我一直都在你身边 ,一直都在。 收藏本站
登陆 / 注册 搜索

阅读: 2.8K   回复: 1

[# 系统基础] 文件加密扫盲

[复制链接]
空谷幽兰 踏破虚空 2020-6-9 20:00 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家 论坛元老 土豪会员 五周年纪念
一、引子
7 b& y. t2 o# p6 V' \$ X1 w" i2 ?9 g& d( H1 O( S  \9 `

# t2 V# M  z0 p- [0 d话说 2011 年美国佬把拉登灭掉之后不到一星期,从拉登老巢缴获的电脑资料,就开始在美国政府的网站曝光了(比如拉登的生活录像)。另据美国某安全官员说,缴获的电脑资料之多,抵得上一个小型图书馆。单从这点可以判断出:拉登同学对自己手头的存储设备(比如硬盘),没有进行足够强度的加密处理。
( p% g* \, y) a& Z
2 P0 k' J2 H" a* r' s6 Q) U$ }
文件加密扫盲 data-encryption.jpg

' Y/ G' j8 @, M: l& i" }这令我很吃惊啊!——堂堂的恐怖大亨,竟然连这点常识都没有啊?!$ W2 c3 ~# H3 ~- c+ H( _) i
5 u, a4 d: b8 n, X- t4 \! `
想当年,陈冠希同学就是因为疏忽了数据加密,导致艳照满世界流传,不光搞臭了一堆女明星,也造福了无数男网民。这回,基地组织估计要步陈同学的后尘了——区别在于,这次倒霉的是基地组织的残余势力,受益的是美国情报机构。1 e# ?, }6 M9 E0 N' V) G4 h
3 ^6 T) b  _0 ]1 d- i
二、文件加密的重要性
- w& h2 n! {6 I  D/ p$ s
/ i" I/ F" _; \* S( s' b9 u有些同学以为,自己既不是影视明星,又不是恐怖分子,不需要采用文件加密之类的工具,那就大错特错啦。下面我来大致聊聊,文件加密的用武之地。. p. I/ g  [, h$ I( S
. z3 R( r1 i, _9 h
1.防范失窃
, J2 `! u2 ^  I2 P4 Y  O$ q2 U3 t& `1 s5 T
这年头,笔记本电脑、平板电脑越来越流行,而这类便捷的移动设备,也增加了丢失的概率。一旦你的移动设备丢失,存储在上面的个人敏感信息就有暴露的风险。比如用浏览器保存的登录口令、邮件客户端存储的私人邮件、等等。如果你的敏感信息是加密的,失窃后的风险就大大降低。' Z( |$ f, E, x2 x% I* }( m

6 h" \5 |2 H5 H9 N1 p) F( M! L2.保存个人隐私9 _7 D) B: i5 R

+ m# v7 }3 V, x* t很多人的家用电脑,都是几个家庭成员共用的。你可能会有一些个人隐私的信息,不希望被其他家庭成员看到。比如你上网下载的毛片、艳照、等,多半不希望被你父母或子女看到。这时候,文件加密就可以防止你的隐私外泄。0 n* q* @8 }2 [  o
% I' A0 t0 M+ S7 L- c, o
3.加密备份数据  R1 k+ w* M$ r
" c& i" k4 u9 K3 x7 i* p9 t
很多同学把电脑中的数据备份到移动硬盘上。有些同学觉得放家里的移动硬盘还不保险(万一家里遭火灾,一样废掉)。正好近几年,"云"的概念炒得很热。所以,那些忧患意识很强的同学,就开始考虑用"云存储"(俗称网盘)来做异地备份。
5 K" w* e2 `- ^" |4 ]& j# _4 I6 w  c* ]' J) Y
一旦你把数据备份到"云端",就得考虑加密问题了。假如你用的是国内公司提供的网盘,那你一定得小心。因为敏感国是很关心屁民的隐私滴(具体的原因,你懂的8 I) ]2 G8 {9 k  U: j. ]

- y( M! }: R: a7 {. `. K" z! k4 M4 ~如果你把数据备份到国外的网盘,也未必安全。8 D9 d; k9 b" g7 q

" s5 n+ y0 H5 ~1 l+ r8 x接下来,我把几种常见的加密方式介绍一下,并分析各自的优缺点。
) W' `1 m! @! [) E7 U5 z( z. C' M
三、使用压缩软件
) G3 L! M( a6 L' m, C7 N  q* r$ E- |4 Y
我发现很多人(尤其是菜鸟用户),首先想到的加密方式,就是把敏感文件用压缩工具(比如 7zip、WinRAR)压缩一下,并设置一个口令。0 `( f# R' {0 p3 C7 B8 x. L* \
- i! r3 J/ D( I6 c) s" y
1.优点
! `% N) [' v" p8 v
: N# o" t' r+ ]! W优点1——需要额外安装软件。
  O& i; {$ p* q" J% s3 |压缩软件几乎是装机必备的软件。因此,使用这种方法,多半不需要额外安装其它软件。* H& d5 F* {+ e* j. A, ~) k

: M* s  d( ~- ^优点2——便于备份; H+ i" D3 H7 y/ o
可以把压缩文件 copy 到任何地方,只要知道口令就能打开。9 f3 o) m5 F2 Q7 P* F& r

& W5 S+ k# @& k- D! f+ N( Y2.缺点, ]) \7 Q! N' t+ j# `4 t

6 G% h! w2 I( X+ L7 v, ^缺点1——加密强度没保证
5 v0 ^; O) N7 \$ |# z5 x. _压缩软件的强项是压缩,而不是加密。有些压缩软件,本身的加密强度不够,还有些压缩软件(比如早期的 WinZip),加密机制有缺陷,会导致攻击者轻易破解。
# W6 S' _9 x* F' c8 ^9 d! Q2 s( V3 A3 O4 p9 k$ d  ~
缺点2——查看文件不方便3 N) K* I3 A) p5 D* _" \1 O4 k
每次要查看加密压缩包里的文件,都需要先解压出来,看完再删除。非常麻烦!1 X3 k& B9 I' f+ O5 x: S

* Z: f0 p/ c- K缺点3——查看文件容易泄密$ r5 A$ |, b- s) h6 T" L
如果你解压并看完之后,忘记删除敏感文件,就有泄密的风险。
# [" P1 i9 m% ]2 C6 h; `
- N0 ?6 U# v! U5 u; v! K8 I即便你的每次看完都对敏感文件进行彻底删除,也还是不保险。因为很多压缩软件在解压时,会先解到系统的临时目录。而压缩软件在使用完临时目录后,仅仅进行简单删除,而不是彻底删除。这样的话,敏感文件的内容有可能还在磁盘上。专业人士通过反删除工具,还是有可能恢复出来。
" |7 e" p8 n, C9 K/ w5 a( G! @+ l+ Z' L* _1 F
缺点4——功能非常有限
0 X1 l9 {' `, B' r2 }* w  \! ~用压缩软件加密,无法加密整个分区,无法加密某些系统文件(比如 Windows 的虚拟内存文件)。
: M0 F- D- R$ t" }( \4 O5 S) E! F& D9 Y! m4 H. z' o. {
3.小结
7 n3 L2 I: W- i5 Y, n8 w1 j% a+ H. X* b% `" u# n
用这个方法来加密自己电脑中的大量文件,显然是不方便的。如果你要给朋友传递一些需要保密的文件(但是密级又不是很高),或许还可以用一用。/ O$ P+ \: `9 K' _& \4 \% ]9 g
2 }) A0 Z( U5 c8 t4 a- M
四、使用EFS(文件系统级加密)' E" w6 T* ^% [
4 Q6 }- W& R1 t/ n# e, R; w  o3 J
稍微懂点技术的用户,可能会选择 EFS 来加密文件。0 Y* t% V8 \9 A

3 |7 Y$ v3 s. M) |) J6 J所谓的 EFS,就是把加密功能集成到文件系统中。通常,EFS 都是跟操作系统用户绑定的。某个用户加密的文件,只有该用户能看。也就是说,只要你能用此用户登录到系统中里,也就可以打开 EFS 加密的文件。考虑到 Windows 系统的用户居多,以下仅介绍 Windows 的 EFS。" j: @# w) f0 @& E' ~
, q; p2 X  J  z- r
对于 Windows 系统而言,从 Win2000 开始,就支持 NTFS 文件系统,也就具有了 EFS 的功能。你只要查看某个文件的属性,在“属性”对话框中点“高级”按钮,即可看到如下的“高级属性”对话框。勾选“加密内容以便保护数据”,即可完成对该文件的加密。2 q$ e# d: L- J+ K0 m

* |. f3 C3 n% u4 N; u
文件加密扫盲 Image1.png
. @3 t: @0 g; F9 t+ D; ?; ?& E
1.优点  H' n7 F4 b5 M
; O& H; q* }; a$ G: V9 n/ d8 d
优点1——需要安装额外的软件
+ a! P- W% A" b: }& l  Q7 ^只要你的文件分区是 NTFS 格式,就可以使用 NTFS 的 EFS 功能。. c8 o+ ?, V& O* m3 H4 |% ?7 e
! I) I) @* w' g/ q# d4 |
优点2——加密强度有保证( B! G* ]+ g' I4 M" X1 A
我没有仔细研究 NTFS 的 EFS 的加密机制。不过捏,像微软这种级别的公司,搞出来的加密机制,强度是不会太弱的。/ L5 b; |9 x8 h0 u+ q% z5 m$ x& m1 j  U

/ }/ H" f; G0 Y2 u+ v) U6 }! c2 v优点3——查看方便
8 {% X6 D! d' w# i由于 EFS 直接集成到文件系统,因此你查看加密文件跟查看普通文件,没有任何区别。
8 j, {7 R) U8 X+ w% K  i7 |2 d& p% y  N, a+ Z- x9 c
2.缺点
- x" c6 i0 i; l' @8 r" R8 t
7 t6 l' h1 u: y* f! T缺点1——太依赖于当前系统
$ Q* @$ L: z; R. mEFS 的一个主要缺点,是太依赖当前的系统。如果你没有导出密钥,一旦系统重装了,那你就无法再访问被 EFS 加密的文件了。即便你用同样的安装盘重装,安装的时候使用同样的用户名和口令,也不行。更加神奇的是,即便你事先用 Ghost 把原来的系统分区克隆出来,再恢复回去,那些 EFS 加密过的文件,也可用啦!
7 c5 T" D: n3 y' k- t
. N! u% J! g' C/ Q( A+ v: Z缺点2——没有独立的认证方式: z% v7 |) h8 Q, I$ M( F/ p5 S- `1 N
前面提到了,EFS 依赖于操作系统本身的用户认证。如果你和家人共用一台电脑的同一个系统用户,那这种加密方式形同虚设。
2 g* \6 t1 _2 _3 O' K" L3 l: f8 g: J* u/ a5 y( }$ ]- Y6 x
缺点3——备份密钥的麻烦7 U" e& k4 G3 _& e4 l1 r
比方说,你把某个移动硬盘的文件用 EFS 加密。如果你希望在另外一台电脑上也能查看该 EFS 加密的文件。那么你必须先在加密的那台电脑中把秘钥导出,然后在第二台电脑导入。具体的操作步骤极其麻烦。如果你打算重装系统,也要搞这套复杂的秘钥导出步骤。(从 Vista 开始,密钥的导入/导出步骤简化了很多)
( b, ?4 N' T. |& s% b$ |  B( E; {- P. n; d3 M: {6 g) ^
缺点4——无法跨操作系统和文件系统
6 X4 Z/ _% t& Y! J. f比如 NTFS 的 EFS,显然只能用于 NTFS 分区,FAT 分区(FAT16、FAT32)用不了。
- T% K# r3 l9 p9 W3 H另外,Windows、Linux 都有各自的 EFS 加密功能,互相之间是不能混用的。比如你一台 Windows 和一台 Linux,想在这两台电脑之间共用一个 U 盘,那 EFS 加密的方式就行不通。
8 m" }8 q# x$ S$ _- ?; p1 P
  h3 v- i$ A3 T: G) a. X* U& B3.小结
7 I' a& A4 [* p5 o5 W. f  Z
; C3 V0 `( f& B% q$ y4 I9 cEFS 的方式,对于防范电脑失窃,还是蛮方便滴;但对于另外几种用途,EFS 就太方便啦。# Q7 Z" f  e8 Q( y9 X) g1 i: K

3 ]( c- `  ]4 S&#补充说明一下:自从 Vista 开始,Windows 内置了另外一种文件加密机制——BitLocker。它比传统的 EFS 有更多优点:增加了多种认证方式,用户界面更友好。但是,仅能用于 Vista 及之后的 Windows 系统,而且对具体的版本还有限制(据说仅限于 Enterprise 版和 Ultimate 版,不爽)。
1 z0 D$ e8 o% S, @; h: S5 G$ ?0 x' ^% J
五、专门的文件加密软件. Q7 S0 {5 f9 ^2 {
$ h$ T- n% s( l/ x- \
从前面的介绍可以看出,上述这几种方式,都有不少缺点。有些缺点还很要命。现在,我要介绍今天的重点——基于专门的文件加密工具进行加密。  N" g& h: t  i( M* b% F

! o& ^  a+ ?) [3 [* i% q+ G% b根据加密对象分类
* q" D4 y0 b% l$ _6 W7 \$ D. f5 }
根据被加密对象的不同,大致有如下几种加密类型。有些加密工具,可以同时支持其中的几种。
& x/ ?, w3 i& O  @# J+ k$ S" F' D+ k: B  I3 M# |1 z$ G+ y
1. 针对文件/文件夹的加密
* e8 [1 O5 U7 \1 l  C这种好理解,就是可以选择某几个文件或目录,然后对其进行加密。每一个文件/目录,都可以设置单独的认证信息(通常用口令)。
8 Z  e9 I8 e8 Z以文件/目录为单位进行加密,一旦文件/目录的数量多了,管理起来不方便。
' E0 B3 t( |2 W: l+ d& e
- E- h& Y1 A" z- |+ f7 V2 T2. 针对物理硬盘的加密
/ ?- z- P& j% F1 E; {) H; z3 y这种方式,就是把整个硬盘,或者硬盘的某个分区进行加密。如果你想访问该硬盘或者分区,需要通过认证(通常是输入口令)。认证之后,该硬盘可以像普通硬盘一样使用了。因此,即便别人拿到你的硬盘后(比如电脑被偷),也得不到被加密的数据。
3 E$ q7 D5 N; x: ]( m& R# I- c/ f' |! P1 k' w
3. 针对虚拟硬盘的加密
- Q8 ~' D/ ?2 _5 s这种方式,说起来比较复杂。
/ e- c  N) k0 P; c
. F& s' s1 z5 v6 p0 y你可以通过加密软件,创建出一个虚拟硬盘。这个虚拟硬盘其实对应到一个你物理硬盘上的一个文件。你往这个虚拟硬盘上写入的数据,(经过加密之后)都存储在这个文件中。你创建的虚拟硬盘有多大,这个数据文件就有多大。
# z5 t) x* \% [2 H
/ m8 T) K4 t1 d在使用上,这种方式跟加密物理硬盘类似。要先通过认证才能使用。认证之后,就跟普通的硬盘没啥区别了。你一样可以对它进行分区(虚拟硬盘上的分区,就是虚拟分区),一样可以在上面安装软件。& G) |* r7 U2 E+ Y( X: d7 f

: K  e1 n8 H1 X3 X/ t/ _) s上述3种方式,我比较喜欢"虚拟硬盘/虚拟分区"的方式。虽然加密物理硬盘和加密虚拟硬盘,在使用上没啥明显区别。但是虚拟硬盘只是一个数据文件,备份很方便。还可以把这个数据文件放在U盘上,在多台电脑之间公用——就像移动硬盘一样。0 B' v- [5 B* }
! }* m, h/ h2 b( V+ ]) x
根据是否开源分类
. @) f) {5 a, S- {
4 g3 X1 K  F7 s/ f有些加密工具是开源的,有些是闭源的。- _" V) P. P8 O) |! m4 M

6 ^2 R* c& z3 B4 K显然,开源的比较爽。因为源代码开放,可以确保软件中没有暗藏后门,可以确保加密机制没有太明显的弱点。而且,开源软件通常也是免费滴。: z2 W8 P$ {% i# x0 q' Y

/ w* T  {) A) a9 _根据加密算法分类1 }% w) y- W" r% c

& ]6 J2 [  x2 W- E2 Z有些加密软件使用“公开算法”,有些则使用“私有算法”。
' h, q- K0 n4 Z) e* C% N) S. V, ]3 G6 i7 r5 r( G
略懂密码学的网友应该晓得,使用公开算法比较靠谱。毕竟,公开算法(尤其是那些知名且使用广泛的)是经过许多密码学大牛严格论证的,确保其算法设计没有明显的缺陷。
0 r) p* M5 `) u9 F. B4 {/ e9 P0 D
8 J6 j% B3 S' p. W2 v" @5 `7 }如何选择?
8 @4 r9 L' c4 \; l7 R) e2 J+ v, I- S2 ?6 n
那如何选择文件加密工具捏,我觉得如下几点要注意:
, T+ P8 j$ j$ ~+ X/ n: I) Z/ _* t; u$ W0 N5 I- O( N  u6 }
1. 知名度高,口碑好
1 h4 ~4 c5 }& n/ x2 c$ q7 P2. 有较多的用户使用# X# n, g3 Y/ m5 W  Y: v5 E
3. 支持主流的加密算法6 P0 Y2 k4 ]8 u: d- E
4. 最好是支持虚拟盘/虚拟分区
7 z7 [9 G4 z) ~9 o5. 最好是免费且开源的
+ n$ U) V: x; a% ^6. 最好支持多种操作系统
9 G# y% U. N% b9 M; E" i. \
( N1 O1 b) z. t6 O. S  u) o这里推荐 VeraCrypt, 虽然推荐 VeraCrypt 这个软件,但要说的是我个人还在使用 TrueCrypt,即便它的官方网站上写着“Using TrueCrypt is not secure as it may contain unfixed security issues”,这不是说TrueCrypt本身出现漏洞,因为综合整个网页的内容是想表明开发团队受到来自政府的压力,所以原本的匿名开发团队撒手不干了,临结束还调侃了下美国安全局,它想说的其实是“WARNING: Don't use TrueCrypt,because it is under the control of the NSA”。
) [9 L" @. {, h! @0 K9 s; I. a6 M
1 T  X# `: T9 l6 [& a1 x& l4 |7 Z; ?小结$ A6 }9 q2 w& S2 j- j
% ~- Q0 i& l& K  I) v- @
如果你选择的加密工具足够好,那么,前面提及的通过压缩软件或EFS加密导致的各种麻烦,大都可以避免。反之,如果你选择的工具不好,不光容易泄露敏感数据;万一工具的质量没保证(比如软件有Bug),还会损坏你的数据,导致你的敏感数据丢失。
上一篇
下一篇
帖子热度 2858 ℃

梦纸 「出类拔萃」 2020-6-9 20:05 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

活跃论坛气氛~求个脸熟
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

快速回复 返回列表