磁盤加密技術(shù)工具

　　磁盤加密技術(shù)可以更好的保護(hù)磁盤的安全性，下面是小編為大家整理的幾種好用的磁盤加密技術(shù)工具!

　　工具一、TrueCrypt 5.1a 費用：免費/開源 有足夠充足的理由成為你最先試用的整個磁盤或者虛擬卷加密解決方案。除了免費和開源這兩大優(yōu)點外，該程序編寫巧妙，非常易用，還有豐富的數(shù)據(jù)保護(hù)功能，是對整個系統(tǒng)(包括操作系統(tǒng)分區(qū))進(jìn)行加密的一種有效方法。

　　TrueCrypt讓你可以選擇先進(jìn)加密標(biāo)準(zhǔn)(AES)、Serpent和Twofish等算法，這些算法可以單獨使用，也可以采用不同組合(名為“級聯(lián)”);還可選擇Whirlpool、SHA-512和RIPEMD-160等散列算法。

　　實際的加密有三種基本方法：可以把文件作為虛擬加密卷安裝上去;可以把整個磁盤分區(qū)或者物理驅(qū)動器變成加密卷;還可以加密工作中的Windows操作系統(tǒng)卷，不過存在一些局限性 加密卷可以用密碼來保護(hù);作為一個選項，也可以用密鑰文件來保護(hù)，從而加強(qiáng)安全——比如可移動USB驅(qū)動器上的文件，這樣你就可以建立一種雙因子驗證。如果創(chuàng)建了一個獨立的虛擬卷，可以使用任何大小或者命名慣例的文件。該文件由TrueCrypt本身創(chuàng)建而成，然后經(jīng)格式化，確保它看上去與隨機(jī)數(shù)據(jù)毫無區(qū)別。 TrueCrypt的目的在于，任何經(jīng)過加密的卷或者硬盤不會一眼就能看出來。沒有明顯的卷頭、所需文件擴(kuò)展名或者其他識別標(biāo)記。唯一的例外就是加密的引導(dǎo)卷，引導(dǎo)卷里面有TrueCrypt引導(dǎo)裝入程序——但這個產(chǎn)品將來的版本不可能隱藏整個卷、使用USB拇指驅(qū)動器或者光盤上的外部引導(dǎo)裝入程序。說到那里，你也有可能創(chuàng)建在“旅行者模式”下使用的自我加密的USB驅(qū)動器——里面有TrueCrypt可執(zhí)行文件的拷貝，可在任何機(jī)器上安裝上去及運行，只要用戶擁有管理員權(quán)限。 TrueCrypt還包括了所謂的“似是而非的否認(rèn)”(plausible deniability)特性，最重要的就是能夠把一個卷隱藏在另一個卷里面。隱藏卷有自己的密碼，你沒有辦法確定某個TrueCrypt卷里面是不是隱藏了另一個卷。不過，如果你把太多的數(shù)據(jù)寫入到外面那個卷，可能會破壞那個隱藏卷——但是作為一項保護(hù)措施，TrueCrypt提供了一個選項：你在安裝外面那個卷時，可以把隱藏卷作為只讀卷安裝上去。 如果你在使用系統(tǒng)磁盤加密，實際的加密過程需要一段時間，不過這個過程可以暫停，需要時恢復(fù)加密(你可能在晚上需要對上鎖房間里面的PC進(jìn)行這種操作)。這個程序會堅持要求創(chuàng)建急救光盤，那樣萬一遇到災(zāi)難，可以用來引導(dǎo)電腦(一個缺點是：你無法對從非Windows引導(dǎo)裝入程序來實現(xiàn)雙引導(dǎo)的Windows系統(tǒng)進(jìn)行加密。)

　　工具二、Windows Vista BitLocker 費用：包含在Vista終極版和Vista企業(yè)版內(nèi) 網(wǎng)址：technet.microsoft.com/en-us/windowsvista/aa905065.aspx 只有Vista的企業(yè)版和終極版才有Vista自帶的BitLocker，它是專門為了執(zhí)行系統(tǒng)卷加密而設(shè)計的。

　　它的初衷不是主要用于加密可移動卷，也無法像本文介紹的其他產(chǎn)品那樣讓你可以創(chuàng)建虛擬加密卷。它在開發(fā)當(dāng)初就考慮到了集中管理，通過活動目錄和組策略來實現(xiàn)管理。

　　不像TrueCrypt的系統(tǒng)磁盤加密，設(shè)置BitLocker需要目標(biāo)系統(tǒng)中至少有兩個卷：一個卷用來存放引導(dǎo)裝入程序，另一個卷用來存放加密的系統(tǒng)文件。

　　現(xiàn)有系統(tǒng)可使用BitLocker驅(qū)動器準(zhǔn)備工具(如今微軟為支持BitLocker的系統(tǒng)提供了這個額外工具)重新進(jìn)行分區(qū);但如果你在處理沒有準(zhǔn)備好的系統(tǒng)，也可以手動設(shè)置分區(qū)。

　　用BitLocker對卷進(jìn)行加密時，會出現(xiàn)三個基本選擇，涉及如何授權(quán)用戶來訪問加密卷。

　　如果電腦有可信計算模塊(TPM)，那么它可以結(jié)合個人身份識別號(PIN)代碼一起使用。

　　第二個選擇是創(chuàng)建一個可移動USB驅(qū)動器，里面含有授權(quán)數(shù)據(jù)，然后該數(shù)據(jù)與PIN結(jié)合使用，但使用這種方法的前提是相應(yīng)電腦可以從USB連接的設(shè)備引導(dǎo)。

　　如果你決定用這種方法，BitLocker會在磁盤加密前進(jìn)行引導(dǎo)測試，確保系統(tǒng)可從USB設(shè)備引導(dǎo)。第三個選擇就是用戶只要輸入PIN，不過這個PIN會相當(dāng)長(25個字符以上)，而且只能由操作系統(tǒng)來分配。

　　與其他任何整個磁盤加密系統(tǒng)一樣，最慢的部分實際上是對驅(qū)動器進(jìn)行加密;我那75GB硬盤容量的筆記本電腦大約用了三個半小時才加密完畢。幸好，BitLocker可以在其他工作處理的同時，在后臺執(zhí)行這項任務(wù);甚至可以關(guān)閉系統(tǒng)，然后以后需要時恢復(fù)加密過程(我的建議是：晚上就讓電腦留在上鎖的房間，進(jìn)行加密)。如果管理員需要訪問或者解密某個卷，該卷的加密密鑰也可保存到活動目錄存儲庫中。如果你不在活動目錄域中，也可以手動把密鑰備份到文件中——當(dāng)然，該文件應(yīng)嚴(yán)加保護(hù)。

　　最后，盡管BitLocker最初的保護(hù)對象僅僅是操作系統(tǒng)卷，但也可以通過Vista的命令行界面，手動用它對非系統(tǒng)卷進(jìn)行加密。

　　工具三、Dekart Private Disk 1.2 費用：每個用戶45美元 網(wǎng)址：www.dekart.com 雖然Dekart Private Disk功能上類似其他加密程序，但坦率地說，至少有一項特性使得它不值得推薦。

　　首先，Dekart Private Disk的功能組合只比本文介紹的兩款免費/開源產(chǎn)品實用了一點。用戶可以創(chuàng)建虛擬加密卷、備份加密磁盤的卷頭、根據(jù)用戶活動來控制磁盤的安裝及卸載，等等。

　　惟一真正重要、而其他產(chǎn)品沒有的特性就是“磁盤防火墻”(Disk Firewall)，你可以用來授予或拒絕某些程序訪問加密卷。

　　最能表明Private Disk在開發(fā)當(dāng)初沒有真正考慮安全的地方在于“恢復(fù)選項”(recovery option)，它試圖通過對密碼實施蠻力(brute-force attack)攻擊來確定私密磁盤的密碼。

　　任何專業(yè)的加密產(chǎn)品根本不會有這樣的功能。這好比你為前門買了把鎖定插銷，發(fā)現(xiàn)它還帶了一套撬鎖工具——“生怕你丟了鑰匙”。 既然在其他地方免費就能獲得Private Disk的絕大部分特性，說不定其他地方得到了更好的實現(xiàn)，就很難對這種收費程序表示認(rèn)可。

　　工具四、DriveCrypt 費用：每個用戶59.95歐元(88.73美元) 網(wǎng)址：www.securstar.com SecureStar公司的DriveCrypt其主要功能類似TrueCrypt和下面介紹的FreeOTFE——你可以從文件或者整個磁盤來創(chuàng)建加密容器、把一個加密驅(qū)動器隱藏在另一個里面，等等。

　　至于比較先進(jìn)的功能，比如整個磁盤加密，需要添加DriveCrypt PlusPack(185美元)。至于DriveCrypt提供的額外功能值不值得購買，那是仁者見仁的問題，因為許多人覺得免費產(chǎn)品具有的功能組合同樣夠用了。 如果你之前用過類似產(chǎn)品，那么標(biāo)準(zhǔn)版DriveCrypt的大部分加密功能表現(xiàn)會如你所料。

　　可以在文件或者分區(qū)中創(chuàng)建虛擬加密磁盤、一段時間沒有使用后自動鎖住磁盤，還能在磁盤里面創(chuàng)建隱藏磁盤。DriveCrypt還讓你可以把該產(chǎn)品的之前版本(ScramDisk和E4M)創(chuàng)建的磁盤安裝上去，所以如果你從這兩個版本程序中的某一個遷移到新版本，不會覺得備受冷落。 它具有免費產(chǎn)品沒有的一些功能，包括能夠?qū)ΜF(xiàn)有加密磁盤隨意調(diào)整容量大小以及管理員密鑰代管服務(wù)(不過后者在TrueCrypt和FreeOTFE中也能實現(xiàn)，只需手動備份卷頭)。 DriveCrypt特有的另一項特性就是：你可以創(chuàng)建“DKF訪問文件”，該文件允許第三方不需要卷密碼，就可以訪問加密卷。

　　DKF密鑰可以附加各種限制——它可以使用自己的密碼(與你自有磁盤上的密碼無關(guān))、X天后到期失效，或者只能在某個時間段有效。這樣，就有可能為訪問加密驅(qū)動器提供一定的控制權(quán)。

　　要注意的是：默認(rèn)狀態(tài)下，該程序使用分區(qū)號0x74來標(biāo)記已經(jīng)過加密的整個分區(qū)——這樣，該程序就比較容易識別及安裝加密分區(qū)，但也意味著可能敵意的第三方極容易知道某個卷由DriveCrypt經(jīng)過了加密。

　　幸好，你可以通過設(shè)置程序選項來挫敗這種行為……你可能應(yīng)該這樣，因為只有你才應(yīng)當(dāng)知道什么是加密容器、什么不是。 DriveCrypt最吸引人的地方就是能夠把.WAV文件轉(zhuǎn)變成用隱匿技術(shù)來加密的容器，無論文件是從光盤上抓過來的，還是重新創(chuàng)建的。

　　每個樣本的4位或者8位用于存儲數(shù)據(jù)，所以一個700MB大的.WAV文件(長度相當(dāng)于一張音樂光盤)可用來存儲350MB或者175MB。因而生成的文件仍可以播放，但音頻質(zhì)量會受到一定程度的影響。

　　(注意事項：使用普通光盤音樂文件恐怕不是個好主意，因為攻擊者即便不能解密，也可以拿來光盤上抓過來的內(nèi)容與你的文件進(jìn)行比對，確定里面有沒有隱藏數(shù)據(jù)。自己錄音也許更好。)

　　工具五、FreeOTFE 3.00 費用：免費/開源 網(wǎng)址：www.freeotfe.org FreeOTFE(OTFE的意思是“實時加密”)在許多方面與TureCrypt很相似——它提供了許多同樣的特性，只是實施時有些地方略有不同;它還有一個版本使用條件非常寬松的軟件許可證。

　　創(chuàng)建新卷的過程再次與TrueCrypt相似：有向?qū)С绦蛑笇?dǎo)你完成整個過程，并且在每個步驟提供了相關(guān)選項。FreeOTFE有著一系列更豐富的選項，這些選項涉及卷的隨機(jī)數(shù)據(jù)串(salt)與散列的長度、密碼、密鑰和磁盤扇區(qū)系統(tǒng)，不過對大多數(shù)用戶而言，使用默認(rèn)選擇就可以了。

　　有些選項主要是為了向后兼容而提供的，比如現(xiàn)已過時的MD2和MD4散列函數(shù)——新創(chuàng)建的硬盤使用SHA512或者更好的函數(shù)。 TrueCrypt似乎所沒有的另一個出色特性是，卷安裝上去后以及卷卸載前后，可以運行任意腳本——比如清除臨時文件或者取證時用到的文件(以免被人抓住把柄)。

　　對Linux用戶而言另一項方便的特性就是，能夠使用自帶的Linux文件系統(tǒng)加密驅(qū)動器，比如Crypttoloop、dm-crypt和LUKS。

　　與TrueCrypt一樣，你也可以選擇創(chuàng)建獨立的密鑰文件，但這種機(jī)制有點不同。TrueCrypt用于卷的密鑰文件可以是任何文件，因為它使用了只讀方式。

　　FreeOTFE是從頭開始創(chuàng)建密鑰文件，用于存儲卷的元數(shù)據(jù)塊，密鑰文件可能放在USB閃存盤上，以進(jìn)一步增強(qiáng)物理安全。用戶為新卷生成隨機(jī)數(shù)據(jù)時，可以選擇使用微軟的CryptoAPI函數(shù)、通過鼠標(biāo)移動生成的數(shù)據(jù)以增強(qiáng)隨機(jī)性，或者是兩者都用。

　　另外與TrueCrypt一樣，F(xiàn)reeOTFE可以用來在一個加密卷中隱藏另一個加密卷，但是這個過程稍稍復(fù)雜一些。用戶需要手動指定“字節(jié)偏移”值，該值描述了隱藏卷將位于何處。如果你不知道偏移值(以及隱藏卷的密碼)，就根本無法把隱藏卷安裝上去。

　　這還有可能把加密卷隱藏到未加密卷中，不過有點難度。 FreeOTFE特別注重移植性。該程序的用戶設(shè)置可以保存到用戶自己的配置文件，也可以用全局方式來保存(即保存到該程序目錄)。另外與TrueCrypt一樣，F(xiàn)reeOTFE也有“移植模式”——因而可以把FreeOTFE可執(zhí)行文件和加密卷放到可移動磁盤上，那樣可以在另一臺電腦上使用，即使這臺電腦上面沒有安裝FreeOTFE。最后，F(xiàn)reeOTFE可供基于Windows Mobile 6的個人數(shù)字助理(PDA)使用;臺式電腦上創(chuàng)建或者使用的卷可以在PDA上使用，反之亦然。

　　工具六、PGP Desktop專業(yè)版 費用：每個用戶199美元 網(wǎng)址：www.pgp.com PGP Desktop提供了一整套加密工具，而開發(fā)這些工具的初衷是為了盡可能完美地與Windows系統(tǒng)集成，不管使用怎樣的程序組合(不過這條規(guī)則也有幾個例外)。

　　它最適合這種用戶：尋找廣泛　的加密范圍，并且愿意花些錢來購買功能完備的產(chǎn)品。 該程序的主界面有五個基本部分：密鑰管理、郵件、壓縮、磁盤管理和網(wǎng)絡(luò)共享(NetShare)。密鑰管理部分是可能開始入手的地方——你可以在此創(chuàng)建新的加密密鑰、從外部的密鑰環(huán)(keyring)導(dǎo)入現(xiàn)有密鑰、發(fā)布密鑰到PGP的全局密鑰存儲庫(還可以搜索存儲庫里面的其他密鑰)，等等。 郵件部分控制著PGP Desktop如何處理電子郵件。在默認(rèn)狀態(tài)下，PGP Desktop能夠?qū)?biāo)準(zhǔn)的SMTP/POP電子郵件、Exchange/MAPI郵件以及Lotus Notes郵件進(jìn)行加密。

　　PGP Desktop可代理及監(jiān)控雙向傳送的電子郵件，并且在需要時采取行動，而不是改動電子郵件客戶端。如果發(fā)送給你的郵件使用你密鑰環(huán)中的密鑰進(jìn)行了加密，郵件會自動解密。

　　還可以創(chuàng)建策略，規(guī)定攔截及加密多少郵件——比方說，發(fā)送到除某個域外其他所有域的郵件可用明文格式發(fā)送。即時消息(IM)加密系統(tǒng)(也通過本地代理系統(tǒng)來工作)僅支持美國在線的Instant Messenger(AIM)和Trillian;使用AIM協(xié)議的其他程序可以使用，但PGP不能為它們作出保證。IM加密對每次登錄都使用1024位的一次性RSA密鑰;郵件采用AES 256位對稱密鑰來加密。 PGP Zip選項卡讓你可以創(chuàng)建加密存檔，這些存檔可以在另一頭用PGP來解壓，或者封裝成自解壓存檔。因而生成的存檔還可以用口令短語或者接收方的密鑰(如果接收方有密鑰)進(jìn)行簽名及加密。

　　如果只是用來創(chuàng)建密碼保護(hù)、經(jīng)過加密的文檔，那不需要整個PGP套件——你可以使用許多獨立的壓縮程序來完成這項工作，但簽名和密鑰使用等特性通常是其他程序所沒有的。 PGP Disk是套件中的整個磁盤或者虛擬卷加密解決方案。

　　虛擬卷用起來很像TrueCrypt或者FreeOTFE：卷可以在任何文件中;但如果使用PGP，相應(yīng)的某個卷(或多個卷)既可以用口令短語來保護(hù)，還可以用用戶密鑰來加密(使用AES、CAST5或者Twofish等算法)。

　　如果你使用了整個磁盤加密，可以在加密過程中選擇幾個選項：最大CPU占用率，目的是節(jié)省時間;電源故障安全選項，以便加密過程中萬一出現(xiàn)斷電，防止系統(tǒng)受到破壞。加密磁盤可以使用TPM硬件(如果你有這種硬件)或者USB閃存盤來存儲密鑰文件，也可以兩者結(jié)合使用。PGP Disk另外有一個出色的特性：數(shù)據(jù)粉碎工具，類似自由軟件Eraser產(chǎn)品。它可以清除文件，也可以只清除現(xiàn)有磁盤上的空余空間。 網(wǎng)絡(luò)共享特性(PGP Desktop Storage和PGP Desktop Corporate這兩個版本有該特性)讓你可以共享便攜式驅(qū)動器或者網(wǎng)絡(luò)連接驅(qū)動器上的加密文件。

　　所有解密在用戶端進(jìn)行，所以任何敏感信息絕對不會以明文格式傳送，也用不著在文件服務(wù)器上安裝特殊軟件。網(wǎng)絡(luò)共享還能與活動目錄集成，以便對誰可以訪問哪些信息實行細(xì)粒度管理。

　　還可以對指定受保護(hù)文件夾外面的單個文件進(jìn)行加密，不過這項特性需要單獨啟用(默認(rèn)狀態(tài)下該功能是禁用的)。 PGP Desktop并非只作為獨立程序來使用——它還可以由企業(yè)環(huán)境下的PGP中央服務(wù)器程序(PGP Universal)來管理。如果你打算先在單個系統(tǒng)上使用，然后遷移到更集中管理的環(huán)境，那么PGP Desktop專業(yè)版是個很好的選擇。

　　工具七、7-Zip 費用：免費/開源 網(wǎng)址：www.7-Zip.org 你可能認(rèn)為開源歸檔程序7-Zip與本文介紹的其他程序不在同一檔次，但如果你只是尋找臨時應(yīng)急的方法來創(chuàng)建經(jīng)過加密、密碼保護(hù)的存檔，它其實是個不錯的選擇。

　　7-Zip也能創(chuàng)建自解壓存檔，所以接收方不需要有7-Zip——只要你們事先約定好，任何密碼都可以。不過，它本身并不支持任何一種雙因子驗證。

　　另外為了提高安全性，創(chuàng)建存檔時，一定要選擇“加密文件名”選項。 結(jié)論 大多數(shù)想要保護(hù)磁盤的基本解決方案的人可能會試一試TrueCrypt(或者最接近它的FreeOTFE)，尤其是鑒于前者提供了整個磁盤、引導(dǎo)卷的加密。

　　PGP Desktop也添加了其他許多工具，對不僅需要加密磁盤上的內(nèi)容、還希望加密電子郵件和即時消息的用戶來說，這是個不錯的選擇。BitLocker的一大優(yōu)點是，它是Vista自帶的一項特性，可通過活動目錄來進(jìn)行集中管理。

　　而DriveCrypt也有一些可能有用的隱匿和訪問管理功能。7-Zip是創(chuàng)建經(jīng)過加密、密碼保護(hù)的存檔的一種簡單方法。遺憾的是，Dekart Private Disk很難稱得上是專業(yè)的加密解決方案，因為它包括了一項荒謬的特性：可以對你交給該程序來保護(hù)的卷進(jìn)行蠻力攻擊。