VeraCrypt for Your Security

Don't focus on where we are today, but where we intend to go.

VeraCrypt for Your Security

November 19, 2015 IT Software 0

VeraCrypt由于及时修复了CVE-2015-7358和CVE-2015-7359这两个已知的缺陷(由Google安全工程师James Forshaw发现)之后,开源软件VareCrypt理所当然地成为了TrueCrypt的推荐接替者。使用一段时间之后,我也同样推荐大家以它来代替早已停止更新维护的TrueCrypt(2014年TrueCrypt的作者已经宣布关闭网站,并宣布不再继续维护)。尽管TrueCrypt的结束原因有着诸多猜测,但是不管如何,VeraCrypt的确是目前所有候选者中最值得尝试使用的。

VareCrypt的官方下载地址为:
https://veracrypt.codeplex.com/

VeraCrypt的使用上,基本与TrueCrypt一致。包括使用界面、加密类型、创建流程、加载加密盘流程等,基本没有太大区别。在此之争对几个重要差异做一个简单介绍。

1)PIM(Personal Iterations Multiplier)
针对每一个加密盘,会创建Head Key与Master Key。Master Key的作用主要针对加密盘的数据区信息进行加密,而为了加密这个Master Key本身,就需要把Master Key放入加密盘的描述区,并由Head Key来再次进行加密。VeraCrypt针对Head Key的创建,增加了可以由用户来自行指定散列的迭代次数(N次),这个N就是PIM的概念。通过追加自定义的迭代次数之后,暴力破解几乎是不太可能实现的。当然,可以猜测的是,N的数值越大,每次加载的时间越长。简单来讲,使用VeraCrypt加载加密盘的时候,除了输入密码、选择Key File(如果需要的话)之外,还输入一个迭代数字,且但凡其中有一个不正确,几乎不可猜测或破解!

2)Volume Expander
由于Head Key与Master Key的分离,使得加密盘的数据区与描述可以分别修改。如果加密盘的空间不足的时候,VeraCrypt支持进行扩展。这个是比较重要的改进。

3)Encryption Algorithm
对于初级的使用者来讲,无论是TrueCrypt还是VeraCryptZhong涉及的加密算法选择,总会产生一些难以抉择。在此我也简单介绍一下。

哈希算法包括 RIPEMD-160、SHA-512 和 Whirlpool,而且可以在卷的创建、密码更改 以及文件产生时使用。但是SHA-512 和Whirlpool 符合NESSIE(New Euro-pean Schemes for Signatures, Integrity and Encryp-tion)标准,因为他们可以抵抗冲突,而 RIPEMD-160 不符合 NESSIE 标准,因为它的输出只有 160bit。同时提供了HMAC-SHA-512、HMAC-RIPEMD-160、HMAC-Whirlpool三种哈希算法。

加密算法包括AES、Twofish、Serpent。相信大家都比较熟悉AES加密算法,多年前的Rijndael加密算法被最终选定为DES的升级替代算法之后,就成为了AES加密算法。Twofish与Serpent也是与Rijndael加密算法同时列入最终候选的,相互之间的区别在于,Serpent加密最复杂、耗时较长,Rijndael加密相对简洁、耗时最短,Twofish处于中间。但是以上三个算法都是非常优秀的!三种加密算法以及由三种算法组合产生的另外 AES-Twofish、AES-Twofish-Serpent、Serpent-AES、Serpent-Twofish-AES、Twofish-Serpent级联的加密算法。

由一个足够复杂的密码,多个组合的Key Files,再加上一个自定义的迭代次数组后之后创建的加密盘,可以说目前是无法破解的。因此,回过头来讲,最终的安全与否,根源会被转移至计算机物理安全,以及操作系统本身的系统安全。

Leave a Reply

Your email address will not be published. Required fields are marked *