Total Pageviews

Monday, 27 May 2013

TrueCrypt-个人隐私保护利器,文件加密法宝

这种通过网络而影响到个人真实生活的案例比比皆是,对于个人现实的生活产生了极大影响,这其中有一个关键的问题是,大多数人并没有意识到在网络上保护自己的个人隐私的重要性,最终出现问题后才后悔,才进行补救和扫尾工作,但那时已经晚了。

那么面对隐私的泄漏,我们能做些什么呢?我们能做到的,只能是最大限度地保护自己,这里我向大家推荐一款保护自己个人隐私的软件TrueCrypt。

TrueCrypt真的能够保护我们的隐私不受侵犯吗?它有些什么样的特点值得推荐呢?

TrueCrypt的优势:

1.知名度高,口碑好 要判断某个软件的知名度高不高,一个简单的办法,就是到 Google 里搜索一下该软件。(除非碰到同名的情况)通常 Google 的搜索结果数,可以大致反映出该软件的知名度。列位看官可以自己去 Google 搜索一下便知。

说到 TrueCrypt 的口碑,俺可以举一个例子:据说老美的 FBI 拿到某个犯罪分子用 TrueCrypt 加密的数据,结果 FBI 里的一堆密码专家都无计可施。

2.有较多的用户使用 TrueCrypt 具体有多少用户,俺说不上来。不过,据说欧美很多经营色情网站的家伙,就是采用 TrueCrypt 来规避法律风险的–他们把色情内容用 TrueCrypt 加密后再放到托管的服务器上,警察即便拿到了也无法解密,也就无法举证。

3.支持主流的加密算法 TrueCrypt 内置了 AES(Rijndael), Serpent, Twofish 这三种主流的加密算法。

AES(全称:Advanced Encryption Standard)是美国官方在2002年确定的加密标准,其名气自不必多说。另外两种加密算法,名气也很大。当初,Rijndael, Serpent, Twofish 这3者都是 AES 的主要竞标者,最后是
Rijndael 中选。

你可以单独使用这3种的某一种,也可以对这3种加密算法组合使用,以得到更强的加密效果(但速度也更慢)。可用的组合参见下图:

4.要能支持虚拟盘/虚拟分区 这方面是 TrueCrypt 的强项。它除了支持虚拟 硬盘/虚拟 分区的加密,还可以加密某个物理分区甚至整个物理 硬盘;除了可以针对硬盘进行加密,还可以针对U盘(USB flash drive)加密。另外,它还支持隐含卷,隐藏操作系统等功能。

5.最好是免费且开源的 TrueCrypt 是开源的,也是免费的。

6.最好支持多种操作系统 它目前支持 Windows,Mac OS X,Linux 这3种主流操作系统。对于 Windows,从 Windows 2000 一直到 Windows 7 都支持。常见的操作系统,基本上都涵盖了。

TrueCrypt的不同之处:

1.keyfile (密钥文件) TrueCrypt 提供了 keyfile
的功能。简单来说,就是用一个或多个文件作为加密的认证因素(类似于口令)。这样一来,你只要记住加密用的文件(keyfile)即可。对于破解的人,就很难再用传统的”暴力破解口令”的方式了。

2.Hidden Volume(隐藏卷)
所谓的隐藏卷,就是在一个加密卷里面再创建一个加密卷。外层的那个加密卷是”明”的(也叫”宿主卷”);内层的那个,是”暗”的(叫”隐藏卷”)。这两个加密卷必须使用不同的认证因素(不同的口令或不同的
keyfile)。在物理上,你只能看到外层的卷文件,内层的卷,是没有独立的文件的。

当你选中卷文件之后,如果你输入的是外层的认证因素,那就打开外层的卷(这时候看不到内层的数据);反之,输入内层的认证因素,则打开内层的卷(这时候看不到外层的数据)。

隐藏卷的存储示意图如下(本质上就是利用外层卷的剩余空间来存储内层卷的数据):

3.Plausible Deniability (明修栈道,暗渡陈仓) 下面,俺用一个虚构的小故事让大伙儿明白,什么是”Plausible Deniability”。

话说有一个GG叫小黑,他有一个MM叫小白。小黑喜欢背着小白偷看毛片,而且还喜欢把毛片收藏起来;而小白对毛片很反感。为了不让小白知道,小黑把毛片都用 TrueCrypt
加密保存。小黑GG的安全意识很高,他先创建了一个外层的加密卷(明的),里面放一些无光痛痒的文件。然后在外层加密卷中,再创建一个隐含加密卷(暗的),里面保存毛片。

有一天,小白也不知道通过什么途径,发现小黑背着她,加密保存了一些文件。于是 小白就威胁小黑,让小黑打开加密卷给她看一看。这时候,隐藏卷的好处就体现出来了。小黑可以装做很不情愿的样子,然后输入外层加密卷的口令,让小白看一看 外层卷的东西(都是些无关紧要的文件)。小黑就这样顺利蒙混过关了
:-)

这就是利用隐藏卷,实现”Plausible Deniability”的典型案例。你可以在受到胁迫的时候,用隐藏卷功能来”丢车保帅”,而胁迫你的人,未必能看出破绽。

4.短小精悍 TrueCrypt 非常轻巧,安装程序仅有3兆多。安装之后,只有6个文件,如果去掉帮助文件和license文件,那就仅有4个文件了。

另外,TrueCrypt 还支持免安装运行–你可以把安装目录拷贝到U盘,然后就可以在另外一台电脑上使用它。

TrueCrypt图文教程:

1.打开下载页面http://www.truecrypt.org/downloads,开始我们的下载之旅!

2.下载的TrueCrypt软件默认为英语,那么我们还得下载官方的语言包。

简体中文版语言包下载(59KB):http://www.truecrypt.org/download/thirdparty/localizations/langpack-zh-cn-1.0.0-for-truecrypt-7.0a.zip

繁体中文版语言包下载(60KB):http://www.truecrypt.org/download/thirdparty/localizations/langpack-zh-hk-1.0.0-for-truecrypt-7.0a.zip

3.语言包的安装:将所有文件复制到你安装TrueCrypt的文件夹,即”TrueCrypt.exe”文件所在的文件夹中; 例如,”C: PROGRAM FILES TrueCrypt”。

4.运行TrueCrypt,选择”Settings” – >”Language”,然后选择你的语言,然后单击确定。

5.创建一个虚拟的盘符,即加密盘。也就是新建一个盘符,这个盘符用来存放我们的文件。

6.开始创建新的加密盘。

7.选择加密盘的类型。

8.点击”选择文件”,(应该叫选择/建立文件,语言包不强大啊,不符合国人的习惯)创建一个新的文件,这里是自定义文件名。例如:”xxx加密文件”

9.选择加密算法,默认为AE5,你也可以选择其他的加密算法。

10.输入你想创建的新的加密卷的大小比如:2M。但最小不能低于292KB。。

11.这里不用说,输入加密密码呗,要记得哦,忘记了别找我要!哈哈!~~想安全度更高就用密钥文件加密。当然,你得保存好你的密钥!

12.点”格式化”创建这个卷,创建成功后会要求你使用密码或者密钥打开。这点应该不需要我提醒吧。

13.哇!~~创建成功啦!!~

14.恭喜您,加密卷创建成功,还等什么??赶快打开来看看吧^-^!!先点击”选择文件”找到我们创建的”xxx加密文件”,然后点击”加载”。

15.加载后会显示为”M”盘符。其实就是一个加密卷!

16.回到桌面,双击”我的电脑”,可以看到盘符列表中竟然多了一个”M”盘。直接拖入你需要隐藏文件进去吧。HOHO~~~~

17.需要隐藏的文件拖入完毕后,先点”M”盘,然后点击卸载。这样我的电脑中的”M”盘又不见了。而您的文件都安全的放在了加密卷中!!
------------------------------------------
 著名开源数据加密工具TrueCrypt发布了 7.0 版本,新增支持硬件 AES 加密,被加密设备连接计算机时自动加载,收藏加密卷等功能,以及安全性改进。

TrueCrypt 7.0 著名开源数据加密工具发布 7.0 版本

TrueCrypt 7.0 新增的硬件 AES 加密,目前仅支持部分i5/i7 CPU。

TrueCrypt 是款很神奇的软件,在 @Scavin 看来,能想到的加密方式都被 TrueCrypt 做到了,比如用文件做加密卷(可以针对任意一个文件制作加密卷,加载后将出现一个新的硬盘分区,可正常读写),加密非系统分区/移动设备,加密系统分区(在 Windows 启动时输入密码,不同于 Windows 登录时的密码,安全性更高)。以及创建更有趣的隐藏加密卷(除了创建者没人知道隐藏加密卷的存在),甚至可以创建一个隐藏操作系统(与你现有系统一模一样,但无密码,不知道位置则不可见)

总之,TrueCrypt 作为一款著名开源数据加密工具,值得所有人学习使用。

TrueCrypt 有中文语言包,上手可能会有难度(一些概念上的理解,比如卷、加密方式、隐藏卷等等),但熟悉后将给你的工作生活带来意料之外的好处。由于涉及到安全性软件,不推荐在官方以外的地方下载。

 http://www.truecrypt.org/
https://github.com/OlegKi/truecrypt
----------------------------------
reddit上最近掀起了对TrueCrypt的一些质疑。

No one knows who wrote TrueCrypt. No one knows who maintains TC. Moderators on the TC forum ban users who ask questions. TC claims to be based on Encryption for the Masses (E4M). They also claim to be open source, but do not maintain public CVS/SVN repositories and do not issue change logs. They ban folks from the forums who ask for change logs or old source code. They also silently change binaries (md5 hashes change) with no explanation… zero. The Trademark is held by a man in the Czech Republic ((REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200.) Domains are registered private by proxy. Some folks claim it has a backdoor. Who Knows? These guys say they can find TC volumes:
http://16systems.com/TCHunt/index.html
For these reasons, I won’t use it. Encryption is important and TC looks great and makes great claims, but TC should be more transparent.


没有人知道谁写了TrueCrypt(以下简称TC)
没人知道谁在维护TC
TC论坛的版主疯狂地删所有提问的贴子
TC声称是基于Encryption for the Masses (E4M),也声称是open source的,但是没有公开的CVS/SVN仓库,没有issue系统和changelog
论坛上有人发贴索取change logs或者老源码的话会被人封号。
秘密修改二进制包的md5,而没有任何解释。
TC的商标注册在Czech Republic ((REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200.) truecrypt.org域名是匿名通过代理注册的。
有人说TC有后门。但是谁知道呢?
甚至有人声称他们能读取TC加密卷

TrueCrypt的虽然是开源软件,但是很奇怪的找不到任何CVS/SVN/GIT /Hg源码托管和版本控制。虽然可以下载到源码包,但是版本很旧,你自个儿编译的话,由于系统版本、内核版本、编译工具的细微差别,99%的可能性你编译出来的和官方发布的二进制版本不一样。而且有这样一个故事

Let me tell you a little story. In 1983, during his Turing Award lecture, Ken Thompson admitted to a back door in the UNIX kernel which enabled him to log in. Because UNIX was distributed as source, he was concerned about being discovered. So instead he wrote the C compiler to recognize that it was compiling the kernel, and to insert the relevant code into the binary during compilation. But because the C compiler was also distributes as source, he wrote the compiler so that it would recognize it was compiling a copy of itself, and then insert the relevant recognition code into the new C compiler. The result: a back door installed in an operating system distributed entirely as source code (without the back door).
So I don’t think your claim is valid.
http://cm.bell-labs.com/who/ken/trust.html


@路人甲,
我在tc的官网上面可以找到源码下载啊
而且是最新的7.0的
不过我没有编译,不知道编译的结果和发布的二进制包一样不一样.

@路人甲,
这个质疑两三年前就看到了,那时候这个tchunt网站还没有提供那个例子程序。
只要不是truecrypt程序本身有意泄露用户隐私的话,只是算法有后门的话问题还是不大的吧。

@路人甲, 我也看过。
不过嫌疑可以小一点,原因如下:
1. 官方提供最新的、完整的源码包;
2. 安装程序以及程序文件都有数字签名;
3. 数字签名可用,不是假的…

Let me tell you a little story. 从前,你可以从这里下载到最新的 TrueCrypt 7.0 源码-
http://www.truecrypt.org/downloads2

加密分区的时候就得先格掉分区啊.