七種硬盤整體加密技術(shù)工具介紹

1、文檔供參考，可復(fù)制、編制，期待您的好評與關(guān)注！ 很少有IT工程師需要接受專業(yè)的數(shù)據(jù)安全培訓(xùn)課程，但是我們卻太頻繁地聽說了有關(guān)電腦或硬盤中的數(shù)據(jù)在沒有施行加密措施的情況下丟得精光。幸運(yùn)的是，如今，快速的數(shù)據(jù)加密技術(shù)已經(jīng)不再像以前那樣罕見且花費昂貴，人們不僅僅可以將單個的文件進(jìn)行加密，而且還有一些技術(shù)工具能夠創(chuàng)建虛擬硬盤，并且是在單個文件、甚至就在同一個分區(qū)內(nèi)建立的，在這個虛擬硬盤上任何寫入其上的信息都是被自動加密的。在現(xiàn)代的硬件條件下，加密所需的空間是很小的，你根本不需要專門貢獻(xiàn)一定的硬盤空間來實現(xiàn)加密。本站將分上下篇介紹幾種應(yīng)用程序?qū)崿F(xiàn)創(chuàng)建、管理那些加密的文卷。其中，上篇介紹TruCrypt、

2、Windows Vista自帶的BitLocker加密工具、Dekart Private Disk 1.2以及7-Zip;下篇則將介紹DriveCrypt、FreeOTFE以及PGP為電子郵件、即時信息提供的全覆蓋桌面套件。你甚至能夠免費獲得非常強(qiáng)壯且易實施的全硬盤加密工具，即使是需要付費的企業(yè)級套件，憑其可管理性和支持力度的卓越性能也是非常值得您為它買單的。一、TrueCrypt 5.1a費用：免費/開源從禁得住考驗的角度講，TrueCrypt可謂制造了一個驚人堅固的箱子作為第一個全硬盤或虛擬文卷加密技術(shù)的解決方案。拋開免費和開源這兩大附加值，TrueCrypt不僅擁有漂亮?xí)鴮懙目捎眯院蛿?shù)據(jù)

3、保護(hù)的特性，而且還是對整個系統(tǒng)(包括操作系統(tǒng)分區(qū)在內(nèi))加密的一種有效途徑。TrueCrypt允許用戶自主選擇AES、Serpent、Twofish等算法，既可以單獨用也可以以不同的組合方式用，還有其他算法如Whirlpool、SHA-512和RIPEMD-160哈希算法。目前的加密技術(shù)有三種基本實現(xiàn)方法：1.該算法可以把一個文件做成一個虛擬加密文卷;2.該算法能將整個硬盤分區(qū)或物理盤轉(zhuǎn)化為一個加密的文卷;3.該算法能夠加密一個運(yùn)行中的Windows操作系統(tǒng)文卷，雖然有一些限制條件。加密的文卷可用密碼和關(guān)鍵文件特別保護(hù)的方式得到數(shù)據(jù)保護(hù)。舉個例子來說，一個位于可移除USB盤中的文件，要求創(chuàng)建一種

4、雙因素認(rèn)證的格式，如果你正好創(chuàng)建了一個獨立的虛擬文卷，你就可以使用任何大小或命名方式創(chuàng)建文件需要的安全格式。那么，在這種情況下，具備能夠隨意操作文件命令的文件就可以由TrueCrypt通過自動創(chuàng)建并格式化的方式獲得。其中，TrueCrypt發(fā)揮的最大作用就是使原文件變成看起來就像只剩下隨機(jī)數(shù)據(jù)的樣子。TrueCrypt設(shè)計的初衷就是，沒有任何加密的文卷或硬盤能被隨意鑒定為是用這種工具加密的，沒有明顯的文卷頭，需要文件擴(kuò)展或其他可識別的標(biāo)記。唯一的例外就是加密啟動文卷的時候，該過程會加載TrueCrypt啟動加載代碼，但是在未來版本的TrueCrypt中隱藏全部的文卷并使用外部啟動加載器(如從U

5、SB或CD處)將可能不再存在這一例外。在這種前提下，創(chuàng)建一個自身加密的USB并以旅行者模式運(yùn)行也是有可能的，這一過程用到的將是可執(zhí)行TrueCrypt的一個拷貝，并且還將能被安置和運(yùn)行在用戶具備管理員權(quán)限的任何Windows設(shè)備中。TrueCrypt還具備被外界公認(rèn)的似是而非的否認(rèn)特性，這是最顯著的一項功能，該功能能將很多文卷之間互相隱藏。被隱藏的文卷有屬于自己的密碼，但是沒有任何辦法能判定一個給定的TrueCrypt文卷是否在其內(nèi)部哪個位置隱藏著另外一個文卷。如果你把外部文卷上寫入了太多數(shù)據(jù)，那么很有可能你會破壞隱藏其中的文卷。但是，作為一個種保護(hù)策略，TrueCrypt為用戶提供了相應(yīng)的選

6、擇權(quán)，即當(dāng)你要在一個文卷中隱藏令一個文卷時，只能以只讀的方式隱藏。如果你正在使用系統(tǒng)硬盤的加密工具，當(dāng)前的加密進(jìn)程會暫時停住，但是可以依命令中止并且恢復(fù)，同時程序會提示你創(chuàng)建一張系統(tǒng)恢復(fù)盤以便系統(tǒng)遇到災(zāi)難時能夠重新啟動。需要注意的是，你不能在一個沒有Windows啟動加載器的情況下對雙引導(dǎo)的Windows系統(tǒng)進(jìn)行加密。二、Windows Vista BitLocker費用：包含在Vista終極版和Vista企業(yè)版內(nèi)Vista自帶的BitLocker僅在其企業(yè)版和終極版中才有效，并且被明確定義為展示系統(tǒng)文卷的加密保護(hù)功能。BitLocker并不是簡單地設(shè)計為加密可移除的文卷，也不是像本文介紹的其

7、他產(chǎn)品的描述那樣讓用戶創(chuàng)建虛擬的加密文卷，而是為了智能的集中管理而被開發(fā)出來的，是通過活動目錄和組策略實現(xiàn)的。不像TrueCrypt系統(tǒng)硬盤的加密技術(shù)，設(shè)置BitLocker需要用戶目標(biāo)系統(tǒng)中至少有兩個文卷，一個用來控制啟動加載器，另一個則用來控制加密的系統(tǒng)文件。一個已經(jīng)存在的系統(tǒng)能夠通過BitLocker磁盤準(zhǔn)備工具實現(xiàn)重新分區(qū)(目前是作為支持BitLocker的一個系統(tǒng)額外的工具提供的)，但是如果你正工作在一個沒有劃分好的系統(tǒng)上，你也可以手動設(shè)置分區(qū)。當(dāng)你用BitLocker加密一個文卷時，你就享有了三種基本選擇，這些選擇可以告訴你如何識別訪問加密文卷的帳戶類型。如果電腦有一個TPM(可信

8、計算模塊)，那么你也可以結(jié)合機(jī)器提供的PIN代碼一并判斷。第二個選擇是創(chuàng)建一個可移除USB磁盤，其中包含認(rèn)證數(shù)據(jù)，并將這些數(shù)據(jù)與PIN代碼一起運(yùn)用，但是這種辦法僅僅在電腦出現(xiàn)故障需要從一個USB連接的設(shè)備啟動時才有效。如果你用的是這個選擇，BitLocker將會在對硬盤加密前做一次啟動測試以確保你的系統(tǒng)能夠從USB設(shè)備啟動。第三個選擇只需要用戶機(jī)器上的PIN代碼，但是這個代碼通常都會很長(達(dá)25個字符以上)，并且只能由操作系統(tǒng)指派。正如運(yùn)用其他任何全硬盤的加密工具系統(tǒng)一樣，最慢的部分實際上是對磁盤的加密過程。比如我使用的75GB硬盤的筆記本，就需要花費大約三個半小時才能完成加密。幸運(yùn)的是，Bi

9、tLocker可以在其他工作繼續(xù)進(jìn)行的情況下完成加密過程，同時如果需要的話，你甚至可以關(guān)閉系統(tǒng)并在以后恢復(fù)該加密過程(我的建議是：讓電腦整晚自己單獨待在一個房間完成加密。)。對于一個給定的文卷，如果管理員需要訪問或解密的話，那么文卷加密后的密鑰也可以保存到一個活動目錄的倉庫中。如果你還不屬于活動目錄的域，那么你也可以手動將密鑰備份到一個文件中，這樣當(dāng)然將會被保護(hù)得更加縝密。最后，雖然說BitLocker最初只是被用來保護(hù)操作系統(tǒng)文卷的，但你也可以通過Vista命令行界面手動實現(xiàn)非系統(tǒng)文卷的加密。三、Dekart Private Disk 1.2費用：45美元/終端雖然與其他加密程序在功能上有些

10、相似，但是Dekart Private Disk至少有一個突出的特性就是能讓一些應(yīng)用程序真正被保護(hù)起來。對于剛接觸Dekart Private Disk的用戶來說，Dekart Private Disk的個性設(shè)置并不比本文講述的其他免費或開源的產(chǎn)品好多少：用戶可以創(chuàng)建虛擬加密文卷、為一個加密硬盤備份文卷頭、根據(jù)用戶行為控制安裝或不安裝到硬盤真正僅有的顯著特色并且在其他情況下不可用的卻是Disk Firewall，該功能是讓用戶承認(rèn)或否認(rèn)對特定程序加密文卷的訪問權(quán)。Dekart Private Disk沒有被歸入真正安全管理類別的最大標(biāo)識就是Recovery Option，這個選項是通過實施一個

11、有關(guān)密碼的蠻干攻擊從而獲得私有硬盤的密碼，沒有任何專業(yè)的加密產(chǎn)品具備這樣類似的功能選項。這種策略有點像，先為你的前門買了一條安全繩待日后破門而入，譬如在你丟失門鑰匙的情況下。簡而言之，很難對這種功能的付費加密程序給予認(rèn)可，何況它的很多特性在很多其他地方都是免費可以實現(xiàn)的，然而也許它在啟動的時候?qū)嵤┑男阅芨靡恍?。四?-Zip費用：免費/開源你也許并不認(rèn)為開源歸檔應(yīng)用7-Zip是一個和本文其他工具相匹配的加密程序，但是如果你只是尋找一個快速實現(xiàn)的方法創(chuàng)建一個加密、密碼保護(hù)的文檔時，它實際上真的是一個較好的選擇。7-Zip也能夠創(chuàng)建自動壓縮的文檔，因此偏愛加密過程的人們不太需要它，但這僅僅是建立

12、在你能夠接受任意密碼的基礎(chǔ)上。但無論如何，沒有哪個程序會天然支持任何種類的雙基因認(rèn)證技術(shù)。因此，對于更多附加價值的安全性而言，請在創(chuàng)建壓縮文檔的時候，確保選擇了對文件名稱加密的選項。七種硬盤整體加密技術(shù)工具介紹(下)五、DriveCrypt費用：59.95英鎊(折合88.73美元)/終端SecureStar的DriveCrypt工具在核心功能上與TrueCrypt和FreeOTFE很相似，如用戶可以從文件或整個硬盤中創(chuàng)建加密的容器，然后互相隱藏加密磁盤等。對于更多先進(jìn)的功能來說，如全硬盤加密，用戶則需要添加一款價值185美元的DriveCrypt PlusPack工具。無論DriveCrypt

13、提供的這個新加功能是否值得用戶購買那都得另談，因為很多人可能僅僅愿意通過免費的產(chǎn)品獲得功能的滿足。如果你已經(jīng)對很多功能類似的產(chǎn)品有使用經(jīng)驗，那么在標(biāo)準(zhǔn)的DriveCrypt工具中，其絕大多數(shù)加密功能還都能表現(xiàn)得令人滿意。因為你既可以從文件也可以從硬盤分區(qū)中創(chuàng)建虛擬加密硬盤，并在一定時間的停用過程中自動鎖住硬盤，與此同時，你還可以完成一個硬盤內(nèi)嵌硬盤的操作。DriveCrypt也可以讓用戶映射該產(chǎn)品早期版本創(chuàng)建的硬盤(如ScramDisk和E4M)，因此如果你正在從以上早期版本之一遷移的話，你將不會遭受機(jī)器的無動于衷。本文談到的還有一些該產(chǎn)品沒有免費提供的功能則是，隨意調(diào)整已存在加密硬盤的空間大

14、小，以及控制關(guān)鍵證書服務(wù)(后者可能在TrueCrypt和FreeOTFE中可以通過手動備份文卷頭實現(xiàn))。此外，DriveCrypt中還有一個特別功能就是，你可以創(chuàng)建一個DKF訪問文件，該文件允許第三方在不需要文卷密碼的情況下訪問加密文卷。DKF的密鑰涵蓋了各種各樣的限制條件，如在若干天后或僅僅在一定時間范圍內(nèi)，該密鑰可以使用與硬盤本身密碼毫無關(guān)系的一個密碼。這就使得為加密磁盤提供一定程度或一定控制范圍內(nèi)的訪問權(quán)成為可能。值得注意的是，默認(rèn)狀態(tài)下該程序使用ID=0x74的分區(qū)來標(biāo)記已經(jīng)加密的整個分區(qū)。這種情況不僅會使得程序很容易辨認(rèn)和映射一個加密的分區(qū)，而且還意味著一個惡意的第三方也很容易就能讀

15、取一個采用DriveCrypt加密的文卷。幸運(yùn)的是，你可以通過設(shè)置一個程序選項，從而阻止上述情況的發(fā)生。當(dāng)然不僅僅是可以，其實你是應(yīng)該這么做，因為你是唯一一個應(yīng)當(dāng)知道什么是一個加密文卷，以及什么不是一個加密文卷。DriveCrypt最具魅力的特性則是將.wav文件(無論是CD自帶的音頻文件還是自行制作的一段音頻)轉(zhuǎn)換成一個特殊格式加密文卷的能力。每個樣本的四位或八位就能用來存儲數(shù)據(jù)，因此一個700M字節(jié)的.wav文件(等同于一張CD上音頻文件的總長)可以被用來存儲350M字節(jié)或175M字節(jié)的數(shù)據(jù)信息。雖然說音頻播放器的質(zhì)量將影響一些質(zhì)地，但最終形成的文件仍然可以播放(說明：把一張真正可用的CD

16、處理成若干變形音頻文件或許不是一個好主意，這是因為即使攻擊者不能破解處理后的音頻，他們也可能會將你的文件與CD處理后的文件做對比以判定是否被隱藏了的音頻數(shù)據(jù)還存在，畢竟完整的音頻信息還是會更好)。六、 FreeOTFE 3.00費用：免費/開源FreeOTFE(OTFE意思是快速加密)在很多方面都和TureCrypt很相似，只是很多相同的功能在具體實施的時候有一些細(xì)微的不同，但它也是在一個非常強(qiáng)大的軟件許可證之下提供服務(wù)的。創(chuàng)建一個新的文卷的過程是和TrueCrypt相類似的：整個過程中都有會一個助手陪伴你左右，并為你提供每一個步驟中相關(guān)的選項，F(xiàn)reeOTFE有一套非常豐富的選項設(shè)置，這些設(shè)

17、置相應(yīng)地包含了文卷核心信息的長度、哈希算法、破譯算法、密鑰算法以及硬盤劃分系統(tǒng)，但是對于絕大多數(shù)用戶而言，默認(rèn)的選項設(shè)置總歸是比較好的。一些選項主要是為向后兼容準(zhǔn)備的，就像現(xiàn)在技術(shù)比較成熟的MD2和MD4哈希函數(shù)。值得說明的是，對于新創(chuàng)建的硬盤來說，使用SHA512算法可能會更好。TrueCrypt似乎沒有提供另一個好功能，那就是在一個文卷映射完后能夠運(yùn)行任意腳本，這當(dāng)然是在文卷沒有被再次映射的前和后時間段內(nèi)，就像展示臨時文件的可用價值或者其他正常的硬盤零碎數(shù)據(jù)再利用。與此同時，F(xiàn)reeOTFE還有另外一個適用于Linux用戶的手動功能，那就是運(yùn)行Linux自身的文件系統(tǒng)加密磁盤，如Crypt

18、toloop、dm-crypt以及LUKS。正如TrueCrypt一樣，你也可以使用FreeOTFE選擇創(chuàng)建一個獨立的關(guān)鍵文件，但是兩者的數(shù)學(xué)算法稍有些不同。TrueCrypt為文卷創(chuàng)建的關(guān)鍵文件幾乎可以是任何文件，因為它走的是只讀路線。而FreeOTFE從碎片創(chuàng)建關(guān)鍵文件，并把它儲存為文卷的元數(shù)據(jù)塊，這個元數(shù)據(jù)塊可以被放置在一個USB盤里，這樣也提供了一種更深入的物理安全策略。當(dāng)用戶為一個新的文卷創(chuàng)建隨機(jī)數(shù)據(jù)時，用戶可以選擇利用微軟的CrypttoAPI函數(shù)，數(shù)據(jù)就是從為產(chǎn)生額外隨機(jī)數(shù)據(jù)的鼠標(biāo)運(yùn)動中獲得的。當(dāng)然。同時產(chǎn)生了兩個隨機(jī)數(shù)據(jù)塊。FreeOTFE還有一點像TrueCrypt，那就是F

19、reeOTFE可以用來在一個文卷中隱藏另一個加密文卷，但是完成這個操作的過程是有些復(fù)雜的。用戶需要手動定義一個字節(jié)偏移量的值，該值描述了被隱藏的文卷究竟被放在了什么位置。如果你不知道偏移量的值(甚至也不知道被隱藏文卷的密碼)，你根本就不能映射被隱藏的文卷。雖然還是存在一些困難，但上述情況還是使得在一個未加密的文卷中隱藏一個加密文卷成為可能。這里有一點特別值得強(qiáng)調(diào)的就是FreeOTFE的可移植性，用戶所設(shè)置好的應(yīng)用程序也能被保存在用戶自己指定的文檔目錄中(通常都只是放在默認(rèn)的程序文件目錄下)。當(dāng)然，由于TrueCrypt和FreeOTFE都工作在可移植的模式(這是一種在可移除硬盤上放置FreeO

20、TFE可執(zhí)行程序和加密文卷的方式)，因此他們都可以被用到另一臺電腦上，甚至一臺沒有安裝FreeOTFE的機(jī)器。最后，F(xiàn)reeOTFE在Windows Mobile系統(tǒng)的PDA上也是可用的，創(chuàng)建的文卷或桌面級應(yīng)用都是可以的，當(dāng)然惡意程序需要除外。七、 PGP Desktop Professional費用：199美元/終端PGP Desktop提供了一整套加密工具，開發(fā)這些工具的初衷是為了盡可能完美地與Windows系統(tǒng)結(jié)合在一起，而不考慮應(yīng)用的混合(雖然這樣的限制是存在一些例外的)。對于那些正在尋找易操作加密套件、并且愿意為功能全面的產(chǎn)品付點費用的用戶來說，這個產(chǎn)品無疑是最好的。這個應(yīng)用程序的主

21、界面有5個基本部分：密鑰管理、消息、壓縮、硬盤管理和網(wǎng)絡(luò)共享。密鑰管理適用于加密操作的開始階段(你可以創(chuàng)建新的加密密鑰)，它可以接受現(xiàn)有的外部密鑰環(huán)中的密鑰，把這個密鑰處理為PGP的全密鑰目錄(也可以搜尋其他的密鑰)等等。消息部分控制著PGP Desktop如何處理電子郵件。在已發(fā)送郵件箱，PGP Desktop能夠加密標(biāo)準(zhǔn)的SMTP/POP郵件、Exchange/MAPI郵件以及Lotus Notes郵件。PGP Desktop并不是修改郵件客戶端，它從收發(fā)2個方向代理和監(jiān)控郵件的流量，并在需要的時候開始工作。消息部分會給用戶發(fā)送消息為，你已經(jīng)用密鑰環(huán)中的密鑰做了加密的文件將被自動解密。你也

22、可以創(chuàng)建描述郵件如何破譯和加密的策略，例如只對一個特定的域發(fā)送明文。即時消息加密系統(tǒng)(這個也能工作在本地代理服務(wù)器中)僅支持AOL(美國在線)即時消息和Trillian，其他使用AIM協(xié)議的程序也許會工作，但是PGP不會。即時消息加密系統(tǒng)對每一次登錄都使用1024位曾經(jīng)的RSA密鑰，這些消息是通過AES進(jìn)行256位對成密鑰加密的。PGP Zip制表符使用戶建立加密的文檔，這些文檔能被PGP從另一個末端或壓縮包中作為自身萃取的文檔提取。最終的文檔還能被標(biāo)記和加密，而且不光是通過短語，還有接受密鑰(前提是這些文檔有一個密鑰)。整個PGP套件不是僅僅用來創(chuàng)建保護(hù)密碼和加密文檔的(你可以使用很多獨立的

23、壓縮程序做到)，其可以標(biāo)記和密鑰再利用的特性并不是其他哪個產(chǎn)品輕易具有的。PGP Disk是套件中全硬盤或虛擬文卷加密的解決方案。虛擬文卷功能與TrueCrypt或FreeOTFE有些相像，即文卷可以是任何文件，但是利用PGP處理的話，文卷在有問題的情況下也是可以被用戶密鑰加密的，如采用AES、CAST5或Twofish。如果你使用了全硬盤加密技術(shù)，你會看到在加密過程中有那么一對選項供你選擇：最大化CPU可用性，以便節(jié)約時間;宕機(jī)時安全選項(主要指在加密過程中突然停電時可以保持系統(tǒng)運(yùn)行)。加密硬盤可以使用TPM硬件、用USB閃存盤儲存密鑰文件，或者如此之類的一些組合策略。PGP Disk中另一個轟動性的功能就是