真相只有一个! 收藏本站
登陆 / 注册 搜索

阅读: 2.1K   回复: 1

[# 系统基础] 文件加密扫盲

空谷幽兰 踏破虚空 2020-6-9 20:00 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家 论坛元老
一、引子
- q* c/ b; _: F/ o1 F5 y7 k8 W. L; g* g) @

0 M, R+ \; W5 ]; e. J话说 2011 年美国佬把拉登灭掉之后不到一星期,从拉登老巢缴获的电脑资料,就开始在美国政府的网站曝光了(比如拉登的生活录像)。另据美国某安全官员说,缴获的电脑资料之多,抵得上一个小型图书馆。单从这点可以判断出:拉登同学对自己手头的存储设备(比如硬盘),没有进行足够强度的加密处理。
: ?& t. ?7 _! r: t$ k5 Q( [/ Q, x% p5 u( X
文件加密扫盲 data-encryption.jpg
+ b. P2 I: ?2 Z4 {
这令我很吃惊啊!——堂堂的恐怖大亨,竟然连这点常识都没有啊?!
# P6 F/ b7 ~, I7 b" A- _, N
. A' \4 I, ?, m# o2 N想当年,陈冠希同学就是因为疏忽了数据加密,导致艳照满世界流传,不光搞臭了一堆女明星,也造福了无数男网民。这回,基地组织估计要步陈同学的后尘了——区别在于,这次倒霉的是基地组织的残余势力,受益的是美国情报机构。8 t0 f! A- A) Y# m
: o* _, V+ l& d6 M' S0 C
二、文件加密的重要性: \3 J! ^& I1 }1 V& m

( M4 @9 e* m. o0 e- d0 n# T* H有些同学以为,自己既不是影视明星,又不是恐怖分子,不需要采用文件加密之类的工具,那就大错特错啦。下面我来大致聊聊,文件加密的用武之地。
$ N! k5 s& x3 u" a( B* E% p5 M4 E: D. c8 q9 j  L. q
1.防范失窃& {9 W1 {* @" c8 ~

, t0 \" i$ i- x这年头,笔记本电脑、平板电脑越来越流行,而这类便捷的移动设备,也增加了丢失的概率。一旦你的移动设备丢失,存储在上面的个人敏感信息就有暴露的风险。比如用浏览器保存的登录口令、邮件客户端存储的私人邮件、等等。如果你的敏感信息是加密的,失窃后的风险就大大降低。: @9 {( c" B8 F  Z3 c9 H9 J8 @
$ B' w% k5 e2 F, r3 S) y6 @
2.保存个人隐私
1 q1 f3 {0 A* N$ m0 F4 D2 C6 `0 A. f) N
很多人的家用电脑,都是几个家庭成员共用的。你可能会有一些个人隐私的信息,不希望被其他家庭成员看到。比如你上网下载的毛片、艳照、等,多半不希望被你父母或子女看到。这时候,文件加密就可以防止你的隐私外泄。4 q% z" Z- ~1 E! S& S" ~

4 q$ {" k4 M% h3 G3.加密备份数据
! C$ h, d3 n( Y$ @4 q% D6 _2 v* n4 A7 m
很多同学把电脑中的数据备份到移动硬盘上。有些同学觉得放家里的移动硬盘还不保险(万一家里遭火灾,一样废掉)。正好近几年,"云"的概念炒得很热。所以,那些忧患意识很强的同学,就开始考虑用"云存储"(俗称网盘)来做异地备份。
' E$ J. D8 u' J0 u9 N
1 w, m! P0 D) v$ E4 J) o! _一旦你把数据备份到"云端",就得考虑加密问题了。假如你用的是国内公司提供的网盘,那你一定得小心。因为敏感国是很关心屁民的隐私滴(具体的原因,你懂的
7 e: b- e/ _6 @/ o  e6 @
& V& i& E$ E: L& k9 N7 ]4 U如果你把数据备份到国外的网盘,也未必安全。5 b& B  m/ C) q& \
; R+ X4 R* E$ c' e/ E: u9 l+ g) x0 y; O
接下来,我把几种常见的加密方式介绍一下,并分析各自的优缺点。
1 N7 Y3 B# C0 ~: B" g
) A' ^. A+ Q7 ~0 b$ X0 R三、使用压缩软件
# e( e" _: q5 x: w5 s
$ c* O2 `4 T8 G& m我发现很多人(尤其是菜鸟用户),首先想到的加密方式,就是把敏感文件用压缩工具(比如 7zip、WinRAR)压缩一下,并设置一个口令。
/ g9 P! i9 K1 v3 |  b" i/ O: Z' G% e/ `+ j* z6 U+ R% Z
1.优点
8 e' a8 K$ `% Q$ {/ Q. K# ]! [% I: o+ h! h; U: U
优点1——需要额外安装软件。, \8 ?3 h& x( f6 A, f0 d
压缩软件几乎是装机必备的软件。因此,使用这种方法,多半不需要额外安装其它软件。, v# S6 ~( s% |/ K6 G2 m
) P% y" O0 _; {8 c2 W5 O, G( }
优点2——便于备份6 |1 ?" Q* G2 n" u5 p! n
可以把压缩文件 copy 到任何地方,只要知道口令就能打开。: ]" |( H6 Z9 e% J* B9 [
" w! z" c: v, g; {6 M1 Z
2.缺点
$ b2 \7 Q" ^. {* ~9 Y3 L$ t% t" W, y' g8 Q. E, Q
缺点1——加密强度没保证
5 Z6 G; w- p0 p压缩软件的强项是压缩,而不是加密。有些压缩软件,本身的加密强度不够,还有些压缩软件(比如早期的 WinZip),加密机制有缺陷,会导致攻击者轻易破解。4 {; w  O3 x6 O5 {2 x1 b9 @( x

/ C! r, R4 V% ^8 V缺点2——查看文件不方便5 `- i- y7 G0 U7 R2 P, [3 ^' i
每次要查看加密压缩包里的文件,都需要先解压出来,看完再删除。非常麻烦!
& ~$ A- G# G: s0 A9 K& f
- W- w% x' l* `; F缺点3——查看文件容易泄密+ a" K  T9 x/ X
如果你解压并看完之后,忘记删除敏感文件,就有泄密的风险。
" T; C8 z5 p, T) v2 \1 W3 o( s* L9 [& Z( }" }0 z
即便你的每次看完都对敏感文件进行彻底删除,也还是不保险。因为很多压缩软件在解压时,会先解到系统的临时目录。而压缩软件在使用完临时目录后,仅仅进行简单删除,而不是彻底删除。这样的话,敏感文件的内容有可能还在磁盘上。专业人士通过反删除工具,还是有可能恢复出来。
' L# a4 W7 j& x% G- V8 F' `/ I
缺点4——功能非常有限
& x3 p. F3 Q8 Q' F/ S用压缩软件加密,无法加密整个分区,无法加密某些系统文件(比如 Windows 的虚拟内存文件)。2 p5 c* o. u6 \
# T0 V( \5 O; e8 K# ?
3.小结
) J% B4 N1 X( a+ ]1 ?- ]" n$ I9 _" o. F2 ]' D5 X
用这个方法来加密自己电脑中的大量文件,显然是不方便的。如果你要给朋友传递一些需要保密的文件(但是密级又不是很高),或许还可以用一用。
/ W3 S1 j; f& Y* z: }1 z: \% F2 P2 R+ [& D& O+ }
四、使用EFS(文件系统级加密)0 [( \- _; q$ u3 [

: o) _" w/ N7 R5 ?) z6 N稍微懂点技术的用户,可能会选择 EFS 来加密文件。
% E+ M" r- k! P' ?3 i7 Q6 P8 O$ H/ O3 z3 G+ W
所谓的 EFS,就是把加密功能集成到文件系统中。通常,EFS 都是跟操作系统用户绑定的。某个用户加密的文件,只有该用户能看。也就是说,只要你能用此用户登录到系统中里,也就可以打开 EFS 加密的文件。考虑到 Windows 系统的用户居多,以下仅介绍 Windows 的 EFS。) j3 g- R: w! {! a* S8 x
" O% }* V) E" {$ E* a9 y0 C
对于 Windows 系统而言,从 Win2000 开始,就支持 NTFS 文件系统,也就具有了 EFS 的功能。你只要查看某个文件的属性,在“属性”对话框中点“高级”按钮,即可看到如下的“高级属性”对话框。勾选“加密内容以便保护数据”,即可完成对该文件的加密。' K6 P" D6 e! L8 A0 E! N2 v

" [3 Q2 ^: o+ ?% X* I
文件加密扫盲 Image1.png

9 G7 S# v$ S$ W1.优点
$ O; p% ]& L( W" R7 k+ S1 n7 ?
  k' W) |! a/ Y; R/ I7 f优点1——需要安装额外的软件
7 k' H& o4 M5 R. ]; E. T7 H  d3 z只要你的文件分区是 NTFS 格式,就可以使用 NTFS 的 EFS 功能。1 @( S/ v. x9 g6 k3 w) Q

9 G, ?8 ^  [, F( c优点2——加密强度有保证. Y0 K3 Z! d1 \9 b  r) I
我没有仔细研究 NTFS 的 EFS 的加密机制。不过捏,像微软这种级别的公司,搞出来的加密机制,强度是不会太弱的。2 b7 e3 \) u& I& ?) i; Y% I; ]

4 Y) \. l" @) }7 U$ F8 I优点3——查看方便3 _# T, L* _' D5 |/ t+ `- [
由于 EFS 直接集成到文件系统,因此你查看加密文件跟查看普通文件,没有任何区别。
4 T, J' r- t. D" j2 `1 k/ N) ~+ L! S' M9 V3 ^
2.缺点% k4 }8 A+ w2 f& @& {# N4 j

- \$ h( m6 p5 e7 l2 |缺点1——太依赖于当前系统8 C; _" j( M& j
EFS 的一个主要缺点,是太依赖当前的系统。如果你没有导出密钥,一旦系统重装了,那你就无法再访问被 EFS 加密的文件了。即便你用同样的安装盘重装,安装的时候使用同样的用户名和口令,也不行。更加神奇的是,即便你事先用 Ghost 把原来的系统分区克隆出来,再恢复回去,那些 EFS 加密过的文件,也可用啦!1 R& B5 X" J$ p" ^% w" B% n
: h  |* j, U$ Z8 ]! D* D
缺点2——没有独立的认证方式' Z9 J- |/ k4 _) \5 m' ^
前面提到了,EFS 依赖于操作系统本身的用户认证。如果你和家人共用一台电脑的同一个系统用户,那这种加密方式形同虚设。# k  f- f1 u' j1 H# Y5 C5 K) V& O
# i6 E8 k3 e, M
缺点3——备份密钥的麻烦) m, {1 P( i2 D  H! o* b
比方说,你把某个移动硬盘的文件用 EFS 加密。如果你希望在另外一台电脑上也能查看该 EFS 加密的文件。那么你必须先在加密的那台电脑中把秘钥导出,然后在第二台电脑导入。具体的操作步骤极其麻烦。如果你打算重装系统,也要搞这套复杂的秘钥导出步骤。(从 Vista 开始,密钥的导入/导出步骤简化了很多)
' z; S# q0 j# z  n0 {& n# z# T6 X6 z
缺点4——无法跨操作系统和文件系统! P) o8 z6 Z6 R1 T; n/ P
比如 NTFS 的 EFS,显然只能用于 NTFS 分区,FAT 分区(FAT16、FAT32)用不了。
$ \5 ]9 {! G2 h# V& c另外,Windows、Linux 都有各自的 EFS 加密功能,互相之间是不能混用的。比如你一台 Windows 和一台 Linux,想在这两台电脑之间共用一个 U 盘,那 EFS 加密的方式就行不通。. i' ^( o: P2 T, T( U1 n

$ d! r& r# u9 V: {3.小结
1 i9 ]' w$ F0 O' H+ J+ n4 ?3 k
% W4 E! C4 Z, E9 l) BEFS 的方式,对于防范电脑失窃,还是蛮方便滴;但对于另外几种用途,EFS 就太方便啦。
) R# x# R* |" q. P4 c$ @4 p% \0 i5 A
&#补充说明一下:自从 Vista 开始,Windows 内置了另外一种文件加密机制——BitLocker。它比传统的 EFS 有更多优点:增加了多种认证方式,用户界面更友好。但是,仅能用于 Vista 及之后的 Windows 系统,而且对具体的版本还有限制(据说仅限于 Enterprise 版和 Ultimate 版,不爽)。. w+ g3 D6 k" e$ w/ q9 P. s0 s
8 F8 z" f: d  v; L" K* g" U. U
五、专门的文件加密软件
4 w# Q  q0 [/ J& z/ e/ F' T( D5 f& z+ q4 }3 T/ g  e
从前面的介绍可以看出,上述这几种方式,都有不少缺点。有些缺点还很要命。现在,我要介绍今天的重点——基于专门的文件加密工具进行加密。) q0 ^& a5 x) [$ B
! H5 ?5 m4 ^5 v
根据加密对象分类" Z# o1 [" Z8 e4 c

2 r. \& K! f# l; G; q根据被加密对象的不同,大致有如下几种加密类型。有些加密工具,可以同时支持其中的几种。
1 q7 T/ @9 H* K! E; F5 J% W3 G8 H3 o9 w2 _! E) M
1. 针对文件/文件夹的加密5 }7 i1 _4 b3 `
这种好理解,就是可以选择某几个文件或目录,然后对其进行加密。每一个文件/目录,都可以设置单独的认证信息(通常用口令)。: @* A) X# U8 F! o% |# N
以文件/目录为单位进行加密,一旦文件/目录的数量多了,管理起来不方便。6 a3 ?  V4 ?. W: P- m; g0 {
$ v3 |& Z# M2 K" I
2. 针对物理硬盘的加密
( V( V- m4 c6 x2 l这种方式,就是把整个硬盘,或者硬盘的某个分区进行加密。如果你想访问该硬盘或者分区,需要通过认证(通常是输入口令)。认证之后,该硬盘可以像普通硬盘一样使用了。因此,即便别人拿到你的硬盘后(比如电脑被偷),也得不到被加密的数据。4 ~, N6 Y7 p: }. t) S  z" v
4 r* w3 c: p, G9 z5 X, L
3. 针对虚拟硬盘的加密/ k! b9 ~$ c: S: q
这种方式,说起来比较复杂。
2 u& v4 B6 s( B0 d- `
5 n: L4 ~# O% _. d你可以通过加密软件,创建出一个虚拟硬盘。这个虚拟硬盘其实对应到一个你物理硬盘上的一个文件。你往这个虚拟硬盘上写入的数据,(经过加密之后)都存储在这个文件中。你创建的虚拟硬盘有多大,这个数据文件就有多大。$ R$ k5 Y+ E  Q; w! F

2 ^6 e- p2 ?6 e3 S. e在使用上,这种方式跟加密物理硬盘类似。要先通过认证才能使用。认证之后,就跟普通的硬盘没啥区别了。你一样可以对它进行分区(虚拟硬盘上的分区,就是虚拟分区),一样可以在上面安装软件。5 \! R( R. h8 Q( p. {
( Y6 E' Q0 c0 q2 M+ b# o! Q* N
上述3种方式,我比较喜欢"虚拟硬盘/虚拟分区"的方式。虽然加密物理硬盘和加密虚拟硬盘,在使用上没啥明显区别。但是虚拟硬盘只是一个数据文件,备份很方便。还可以把这个数据文件放在U盘上,在多台电脑之间公用——就像移动硬盘一样。
3 `- I# m9 L* P( s; h/ i6 l6 B2 k; v; D. l1 K0 s# A7 s/ X
根据是否开源分类: _. R9 m7 y: r) C

$ S8 s- V  T% y8 v, N有些加密工具是开源的,有些是闭源的。" e7 W: E) Q* e- }0 {

5 p* _. v1 z: }* E显然,开源的比较爽。因为源代码开放,可以确保软件中没有暗藏后门,可以确保加密机制没有太明显的弱点。而且,开源软件通常也是免费滴。
  {6 H0 W3 M. E$ J6 i* Q' K9 x
4 F- |  e5 X; |1 J# Y' Z根据加密算法分类
7 x- J) ]/ M7 R0 D7 C
, B) o. p: w% ]$ l4 X2 |! G有些加密软件使用“公开算法”,有些则使用“私有算法”。5 Q. b' F0 v! u1 Z7 c

$ B( \. F* q$ K2 Q1 g% {, E$ s' \略懂密码学的网友应该晓得,使用公开算法比较靠谱。毕竟,公开算法(尤其是那些知名且使用广泛的)是经过许多密码学大牛严格论证的,确保其算法设计没有明显的缺陷。
" G, G& K( c3 l9 D* }/ Z% f& c8 i0 l5 o
如何选择?6 r$ H. ?0 a+ g) K$ `, ]

' `+ n6 q( R2 z- t' c! w( ^2 O5 O: h那如何选择文件加密工具捏,我觉得如下几点要注意:1 I, H) `$ z3 T0 E* v

3 s! r7 K5 g# u; ~% ?) K8 U5 ]1. 知名度高,口碑好
" E3 A$ j" @/ l( X1 M2. 有较多的用户使用
4 f) U% x- @: E5 g+ ?/ p5 l" E( _3. 支持主流的加密算法9 d* ~% ^: h3 ?) J/ Q3 J2 D
4. 最好是支持虚拟盘/虚拟分区
% @% Y& B2 K3 e/ j4 M- S5. 最好是免费且开源的! V% b% ]8 ~& H. t. V
6. 最好支持多种操作系统
1 h/ s% B3 v6 [3 m* m! D
5 J% E: ^: ]$ M9 N( |0 a# E这里推荐 VeraCrypt, 虽然推荐 VeraCrypt 这个软件,但要说的是我个人还在使用 TrueCrypt,即便它的官方网站上写着“Using TrueCrypt is not secure as it may contain unfixed security issues”,这不是说TrueCrypt本身出现漏洞,因为综合整个网页的内容是想表明开发团队受到来自政府的压力,所以原本的匿名开发团队撒手不干了,临结束还调侃了下美国安全局,它想说的其实是“WARNING: Don't use TrueCrypt,because it is under the control of the NSA”。
7 j2 y' Q5 d7 ~) Q6 V0 e$ {$ i7 f' M0 a$ S' m
小结
7 r- b( s5 G8 \+ D7 q$ C% g. x# D) ?% h$ L" D5 U# V/ }8 p% g
如果你选择的加密工具足够好,那么,前面提及的通过压缩软件或EFS加密导致的各种麻烦,大都可以避免。反之,如果你选择的工具不好,不光容易泄露敏感数据;万一工具的质量没保证(比如软件有Bug),还会损坏你的数据,导致你的敏感数据丢失。
上一篇
下一篇


梦纸 「出类拔萃」 2020-6-9 20:05 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

活跃论坛气氛~求个脸熟
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2021-10-26 09:38 , Processed in 0.031502 second(s), 20 queries , Redis On.

© 2015-2021 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表