控兄是我的个性的同时,也是勋章! 收藏本站
登陆 / 注册 搜索

阅读: 496   回复: 1

[# 系统基础] 文件加密扫盲

空谷幽兰 仗剑天涯 2020-6-9 20:00 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家 论坛元老
一、引子! b% L+ X5 m0 j: L  p! q

& m2 }; E1 u( ]% N/ j/ E4 Q9 z
- ?' m2 R' \8 e0 `话说 2011 年美国佬把拉登灭掉之后不到一星期,从拉登老巢缴获的电脑资料,就开始在美国政府的网站曝光了(比如拉登的生活录像)。另据美国某安全官员说,缴获的电脑资料之多,抵得上一个小型图书馆。单从这点可以判断出:拉登同学对自己手头的存储设备(比如硬盘),没有进行足够强度的加密处理。
  W; ?! u. Q+ G* V3 Z2 m
+ N* c# u; I" E  j7 t
文件加密扫盲 data-encryption.jpg

8 h' C& d% W4 f! c* M0 e这令我很吃惊啊!——堂堂的恐怖大亨,竟然连这点常识都没有啊?!
+ {0 v# R% s5 \1 F
1 L6 {" b4 d) _) W/ I想当年,陈冠希同学就是因为疏忽了数据加密,导致艳照满世界流传,不光搞臭了一堆女明星,也造福了无数男网民。这回,基地组织估计要步陈同学的后尘了——区别在于,这次倒霉的是基地组织的残余势力,受益的是美国情报机构。
  }4 d( H4 d! V0 Q1 V
* U" E3 R  X8 q) B& [: g5 m二、文件加密的重要性3 I5 O# `6 J+ _

1 ?7 ?; L/ h4 [# W$ a- v# k有些同学以为,自己既不是影视明星,又不是恐怖分子,不需要采用文件加密之类的工具,那就大错特错啦。下面我来大致聊聊,文件加密的用武之地。
' e& F/ }, h; e7 s3 @& |1 n
) j, X8 ^0 h7 e9 Q$ B1 _1.防范失窃# `3 \( j" {' x' v& f' z

+ y+ S# \8 q0 J2 e5 p. k8 ^( J这年头,笔记本电脑、平板电脑越来越流行,而这类便捷的移动设备,也增加了丢失的概率。一旦你的移动设备丢失,存储在上面的个人敏感信息就有暴露的风险。比如用浏览器保存的登录口令、邮件客户端存储的私人邮件、等等。如果你的敏感信息是加密的,失窃后的风险就大大降低。
1 ?4 c: H- G# \. i& I7 R$ d2 W5 Y: \+ q6 F0 N+ t
2.保存个人隐私
1 u* b$ Q" z% ?, X+ M9 ^/ }  `5 ^3 H- v' H
很多人的家用电脑,都是几个家庭成员共用的。你可能会有一些个人隐私的信息,不希望被其他家庭成员看到。比如你上网下载的毛片、艳照、等,多半不希望被你父母或子女看到。这时候,文件加密就可以防止你的隐私外泄。( O" G! b) ?; f7 j# \5 g
( _' E* j, q5 r$ v: V
3.加密备份数据: Q2 u! i5 f5 N5 N# g3 j

! x; z+ j7 ~- y. a5 I8 @很多同学把电脑中的数据备份到移动硬盘上。有些同学觉得放家里的移动硬盘还不保险(万一家里遭火灾,一样废掉)。正好近几年,"云"的概念炒得很热。所以,那些忧患意识很强的同学,就开始考虑用"云存储"(俗称网盘)来做异地备份。
; A, A7 \" D9 z% T8 Z8 D2 N6 D* L2 m1 t6 a0 m
一旦你把数据备份到"云端",就得考虑加密问题了。假如你用的是国内公司提供的网盘,那你一定得小心。因为敏感国是很关心屁民的隐私滴(具体的原因,你懂的9 D# r! s; j0 W0 ^1 \

$ U8 G' q8 R1 Y6 c% C1 L如果你把数据备份到国外的网盘,也未必安全。
+ R7 D8 J% e2 h. r! `8 n* H1 r7 n6 f) D
接下来,我把几种常见的加密方式介绍一下,并分析各自的优缺点。
& w, h5 t! S( L* |9 [" b# w- C4 [
+ \5 M. G0 M" U' i$ [* J三、使用压缩软件4 k# \" f* R2 z0 G' j4 i$ g
! @. f- ]! U0 u, t% g# _; N
我发现很多人(尤其是菜鸟用户),首先想到的加密方式,就是把敏感文件用压缩工具(比如 7zip、WinRAR)压缩一下,并设置一个口令。; u2 V& ?0 Y$ [1 ~

& [- Y+ {6 m  K& J( i1 |5 h1.优点
6 y% T8 t. y( V9 N& k% d6 B$ y  u8 @; _5 Z' [/ ^: u4 J- p
优点1——需要额外安装软件。: p& [2 F$ u$ \) Q9 k% h2 a' C
压缩软件几乎是装机必备的软件。因此,使用这种方法,多半不需要额外安装其它软件。3 i9 d7 u8 X4 g2 L$ X

9 e. J' I, z6 v7 [  _9 R优点2——便于备份
( G, |  f8 ^  x; N* e% X可以把压缩文件 copy 到任何地方,只要知道口令就能打开。+ x8 h; k+ k- g* X  @! d
5 v( J6 ]* U  ^3 J8 X8 G
2.缺点$ h9 q8 ?) D* @! V1 \0 B

* g( l) ]+ l8 Z) H, j' N缺点1——加密强度没保证
7 l( C( d7 g( R3 |; g/ b9 Z" n) S9 ~5 Y2 C压缩软件的强项是压缩,而不是加密。有些压缩软件,本身的加密强度不够,还有些压缩软件(比如早期的 WinZip),加密机制有缺陷,会导致攻击者轻易破解。; ]4 M6 S' C  H  ^4 y) m

/ K; }$ f8 Y- O4 {; |9 [缺点2——查看文件不方便
+ T& m4 j; [6 V# I+ R% }0 q/ ]每次要查看加密压缩包里的文件,都需要先解压出来,看完再删除。非常麻烦!! T$ B- [5 o& j/ L# ^# W. I- J

0 F% ?% A: w+ o. x8 x" K: j缺点3——查看文件容易泄密- Y; ^- `7 X% L# O$ I1 \
如果你解压并看完之后,忘记删除敏感文件,就有泄密的风险。1 H5 [% Z; i. W# h

5 D  X1 L7 Q" n8 H. H' I即便你的每次看完都对敏感文件进行彻底删除,也还是不保险。因为很多压缩软件在解压时,会先解到系统的临时目录。而压缩软件在使用完临时目录后,仅仅进行简单删除,而不是彻底删除。这样的话,敏感文件的内容有可能还在磁盘上。专业人士通过反删除工具,还是有可能恢复出来。9 f3 I  R6 w( ]" I9 e& O- Y
( y5 \2 H9 P3 ~& o- e4 C) K
缺点4——功能非常有限
6 }: h1 g* _3 a/ H3 g/ c  j+ t# \, g用压缩软件加密,无法加密整个分区,无法加密某些系统文件(比如 Windows 的虚拟内存文件)。
% E, h# g9 V' b4 N3 A6 w; D. ~8 ]: f& h3 @; q: f" H
3.小结
# k6 S2 K5 P/ W( S
6 C; f1 M8 Y% e  j; A用这个方法来加密自己电脑中的大量文件,显然是不方便的。如果你要给朋友传递一些需要保密的文件(但是密级又不是很高),或许还可以用一用。
2 {5 a1 o: o$ E, o& x8 d
( t- _" t" m3 U) ?四、使用EFS(文件系统级加密)3 J$ h. f" S3 ~7 X: }+ T# ]3 @
5 L" e: N1 B3 k- F- L
稍微懂点技术的用户,可能会选择 EFS 来加密文件。
, I% j) ^) W# h  H4 Z0 e7 ^, e1 ~/ @5 c7 Y/ H( ~1 f. p5 y
所谓的 EFS,就是把加密功能集成到文件系统中。通常,EFS 都是跟操作系统用户绑定的。某个用户加密的文件,只有该用户能看。也就是说,只要你能用此用户登录到系统中里,也就可以打开 EFS 加密的文件。考虑到 Windows 系统的用户居多,以下仅介绍 Windows 的 EFS。
; s+ J& B! z, A! R; H+ Y  Q
0 P$ C8 A+ S& i) Z, x, X  U+ W对于 Windows 系统而言,从 Win2000 开始,就支持 NTFS 文件系统,也就具有了 EFS 的功能。你只要查看某个文件的属性,在“属性”对话框中点“高级”按钮,即可看到如下的“高级属性”对话框。勾选“加密内容以便保护数据”,即可完成对该文件的加密。) H+ O6 B8 o3 O1 X
6 f) `% X) }+ n! S: z' Y; t6 Y+ k
文件加密扫盲 Image1.png
  u) g' l0 P# X% U& @5 o& Z% c
1.优点* l- N8 ^* |7 j7 J& t$ G% x' h

% z# T/ V! m9 z& G1 G/ t优点1——需要安装额外的软件
9 \1 Q9 a  ]/ W7 F- [只要你的文件分区是 NTFS 格式,就可以使用 NTFS 的 EFS 功能。5 C" Z: x2 E6 M2 h
) {4 i2 N. {7 P$ O: w
优点2——加密强度有保证7 ]1 k+ `& E$ ?5 u) K
我没有仔细研究 NTFS 的 EFS 的加密机制。不过捏,像微软这种级别的公司,搞出来的加密机制,强度是不会太弱的。
1 t2 A  z( B! ~* ^: M. V; k5 V9 U) R! s! V) K  s6 W5 {
优点3——查看方便& g) M, [7 N$ [, U
由于 EFS 直接集成到文件系统,因此你查看加密文件跟查看普通文件,没有任何区别。
% i4 m7 S! L( Y! A. S
" G: b1 T/ l3 L) M8 w; [2.缺点* `$ r. [; F: u0 e6 e! R
6 f! o) w  V+ y9 a* @4 @" J" e
缺点1——太依赖于当前系统& R% h) P- b3 v7 _$ A
EFS 的一个主要缺点,是太依赖当前的系统。如果你没有导出密钥,一旦系统重装了,那你就无法再访问被 EFS 加密的文件了。即便你用同样的安装盘重装,安装的时候使用同样的用户名和口令,也不行。更加神奇的是,即便你事先用 Ghost 把原来的系统分区克隆出来,再恢复回去,那些 EFS 加密过的文件,也可用啦!* Z0 @7 z# l6 G; l& [% b
" U$ ]% Y* w+ t9 y% y
缺点2——没有独立的认证方式
/ g! t; e2 c0 H; V- I前面提到了,EFS 依赖于操作系统本身的用户认证。如果你和家人共用一台电脑的同一个系统用户,那这种加密方式形同虚设。
( M) Q! B! v9 m
" E! ]7 ~' Q# b9 ^0 Q' u1 P缺点3——备份密钥的麻烦; g5 U1 ~' U. N0 s" T' x
比方说,你把某个移动硬盘的文件用 EFS 加密。如果你希望在另外一台电脑上也能查看该 EFS 加密的文件。那么你必须先在加密的那台电脑中把秘钥导出,然后在第二台电脑导入。具体的操作步骤极其麻烦。如果你打算重装系统,也要搞这套复杂的秘钥导出步骤。(从 Vista 开始,密钥的导入/导出步骤简化了很多). G- x! [3 ?) T( G+ o4 @
* B$ A: s6 W$ ^5 {8 J6 R: I9 H
缺点4——无法跨操作系统和文件系统$ h5 {: L- u, H5 [! z2 e9 u" m
比如 NTFS 的 EFS,显然只能用于 NTFS 分区,FAT 分区(FAT16、FAT32)用不了。  w0 {1 G4 V/ d4 H. T1 Z( d
另外,Windows、Linux 都有各自的 EFS 加密功能,互相之间是不能混用的。比如你一台 Windows 和一台 Linux,想在这两台电脑之间共用一个 U 盘,那 EFS 加密的方式就行不通。
" e9 r) x* V0 C8 M9 @* @# `5 l3 C8 N
- n! }& l1 v. j6 Q+ b- W, N3.小结( g  D& Z7 \: u* y% @
7 C1 v0 ^8 ^4 W5 K7 }9 Z
EFS 的方式,对于防范电脑失窃,还是蛮方便滴;但对于另外几种用途,EFS 就太方便啦。
! @3 x5 G. x3 R& o
1 e3 D0 @/ b7 n( v9 D# u2 w) a9 _&#补充说明一下:自从 Vista 开始,Windows 内置了另外一种文件加密机制——BitLocker。它比传统的 EFS 有更多优点:增加了多种认证方式,用户界面更友好。但是,仅能用于 Vista 及之后的 Windows 系统,而且对具体的版本还有限制(据说仅限于 Enterprise 版和 Ultimate 版,不爽)。
. i1 R: I% i" n# j$ T6 ?* _% x0 ^9 f" \3 ~
五、专门的文件加密软件
% l5 s1 j4 d& I' S0 @+ @" K' R$ r( j8 T, T( |+ }
从前面的介绍可以看出,上述这几种方式,都有不少缺点。有些缺点还很要命。现在,我要介绍今天的重点——基于专门的文件加密工具进行加密。) \+ R& M# [- A3 ?
9 M+ W! L2 [1 }% a2 F
根据加密对象分类4 q( o6 F  N* U! ?
: f. U$ ~9 B3 a6 P; g' D" A
根据被加密对象的不同,大致有如下几种加密类型。有些加密工具,可以同时支持其中的几种。% v# M  F& N! L2 |) g# y0 D
" G# }. m& q7 r( f
1. 针对文件/文件夹的加密
# \3 G+ \3 F( B. X* J2 {% e这种好理解,就是可以选择某几个文件或目录,然后对其进行加密。每一个文件/目录,都可以设置单独的认证信息(通常用口令)。
0 }! T6 w' w$ }" b以文件/目录为单位进行加密,一旦文件/目录的数量多了,管理起来不方便。% W. z! I2 t5 ]: y6 o
3 i. a, }1 ^6 V# U2 Y0 ^' c8 o
2. 针对物理硬盘的加密% h$ J7 e, {- O1 N+ V5 H' H; i/ S9 @
这种方式,就是把整个硬盘,或者硬盘的某个分区进行加密。如果你想访问该硬盘或者分区,需要通过认证(通常是输入口令)。认证之后,该硬盘可以像普通硬盘一样使用了。因此,即便别人拿到你的硬盘后(比如电脑被偷),也得不到被加密的数据。, |0 n! N9 J* }$ I6 t; m; m
- w: ~2 c6 r9 L: h! v+ [
3. 针对虚拟硬盘的加密
9 T% E9 v5 R  E5 V2 Y$ ~8 m+ S$ G这种方式,说起来比较复杂。
$ f( p6 H4 [0 v; W7 q% }* V" ~- U: W
你可以通过加密软件,创建出一个虚拟硬盘。这个虚拟硬盘其实对应到一个你物理硬盘上的一个文件。你往这个虚拟硬盘上写入的数据,(经过加密之后)都存储在这个文件中。你创建的虚拟硬盘有多大,这个数据文件就有多大。+ a$ w  C+ e* @6 u. i3 S+ \' p. j* E

( u0 u7 Y  D* \8 A3 `在使用上,这种方式跟加密物理硬盘类似。要先通过认证才能使用。认证之后,就跟普通的硬盘没啥区别了。你一样可以对它进行分区(虚拟硬盘上的分区,就是虚拟分区),一样可以在上面安装软件。
: K8 m2 y5 r9 r1 }& x& u3 l
: X+ G5 N  O' z7 ]2 B* s上述3种方式,我比较喜欢"虚拟硬盘/虚拟分区"的方式。虽然加密物理硬盘和加密虚拟硬盘,在使用上没啥明显区别。但是虚拟硬盘只是一个数据文件,备份很方便。还可以把这个数据文件放在U盘上,在多台电脑之间公用——就像移动硬盘一样。
9 D  @2 @- q  P/ q
3 Z8 c: ?1 K$ Q6 N根据是否开源分类
5 [5 e2 z5 }* v$ A4 r* B# p, K1 Z, a" U4 p
有些加密工具是开源的,有些是闭源的。  W4 [$ a- X. a. W* `
% ^! k2 b" X, w, h; ~+ Y, u
显然,开源的比较爽。因为源代码开放,可以确保软件中没有暗藏后门,可以确保加密机制没有太明显的弱点。而且,开源软件通常也是免费滴。
- B' @3 W. `* m5 o/ C0 s
* x9 k- g$ g' P" j0 `8 q根据加密算法分类4 z1 }; _0 H& m! ?6 Z
, k% O- K1 c9 `$ K
有些加密软件使用“公开算法”,有些则使用“私有算法”。
0 Y. v) Z( \/ ^4 O, o$ ^6 O  U% @9 e/ T* `! f. H, B2 n- l
略懂密码学的网友应该晓得,使用公开算法比较靠谱。毕竟,公开算法(尤其是那些知名且使用广泛的)是经过许多密码学大牛严格论证的,确保其算法设计没有明显的缺陷。
5 m& N, C. a7 `- P# u
7 Y# J7 `  y) [如何选择?
& }" D/ g' q! \; |; R# {- p3 I' ~& k3 I: p0 g5 V4 T4 d& E
那如何选择文件加密工具捏,我觉得如下几点要注意:
, G8 v. m# Y5 c! ]- B, g  D1 L6 g  j. Z( R
1. 知名度高,口碑好
9 J9 d1 |+ k  T0 j! }% ~2. 有较多的用户使用& v6 g- {. ~2 B4 E
3. 支持主流的加密算法
$ N" ~4 w/ z. i' M6 t3 @0 G, p4. 最好是支持虚拟盘/虚拟分区
- d- J6 d* S+ A' R7 V5. 最好是免费且开源的
( K( ^, d4 p% Y+ L7 n$ O6. 最好支持多种操作系统; L$ m) H# ]- i9 m
( y2 o7 @3 u8 K
这里推荐 VeraCrypt, 虽然推荐 VeraCrypt 这个软件,但要说的是我个人还在使用 TrueCrypt,即便它的官方网站上写着“Using TrueCrypt is not secure as it may contain unfixed security issues”,这不是说TrueCrypt本身出现漏洞,因为综合整个网页的内容是想表明开发团队受到来自政府的压力,所以原本的匿名开发团队撒手不干了,临结束还调侃了下美国安全局,它想说的其实是“WARNING: Don't use TrueCrypt,because it is under the control of the NSA”。 1 c2 s+ K% e6 \9 m: l1 @+ d3 r0 S0 V

" r1 F4 [7 Q+ G! X小结  o" B2 B7 ]$ [9 T4 {" r9 B( C% |
8 N7 S$ A- `9 W$ W
如果你选择的加密工具足够好,那么,前面提及的通过压缩软件或EFS加密导致的各种麻烦,大都可以避免。反之,如果你选择的工具不好,不光容易泄露敏感数据;万一工具的质量没保证(比如软件有Bug),还会损坏你的数据,导致你的敏感数据丢失。


梦纸 「出类拔萃」 2020-6-9 20:05 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

活跃论坛气氛~求个脸熟
您需要登录后才可以回帖 登录 | 注册账号  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2020-9-25 20:20 , Processed in 0.042895 second(s), 24 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表