mir.pe (일반/밝은 화면)
최근 수정 시각 : 2024-12-11 20:57:25

VeraCrypt

베라크립트에서 넘어옴
<colbgcolor=#000><colcolor=#ffffff> VeraCrypt
파일:베라크립트 로고.svg
개발자 IDRIX
발표일 2013년 6월 22일
플랫폼 Microsoft Windows, macOS, Linux, FreeBSD
라이센스 멀티 라이센스 아파치 라이선스 2.0, TrueCrypt License 3.0
파일:홈페이지 아이콘.svg 파일:GitHub 아이콘.svg 파일:GitHub 아이콘 화이트.svg
1. 개요2. 특징
2.1. 알고리즘2.2. UEFI와 GPT 지원2.3. 시스템 파티션 암호화 시 변경 사항
3. 사용 방법
3.1. 응급복구 디스크
3.1.1. 암호가 자꾸 틀리다고 하는 경우3.1.2. 윈도우 무한 자동 복구 준비 중3.1.3. 시스템 디스크 복호화하기
3.1.3.1. 다른 컴퓨터에서 윈도우 복호화하기
4. 문제점5. 관련 문서

1. 개요

TrueCrypt 7.1a 버전에서 포크 오픈 소스 암호화 소프트웨어. 트루크립트가 개발 중지되었기 때문에 현재는 많은 사람들이 VeraCrypt를 쓰고 있다. 비영리 프로젝트로 개발되었으며, 이로 인한 수익은 오직 기부로만 받고 있다. 참고로 기부는 암호화폐로도 가능하다.

Linux, macOS, Windows에서 사용할 수 있고, https://www.veracrypt.fr/en/Home.html에서 다운로드받을 수 있다.

2. 특징

베라크립트는 salt를 추가하는 등 트루크립트보다 보안성이 향상되었지만 대신 볼륨을 마운트하는 데 TrueCrypt보다 오래 걸린다.

설치 파일은 한국어를 지원하지 않지만 소프트웨어는 한국어를 지원한다. 설치 이후 Settings -> Language...에서 한국어로 설정할 수 있다.

1.26.x 버전부터는 공식적으로는 윈도우 10부터 지원한다. 이전 윈도우에서도 계속 이후 버전의 베라크립트의 사용은 되지만, 새로 추가되는 기능에 대해 윈도우 8.1 이하에서의 테스트를 진행하지 않으므로 정상 작동이 계속된다는 보장은 없다.

Fast Startup(Fast Boot)은 비활성화하는 것을 권장한다.[1]

2.1. 알고리즘

파일:benchmarks.png
브로드웰 + 32GB RAM에서 진행한 벤치마크. AES-NI 덕분에 AES가 압도적으로 빠르다. 보편적인 용도로는 AES-256 및 SHA-512 조합이 무난할 것이다.

2.2. UEFI와 GPT 지원

윈도우의 C 드라이브 암호화는 BIOS MBR만 지원했었으나, 2016년 8월 17일 릴리즈된 버전 1.18a부터는 UEFI GPT도 지원하기 시작했다.

2.3. 시스템 파티션 암호화 시 변경 사항

일반적인 부팅 과정 중에 베라크립트가 끼어들게 되므로, EFI 파티션에도 변화가 생긴다.

EFI 파티션의 \\EFI\\Boot\\bootx64.efi, \\EFI\\Microsoft\\Boot\\bootmgfw.efi[3]이 변경된다. 각 파일은 같은 위치에 각각 original_bootx64.vc_backup 및 bootmgfw_ms.vc 이름으로 백업된다.

3. 사용 방법

[ 시스템 디스크 암호화 중의 안내 사항 원본 펼치기 · 접기 ]
만약 가능하다면, 이 텍스트를 인쇄합니다(아래 '인쇄' 클릭).


VeraCrypt 복구 디스크(암호화 후)를 사용하는 방법과 시기
------------- ---------------------------------------------- ----------------

I. VeraCrypt 복구 디스크를 부팅하려면 CD/DVD 드라이브에 디스크를 넣고 컴퓨터를 다시 시작합니다. VeraCrypt 복구 디스크(VeraCrypt 복구 디스크) 화면이 나타나지 않는 경우(또는 화면의 '키보드 컨트롤' 섹션에 '복구 옵션' 항목이 표시되지 않는 경우), BIOS가 CD/DVD 드라이브 이전에 하드 드라이브에서 부팅을 시도하도록 구성되어 있을 수 있습니다. 이 경우 BIOS 시작 화면이 표시되면 바로 컴퓨터를 다시 시작하고 F2 또는 Delete를 누른 다음 BIOS 구성 화면이 나타날 때까지 기다립니다. BIOS 구성 화면이 나타나지 않으면 시스템을 다시 시작(재설정)하고 컴퓨터를 다시 시작(재설정)하는 즉시 F2 또는 Delete를 반복해서 누르기 시작합니다. BIOS 구성 화면이 나타나면 먼저 CD/DVD 드라이브에서 부팅하도록 BIOS를 구성합니다(자세한 내용은 BIOS/마더보드 설명서를 참조하거나 컴퓨터 공급업체의 기술 지원 팀에 문의하십시오). 그런 다음 컴퓨터를 다시 시작합니다. VeraCrypt 복구 디스크(VeraCrypt 복구 디스크) 화면이 지금 나타납니다. 참고: VeraCrypt 복구 디스크(VeraCrypt 복구 디스크) 화면에서 키보드의 F8 키를 눌러 '복구 옵션'을 선택할 수 있습니다.


II. VeraCrypt 복구 디스크 사용 시기 및 방법(암호화 후)

1) 컴퓨터를 시작한 후 VeraCrypt 부트로더 화면이 나타나지 않거나 Windows가 부팅되지 않는 경우 VeraCrypt 부트로더가 손상될 수 있습니다. VeraCrypt 복구 디스크를 사용하면 VeraCrypt 복구 디스크를 복원하여 암호화된 시스템과 데이터에 다시 액세스할 수 있습니다(하지만, 올바른 암호를 입력해야 함). 복구 디스크 화면에서 '복구 옵션' > 'Restore VeraCrypt 부트로더'를 선택합니다. 그런 다음 'Y'를 눌러 작업을 확인하고 CD/DVD 드라이브에서 복구 디스크를 제거한 후 컴퓨터를 다시 시작합니다.

2) 올바른 암호를 반복적으로 입력했는데 VeraCrypt에서 암호가 잘못되었다고 하면 마스터 키 또는 기타 중요 데이터가 손상될 수 있습니다. VeraCrypt 복구 디스크를 사용하면 VeraCrypt 복구 디스크를 복원하여 암호화된 시스템 및 데이터에 대한 액세스를 복구할 수 있습니다(단, 올바른 암호를 계속 입력해야 함). 복구 디스크 화면에서 '복구 옵션' > '키 데이터 복원'을 선택합니다. 그런 다음 암호를 입력하고 'Y'를 눌러 작업을 확인하고 CD/DVD 드라이브에서 복구 디스크를 제거한 다음 컴퓨터를 다시 시작합니다.

3) VeraCrypt 부트로더가 손상된 경우 VeraCrypt 복구 디스크에서 직접 부팅하여 실행하지 않을 수 있습니다. CD/DVD 드라이브에 복구 디스크를 넣은 다음 복구 디스크(복구 디스크) 화면에 암호를 입력합니다.

4) Windows가 손상되어 시작할 수 없는 경우 VeraCrypt 복구 디스크를 사용하면 Windows가 시작되기 전에 파티션/드라이브의 영구적 암호를 해독할 수 있습니다. 복구 디스크 화면에서 '복구 옵션' > '시스템 파티션/드라이브 영구 해독'을 선택합니다. 올바른 암호를 입력하고 암호 해독이 완료될 때까지 기다립니다. 그런 다음 MS Windows 설치 CD/DVD를 부팅하여 Windows 설치를 복구할 수 있습니다.

참고: 또는 Windows가 손상되어(시작할 수 없음) 복구해야 하는 경우(또는 Windows의 파일 액세스) 다음 단계를 수행하여 시스템 파티션/드라이브의 암호를 해독하지 못할 수 있습니다. 컴퓨터에 여러 운영 체제가 설치되어 있는 경우 사전 부트 인증이 필요 없는 운영 체제를 부팅합니다. 컴퓨터에 운영 체제가 여러 개 설치되어 있지 않으면 WinPE 또는 BartPE CD/DVD를 부팅하거나 시스템 드라이브를 보조 또는 외부 드라이브로 다른 컴퓨터에 연결한 다음 컴퓨터에 설치된 운영 체제를 부팅할 수 있습니다. 시스템을 부팅한 후 VeraCrypt를 실행하고 '장치 선택'을 클릭하고 영향을 받는 시스템 파티션을 선택한 후 '확인'을 클릭하고 '시스템' > '사전 부트 인증 없이 마운트'를 선택하고 사전 부트 인증 암호를 입력한 후 '확인'을 클릭합니다. 파티션은 일반 VeraCrypt 볼륨으로 마운트됩니다(데이터는 액세스 시 RAM에서 즉시 해독/암호화됨).


VeraCrypt 복구 디스크를 분실하여 공격자가 찾은 경우에도 올바른 암호 없이 시스템 파티션이나 드라이브의 암호를 해독할 수 없습니다.


예전에 TrueCrypt에서 만든 암호화 볼륨을 VeraCrypt에서 열려면 TrueCrypt Mode를 체크하고 마운트해야 한다. 다만 트루크립트에서 만든 볼륨의 마운트는 1.26.x 버전부터 지원하지 않으므로, 변환하지 않고 그대로 쓰려면 1.25.9나 그 이전 버전을 사용해야 한다.

간혹가다 볼륨을 마운트할 때 ‘장치가 준비되지 않았습니다’와 같은 오류가 뜨는 경우가 있는데, 이 때는 명령 프롬프트를 관리자 권한으로 실행한 다음 mountvol /e를 치고 엔터를 누른 후 재부팅을 하면 해결된다.
VeraCrypt를 외장 하드/저장장치에서 숨겨진 볼륨과 함께 이용 시 반드시 '매번' 수동으로만 켜야하는 숨겨진 볼륨 보호를 키도록하자
만약 해당 옵션을 수동으로 체크하지 않는다면 표준 볼륨에 용량을 제한해둔 것과 상관없이 표준 볼륨의 파일이 숨겨진 볼륨으로 덮어씌워지게 되고,
이는 궁극적으로 숨겨진 볼륨 구성에 크랙을 발생시키는 요인이되고 더이상 숨겨진 볼륨에 액세스할 수 없게 됨을 의미하며, 이미 표준 볼륨 파일이 숨겨진 볼륨으로 넘어갔다면, TestDisk나 기타 복구 프로그램도 소용없다. VeraCrypt에서 자체적으로 지원하는 복구 옵션인 '볼륨 헤더 복원'도 마찬가지로 소용이 없다..나도 알고 싶지 않았다
위와 같은 일을 발생시키고 싶지 않다면, 항상 VeraCrypt가 적용된 저장장치에 표준 볼륨에서 과도한 용량의 파일을 저장하는 것을 피하고 그럴 수 없다면, 매번 숨겨진 볼륨 보호를 켜야한다는걸 까먹지 않도록 필히 주의하여야 할 것이다.

3.1. 응급복구 디스크

[4]
VeraCrypt rescue disk 1.25
d) Decrypt OS
m) Restore VeraCrypt loader to boot menu
z) Remove VeraCrypt loader from boot menu
c) Restore VeraCrypt loader configuration to system disk
k) Restore OS header keys
r) Restore VeraCrypt loader binaries to system disk
v) Boot VeraCrypt loader from rescue disk
o) Boot Original Windows Loader
h) Help
e) Exit
[dmzckrvohe] :

각종 잘못 만들어진 프로그램, 일부 윈도우 업데이트, 바이오스(정확히는 UEFI) 업데이트 등으로 인해 방금까지 잘 사용하던 베라크립트 시스템 디스크로 부팅되지 않는 경우가 종종 생길 수 있다. 이러한 상황에서 디스크와 데이터를 살리기 위해 존재하는 것이 응급복구 디스크(VeraCrypt Rescue Disk. zip)이다. 갑자기 사용할 일에 대비해서 자신이 주로 사용하는 이메일이나 클라우드 스토리지에 저장해놓자[5][6]. 자신의 컴퓨터에 베라크립트 관련해서 오류가 갑자기 생긴하면 PC방 등지에서 USB 메모리로 만들면 된다.

최신 VeraCrypt에서는 응급복구 디스크가 UEFI 환경에서만 가능하도록 바뀌었으므로, CSM 환경하에서 USB 메모리를 사용하려면 다음 링크의 하단을 참고하자. 다만 사전에 만들어둔 VeraCrypt Rescue Disk. iso 파일이 필요하다.

USB 메모리 만드는 내용은 마이크로소프트의 문서[7]를 참고하였다.
  1. 먼저 부팅 가능한 USB 등의 외장 저장장치를 만드는 것이 필요하다. 비어있는 USB 메모리 등 저장장치를 컴퓨터에 꼽는다.
  2. Windows 10 기준 작업 표시줄 검색창에서 cmd를 검색하고 우클릭을 해서 관리자 권한으로 실행을 클릭한다.
  3. diskpart를 입력한 후 DISKPART>라고 뜰 때까지 잠시 기다린다.
  4. list disk 혹은 lis dis[단축]를 입력한다. 자신이 사용하는 환경에 따라 다르니 여기서부터는 용량 등을 재차 확인하면서 진행을 하는 것을 권장한다.
  5. 응급복구 디스크로 만들 디스크가 n번[9]이면 그에 맞춰서 select disk n 혹은 sel dis n[단축]을 입력한다.
  6. clean 혹은 cle[단축]를 입력한다. 이때 응급복구 디스크로 만들 디스크가 지워진다.
  7. create partition primary 혹은 cre par pri[단축]를 입력하여 주 파티션을 만든다. select partition 1 혹은 sel par 1[단축]을 입력하며 방금 만들어진 주 파티션을 선택하고 format fs=fat32 quick 혹은 for fs=fat32 quick[단축][15]을 입력하여 FAT32로 포맷[16]한다. 그 다음 active 혹은 act[단축]를 입력하여 활성화한 후, exit 혹은 exi[단축]를 입력하여 diskpart를 종료한다.
  8. VeraCrypt Rescue Disk. zip[19]를 방금 만든 드라이브 최상단에 압축 해제한다. 예를 들면 D 드라이브가 방금 만든 USB 메모리라면 D:\\에 압축을 그냥 풀면 된다.
  9. 제조사별로 정해진 방법에 따라 UEFI 환경에서 응급복구 디스크로 부팅한다.

3.1.1. 암호가 자꾸 틀리다고 하는 경우

베라크립트 마스터 키가 손상됐을 가능성이 있다. 응급복구 디스크에서 k[k]를 누른 후에 재부팅해보자.

참고로 암호화 비밀번호를 바꾼 적이 있는 경우 각주에서 상술했듯이, 현재가 아닌 이전 응급복구 디스크가 있다면 이 메뉴를 이용해서, 이전 암호로 디스크를 열 수 있다. 그러므로 비밀번호를 바꾸면 응급복구 디스크도 새로 만들고 이전 것은 바로 폐기하는 게 좋다.

주의할 점은 d[d]를 눌러 복호화한 후에 다시 k[k]를 누르면 암호화한 것처럼 인식이 되어 디스크가 망가지게 된다. 따라서 복호화한 디스크에 k[k]를 누르는 일이 없도록 하자.

혹여, 애초에 비밀번호를 잘못 작성하여 복호화가 불가능하거나 키 파일이 변경, 제거되는 등 손실이 일어나면 암호화된 디스크는 절대로 복호화나 복구가 불가능하다고 보면 된다. 가장 기본적인 AES 암호화도 현존하는 최고의 슈퍼컴퓨터는 물론 양자컴퓨터를 가져와도 해독하는 것이 불가능하다고 여겨진다. 즉, 디스크를 포맷하고 데이터를 모두 날리는 방법 밖에 없다. 포맷 후 데이터 복구를 시도해봤자 어차피 복구된 데이터도 암호화 된 상태니 의미가 없다.

3.1.2. 윈도우 무한 자동 복구 준비 중

윈도우가 설치된 디스크를 암호화하면 부팅 과정에 VeraCrypt 부트로더[24]가 관여하게 된다. 이 부트로더를 거치치 않으면 윈도우에 접근이 안 되며, 베라크립트가 관여하지 않고 바로 윈도우 부트 매니저로 부팅하게 될 일이 생기면 자동 복구 준비 중 화면을 보게 된다. 이것은 정상적인 것으로, 암호가 입력되지 않았으므로 기존의 윈도우 부트 매니저는 읽을 수 없어 고장난 윈도우로 인식하게 되므로 원인을 알 수 없어 무한하게 자동 복구를 시도하는 것이다.[25]

이 화면을 자주 볼 수 있는 때가 바이오스를 업데이트하였을 때이다. 바이오스 업데이트를 하면 대체로 설정이 초기화가 되는데, 설정된 부팅 순서도 초기화가 되면서 베라크립트 부트로더가 아닌 기존의 윈도우 부트 매니저를 로딩하면서 오류를 뿜는 것이다. 간단하게 바이오스의 해당 설정에서 베라크립트 부트로더를 먼저 읽게 순서를 바꿔주면 해결된다. [26]

바이오스(UEFI)에서 베라크립트 로더가 아예 나오지 않는 증상도 발생할 수 있다. 이 증상에는 2가지 경우가 있는데, 첫 번째는 단순히 바이오스 메뉴에서 보이지 않는 것[27] 그리고 두 번째는 베라크립트 로더 자체가 날라간 것이다. 전자의 경우, 응급복구 디스크로 부팅한 후, m[m]을 누르고 재부팅하고 바이오스에 들어가면 부팅 순서에 베라크립트 로더가 생겨있는 것을 볼 수 있다. 후자의 경우, 단순히 순서가 아니라 베라크립트 부트로더가 망가지거나 날라갔다면[29], 응급복구 디스크로 부팅한 후에 r[r]을 누르고 m[m]을 누르면 간단히 해결된다.

3.1.3. 시스템 디스크 복호화하기

데이터 자체에 손상이 가지 않은 이상, 대부분의 문제는 복호화(d[d])하고 베라크립트 로더를 없앤 다음(z[z]) 기존의 윈도우 부트 매니저로 부팅하면(o[o]) 거의 해결된다.
3.1.3.1. 다른 컴퓨터에서 윈도우 복호화하기
응급복구 디스크가 있으면 윈도우가 고장나서 진입이 안 되는 등의 상황에서, 대상 VeraCrypt 디스크의 비밀번호를 안다는 전제하에 다른 PC에서 복호화를 할 수 있다. 당연하지만 비밀번호를 모르면 복호화가 불가능하다.

응급복구 디스크로 부팅한 후, d[d]를 누르고 복호화할 윈도우가 고장난 VeraCrypt 디스크가 탑재된 저장장치를 컴퓨터에 연결하고, 그 비밀번호(있다면 PIM까지)를 입력한다. 평소 부팅 때와는 달리 암호 입력 후에 딜레이가 조금 오래 걸리므로[36][37] 조바심을 갖지 말고 기다리자. 암호가 맞다면 해당 드라이브를 복호화할지 Decrypt? 라면서 물어본다. y를 누르면 복호화가 진행된다. ETA가 계산상으로는 며칠~몇 주가 나오지만 실제로는 한두 시간 이내에 복호화가 완료된다. 중간에 esc 등을 누르면 Stop?이라고 묻는데 n을 누르면 하던 작업을 이어서 한다.

복호화 후에 z[z]를 눌러서 UEFI에서 베라크립트 부트로더를 인식 못 하게 한 후(시스템에 따라 나중에 UEFI의 부팅 순서에서 Windows Boot Manager를 최상단으로 올려준 후에), o[o]를 눌러서 윈도우 부트 매니저로 부팅을 하면 암호화 이전의 상태처럼 암호 입력 없이 암호화되지 않은 평범한 윈도우에 진입하게 된다.

상술했듯이 복호화를 완료한 후에 실수로 k[k]를 누르게 되면 암호화가 된 것처럼 인식시켜버리므로 키보드 키를 누를 때 조심하자.

4. 문제점

간혹 부트로더가 날라가서[41] 블루스크린이 출력되는[42] 경우가 있어 주의를 요한다. 특히 (바이오스라고 자주 불리는) UEFI 업데이트가 잦은 형 시스템에서 베라크립트 부트로더가 사라지는 일이 자주 발생할 수 있으니 응급복구 디스크를 미리 만들어두고 메일 등에 응급복구 디스크를 백업해놓자. 상술했지만 비밀번호를 모르면 절대로 복호화를 못 하므로 백업을 많이 해주는 것이 좋다.

하드웨어 가속인 AES-NI를 지원하는 프로세서라면 AES 사용 시 체감 속도 저하를 거의 느끼지 않은 채로 사용이 가능하다. 다만 AES-NI가 있어도 기술 발전에 따른 성능 자체의 격차는 있기 때문에, 구형 시스템에서는 베라크립트를 버티지 못 하는 경우가 종종 발생할 수 있다.

윈도우 10에 11로 올리는 등의 업그레이드 시에는 반드시 영구 복호화 후에 업그레이드하여야 한다. 업그레이드 과정에서 암호화된 시스템 디스크 설치 프로그램이 읽을 수 없어 오류가 발생하게 된다. 이미 업그레이드를 진행해서 오류가 발생하였을 때에는 미리 만들어둔 응급복구 디스크를 통해서 부팅하면 업그레이드 이전으로 자동적으로 윈도우가 알아서 복원 과정을 진행한다. 그리고 그 이후에 윈도우 11 업그레이드를 재시도하면 높은 확률로 0xc190012e 오류가 발생하는데 C:\\Users\\Default\\AppData\\Local\\Microsoft\\Windows\\WSUS 위치에 있는 setupconfig.ini 파일을 삭제하고 재부팅한 후에 진행하면 된다.[43]

안정성을 위해 Windows LTSC (장기지원)버전을 채택하는 것이 도움이 될 수 있다. Windows 10 Enterprise LTSC[44]나 Windows 11 Enterprise LTSC[45]처럼 장기지원버전을 사용하면 메이저 업그레이드로 인한 불상사를 피할 수 있다. 이들은 장기지원이라는 그 자체도 장점이지만, 일반 Pro나 Home버전처럼 자기 멋대로 메이저 업그레이드를 수행하지 않는다. 서버나 워크스테이션 등 산업용 제품을 목표로 출시되었기 때문.

5. 관련 문서



[1] 원래 디스크 암호화 프로그램은 Fast Startup(Fast Boot)을 비활성화해야지 문제가 안 생긴다. [2] RIPEMD160 또는 GOST89 알고리즘을 사용한 볼륨은 최신 버전에서는 더 이상 지원되지 않는다. 사용하려면 1.25.9 버전이나 그 이전을 사용하여야 한다. [3] 윈도우 기준 [4] 항목 이름 등은 응급복구 디스크가 만들어진 시기에 따라 다를 수 있다. [5] 복호화 암호를 모르면 내용을 모르기 때문에 응급복구 디스크 등은 메일이나 클라우드에 올려놓아도 보안에 아무런 지장을 주지 않는다. 링크의 곳곳에 어떤 경우에도 현재 비밀번호가 필요하다고 되어있다. [6] 다만 타인이 비밀번호를 알고 있다면, 사용자가 비밀번호를 변경한 후에도 응급복구 디스크도 베라크립트를 실행해서 새로 만드는 것이 좋다. 공격자가 이전 비밀번호와 이전 응급복구 디스크를 모두 가지고 있다면(둘 중 하나가 없거나, 서로 다른 시기에 만들어진 것이라면 상관없다), 그걸 통해서 이전 비밀번호를 이용하여 암호화된 디스크를 열 수 있다. 따라서 암호화된 시스템 디스크의 비밀번호를 바꿨다면, 응급복구 디스크도 비밀번호 변경 후에 새로 생성하고 이전 응급복구 디스크는 파기해야 한다. [7] 같은 내용의 한국어 문서 [단축] rem과 remove 같은 경우를 제외하면 앞의 세 글자만 입력해도 동일한 명령어나 변수가 되는 경우가 많다. [9] 보통 현재 부팅한 윈도우가 0번이며 이 0번 디스크를 실수로 선택하고 후술할 clean 명령어를 입력해도 다행히 진행되진 않는다. 다만 자신이 데이터 저장이나 게임용 디스크 분리 등으로 인해 SSD 하드 디스크 드라이브를 여럿 사용 중이라면 반드시 두 번 확인하여야 한다. [단축] [단축] [단축] [단축] [단축] [15] quick은 qui라고 입력하면 안 된다. [16] 다른 파일 시스템이 아닌 FAT32인 이유는 여기를 참고하면 된다. [단축] [단축] [19] 응급복구 디스크를 사전에 만들어두지 않았는데 다른 PC에서 응급복구 디스크를 만들려면, 해당 PC도 시스템 파티션/드라이브가 암호화가 되어있어야 한다. 되어 있지 않다면 먼저 시스템 파티션/드라이브 암호화를 진행한다. 이때의 암호는 복호화하려는 디스크의 암호와 달라도 상관없다. 암호화 완료 후 마무리 과정에서 만든 응급복구 디스크를 사용하거나, 그것이 없다면 상단 메뉴 시스템 -> 응급복구 디스크 만들기...를 통해서 VeraCrypt Rescue Disk. zip을 만든다. 이 응급복구 디스크로 부팅하더라도 반드시 복호화하려던 해당 디스크의 비밀번호를 알아야 하며, 다른 PC에서 응급복구 디스크를 만들 때 암호화한 비밀번호로는 열 수 없다. [k] Restore OS header keys [d] Decrypt OS [k] [k] [24] UEFI의 부팅 순서 설정에서 VeraCrypt BootLoader (DcsBoot)로 뜬다. 응급복구 디스크로 부트로더를 되살리면 명칭이 조금 다른 VeraCrypt(DCS) loader이다(l은 대문자가 아님). 베라크립트 프로그램 버전이나 응급복구 디스크의 버전에 따라 세부적인 명칭은 다를 수 있다. [25] 이걸 오히려 보안을 강화하는 방법으로 사용할 수도 있는데, 베라크립트 부트로더만 날린다면 응급복구 디스크가 있어야(응급복구 디스크로 부팅 후에 v[v]를 눌러서) 비밀번호 입력 자체가 가능하므로 일종의 USB 열쇠가 되어서 USB 키 + 비밀번호 입력의 이중 보안이 된다. 공격자 입장에서는 베라크립트 암호화가 되었는지 알 수 없게 되므로 고장난 것처럼 보이는 윈도우만 뚫으려고 할 것이다. 설령 응급복구 디스크를 다른 PC에서 새로 만든다고 하여도, 공격하려는 컴퓨터의 시스템 디스크의 현재 비밀번호를 알아야 하므로 밑져야 본전이다. [26] 다만 일반적인 싱글 부팅 환경(그냥 윈도우 하나 설치된 상태)에서 시스템 디스크를 처음 암호화하면 UEFI 부팅 순서가 첫 번째 Windows Boot Manager, 두 번째 VeraCrypt BootLoader (DcsBoot)이다. 즉, 윈도우 부트 매니저가 더 상단에 있어도 상술했듯이 윈도우 부트 매니저 자체에도 변조가 가해져 있으므로 원래라면 문제가 발생하지 않는다. 윈도우 자동 복구 준비 중이 뜨는 상태가 되었다는 것은, 부트로더들이 베라크립트와 뭔가 맞지 않기 시작했다는 것. 찝찝하다면 정상 부팅한 후에 베라크립트에서 영구 복호화를 한 후에, 다시 암호화를 하면 된다. [27] 베라크립트 로더가 보이지 않고 윈도우 부트 매니저만 있는데도 정상 부팅이 될 때가 있는데 나중에 잘못 꼬이면 복호화하고 재암호화하고 귀찮기 때문에 되도록 부팅 순서 목록에 뜨도록 살려주는 게 좋다. [m] Restore VeraCrypt loader to boot menu [29] EFI 파티션 속 EFI\\VeraCrypt 폴더가 사라져있거나 내용물이 비어있는 등 [r] Restore VeraCrypt loader binaries to system disk [m] [d] [z] Remove VeraCrypt loader from boot menu [o] Boot Original Windows Loader [d] [36] 시스템에 내장 및 외장으로 연결된 모든 디스크에 비밀번호 입력을 시도하기 때문이다. 비밀번호가 맞는 디스크가 있을 때까지 시도한다. [37] 평문으로 된 디스크에도 시도하는데 암호화되지 않은 디스크이므로 당연히 오류가 뜨며 이것은 정상이다. 노란 글씨로 Authorization failed. Wrong password, PIM or hash. Decrypt error(3)라고 뜨면 평문 디스크나 영구 복호화가 완료된 디스크를 의미한다. [z] [o] [k] [41] 베라크립트가 날리기보다는 바이오스(정확히는 UEFI) 업데이트 와중에 날라가는 경우가 가장 흔하다. UEFI와 부트로더가 서로 관여할 수 있기 때문. [42] Windows 10부터는 무한 자동 복구 준비 중 화면 [43] 흔히 복붙처럼 제시되는 윈도우 업데이트 서비스를 끈 후에 C:\\Windows\\SoftwareDistribution 폴더 내부를 전부 삭제하는 해결책은 소용이 없다. 그리고 SoftwareDistribution 내부 삭제 방법은 웬만한 대부분의 윈도우 업데이트 중 오류에서 먹히지 않는다(...) [44] 일반 10 Pro는 2025년에 지원이 끊기는 반면, LTSC 2019 버전의 경우 2029년, LTSC 2021 버전은 그보다 비슷하거나 더 길 것으로 예상된다. [45] LTSC 2024의 경우 2029년 지원종료로 '일단은' 계획되어 있다.