从加密原理到性能调优,从隐藏卷到避坑指南——读完它,你将真正理解你正在使用的工具。
VeraCrypt 使用实时加密(On-the-Fly Encryption)技术。加密与解密发生在数据写入/读取硬盘的瞬间,由操作系统内核驱动完成,对你和所有应用程序完全透明。
创建加密卷时,VeraCrypt 会:
此后所有读写都经过映射层:写入 → 加密 → 落盘,读取 → 解密 → 返回。主密钥从不写入硬盘明文区域,只在内存中存在,卸载时被安全清零。
你的密码不是直接加密数据的密钥。密码解密卷头,卷头里才是真正加密数据的主密钥。这意味着换密码不需要重新加密整个卷,只需重新加密卷头(仅 128KB)。
用户密码通常熵不足。VeraCrypt 使用 PBKDF2 配合 HMAC-SHA-512,把弱密码"拉伸"成 512 位强密钥。核心机制是迭代——同一哈希函数反复应用成千上万次:
每次迭代约需 1 微秒。50 万次迭代意味着每次尝试密码需 0.5 秒——对你输入正确密码几乎无感,对暴力破解者意味着每秒只能尝试 2 次。
VeraCrypt 允许把多种加密算法串联使用——数据先用算法 A 加密,再用算法 B 加密,再用算法 C 加密。读取时反向解密。
可用级联组合:
级联的优势在于纵深防御:即使某种算法未来被发现漏洞,其余层仍守护数据。代价是性能——三层级联吞吐量约为单层的三分之一。
对绝大多数用户,单层 AES-256 已足够安全。级联更适合高威胁模型(记者、活动家、跨国企业高管)。不要盲目选择三层——它会让备份和迁移变复杂。
VeraCrypt 性能高度依赖硬件加速。现代 CPU 大多支持 AES-NI 指令集,可将 AES 加密速度提升 5-10 倍,达到每秒数 GB。
至少 20 字符,或 6-8 词随机口令短语。不同卷使用不同密码——某个泄露不影响其他。
卷头损坏 = 数据永久丢失。使用 VeraCrypt 内置的"备份卷头"功能,存到独立位置。
密码 + 关键文件比单纯密码强得多。关键文件可以是任何文件,但确保不会被修改或删除。
挂载状态下内存中存在主密钥。养成"用完即卸载"的习惯,缩短暴露窗口。
开源软件安全修复持续发布。升级前务必先卸载所有挂载的卷,并备份卷头。
VeraCrypt 没有密码找回机制,官方团队也无法解密。务必备份密码到安全的物理位置。
云盘同步会监控文件变化,每次写入都重新上传整个卷——浪费带宽且可能损坏。建议关闭同步。
挂载时主密钥在内存中。若电脑被攻击者获取,主密钥可能被读取。用完立即卸载。
升级前必须卸载所有挂载的卷,否则安装程序可能无法替换系统驱动。
向外层卷写入数据时,若不开启"保护隐藏卷"模式,可能覆盖隐藏卷。你必须自己记得它的存在。
SSD 的 TRIM 功能会泄露哪些区域空闲——可能暴露隐藏卷的存在。高敏感场景考虑在 HDD 上存放。