磁盤加密技術(shù)工具
磁盤加密技術(shù)可以更好的保護(hù)磁盤的安全性,下面是小編為大家整理的幾種好用的磁盤加密技術(shù)工具!
工具一、TrueCrypt 5.1a 費(fèi)用:免費(fèi)/開源 有足夠充足的理由成為你最先試用的整個(gè)磁盤或者虛擬卷加密解決方案。除了免費(fèi)和開源這兩大優(yōu)點(diǎn)外,該程序編寫巧妙,非常易用,還有豐富的數(shù)據(jù)保護(hù)功能,是對整個(gè)系統(tǒng)(包括操作系統(tǒng)分區(qū))進(jìn)行加密的一種有效方法。
TrueCrypt讓你可以選擇先進(jìn)加密標(biāo)準(zhǔn)(AES)、Serpent和Twofish等算法,這些算法可以單獨(dú)使用,也可以采用不同組合(名為“級聯(lián)”);還可選擇Whirlpool、SHA-512和RIPEMD-160等散列算法。
實(shí)際的加密有三種基本方法:可以把文件作為虛擬加密卷安裝上去;可以把整個(gè)磁盤分區(qū)或者物理驅(qū)動器變成加密卷;還可以加密工作中的Windows操作系統(tǒng)卷,不過存在一些局限性 加密卷可以用密碼來保護(hù);作為一個(gè)選項(xiàng),也可以用密鑰文件來保護(hù),從而加強(qiáng)安全——比如可移動USB驅(qū)動器上的文件,這樣你就可以建立一種雙因子驗(yàn)證。如果創(chuàng)建了一個(gè)獨(dú)立的虛擬卷,可以使用任何大小或者命名慣例的文件。該文件由TrueCrypt本身創(chuàng)建而成,然后經(jīng)格式化,確保它看上去與隨機(jī)數(shù)據(jù)毫無區(qū)別。 TrueCrypt的目的在于,任何經(jīng)過加密的卷或者硬盤不會一眼就能看出來。沒有明顯的卷頭、所需文件擴(kuò)展名或者其他識別標(biāo)記。唯一的例外就是加密的引導(dǎo)卷,引導(dǎo)卷里面有TrueCrypt引導(dǎo)裝入程序——但這個(gè)產(chǎn)品將來的版本不可能隱藏整個(gè)卷、使用USB拇指驅(qū)動器或者光盤上的外部引導(dǎo)裝入程序。說到那里,你也有可能創(chuàng)建在“旅行者模式”下使用的自我加密的USB驅(qū)動器——里面有TrueCrypt可執(zhí)行文件的拷貝,可在任何機(jī)器上安裝上去及運(yùn)行,只要用戶擁有管理員權(quán)限。 TrueCrypt還包括了所謂的“似是而非的否認(rèn)”(plausible deniability)特性,最重要的就是能夠把一個(gè)卷隱藏在另一個(gè)卷里面。隱藏卷有自己的密碼,你沒有辦法確定某個(gè)TrueCrypt卷里面是不是隱藏了另一個(gè)卷。不過,如果你把太多的數(shù)據(jù)寫入到外面那個(gè)卷,可能會破壞那個(gè)隱藏卷——但是作為一項(xiàng)保護(hù)措施,TrueCrypt提供了一個(gè)選項(xiàng):你在安裝外面那個(gè)卷時(shí),可以把隱藏卷作為只讀卷安裝上去。 如果你在使用系統(tǒng)磁盤加密,實(shí)際的加密過程需要一段時(shí)間,不過這個(gè)過程可以暫停,需要時(shí)恢復(fù)加密(你可能在晚上需要對上鎖房間里面的PC進(jìn)行這種操作)。這個(gè)程序會堅(jiān)持要求創(chuàng)建急救光盤,那樣萬一遇到災(zāi)難,可以用來引導(dǎo)電腦(一個(gè)缺點(diǎn)是:你無法對從非Windows引導(dǎo)裝入程序來實(shí)現(xiàn)雙引導(dǎo)的Windows系統(tǒng)進(jìn)行加密。)
工具二、Windows Vista BitLocker 費(fèi)用:包含在Vista終極版和Vista企業(yè)版內(nèi) 網(wǎng)址:technet.microsoft.com/en-us/windowsvista/aa905065.aspx 只有Vista的企業(yè)版和終極版才有Vista自帶的BitLocker,它是專門為了執(zhí)行系統(tǒng)卷加密而設(shè)計(jì)的。
它的初衷不是主要用于加密可移動卷,也無法像本文介紹的其他產(chǎn)品那樣讓你可以創(chuàng)建虛擬加密卷。它在開發(fā)當(dāng)初就考慮到了集中管理,通過活動目錄和組策略來實(shí)現(xiàn)管理。
不像TrueCrypt的系統(tǒng)磁盤加密,設(shè)置BitLocker需要目標(biāo)系統(tǒng)中至少有兩個(gè)卷:一個(gè)卷用來存放引導(dǎo)裝入程序,另一個(gè)卷用來存放加密的系統(tǒng)文件。
現(xiàn)有系統(tǒng)可使用BitLocker驅(qū)動器準(zhǔn)備工具(如今微軟為支持BitLocker的系統(tǒng)提供了這個(gè)額外工具)重新進(jìn)行分區(qū);但如果你在處理沒有準(zhǔn)備好的系統(tǒng),也可以手動設(shè)置分區(qū)。
用BitLocker對卷進(jìn)行加密時(shí),會出現(xiàn)三個(gè)基本選擇,涉及如何授權(quán)用戶來訪問加密卷。
如果電腦有可信計(jì)算模塊(TPM),那么它可以結(jié)合個(gè)人身份識別號(PIN)代碼一起使用。
第二個(gè)選擇是創(chuàng)建一個(gè)可移動USB驅(qū)動器,里面含有授權(quán)數(shù)據(jù),然后該數(shù)據(jù)與PIN結(jié)合使用,但使用這種方法的前提是相應(yīng)電腦可以從USB連接的設(shè)備引導(dǎo)。
如果你決定用這種方法,BitLocker會在磁盤加密前進(jìn)行引導(dǎo)測試,確保系統(tǒng)可從USB設(shè)備引導(dǎo)。第三個(gè)選擇就是用戶只要輸入PIN,不過這個(gè)PIN會相當(dāng)長(25個(gè)字符以上),而且只能由操作系統(tǒng)來分配。
與其他任何整個(gè)磁盤加密系統(tǒng)一樣,最慢的部分實(shí)際上是對驅(qū)動器進(jìn)行加密;我那75GB硬盤容量的筆記本電腦大約用了三個(gè)半小時(shí)才加密完畢。幸好,BitLocker可以在其他工作處理的同時(shí),在后臺執(zhí)行這項(xiàng)任務(wù);甚至可以關(guān)閉系統(tǒng),然后以后需要時(shí)恢復(fù)加密過程(我的建議是:晚上就讓電腦留在上鎖的房間,進(jìn)行加密)。如果管理員需要訪問或者解密某個(gè)卷,該卷的加密密鑰也可保存到活動目錄存儲庫中。如果你不在活動目錄域中,也可以手動把密鑰備份到文件中——當(dāng)然,該文件應(yīng)嚴(yán)加保護(hù)。
最后,盡管BitLocker最初的保護(hù)對象僅僅是操作系統(tǒng)卷,但也可以通過Vista的命令行界面,手動用它對非系統(tǒng)卷進(jìn)行加密。
工具三、Dekart Private Disk 1.2 費(fèi)用:每個(gè)用戶45美元 網(wǎng)址:www.dekart.com 雖然Dekart Private Disk功能上類似其他加密程序,但坦率地說,至少有一項(xiàng)特性使得它不值得推薦。
首先,Dekart Private Disk的功能組合只比本文介紹的兩款免費(fèi)/開源產(chǎn)品實(shí)用了一點(diǎn)。用戶可以創(chuàng)建虛擬加密卷、備份加密磁盤的卷頭、根據(jù)用戶活動來控制磁盤的安裝及卸載,等等。
惟一真正重要、而其他產(chǎn)品沒有的特性就是“磁盤防火墻”(Disk Firewall),你可以用來授予或拒絕某些程序訪問加密卷。
最能表明Private Disk在開發(fā)當(dāng)初沒有真正考慮安全的地方在于“恢復(fù)選項(xiàng)”(recovery option),它試圖通過對密碼實(shí)施蠻力(brute-force attack)攻擊來確定私密磁盤的密碼。
任何專業(yè)的加密產(chǎn)品根本不會有這樣的功能。這好比你為前門買了把鎖定插銷,發(fā)現(xiàn)它還帶了一套撬鎖工具——“生怕你丟了鑰匙”。 既然在其他地方免費(fèi)就能獲得Private Disk的絕大部分特性,說不定其他地方得到了更好的實(shí)現(xiàn),就很難對這種收費(fèi)程序表示認(rèn)可。
工具四、DriveCrypt 費(fèi)用:每個(gè)用戶59.95歐元(88.73美元) 網(wǎng)址:www.securstar.com SecureStar公司的DriveCrypt其主要功能類似TrueCrypt和下面介紹的FreeOTFE——你可以從文件或者整個(gè)磁盤來創(chuàng)建加密容器、把一個(gè)加密驅(qū)動器隱藏在另一個(gè)里面,等等。
至于比較先進(jìn)的功能,比如整個(gè)磁盤加密,需要添加DriveCrypt PlusPack(185美元)。至于DriveCrypt提供的額外功能值不值得購買,那是仁者見仁的問題,因?yàn)樵S多人覺得免費(fèi)產(chǎn)品具有的功能組合同樣夠用了。 如果你之前用過類似產(chǎn)品,那么標(biāo)準(zhǔn)版DriveCrypt的大部分加密功能表現(xiàn)會如你所料。
可以在文件或者分區(qū)中創(chuàng)建虛擬加密磁盤、一段時(shí)間沒有使用后自動鎖住磁盤,還能在磁盤里面創(chuàng)建隱藏磁盤。DriveCrypt還讓你可以把該產(chǎn)品的之前版本(ScramDisk和E4M)創(chuàng)建的磁盤安裝上去,所以如果你從這兩個(gè)版本程序中的某一個(gè)遷移到新版本,不會覺得備受冷落。 它具有免費(fèi)產(chǎn)品沒有的一些功能,包括能夠?qū)ΜF(xiàn)有加密磁盤隨意調(diào)整容量大小以及管理員密鑰代管服務(wù)(不過后者在TrueCrypt和FreeOTFE中也能實(shí)現(xiàn),只需手動備份卷頭)。 DriveCrypt特有的另一項(xiàng)特性就是:你可以創(chuàng)建“DKF訪問文件”,該文件允許第三方不需要卷密碼,就可以訪問加密卷。
DKF密鑰可以附加各種限制——它可以使用自己的密碼(與你自有磁盤上的密碼無關(guān))、X天后到期失效,或者只能在某個(gè)時(shí)間段有效。這樣,就有可能為訪問加密驅(qū)動器提供一定的控制權(quán)。
要注意的是:默認(rèn)狀態(tài)下,該程序使用分區(qū)號0x74來標(biāo)記已經(jīng)過加密的整個(gè)分區(qū)——這樣,該程序就比較容易識別及安裝加密分區(qū),但也意味著可能敵意的第三方極容易知道某個(gè)卷由DriveCrypt經(jīng)過了加密。
幸好,你可以通過設(shè)置程序選項(xiàng)來挫敗這種行為……你可能應(yīng)該這樣,因?yàn)橹挥心悴艖?yīng)當(dāng)知道什么是加密容器、什么不是。 DriveCrypt最吸引人的地方就是能夠把.WAV文件轉(zhuǎn)變成用隱匿技術(shù)來加密的容器,無論文件是從光盤上抓過來的,還是重新創(chuàng)建的。
每個(gè)樣本的4位或者8位用于存儲數(shù)據(jù),所以一個(gè)700MB大的.WAV文件(長度相當(dāng)于一張音樂光盤)可用來存儲350MB或者175MB。因而生成的文件仍可以播放,但音頻質(zhì)量會受到一定程度的影響。
(注意事項(xiàng):使用普通光盤音樂文件恐怕不是個(gè)好主意,因?yàn)楣粽呒幢悴荒芙饷?,也可以拿來光盤上抓過來的內(nèi)容與你的文件進(jìn)行比對,確定里面有沒有隱藏?cái)?shù)據(jù)。自己錄音也許更好。)
工具五、FreeOTFE 3.00 費(fèi)用:免費(fèi)/開源 網(wǎng)址:www.freeotfe.org FreeOTFE(OTFE的意思是“實(shí)時(shí)加密”)在許多方面與TureCrypt很相似——它提供了許多同樣的特性,只是實(shí)施時(shí)有些地方略有不同;它還有一個(gè)版本使用條件非常寬松的軟件許可證。
創(chuàng)建新卷的過程再次與TrueCrypt相似:有向?qū)С绦蛑笇?dǎo)你完成整個(gè)過程,并且在每個(gè)步驟提供了相關(guān)選項(xiàng)。FreeOTFE有著一系列更豐富的選項(xiàng),這些選項(xiàng)涉及卷的隨機(jī)數(shù)據(jù)串(salt)與散列的長度、密碼、密鑰和磁盤扇區(qū)系統(tǒng),不過對大多數(shù)用戶而言,使用默認(rèn)選擇就可以了。
有些選項(xiàng)主要是為了向后兼容而提供的,比如現(xiàn)已過時(shí)的MD2和MD4散列函數(shù)——新創(chuàng)建的硬盤使用SHA512或者更好的函數(shù)。 TrueCrypt似乎所沒有的另一個(gè)出色特性是,卷安裝上去后以及卷卸載前后,可以運(yùn)行任意腳本——比如清除臨時(shí)文件或者取證時(shí)用到的文件(以免被人抓住把柄)。
對Linux用戶而言另一項(xiàng)方便的特性就是,能夠使用自帶的Linux文件系統(tǒng)加密驅(qū)動器,比如Crypttoloop、dm-crypt和LUKS。
與TrueCrypt一樣,你也可以選擇創(chuàng)建獨(dú)立的密鑰文件,但這種機(jī)制有點(diǎn)不同。TrueCrypt用于卷的密鑰文件可以是任何文件,因?yàn)樗褂昧酥蛔x方式。
FreeOTFE是從頭開始創(chuàng)建密鑰文件,用于存儲卷的元數(shù)據(jù)塊,密鑰文件可能放在USB閃存盤上,以進(jìn)一步增強(qiáng)物理安全。用戶為新卷生成隨機(jī)數(shù)據(jù)時(shí),可以選擇使用微軟的CryptoAPI函數(shù)、通過鼠標(biāo)移動生成的數(shù)據(jù)以增強(qiáng)隨機(jī)性,或者是兩者都用。
另外與TrueCrypt一樣,F(xiàn)reeOTFE可以用來在一個(gè)加密卷中隱藏另一個(gè)加密卷,但是這個(gè)過程稍稍復(fù)雜一些。用戶需要手動指定“字節(jié)偏移”值,該值描述了隱藏卷將位于何處。如果你不知道偏移值(以及隱藏卷的密碼),就根本無法把隱藏卷安裝上去。
這還有可能把加密卷隱藏到未加密卷中,不過有點(diǎn)難度。 FreeOTFE特別注重移植性。該程序的用戶設(shè)置可以保存到用戶自己的配置文件,也可以用全局方式來保存(即保存到該程序目錄)。另外與TrueCrypt一樣,F(xiàn)reeOTFE也有“移植模式”——因而可以把FreeOTFE可執(zhí)行文件和加密卷放到可移動磁盤上,那樣可以在另一臺電腦上使用,即使這臺電腦上面沒有安裝FreeOTFE。最后,F(xiàn)reeOTFE可供基于Windows Mobile 6的個(gè)人數(shù)字助理(PDA)使用;臺式電腦上創(chuàng)建或者使用的卷可以在PDA上使用,反之亦然。
工具六、PGP Desktop專業(yè)版 費(fèi)用:每個(gè)用戶199美元 網(wǎng)址:www.pgp.com PGP Desktop提供了一整套加密工具,而開發(fā)這些工具的初衷是為了盡可能完美地與Windows系統(tǒng)集成,不管使用怎樣的程序組合(不過這條規(guī)則也有幾個(gè)例外)。
它最適合這種用戶:尋找廣泛 的加密范圍,并且愿意花些錢來購買功能完備的產(chǎn)品。 該程序的主界面有五個(gè)基本部分:密鑰管理、郵件、壓縮、磁盤管理和網(wǎng)絡(luò)共享(NetShare)。密鑰管理部分是可能開始入手的地方——你可以在此創(chuàng)建新的加密密鑰、從外部的密鑰環(huán)(keyring)導(dǎo)入現(xiàn)有密鑰、發(fā)布密鑰到PGP的全局密鑰存儲庫(還可以搜索存儲庫里面的其他密鑰),等等。 郵件部分控制著PGP Desktop如何處理電子郵件。在默認(rèn)狀態(tài)下,PGP Desktop能夠?qū)?biāo)準(zhǔn)的SMTP/POP電子郵件、Exchange/MAPI郵件以及Lotus Notes郵件進(jìn)行加密。
PGP Desktop可代理及監(jiān)控雙向傳送的電子郵件,并且在需要時(shí)采取行動,而不是改動電子郵件客戶端。如果發(fā)送給你的郵件使用你密鑰環(huán)中的密鑰進(jìn)行了加密,郵件會自動解密。
還可以創(chuàng)建策略,規(guī)定攔截及加密多少郵件——比方說,發(fā)送到除某個(gè)域外其他所有域的郵件可用明文格式發(fā)送。即時(shí)消息(IM)加密系統(tǒng)(也通過本地代理系統(tǒng)來工作)僅支持美國在線的Instant Messenger(AIM)和Trillian;使用AIM協(xié)議的其他程序可以使用,但PGP不能為它們作出保證。IM加密對每次登錄都使用1024位的一次性RSA密鑰;郵件采用AES 256位對稱密鑰來加密。 PGP Zip選項(xiàng)卡讓你可以創(chuàng)建加密存檔,這些存檔可以在另一頭用PGP來解壓,或者封裝成自解壓存檔。因而生成的存檔還可以用口令短語或者接收方的密鑰(如果接收方有密鑰)進(jìn)行簽名及加密。
如果只是用來創(chuàng)建密碼保護(hù)、經(jīng)過加密的文檔,那不需要整個(gè)PGP套件——你可以使用許多獨(dú)立的壓縮程序來完成這項(xiàng)工作,但簽名和密鑰使用等特性通常是其他程序所沒有的。 PGP Disk是套件中的整個(gè)磁盤或者虛擬卷加密解決方案。
虛擬卷用起來很像TrueCrypt或者FreeOTFE:卷可以在任何文件中;但如果使用PGP,相應(yīng)的某個(gè)卷(或多個(gè)卷)既可以用口令短語來保護(hù),還可以用用戶密鑰來加密(使用AES、CAST5或者Twofish等算法)。
如果你使用了整個(gè)磁盤加密,可以在加密過程中選擇幾個(gè)選項(xiàng):最大CPU占用率,目的是節(jié)省時(shí)間;電源故障安全選項(xiàng),以便加密過程中萬一出現(xiàn)斷電,防止系統(tǒng)受到破壞。加密磁盤可以使用TPM硬件(如果你有這種硬件)或者USB閃存盤來存儲密鑰文件,也可以兩者結(jié)合使用。PGP Disk另外有一個(gè)出色的特性:數(shù)據(jù)粉碎工具,類似自由軟件Eraser產(chǎn)品。它可以清除文件,也可以只清除現(xiàn)有磁盤上的空余空間。 網(wǎng)絡(luò)共享特性(PGP Desktop Storage和PGP Desktop Corporate這兩個(gè)版本有該特性)讓你可以共享便攜式驅(qū)動器或者網(wǎng)絡(luò)連接驅(qū)動器上的加密文件。
所有解密在用戶端進(jìn)行,所以任何敏感信息絕對不會以明文格式傳送,也用不著在文件服務(wù)器上安裝特殊軟件。網(wǎng)絡(luò)共享還能與活動目錄集成,以便對誰可以訪問哪些信息實(shí)行細(xì)粒度管理。
還可以對指定受保護(hù)文件夾外面的單個(gè)文件進(jìn)行加密,不過這項(xiàng)特性需要單獨(dú)啟用(默認(rèn)狀態(tài)下該功能是禁用的)。 PGP Desktop并非只作為獨(dú)立程序來使用——它還可以由企業(yè)環(huán)境下的PGP中央服務(wù)器程序(PGP Universal)來管理。如果你打算先在單個(gè)系統(tǒng)上使用,然后遷移到更集中管理的環(huán)境,那么PGP Desktop專業(yè)版是個(gè)很好的選擇。
工具七、7-Zip 費(fèi)用:免費(fèi)/開源 網(wǎng)址:www.7-Zip.org 你可能認(rèn)為開源歸檔程序7-Zip與本文介紹的其他程序不在同一檔次,但如果你只是尋找臨時(shí)應(yīng)急的方法來創(chuàng)建經(jīng)過加密、密碼保護(hù)的存檔,它其實(shí)是個(gè)不錯(cuò)的選擇。
7-Zip也能創(chuàng)建自解壓存檔,所以接收方不需要有7-Zip——只要你們事先約定好,任何密碼都可以。不過,它本身并不支持任何一種雙因子驗(yàn)證。
另外為了提高安全性,創(chuàng)建存檔時(shí),一定要選擇“加密文件名”選項(xiàng)。 結(jié)論 大多數(shù)想要保護(hù)磁盤的基本解決方案的人可能會試一試TrueCrypt(或者最接近它的FreeOTFE),尤其是鑒于前者提供了整個(gè)磁盤、引導(dǎo)卷的加密。
PGP Desktop也添加了其他許多工具,對不僅需要加密磁盤上的內(nèi)容、還希望加密電子郵件和即時(shí)消息的用戶來說,這是個(gè)不錯(cuò)的選擇。BitLocker的一大優(yōu)點(diǎn)是,它是Vista自帶的一項(xiàng)特性,可通過活動目錄來進(jìn)行集中管理。
而DriveCrypt也有一些可能有用的隱匿和訪問管理功能。7-Zip是創(chuàng)建經(jīng)過加密、密碼保護(hù)的存檔的一種簡單方法。遺憾的是,Dekart Private Disk很難稱得上是專業(yè)的加密解決方案,因?yàn)樗艘豁?xiàng)荒謬的特性:可以對你交給該程序來保護(hù)的卷進(jìn)行蠻力攻擊。
磁盤加密技術(shù)工具
上一篇:防范黑客的相應(yīng)措施
下一篇:常用的殺毒防毒方法