TrueCrypt——文件加密的法宝

转自：
http://program-think.blogspot.com/2011/05/recommend-truecrypt.html

http://blog.csdn.net/program_think/article/details/4014202

开源点评：cURL(优秀的应用层 络协议库)

加密firefoxencryption工具破解

目录(/span>[+]

★TrueCrypt 是啥玩意儿h2>
　　简单来说，TrueCrypt 是用来对整个硬盘或某个分区（支持物理硬盘和虚拟硬盘）进行实时加密的工具。
　　官方 站在 http://www.truecrypt.org/
　　目前最新版本是2010年9月发布的 7.0a 版
　　如果想大致看看该软件长啥样子，请看官 上的截图（在“这里”）。

★回顾一下挑选加密工具的注意事项

　　俺在前一个帖子里，提到了挑选文件加密软件的几个注意事项。咱们首先来对照一下，TrueCrypt 是否符合这些要求。

◇知名度高，口碑好

　　要判断某个软件的知名度高不高，一个简单的办法，就是到 Google 里搜索一下该软件。（除非碰到同名的情况）通常 Google 的搜索结果数，可以大致反映出该软件的知名度。列位看官可以自己去 Google 搜索一下便知。
　　说到 TrueCrypt 的口碑，俺可以举一个例子。据说老美的 FBI 拿到某个犯罪分子用 TrueCrypt 加密的数据，结果 FBI 里的一堆密码专家都无计可施（懂洋文的同学可以看“这里”的 道）。

◇有较多的用户使用

　　TrueCrypt 具体有多少用户，俺说不上来。不过，据说欧美很多经营色情 站的家伙，就是采用 TrueCrypt 来规避法律风险的——他们把色情内容用 TrueCrypt 加密后再放到托管的服务器上，警察即便拿到了也无法解密，也就无法举证。

◇支持主流的加密算法

　　TrueCrypt 内置了 AES(Rijndael), Serpent, Twofish 这三种主流的加密算法。
　　AES（全称：Advanced Encryption Standard）是美国官方在2002年确定的加密标准，其名气自不必多说。另外两种加密算法，名气也很大。当初，Rijndael, Serpent, Twofish 这3者都是 AES 的主要竞标者，最后是 Rijndael 中选。
　　你可以单独使用这3种的某一种，也可以对这3种加密算法组合使用，以得到更强的加密效果（但速度也更慢）。可用的组合参见下图：

　　可能有同学会纳闷：这么玩，有啥用捏下一节——Plausible Deniability

◇Plausible Deniability

　　很抱歉，这个洋文，俺没有找到合适的中文来表达它的含义（ 上有人翻译为：“冠冕堂皇地拒绝”，俺觉得不够贴切）。下面，俺用一个虚构的小故事让大伙儿明白，什么是”Plausible Deniability”。
　　话说有一个GG叫小黑，他有一个MM叫小白。小黑喜欢背着小白偷看毛片，而且还喜欢把毛片收藏起来；而小白对毛片很反感。为了不让小白知道，小黑把毛片都用 TrueCrypt 加密保存。小黑GG的安全意识很高，他先创建了一个外层的加密卷（”明”的），里面放一些无光痛痒的文件。然后在外层加密卷中，再创建一个隐含加密卷（”暗”的），里面保存毛片。
　　有一天，小白也不知道通过什么途径，发现小黑背着她，加密保存了一些文件。于是小白就威胁小黑，让小黑打开加密卷给她看一看。这时候，隐藏卷的好处就体现出来了。小黑可以装做很不情愿的样子，然后输入外层加密卷的口令，让小白看一看外层卷的东西（都是些无关紧要的文件）。小黑就这样顺利蒙混过关了 :-)
　　这就是利用隐藏卷，实现“Plausible Deniability”的典型案例。你可以在受到胁迫的时候，用隐藏卷功能来“丢车保帅”，而胁迫你的人，未必能看出破绽。

◇隐藏操作系统（Hidden Operating System）

　　隐藏操作系统的功能，本质上跟隐藏卷类似——也是有一明一暗两个加密卷，分别装两个操作系统。”明”的操作系统就放一些无关痛痒的文件，而那些敏感的文件都放到”暗”的操作系统中。
　　当你受到胁迫的时候，你就输入”明”的那个密码，进入那个”明”的操作系统。这样一来，”暗”的那个操作系统就不会暴露。

◇短小精悍

　　TrueCrypt 非常轻巧，安装程序仅有3兆多。安装之后，只有6个文件，如果去掉帮助文件和license文件，那就仅有4个文件了。
　　另外，TrueCrypt 还支持免安装运行——你可以把安装目录拷贝到U盘，然后就可以在另外一台电脑上使用它。

◇成熟度较高

　　对于加密工具来说，软件的成熟度是非常重要的。如果软件不成熟，会导致如下2种重要的风险：
其1，假如软件有Bug并导致解密后的数据和加密前的数据不一样（数据损坏）——意味着你的数据（往往是重要的）丢失了。
其2，如果软件的数据加密过程有缺陷，可能导致加密数据被攻击者轻易破解——意味着你的数据（往往是见不得人的）被曝光。
　　而俺喜欢 TrueCrypt 的一个重要原因就是它的成熟度比较高。除了因为它研发时间长（已有7年多），除了因为它的口碑好，还有一个重要原因是软件的功能和文档做得很细致。（从一个软件的功能和相关文档，可以看出其研发团队的成熟度）
　　有这么多亮点功能，再配合较高的成熟度，TrueCrypt 绝对值得一试。

★使用 TrueCrypt 的注意事项

　　介绍完特色功能，最后再讲几个注意事项，以免大伙儿走弯路。

◇关于中文界面

　　TrueCrypt 默认是西洋文的界面，那些不适应西洋文的同学，可以到官 去下载语言包（在“这里”）。

◇关于虚拟卷的尺寸

　　如果你要创建一个虚拟的加密卷。在创建的时候，一定要想好卷的大小——要足够大以便存放要加密的数据。目前 TureCrypt 没有提供“调整虚拟加密卷大小”的功能。也就是说，虚拟卷一旦创建，大小就固定了。万一你把这个卷的空间用完了，就只好另外创建一个新的，把原先的数据copy过去，再把老的删除。
　　好在现在硬盘已经是白菜价了，所以大伙儿创建虚拟卷的时候，尺寸要估计得充裕一些为好。

◇关于 keyfile

　　用什么样的文件作为 keyfile 比较好捏种方法：1、自己找一个文件；2、让 TrueCrypt 帮你创建一个随机文件。这两种方式的注意事项如下：

　　1、如果让 TrueCrypt 帮你随机生成
　　那么，你一定要记得把生成的 keyfile 备份好。否则，一旦 keyfile 丢失了，那你就再也无法打开加密卷了。

　　2、如果你自己选择 keyfile
　　俺建议选作 keyfile 的文件不要太小，至少也得有100KB（最好超过1MB），这样加密效果比较好。另外，如果自己选 keyfile，你可以选某个比较知名的文件做 keyfile。一来比较好记，二来也不容易搞丢。比方说，你很喜欢Firefox，那你可以用Firefox的安装文件作为 keyfile。万一搞丢了，还可以再去 Firefox 官 下载。

　　为了让安全性更高些，你可以把 keyfile 跟加密卷分开存放。如果你的加密卷在电脑上，那建议你把 keyfile 保存在一个随身携带的U盘或者手机上（现在大部分手机都可以当U盘用）。

◇关于隐藏卷

　　由于隐藏卷是存储在外层卷（宿主卷）的剩余空间中。理论上，当你往外层卷写数据的时候，有可能会破坏隐藏卷。TrueCrypt 当然早就考虑到了这点，并提供了一种保护机制。当你想在外层卷写数据，但是又不希望破坏内层卷，你就必须在打开卷的时候，同时输入内外2个卷的认证因素。这时候，TrueCrypt 会打开外层卷，但是也会对隐含的内层卷进行暗中保护。一旦你在外层卷的写操作会影响到内层卷，TrueCrypt 会屏蔽掉这个“写操作”，然后提示你：写入失败。
　　当然啦，你在受到胁迫的时候，千万不要输入内层卷的密码，否则就露馅了！

◇关于免安装运行

　　有些人喜欢把加密卷和 TrueCrypt 程序一起放到U盘上。然后，随便找一台电脑插上，就可以运行 TrueCrypt 并打开加密卷。这样的好处是——相当于一个移动硬盘，还不怕丢失。
　　但是这么干有一个风险。如果你在一台不安全的电脑上运行 TrueCrypt，万一这台电脑上被植入了木马，万一这个木马还具有Key Logger（键盘记录）的功能，那你的加密卷口令就有可能被盗取。

★结尾

　　诸位同学，如果确实要用 TrueCrypt，一定要花点时间看看它的使用手册。那手册写得可真好，不光介绍了 TrueCrypt 的使用，还介绍了很多信息安全方面的知识。
　　另外，如果对 TrueCrypt 还有啥疑惑或有啥补充，可以在俺的帖子后面留言或者给俺Email。