即使无法掌握未来,也请不要忘了明天。 收藏本站
登陆 / 注册 搜索

阅读: 866   回复: 1

[# 系统基础] 文件加密扫盲

空谷幽兰 仗剑天涯 2020-6-9 20:00 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家 论坛元老
一、引子& b4 z$ d$ q: s7 P) T; D& `- W
* s+ i) A) z! _* c9 ?! H+ G4 z

; q  Z' p" t: Y; t. q! @+ f话说 2011 年美国佬把拉登灭掉之后不到一星期,从拉登老巢缴获的电脑资料,就开始在美国政府的网站曝光了(比如拉登的生活录像)。另据美国某安全官员说,缴获的电脑资料之多,抵得上一个小型图书馆。单从这点可以判断出:拉登同学对自己手头的存储设备(比如硬盘),没有进行足够强度的加密处理。2 A+ u& G, e5 }  K" ]+ P

7 |: C, G0 a/ U/ X! X
文件加密扫盲 data-encryption.jpg

8 I7 J9 M4 R. ~9 y1 v7 g这令我很吃惊啊!——堂堂的恐怖大亨,竟然连这点常识都没有啊?!
( v9 y. C- N% q. d! e4 s
" i3 e: h9 Y5 p) r1 ~" w" N$ |0 @' w/ c想当年,陈冠希同学就是因为疏忽了数据加密,导致艳照满世界流传,不光搞臭了一堆女明星,也造福了无数男网民。这回,基地组织估计要步陈同学的后尘了——区别在于,这次倒霉的是基地组织的残余势力,受益的是美国情报机构。
- V5 X- X1 k: `9 [9 W+ R2 l5 h" H  Z# v. Z5 A
二、文件加密的重要性: C! F# I0 j. o9 ^$ ^+ z7 P

' o1 a7 G& X, I  A. G有些同学以为,自己既不是影视明星,又不是恐怖分子,不需要采用文件加密之类的工具,那就大错特错啦。下面我来大致聊聊,文件加密的用武之地。
& s& |1 j- s8 q
7 r6 e! t: c# [' H5 y$ B1.防范失窃( D( z, K- [: j% A2 }

8 `! M% n, c  m$ z: [这年头,笔记本电脑、平板电脑越来越流行,而这类便捷的移动设备,也增加了丢失的概率。一旦你的移动设备丢失,存储在上面的个人敏感信息就有暴露的风险。比如用浏览器保存的登录口令、邮件客户端存储的私人邮件、等等。如果你的敏感信息是加密的,失窃后的风险就大大降低。. [9 z+ C# {% z6 i1 s; j$ Y

& m" W" {0 x6 P! V2.保存个人隐私
; s2 [' C1 _6 ~" `' M4 s6 ?  ?
$ U' N5 f6 u# Q$ B0 E1 x很多人的家用电脑,都是几个家庭成员共用的。你可能会有一些个人隐私的信息,不希望被其他家庭成员看到。比如你上网下载的毛片、艳照、等,多半不希望被你父母或子女看到。这时候,文件加密就可以防止你的隐私外泄。: l# C' [3 s" N+ F1 G' D
. g) E7 @# {* m; S
3.加密备份数据
7 t5 O3 u  g+ u; N) M  N" o3 d$ G$ L1 |( ?* `
很多同学把电脑中的数据备份到移动硬盘上。有些同学觉得放家里的移动硬盘还不保险(万一家里遭火灾,一样废掉)。正好近几年,"云"的概念炒得很热。所以,那些忧患意识很强的同学,就开始考虑用"云存储"(俗称网盘)来做异地备份。* |6 [  @" F% H; X, w+ \# O
5 r0 q3 G8 _) V, X& s" D6 O
一旦你把数据备份到"云端",就得考虑加密问题了。假如你用的是国内公司提供的网盘,那你一定得小心。因为敏感国是很关心屁民的隐私滴(具体的原因,你懂的8 Y7 d# E5 h$ v( t& n

( e4 Z2 ]7 A8 b如果你把数据备份到国外的网盘,也未必安全。
" F7 I/ b, @, Z2 W- w  K+ h- m& S0 ^. D+ K5 y2 `
接下来,我把几种常见的加密方式介绍一下,并分析各自的优缺点。
" d/ N$ v7 S* P* M/ M, Y! u' W4 {9 j3 A! r$ z  I( o9 h, ^
三、使用压缩软件
0 i; i7 ?) p4 E/ N4 |" I6 I& X+ U7 f1 X# c  |
我发现很多人(尤其是菜鸟用户),首先想到的加密方式,就是把敏感文件用压缩工具(比如 7zip、WinRAR)压缩一下,并设置一个口令。
& n' n3 }6 h! {: }: @+ D7 \* L5 I: R! z8 K
1.优点) o* s/ j, G8 z$ `$ k& P

  q2 s4 \+ B4 {8 q. U优点1——需要额外安装软件。& O7 \8 |" y2 i
压缩软件几乎是装机必备的软件。因此,使用这种方法,多半不需要额外安装其它软件。
6 T) w: ?+ H1 k& \, q7 R
9 I. V: Q& M& S  v3 s: V优点2——便于备份4 R. q8 V4 \4 }$ i% g; H
可以把压缩文件 copy 到任何地方,只要知道口令就能打开。
* s5 r7 ]% T  g6 W8 z
. {& Z0 X. Y0 p2.缺点
' w5 z5 M" q4 D+ ~% v  b# Z+ ?. o3 f9 V% i
缺点1——加密强度没保证' S4 Z" W) z3 E9 L# w
压缩软件的强项是压缩,而不是加密。有些压缩软件,本身的加密强度不够,还有些压缩软件(比如早期的 WinZip),加密机制有缺陷,会导致攻击者轻易破解。
0 @6 S8 u( N" z) B# k" w
" u+ }6 ^" p' q# W% A8 b7 Q5 \& o缺点2——查看文件不方便
7 ?+ B% Y5 X5 P每次要查看加密压缩包里的文件,都需要先解压出来,看完再删除。非常麻烦!
" K8 V9 Q# @. I' a8 x# o3 L- ^/ D% V* @% C; X3 t* [( `
缺点3——查看文件容易泄密
" ^9 K4 C) w3 m) t! z2 D( T如果你解压并看完之后,忘记删除敏感文件,就有泄密的风险。
! U) d! J5 ?  W# y* A" _  Q% ?$ c4 ]! a8 a7 k+ d6 S$ L& f; C& K& N
即便你的每次看完都对敏感文件进行彻底删除,也还是不保险。因为很多压缩软件在解压时,会先解到系统的临时目录。而压缩软件在使用完临时目录后,仅仅进行简单删除,而不是彻底删除。这样的话,敏感文件的内容有可能还在磁盘上。专业人士通过反删除工具,还是有可能恢复出来。
8 J# j# G6 Y7 N2 M& {7 t1 ^, E8 \+ }
缺点4——功能非常有限
2 y" H. p6 [7 _: H4 S用压缩软件加密,无法加密整个分区,无法加密某些系统文件(比如 Windows 的虚拟内存文件)。% w/ G1 f# h5 w
) {- x* Y2 [( \# _: E/ l
3.小结
/ _$ f6 c6 Y6 R$ ?. I( Y3 ?. x) l7 g
用这个方法来加密自己电脑中的大量文件,显然是不方便的。如果你要给朋友传递一些需要保密的文件(但是密级又不是很高),或许还可以用一用。& C" x& j; H) D( t% e; O! M

0 z& z& B8 S" s% j四、使用EFS(文件系统级加密)2 n% O3 N- M( p) J, y; k: ]$ w

; y6 }+ o# `( H% o7 Z( ?: C' C稍微懂点技术的用户,可能会选择 EFS 来加密文件。9 A! Z$ N! L  L0 o" E2 s5 F

* M% C0 W1 s$ a: B  B9 l. f所谓的 EFS,就是把加密功能集成到文件系统中。通常,EFS 都是跟操作系统用户绑定的。某个用户加密的文件,只有该用户能看。也就是说,只要你能用此用户登录到系统中里,也就可以打开 EFS 加密的文件。考虑到 Windows 系统的用户居多,以下仅介绍 Windows 的 EFS。2 ^; p& O: ^& j# s' L2 ]
# A7 ~1 ^. K) V! r
对于 Windows 系统而言,从 Win2000 开始,就支持 NTFS 文件系统,也就具有了 EFS 的功能。你只要查看某个文件的属性,在“属性”对话框中点“高级”按钮,即可看到如下的“高级属性”对话框。勾选“加密内容以便保护数据”,即可完成对该文件的加密。
7 _% V( G( y* I4 K5 I! |, u+ C+ T2 N! G# F7 _7 {8 X
文件加密扫盲 Image1.png

' m- v; h! F3 g' v1.优点1 a1 s2 O' R0 s  R6 Y  l. k
0 v( P+ r4 ~. D! y* K
优点1——需要安装额外的软件
' n. }; Q/ h& _. U只要你的文件分区是 NTFS 格式,就可以使用 NTFS 的 EFS 功能。
" F8 F. C/ I2 \/ J8 ^; e4 \8 n6 v" j" _! b6 U* ?$ T. v7 S. X4 i
优点2——加密强度有保证8 c' \7 z2 g- ^5 U
我没有仔细研究 NTFS 的 EFS 的加密机制。不过捏,像微软这种级别的公司,搞出来的加密机制,强度是不会太弱的。
9 ~2 p7 k+ T5 z. o' {( `
: y" ^5 X( S( a优点3——查看方便% e9 e* F2 |( Z# T1 Y
由于 EFS 直接集成到文件系统,因此你查看加密文件跟查看普通文件,没有任何区别。2 F* {% ~6 S4 s0 O- ^2 I
$ R4 a& K) c) X+ a
2.缺点
/ r& F: I1 P2 _, Y, V3 J! A9 w: \+ h7 G
缺点1——太依赖于当前系统7 I5 _- o$ K8 d4 d' W8 m; }1 I
EFS 的一个主要缺点,是太依赖当前的系统。如果你没有导出密钥,一旦系统重装了,那你就无法再访问被 EFS 加密的文件了。即便你用同样的安装盘重装,安装的时候使用同样的用户名和口令,也不行。更加神奇的是,即便你事先用 Ghost 把原来的系统分区克隆出来,再恢复回去,那些 EFS 加密过的文件,也可用啦!
& J  h. e  \/ @" P6 ~$ [0 C# [
/ A4 P3 C7 v( b缺点2——没有独立的认证方式7 G, c% t# @9 z# R( l3 T, [
前面提到了,EFS 依赖于操作系统本身的用户认证。如果你和家人共用一台电脑的同一个系统用户,那这种加密方式形同虚设。
/ B8 N7 `' b3 h  G+ F: ]3 j
( |3 l- W  x5 T缺点3——备份密钥的麻烦+ o4 A  i2 L6 X3 D
比方说,你把某个移动硬盘的文件用 EFS 加密。如果你希望在另外一台电脑上也能查看该 EFS 加密的文件。那么你必须先在加密的那台电脑中把秘钥导出,然后在第二台电脑导入。具体的操作步骤极其麻烦。如果你打算重装系统,也要搞这套复杂的秘钥导出步骤。(从 Vista 开始,密钥的导入/导出步骤简化了很多)- ^& n- D. ]3 Y# {% a. e: y7 ?" D( @

% Q1 N  T+ `( O0 [' l# j) K* ^) f缺点4——无法跨操作系统和文件系统) j/ W1 e' H& N
比如 NTFS 的 EFS,显然只能用于 NTFS 分区,FAT 分区(FAT16、FAT32)用不了。# E$ v/ V  `' `& V/ [) F
另外,Windows、Linux 都有各自的 EFS 加密功能,互相之间是不能混用的。比如你一台 Windows 和一台 Linux,想在这两台电脑之间共用一个 U 盘,那 EFS 加密的方式就行不通。
: G, ^, M4 F( w, q. ~
5 x& g& X; b$ D+ n3 Z7 ~3.小结
1 D0 E, T# Y1 |% L/ v. a3 ?& w' }/ m1 a! N' b9 c
EFS 的方式,对于防范电脑失窃,还是蛮方便滴;但对于另外几种用途,EFS 就太方便啦。
1 S$ j- Q, l  r* d9 }5 i+ O
9 [2 N$ W; c& v$ h& l" z! E&#补充说明一下:自从 Vista 开始,Windows 内置了另外一种文件加密机制——BitLocker。它比传统的 EFS 有更多优点:增加了多种认证方式,用户界面更友好。但是,仅能用于 Vista 及之后的 Windows 系统,而且对具体的版本还有限制(据说仅限于 Enterprise 版和 Ultimate 版,不爽)。
+ V$ U3 ]# D" K1 t4 [8 r' b9 ~- Z$ d  X& S$ m8 i2 T/ w  x
五、专门的文件加密软件
8 [# Y& |5 u: B! Q/ _' s/ W/ ^6 Q$ A: ^2 a6 d; ?1 r' Y
从前面的介绍可以看出,上述这几种方式,都有不少缺点。有些缺点还很要命。现在,我要介绍今天的重点——基于专门的文件加密工具进行加密。! r! A2 A7 o$ t7 w: ?" B, f2 ^

7 L+ H: r+ R: T- A0 y" E4 K根据加密对象分类
* v& F- j2 ]( c$ i2 C$ X$ f8 f9 v2 t
根据被加密对象的不同,大致有如下几种加密类型。有些加密工具,可以同时支持其中的几种。3 ~/ ^; ]7 e5 O+ j
% f% }* U; i* _% m- I' x! Q6 B/ k
1. 针对文件/文件夹的加密
3 Y- o- w5 Q6 d! X3 n这种好理解,就是可以选择某几个文件或目录,然后对其进行加密。每一个文件/目录,都可以设置单独的认证信息(通常用口令)。
7 r9 B5 f8 q7 e/ J) C' d8 k以文件/目录为单位进行加密,一旦文件/目录的数量多了,管理起来不方便。  c5 t1 N# X# K' D; B) I
! V- F, }; y, p. C( Z0 `! }
2. 针对物理硬盘的加密4 h; f# R- S- A4 p; S& m
这种方式,就是把整个硬盘,或者硬盘的某个分区进行加密。如果你想访问该硬盘或者分区,需要通过认证(通常是输入口令)。认证之后,该硬盘可以像普通硬盘一样使用了。因此,即便别人拿到你的硬盘后(比如电脑被偷),也得不到被加密的数据。
) ~, C* |/ N  M# [1 l* X3 L3 u) I, P' S7 ~& d
3. 针对虚拟硬盘的加密
9 T* y. r- u1 i& ]这种方式,说起来比较复杂。6 H2 Y; ?; E* I: K' K# G" Z0 h

, k4 V4 L) J' a4 f& b你可以通过加密软件,创建出一个虚拟硬盘。这个虚拟硬盘其实对应到一个你物理硬盘上的一个文件。你往这个虚拟硬盘上写入的数据,(经过加密之后)都存储在这个文件中。你创建的虚拟硬盘有多大,这个数据文件就有多大。" u% U7 P- K# P6 @- W
( L5 W+ m7 r7 n$ R) W
在使用上,这种方式跟加密物理硬盘类似。要先通过认证才能使用。认证之后,就跟普通的硬盘没啥区别了。你一样可以对它进行分区(虚拟硬盘上的分区,就是虚拟分区),一样可以在上面安装软件。! K" Y' t: u& ~; I3 n/ r- B+ s

) Q' v+ s% V6 l0 P% C/ ]上述3种方式,我比较喜欢"虚拟硬盘/虚拟分区"的方式。虽然加密物理硬盘和加密虚拟硬盘,在使用上没啥明显区别。但是虚拟硬盘只是一个数据文件,备份很方便。还可以把这个数据文件放在U盘上,在多台电脑之间公用——就像移动硬盘一样。' \# r, U: k. P

, J+ H, i. k3 g* I3 K" M根据是否开源分类
* j8 {2 z( a7 |0 D7 X: C
9 D, t" |& y* N  o) u- J有些加密工具是开源的,有些是闭源的。
& `! w, g- b' A" {! ]. O% Y) O
& z$ u# [0 Y; {, T) g; r# G, U显然,开源的比较爽。因为源代码开放,可以确保软件中没有暗藏后门,可以确保加密机制没有太明显的弱点。而且,开源软件通常也是免费滴。& V1 u. f, }6 @5 j/ C  X: O2 @. S" M

* g5 @; I" D5 q. @* U# L$ q根据加密算法分类
* c/ o. t8 M  J
' S/ ?* M( W) _' q有些加密软件使用“公开算法”,有些则使用“私有算法”。
- y, G1 e1 d( N$ S0 _( K( L: o' S5 Q
略懂密码学的网友应该晓得,使用公开算法比较靠谱。毕竟,公开算法(尤其是那些知名且使用广泛的)是经过许多密码学大牛严格论证的,确保其算法设计没有明显的缺陷。4 |/ q5 Q$ Z& R, `8 z# r

) i. q  ]" o) |* k; }9 Y如何选择?
. P: i" L& b- W0 K) Z
3 \; G7 T0 y/ }) Q3 o" f5 S那如何选择文件加密工具捏,我觉得如下几点要注意:
, X' K' }: L8 K2 [7 V( J* i: V, O; P& u* W7 u
1. 知名度高,口碑好. m* `  ]: o3 B) H/ s! ]
2. 有较多的用户使用( p! q; f* A; g% y: y# v3 k; p0 r2 o
3. 支持主流的加密算法2 f. B, }. p, Y0 E
4. 最好是支持虚拟盘/虚拟分区' Q% P5 ^& }8 A  D/ Y
5. 最好是免费且开源的. n, P- |, q3 J. ?( F# I* Z( F
6. 最好支持多种操作系统
+ D5 M: C) Y& v9 s) Y
/ [  e  G4 K/ L4 P这里推荐 VeraCrypt, 虽然推荐 VeraCrypt 这个软件,但要说的是我个人还在使用 TrueCrypt,即便它的官方网站上写着“Using TrueCrypt is not secure as it may contain unfixed security issues”,这不是说TrueCrypt本身出现漏洞,因为综合整个网页的内容是想表明开发团队受到来自政府的压力,所以原本的匿名开发团队撒手不干了,临结束还调侃了下美国安全局,它想说的其实是“WARNING: Don't use TrueCrypt,because it is under the control of the NSA”。 9 U$ J: {4 n: v# o2 L5 N$ S6 n

- C/ T4 p7 [- Q5 u1 {* L小结
5 Y: a9 m: T: j' w$ p' n, ?
( g6 k% f% S& J0 \如果你选择的加密工具足够好,那么,前面提及的通过压缩软件或EFS加密导致的各种麻烦,大都可以避免。反之,如果你选择的工具不好,不光容易泄露敏感数据;万一工具的质量没保证(比如软件有Bug),还会损坏你的数据,导致你的敏感数据丢失。
上一篇
下一篇


梦纸 「出类拔萃」 2020-6-9 20:05 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

活跃论坛气氛~求个脸熟
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2021-2-27 08:12 , Processed in 0.032743 second(s), 18 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表