TruCrypt、PGP、FreeOTFE、BitLocker、DriveCrypt和7-Zip,這些加密程序提供了異常可靠的實時加密功能,可以爲你確保數據安全,避免數據丟失、被偷以及被窺視。
很少有IT專業人士還需要數據安全方面的培訓,但是我們常常聽說這樣的事件:電腦或者硬盤被偷或丟失,裏面存儲了明文格式的數據,沒有經過加密。
幸好,實時數據加密如今不再是某種奇異、成本高昂的技術。有些加密程序不是僅僅對單個文件進行加密,還能在文件裏面、甚至直接在分區上創建虛擬磁盤,寫入到虛擬磁盤上的任何數據都自動進行加密。在現代的硬件上,加密所需的開銷極小;再也不需要使用專用硬件來進行加密。
本文介紹了用於創建及管理加密卷的應用程序,從Windows Vista自帶的BitLocker加密程序,到用於加密電子郵件和即時消息的性能成熟的PGP桌面套件。你甚至不用花錢,就能獲得異常可靠、良好實現的整個磁盤加密功能——不過在企業環境下,像可管理性或者支持服務這些特性完全值得花錢購買。
工具一、TrueCrypt 5.1a
費用:免費/開源
TrueCrypt有足夠充足的理由成爲你最先試用的整個磁盤或者虛擬卷加密解決方案。除了免費和開源這兩大優點外,該程序編寫巧妙,非常易用,還有豐富的數據保護功能,是對整個系統(包括操作系統分區)進行加密的一種有效方法。
TrueCrypt讓你可以選擇先進加密標準(AES)、Serpent和Twofish等算法,這些算法可以單獨使用,也可以採用不同組合(名爲“級聯”);還可選擇Whirlpool、SHA-512和RIPEMD-160等散列算法。實際的加密有三種基本方法:可以把文件作爲虛擬加密卷安裝上去;可以把整個磁盤分區或者物理驅動器變成加密卷;還可以加密工作中的Windows操作系統卷,不過存在一些侷限性。
加密卷可以用密碼來保護;作爲一個選項,也可以用密鑰文件來保護,從而加強安全——比如可移動USB驅動器上的文件,這樣你就可以建立一種雙因子驗證。如果創建了一個獨立的虛擬卷,可以使用任何大小或者命名慣例的文件。該文件由TrueCrypt本身創建而成,然後經格式化,確保它看上去與隨機數據毫無區別。
TrueCrypt的目的在於,任何經過加密的卷或者硬盤不會一眼就能看出來。沒有明顯的卷頭、所需文件擴展名或者其他識別標記。唯一的例外就是加密的引導卷,引導卷裏面有TrueCrypt引導裝入程序——但這個產品將來的版本不可能隱藏整個卷、使用USB拇指驅動器或者光盤上的外部引導裝入程序。說到那裏,你也有可能創建在“旅行者模式”下使用的自我加密的USB驅動器——裏面有TrueCrypt可執行文件的拷貝,可在任何機器上安裝上去及運行,只要用戶擁有管理員權限。
TrueCrypt還包括了所謂的“似是而非的否認”(plausible deniability)特性,最重要的就是能夠把一個卷隱藏在另一個卷裏面。隱藏卷有自己的密碼,你沒有辦法確定某個TrueCrypt卷裏面是不是隱藏了另一個卷。不過,如果你把太多的數據寫入到外面那個卷,可能會破壞那個隱藏卷——但是作爲一項保護措施,TrueCrypt提供了一個選項:你在安裝外面那個卷時,可以把隱藏卷作爲只讀卷安裝上去。
如果你在使用系統磁盤加密,實際的加密過程需要一段時間,不過這個過程可以暫停,需要時恢復加密(你可能在晚上需要對上鎖房間裏面的PC進行這種操作)。這個程序會堅持要求創建急救光盤,那樣萬一遇到災難,可以用來引導電腦(一個缺點是:你無法對從非Windows引導裝入程序來實現雙引導的Windows系統進行加密。)
工具二、Windows Vista BitLocker
費用:包含在Vista終極版和Vista企業版內
網址:technet.microsoft.com/en-us/windowsvista/aa905065.aspx
只有Vista的企業版和終極版纔有Vista自帶的BitLocker,它是專門爲了執行系統卷加密而設計的。它的初衷不是主要用於加密可移動卷,也無法像本文介紹的其他產品那樣讓你可以創建虛擬加密卷。它在開發當初就考慮到了集中管理,通過活動目錄和組策略來實現管理。
不像TrueCrypt的系統磁盤加密,設置BitLocker需要目標系統中至少有兩個卷:一個卷用來存放引導裝入程序,另一個卷用來存放加密的系統文件。現有系統可使用BitLocker驅動器準備工具(如今微軟爲支持BitLocker的系統提供了這個額外工具)重新進行分區;但如果你在處理沒有準備好的系統,也可以手動設置分區。
用BitLocker對捲進行加密時,會出現三個基本選擇,涉及如何授權用戶來訪問加密卷。如果電腦有可信計算模塊(TPM),那麼它可以結合個人身份識別號(PIN)代碼一起使用。第二個選擇是創建一個可移動USB驅動器,裏面含有授權數據,然後該數據與PIN結合使用,但使用這種方法的前提是相應電腦可以從USB連接的設備引導。如果你決定用這種方法,BitLocker會在磁盤加密前進行引導測試,確保系統可從USB設備引導。第三個選擇就是用戶只要輸入PIN,不過這個PIN會相當長(25個字符以上),而且只能由操作系統來分配。
與其他任何整個磁盤加密系統一樣,最慢的部分實際上是對驅動器進行加密;我那75GB硬盤容量的筆記本電腦大約用了三個半小時才加密完畢。幸好,BitLocker可以在其他工作處理的同時,在後臺執行這項任務;甚至可以關閉系統,然後以後需要時恢復加密過程(我的建議是:晚上就讓電腦留在上鎖的房間,進行加密)。如果管理員需要訪問或者解密某個卷,該卷的加密密鑰也可保存到活動目錄存儲庫中。如果你不在活動目錄域中,也可以手動把密鑰備份到文件中——當然,該文件應嚴加保護。
最後,儘管BitLocker最初的保護對象僅僅是操作系統卷,但也可以通過Vista的命令行界面,手動用它對非系統捲進行加密。
工具三、Dekart Private Disk 1.2
費用:每個用戶45美元
網址:www.dekart.com
雖然Dekart Private Disk功能上類似其他加密程序,但坦率地說,至少有一項特性使得它不值得推薦。
首先,Dekart Private Disk的功能組合只比本文介紹的兩款免費/開源產品實用了一點。用戶可以創建虛擬加密卷、備份加密磁盤的卷頭、根據用戶活動來控制磁盤的安裝及卸載,等等。惟一真正重要、而其他產品沒有的特性就是“磁盤防火牆”(Disk Firewall),你可以用來授予或拒絕某些程序訪問加密卷。
最能表明Private Disk在開發當初沒有真正考慮安全的地方在於“恢復選項”(recovery option),它試圖通過對密碼實施蠻力(brute-force attack)攻擊來確定私密磁盤的密碼。任何專業的加密產品根本不會有這樣的功能。這好比你爲前門買了把鎖定插銷,發現它還帶了一套撬鎖工具——“生怕你丟了鑰匙”。
既然在其他地方免費就能獲得Private Disk的絕大部分特性,說不定其他地方得到了更好的實現,就很難對這種收費程序表示認可。
工具四、DriveCrypt
費用:每個用戶59.95歐元(88.73美元)
網址:www.securstar.com
SecureStar公司的DriveCrypt其主要功能類似TrueCrypt和下面介紹的FreeOTFE——你可以從文件或者整個磁盤來創建加密容器、把一個加密驅動器隱藏在另一個裏面,等等。至於比較先進的功能,比如整個磁盤加密,需要添加DriveCrypt PlusPack(185美元)。至於DriveCrypt提供的額外功能值不值得購買,那是仁者見仁的問題,因爲許多人覺得免費產品具有的功能組合同樣夠用了。
如果你之前用過類似產品,那麼標準版DriveCrypt的大部分加密功能表現會如你所料。可以在文件或者分區中創建虛擬加密磁盤、一段時間沒有使用後自動鎖住磁盤,還能在磁盤裏面創建隱藏磁盤。DriveCrypt還讓你可以把該產品的之前版本(ScramDisk和E4M)創建的磁盤安裝上去,所以如果你從這兩個版本程序中的某一個遷移到新版本,不會覺得備受冷落。
它具有免費產品沒有的一些功能,包括能夠對現有加密磁盤隨意調整容量大小以及管理員密鑰代管服務(不過後者在TrueCrypt和FreeOTFE中也能實現,只需手動備份卷頭)。
DriveCrypt特有的另一項特性就是:你可以創建“DKF訪問文件”,該文件允許第三方不需要卷密碼,就可以訪問加密卷。DKF密鑰可以附加各種限制——它可以使用自己的密碼(與你自有磁盤上的密碼無關)、X天后到期失效,或者只能在某個時間段有效。這樣,就有可能爲訪問加密驅動器提供一定的控制權。
要注意的是:默認狀態下,該程序使用分區號0x74來標記已經過加密的整個分區——這樣,該程序就比較容易識別及安裝加密分區,但也意味着可能敵意的第三方極容易知道某個卷由DriveCrypt經過了加密。幸好,你可以通過設置程序選項來挫敗這種行爲……你可能應該這樣,因爲只有你才應當知道什麼是加密容器、什麼不是。
DriveCrypt最吸引人的地方就是能夠把.WAV文件轉變成用隱匿技術來加密的容器,無論文件是從光盤上抓過來的,還是重新創建的。每個樣本的4位或者8位用於存儲數據,所以一個700MB大的.WAV文件(長度相當於一張音樂光盤)可用來存儲350MB或者175MB。因而生成的文件仍可以播放,但音頻質量會受到一定程度的影響。(注意事項:使用普通光盤音樂文件恐怕不是個好主意,因爲攻擊者即便不能解密,也可以拿來光盤上抓過來的內容與你的文件進行比對,確定裏面有沒有隱藏數據。自己錄音也許更好。)
工具五、FreeOTFE 3.00
費用:免費/開源
網址:www.freeotfe.org
FreeOTFE(OTFE的意思是“實時加密”)在許多方面與TureCrypt很相似——它提供了許多同樣的特性,只是實施時有些地方略有不同;它還有一個版本使用條件非常寬鬆的軟件許可證。
創建新卷的過程再次與TrueCrypt相似:有嚮導程序指導你完成整個過程,並且在每個步驟提供了相關選項。FreeOTFE有着一系列更豐富的選項,這些選項涉及卷的隨機數據串(salt)與散列的長度、密碼、密鑰和磁盤扇區系統,不過對大多數用戶而言,使用默認選擇就可以了。有些選項主要是爲了向後兼容而提供的,比如現已過時的MD2和MD4散列函數——新創建的硬盤使用SHA512或者更好的函數。
TrueCrypt似乎所沒有的另一個出色特性是,卷安裝上去後以及卷卸載前後,可以運行任意腳本——比如清除臨時文件或者取證時用到的文件(以免被人抓住把柄)。對Linux用戶而言另一項方便的特性就是,能夠使用自帶的Linux文件系統加密驅動器,比如Crypttoloop、dm-crypt和LUKS。
與TrueCrypt一樣,你也可以選擇創建獨立的密鑰文件,但這種機制有點不同。TrueCrypt用於卷的密鑰文件可以是任何文件,因爲它使用了只讀方式。FreeOTFE是從頭開始創建密鑰文件,用於存儲卷的元數據塊,密鑰文件可能放在USB閃存盤上,以進一步增強物理安全。用戶爲新卷生成隨機數據時,可以選擇使用微軟的CryptoAPI函數、通過鼠標移動生成的數據以增強隨機性,或者是兩者都用。
另外與TrueCrypt一樣,FreeOTFE可以用來在一個加密卷中隱藏另一個加密卷,但是這個過程稍稍複雜一些。用戶需要手動指定“字節偏移”值,該值描述了隱藏卷將位於何處。如果你不知道偏移值(以及隱藏卷的密碼),就根本無法把隱藏卷安裝上去。這還有可能把加密卷隱藏到未加密卷中,不過有點難度。
FreeOTFE特別注重移植性。該程序的用戶設置可以保存到用戶自己的配置文件,也可以用全局方式來保存(即保存到該程序目錄)。另外與TrueCrypt一樣,FreeOTFE也有“移植模式”——因而可以把FreeOTFE可執行文件和加密卷放到可移動磁盤上,那樣可以在另一臺電腦上使用,即使這臺電腦上面沒有安裝FreeOTFE。最後,FreeOTFE可供基於Windows Mobile 6的個人數字助理(PDA)使用;臺式電腦上創建或者使用的卷可以在PDA上使用,反之亦然。
工具六、PGP Desktop專業版
費用:每個用戶199美元
網址:www.pgp.com
PGP Desktop提供了一整套加密工具,而開發這些工具的初衷是爲了儘可能完美地與Windows系統集成,不管使用怎樣的程序組合(不過這條規則也有幾個例外)。它最適合這種用戶:尋找廣泛 的加密範圍,並且願意花些錢來購買功能完備的產品。
該程序的主界面有五個基本部分:密鑰管理、郵件、壓縮、磁盤管理和網絡共享(NetShare)。密鑰管理部分是可能開始入手的地方——你可以在此創建新的加密密鑰、從外部的密鑰環(keyring)導入現有密鑰、發佈密鑰到PGP的全局密鑰存儲庫(還可以搜索存儲庫裏面的其他密鑰),等等。
郵件部分控制着PGP Desktop如何處理電子郵件。在默認狀態下,PGP Desktop能夠對標準的SMTP/POP電子郵件、Exchange/MAPI郵件以及Lotus Notes郵件進行加密。PGP Desktop可代理及監控雙向傳送的電子郵件,並且在需要時採取行動,而不是改動電子郵件客戶端。如果發送給你的郵件使用你密鑰環中的密鑰進行了加密,郵件會自動解密。還可以創建策略,規定攔截及加密多少郵件——比方說,發送到除某個域外其他所有域的郵件可用明文格式發送。即時消息(IM)加密系統(也通過本地代理系統來工作)僅支持美國在線的Instant Messenger(AIM)和Trillian;使用AIM協議的其他程序可以使用,但PGP不能爲它們作出保證。IM加密對每次登錄都使用1024位的一次性RSA密鑰;郵件採用AES 256位對稱密鑰來加密。
PGP Zip選項卡讓你可以創建加密存檔,這些存檔可以在另一頭用PGP來解壓,或者封裝成自解壓存檔。因而生成的存檔還可以用口令短語或者接收方的密鑰(如果接收方有密鑰)進行簽名及加密。如果只是用來創建密碼保護、經過加密的文檔,那不需要整個PGP套件——你可以使用許多獨立的壓縮程序來完成這項工作,但簽名和密鑰使用等特性通常是其他程序所沒有的。
PGP Disk是套件中的整個磁盤或者虛擬卷加密解決方案。虛擬卷用起來很像TrueCrypt或者FreeOTFE:卷可以在任何文件中;但如果使用PGP,相應的某個卷(或多個卷)既可以用口令短語來保護,還可以用用戶密鑰來加密(使用AES、CAST5或者Twofish等算法)。
如果你使用了整個磁盤加密,可以在加密過程中選擇幾個選項:最大CPU佔用率,目的是節省時間;電源故障安全選項,以便加密過程中萬一出現斷電,防止系統受到破壞。加密磁盤可以使用TPM硬件(如果你有這種硬件)或者USB閃存盤來存儲密鑰文件,也可以兩者結合使用。PGP Disk另外有一個出色的特性:數據粉碎工具,類似自由軟件Eraser產品。它可以清除文件,也可以只清除現有磁盤上的空餘空間。
網絡共享特性(PGP Desktop Storage和PGP Desktop Corporate這兩個版本有該特性)讓你可以共享便攜式驅動器或者網絡連接驅動器上的加密文件。所有解密在用戶端進行,所以任何敏感信息絕對不會以明文格式傳送,也用不着在文件服務器上安裝特殊軟件。網絡共享還能與活動目錄集成,以便對誰可以訪問哪些信息實行細粒度管理。還可以對指定受保護文件夾外面的單個文件進行加密,不過這項特性需要單獨啓用(默認狀態下該功能是禁用的)。
PGP Desktop並非只作爲獨立程序來使用——它還可以由企業環境下的PGP中央服務器程序(PGP Universal)來管理。如果你打算先在單個系統上使用,然後遷移到更集中管理的環境,那麼PGP Desktop專業版是個很好的選擇。
工具七、7-Zip
費用:免費/開源
網址:www.7-Zip.org
你可能認爲開源歸檔程序7-Zip與本文介紹的其他程序不在同一檔次,但如果你只是尋找臨時應急的方法來創建經過加密、密碼保護的存檔,它其實是個不錯的選擇。7-Zip也能創建自解壓存檔,所以接收方不需要有7-Zip——只要你們事先約定好,任何密碼都可以。不過,它本身並不支持任何一種雙因子驗證。另外爲了提高安全性,創建存檔時,一定要選擇“加密文件名”選項。
結論
大多數想要保護磁盤的基本解決方案的人可能會試一試TrueCrypt(或者最接近它的FreeOTFE),尤其是鑑於前者提供了整個磁盤、引導卷的加密。PGP Desktop也添加了其他許多工具,對不僅需要加密磁盤上的內容、還希望加密電子郵件和即時消息的用戶來說,這是個不錯的選擇。BitLocker的一大優點是,它是Vista自帶的一項特性,可通過活動目錄來進行集中管理。而DriveCrypt也有一些可能有用的隱匿和訪問管理功能。7-Zip是創建經過加密、密碼保護的存檔的一種簡單方法。遺憾的是,Dekart Private Disk很難稱得上是專業的加密解決方案,因爲它包括了一項荒謬的特性:可以對你交給該程序來保護的捲進行蠻力攻擊。