )。 這幾年如果談到Windows上的影音播放器,許多人想到的不是KMPlayer就是PotPlayer。但其實除了這兩款之外,還有以Media Player Classic為基礎繼續開發的MPC-HC可以選擇。MPC-HC由於預設功能的關係,所以給人一種沒有前兩款影音播放軟體來得好用的印象,其實只要經過幾個簡單的步驟,MPC-HC就能夠符合大多數人的需求。 軟體資訊 軟體名稱:MPC-HC 作業系統:Windows® XP SP3, Vista, 7, 8 both 32-bit and 64-bit 語言介面:支援正體中文 最新版本:1.7.1 官方網站: http://mpc-hc.org/ 下載頁面: http://mpc-hc.org/downloads/ 重大事項:由於MPC-HC v1.6.8有緩衝區溢位的漏洞,因此官方強烈建議更新至v1.7.0之後的版本。(2013/10/06更新)

[How To] 簡單易上手的影音播放器 ─ VLC Media Player 3.0.0

以前我曾經在這個網誌上寫過一篇 MPC-HC的相關介紹 , MPC-HC 是我近幾年認為在Widnows平台上最好用的影音播放器,那篇後來沒有隨著版本更新的另一個原因,是一位MPC-HC的設定越來越懶人,當時寫的教學後來看都顯得多餘XD。 但在去年七月中旬的時候, MPC-HC 官網發佈了v1.7.13版,同時 宣布這版將可能是MPC-HC的最後一個版本 。隨著眾多志願開發者的逐漸離去,這個開源專案在第11年也終於走到了盡頭。雖然很遺憾,但在沒有其他開發者願意投入這個開源專案的情況下,使用者也只能尋覓替代方案。

[How To] 關閉WIndows 10的驅動程式自動更新(適用於家用版)

目前最常看到有關Windows Update的災情,除了1709、1803這類重大版本功能更新造成的問題之外,其次就是因為驅動程式更新後造成的系統異常情形,譬如 2015年Nvidia驅動程式在Windows自動更新後導致多螢幕、SLI設定失效 。這篇的文章的重點會放在如何關閉Windows驅動程式更新上,如果是有關調整Windows update的設定,請參照這篇我最近所寫的文章:「 [How To] 如何避免自己成為Windows Update的受害者?(也適用Windows 10家用版) 」。 由於本篇文章會使用到「本機群組原則編輯器(gpedit.msc)」如果是專業版以上版本的使用者,可以直接使用這篇文章下面所寫的方法,但如果是家用版的使用者,在閱讀這篇文章之前,煩請先參考我寫的 這篇文章 。