一个人走在路上,形单影只/回首望去,大家都留在远方/回过头来继续前行,这便是所谓坚强 收藏本站
登陆 / 注册 搜索

阅读: 1.2K   回复: 1

[# 系统基础] 文件加密扫盲

空谷幽兰 踏破虚空 2020-6-9 20:00 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家 论坛元老
一、引子
+ j" b) S" T! |' S" m4 [% t/ D
2 |& A9 V) i% H+ j" Z  I/ A0 ?$ N5 G+ B, X& p* n' x' E% d
话说 2011 年美国佬把拉登灭掉之后不到一星期,从拉登老巢缴获的电脑资料,就开始在美国政府的网站曝光了(比如拉登的生活录像)。另据美国某安全官员说,缴获的电脑资料之多,抵得上一个小型图书馆。单从这点可以判断出:拉登同学对自己手头的存储设备(比如硬盘),没有进行足够强度的加密处理。, p" |1 E" k3 ~4 {% b" G

2 q) ?: z; X3 S" r. @: d( X
文件加密扫盲 data-encryption.jpg

9 z1 l' O  m6 Y* Y0 T; v这令我很吃惊啊!——堂堂的恐怖大亨,竟然连这点常识都没有啊?!
3 y/ b9 p4 r0 p# g
' v8 ]7 }7 E( j- S) u# R想当年,陈冠希同学就是因为疏忽了数据加密,导致艳照满世界流传,不光搞臭了一堆女明星,也造福了无数男网民。这回,基地组织估计要步陈同学的后尘了——区别在于,这次倒霉的是基地组织的残余势力,受益的是美国情报机构。
* A1 ^! I( O7 s6 O
) s$ ]4 K9 w5 l: A6 n  i二、文件加密的重要性* E" r" K# l9 J* o7 _  q  B2 D5 T

1 b, Z9 G3 k, q5 ], n. B  g* {; q有些同学以为,自己既不是影视明星,又不是恐怖分子,不需要采用文件加密之类的工具,那就大错特错啦。下面我来大致聊聊,文件加密的用武之地。2 e/ ^0 E9 O9 }2 d' {

: s5 p4 E, K" X# i- ^3 B1 T1.防范失窃& X: H( f5 S3 e$ m4 p* n
" ?( R% N7 S( L. U1 \2 \; J3 k
这年头,笔记本电脑、平板电脑越来越流行,而这类便捷的移动设备,也增加了丢失的概率。一旦你的移动设备丢失,存储在上面的个人敏感信息就有暴露的风险。比如用浏览器保存的登录口令、邮件客户端存储的私人邮件、等等。如果你的敏感信息是加密的,失窃后的风险就大大降低。
$ }5 i! G. H( d# i+ p. W
4 {3 z; D& ]5 h0 j2.保存个人隐私* z0 U1 z; l' }9 Y% T* u

, d2 n% l' |5 U, S, y/ {0 J. c. e很多人的家用电脑,都是几个家庭成员共用的。你可能会有一些个人隐私的信息,不希望被其他家庭成员看到。比如你上网下载的毛片、艳照、等,多半不希望被你父母或子女看到。这时候,文件加密就可以防止你的隐私外泄。5 o3 ~, @& T+ ^6 v! W+ s
  V' D. P/ S( b' r+ f3 k
3.加密备份数据
7 c9 b% s! `- m" L8 l6 f# j1 R6 C; e8 X' R  X
很多同学把电脑中的数据备份到移动硬盘上。有些同学觉得放家里的移动硬盘还不保险(万一家里遭火灾,一样废掉)。正好近几年,"云"的概念炒得很热。所以,那些忧患意识很强的同学,就开始考虑用"云存储"(俗称网盘)来做异地备份。
+ b- T: ?3 }8 u9 m, D- g
5 Z) R7 x. w: h一旦你把数据备份到"云端",就得考虑加密问题了。假如你用的是国内公司提供的网盘,那你一定得小心。因为敏感国是很关心屁民的隐私滴(具体的原因,你懂的5 |% e  d  i' `

3 X, n' Z: S1 x" e如果你把数据备份到国外的网盘,也未必安全。
& d; W/ \8 D! w2 H+ f4 b
6 I) g7 |/ C9 h5 @7 |1 D# z7 o7 c8 N4 z接下来,我把几种常见的加密方式介绍一下,并分析各自的优缺点。( p% D! M3 w) [& k7 L: X
/ v9 t2 \3 u% K) i" ?5 A4 _# |
三、使用压缩软件
3 F$ y! @3 u! v% G; m9 L$ o/ f& y/ ^' ?9 w
我发现很多人(尤其是菜鸟用户),首先想到的加密方式,就是把敏感文件用压缩工具(比如 7zip、WinRAR)压缩一下,并设置一个口令。- ]# ]3 |( a. p3 u( N
  ]) {: f- ~- a8 V
1.优点$ @. u" r& ]' s' {* i
% g7 x, I. C* C1 V& q: e
优点1——需要额外安装软件。0 Q$ V% O: I$ r% d; t) w8 Q
压缩软件几乎是装机必备的软件。因此,使用这种方法,多半不需要额外安装其它软件。
; a3 Z: @. e+ M2 Q3 V0 [8 j# j9 N5 m1 m( ]3 A: Z. t& B
优点2——便于备份
) R  b5 l6 [$ c' j  M# U可以把压缩文件 copy 到任何地方,只要知道口令就能打开。
$ s+ e2 x' k* d* I- W
4 W! X6 T% h1 Y* W/ f  x2.缺点  u) w+ U; l# G6 O5 [5 y

% m4 U% ^( }6 ^, ?缺点1——加密强度没保证# q* ?- d  ?2 a  d7 A! @
压缩软件的强项是压缩,而不是加密。有些压缩软件,本身的加密强度不够,还有些压缩软件(比如早期的 WinZip),加密机制有缺陷,会导致攻击者轻易破解。
( H1 C/ D( A% e
5 c  w; r1 A4 ]" b% Z5 {# X4 t缺点2——查看文件不方便
; T" c8 {0 g# J+ B- `/ w每次要查看加密压缩包里的文件,都需要先解压出来,看完再删除。非常麻烦!
; o" o) N2 B  f9 p2 }4 ~+ m" O8 S$ C* q
缺点3——查看文件容易泄密
5 m9 @* U! u. N0 K% {如果你解压并看完之后,忘记删除敏感文件,就有泄密的风险。7 F0 s2 Y9 B: i

1 O2 H: {9 Z1 x; o( [即便你的每次看完都对敏感文件进行彻底删除,也还是不保险。因为很多压缩软件在解压时,会先解到系统的临时目录。而压缩软件在使用完临时目录后,仅仅进行简单删除,而不是彻底删除。这样的话,敏感文件的内容有可能还在磁盘上。专业人士通过反删除工具,还是有可能恢复出来。, V' R! b1 j: [: @; L& E3 t7 J' w7 u

" L  x$ z+ l# u. ^9 O1 S' e2 R5 w缺点4——功能非常有限
& S- L6 y1 r7 [$ p用压缩软件加密,无法加密整个分区,无法加密某些系统文件(比如 Windows 的虚拟内存文件)。" i; V, S4 y, @4 o! \
0 X( W4 a# X; b& w5 i# ?/ e) [
3.小结) ]: M/ n$ ]3 e5 m9 m8 A

" w4 n  [* _8 \+ U/ B5 j" u# T用这个方法来加密自己电脑中的大量文件,显然是不方便的。如果你要给朋友传递一些需要保密的文件(但是密级又不是很高),或许还可以用一用。
; a8 y0 p6 M' E; }" F/ E% i" N7 `1 i; s: ^3 g
四、使用EFS(文件系统级加密)9 r! m8 k  A& E/ K9 ~. J
8 R/ E1 r, }5 W5 H
稍微懂点技术的用户,可能会选择 EFS 来加密文件。& I: }% k0 B6 g5 l4 M! u- x

; F- q3 I3 k/ E( a9 `# ^( F所谓的 EFS,就是把加密功能集成到文件系统中。通常,EFS 都是跟操作系统用户绑定的。某个用户加密的文件,只有该用户能看。也就是说,只要你能用此用户登录到系统中里,也就可以打开 EFS 加密的文件。考虑到 Windows 系统的用户居多,以下仅介绍 Windows 的 EFS。9 L0 J; ]8 z$ q* M* @

' f* T" t! H- ?" W" k. i对于 Windows 系统而言,从 Win2000 开始,就支持 NTFS 文件系统,也就具有了 EFS 的功能。你只要查看某个文件的属性,在“属性”对话框中点“高级”按钮,即可看到如下的“高级属性”对话框。勾选“加密内容以便保护数据”,即可完成对该文件的加密。* s, c; v9 J- E8 M% V* G4 q6 T
8 a( d1 J& ]) ]' P, O
文件加密扫盲 Image1.png
6 n/ U5 g$ ~1 e+ z4 V2 I
1.优点
- s/ G) @5 \/ Z/ Z9 _  U3 f, @
. Q' R3 L7 E, Z* o; R* |1 k6 D优点1——需要安装额外的软件! q4 a& ~9 Q* s, ]6 c
只要你的文件分区是 NTFS 格式,就可以使用 NTFS 的 EFS 功能。
9 y0 D+ z: v! }3 u% o
; C& ^* k4 \/ m0 k9 M! E) Y! E优点2——加密强度有保证
9 v% e7 N, j3 y# Z我没有仔细研究 NTFS 的 EFS 的加密机制。不过捏,像微软这种级别的公司,搞出来的加密机制,强度是不会太弱的。3 Z- D  Z# V  }, n5 o( X8 w" D- J
/ H' a6 u/ \- C7 K- y
优点3——查看方便
$ D+ B# e  G  s: \) f由于 EFS 直接集成到文件系统,因此你查看加密文件跟查看普通文件,没有任何区别。
  l+ Q- i% C2 Y0 T; C, P
6 y1 y! u% Y' z. `+ _  S4 z2.缺点
1 {) K3 g  O9 j. F& h6 h
' P  r- A0 D/ B& M7 Y! \4 r, U3 B缺点1——太依赖于当前系统
3 p* x) Q+ p7 T* h9 vEFS 的一个主要缺点,是太依赖当前的系统。如果你没有导出密钥,一旦系统重装了,那你就无法再访问被 EFS 加密的文件了。即便你用同样的安装盘重装,安装的时候使用同样的用户名和口令,也不行。更加神奇的是,即便你事先用 Ghost 把原来的系统分区克隆出来,再恢复回去,那些 EFS 加密过的文件,也可用啦!
  c  |7 v- @9 c/ F* E+ s
6 u  D" ]0 l+ Y- m缺点2——没有独立的认证方式/ O8 `7 x7 G- G; W+ m5 w3 j
前面提到了,EFS 依赖于操作系统本身的用户认证。如果你和家人共用一台电脑的同一个系统用户,那这种加密方式形同虚设。
+ H& H7 R! j: `* y( V& R/ l6 q4 s" }& f1 T& |& ~0 }
缺点3——备份密钥的麻烦8 H* Q8 Y! Y- c; m2 x( _
比方说,你把某个移动硬盘的文件用 EFS 加密。如果你希望在另外一台电脑上也能查看该 EFS 加密的文件。那么你必须先在加密的那台电脑中把秘钥导出,然后在第二台电脑导入。具体的操作步骤极其麻烦。如果你打算重装系统,也要搞这套复杂的秘钥导出步骤。(从 Vista 开始,密钥的导入/导出步骤简化了很多), ?, y* l. {: ?: J

9 M8 m  p9 ~' s$ g) e1 {5 l2 ^缺点4——无法跨操作系统和文件系统& |8 v8 F" z% V. L* E! A
比如 NTFS 的 EFS,显然只能用于 NTFS 分区,FAT 分区(FAT16、FAT32)用不了。& I8 G3 h: `% V  l3 w  f8 J9 x/ |
另外,Windows、Linux 都有各自的 EFS 加密功能,互相之间是不能混用的。比如你一台 Windows 和一台 Linux,想在这两台电脑之间共用一个 U 盘,那 EFS 加密的方式就行不通。1 s! @# U) h1 t1 k. _1 g. n
; y. e4 V$ ^$ ^+ _0 @+ h
3.小结: x7 _% F- ]! p& t  ?

, [( B. ^- O& `9 {* K% kEFS 的方式,对于防范电脑失窃,还是蛮方便滴;但对于另外几种用途,EFS 就太方便啦。
/ V0 A4 Q. x! S3 H$ p) A% E) M) ~* F5 q& g% L; j! h+ Z
&#补充说明一下:自从 Vista 开始,Windows 内置了另外一种文件加密机制——BitLocker。它比传统的 EFS 有更多优点:增加了多种认证方式,用户界面更友好。但是,仅能用于 Vista 及之后的 Windows 系统,而且对具体的版本还有限制(据说仅限于 Enterprise 版和 Ultimate 版,不爽)。
) ]2 J& `% y& `' r# L  e7 N" ]8 y" j
五、专门的文件加密软件) M3 Q; O8 G; [
2 L6 {. I/ X3 G( N
从前面的介绍可以看出,上述这几种方式,都有不少缺点。有些缺点还很要命。现在,我要介绍今天的重点——基于专门的文件加密工具进行加密。
" ?' [1 \8 I- l3 L0 p# P4 \) _+ [$ [$ R
根据加密对象分类% F3 \; D! N1 T9 Z# R+ l) m
5 R% G( Y  l( |
根据被加密对象的不同,大致有如下几种加密类型。有些加密工具,可以同时支持其中的几种。  l7 Z$ B* h% U

- }& U' L  a9 C7 V0 y% j* l0 Y1. 针对文件/文件夹的加密2 @9 x$ A! s4 Y5 G
这种好理解,就是可以选择某几个文件或目录,然后对其进行加密。每一个文件/目录,都可以设置单独的认证信息(通常用口令)。8 [$ h) M, V! l  l
以文件/目录为单位进行加密,一旦文件/目录的数量多了,管理起来不方便。' W1 {8 {+ d& L; d- U; E
/ @% i. D; }. o' ?5 w; K# K+ g& u
2. 针对物理硬盘的加密
4 K9 s) r8 |+ I3 n. G这种方式,就是把整个硬盘,或者硬盘的某个分区进行加密。如果你想访问该硬盘或者分区,需要通过认证(通常是输入口令)。认证之后,该硬盘可以像普通硬盘一样使用了。因此,即便别人拿到你的硬盘后(比如电脑被偷),也得不到被加密的数据。( C" n6 B5 S$ a4 K# n) D
& C9 l3 P5 t+ L
3. 针对虚拟硬盘的加密
; [; h  Y, r: c* g& t* s这种方式,说起来比较复杂。, R4 \- l8 c1 m. E8 B: E
4 D- n2 \  Y/ U, f4 T4 W
你可以通过加密软件,创建出一个虚拟硬盘。这个虚拟硬盘其实对应到一个你物理硬盘上的一个文件。你往这个虚拟硬盘上写入的数据,(经过加密之后)都存储在这个文件中。你创建的虚拟硬盘有多大,这个数据文件就有多大。$ _7 c5 c$ r( L

  b" I2 F, X& X5 M- r* c0 Q$ z在使用上,这种方式跟加密物理硬盘类似。要先通过认证才能使用。认证之后,就跟普通的硬盘没啥区别了。你一样可以对它进行分区(虚拟硬盘上的分区,就是虚拟分区),一样可以在上面安装软件。* s! l* h% V" k7 P9 V

; B! Y0 g2 I* l/ W( [! A上述3种方式,我比较喜欢"虚拟硬盘/虚拟分区"的方式。虽然加密物理硬盘和加密虚拟硬盘,在使用上没啥明显区别。但是虚拟硬盘只是一个数据文件,备份很方便。还可以把这个数据文件放在U盘上,在多台电脑之间公用——就像移动硬盘一样。
( p- a5 r( f. [) M( R8 K
4 T6 H; o. t2 l/ `& z根据是否开源分类) {' t& i7 H, [( [* _: R
5 f" i, L! R, p+ x( N' u
有些加密工具是开源的,有些是闭源的。: u- W! D% x) s9 w9 c
  b6 X" q8 i  J; n: ~
显然,开源的比较爽。因为源代码开放,可以确保软件中没有暗藏后门,可以确保加密机制没有太明显的弱点。而且,开源软件通常也是免费滴。
& h, j4 T! g& m9 `% q6 A* L& B, d" m! o0 a0 |" r
根据加密算法分类
, }* r6 X, e+ N
2 a6 ?: e* n1 m) G' N有些加密软件使用“公开算法”,有些则使用“私有算法”。* k4 ?9 m& _* B" K* `9 n

1 _* Q3 k6 S5 t* W" Y- n略懂密码学的网友应该晓得,使用公开算法比较靠谱。毕竟,公开算法(尤其是那些知名且使用广泛的)是经过许多密码学大牛严格论证的,确保其算法设计没有明显的缺陷。
: s- z/ A. g5 Z/ q/ P( Z: r1 c& ^0 t9 g/ {7 d/ W6 T
如何选择?
" w3 Z* G1 {* N5 Q: {) x+ N- c8 `& ~6 m+ \" Y/ l& ~) `
那如何选择文件加密工具捏,我觉得如下几点要注意:
% q. ?& S* m6 a
, y9 k6 b$ F0 q* D! I1. 知名度高,口碑好
  W0 m5 A9 u2 p; S3 O! X9 h2. 有较多的用户使用1 L! {+ L1 L7 M9 B2 h7 K' W
3. 支持主流的加密算法
' w1 I* X# r# B; ]; u3 e) h4. 最好是支持虚拟盘/虚拟分区- k7 n! c4 Z5 r& E' R
5. 最好是免费且开源的
' z% \& ]' ~% k" t( M# e5 N6. 最好支持多种操作系统% X* Y$ z' V- o% z+ r  U
- A2 N( }9 ~: u! K! a
这里推荐 VeraCrypt, 虽然推荐 VeraCrypt 这个软件,但要说的是我个人还在使用 TrueCrypt,即便它的官方网站上写着“Using TrueCrypt is not secure as it may contain unfixed security issues”,这不是说TrueCrypt本身出现漏洞,因为综合整个网页的内容是想表明开发团队受到来自政府的压力,所以原本的匿名开发团队撒手不干了,临结束还调侃了下美国安全局,它想说的其实是“WARNING: Don't use TrueCrypt,because it is under the control of the NSA”。
1 h7 ^, |9 T1 M$ G
! A7 z- d2 ]2 m4 Z* Y% q小结. }* Q9 w6 _4 l6 n

! H1 \0 l: r$ o/ |如果你选择的加密工具足够好,那么,前面提及的通过压缩软件或EFS加密导致的各种麻烦,大都可以避免。反之,如果你选择的工具不好,不光容易泄露敏感数据;万一工具的质量没保证(比如软件有Bug),还会损坏你的数据,导致你的敏感数据丢失。
上一篇
下一篇


梦纸 「出类拔萃」 2020-6-9 20:05 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

活跃论坛气氛~求个脸熟
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2021-5-6 23:15 , Processed in 0.031302 second(s), 21 queries , Redis On.

© 2015-2021 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表