磁碟加密技術工具
磁碟加密技術可以更好的保護磁碟的安全性,下面是小編為大家整理的幾種好用的!
工具一、TrueCrypt 5.1a 費用:免費/開源 有足夠充足的理由成為你最先試用的整個磁碟或者虛擬卷加密解決方案。除了免費和開源這兩大優點外,該程式編寫巧妙,非常易用,還有豐富的資料保護功能,是對整個系統包括作業系統分割槽進行加密的一種有效方法。
TrueCrypt讓你可以選擇先進加密標準AES、Serpent和Twofish等演算法,這些演算法可以單獨使用,也可以採用不同組合名為“級聯”;還可選擇Whirlpool、SHA-512和RIPEMD-160等雜湊演算法。
實際的加密有三種基本方法:可以把檔案作為虛擬加密卷安裝上去;可以把整個磁碟分割槽或者物理驅動器變成加密卷;還可以加密工作中的Windows作業系統卷,不過存在一些侷限性 加密卷可以用密碼來保護;作為一個選項,也可以用金鑰檔案來保護,從而加強安全——比如可移動USB驅動器上的檔案,這樣你就可以建立一種雙因子驗證。如果建立了一個獨立的虛擬卷,可以使用任何大小或者命名慣例的檔案。該檔案由TrueCrypt本身建立而成,然後經格式化,確保它看上去與隨機資料毫無區別。 TrueCrypt的目的在於,任何經過加密的卷或者硬碟不會一眼就能看出來。沒有明顯的卷頭、所需副檔名或者其他識別標記。唯一的例外就是加密的引導卷,引導卷裡面有TrueCrypt引導裝入程式——但這個產品將來的版本不可能隱藏整個卷、使用USB拇指驅動器或者光碟上的外部引導裝入程式。說到那裡,你也有可能建立在“旅行者模式”下使用的自我加密的USB驅動器——裡面有TrueCrypt可執行檔案的拷貝,可在任何機器上安裝上去及執行,只要使用者擁有管理員許可權。 TrueCrypt還包括了所謂的“似是而非的否認”plausible deniability特性,最重要的就是能夠把一個卷隱藏在另一個卷裡面。隱藏卷有自己的密碼,你沒有辦法確定某個TrueCrypt卷裡面是不是隱藏了另一個卷。不過,如果你把太多的資料寫入到外面那個卷,可能會破壞那個隱藏卷——但是作為一項保護措施,TrueCrypt提供了一個選項:你在安裝外面那個卷時,可以把隱藏卷作為只讀卷安裝上去。 如果你在使用系統磁碟加密,實際的加密過程需要一段時間,不過這個過程可以暫停,需要時恢復加密你可能在晚上需要對上鎖房間裡面的PC進行這種操作。這個程式會堅持要求建立急救光碟,那樣萬一遇到災難,可以用來引導電腦一個缺點是:你無法對從非Windows引導裝入程式來實現雙引導的Windows系統進行加密。
工具二、Windows Vista BitLocker 費用:包含在Vista終極版和Vista企業版內 網址: 只有Vista的企業版和終極版才有Vista自帶的BitLocker,它是專門為了執行系統卷加密而設計的。
它的初衷不是主要用於加密可移動卷,也無法像本文介紹的其他產品那樣讓你可以建立虛擬加密卷。它在開發當初就考慮到了集中管理,通過活動目錄和組策略來實現管理。
不像TrueCrypt的系統磁碟加密,設定BitLocker需要目標系統中至少有兩個卷:一個卷用來存放引導裝入程式,另一個卷用來存放加密的系統檔案。
現有系統可使用BitLocker驅動器準備工具如今微軟為支援BitLocker的系統提供了這個額外工具重新進行分割槽;但如果你在處理沒有準備好的系統,也可以手動設定分割槽。
用BitLocker對捲進行加密時,會出現三個基本選擇,涉及如何授權使用者來訪問加密卷。
如果電腦有可信計算模組TPM,那麼它可以結合個人身份識別號PIN程式碼一起使用。
第二個選擇是建立一個可移動USB驅動器,裡面含有授權資料,然後該資料與PIN結合使用,但使用這種方法的前提是相應電腦可以從USB連線的裝置引導。
如果你決定用這種方法,BitLocker會在磁碟加密前進行引導測試,確保系統可從USB裝置引導。第三個選擇就是使用者只要輸入PIN,不過這個PIN會相當長25個字元以上,而且只能由作業系統來分配。
與其他任何整個磁碟加密系統一樣,最慢的部分實際上是對驅動器進行加密;我那75GB硬碟容量的膝上型電腦大約用了三個半小時才加密完畢。幸好,BitLocker可以在其他工作處理的同時,在後臺執行這項任務;甚至可以關閉系統,然後以後需要時恢復加密過程我的建議是:晚上就讓電腦留在上鎖的房間,進行加密。如果管理員需要訪問或者解密某個卷,該卷的加密金鑰也可儲存到活動目錄儲存庫中。如果你不在活動目錄域中,也可以手動把金鑰備份到檔案中——當然,該檔案應嚴加保護。
最後,儘管BitLocker最初的保護物件僅僅是作業系統卷,但也可以通過Vista的命令列介面,手動用它對非系統捲進行加密。
工具三、Dekart Private Disk 1.2 費用:每個使用者45美元 網址: 雖然Dekart Private Disk功能上類似其他加密程式,但坦率地說,至少有一項特性使得它不值得推薦。
首先,Dekart Private Disk的功能組合只比本文介紹的兩款免費/開源產品實用了一點。使用者可以建立虛擬加密卷、備份加密磁碟的卷頭、根據使用者活動來控制磁碟的安裝及解除安裝,等等。
惟一真正重要、而其他產品沒有的特性就是“磁碟防火牆”Disk Firewall,你可以用來授予或拒絕某些程式訪問加密卷。
最能表明Private Disk在開發當初沒有真正考慮安全的地方在於“恢復選項”recovery option,它試圖通過對密碼實施蠻力brute-force attack攻擊來確定私密磁碟的密碼。
任何專業的加密產品根本不會有這樣的功能。這好比你為前門買了把鎖定插銷,發現它還帶了一套撬鎖工具——“生怕你丟了鑰匙”。 既然在其他地方免費就能獲得Private Disk的絕大部分特性,說不定其他地方得到了更好的實現,就很難對這種收費程式表示認可。
工具四、DriveCrypt 費用:每個使用者59.95歐元88.73美元 網址: SecureStar公司的DriveCrypt其主要功能類似TrueCrypt和下面介紹的FreeOTFE——你可以從檔案或者整個磁碟來建立加密容器、把一個加密驅動器隱藏在另一個裡面,等等。
至於比較先進的功能,比如整個磁碟加密,需要新增DriveCrypt PlusPack185美元。至於DriveCrypt提供的額外功能值不值得購買,那是仁者見仁的問題,因為許多人覺得免費產品具有的功能組合同樣夠用了。 如果你之前用過類似產品,那麼標準版DriveCrypt的大部分加密功能表現會如你所料。
可以在檔案或者分割槽中建立虛擬加密磁碟、一段時間沒有使用後自動鎖住磁碟,還能在磁盤裡面建立隱藏磁碟。DriveCrypt還讓你可以把該產品的之前版本ScramDisk和E4M建立的磁碟安裝上去,所以如果你從這兩個版本程式中的某一個遷移到新版本,不會覺得備受冷落。 它具有免費產品沒有的一些功能,包括能夠對現有加密磁碟隨意調整容量大小以及管理員金鑰代管服務不過後者在TrueCrypt和FreeOTFE中也能實現,只需手動備份卷頭。 DriveCrypt特有的另一項特性就是:你可以建立“DKF訪問檔案”,該檔案允許第三方不需要卷密碼,就可以訪問加密卷。
DKF金鑰可以附加各種限制——它可以使用自己的密碼與你自有磁碟上的密碼無關、X天后到期失效,或者只能在某個時間段有效。這樣,就有可能為訪問加密驅動器提供一定的控制權。
要注意的是:預設狀態下,該程式使用分割槽號0x74來標記已經過加密的整個分割槽——這樣,該程式就比較容易識別及安裝加密分割槽,但也意味著可能敵意的第三方極容易知道某個卷由DriveCrypt經過了加密。
幸好,你可以通過設定程式選項來挫敗這種行為……你可能應該這樣,因為只有你才應當知道什麼是加密容器、什麼不是。 DriveCrypt最吸引人的地方就是能夠把.WAV檔案轉變成用隱匿技術來加密的容器,無論檔案是從光碟上抓過來的,還是重新建立的。
每個樣本的4位或者8位用於儲存資料,所以一個700MB大的.WAV檔案長度相當於一張音樂光碟可用來儲存350MB或者175MB。因而生成的檔案仍可以播放,但音訊質量會受到一定程度的影響。
注意事項:使用普通光碟音樂檔案恐怕不是個好主意,因為攻擊者即便不能解密,也可以拿來光碟上抓過來的內容與你的檔案進行比對,確定裡面有沒有隱藏資料。自己錄音也許更好。
工具五、FreeOTFE 3.00 費用:免費/開源 網址: FreeOTFEOTFE的意思是“實時加密”在許多方面與TureCrypt很相似——它提供了許多同樣的特性,只是實施時有些地方略有不同;它還有一個版本使用條件非常寬鬆的軟體許可證。
建立新卷的過程再次與TrueCrypt相似:有嚮導程式指導你完成整個過程,並且在每個步驟提供了相關選項。FreeOTFE有著一系列更豐富的選項,這些選項涉及卷的隨機資料串salt與雜湊的長度、密碼、金鑰和磁碟扇區系統,不過對大多數使用者而言,使用預設選擇就可以了。
有些選項主要是為了向後相容而提供的,比如現已過時的MD2和MD4雜湊函式——新建立的硬碟使用SHA512或者更好的函式。 TrueCrypt似乎所沒有的另一個出色特性是,卷安裝上去後以及卷解除安裝前後,可以執行任意指令碼——比如清除臨時檔案或者取證時用到的檔案以免被人抓住把柄。
對Linux使用者而言另一項方便的特性就是,能夠使用自帶的Linux檔案系統加密驅動器,比如Crypttoloop、dm-crypt和LUKS。
與TrueCrypt一樣,你也可以選擇建立獨立的金鑰檔案,但這種機制有點不同。TrueCrypt用於卷的金鑰檔案可以是任何檔案,因為它使用了只讀方式。
FreeOTFE是從頭開始建立金鑰檔案,用於儲存卷的元資料塊,金鑰檔案可能放在USB快閃記憶體盤上,以進一步增強物理安全。使用者為新卷生成隨機資料時,可以選擇使用微軟的CryptoAPI函式、通過滑鼠移動生成的資料以增強隨機性,或者是兩者都用。
另外與TrueCrypt一樣,FreeOTFE可以用來在一個加密卷中隱藏另一個加密卷,但是這個過程稍稍複雜一些。使用者需要手動指定“位元組偏移”值,該值描述了隱藏卷將位於何處。如果你不知道偏移值以及隱藏卷的密碼,就根本無法把隱藏卷安裝上去。
這還有可能把加密卷隱藏到未加密卷中,不過有點難度。 FreeOTFE特別注重移植性。該程式的使用者設定可以儲存到使用者自己的配置檔案,也可以用全域性方式來儲存即儲存到該程式目錄。另外與TrueCrypt一樣,FreeOTFE也有“移植模式”——因而可以把FreeOTFE可執行檔案和加密卷放到可移動磁碟上,那樣可以在另一臺電腦上使用,即使這臺電腦上面沒有安裝FreeOTFE。最後,FreeOTFE可供基於Windows Mobile 6的個人數字助理PDA使用;臺式電腦上建立或者使用的卷可以在PDA上使用,反之亦然。
工具六、PGP Desktop專業版 費用:每個使用者199美元 網址: PGP Desktop提供了一整套加密工具,而開發這些工具的初衷是為了儘可能完美地與Windows系統整合,不管使用怎樣的程式組合不過這條規則也有幾個例外。
它最適合這種使用者:尋找廣泛 的加密範圍,並且願意花些錢來購買功能完備的產品。 該程式的主介面有五個基本部分:金鑰管理、郵件、壓縮、磁碟管理和網路共享NetShare。金鑰管理部分是可能開始入手的地方——你可以在此建立新的加密金鑰、從外部的金鑰環keyring匯入現有金鑰、釋出金鑰到PGP的全域性金鑰儲存庫還可以搜尋儲存庫裡面的其他金鑰,等等。 郵件部分控制著PGP Desktop如何處理電子郵件。在預設狀態下,PGP Desktop能夠對標準的SMTP/POP電子郵件、Exchange/MAPI郵件以及Lotus Notes郵件進行加密。
PGP Desktop可代理及監控雙向傳送的電子郵件,並且在需要時採取行動,而不是改動電子郵件客戶端。如果傳送給你的郵件使用你金鑰環中的金鑰進行了加密,郵件會自動解密。
還可以建立策略,規定攔截及加密多少郵件——比方說,傳送到除某個域外其他所有域的郵件可用明文格式傳送。即時訊息IM加密系統也通過本地代理系統來工作僅支援美國線上的Instant MessengerAIM和Trillian;使用AIM協議的其他程式可以使用,但PGP不能為它們作出保證。IM加密對每次登入都使用1024位的一次性RSA金鑰;郵件採用AES 256位對稱金鑰來加密。 PGP Zip選項卡讓你可以建立加密存檔,這些存檔可以在另一頭用PGP來解壓,或者封裝成自解壓存檔。因而生成的存檔還可以用口令短語或者接收方的金鑰如果接收方有金鑰進行簽名及加密。
如果只是用來建立密碼保護、經過加密的文件,那不需要整個PGP套件——你可以使用許多獨立的壓縮程式來完成這項工作,但簽名和金鑰使用等特性通常是其他程式所沒有的。 PGP Disk是套件中的整個磁碟或者虛擬卷加密解決方案。
虛擬卷用起來很像TrueCrypt或者FreeOTFE:卷可以在任何檔案中;但如果使用PGP,相應的某個卷或多個卷既可以用口令短語來保護,還可以用使用者金鑰來加密使用AES、CAST5或者Twofish等演算法。
如果你使用了整個磁碟加密,可以在加密過程中選擇幾個選項:最大CPU佔用率,目的是節省時間;電源故障安全選項,以便加密過程中萬一出現斷電,防止系統受到破壞。加密磁碟可以使用TPM硬體如果你有這種硬體或者USB快閃記憶體盤來儲存金鑰檔案,也可以兩者結合使用。PGP Disk另外有一個出色的特性:資料粉碎工具,類似自由軟體Eraser產品。它可以清除檔案,也可以只清除現有磁碟上的空餘空間。 網路共享特性PGP Desktop Storage和PGP Desktop Corporate這兩個版本有該特性讓你可以共享行動式驅動器或者網路連線驅動器上的加密檔案。
所有解密在使用者端進行,所以任何敏感資訊絕對不會以明文格式傳送,也用不著在檔案伺服器上安裝特殊軟體。網路共享還能與活動目錄整合,以便對誰可以訪問哪些資訊實行細粒度管理。
還可以對指定受保護資料夾外面的單個檔案進行加密,不過這項特性需要單獨啟用預設狀態下該功能是禁用的。 PGP Desktop並非只作為獨立程式來使用——它還可以由企業環境下的PGP中央伺服器程式PGP Universal來管理。如果你打算先在單個系統上使用,然後遷移到更集中管理的環境,那麼PGP Desktop專業版是個很好的選擇。
工具七、7-Zip 費用:免費/開源 網址: 你可能認為開源歸檔程式7-Zip與本文介紹的其他程式不在同一檔次,但如果你只是尋找臨時應急的方法來建立經過加密、密碼保護的存檔,它其實是個不錯的選擇。
7-Zip也能建立自解壓存檔,所以接收方不需要有7-Zip——只要你們事先約定好,任何密碼都可以。不過,它本身並不支援任何一種雙因子驗證。
另外為了提高安全性,建立存檔時,一定要選擇“加密檔名”選項。 結論 大多數想要保護磁碟的基本解決方案的人可能會試一試TrueCrypt或者最接近它的FreeOTFE,尤其是鑑於前者提供了整個磁碟、引導卷的加密。
PGP Desktop也添加了其他許多工具,對不僅需要加密磁碟上的內容、還希望加密電子郵件和即時訊息的使用者來說,這是個不錯的選擇。BitLocker的一大優點是,它是Vista自帶的一項特性,可通過活動目錄來進行集中管理。
而DriveCrypt也有一些可能有用的隱匿和訪問管理功能。7-Zip是建立經過加密、密碼保護的存檔的一種簡單方法。遺憾的是,Dekart Private Disk很難稱得上是專業的加密解決方案,因為它包括了一項荒謬的特性:可以對你交給該程式來保護的捲進行蠻力攻擊。