首先讓我給你一些備份故事:一位電腦技術人員要求我給他我的筆記型電腦,並向他詢問我想「隱藏」在硬碟中的任何資訊。他聲稱無論我如何隱藏,他都能找回任何東西。
因為我不喜歡像「你對此無能為力」這樣的絕對陳述,所以我開始在腦海中思考這個問題。我意識到一個非常安全的作業系統不會解決這個問題,因為他不需要從這個特定的硬碟啟動來尋找我的硬碟中的東西。
這裡的一般問題是:
有沒有一種方法可以完全保護硬碟中的所有資料? (我不需要詳細解釋如何做,我只需要你給我指出一個方向;我可以自己閱讀更多相關內容)
具體來說,我懷疑我可能需要:
一個非常安全的作業系統,可能會加密它儲存的所有資料(我不知道這樣的東西是否存在)。
如果上述情況不存在,有沒有辦法手動加密我的硬碟中的數據,並且仍然能夠從該硬碟啟動?
一般來說,我希望讓除我之外的任何人都盡可能少地訪問硬碟(=知道特定的密碼/金鑰),因此歡迎任何解決方案。
答案1
這足以加密大多數敏感檔案。使用 AES 256 位元和良好的長密碼加密的 ZIP 檔案在沒有密碼的情況下幾乎不可能進入。 (避免使用稱為 PKZIP 流密碼/ZipCrypto 的傳統 ZIP 加密 - 眾所周知,它很弱。)
還可以加密整個分割區,隱藏其中的所有內容。真密碼是家庭(和一些企業)分區/圖像加密的事實上的標準程序。與作業系統內建的工具相比,Truecrypt 最好的一點可能是它便攜的:有一個適用於 Windows、Mac OS X 和 Linux 的版本,它們構成了絕大多數消費性作業系統。
如果你想隱藏一切,您可以加密系統中的每個分割區,包括您啟動的分割區。如果不知道密碼/金鑰,則無法從加密磁碟機讀取資料。問題是,Windows 作業系統並不總是支援從加密硬碟啟動。Truecrypt 有它所謂的系統加密。他們總結得很好:
系統加密涉及到啟動前身份驗證,這意味著任何人想要存取和使用加密系統、讀寫系統磁碟機上儲存的檔案等,都需要在每次 Windows 啟動(啟動)之前輸入正確的密碼。預啟動驗證由 TrueCrypt 啟動載入程式處理,該程式位於啟動磁碟機的第一磁軌和 TrueCrypt 救援磁碟上。
因此,Truecrypt 引導程式將在作業系統之前載入並提示您輸入密碼。當您輸入正確的密碼時,它將載入作業系統引導程式。硬碟機始終處於加密狀態,因此即使是可啟動 CD 也無法從中讀取任何有用的資料。
加密/解密現有系統也不難:
請注意,TrueCrypt 可以在作業系統運行時就地加密現有的未加密系統分區/驅動器(在系統加密期間,您可以照常使用計算機,不受任何限制)。同樣,TrueCrypt 加密的系統分割區/磁碟機可以在作業系統運作時就地解密。您可以隨時中斷加密或解密過程,使分區/驅動器部分不加密,重新啟動或關閉計算機,然後恢復該過程,該過程將從停止點繼續。
*其他各種作業系統支援系統磁碟機加密。例如,Linux 核心 2.6 及更高版本有dm 密碼,Mac OS X 10.7 及更高版本有文件庫2。 Windows 有這樣的支持位元鎖,但僅限於企業/商業/伺服器版本,並且僅限於 Vista 及更高版本。如上所述,Truecrypt 更便攜,但通常缺乏加密系統驅動器所需的集成,Windows 是例外。
答案2
一個短語 - 全盤加密,最好使用一個好的、長的、非字典金鑰。您也可以查看使用外部密鑰檔案執行此操作的系統。基本上,由於除了引導程式之外的整個系統都是加密的,因此缺少直接記憶體存取攻擊- 也就是說,使用火線或其他具有 DMA 的裝置來獲取記憶體內容和/或使用冷啟動攻擊來獲取資訊。解決這個問題很簡單 - 只需確保在移交系統之前關閉系統並取出電池即可。如果它只是一個硬碟,這兩種攻擊都是不可能的
我可能只是給 truecrypt 一個機會,使用一個非常長的隨機密碼(長度使暴力破解變得更加困難,而隨機性可以防止字典攻擊),然後讓他帶著它進城。或者,某些版本的 Windows 具有 Bitlocker - 這是 Windows 中內建的強大 FDE 選項。同樣,還有適用於 Linux 的解決方案,例如 luks 和 dmcrypt。
或用隨機資料填充磁碟......然後看看他需要多長時間才能弄清楚;)
答案3
不要上當,例如「給我密碼,這樣我就可以檢查結果」。
我參加的一個安全會議一開始就要求輸入密碼。講到一半時,主持人說最大的安全風險是你,因為大多數人都免費洩漏了密碼。
(是的,只需加密相關資料即可。)
答案4
我同意 TrueCrypt 的其他答案。然而,我有一個重要的觀點要補充—TrueCrypt 的合理否認特性。這意味著 TrueCrypt 不會在其加密的磁碟/檔案上留下任何可識別的簽章。因此,沒有人可以證明磁碟上的一組位元是隨機位元還是加密資料。這一點非常重要,以至於它對最近的一個法庭案件產生了影響。