七种硬盘整体加密技术工具介绍

很少有IT工程师需要接受专业的数据安全培训课程,但是我们却太频繁地听说了有关电脑或硬盘中的数据在没有施行加密措施的情况下丢得精光。

幸运的是,如今,快速的数据加密技术已经不再像以前那样罕见且花费昂贵,人们不仅仅可以将单个的文件进行加密,而且还有一些技术工具能够创建虚拟硬盘,并且是在单个文件、甚至就在同一个分区内建立的,在这个虚拟硬盘上任何写入其上的信息都是被自动加密的。在现代的硬件条件下,加密所需的空间是很小的,你根本不需要专门贡献一定的硬盘空间来实现加密。

本站将分上下篇介绍几种应用程序实现创建、管理那些加密的文卷。其中,上篇介绍TruCrypt、windows Vista自带的BitLocker加密工具、Dekart Private Disk 1.2以及7-Zip;下篇则将介绍DriveCrypt、FreeOTFE以及PGP为电子邮件、即时信息提供的全覆盖桌面套件。你甚至能够免费获得非常强壮且易实施的全硬盘加密工具,即使是需要付费的企业级套件,凭其可管理性和支持力度的卓越性能也是非常值得您为它买单的。

一、TrueCrypt 5.1a

费用:免费/开源

从禁得住考验的角度讲,TrueCrypt可谓制造了一个惊人坚固的箱子作为第一个全硬盘或虚拟文卷加密技术的解决方案。抛开免费和开源这两大附加值,TrueCrypt不仅拥有漂亮书写的可用性和数据保护的特性,而且还是对整个系统(包括操作系统分区在内)加密的一种有效途径。

TrueCrypt允许用户自主选择AES、Serpent、Twofish等算法,既可以单独用也可以以不同的组合方式用,还有其他算法如Whirlpool、SHA-512和RIPEMD-160哈希算法。目前的加密技术有三种基本实现方法:1.该算法可以把一个文件做成一个虚拟加密文卷;2.该算法能将整个硬盘分区或物理盘转化为一个加密的文卷;3.该算法能够加密一个运行中的windows操作系统文卷,虽然有一些限制条件。

加密的文卷可用密码和关键文件特别保护的方式得到数据保护。举个例子来说,一个位于可移除USB盘中的文件,要求创建一种双因素认证的格式,如果你正好创建了一个独立的虚拟文卷,你就可以使用任何大小或命名方式创建文件需要的安全格式。那么,在这种情况下,具备能够随意操作文件命令的文件就可以由TrueCrypt通过自动创建并格式化的方式获得。其中,TrueCrypt发挥的最大作用就是使原文件变成看起来就像只剩下随机数据的样子。

TrueCrypt设计的初衷就是,没有任何加密的文卷或硬盘能被随意鉴定为是用这种工具加密的,没有明显的文卷头,需要文件扩展或其他可识别的标记。唯一的例外就是加密启动文卷的时候,该过程会加载TrueCrypt启动加载代码,但是在未来版本的TrueCrypt中隐藏全部的文卷并使用外部启动加载器(如从USB或CD处)将可能不再存在这一例外。在这种前提下,创建一个自身加密的USB并以旅行者模式运行也是有可能的,这一过程用到的将是可执行TrueCrypt的一个拷贝,并且还将能被安置和运行在用户具备管理员权限的任何windows设备中。

TrueCrypt还具备被外界公认的似是而非的否认特性,这是最显著的一项功能,该功能能将很多文卷之间互相隐藏。被隐藏的文卷有属于自己的密码,但是没有任何办法能判定一个给定的TrueCrypt文卷是否在其内部哪个位置隐藏着另外一个文卷。如果你把外部文卷上写入了太多数据,那么很有可能你会破坏隐藏其中的文卷。但是,作为一个种保护策略,TrueCrypt为用户提供了相应的选择权,即当你要在一个文卷中隐藏令一个文卷时,只能以只读的方式隐藏。

如果你正在使用系统硬盘的加密工具,当前的加密进程会暂时停住,但是可以依命令中止并且恢复,同时程序会提示你创建一张系统恢复盘以便系统遇到灾难时能够重新启动。需要注意的是,你不能在一个没有Windows启动加载器的情况下对双引导的windows系统进行加密。

该工具已经停止更新,最佳替代工具为VeraCrypt https://www.veracrypt.fr/

二、windows Vista BitLocker

费用:包含在Vista终极版和Vista企业版内

Vista自带的BitLocker仅在其企业版和终极版中才有效,并且被明确定义为展示系统文卷的加密保护功能。BitLocker并不是简单地设计为加密可移除的文卷,也不是像本文介绍的其他产品的描述那样让用户创建虚拟的加密文卷,而是为了智能的集中管理而被开发出来的,是通过活动目录和组策略实现的。

不像TrueCrypt系统硬盘的加密技术,设置BitLocker需要用户目标系统中至少有两个文卷,一个用来控制启动加载器,另一个则用来控制加密的系统文件。一个已经存在的系统能够通过BitLocker磁盘准备工具实现重新分区(目前是作为支持BitLocker的一个系统额外的工具提供的),但是如果你正工作在一个没有划分好的系统上,你也可以手动设置分区。

当你用BitLocker加密一个文卷时,你就享有了三种基本选择,这些选择可以告诉你如何识别访问加密文卷的帐户类型。如果电脑有一个TPM(可信计算模块),那么你也可以结合机器提供的PIN代码一并判断。第二个选择是创建一个可移除USB磁盘,其中包含认证数据,并将这些数据与PIN代码一起运用,但是这种办法仅仅在电脑出现故障需要从一个USB连接的设备启动时才有效。如果你用的是这个选择,BitLocker将会在对硬盘加密前做一次启动测试以确保你的系统能够从USB设备启动。第三个选择只需要用户机器上的PIN代码,但是这个代码通常都会很长(达25个字符以上),并且只能由操作系统指派。

正如运用其他任何全硬盘的加密工具系统一样,最慢的部分实际上是对磁盘的加密过程。比如我使用的75GB硬盘的笔记本,就需要花费大约三个半小时才能完成加密。幸运的是,BitLocker可以在其他工作继续进行的情况下完成加密过程,同时如果需要的话,你甚至可以关闭系统并在以后恢复该加密过程(我的建议是:让电脑整晚自己单独待在一个房间完成加密。)。对于一个给定的文卷,如果管理员需要访问或解密的话,那么文卷加密后的密钥也可以保存到一个活动目录的仓库中。如果你还不属于活动目录的域,那么你也可以手动将密钥备份到一个文件中,这样当然将会被保护得更加缜密。

最后,虽然说BitLocker最初只是被用来保护操作系统文卷的,但你也可以通过Vista命令行界面手动实现非系统文卷的加密。

三、Dekart Private Disk 1.2

费用:45美元/终端

虽然与其他加密程序在功能上有些相似,但是Dekart Private Disk至少有一个突出的特性就是能让一些应用程序真正被保护起来。

对于刚接触Dekart Private Disk的用户来说,Dekart Private Disk的个性设置并不比本文讲述的其他免费或开源的产品好多少:用户可以创建虚拟加密文卷、为一个加密硬盘备份文卷头、根据用户行为控制安装或不安装到硬盘……真正仅有的显著特色并且在其他情况下不可用的却是——Disk Firewall,该功能是让用户承认或否认对特定程序加密文卷的访问权。

Dekart Private Disk没有被归入真正安全管理类别的最大标识就是Recovery Option,这个选项是通过实施一个有关密码的蛮干攻击从而获得私有硬盘的密码,没有任何专业的加密产品具备这样类似的功能选项。这种策略有点像,先为你的前门买了一条安全绳待日后破门而入,譬如在你丢失门钥匙的情况下。

简而言之,很难对这种功能的付费加密程序给予认可,何况它的很多特性在很多其他地方都是免费可以实现的,然而也许它在启动的时候实施的性能更好一些。

四、7-Zip

费用:免费/开源

你也许并不认为开源归档应用——7-Zip是一个和本文其他工具相匹配的加密程序,但是如果你只是寻找一个快速实现的方法创建一个加密、密码保护的文档时,它实际上真的是一个较好的选择。7-Zip也能够创建自动压缩的文档,因此偏爱加密过程的人们不太需要它,但这仅仅是建立在你能够接受任意密码的基础上。但无论如何,没有哪个程序会天然支持任何种类的双基因认证技术。因此,对于更多附加价值的安全性而言,请在创建压缩文档的时候,确保选择了对文件名称加密的选项。

七种硬盘整体加密技术工具介绍(下)

五、DriveCrypt

费用:59.95英镑(折合88.73美元)/终端

SecureStar的DriveCrypt工具在核心功能上与TrueCrypt和FreeOTFE很相似,如用户可以从文件或整个硬盘中创建加密的容器,然后互相隐藏加密磁盘等。对于更多先进的功能来说,如全硬盘加密,用户则需要添加一款价值185美元的DriveCrypt PlusPack工具。无论DriveCrypt提供的这个新加功能是否值得用户购买那都得另谈,因为很多人可能仅仅愿意通过免费的产品获得功能的满足。

如果你已经对很多功能类似的产品有使用经验,那么在标准的DriveCrypt工具中,其绝大多数加密功能还都能表现得令人满意。因为你既可以从文件也可以从硬盘分区中创建虚拟加密硬盘,并在一定时间的停用过程中自动锁住硬盘,与此同时,你还可以完成一个硬盘内嵌硬盘的操作。DriveCrypt也可以让用户映射该产品早期版本创建的硬盘(如ScramDisk和E4M),因此如果你正在从以上早期版本之一迁移的话,你将不会遭受机器的无动于衷。

本文谈到的还有一些该产品没有免费提供的功能则是,随意调整已存在加密硬盘的空间大小,以及控制关键证书服务(后者可能在TrueCrypt和FreeOTFE中可以通过手动备份文卷头实现)。

此外,DriveCrypt中还有一个特别功能就是,你可以创建一个DKF访问文件,该文件允许第三方在不需要文卷密码的情况下访问加密文卷。DKF的密钥涵盖了各种各样的限制条件,如在若干天后或仅仅在一定时间范围内,该密钥可以使用与硬盘本身密码毫无关系的一个密码。这就使得为加密磁盘提供一定程度或一定控制范围内的访问权成为可能。

值得注意的是,默认状态下该程序使用ID=0x74的分区来标记已经加密的整个分区。这种情况不仅会使得程序很容易辨认和映射一个加密的分区,而且还意味着一个恶意的第三方也很容易就能读取一个采用DriveCrypt加密的文卷。幸运的是,你可以通过设置一个程序选项,从而阻止上述情况的发生。当然不仅仅是可以,其实你是应该这么做,因为你是唯一一个应当知道什么是一个加密文卷,以及什么不是一个加密文卷。

DriveCrypt最具魅力的特性则是将.wav文件(无论是CD自带的音频文件还是自行制作的一段音频)转换成一个特殊格式加密文卷的能力。每个样本的四位或八位就能用来存储数据,因此一个700M字节的.wav文件(等同于一张CD上音频文件的总长)可以被用来存储350M字节或175M字节的数据信息。虽然说音频播放器的质量将影响一些质地,但最终形成的文件仍然可以播放(说明:把一张真正可用的CD处理成若干变形音频文件或许不是一个好主意,这是因为即使攻击者不能破解处理后的音频,他们也可能会将你的文件与CD处理后的文件做对比以判定是否被隐藏了的音频数据还存在,毕竟完整的音频信息还是会更好)。

六、 FreeOTFE 3.00

费用:免费/开源

FreeOTFE(OTFE意思是快速加密)在很多方面都和TureCrypt很相似,只是很多相同的功能在具体实施的时候有一些细微的不同,但它也是在一个非常强大的软件许可证之下提供服务的。

创建一个新的文卷的过程是和TrueCrypt相类似的:整个过程中都有会一个助手陪伴你左右,并为你提供每一个步骤中相关的选项,FreeOTFE有一套非常丰富的选项设置,这些设置相应地包含了文卷核心信息的长度、哈希算法、破译算法、密钥算法以及硬盘划分系统,但是对于绝大多数用户而言,默认的选项设置总归是比较好的。一些选项主要是为向后兼容准备的,就像现在技术比较成熟的MD2和MD4哈希函数。值得说明的是,对于新创建的硬盘来说,使用SHA512算法可能会更好。

TrueCrypt似乎没有提供另一个好功能,那就是在一个文卷映射完后能够运行任意脚本,这当然是在文卷没有被再次映射的前和后时间段内,就像展示临时文件的可用价值或者其他正常的硬盘零碎数据再利用。与此同时,FreeOTFE还有另外一个适用于Linux用户的手动功能,那就是运行linux自身的文件系统加密磁盘,如Crypttoloop、dm-crypt以及LUKS。

正如TrueCrypt一样,你也可以使用FreeOTFE选择创建一个独立的关键文件,但是两者的数学算法稍有些不同。TrueCrypt为文卷创建的关键文件几乎可以是任何文件,因为它走的是只读路线。而FreeOTFE从碎片创建关键文件,并把它储存为文卷的元数据块,这个元数据块可以被放置在一个USB盘里,这样也提供了一种更深入的物理安全策略。当用户为一个新的文卷创建随机数据时,用户可以选择利用微软的CrypttoAPI函数,数据就是从为产生额外随机数据的鼠标运动中获得的。当然。同时产生了两个随机数据块。

FreeOTFE还有一点像TrueCrypt,那就是FreeOTFE可以用来在一个文卷中隐藏另一个加密文卷,但是完成这个操作的过程是有些复杂的。用户需要手动定义一个字节偏移量的值,该值描述了被隐藏的文卷究竟被放在了什么位置。如果你不知道偏移量的值(甚至也不知道被隐藏文卷的密码),你根本就不能映射被隐藏的文卷。虽然还是存在一些困难,但上述情况还是使得在一个未加密的文卷中隐藏一个加密文卷成为可能。

这里有一点特别值得强调的就是FreeOTFE的可移植性,用户所设置好的应用程序也能被保存在用户自己指定的文档目录中(通常都只是放在默认的程序文件目录下)。当然,由于TrueCrypt和FreeOTFE都工作在可移植的模式(这是一种在可移除硬盘上放置FreeOTFE可执行程序和加密文卷的方式),因此他们都可以被用到另一台电脑上,甚至一台没有安装FreeOTFE的机器。最后,FreeOTFE在windows Mobile系统的PDA上也是可用的,创建的文卷或桌面级应用都是可以的,当然恶意程序需要除外。

七、 PGP Desktop Professional

费用:199美元/终端

PGP Desktop提供了一整套加密工具,开发这些工具的初衷是为了尽可能完美地与windows系统结合在一起,而不考虑应用的混合(虽然这样的限制是存在一些例外的)。对于那些正在寻找易操作加密套件、并且愿意为功能全面的产品付点费用的用户来说,这个产品无疑是最好的。

这个应用程序的主界面有5个基本部分:密钥管理、消息、压缩、硬盘管理和网络共享。密钥管理适用于加密操作的开始阶段(你可以创建新的加密密钥),它可以接受现有的外部密钥环中的密钥,把这个密钥处理为PGP的全密钥目录(也可以搜寻其他的密钥)等等。

消息部分控制着PGP Desktop如何处理电子邮件。在已发送邮件箱,PGP Desktop能够加密标准的SMTP/POP邮件、Exchange/MAPI邮件以及Lotus Notes邮件。PGP Desktop并不是修改邮件客户端,它从收发2个方向代理和监控邮件的流量,并在需要的时候开始工作。消息部分会给用户发送消息为,你已经用密钥环中的密钥做了加密的文件将被自动解密。你也可以创建描述邮件如何破译和加密的策略,例如只对一个特定的域发送明文。即时消息加密系统(这个也能工作在本地代理服务器中)仅支持AOL(美国在线)即时消息和Trillian,其他使用AIM协议的程序也许会工作,但是PGP不会。即时消息加密系统对每一次登录都使用1024位曾经的RSA密钥,这些消息是通过AES进行256位对成密钥加密的。

PGP Zip制表符使用户建立加密的文档,这些文档能被PGP从另一个末端或压缩包中作为自身萃取的文档提取。最终的文档还能被标记和加密,而且不光是通过短语,还有接受密钥(前提是这些文档有一个密钥)。整个PGP套件不是仅仅用来创建保护密码和加密文档的(你可以使用很多独立的压缩程序做到),其可以标记和密钥再利用的特性并不是其他哪个产品轻易具有的。

PGP Disk是套件中全硬盘或虚拟文卷加密的解决方案。虚拟文卷功能与TrueCrypt或FreeOTFE有些相像,即文卷可以是任何文件,但是利用PGP处理的话,文卷在有问题的情况下也是可以被用户密钥加密的,如采用AES、CAST5或Twofish。

如果你使用了全硬盘加密技术,你会看到在加密过程中有那么一对选项供你选择:最大化CPU可用性,以便节约时间;宕机时安全选项(主要指在加密过程中突然停电时可以保持系统运行)。加密硬盘可以使用TPM硬件、用USB闪存盘储存密钥文件,或者如此之类的一些组合策略。PGP Disk中另一个轰动性的功能就是数据粉碎工具,这个和免费的Eraser产品相类似,该工具可以擦除文件或简单擦除一个现有硬盘的空余空间。

网络共享部分的功能(仅在PGP Desktop Storage和PGP Desktop Corporate Editions中有效)能使用户在一个可移植磁盘上或网络连接的磁盘上共享加密文件。所有的加密策略能够代替用户端的操作,因此没有任何敏感的信息会被明文传送,同时文件服务器上也不需要任何特别的软件。网络共享功能还可以针对越权访问的用户,施行整合活动目录管理。另外,网络共享功能还可以对保护策略以外的文件夹中独立的文件进行加密,但是这个特性需要单独启用(默认状态下该功能没有给启用)。

PGP Desktop不不局限于工作在独立应用程序的状态,在企业版套件中,它可以被PGP中央服务器应用程序管理。这也使得PGP Desktop专业版能够在独立系统下运行该功能,还可以在以后移植到其他更多集中管理的平台上。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注