从位存器迁移到Veracrypt时，需要考虑哪些因素？

Question

我们目前正在评估从BitLocker迁移到VeraCrypt的情况。基于最近的更新到VeraCrypt，似乎有对UEFI/GPT的支持。此外，在更新Windows10时，似乎不需要解密。

从BitLocker迁移到VeraCrypt的原因包括：

• 并非所有设备都支持TPM。
• 对BitLocker的有限支持，因为许多设备都部署在Windows10Home中

假设有采用VeraCrypt的能力，我想自然的进展是首先解密当前使用BitLocker的设备。如果是，这会给磁盘上的数据带来什么风险？

例如，在用VeraCrypt加密驱动器之后，是否会像有人试图执行数据恢复一样公开这些信息？

应该先将数据迁移到另一个在解密和加密之前已经加密的替代目的地吗？

由于目前使用BitLocker的设备存储敏感信息，如个人可识别数据、财务报表等，我希望限制数据泄漏的风险。

Answer 1

首先，VeraCrypt是开源的。因此，您可以确保代码不包含后门。而BitLocker是封闭的源代码，因此不开放供检查。因此，像国安局能破解微软的BitLocker吗这样的帖子已经出现了。虽然微软向欧盟政府开放Windows源代码是好消息，但它仍然允许我声明BitLocker和苹果的FileVault一样值得信赖，因为源代码是不公开的，直到那一天，这个声明仍然是正确的。

据我所知，VeraCrypt的隐藏分区的工作方式类似于中止的TrueCrypt。隐藏的分区工作得很好，

可能发生的情况是，有人强迫您向加密卷透露密码。在许多情况下，您无法拒绝透露密码(例如，由于敲诈)。使用所谓的隐藏卷可以解决这种情况，而无需向卷泄露密码。

原则是在另一个VeraCrypt卷中创建一个VeraCrypt卷(在卷上的空闲空间内)。即使在挂载外部卷时，也不可能证明其中是否存在隐藏的卷*，因为在创建卷**时，任何VeraCrypt卷上的空闲空间总是充满随机数据，而且(卸载)隐藏卷的任何部分都不能与随机数据区分开来。请注意，VeraCrypt不修改文件系统(有关空闲空间的信息等)。以任何方式在外部体积内。隐藏卷的密码必须与外部卷的密码大不相同。在外部卷中(在创建隐藏卷之前)，您应该复制一些实际不想隐藏的敏感文件。这些文件将为任何强迫您交出密码的人提供。您将只显示外部卷的密码，而不是隐藏卷的密码。真正敏感的文件将存储在隐藏卷上。- 来源

VeraCrypt有跨平台支持。这样，您就可以在FreeBSD、Linux、Mac和Windows上访问FreeBSD卷。但是，在编写Microsoft时，只能正式支持BitLocker卷。此外，密码设置还可以解密和打开VeraCrypt卷cryptsetup --tcrypt-hidden open --type tcrypt [volume] [name]。

如果要查找不太安全的BitLocker方面，应该注意到，与使用可移动USB相比，TPM并不有助于安全性，因为这可以更容易地与您一起使用，而TPM则不能。此外，BitLocker确实支持密码解密，类似于LUKS。因此，BitLocker提供了三个存储解密密钥的选项: TPM、USB密钥或密码(您还记得这些选项)。

假设有能力采用Veracrypt，我想自然的进展将是首先解密当前使用Bitlocker的设备。如果是，这会给磁盘上的数据带来什么风险？

在解密驱动器上存储任何敏感数据都会带来相当大的风险。完成之后，您必须正确地覆盖数据，这在SSD上可能会变得更加繁琐。

应该先将数据迁移到另一个在解密和加密之前已经加密的替代目的地吗？由于目前使用Bit储物柜的设备存储敏感信息，如个人身份数据、财务报表等，我希望限制数据泄漏的风险。

将敏感数据直接从加密的BitLocker复制到VeraCrypt加密分区，从而减少数据泄漏。或者，如果这是不可行的，将数据存档到7z存档中，并使用带有强随机密码的AES256加密数据。然后将该存档解压缩到VeraCrypt分区上。然后丢弃密码并覆盖7z存档，覆盖部分是可选的。

Answer 2

根据我在Veracrypt方面的一些经验，我有一些考虑。我同意Veracrypt的所有优点，比比特储物柜安全阴谋。但Veracrypt在介绍时会遇到一些困难。加密/解密过程--这一切的目的--看起来都是可靠和可靠的。但是，使用全磁盘加密的主要方法是，当您为Veracrypt加密的内部硬盘重新启动计算机时，它通常会引导，询问密码，然后您就准备好了。在过去的几年中，有相当多的用户在引导过程中遇到了问题，而不是解密。

我的建议：

• 非常彻底地遵循记录在案的程序。特别是，不要跳过预测试和创建救援磁盘的任何方面.在一开始，你很可能需要这个来恢复。
• (重新)引导的问题似乎很大程度上取决于计算机的制作。特别是宏碁给出了问题，但我也看到他们报道了惠普和东芝。根据您所负责的计算机数量和制造商的不同，我将在您负责的设备中对每台个人制造的每台计算机进行一次试运行。
• 当它正常工作时，当前的Veracrypt版本可以完全处理UEFI和GPT。根据一些论坛的评论，重新启动的问题源于UEFI标准不那么稳定，以及一些制造商没有在每一个细节上遵守这些标准。有时，启动顺序是在温暖的重新启动之后维持的，而不是在冷启动之后。所以问题当然不完全是Veracrypt制造的。
• 那些关注问题的人，主要是在主要的Veracrypt专用论坛-- Mounir Idrassi和Alex --上回复的，他们都很能干，用心很好，但也许有点过火了。除了仔细地跟踪文档之外，在论坛页面上提前阅读也是有好处的。主要的技术答案在https://sourceforge.net/p/veracrypt/discussion/technical/系列中。
• 我完全同意safesploit的建议，避免将任何数据移动到没有全磁盘加密的磁盘上。仅将数据从已打开/解密/挂载的比特锁卷移动到新的Veracrypt加密卷。这是唯一安全的过程；这意味着您在数据恢复方面没有风险。
• 如果您知道上述问题，我认为您可以依赖Veracrypt。除了用户错误(如密码丢失)之外，我没有听说过任何真正的数据丢失。但是，让自己为某种学习曲线做好准备，并留出时间确保你拥有的每一台机器，对于内部硬盘来说，不会出现任何热启动或冷启动的问题。对于外部驱动器来说，这当然不是问题.

我希望这有助于，并解决您的问题，考虑的评估，和风险。