隐藏卷
可能会出现有人迫使您透露加密卷密码的情况。在很多情况下,您无法拒绝透露密码(例如,受到勒索)。使用所谓的隐藏卷可以解决此类情况,而无需透露您的卷密码。
在标准VeraCrypt卷中创建隐藏卷前后的布局。
其原理是在另一个VeraCrypt卷(卷上的空闲空间内)中创建一个VeraCrypt卷。即使外部卷已挂载,也应该无法证明其中是否存在隐藏卷*,因为在创建任何VeraCrypt卷时,其空闲空间始终会用随机数据填充**,并且(未挂载的)隐藏卷的任何部分都无法与随机数据区分开来。请注意,VeraCrypt不会以任何方式修改外部卷内的文件系统(有关空闲空间等信息)。
隐藏卷的密码必须与外部卷的密码有很大不同。在(在其中创建隐藏卷之前),您应该将一些看起来敏感但实际上并不想隐藏的文件复制到外部卷。这些文件将留给任何迫使您交出密码的人。您只需透露外部卷的密码,而不是隐藏卷的密码。真正敏感的文件将存储在隐藏卷上。
隐藏卷的挂载方式与标准VeraCrypt卷相同:点击选择文件或选择设备以选择外部/宿主卷(重要提示:确保该卷未挂载)。然后点击挂载,并输入隐藏卷的密码。挂载的是隐藏卷还是外部卷取决于输入的密码(即,当您输入外部卷的密码时,将挂载外部卷;当您输入隐藏卷的密码时,将挂载隐藏卷)。
VeraCrypt首先尝试使用输入的密码解密标准卷头。如果解密失败,它会将卷中可能存储隐藏卷头的区域(即字节65536 - 131071,当卷中没有隐藏卷时,该区域仅包含随机数据)加载到RAM中,并尝试使用输入的密码对其进行解密。请注意,隐藏卷头无法被识别,因为它们看起来完全由随机数据组成。如果头成功解密(有关VeraCrypt如何确定解密成功的信息,请参阅
加密方案部分),则从解密后的头(仍存储在RAM中)中检索隐藏卷的大小信息,并挂载隐藏卷(其大小也决定了其偏移量)。
可以在任何类型的VeraCrypt卷中创建隐藏卷,即文件托管卷或分区/设备托管卷(需要管理员权限)。要创建隐藏的VeraCrypt卷,请在主程序窗口中点击创建卷,然后选择创建隐藏的VeraCrypt卷。向导将提供帮助和成功创建隐藏的VeraCrypt卷所需的所有信息。
在创建隐藏卷时,对于没有经验的用户来说,设置隐藏卷的大小可能非常困难,甚至不可能确保隐藏卷不会覆盖外部卷上的数据。因此,卷创建向导会在(在其中创建隐藏卷之前)自动扫描外部卷的簇位图,并确定隐藏卷的最大可能大小***。
如果在创建隐藏卷时遇到任何问题,请参考
故障排除章节以获取可能的解决方案。
请注意,还可以创建并启动驻留在隐藏卷中的操作系统(请参阅
似是而非的否认章节中的
隐藏操作系统部分)。
* 前提是遵循了VeraCrypt卷创建向导中的所有说明,并且遵循了隐藏卷的安全要求和预防措施子部分中列出的要求和预防措施。
** 前提是禁用了快速格式化和动态选项,并且卷不包含已在原地加密的文件系统(VeraCrypt不允许用户在这样的卷中创建隐藏卷)。有关用随机数据填充卷空闲空间的方法的信息,请参阅技术细节章节中的VeraCrypt卷格式规范部分。
*** 向导扫描簇位图以确定连续空闲空间区域的大小(如果有),该区域的末尾与外部卷的末尾对齐。该区域用于容纳隐藏卷,因此该区域的大小限制了隐藏卷的最大可能大小。在Linux和Mac OS X上,向导实际上并不扫描簇位图,而是驱动程序检测写入外部卷的任何数据,并按上述方式使用其位置。
下一部分 >>
