TrueCrypt 网站上有一些关于如何安全备份(TrueCrypt 非系统卷)的详细信息,总结如下:
- 创建一个新的 TrueCrypt 卷
- 挂载主卷。
- 将所有文件从挂载的主卷直接复制到挂载的备份卷。
我的问题是:为什么这是必要的?为什么不简单地将加密的 TrueCrypt 容器文件复制到您的备份服务/设备?根据TrueCrypt 教程的第 5 步,这个容器是一个普通的文件,可以复制、移动等。
将这个加密的文件复制到一个可能不安全的备份介质是最简单和最安全的备份方式吗?
TrueCrypt 网站上提到的方法有什么好处?它在开头提到卷中的文件可能已损坏 - 这是否相关?在这种情况下,我对隐藏的卷或似是而非的否认不感兴趣。
备份 TrueCrypt 容器意味着您将以加密卷的时间线结束,并且所有这些版本共享相同的密钥。具有相同密钥的不同版本的容器为攻击者提供了两个优势:
然而,在现实世界中,情况却大不相同。如果您没有隐藏卷,或者您不关心对手知道您的隐藏卷,那么对卷进行一些备份并不是真正的问题。到目前为止,密码学问题(密码分析)只是理论上的。
根据TrueCrypt 安全要求,关于卷克隆/副本有两个主要问题:
解决此问题的另一种方法是复制容器文件并对其进行加密,例如。在备份之前使用openssl。对于后续备份,您应该使用不同的密钥/密码进行备份加密。
开发基于规则的密钥/密码生成方案相当容易。因此,您将依赖记录密码。这将使恢复过程更加安全。
在我看来,这将比 trueCrypt 手册概述的方法更容易/更舒适。
另一个相当大的优势是速度。如果您有一个未满的大型 TrueCrypt 容器,您的备份只需要复制正在使用的字节而不是整个容器。rsync 或 Windows robocopy 等标准工具只会复制已更改的文件,这通常只是文件的一小部分。如果您复制容器,则必须传输每个字节,并且您通常必须卸载驱动器,因此您当时无法访问您的文件。在我的 eSATA 驱动器上,复制一个 25GB 的容器需要 15 分钟,这似乎足够短,直到您开始等待它。
如果您可以访问安装备份容器的单独计算机,rsync 将通过 ssh 安全地传输更改,因此您可以滚动自己的远程备份。