全球最著名的硬盘加密
TrueCrypt是全球最著名最权威的硬盘加密软件,迄今为止没有任何方法可以破解其加密的磁盘,另外由于它是开源的,所以其安全性不容置疑。但对于
TrueCrypt,Windows下的BitLocker(前文所述),FileVault ( MacOS X),dm-crypt(Linux),都可以通过对内存镜像进行分析获得密钥,使破解成为可能。这种方式也成为: cold boot attack。
美国普林斯顿大学研究人员公布的最新研究报告称,现有的计算机加密技术存在重大弱点,不法分子可以通过一种低技术含量的手段绕过加密软件获取计算机存储器内敏感数据。美联社援引这份研究报告说,低温可使计算机内存断电之后仍保留其中数据数分钟甚至数小时。对经加密的计算机而言,这些数据则包含加密数据。在非低温状态下,内存被断电几秒后就会损失数据。
来自美国普林斯顿大学、电子产品维权基金会以及“风河系统”软件公司的研究人员参与了上述研究。
研究人员用倒置的压缩气体喷洒器向计算机内存喷气,使其降温至零下50摄氏度。之后,他们利用断电的内存中数据“冻结”时间,通过一个简单的内存镜像软件重启计算机,把其中数据读取出来,再分析、处理这些数据,从而找出计算机密码,获得访问计算机存储信息的权限。报道说,利用上述方法,电脑黑客可以在内存清除其内部敏感数据前盗取信息。
报告指出:“这些风险意味着,笔记本电脑磁盘加密手段可能没有普遍预想的那样理想……最终,内存将可能被认为不可靠,并应被避免用来存储敏感机密数据。但 在(计算机相关)结构被改变,从而向软件提供存储密码的安全场所以前,这(种避免把敏感机密数据存于内存的做法)将不具可行性。”
研究人员称,他们破解了一系列常见加密程序,如微软BitLocker,苹果FileVault,TrueCrypt等。由于结构相似,其他许多加密手段也同样能被破解。
“如今,磁盘加密产品看似极其重要:(一些)笔记本电脑里存储着企业或个人的敏感数据……而我们却破解了这些产品,”法新社援引普林斯顿大学计算机科学在读博士生J·亚历克斯·霍尔德曼的话说,“这不是个小漏洞,它是这些系统设计上的一种根本局限性。”
研究人员警告说,只要在黑客物理接触范围内,笔记本电脑在锁定、睡眠等带电状态时尤其脆弱。关掉笔记本电脑有助于防止黑客入侵,但并非在所有情况下都有效。
“无论是你的笔记本电脑被盗,还是你只是在机场安检处几分钟之内看不到它,里面的信息都可能被一名聪明的入侵者读取,”电子产品维权基金会技术专家塞思·舍恩说。
下面介绍一下TrueCrypt 软件。
美国普林斯顿大学研究人员公布的最新研究报告称,现有的计算机加密技术存在重大弱点,不法分子可以通过一种低技术含量的手段绕过加密软件获取计算机存储器内敏感数据。美联社援引这份研究报告说,低温可使计算机内存断电之后仍保留其中数据数分钟甚至数小时。对经加密的计算机而言,这些数据则包含加密数据。在非低温状态下,内存被断电几秒后就会损失数据。
来自美国普林斯顿大学、电子产品维权基金会以及“风河系统”软件公司的研究人员参与了上述研究。
研究人员用倒置的压缩气体喷洒器向计算机内存喷气,使其降温至零下50摄氏度。之后,他们利用断电的内存中数据“冻结”时间,通过一个简单的内存镜像软件重启计算机,把其中数据读取出来,再分析、处理这些数据,从而找出计算机密码,获得访问计算机存储信息的权限。报道说,利用上述方法,电脑黑客可以在内存清除其内部敏感数据前盗取信息。
报告指出:“这些风险意味着,笔记本电脑磁盘加密手段可能没有普遍预想的那样理想……最终,内存将可能被认为不可靠,并应被避免用来存储敏感机密数据。但 在(计算机相关)结构被改变,从而向软件提供存储密码的安全场所以前,这(种避免把敏感机密数据存于内存的做法)将不具可行性。”
研究人员称,他们破解了一系列常见加密程序,如微软BitLocker,苹果FileVault,TrueCrypt等。由于结构相似,其他许多加密手段也同样能被破解。
“如今,磁盘加密产品看似极其重要:(一些)笔记本电脑里存储着企业或个人的敏感数据……而我们却破解了这些产品,”法新社援引普林斯顿大学计算机科学在读博士生J·亚历克斯·霍尔德曼的话说,“这不是个小漏洞,它是这些系统设计上的一种根本局限性。”
研究人员警告说,只要在黑客物理接触范围内,笔记本电脑在锁定、睡眠等带电状态时尤其脆弱。关掉笔记本电脑有助于防止黑客入侵,但并非在所有情况下都有效。
“无论是你的笔记本电脑被盗,还是你只是在机场安检处几分钟之内看不到它,里面的信息都可能被一名聪明的入侵者读取,”电子产品维权基金会技术专家塞思·舍恩说。
下面介绍一下TrueCrypt 软件。
加密软件是否值得我们信赖
网上流传着很多加密、隐藏特定文件和目录的方法、技巧、软件、硬件,比如加密狗、王牌文件夹加密大师、宏杰工具之文件夹加密、文件夹隐藏及加密金刚、博物加密工具;比如隐藏文件到
jpg图片、mp3、pdf文档;比如创建一个“看不到”、“删不掉”的目录。
其中绝大部分方法都可以破解,绝大部分软件我们通常都
不放心!不放心的原因有三:
1、不知道加密软件有没有后门
很多加密软件都是小公司甚至个人开发的,虽然他们技术实力也许很强,但是由于软件没有公开源代码,我们永远也不知道有没有特定的密码、技巧可以万能的破解被加密的文件。
很多加密软件都是小公司甚至个人开发的,虽然他们技术实力也许很强,但是由于软件没有公开源代码,我们永远也不知道有没有特定的密码、技巧可以万能的破解被加密的文件。
2、不知道有没有工具破解
如果加密软件采用的是类似于rookit的hook钩子截获windows api的实现文件隐藏的话,那么肯定可以破解的。
如果加密软件采用的是类似于rookit的hook钩子截获windows api的实现文件隐藏的话,那么肯定可以破解的。
如果加密软件使用各种算法进行加密,那么由于实现细节我们不清楚,同样有被破解的可能。即使它号称
“反跟踪、反编译、反破解、双重安全检测、使用了高强度的加密算法”,我们也不是很放心。
3、不知道能否100%解密
如果重要数据文件加密后,解密失败了,那显然比不加密还要糟糕,加密就等于删除了!-_-,到时候只有欲哭无泪了。
如果重要数据文件加密后,解密失败了,那显然比不加密还要糟糕,加密就等于删除了!-_-,到时候只有欲哭无泪了。
甚至有的加密软件本身还带有病毒、木马,当然只是极少数。
那么
TrueCrypt有什么与众不同的呢?
1、可靠
TrueCrypt完全开放源代码,只要你愿意,你完全可以自己下载源代码然后自己编译生成可执行文件,TrueCrypt内部每一步都做了些什么,清清楚楚明明白白,更何况全球有几乎1000万双眼睛盯着呢,TrueCrypt完全不可能做手脚!
TrueCrypt完全开放源代码,只要你愿意,你完全可以自己下载源代码然后自己编译生成可执行文件,TrueCrypt内部每一步都做了些什么,清清楚楚明明白白,更何况全球有几乎1000万双眼睛盯着呢,TrueCrypt完全不可能做手脚!
2、安全
TrueCrypt使用了多种不同加密算法:AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES,加密容易解密难,加密快得你感觉不到占用了时间,解密呢,只有一种办法:暴力破解,穷举所有可能的密码,而且速度很慢,一秒钟试不了几个(我们假设是三个),如果你的密码有10位长的话,那么10000000000除以(60*60*24*365*3)等于105.7年,如果你的密码有20位长, 暴力破解需要1056993066125年时间!
TrueCrypt使用了多种不同加密算法:AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES,加密容易解密难,加密快得你感觉不到占用了时间,解密呢,只有一种办法:暴力破解,穷举所有可能的密码,而且速度很慢,一秒钟试不了几个(我们假设是三个),如果你的密码有10位长的话,那么10000000000除以(60*60*24*365*3)等于105.7年,如果你的密码有20位长, 暴力破解需要1056993066125年时间!
软件介绍:
TrueCrypt之软件主界面(图一)
TrueCrypt是一款免费,开源的支持Windows Vista/XP/2000 and Linux的绿色虚拟加密磁盘工具,可以在硬盘上创建一个或多个虚拟磁盘,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。 TrueCrypt提供多种加密算法,如AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES等,其他特性还包括支持FAT32和NTFS分区、隐藏卷标和热键启动。
软件全称: TrueCrypt 软件语言: 多语
软件版本: 6.2 软件大小: 2.44M
软件授权: 免费版 华军下载: 英文原版 官方中文包
一. 软件安装
TrueCrypt在使用前须对其进行安装才可进行使用,软件须按照提示进行安装,软件安装过程如下图所示:
TrueCrypt之接受安装协议(图二)
TrueCrypt之选择安装目录(图三)
TrueCrypt之完成安装(图四)
二
. 软件使用
TrueCrypt在安装完毕后,双击桌面图标即可进入到软件主界面,在软件启动后,会跳出窗口提示用户进行操作,并且小编要提醒大家的是该软件为英文,所以在初次使用时我们须将其转换为中文显示,点击软件设置栏,如下图所示:
TrueCrypt之选择语言(图五)
点击语言选项后,软件会跳出提示窗口,在语言框内我们只能靠英文选项,我们须在其官方网站上进行语言选项下载,点击下载如下图所示:
TrueCrypt之语言下载(图六)
点击下载后,软件会自动关联到官方网站,该软件支持多国语言,用户可从跳出窗口选择中文语言,如下图所示:
TrueCrypt之中文语言下载(图七)
在下载了中文语言包后,我们还要将其放入到我们的软件目录,然后关闭软件重新启动软件界面即可变为中文界面,如下图所示:
TrueCrypt之中文语言安装(图八)
将软件界面语言更换为中文后,我们就可以方便的进行软件使用了,首先我们须进行加密卷的创立,点击软件创建加密卷,软件会跳出窗口提示用户进行操作,首先我们要对加密的类型进行选择,如下图所示:
TrueCrypt之加密卷创建(图九)
小编选择的第一种创建文件型加密卷,其后软件会提示加密卷为标准形式还是隐藏形式存在,小编选择的是标准型加密卷,如大家有特殊需要可选择隐藏形式加密卷,如下图所示:
TrueCrypt之加密卷类型(图十)
在进行了加密卷创建后,我们还须对加密卷的位置进行选择,点击下一步后在跳出的窗口中点击选择文件按钮进行选择,如下图所示:
TrueCrypt之选择文件(图十一)
选择好加密文件后,我们还点击下一步菜单,在跳出的窗口中我们须选择设置加密算法,其中包括好几种的算法,用户自行选择,如下图所示:
TrueCrypt之文件加密算法(图十二)
除了设置加密卷位置及算法,我们还须在下一步的设置中,对我们所要采用的加密卷进行大小设置,须为其设置一个上限,如下图所示:
TrueCrypt之加密卷大小(图十三)
选择好加密卷大小后,我们还须为加密卷选择一个合适的密码,用户自行进行设置,如下图所示:
TrueCrypt之加密卷密码(图十四
在进行了一系列的设置后,我们即可完成加密卷的设置工作,下面就可以进行创建了,点击格式化即可,如下图所示:
TrueCrypt之加密卷创建(图十五)
不过既然创造了一个加密磁盘,我们又怎么进行打开和使用呢,我们须点击选择文件,在其跳出的窗口内选择刚已创立的机密卷,然后输入正确的密码才可进行正常使用,如下图所示:
TrueCrypt之选择加密卷(图十六)
TrueCrypt之加密卷密码输入(图十七)
只有选择正确的密码才可以进入加密盘,在进行了密码输入后,我们即可打开该加密卷并对加密卷进行操作,当然我们还可以通过点击盘符右键进行加密卷属性查看,如下图所示:
TrueCrypt之加密卷属性查看(图十八)
利用dm-crypt来创建加密文件系统
已有
178 次阅读 2009-09-03 10:08
Linux使用加密文件系统后,数据的安全能得到很好的保护。在这种情况下,即使把我们的机器送给黑客,只要他们没有密钥,黑客看到的数据只会是一堆乱码,毫无利用价值可言
本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度 更快,易用性更强。除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使用了RAID和 LVM也毫无障碍。dm-crypt系统之所以具有这些优点,主要得益于该技术是建立在2.6版本内核的device-mapper特性之上的。 device-mapper是设计用来为在实际的块设备之上添加虚拟层提供一种通用灵活的方法,以方便开发人员实现镜像、快照、级联和加密等处理。此外, dm-crypt使用了内核密码应用编程接口实现了透明的加密,并且兼容cryptloop系统。
一、配置内核
dm -crypt利用内核的密码应用编程接口来完成密码操作。一般说来,内核通常将各种加密程序以模块的形式加载。对于256-bit AES来说,其安全强度已经非常之高,即便用来保护绝密级的数据也足够了。因此本文中我们使用256-bit AES密码,为了保证您的内核已经加载AES密码模块,请利用下列命令进行检查:
$ cat /proc/crypto
如果看到类似下面的输出的话,说明AES模块已经加载:
name : aes
module : aes
type : cipher
blocksize : 16
min keysize : 16
max keysize : 32
否则,我们可以利用modprobe来手工加载AES模块,命令如下所示:
$ sudo modprobe aes
接下来安装dmsetup软件包,该软件包含有配置device-mapper所需的工具:
$ sudo apt-get install dmsetup cryptsetup
为检查dmsetup软件包是否已经建立了设备映象程序,键入下列命令:
$ ls -l /dev/mapper/control
接下来加载dm-crypt内核模块:
$ sudo modprobe dm-crypt
dm-crypt加载后,它会用evice-mapper自动注册。如果再次检验的话,device-mapper已能识别dm-crypt,并且把crypt 添加为可用的对象:
$ sudo dmsetup targets
如果一切顺利,现在你应该看到crypt的下列输出:
crypt v1.1.0
striped v1.0.2
linear v1.0.1
error v1.0.1
这说明我们的系统已经为装载加密设备做好了准备。下面,我们先来建立一个加密设备。
二、建立加密设备
要创建作为加密设备装载的文件系统,有两种选择:一是建立一个磁盘映像,然后作为回送设备加载;二是使用物理设备。无论那种情况,除了在建立和捆绑回送设备外,其它操作过程都是相似的。
1.建立回送磁盘映象
如果你没有用来加密的物理设备(比如存储棒或另外的磁盘分区),作为替换,你可以利用命令dd来建立一个空磁盘映象,然后将该映象作为回送设备来装载,照样能用。下面我们以实例来加以介绍:
$ dd if=/dev/zero of=~/secret.img bs=1M count=100
这里我们新建了一个大小为100 MB的磁盘映象,该映象名字为secret.img。要想改变其大小,可以改变count的值。
接下来,我们利用losetup命令将该映象和一个回送设备联系起来:
$ sudo losetup /dev/loop/0 ~/secret.img
现在,我们已经得到了一个虚拟的块设备,其位于/dev/loop/0,并且我们能够如同使用其它设备那样来使用它。
2.设置块设备
准备好了物理块设备(例如/dev/sda1),或者是虚拟块设备(像前面那样建立了回送映象,并利用device-mapper将其作为加密的逻辑卷加载),我们就可以进行块设备配置了。
下面我们使用cryptsetup来建立逻辑卷,并将其与块设备捆绑:
$ sudo cryptsetup -y create myEncryptedFilesystem
/dev/DEVICENAME
其中,myEncryptedFilesystem 是新建的逻辑卷的名称。并且最后一个参数必须是将用作加密卷的块设备。所以,如果你要使用前面建立的回送映象作为虚拟块设备的话,应当运行以下命令:
$ sudo cryptsetup -y create myEncryptedFilesystem /dev/loop/0
无论是使用物理块设备还是虚拟块设备,程序都会要你输入逻辑卷的口令,-y的作用在于要你输入两次口令以确保无误。这一点很重要,因为一旦口令弄错,你就会把自己的数据锁住,这时谁也帮不了您了!
为了确认逻辑卷是否已经建立,可以使用下列命令进行检查一下:
$ sudo dmsetup ls
只要该命令列出了逻辑卷,就说明已经成功建立了逻辑卷。不过根据机器的不同,设备号可能有所不同:
myEncryptedFilesystem (221, 0)
device-mapper会把它的虚拟设备装载到/dev/mapper下面,所以,你的虚拟块设备应该是/dev/mapper/myEncryptedFilesystem ,尽管用起来它和其它块设备没什么不同,实际上它却是经过透明加密的。
如同物理设备一样,我们也可以在虚拟设备上创建文件系统:
$ sudo mkfs.ext3 /dev/mapper/myEncryptedFilesystem
现在为新的虚拟块设备建立一个装载点,然后将其装载。命令如下所示:
$ sudo mkdir /mnt/myEncryptedFilesystem
$ sudo mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
我们能够利用下面的命令查看其装载后的情况:
$ df -h /mnt/myEncryptedFilesystem
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/myEncryptedFilesystem 97M 2.1M 90M 2% /mnt/myEncryptedFilesystem
很好,我们看到装载的文件系统,尽管看起来与其它文件系统无异,但实际上写到/mnt/myEncryptedFilesystem /下的所有数据,在数据写入之前都是经过透明的加密处理后才写入磁盘的,因此,从该处读取的数据都是些密文。
要卸载加密文件系统,和平常的方法没什么两样:
$ sudo umount /mnt/myEncryptedFilesystem
即便已经卸载了块设备,在dm-crypt中仍然视为一个虚拟设备。如若不信,你可以再次运行命令sudo dmsetup ls来验证一下,你会看到该设备依然会被列出。因为dm-crypt缓存了口令,所以机器上的其它用户不需要知道口令就能重新装载该设备。为了避免这种情况发生,你必须在卸载设备后从dm-crypt中显式的删除该设备。命令具体如下所示:
$ sudo cryptsetup remove myEncryptedFilesystem
此后,它将彻底清除,要想再次装载的话,你必须再次输入口令。为了简化该过程,我们可以利用一个简单的脚本来完成卸载和清除工作:
#!/bin/sh
umount /mnt/myEncryptedFilesystem
cryptsetup remove myEncryptedFilesystem
四、重新装载
在卸载加密设备后,我们很可能还需作为普通用户来装载它们。为了简化该工作,我们需要在/etc/fstab文件中添加下列内容:
/dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem ext3 noauto,noatime 0 0
此外,我们也可以通过建立脚本来替我们完成dm-crypt设备的创建和卷的装载工作,方法是用实际设备的名称或文件路径来替换/dev/DEVICENAME:
#!/bin/sh
cryptsetup create myEncryptedFilesystem /dev/DEVICENAME
mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
如果你使用的是回送设备的话,你还能利用脚本来捆绑设备:
#!/bin/sh
losetup /dev/loop/0 ~/secret.img
cryptsetup create myEncryptedFilesystem /dev/loop/0
mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
如果你收到消息“ioctl: LOOP_SET_FD: Device or resource busy”,这说明回送设备很可能仍然装载在系统上。我们可以利用sudo losetup -d /dev/loop/0命令将其删除。
五、加密主目录
如果配置了PAM(Pluggable Authentication Modules,即可插入式鉴别模块)子系统在您登录时装载主目录的话,你甚至还能加密整个主目录。因为libpam-mount模块允许PAM在用户登 录时自动装载任意设备,所以我们要连同openssl一起来安装该模块。命令如下所示:
$ sudo apt-get install libpam-mount openssl
接下来,编辑文件/etc/pam.d/common-auth,在其末尾添加下列一行:
auth optional pam_mount.so use_first_pass
然后在文件/etc/pam.d/common-session末尾添加下列一行内容:
session optional pam_mount.so
现在,我们来设置PAM,告诉它需要装载哪些卷、以及装载位置。对本例而言,假设用户名是Ian,要用到的设备是/dev/sda1,要添加到/etc/security/pam_mount.conf文件中的内容如下所示:
volume Ian crypt - /dev/sda1 /home/Ian cipher=aes aes-256-ecb /home/Ian.key
如果想使用磁盘映象,你需要在此规定回送设备(比如/dev/loop/0),并确保在Ian登录之前系统已经运行losetup。为此,你可以将 losetup /dev/loop/0 /home/secret.img放入/etc/rc.local文件中。因为该卷被加密,所以PAM需要密钥来装载卷。最后的参数用来告诉PAM密钥在 /home/Ian.key文件中,为此,通过使用OpenSSL来加密你的口令来建立密钥文件:
$ sudo sh -c 'echo
'
YOUR PASSPHRASE
'
| openssl aes-256-ecb >
/home/Ian.key'
这时,提示你输入密码。注意,这里的口令必需和想要的用户登录密码一致。原因是当你登录时,PAM需要你提供这个密码,用以加密你的密钥文件,然后根据包含在密钥文件中的口令用dm-crypt装载你的主目录。
需要注意的是,这样做会把你的口令以明文的形式暴露在.history文件中,所以要及时利用命令history -c清楚你的历史记录。此外,要想避免把口令存放在加密的密钥文件中的话,可以让创建加密文件系统的口令和登录口令完全一致。这样,在身份认证时,PAM 只要把你的密码传给dm-crypt就可以了,而不必从密钥文件中抽取密码。为此,你可以在/etc/security/pam_mount.conf文 件中使用下面的命令行:
volume Ian crypt - /dev/sda1 /home/Ian cipher=aes - -
最后,为了保证在退出系统时自动卸载加密主目录,请编辑/etc/login.defs文件使得CLOSE_SESSIONS项配置如下:
CLOSE_SESSIONS yes
六、小结
数据加密是一种强而有力的安全手段,它能在各种环境下很好的保护数据的机密性。而本文介绍的Ubuntu Linux 下的加密文件系统就是一种非常有用的数据加密保护方式,相信它能够在保护数据机密性相方面对您有所帮助。
本文将详细介绍利用dm-crypt来创建加密文件系统的方法。与其它创建加密文件系统的方法相比,dm-crypt系统有着无可比拟的优越性:它的速度 更快,易用性更强。除此之外,它的适用面也很广,能够运行在各种块设备上,即使这些设备使用了RAID和 LVM也毫无障碍。dm-crypt系统之所以具有这些优点,主要得益于该技术是建立在2.6版本内核的device-mapper特性之上的。 device-mapper是设计用来为在实际的块设备之上添加虚拟层提供一种通用灵活的方法,以方便开发人员实现镜像、快照、级联和加密等处理。此外, dm-crypt使用了内核密码应用编程接口实现了透明的加密,并且兼容cryptloop系统。
一、配置内核
dm -crypt利用内核的密码应用编程接口来完成密码操作。一般说来,内核通常将各种加密程序以模块的形式加载。对于256-bit AES来说,其安全强度已经非常之高,即便用来保护绝密级的数据也足够了。因此本文中我们使用256-bit AES密码,为了保证您的内核已经加载AES密码模块,请利用下列命令进行检查:
$ cat /proc/crypto
如果看到类似下面的输出的话,说明AES模块已经加载:
name : aes
module : aes
type : cipher
blocksize : 16
min keysize : 16
max keysize : 32
否则,我们可以利用modprobe来手工加载AES模块,命令如下所示:
$ sudo modprobe aes
接下来安装dmsetup软件包,该软件包含有配置device-mapper所需的工具:
$ sudo apt-get install dmsetup cryptsetup
为检查dmsetup软件包是否已经建立了设备映象程序,键入下列命令:
$ ls -l /dev/mapper/control
接下来加载dm-crypt内核模块:
$ sudo modprobe dm-crypt
dm-crypt加载后,它会用evice-mapper自动注册。如果再次检验的话,device-mapper已能识别dm-crypt,并且把crypt 添加为可用的对象:
$ sudo dmsetup targets
如果一切顺利,现在你应该看到crypt的下列输出:
crypt v1.1.0
striped v1.0.2
linear v1.0.1
error v1.0.1
这说明我们的系统已经为装载加密设备做好了准备。下面,我们先来建立一个加密设备。
二、建立加密设备
要创建作为加密设备装载的文件系统,有两种选择:一是建立一个磁盘映像,然后作为回送设备加载;二是使用物理设备。无论那种情况,除了在建立和捆绑回送设备外,其它操作过程都是相似的。
1.建立回送磁盘映象
如果你没有用来加密的物理设备(比如存储棒或另外的磁盘分区),作为替换,你可以利用命令dd来建立一个空磁盘映象,然后将该映象作为回送设备来装载,照样能用。下面我们以实例来加以介绍:
$ dd if=/dev/zero of=~/secret.img bs=1M count=100
这里我们新建了一个大小为100 MB的磁盘映象,该映象名字为secret.img。要想改变其大小,可以改变count的值。
接下来,我们利用losetup命令将该映象和一个回送设备联系起来:
$ sudo losetup /dev/loop/0 ~/secret.img
现在,我们已经得到了一个虚拟的块设备,其位于/dev/loop/0,并且我们能够如同使用其它设备那样来使用它。
2.设置块设备
准备好了物理块设备(例如/dev/sda1),或者是虚拟块设备(像前面那样建立了回送映象,并利用device-mapper将其作为加密的逻辑卷加载),我们就可以进行块设备配置了。
下面我们使用cryptsetup来建立逻辑卷,并将其与块设备捆绑:
$ sudo cryptsetup -y create myEncryptedFilesystem
/dev/DEVICENAME
其中,myEncryptedFilesystem 是新建的逻辑卷的名称。并且最后一个参数必须是将用作加密卷的块设备。所以,如果你要使用前面建立的回送映象作为虚拟块设备的话,应当运行以下命令:
$ sudo cryptsetup -y create myEncryptedFilesystem /dev/loop/0
无论是使用物理块设备还是虚拟块设备,程序都会要你输入逻辑卷的口令,-y的作用在于要你输入两次口令以确保无误。这一点很重要,因为一旦口令弄错,你就会把自己的数据锁住,这时谁也帮不了您了!
为了确认逻辑卷是否已经建立,可以使用下列命令进行检查一下:
$ sudo dmsetup ls
只要该命令列出了逻辑卷,就说明已经成功建立了逻辑卷。不过根据机器的不同,设备号可能有所不同:
myEncryptedFilesystem (221, 0)
device-mapper会把它的虚拟设备装载到/dev/mapper下面,所以,你的虚拟块设备应该是/dev/mapper/myEncryptedFilesystem ,尽管用起来它和其它块设备没什么不同,实际上它却是经过透明加密的。
如同物理设备一样,我们也可以在虚拟设备上创建文件系统:
$ sudo mkfs.ext3 /dev/mapper/myEncryptedFilesystem
现在为新的虚拟块设备建立一个装载点,然后将其装载。命令如下所示:
$ sudo mkdir /mnt/myEncryptedFilesystem
$ sudo mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
我们能够利用下面的命令查看其装载后的情况:
$ df -h /mnt/myEncryptedFilesystem
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/myEncryptedFilesystem 97M 2.1M 90M 2% /mnt/myEncryptedFilesystem
很好,我们看到装载的文件系统,尽管看起来与其它文件系统无异,但实际上写到/mnt/myEncryptedFilesystem /下的所有数据,在数据写入之前都是经过透明的加密处理后才写入磁盘的,因此,从该处读取的数据都是些密文。
要卸载加密文件系统,和平常的方法没什么两样:
$ sudo umount /mnt/myEncryptedFilesystem
即便已经卸载了块设备,在dm-crypt中仍然视为一个虚拟设备。如若不信,你可以再次运行命令sudo dmsetup ls来验证一下,你会看到该设备依然会被列出。因为dm-crypt缓存了口令,所以机器上的其它用户不需要知道口令就能重新装载该设备。为了避免这种情况发生,你必须在卸载设备后从dm-crypt中显式的删除该设备。命令具体如下所示:
$ sudo cryptsetup remove myEncryptedFilesystem
此后,它将彻底清除,要想再次装载的话,你必须再次输入口令。为了简化该过程,我们可以利用一个简单的脚本来完成卸载和清除工作:
#!/bin/sh
umount /mnt/myEncryptedFilesystem
cryptsetup remove myEncryptedFilesystem
四、重新装载
在卸载加密设备后,我们很可能还需作为普通用户来装载它们。为了简化该工作,我们需要在/etc/fstab文件中添加下列内容:
/dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem ext3 noauto,noatime 0 0
此外,我们也可以通过建立脚本来替我们完成dm-crypt设备的创建和卷的装载工作,方法是用实际设备的名称或文件路径来替换/dev/DEVICENAME:
#!/bin/sh
cryptsetup create myEncryptedFilesystem /dev/DEVICENAME
mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
如果你使用的是回送设备的话,你还能利用脚本来捆绑设备:
#!/bin/sh
losetup /dev/loop/0 ~/secret.img
cryptsetup create myEncryptedFilesystem /dev/loop/0
mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem
如果你收到消息“ioctl: LOOP_SET_FD: Device or resource busy”,这说明回送设备很可能仍然装载在系统上。我们可以利用sudo losetup -d /dev/loop/0命令将其删除。
五、加密主目录
如果配置了PAM(Pluggable Authentication Modules,即可插入式鉴别模块)子系统在您登录时装载主目录的话,你甚至还能加密整个主目录。因为libpam-mount模块允许PAM在用户登 录时自动装载任意设备,所以我们要连同openssl一起来安装该模块。命令如下所示:
$ sudo apt-get install libpam-mount openssl
接下来,编辑文件/etc/pam.d/common-auth,在其末尾添加下列一行:
auth optional pam_mount.so use_first_pass
然后在文件/etc/pam.d/common-session末尾添加下列一行内容:
session optional pam_mount.so
现在,我们来设置PAM,告诉它需要装载哪些卷、以及装载位置。对本例而言,假设用户名是Ian,要用到的设备是/dev/sda1,要添加到/etc/security/pam_mount.conf文件中的内容如下所示:
volume Ian crypt - /dev/sda1 /home/Ian cipher=aes aes-256-ecb /home/Ian.key
如果想使用磁盘映象,你需要在此规定回送设备(比如/dev/loop/0),并确保在Ian登录之前系统已经运行losetup。为此,你可以将 losetup /dev/loop/0 /home/secret.img放入/etc/rc.local文件中。因为该卷被加密,所以PAM需要密钥来装载卷。最后的参数用来告诉PAM密钥在 /home/Ian.key文件中,为此,通过使用OpenSSL来加密你的口令来建立密钥文件:
$ sudo sh -c 'echo
'
YOUR PASSPHRASE
'
| openssl aes-256-ecb >
/home/Ian.key'
这时,提示你输入密码。注意,这里的口令必需和想要的用户登录密码一致。原因是当你登录时,PAM需要你提供这个密码,用以加密你的密钥文件,然后根据包含在密钥文件中的口令用dm-crypt装载你的主目录。
需要注意的是,这样做会把你的口令以明文的形式暴露在.history文件中,所以要及时利用命令history -c清楚你的历史记录。此外,要想避免把口令存放在加密的密钥文件中的话,可以让创建加密文件系统的口令和登录口令完全一致。这样,在身份认证时,PAM 只要把你的密码传给dm-crypt就可以了,而不必从密钥文件中抽取密码。为此,你可以在/etc/security/pam_mount.conf文 件中使用下面的命令行:
volume Ian crypt - /dev/sda1 /home/Ian cipher=aes - -
最后,为了保证在退出系统时自动卸载加密主目录,请编辑/etc/login.defs文件使得CLOSE_SESSIONS项配置如下:
CLOSE_SESSIONS yes
六、小结
数据加密是一种强而有力的安全手段,它能在各种环境下很好的保护数据的机密性。而本文介绍的Ubuntu Linux 下的加密文件系统就是一种非常有用的数据加密保护方式,相信它能够在保护数据机密性相方面对您有所帮助。
关于 FileVault
Mac OS X 包括
FileVault,它允许您加密个人文件夹内的信息。加密将混杂您的个人文件夹中的数据,以便即使电脑丢失或被盗,您的信息也是安全的。
FileVault 使用最新的经美国政府批准的加密标准,即带
128 位密钥 (AES-128) 的高级加密标准。
当您打开
FileVault 时,您也为电脑设置了一个您或管理员可以使用的密码,可以在您忘记常规登录密码时使用。
警告:如果您打开
FileVault,过后却忘记了登录密码和主密码,您就不能登录您的帐户并且您的数据将永久丢失。
如果您电脑上的信息是属于敏感的那一种,就应该考虑使用
FileVault。例如,如果您的 PowerBook 上有公司的所有金融数据,PowerBook 丢失可能会让其他人访问这些敏感数据并对您的公司造成损失。如果您的 PowerBook 丢失时已注销您的帐户,并且 FileVault 已打开,您的信息就是安全的。
如果您考虑使用
FileVault,就应该注意到它可能影响计划的备份并妨碍对您的个人文件夹内的共享文件夹进行访问。由于 FileVault 创建了一个加密的个人文件夹,某些备份实用程序可能将您的个人文件夹当作一个总是在更改的文件夹,这可能会降低备份速度。此外,如果您没有登录到电脑,其他用户将不能访问您的个人文件夹中的共享文件夹。
早在
Windows之前,便有许多人有意无意地将其与苹果(Apple)的Mac相提并论,试图比较二者的优劣。毕竟,从简单的角度看,Windows Vista与Mac OS 间存在太多的相似点,比如说,Windows Vista的Aero Galss界面与Tiger中的Aqua界面,再比如说Windows Vista中的即时搜索与Mac中的“Spotlight”等(详见Windows Vista Vs. Mac OS X : 大战一触即发。而在操作系统对文件的加密方面,Windows Vista中引入了对BitLocker的支持,这与Mac OS X中的FileVault 也有一定程度的近似,二者欲实现的目标也基本相同:即保护用户的重要数据,使其即使在电脑遗失的情况下也不会造成机密的外流。 ) OS X Vista上市
从技术上看,无论
BitLocker还是FileVault,均是一种系统级的加密,但尽管二者的目标相同,采取的具体机制则有明显的差别。那么,究竟孰优孰劣?下面我们进行简单的比较。
Windows Vista的BitLocker
与
Mac OS X中的FileVault相比,Windows Vista中的驱动器加密功能BitLocker更为强大,不仅加密、保护用户文件,事实上,BitLocker加密的是整个系统分区,包括Windows系统文件、应用程序以及存放于系统盘的任何个人数据。
启用了
BitLocker的Windows Vista系统,要求在启动时必须插入存有密钥的USB盘,或具有BitLocker恢复密码,不然,系统将无法启动。BitLocker在加密过程中使用一个相对较小的启动分区来检 查密钥,只有检测通过硬盘数据才可存取,这样,即使非法使用者将该硬盘挂接在别的可正常启动的系统上,也无法读取该分区中的数据。
BitLocker的优势: 没有正确的密钥,不仅无法启动进入Windows Vista,而且,正如上文所言,即使非法使用者采取其他手段,如试图以脱机方式浏览存储在受保护驱动器中的文件,也无法读取加密分区内的数据,最大程度地保证了数据的
安全。
BitLocker的不足:从某种程度上说,BitLocker的优势也具有双面性,用户必须确保将自己存有密钥USB盘不要遗失,或者,将BitLocker恢复密码保存到安全位置,不然,也许会发生反而将自己“拒之门外”的惨剧。
此外,要享受
BitLocker带来的好处,用户必须购买Windows Vista Ultimate或Enterprise版,并且,在设置时需调整硬盘分区,新建一个启动分区以及将密钥保存到USB盘等繁琐过程。
Mac OS X
的 FileVault
在
Mac OS X中,FileVault自动加密用户文件目录及其中的文件。当用户对其目录中的文件进行读写操作时,FileVault在后台自动对相应文件进行加解密过程,其效率极高,事实上,大多数用户在操作中甚至感觉不到存在这么一个加、解密的过程。
FileVault使用用户的登录密码作为加解密的密钥。也即是说,只有当用户使用正确的密码登录时,才能看到自己主目录及其下的文件。不然,该文件夹将不可存取。如果同一台Mac机上存在多个用户,那么,每个用户只能看到自己的主目录及目录下的文件,而无法对其他用户目录下的文件进行操作。
FileVault的优势:FileVault是Mac OS X系统的默认
功能,用户不必像Windows Vista那样,必须购买更昂贵的Windows Vista Ultimate 或 Enterprise版才能享受BitLocker功能。同时,与BitLocker相比,不必对硬盘进行重新分区,不必创建存有密钥的USB启动盘,几 乎不需任何用户设置,应用较为简便、方便。
FileVault的不足:即便启用FileVault,非法用户仍能正常启动Mac,这与BitLocker直接让非法用户无法进入系统存在距离,虽然此时从理论上说,非法用户仍然无法读取用户目录下的文件。
小结:Windows Vista更胜一筹
从上文的简单比较可以看出,尽管要应用
BitLocker,需要购买更昂贵的Windows Vista版本,需要远较FileVault复杂的设置过程,但BitLocker的安全防护更为全面,可以从根本上把非法使用者拒之门外,即使其拿到您的PC、您的硬盘,也同样对其上的数据无能为力。
此外,还必须考虑到,在
Windows Vista中,除了BitLocker,还可以使用EFS加密文件系统),加密特定文件/文件夹,这可实施进行更灵活的数据保护。(Encrypt File System :