VeraCrypt for Your Security

由于及时修复了CVE-2015-7358和CVE-2015-7359这两个已知的缺陷(由Google安全工程师James Forshaw发现)之后,开源软件VareCrypt理所当然地成为了TrueCrypt的推荐接替者。使用一段时间之后,我也同样推荐大家以它来代替早已停止更新维护的TrueCrypt(2014年TrueCrypt的作者已经宣布关闭网站,并宣布不再继续维护)。尽管TrueCrypt的结束原因有着诸多猜测,但是不管如何,VeraCrypt的确是目前所有候选者中最值得尝试使用的。 VareCrypt的官方下载地址为: https://veracrypt.codeplex.com/ VeraCrypt的使用上,基本与TrueCrypt一致。包括使用界面、加密类型、创建流程、加载加密盘流程等,基本没有太大区别。在此之争对几个重要差异做一个简单介绍。 1)PIM(Personal Iterations Multiplier) 针对每一个加密盘,会创建Head Key与Master Key。Master Key的作用主要针对加密盘的数据区信息进行加密,而为了加密这个Master Key本身,就需要把Master Key放入加密盘的描述区,并由Head Key来再次进行加密。VeraCrypt针对Head Key的创建,增加了可以由用户来自行指定散列的迭代次数(N次),这个N就是PIM的概念。通过追加自定义的迭代次数之后,暴力破解几乎是不太可能实现的。当然,可以猜测的是,N的数值越大,每次加载的时间越长。简单来讲,使用VeraCrypt加载加密盘的时候,除了输入密码、选择Key File(如果需要的话)之外,还输入一个迭代数字,且但凡其中有一个不正确,几乎不可猜测或破解! 2)Volume Expander 由于Head Key与Master Key的分离,使得加密盘的数据区与描述可以分别修改。如果加密盘的空间不足的时候,VeraCrypt支持进行扩展。这个是比较重要的改进。 3)Encryption Algorithm 对于初级的使用者来讲,无论是TrueCrypt还是VeraCryptZhong涉及的加密算法选择,总会产生一些难以抉择。在此我也简单介绍一下。 哈希算法包括 RIPEMD-160、SHA-512 和 Whirlpool,而且可以在卷的创建、密码更改 以及文件产生时使用。但是SHA-512 和Whirlpool 符合NESSIE(New Euro-pean Schemes for Signatures, Integrity and Encryp-tion)标准,因为他们可以抵抗冲突,而 RIPEMD-160 不符合 NESSIE 标准,因为它的输出只有 160bit。同时提供了HMAC-SHA-512、HMAC-RIPEMD-160、HMAC-Whirlpool三种哈希算法。 加密算法包括AES、Twofish、Serpent。相信大家都比较熟悉AES加密算法,多年前的Rijndael加密算法被最终选定为DES的升级替代算法之后,就成为了AES加密算法。Twofish与Serpent也是与Rijndael加密算法同时列入最终候选的,相互之间的区别在于,Serpent加密最复杂、耗时较长,Rijndael加密相对简洁、耗时最短,Twofish处于中间。但是以上三个算法都是非常优秀的!三种加密算法以及由三种算法组合产生的另外 AES-Twofish、AES-Twofish-Serpent、Serpent-AES、Serpent-Twofish-AES、Twofish-Serpent级联的加密算法。 由一个足够复杂的密码,多个组合的Key Files,再加上一个自定义的迭代次数组后之后创建的加密盘,可以说目前是无法破解的。因此,回过头来讲,最终的安全与否,根源会被转移至计算机物理安全,以及操作系统本身的系统安全。


November 19, 2015 0