Veracrypt何时是可接受的解决方案？

Question

为了有效管理安全风险，非营利组织有以下高层次要求；

• 限制获得授权的工作人员。
• 只有经授权的工作人员才能查阅敏感数据。
• 必须保持数据完整性。
• 数据访问必须是可审核的。

由于许多工作人员在场外工作，重要的是数据要安全地存储在使用中的设备以及诸如DVD和USB棒/驱动器等媒体上。

历史上，这些设备都使用TrueCrypt全磁盘加密。随着设备的退役和更新(捐赠)，有机会通知选择和解决方案，以保护这些设备。

工作人员将过渡到Microsoft 10和OpenSUSE。由于预算考虑，Windows 10设备的部署受到限制。并非所有设备都支持TPM。大约有50种设备，其中大多数是非Windows设备.此外，Microsoft的版本将是家庭版或专业版。

除了Veracrypt之外，还可以选择使用Microsoft Bitlocker和LUKS。在在线研究(例如全磁盘选项)中，似乎没有最适合这些选项的用例的清晰视图。

例如；

1. Veracrypt是否应该仅限于加密可移动媒体？
2. 陆克思什么时候被考虑？

Answer 1

您应该将LUKS2与认证加密结合使用。您可以通过运行以下命令来设置设备的格式：

cryptsetup luksFormat --type luks2 $dev --cipher chacha20-random --integrity poly1305

您指定了数据完整性是必需的。在这种情况下，您不应该使用VeraCrypt，因为它不能提供完全的完整性。它使用一种称为XTS的操作模式，即光靠自己不太好。它也是可锻铸可锻铸，这意味着有人可以在不知道密钥的情况下通过修改密文来修改明文。然而，它们仅限于随机化16字节的数据块.也就是说，修改密文中的一个比特会导致16字节的明文随机化，而不需要VeraCrypt注意。当您在经过身份验证的加密中使用LUKS2时，此问题得到了缓解，完整性得到了保护。

现在，VeraCrypt有什么用例吗？好的。VeraCrypt比LUKS更容易在Windows下工作，但最大的好处是似是而非。如果您有外部加密驱动器，而且有人要求您泄露密码，则可以声明驱动器已被删除，如果使用VeraCrypt，则不包含加密数据。如果您使用LUKS，这将是不可能的，因为它包含一个指定它是LUKS的标题。VeraCrypt还具有支持隐藏体积的额外好处，这在某些压制性政权中是有用的。

请注意，可信的可否认性和隐藏的体积可能不能有效地在固体介质上工作。