加密应用程序保护你的数据安全
移动计算意味着有可能丢失或被盗。这三款应用程序可以保护你的数据安全和保密。
笔记本电脑已经成为大量信息的移动存储设备。再加上可移动硬盘的激增,世界上有多少敏感数据在流动就变得非常清楚了,但其中大多数都没有得到足够的保护。
许多用户试图用系统密码或其他机制来保护他们的数据。但冷酷无情的事实是,这些保护计划给人一种虚假的安全感。第三方启动工具可以轻松破解Windows桌面密码,这些工具可以访问驱动器分区上的任何文件,而其他工具也可以破解大多数应用程序的密码。
一个更好的选择是使用可靠的加密工具来保护存储设备的内容,使第三方几乎不可能访问您的数据文件。有几种方法可以做到这一点——一些实用程序将加密单个数据文件,而另一些实用程序可能加密目录或存档,还有一些实用程序将加密一个完整的驱动器分区。
不过,选择加密什么只是问题的一部分。数据的加密方式同样重要。
有几种加密级别,它们的主要区别在于加密的复杂性。简单地说,加密方案越复杂,你的数据就越安全。但是,在选择最复杂、最安全的可用加密方案之前,应该考虑另一个因素——加密或解密数据所需的处理能力。更复杂意味着更安全,但也意味着对硬件的要求更高。
直到最近,还很难找到一种便宜、易用、可靠的驱动器加密工具。可用的工具要么太复杂,要么太昂贵,非技术人员无法使用,要么它们严重影响性能,使PC变慢。幸运的是,在过去的几年里发生了很多变化,许多新的和改进的产品已经进入市场。
在这篇综述中,我介绍了三种加密包:微软PGP Corp.的全磁盘加密,以及TrueCrypt开发者协会(TrueCrypt Developers Association)提供的TrueCrypt。
BitLocker是最容易获得的,至少对Windows用户来说是这样——它包含在企业和Windows Vista的最终版本Windows 7。TrueCrypt是一个开源的免费软件,被一些大学和非营利机构使用。如果用户正在寻找能够负担得起的第三方加密产品,并获得领先厂商的支持,那么全磁盘加密(每个座位149美元)就是一个顶级的竞争者。
我在一台联想T61p笔记本电脑和一台东芝Portege R600超轻笔记本电脑上安装了这两款产品。我用的是富士通M2010上网本来读取加密的存储设备和加密的文件。这三款系统都运行Windows 7终极版。
我还用几个不同大小的Corsair USB驱动器和一个60GB的外置逐字USB驱动器测试了每种加密产品。
类型的加密
加密的两种主要类型是私钥(也称为对称密钥)加密和公钥加密。在私钥中,一个密钥同时用于加密和解密。私钥算法通常在硬件中非常快速和容易实现,因此它们通常用于批量数据加密。
公钥加密涉及使用两种不同但在数学上相关的密钥:公钥和私钥。公钥不是秘密的,可以与任何人共享;它用于对私钥持有者的数据进行加密。私钥(或秘钥)用于解密由公钥加密的任何数据。公钥加密主要用于电子邮件消息、文件附件、数字签名和其他与事务相关的过程。
大多数文件、目录和分区加密产品依赖于私钥方案,使用一个只有数据所有者知道的密钥加密数据文件。私钥算法有两大类:流密码和块密码。
流密码分别对数据流的每个字节进行加密。流密码通常用于无线通信。例如,A5,该算法用于加密GSM通信,是一种流密码。的RC4密码和一次性垫(OTP)也是流密码。
另一方面,块密码一次加密一个数据块,更多地用于数据加密。现在使用的有几种块密码,它们的方法都有不同的变体,例如DES,AES,RSA和diffie - hellman。
许多使用分组密码加密的加密产品可以与PC的可信平台模块(TPM)集成。TPM是一个发布的规范,它详细描述了安全crypto-processor可以存储保护信息的加密密钥。TPM芯片使用硬件伪随机数生成器处理加密密钥的安全生成。TPM还包括诸如远程认证(它创建一个几乎不可伪造的硬件和软件配置散列键摘要)和密封存储等功能。
首先,好消息是BitLocker是免费的,并且可以提供用户想要的几乎所有功能。然而,有一个问题:完整的BitLocker产品只适用于Windows 7的终极版和企业版(或者Vista企业版和终极版),这些版本很少安装在上网本和笔记本上。此外,Vista版本的BitLocker缺乏加密可移动媒体的能力,这是一个非常重要的功能,因为现在USB密钥驱动器和外部硬盘驱动器都很常见。
我研究了Windows 7中包含的BitLocker应用程序,它被分为两种服务:BitLocker,用于硬盘分区,以及BitLocker to Go,用于可移动媒体。
BitLocker使用AES加密算法cyber-block链接(CBC)模式采用128位密钥,与大象扩散器用于未由AES提供的特定于磁盘加密的其他安全性。
乍一看
微软
价格:免费(适用于Windows 7终极版和企业版或Vista企业版和终极版)
应用程序通过加密磁盘分区来工作;该分区可以位于系统或可移动设备上。例如,如果你使用BitLocker来保护你的系统硬盘,它将创建一个系统分区(其中包含启动你的计算机所需的文件)和一个操作系统分区,其中包含你的应用程序、数据和Windows。操作系统分区将被加密,而系统分区将保持未加密状态,以便您的计算机可以启动。
BitLocker在配备了TPM的计算机上实现了它的全部潜力。BitLocker可以使用透明操作模式(TPM自动输入密钥)或用户身份验证模式(用户必须手动输入密码)。TPM硬件检测对预引导环境的任何未经授权的更改,包括对BIOS和主引导记录(MBR)的更改。如果检测到任何未经授权的更改,BitLocker请求一个USB设备上的恢复密钥或手动输入的恢复密码。这些加密秘密中的任何一个都将解密卷主密钥(VMK),并允许引导过程继续。
BitLocker以BitLocker To Go的形式提供了额外的保护,可与可移动媒体一起使用的加密选项。
BitLocker与Windows 7紧密集成;它从Windows 7控制面板启动,包括一个向导驱动的设置,简化了配置。首先,我在东芝Portege的Windows 7控制面板上启动了BitLocker应用程序,然后选择“打开BitLocker”。This launched a system requirements wizard, which checked to make sure that the system was compatible with the software and listed any changes that needed to be made. In my case, BitLocker recommended that I turn on the TPM security hardware on my test system, which required me to reboot the system and enable the TPM hardware in the system BIOS.
在我的联想T61p上,TPM已经启用,所以BitLocker能够立即启动驱动器加密过程。
作为加密过程的一部分,BitLocker提供了一种保存“恢复密钥”的方法。“恢复密钥”是一种40位数字的代码,专门用于在系统出现问题或您丢失密码时访问您的数据。您可以将恢复密钥保存到USB驱动器或本地文件,也可以将其打印出来。加密过程可能需要一些时间来完成——这一切都取决于分区上存储的数据量、硬盘速度和处理器性能。东芝Portege系统的固态硬盘容量约为30GB,加密时间超过3个小时(幸运的是,加密过程可以在后台运行)。联想T61p在120GB的内置硬盘上存储了70GB的数据,所以花的时间要长得多——事实上,我最后让加密过程在一夜之间就完成了。
加密驱动器后,我发现在系统中如何进行差异不大 - 应用程序似乎是快速加载,启动时间基本保持不变和操作,如文件复制似乎一样快。这就是说,当加密和解密的文件,但是,通过Windows任务管理器指示有一些可衡量的CPU开销,这是低于8%,正常使用过程中并不明显。
驱动器加密去
BitLocker去证明是非常容易使用。你所要做的就是启动产品并创建一个密码(或使用智能卡)来加密/解密驱动器。整个过程只需要几分钟;像它的老大哥一样,该实用程序创建一个40位的恢复密钥。一旦配置,BitLocker去可以自动加密USB驱动器,无论何时你插入。与操作系统的紧密集成使得它非常容易用于可移动媒体。当USB驱动器插入到系统中时,BitLocker To Go阅读器会自动启动,然后它会要求获得密码来访问存储在设备上的数据。我对8个不同大小的USB密钥驱动器进行了加密——每个都只需要几分钟就能加密,而且都能完美地工作。
BitLocker To Go允许移动驱动器与其他系统一起使用,如Windows XP和Windows Vista pc。唯一的问题是,应用程序只允许旧的操作系统读取数据——不能添加新数据。
BitLocker和BitLocker To Go是一种加密和保护Windows 7电脑数据文件的好方法,应该是手机和家庭工作者想要保护他们敏感数据文件的首选。
驱动器加密还支持Windows网络,和管理员可以设置Windows集团政策,可以执行使用移动存储设备上的磁盘加密和加密服务器和个人电脑上的硬盘,这可能是一个好的方法来防止数据被退休的设备,以防管理员忘记适当擦拭或破坏硬盘。
如果你不是在运行Windows 7,或者你想使用微软产品以外的东西(并且不想花钱),TrueCrypt开发者协会的TrueCrypt是很难击败的。
该产品与微软的BitLocker提供的特性相匹配,并提供了一些有趣的附加特性,比如创建虚拟加密卷的能力,该卷可以挂载为驱动器号或与虚拟文件夹相关联。换句话说,您可以将所有关键数据文件存储在一个单独的、加密的磁盘卷上,然后通过将驱动器符与卷关联并输入相关的密码来访问这些数据文件。这样一来,你就可以允许别人在你的敏感数据不被窥探的情况下使用你的电脑。
乍一看
TrueCrypt开发商协会
价格:免费
这种方法有几个优点。首先,您可以“隐藏”加密卷,这样其他用户甚至不知道它们的存在。您还可以隔离数据文件,只加密您认为重要的数据。最后,您不需要对应用程序或操作系统文件进行加密,这意味着系统不会对性能造成太大的影响。
TrueCrypt使用了几种不同的加密算法,包括AES,蛇和Twofish。这些算法可以以许多不同的方式组合起来,创建复杂的加密方案——那些想要钻研TrueCrypt加密算法的技术细节的人可以看看几十页的信息在其网站上。我从网站上下载了6.3版;安装只需几分钟。
当我启动应用程序时,我看到了一个非常易于导航的简洁管理控制台。它提供了一个驱动器字母列表(可以与加密卷关联),以及几个用于挂载和卸载加密卷的按钮。屏幕顶部提供了几个下拉菜单,其中包括加密系统卷、创建救援媒体、构建密钥等功能。简单地说,TrueCrypt能做的任何事情都在我的指尖。