VeraCrypt

덤프버전 :

1. 개요
2. 특징
2.1. 알고리즘
2.2. UEFI와 GPT 지원
2.3. 시스템 파티션 암호화 시 변경 사항
3. 사용 방법
3.1. 응급복구 디스크
3.1.1. 암호가 자꾸 틀리다고 하는 경우
3.1.2. 윈도우 무한 자동 복구 준비 중
3.1.3. 시스템 디스크 복호화하기
3.1.3.1. 다른 컴퓨터에서 윈도우 복호화하기
4. 문제점
5. 관련 문서


1. 개요[편집]


TrueCrypt 7.1a 버전에서 포크(fork)된 오픈 소스 암호화 소프트웨어. 트루크립트가 개발 중지되었기 때문에 현재는 많은 사람들이 VeraCrypt를 쓰고 있다. 비영리 프로젝트로 개발되었으며, 이로 인한 수익은 오직 기부로만 받고 있다. 참고로 기부는 암호화폐로도 가능하다.

리눅스, , 윈도우에서 사용할 수 있고, https://www.veracrypt.fr/en/Home.html에서 다운로드받을 수 있다.

2. 특징[편집]


베라크립트는 salt를 추가하는 등 트루크립트보다 보안성이 향상되었지만 대신 볼륨(volume)을 마운트하는 데 TrueCrypt보다 오래 걸린다.

설치 파일은 한국어를 지원하지 않지만 소프트웨어는 한국어를 지원한다. 설치 이후 Settings -> Language...에서 한국어로 설정할 수 있다.

1.26.x 버전부터는 공식적으로는 윈도우 10부터 지원한다. 이전 윈도우에서도 계속 이후 버전의 베라크립트의 사용은 되지만, 새로 추가되는 기능에 대해 윈도우 8.1 이하에서의 테스트를 진행하지 않으므로 정상 작동이 계속된다는 보장은 없다.

Fast Startup(Fast Boot)은 비활성화하는 것을 권장한다.[1]


2.1. 알고리즘[편집]


파일:benchmarks.png
브로드웰 + 32GB RAM에서 진행한 벤치마크. AES-NI 덕분에 AES가 압도적으로 빠르다. 보편적인 용도로는 AES-256 및 SHA-512 조합이 무난할 것이다.

  • 암호화 알고리즘(Encryption Algorithms)은 AES, Serpent, Twofish, Camelia, Kuznyechik을 지원한다.
    • AES는 미국 정부 표준이며, Serpent와 Twofish는 AES 선정 당시 최종까지 후보로 남아있었다. Camelia는 일본에서 개발됐고, Kuznyechik은 러시아 정부 표준이다.

  • 해시 알고리즘(Hash Algorithms)은 BLAKE2s-256, SHA-256, SHA-512, Whirlpool, Streebog를 지원한다.[2]
    • BLAKE2s-256은 2012년 12월 21일에 발표되어 베라크립트에서 사용하는 알고리즘 중에서는 가장 나중에 나온 알고리즘이다. 해시 충돌이 발생한 MD5와 SHA-1을 대체하기 위해 나왔다. SHA-2보다 뛰어난 보안성을 가지고 있고 특징이 SHA-3와 비슷하다. 베라크립트에서는 256비트의 키를 만든다.
    • SHA-256은 NSA에 의해 개발되어 NIST(미국 국립표준기술연구소)에 의해 배포되었다. 2001년에 공개되었으며 256비트의 키를 만든다. SHA-512도 256과 동일하지만 키 파일 크기가 512비트이다.
    • Whirlpool은 2000년도에 빈센트 레이먼(Vincent Rijmen, AES의 공동 개발자)과 파울루 바레투(Paulo Barreto)에 의해 개발되었으며 512비트의 키를 만든다. 베라크립트에서는 ISO/IEC 10118-3:2004 기준에 따른 세 번째 버전을 쓴다.
    • Streebog는 러시아 정부 표준이며 256비트나 512비트 키를 만들지만 베라크립트에서는 512비트 키만 만든다.


2.2. UEFI와 GPT 지원[편집]


윈도우의 C 드라이브 암호화는 BIOSMBR만 지원했었으나, 2016년 8월 17일 릴리즈된 버전 1.18a부터는 UEFIGPT도 지원하기 시작했다.


2.3. 시스템 파티션 암호화 시 변경 사항[편집]


일반적인 부팅 과정 중에 베라크립트가 끼어들게 되므로, EFI 파티션에도 변화가 생긴다.

EFI 파티션의 \\EFI\\Boot\\bootx64.efi, \\EFI\\Microsoft\\Boot\\bootmgfw.efi[3]이 변경된다. 각 파일은 같은 위치에 각각 original_bootx64.vc_backup 및 bootmgfw_ms.vc 이름으로 백업된다.


3. 사용 방법[편집]


[ 시스템 디스크 암호화 중의 안내 사항 원본 펼치기 · 접기 ]

만약 가능하다면, 이 텍스트를 인쇄합니다(아래 '인쇄' 클릭).
VeraCrypt 복구 디스크(암호화 후)를 사용하는 방법과 시기
- --
I. VeraCrypt 복구 디스크를 부팅하려면 CD/DVD 드라이브에 디스크를 넣고 컴퓨터를 다시 시작합니다. VeraCrypt 복구 디스크(VeraCrypt 복구 디스크) 화면이 나타나지 않는 경우(또는 화면의 '키보드 컨트롤' 섹션에 '복구 옵션' 항목이 표시되지 않는 경우), BIOS가 CD/DVD 드라이브 이전에 하드 드라이브에서 부팅을 시도하도록 구성되어 있을 수 있습니다. 이 경우 BIOS 시작 화면이 표시되면 바로 컴퓨터를 다시 시작하고 F2 또는 Delete를 누른 다음 BIOS 구성 화면이 나타날 때까지 기다립니다. BIOS 구성 화면이 나타나지 않으면 시스템을 다시 시작(재설정)하고 컴퓨터를 다시 시작(재설정)하는 즉시 F2 또는 Delete를 반복해서 누르기 시작합니다. BIOS 구성 화면이 나타나면 먼저 CD/DVD 드라이브에서 부팅하도록 BIOS를 구성합니다(자세한 내용은 BIOS/마더보드 설명서를 참조하거나 컴퓨터 공급업체의 기술 지원 팀에 문의하십시오). 그런 다음 컴퓨터를 다시 시작합니다. VeraCrypt 복구 디스크(VeraCrypt 복구 디스크) 화면이 지금 나타납니다. 참고: VeraCrypt 복구 디스크(VeraCrypt 복구 디스크) 화면에서 키보드의 F8 키를 눌러 '복구 옵션'을 선택할 수 있습니다.
II. VeraCrypt 복구 디스크 사용 시기 및 방법(암호화 후)
1) 컴퓨터를 시작한 후 VeraCrypt 부트로더 화면이 나타나지 않거나 Windows가 부팅되지 않는 경우 VeraCrypt 부트로더가 손상될 수 있습니다. VeraCrypt 복구 디스크를 사용하면 VeraCrypt 복구 디스크를 복원하여 암호화된 시스템과 데이터에 다시 액세스할 수 있습니다(하지만, 올바른 암호를 입력해야 함). 복구 디스크 화면에서 '복구 옵션' > 'Restore VeraCrypt 부트로더'를 선택합니다. 그런 다음 'Y'를 눌러 작업을 확인하고 CD/DVD 드라이브에서 복구 디스크를 제거한 후 컴퓨터를 다시 시작합니다.
2) 올바른 암호를 반복적으로 입력했는데 VeraCrypt에서 암호가 잘못되었다고 하면 마스터 키 또는 기타 중요 데이터가 손상될 수 있습니다. VeraCrypt 복구 디스크를 사용하면 VeraCrypt 복구 디스크를 복원하여 암호화된 시스템 및 데이터에 대한 액세스를 복구할 수 있습니다(단, 올바른 암호를 계속 입력해야 함). 복구 디스크 화면에서 '복구 옵션' > '키 데이터 복원'을 선택합니다. 그런 다음 암호를 입력하고 'Y'를 눌러 작업을 확인하고 CD/DVD 드라이브에서 복구 디스크를 제거한 다음 컴퓨터를 다시 시작합니다.
3) VeraCrypt 부트로더가 손상된 경우 VeraCrypt 복구 디스크에서 직접 부팅하여 실행하지 않을 수 있습니다. CD/DVD 드라이브에 복구 디스크를 넣은 다음 복구 디스크(복구 디스크) 화면에 암호를 입력합니다.
4) Windows가 손상되어 시작할 수 없는 경우 VeraCrypt 복구 디스크를 사용하면 Windows가 시작되기 전에 파티션/드라이브의 영구적 암호를 해독할 수 있습니다. 복구 디스크 화면에서 '복구 옵션' > '시스템 파티션/드라이브 영구 해독'을 선택합니다. 올바른 암호를 입력하고 암호 해독이 완료될 때까지 기다립니다. 그런 다음 MS Windows 설치 CD/DVD를 부팅하여 Windows 설치를 복구할 수 있습니다.
참고: 또는 Windows가 손상되어(시작할 수 없음) 복구해야 하는 경우(또는 Windows의 파일 액세스) 다음 단계를 수행하여 시스템 파티션/드라이브의 암호를 해독하지 못할 수 있습니다. 컴퓨터에 여러 운영 체제가 설치되어 있는 경우 사전 부트 인증이 필요 없는 운영 체제를 부팅합니다. 컴퓨터에 운영 체제가 여러 개 설치되어 있지 않으면 WinPE 또는 BartPE CD/DVD를 부팅하거나 시스템 드라이브를 보조 또는 외부 드라이브로 다른 컴퓨터에 연결한 다음 컴퓨터에 설치된 운영 체제를 부팅할 수 있습니다. 시스템을 부팅한 후 VeraCrypt를 실행하고 '장치 선택'을 클릭하고 영향을 받는 시스템 파티션을 선택한 후 '확인'을 클릭하고 '시스템' > '사전 부트 인증 없이 마운트'를 선택하고 사전 부트 인증 암호를 입력한 후 '확인'을 클릭합니다. 파티션은 일반 VeraCrypt 볼륨으로 마운트됩니다(데이터는 액세스 시 RAM에서 즉시 해독/암호화됨).
VeraCrypt 복구 디스크를 분실하여 공격자가 찾은 경우에도 올바른 암호 없이 시스템 파티션이나 드라이브의 암호를 해독할 수 없습니다.


예전에 TrueCrypt에서 만든 암호화 볼륨을 VeraCrypt에서 열려면 TrueCrypt Mode를 체크하고 마운트해야 한다. 다만 트루크립트에서 만든 볼륨의 마운트는 1.26.x 버전부터 지원하지 않으므로, 변환하지 않고 그대로 쓰려면 1.25.9나 그 이전 버전을 사용해야 한다.

간혹가다 볼륨을 마운트할 때 ‘장치가 준비되지 않았습니다’와 같은 오류가 뜨는 경우가 있는데, 이 때는 명령 프롬프트를 관리자 권한으로 실행한 다음 mountvol /e를 치고 엔터를 누른 후 재부팅을 하면 해결된다.


3.1. 응급복구 디스크[편집]


[4]
VeraCrypt rescue disk 1.25
d) Decrypt OS
m) Restore VeraCrypt loader to boot menu
z) Remove VeraCrypt loader from boot menu
c) Restore VeraCrypt loader configuration to system disk
k) Restore OS header keys
r) Restore VeraCrypt loader binaries to system disk
v) Boot VeraCrypt loader from rescue disk
o) Boot Original Windows Loader
h) Help
e) Exit
[dmzckrvohe] :

각종 잘못 만들어진 프로그램, 일부 윈도우 업데이트, 바이오스(정확히는 UEFI) 업데이트 등으로 인해 방금까지 잘 사용하던 베라크립트 시스템 디스크로 부팅되지 않는 경우가 종종 생길 수 있다. 이러한 상황에서 디스크와 데이터를 살리기 위해 존재하는 것이 응급복구 디스크(VeraCrypt Rescue Disk.zip)이다. 갑자기 사용할 일에 대비해서 자신이 주로 사용하는 이메일이나 클라우드 스토리지에 저장해놓자[5][6]. 자신의 컴퓨터에 베라크립트 관련해서 오류가 갑자기 생긴하면 PC방 등지에서 USB 메모리로 만들면 된다.

최신 VeraCrypt에서는 응급복구 디스크가 UEFI 환경에서만 가능하도록 바뀌었으므로, CSM 환경하에서 USB 메모리를 사용하려면 다음 링크의 하단을 참고하자. 다만 사전에 만들어둔 VeraCrypt Rescue Disk.iso 파일이 필요하다.

USB 메모리 만드는 내용은 마이크로소프트의 문서[7]를 참고하였다.

1. 먼저 부팅 가능한 USB 등의 외장 저장장치를 만드는 것이 필요하다. 비어있는 USB 메모리 등 저장장치를 컴퓨터에 꼽는다.

2. Windows 10 기준 작업 표시줄 검색창에서 cmd를 검색하고 우클릭을 해서 관리자 권한으로 실행을 클릭한다.

3. diskpart를 입력한 후 DISKPART>라고 뜰 때까지 잠시 기다린다.

4. list disk 혹은 lis dis[단축]를 입력한다. 자신이 사용하는 환경에 따라 다르니 여기서부터는 용량 등을 재차 확인하면서 진행을 하는 것을 권장한다.

5. 응급복구 디스크로 만들 디스크가 n번[8]이면 그에 맞춰서 select disk n 혹은 sel dis n[단축]을 입력한다.

6. clean 혹은 cle[단축]를 입력한다. 이때 응급복구 디스크로 만들 디스크가 지워진다.

7. create partition primary 혹은 cre par pri[단축]를 입력하여 주 파티션을 만든다. select partition 1 혹은 sel par 1[단축]을 입력하며 방금 만들어진 주 파티션을 선택하고 format fs=fat32 quick 혹은 for fs=fat32 quick[단축][9]을 입력하여 FAT32로 포맷[10]한다. 그 다음 active 혹은 act[단축]를 입력하여 활성화한 후, exit 혹은 exi[단축]를 입력하여 diskpart를 종료한다.

7. VeraCrypt Rescue Disk.zip[11]를 방금 만든 드라이브 최상단에 압축 해제한다. 예를 들면 D 드라이브가 방금 만든 USB 메모리라면 D:\\에 압축을 그냥 풀면 된다.

8. 제조사별로 정해진 방법에 따라 UEFI 환경에서 응급복구 디스크로 부팅한다.


3.1.1. 암호가 자꾸 틀리다고 하는 경우[편집]


베라크립트 마스터 키가 손상됐을 가능성이 있다. 응급복구 디스크에서 k[k]를 누른 후에 재부팅해보자.

참고로 암호화 비밀번호를 바꾼 적이 있는 경우 각주에서 상술했듯이, 현재가 아닌 이전 응급복구 디스크가 있다면 이 메뉴를 이용해서, 이전 암호로 디스크를 열 수 있다. 그러므로 비밀번호를 바꾸면 응급복구 디스크도 새로 만들고 이전 것은 바로 폐기하는 게 좋다.

주의할 점은 d[d]를 눌러 복호화한 후에 다시 k[k]를 누르면 암호화한 것처럼 인식이 되어 디스크가 망가지게 된다. 따라서 복호화한 디스크에 k[k]를 누르는 일이 없도록 하자.

혹여, 애초에 비밀번호를 잘못 작성하여 복호화가 불가능하거나 키 파일이 변경, 제거되는 등 손실이 일어나면 암호화된 디스크는 절대로 복호화나 복구가 불가능하다고 보면 된다. 가장 기본적인 AES 암호화도 현존하는 최고의 슈퍼컴퓨터는 물론 양자컴퓨터를 가져와도 해독하는 것이 불가능하다고 여겨진다. 즉, 디스크를 포맷하고 데이터를 모두 날리는 방법 밖에 없다. 포맷 후 데이터 복구를 시도해봤자 어차피 복구된 데이터도 암호화 된 상태니 의미가 없다.

3.1.2. 윈도우 무한 자동 복구 준비 중[편집]


윈도우가 설치된 디스크를 암호화하면 부팅 과정에 VeraCrypt 부트로더[12]가 관여하게 된다. 이 부트로더를 거치치 않으면 윈도우에 접근이 안 되며, 베라크립트가 관여하지 않고 바로 윈도우 부트 매니저로 부팅하게 될 일이 생기면 자동 복구 준비 중 화면을 보게 된다. 이것은 정상적인 것으로, 암호가 입력되지 않았으므로 기존의 윈도우 부트 매니저는 읽을 수 없어 고장난 윈도우로 인식하게 되므로 원인을 알 수 없어 무한하게 자동 복구를 시도하는 것이다.[13]

이 화면을 자주 볼 수 있는 때가 바이오스를 업데이트하였을 때이다. 바이오스 업데이트를 하면 대체로 설정이 초기화가 되는데, 설정된 부팅 순서도 초기화가 되면서 베라크립트 부트로더가 아닌 기존의 윈도우 부트 매니저를 로딩하면서 오류를 뿜는 것이다. 간단하게 바이오스의 해당 설정에서 베라크립트 부트로더를 먼저 읽게 순서를 바꿔주면 해결된다. [14]

바이오스(UEFI)에서 베라크립트 로더가 보이지 않을 경우, 단순히 바이오스 메뉴에서 보이지 않는 것과[15] 베라크립트 로더 자체가 날라간 것 두 가지의 경우가 있다.

전자의 경우, 응급복구 디스크로 부팅한 후, m[m]을 누르고 재부팅하고 바이오스에 들어가면 부팅 순서에 베라크립트 로더가 생겨있는 것을 볼 수 있다.

후자의 경우, 단순히 순서가 아니라 베라크립트 부트로더가 망가지거나 날라갔다면[16], 응급복구 디스크로 부팅한 후에 r[r]을 누르고 m[m]을 누르면 간단히 해결된다.

3.1.3. 시스템 디스크 복호화하기[편집]


데이터 자체에 손상이 가지 않은 이상, 대부분의 문제는 복호화(d[d])하고 베라크립트 로더를 없앤 다음(z[z]) 기존의 윈도우 부트 매니저로 부팅하면(o[o]) 거의 해결된다.


3.1.3.1. 다른 컴퓨터에서 윈도우 복호화하기[편집]

응급복구 디스크가 있으면 윈도우가 고장나서 진입이 안 되는 등의 상황에서, 대상 VeraCrypt 디스크의 비밀번호를 안다는 전제하에 다른 PC에서 복호화를 할 수 있다. 당연하지만 비밀번호를 모르면 복호화가 불가능하다.

응급복구 디스크로 부팅한 후, d[d]를 누르고 복호화할 윈도우가 고장난 VeraCrypt 디스크가 탑재된 저장장치를 컴퓨터에 연결하고, 그 비밀번호(있다면 PIM까지)를 입력한다. 평소 부팅 때와는 달리 암호 입력 후에 딜레이가 조금 오래 걸리므로[17][18] 조바심을 갖지 말고 기다리자. 암호가 맞다면 해당 드라이브를 복호화할지 Decrypt? 라면서 물어본다. y를 누르면 복호화가 진행된다. ETA가 계산상으로는 며칠~몇 주가 나오지만 실제로는 한두 시간 이내에 복호화가 완료된다. 중간에 esc 등을 누르면 Stop?이라고 묻는데 n을 누르면 하던 작업을 이어서 한다.

복호화 후에 z[z]를 눌러서 UEFI에서 베라크립트 부트로더를 인식 못 하게 한 후(시스템에 따라 나중에 UEFI의 부팅 순서에서 Windows Boot Manager를 최상단으로 올려준 후에), o[o]를 눌러서 윈도우 부트 매니저로 부팅을 하면 암호화 이전의 상태처럼 암호 입력 없이 암호화되지 않은 평범한 윈도우에 진입하게 된다.

상술했듯이 복호화를 완료한 후에 실수로 k[k]를 누르게 되면 암호화가 된 것처럼 인식시켜버리므로 키보드 키를 누를 때 조심하자.

4. 문제점[편집]


간혹 부트로더가 날라가서[19] 블루스크린이 출력되는[20] 경우가 있어 주의를 요한다. 특히 (바이오스라고 자주 불리는) UEFI 업데이트가 잦은 형 시스템에서 베라크립트 부트로더가 사라지는 일이 자주 발생할 수 있으니 응급복구 디스크를 미리 만들어두고 메일 등에 응급복구 디스크를 백업해놓자. 상술했지만 비밀번호를 모르면 절대로 복호화를 못 하므로 백업을 많이 해주는 것이 좋다.

하드웨어 가속인 AES-NI를 지원하는 프로세서라면 AES 사용 시 체감 속도 저하를 거의 느끼지 않은 채로 사용이 가능하다. 다만 AES-NI가 있어도 기술 발전에 따른 성능 자체의 격차는 있기 때문에, 구형 시스템에서는 베라크립트를 버티지 못 하는 경우가 종종 발생할 수 있다.





5. 관련 문서[편집]




파일:크리에이티브 커먼즈 라이선스__CC.png 이 문서의 내용 중 전체 또는 일부는 2023-11-04 21:48:38에 나무위키 VeraCrypt 문서에서 가져왔습니다.

[1] 원래 디스크 암호화 프로그램은 Fast Startup(Fast Boot)을 비활성화해야지 문제가 안 생긴다.[2] RIPEMD160 또는 GOST89 알고리즘을 사용한 볼륨은 최신 버전에서는 더 이상 지원되지 않는다. 사용하려면 1.25.9 버전이나 그 이전을 사용하여야 한다.[3] 윈도우 기준[4] 항목 이름 등은 응급복구 디스크가 만들어진 시기에 따라 다를 수 있다.[5] 복호화 암호를 모르면 내용을 모르기 때문에 응급복구 디스크 등은 메일이나 클라우드에 올려놓아도 보안에 아무런 지장을 주지 않는다. 링크의 곳곳에 어떤 경우에도 현재 비밀번호가 필요하다고 되어있다.[6] 다만 타인이 비밀번호를 알고 있다면, 사용자가 비밀번호를 변경한 후에도 응급복구 디스크도 베라크립트를 실행해서 새로 만드는 것이 좋다. 공격자가 이전 비밀번호와 이전 응급복구 디스크를 모두 가지고 있다면(둘 중 하나가 없거나, 서로 다른 시기에 만들어진 것이라면 상관없다), 그걸 통해서 이전 비밀번호를 이용하여 암호화된 디스크를 열 수 있다. 따라서 암호화된 시스템 디스크의 비밀번호를 바꿨다면, 응급복구 디스크도 비밀번호 변경 후에 새로 생성하고 이전 응급복구 디스크는 파기해야 한다.[7] 같은 내용의 한국어 문서[단축] A B C D E F G H rem과 remove 같은 경우를 제외하면 앞의 세 글자만 입력해도 동일한 명령어나 변수가 되는 경우가 많다.[8] 보통 현재 부팅한 윈도우가 0번이며 이 0번 디스크를 실수로 선택하고 후술할 clean 명령어를 입력해도 다행히 진행되진 않는다. 다만 자신이 데이터 저장이나 게임용 디스크 분리 등으로 인해 SSD하드 디스크 드라이브를 여럿 사용 중이라면 반드시 두 번 확인하여야 한다.[9] quick은 qui라고 입력하면 안 된다.[10] 다른 파일 시스템이 아닌 FAT32인 이유는 여기를 참고하면 된다.[11] 응급복구 디스크를 사전에 만들어두지 않았는데 다른 PC에서 응급복구 디스크를 만들려면, 해당 PC도 시스템 파티션/드라이브가 암호화가 되어있어야 한다. 되어 있지 않다면 먼저 시스템 파티션/드라이브 암호화를 진행한다. 이때의 암호는 복호화하려는 디스크의 암호와 달라도 상관없다. 암호화 완료 후 마무리 과정에서 만든 응급복구 디스크를 사용하거나, 그것이 없다면 상단 메뉴 시스템 -> 응급복구 디스크 만들기...를 통해서 VeraCrypt Rescue Disk.zip을 만든다. 이 응급복구 디스크로 부팅하더라도 반드시 복호화하려던 해당 디스크의 비밀번호를 알아야 하며, 다른 PC에서 응급복구 디스크를 만들 때 암호화한 비밀번호로는 열 수 없다.[k] A B C D Restore OS header keys[d] A B C Decrypt OS[12] UEFI의 부팅 순서 설정에서 VeraCrypt BootLoader (DcsBoot)로 뜬다. 응급복구 디스크로 부트로더를 되살리면 명칭이 조금 다른 VeraCrypt(DCS) loader이다(l은 대문자가 아님). 베라크립트 프로그램 버전이나 응급복구 디스크의 버전에 따라 세부적인 명칭은 다를 수 있다.[v] Boot VeraCrypt loader from rescue disk[13] 이걸 오히려 보안을 강화하는 방법으로 사용할 수도 있는데, 베라크립트 부트로더만 날린다면 응급복구 디스크가 있어야(응급복구 디스크로 부팅 후에 v[v]를 눌러서) 비밀번호 입력 자체가 가능하므로 일종의 USB 열쇠가 되어서 USB 키 + 비밀번호 입력의 이중 보안이 된다. 공격자 입장에서는 베라크립트 암호화가 되었는지 알 수 없게 되므로 고장난 것처럼 보이는 윈도우만 뚫으려고 할 것이다. 설령 응급복구 디스크를 다른 PC에서 새로 만든다고 하여도, 공격하려는 컴퓨터의 시스템 디스크의 현재 비밀번호를 알아야 하므로 밑져야 본전이다.[14] 다만 일반적인 싱글 부팅 환경(그냥 윈도우 하나 설치된 상태)에서 시스템 디스크를 처음 암호화하면 UEFI 부팅 순서가 첫 번째 Windows Boot Manager, 두 번째 VeraCrypt BootLoader (DcsBoot)이다. 즉, 윈도우 부트 매니저가 더 상단에 있어도 상술했듯이 윈도우 부트 매니저 자체에도 변조가 가해져 있으므로 원래라면 문제가 발생하지 않는다. 윈도우 자동 복구 준비 중이 뜨는 상태가 되었다는 것은, 부트로더들이 베라크립트와 뭔가 맞지 않기 시작했다는 것. 찝찝하다면 정상 부팅한 후에 베라크립트에서 영구 복호화를 한 후에, 다시 암호화를 하면 된다.[15] 베라크립트 로더가 보이지 않고 윈도우 부트 매니저만 있는데도 정상 부팅이 될 때가 있는데 나중에 잘못 꼬이면 복호화하고 재암호화하고 귀찮기 때문에 되도록 부팅 순서 목록에 뜨도록 살려주는 게 좋다.[m] A B Restore VeraCrypt loader to boot menu[16] EFI 파티션 속 EFI\\VeraCrypt 폴더가 사라져있거나 내용물이 비어있는 등[r] Restore VeraCrypt loader binaries to system disk[z] A B Remove VeraCrypt loader from boot menu[o] A B Boot Original Windows Loader[17] 시스템에 내장 및 외장으로 연결된 모든 디스크에 비밀번호 입력을 시도하기 때문이다. 비밀번호가 맞는 디스크가 있을 때까지 시도한다.[18] 평문으로 된 디스크에도 시도하는데 암호화되지 않은 디스크이므로 당연히 오류가 뜨며 이것은 정상이다. 노란 글씨로 Authorization failed. Wrong password, PIM or hash. Decrypt error(3)라고 뜨면 평문 디스크나 영구 복호화가 완료된 디스크를 의미한다.[19] 베라크립트가 날리기보다는 바이오스(정확히는 UEFI) 업데이트 와중에 날라가는 경우가 가장 흔하다. UEFI와 부트로더가 서로 관여할 수 있기 때문.[20] Windows 10부터는 무한 자동 복구 준비 중 화면