使用加密技术隐藏数据

使用加密技术进行数据隐藏

章节大纲

引言
安全意识角落
人身安全
设备安全
消息安全
网络安全
匿名操作系统
Tails
什么是TOR网络?
Ubuntu隐私 Remix
其他安全发行版
使用安全操作系统的建议
便携式棒状计算机
磁盘加密
使用BitLocker加密分区
数据驱动器磁盘加密
Windows分区加密
创建加密保险库
使用 VeraCrypt创建一个简单的加密卷
如何打开一个普通的 VeraCrypt卷?
在隐藏的VeraCrypt容器中安装虚拟机操作系统
单文件加密
AES Crypt
使用PeaZip进行文件归档加密
使用CryptSync进行云存储加密
磁盘加密的安全级别讨论
攻击全盘加密
针对全盘加密攻击的对策
在线匿名化你的位置
使用TOR浏览器
TOR浏览器
什么是暗网?
使用TOR网络时的警告
虚拟专用网络
SSH隧道
使用代理服务器
网页代理类型
与代理服务器相关的安全风险
匿名搜索引擎
StartPage
DUCKDUCKGO
DISCONNECT SEARCH
网页浏览器隐私附加组件
检查浏览器指纹
Mozilla Firefox隐私附加组件

引言

根据最初的书籍提案,应包含两章内容:一章专注于使用加密技术进行数据隐藏,另一章则关于在线私密通信的最佳实践,标题为秘密通信最佳实践。本书中关于通过加密来隐藏的章节是最后一章,讨论了如何掩盖您的秘密数据。正如本书开头所提到的,结合使用隐藏技术和加密被视为一种最佳实践,只要正确实施一系列预定义的步骤,就能为我们的在线通信提供更高的安全性。

经过这一讨论,我们认为将这两章合并更为合适,因为在线私密通信与使用强大的加密技术密切相关,同时还需结合一些隐藏技术,以进一步保护传输的消息免遭任何可能的窃听者攻击。

在本章中,您将学习如何使用不同的技术通过加密来隐藏您的私密消息(文件、文本、音频、视频)。我们还将讨论在线通信加密,包括电子邮件、聊天、网络电话、硬盘、云存储的加密,以及如何使用不同的 Windows®程序来避免在线追踪。您还将学习如何在浏览网页和进行在线通信时完全实现匿名。

在当今世界,许多方都深度参与了监控项目。2013年,美国国家安全局举报人爱德华·斯诺登揭露了美国及其他政府实施的大规模监控项目,这一事件至今仍影响深远。政府机构(包括地方政府和超级大国政府机构)每年投入数十亿美元用于开发和运行监控项目。

企业监控是另一种危险的隐私侵犯形式。大型公司使用各种跟踪技术监控消费者行为,以预测其在线活动。这些宝贵的数据随后可能在用户不知情的情况下被传递给政府或其他第三方,而这些第三方可能会以损害个人利益的方式滥用数据。搜索引擎也被视为有关消费者行为和态度的重要数据来源。许多搜索引擎提供商(如谷歌和雅虎)会保存用户的搜索关键词,从而帮助他们预测用户未来的行为和需求。学习如何匿名化网络流量以及进行加密的在线通信,已成为任何希望安全上网的人必备的重要技能。

将秘密消息加密并隐藏被认为是私下通信最安全的方式,因为它会打乱消息内容,需要密钥才能解密,此外在传输过程中还处于隐藏状态。然而,正如我们之前所说,在某些情况下我们周围存在着恶劣环境,可能需要一种方法来使我们的消息不被自动监控设备检测到;在这种情况下,即使消息内容通过强加密得到保护,加密本身也无法隐藏我们的通信对象。需要指出的是,在一些国家使用加密软件被视为非法行为。下载或使用此类软件本身就可能构成罪证。正如我们在前面章节中提到的,如果你试图保护信息的对象包括警察、军队或情报机构,那么违反这些法律可能会为调查你的活动或迫害你的组织提供借口。

同时需要注意的是,许多公司正在限制员工使用数据隐藏工具的可能性,而使用这些工具通常需要管理员账户,但这类账户也往往受到限制。确定在线通信的最佳安全方法取决于我们当前所处的情况以及面临的威胁类型。

在接下来的几节中,我们将向您展示如何使用各种工具和技术,在进行在线通信时实现匿名并隐藏您的数据。但请注意,如果您的个人电脑已被恶意软件或任何类型的恶意程序感染,那么您的防护措施将失效。

在本章的最后一节中,我们将为您提供一些提示以及免费工具的链接,以帮助您保护个人电脑免受此类威胁。这一部分将较为简短,因为它超出了本书的范围。

安全意识角落

为了在进行在线通信时实现最高级别的安全性和匿名性,应结合使用一系列技术、工具和人为最佳实践来达成此目标。

人身安全

这包括计算机安全的人为方面,例如选择强密码,以及保持您的设备、操作系统和程序处于最新状态。避免从未知来源安装软件,了解钓鱼攻击和诈骗的工作方式,并具备有关计算机病毒及其感染途径的一般性知识。

设备安全

这主要包括您的操作系统安全性,例如硬盘中使用的加密类型、安装的防病毒软件和防火墙,以及它们如何配置以实现最大程度的保护。

消息安全

这涉及电子邮件加密、数字签名、加密聊天应用,以及使用支持端到端加密的通信应用。

网络安全

这包括使用虚拟专用网络(VPN)和安全套接层(SSL)对传输的数据进行加密。还包括使用不同的工具匿名浏览网页,并通过更改IP地址和MAC地址来避免在线追踪,此外在极端高风险环境中使用完全的匿名操作系统。

在接下来的节中,我们将详细描述如何通过使用不同的加密技术来实现最高安全性,涵盖我们刚刚介绍的安全意识角落中的每个组。

匿名操作系统

我们首先需要讨论的是操作系统本身。本书主要介绍基于Windows®的计算机。众所周知,Windows®并未被配置为匿名且安全的操作系统,尽管我们可以对其进行配置以提高安全性。作为一种闭源操作系统,它可能包含许多后门,使得第三方能够监视我们的活动。此外,许多消息来源指出,微软正积极与美国国家安全局及其他美国情报机构合作,为其提供后门并绕过其多个应用程序(如Skype)的内置加密功能,从而使对 Windows®用户的监控更加容易[1]。这些事实表明,像Windows这样的操作系统完全不适合执行需要完全在线匿名的关键任务的用户。

支持完全在线匿名的最佳操作系统应具备多种特性以确保其功能,例如:
- 其源代码应向公众公开。
- 应持续对源代码及其有效性进行完整审计,以确保独立方确认其安全性。
- 其所有应用程序都应配置为使用匿名网络。有许多网络支持在线匿名,其中最著名的是TOR和I2P网络。
- 在此操作系统中安装的应用程序所使用的密码学设计应有完善的文档记录,并持续审查是否存在任何漏洞。
- 它可以从USB或CD/DVD运行,从不在您的硬盘上存储任何文件,并具有在关闭时自动清除所有内存的能力。

通常,数字世界中易于使用的一切都被认为是不安全的。例如,每天有数百万人使用的许多聊天应用被认为容易受到各种在线威胁。支持端到端加密且需要密钥才能运行的安全聊天应用程序由于对大多数新手用户而言难以配置,因此使用范围较小,使其成为一个不受欢迎的选择。

Linux 是一种免费开源操作系统。其源代码可供任何希望高度信任系统不包含后门或其他恶意软件的技术熟练的用户进行审计。普通用户在听到 Linux 这个词时通常会感到担忧,因为它被认为难以使用且基于命令行。相反,许多 Linux 发行版都具有类似 Windows® 机器的用户友好界面(Ubuntu 类似于 Windows® 8,Mint 类似于 Windows® XP,Kubuntu 类似于 Vista,Zorin 类似于 Windows® 7)。这使得从 Windows® 环境迁移到 Linux 对于一般的 Windows® 新手用户来说更加顺畅。

大多数 Linux 发行版都可以安装在虚拟机(VMs)上,或通过 CD/DVD 或 USB 驱动器运行。

Linux发行版默认不支持安全性和匿名性。我们将要讨论的发行版经过专门优化,默认支持匿名性和加密,这些发行版包括: 1. Tails(失忆隐匿实时系统) 2. Ubuntu隐私 Remix(UPR)

Tails

这就是爱德华·斯诺登用来躲避美国国家安全局追踪的操作系统。它是一个基于 Linux Debian 的即启即用系统,旨在保护您在线时的隐私和匿名性。使用该操作系统后,几乎不可能被任何人在线追踪,因为 Tails 会强制将所有 outgoing 连接通过加密的 TOR 网络进行,并阻止所有非匿名连接(为了确保您100%的在线匿名性,您需要遵循一些安全措施,我们将在本章后面介绍)。

Tails 预装了许多内置应用程序,这些应用程序已预先配置,以在使用时提供最高安全性。如果任何应用程序试图在后台静默连接到互联网,Tails 将立即阻止它。Tails 的应用程序包括使用 TOR 网络的网页浏览器、具有内置加密功能的即时通讯客户端、安全电子邮件客户端、办公套件、图像和声音编辑器,以及许多其他在配置时充分考虑安全性的实用应用程序。

什么是TOR网络?

Tails 主要依赖于 TOR 网络来匿名化您的互联网流量,但 TOR 到底是什么呢?根据其创作者认为,TOR 是“一个开放且分布式的网络,有助于防御流量分析,这种网络监控形式威胁到个人自由和隐私、机密商业活动与关系以及国家安全。” TOR通过将您的通信在由全球志愿者运行的中继网络之间跳转来保护您。它可以防止任何试图监视您互联网连接的人了解您访问了哪些网站,并且可以防止您访问的网站获取您的物理位置[2]。

Tails 还支持另一个著名的匿名网络 I2P。 I2P 可通过 https://geti2p.net/ 访问,但最好将 Tails 与 TOR 一起使用,因为它们由同一组织创建,默认情况下无需特殊配置即可协同工作。

Tails 是一个即启即用系统(类似于大多数其他 Linux 安全发行版),它可以从 USB 或 CD/DVD 驱动器启动运行。它不依赖于您机器上安装的操作系统,因此可以使用任何计算机启动进入 Tails。公共计算机和网络路由器无需担心,因为 Tails 完全不会访问主机的硬盘。一般来说,Tails 使用的唯一存储空间是内存;然而,当计算机关闭时,内存中的所有内容都会自动清除,因此在主机上不会留下任何痕迹。这就是为什么 Tails 被称为 失忆型 系统的原因。Tails 还具备更改 MAC 地址的功能,因此如果您在网吧等场所工作,由于 MAC 地址会在每个工作会话中自动多次更改,没有人能够通过 MAC 地址追踪到您的个人电脑。MAC地址欺骗功能在 Tails 中默认启用。

Tails 可以在大多数计算机系统上启动。为了运行该软件,您首先需要在 BIOS 中更改您的 PC 启动顺序,以便从 USB 闪存驱动器(或如果 Tails 安装在光盘/DVD 上,则从 DVD/CD 驱动器)启动。每台 PC 都有不同的键用于访问 BIOS 以更改启动顺序。最常见的有:HP 上为 F9;SONY 上为 F10;MSI 上为 F11;联想、DELL 和 ACER 上为 F12; ASUS 上为 ESC。

要从 USB 驱动器启动大多数 Windows® 8、8.1 或 10 平板电脑,请先将设备完全关闭。连接您的 U盘 或外部驱动器,按住音量减键或“–”按钮,然后按一次电源按钮。

让我们尝试按照以下步骤从 USB 驱动器安装并启动 Tails:
1. 从Tails下载最新版本,网址为https://tails.boum.org/download/index.en.html(大小约为1 GB)。
2. 从 http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/下载通用USB安装器。它是一个便携式工具,大小约为1 MB,用于将Tails安装到您的U盘上。如果发布了新版本且下载链接已更改,请访问 http://www.darknessgate.com并搜索Universal USB installer。
3. 将至少有2 GB空闲空间的U盘插入您的个人电脑。
4. 运行USB安装工具。在第一步中选择Tails。然后在第二步中选择您个人电脑上Tails的ISO镜像位置。在第三步中,从下拉菜单中选择您的U盘,并勾选格式化选项(以防其中包含任何数据)。最后单击创建(参见图 5.1)。单击创建后,将弹出一条警告消息,要求您确认操作。单击是以继续并在U盘上开始安装Tails(注意:在U盘上安装Tails将会擦除该U盘上的所有数据,因此请小心操作,并事先备份您的数据)。
5. 如果一切顺利,最终窗口将出现,提示安装已完成。单击 Close 以完成向导,即大功告成!

现在,为了从Tails启动,请按照我们之前提到的方法更改您的个人电脑启动顺序,使其从USB驱动器启动。

如果 Tails 成功启动,将出现 Tails 启动菜单(参见 图 5.2),选择 直接启动,然后按回车。

Tails 基于 Linux,但如果您之前不熟悉或从未使用过 Linux,请不用担心,因为该操作系统已预先配置为匿名,无需用户干预。

启动Tails 并点击 登录,输入当前工作会话的密码后,您需要等待一段时间,以便 Tails 连接到 TOR 网络。

当 Tails 成功连接后,屏幕上右上角栏将显示一个绿色图标。当然,您首先需要连接到互联网;如果您使用无线连接,请点击屏幕右上角的无线连接图标,并输入您的Wi‐Fi密码以完成连接(参见 图5.3)。

要浏览互联网,您将使用TOR浏览器。该浏览器速度有限,但可让您匿名上网。Tails包含一个名为 Pidgin的安全聊天应用,允许您通过Gmail、AOL等不同的聊天服务提供商进行聊天。您需要先设置您的账户,然后就可以开始完全端到端加密的安全聊天。

您可以使用位于左上角 应用程序 菜单 ≫附件 中的 KeePassX(一款开源密码管理器)将密码存储在 Tails 上。KeePassX 可将用户名、密码、网址、附件和备注等多种不同类型的信息保存在一个数据库中。

Tails 还可以在离线模式下使用,以在创建或查看敏感文档时提高安全性。要在 Tails 上禁用网络功能:
- 当 Tails欢迎界面 出现时(参见 图5.4),在欢迎使用 Tails 窗口中,单击 是,然后单击 下一步。
- 在 网络配置节中,选择禁用所有网络选项。

示意图0

示意图1

示意图2

示意图3

Tails 是地球上最著名的匿名操作系统。如果结合正确的为人安全行为,它可以为我们的在线活动增加强大的安全性。

Ubuntu隐私 Remix

这是一个基于 Linux Ubuntu 的隔离式离线操作系统。其主要目标是提供一个隔离的工作环境,以便安全地处理敏感数据。该系统通过从修改后的内核中移除对局域网、无线局域网、蓝牙、红外硬件以及点对点协议的支持,切断与外部世界的所有连接来实现隔离。Ubuntu隐私 Remix(UPR)是一个只读操作系统,因为它没有安装选项,也无法访问硬盘。

UPR 完全从只读光盘运行,因此主机机器 that UPR 在其上运行时保持不变。所有用户数据都仅存储在加密的可移动介质上(图5.5)。

UPR不允许访问本地硬盘;它使用修改后的内核来改变启动期间对ATA设备的处理。这样会导致系统完全忽略本地S‐/ATA硬盘,而CD/DVD驱动器等ATAPI设备则照常工作。

UPR 以 noexec 选项挂载可移动介质和 TrueCrypt 卷。这可以防止通过可移动介质意外导入 UPR 系统的恶意程序被执行。

由于 UPR 是一个只读操作系统,程序配置和用户数据无法永久保存。这意味着每次重启后,我们都需要重新初始化程序配置。 UPR 通过其称为 扩展 TrueCrypt卷 的功能解决了这一问题。 UPR 将 OpenOffice、Evolution(一个提供集成邮件、日历和地址簿功能的个人信息管理应用程序)以及 GnuPG 的所有程序配置和用户数据存储在可移动USB驱动器上的加密容器中。请注意,UPR 依赖 TrueCrypt 程序来实现此功能。众所周知,2014年5月28日,TrueCrypt 网站上发布了一条消息,声称 TrueCrypt 是 不安全 的。然而,开源加密审计项目(https://www.opencryptoaudit.org/) 的一项分析发现,TrueCrypt 仍被认为是一款可用于加密数据的安全应用程序。尽管如此,UPR 团队仍在后续版本中努力将 扩展容器 的概念与基于LUKS的存储进行关联。

示意图4

总之,UPR通过实施以下措施来实现创建高水平安全标准的目标:
1. 由于不可修改,因此无法通过网络或本地硬盘永久安装恶意软件。
2. 即使恶意软件有可能加载到内存中,也无法将捕获的数据保存或发送到系统外部的任何位置。

请记住,如果UPR存在漏洞,则在使用过程中可能会产生安全性影响,就像任何其他操作系统一样。实际上,如果你是美国国家安全局这类大型情报机构的攻击目标,要为个人实现一个100%安全的操作系统极为困难,因为后门可能在软件、硬件甚至算法层面被引入,从而使任何系统都容易受到此类复杂攻击的影响。

UPR可从https://www.privacy-cd.org/en下载。下载 ISO镜像后,您需要先将其刻录到光盘上,然后修改个人电脑的启动顺序以从CD/DVD启动。有许多免费的光盘刻录工具——CDBurnerXP是一款用户界面优秀的工具,可从https://cdburnerxp.se/en/home下载。

其他安全发行版

还有许多其他专用于在线安全性和匿名性的操作系统。属于同一类别的两个操作系统是:
1. Whonix:一种基于Linux Debian的免费开源操作系统。它使用TOR网络对您的在线流量进行匿名化。根据其开发者 的说法,“Whonix由两部分组成:一部分仅运行TOR并充当网关,我们称之为Whonix网关。另一部分,我们称之为 Whonix工作站位于一个完全隔离的网络中。仅可通过 TOR进行连接。使用Whonix,您可以通过互联网匿名使用应用程序和运行服务器。DNS泄漏不可能发生,而且即使拥有根权限的恶意软件也无法获取用户的真实IP地址。Whonix可从 https://www.whonix.org/wiki/Main_页面下载。
2. Qubes OS:一种面向安全的开源个人计算机操作系统。它利用虚拟化实现通过隔离来保障安全性,并支持 Linux 和 Windows®虚拟环境。从 3.0 版本开始, Qubes 引入了虚拟机监控层,使 Qubes 独立于其底层虚拟化系统。 Qubes 的工作原理是将操作系统中的每个程序运行在独立隔离的环境中。例如,你可以使用一个专用的虚拟机仅用于访问高风险网站,另一个用于运行 OpenOffice,第三个用于进行安全通信,如发送电子邮件。如果某个虚拟机遭到入侵,其他虚拟机仍不受影响。 Qubes 操作系统可从 https://www.qubes-os.org/downloads/ 下载。

经过测试多种发行版后,我们发现每种发行版都有其独特的安全设计实现方式,以保持安全性。在网络上获得100%的安全性或匿名性是非常困难的。如果像美国国家安全局这样的大型情报机构想要入侵你的设备并监视你,他们总会找到方法。然而,我们已经讨论过的这些操作系统提供了很高的安全性和匿名性,使得对你的监控实施起来非常困难且耗时。

使用安全操作系统的建议

  • TOR 单独使用无法在您在线交换重要数据时保护您。您需要先加密数据,然后再通过 TOR 网络发送。
  • 所有安全操作系统都容易受到硬件攻击,包括 Tails。 例如,如果入侵者将硬件键盘记录器插入您的主机,他/ 她将能够截获您的通信。毫不奇怪,固件和BIOS攻击也会发生同样的情况。所有安全操作系统都无法抵御此类攻击,我们将在接下来的章节中看到这一点。

什么是BIOS攻击? BIOS和固件攻击非常复杂,通常被情报机构用来无声地攻击系统。BIOS软件在操作系统之下运行,杀毒软件不会对其进行扫描。它还会在硬盘格式化后依然存在。您应避免在不可信的PC上运行便携式操作系统,以防止泄露所有通信内容 [3–5]。

  • 你应该确保用于在USB设备上安装Tails的个人电脑未被入侵,否则Tails文件可能会被其他恶意软件篡改。在将其他安全操作系统刻录到CD/DVD时,也应采取同样的预防措施。

大多数匿名操作系统依赖于TOR网络来匿名化你的网络流量。然而,互联网服务提供商仍然能够检测到你是否正在使用TOR网络。隐藏这一事实非常困难,目前仍在进行大量研究。我们将在接下来专门介绍TOR使用的章节中详细讨论这一点。

  • Tails 和 UPR 不会在主机上留下痕迹,而 Whonix 会。在选择匿名操作系统时请注意这一点。

在后面的章节中,我们将演示如何在虚拟机(VM)中安装Tails,该虚拟机使用运行在安全加密容器中的便携式版本的VirtualBox。请注意,在虚拟机(VMs)中运行Tails存在许多安全性影响,例如:
- 在宿主操作系统和虚拟化软件上工作时,两者都可以监控您的操作,同时使用 Tails。如果宿主系统上已安装了键盘记录器,则它可以监控您所有的 Tails 流量。
- Tails 生成的一些痕迹可能会残留在宿主系统的硬盘上,因为Windows® OS通常会执行分页以提升其性能。在此过程中,部分内存数据会被复制到主机的硬盘上。
- Tails 的某些匿名性功能在此类环境中可能无法正常工作;例如,Tails 无法更改主机的 MAC地址,也无法匿名化主机的互联网流量。

我强烈建议直接从U盘启动Tails,而不是使用便携式VirtualBox等工具。尽管在某些情况下,在虚拟机内运行可能不会给用户带来任何风险,但这完全取决于每个用户所面临的威胁或漏洞程度。

  • Tails、UPR 和 Whonix(我相信大多数操作系统也是如此)不会清除文档中的元数据;例如, OpenOffice 和 PDF 创建软件通常会存储大量关于用户以及用于创建这些文件的设备的信息。图像格式中也存在元数据,因此在将文件在线发送之前,您需要手动检查并从文档中删除这些元数据。(我们在之前的章节中讨论过依赖于元数据的不同隐藏技术。在接下来的两章中,我们将讨论如何调查此类隐藏的元数据,并学习如何彻底销毁它们。)
  • 在极端敌对环境中使用Tails以实现更高的安全性和匿名性时,您应在完成每项任务后分别重启Tails。例如,如果您想在博客上发布内容,请在第一个工作会话中完成。之后,如果您想发送电子邮件,应先重启Tails,使其获得新身份,然后再发送您的电子邮件。这有助于分离您的在线身份,并使追踪您变得极为困难。

  • Tails 在关闭时会自动擦除内存中的所有数据(通过随机数据覆盖现有数据),但如果有人在 Tails 仍在运行时访问您的主机,则仍可能受到冷启动攻击。需要注意的是,在某些情况下,Tails 可能在关机前无法完全清除内存中的所有数据。通常内存会在最多3分钟内逐渐自行清空,因此此类攻击很少成功,但仍需提及。

什么是冷启动攻击? 这种攻击发生在攻击者在您的个人电脑突然关机后获得物理访问权限的情况下,通过拆下内存,将其冷冻(例如使用压缩空气罐)至零下50°C以上,然后将其连接到另一台个人电脑,并使用特定的内存工具尝试从中恢复数据。这种技术适用于攻击者无法修改BIOS以从可移动存储设备启动的计算机。请注意,一些现代个人电脑(如某些笔记本电脑)不会受到此类攻击的影响,因为其内存直接焊接在主板上。

冷启动攻击的另一种方法是按下个人电脑上的重启按钮(或突然切断个人电脑的电源),然后尝试通过启动到另一个包含特定工具的操作系统来恢复之前工作会话中的数据,提取内存中残留的数据,包括任何加密密钥。启动到另一个操作系统可以通过加载可启动的DVD/CD或可启动的U盘实现。这种攻击依赖于DRAM(主要是DDR1和DDR2版本)以及SRAM的数据残留特性,以在断电后的数秒至数分钟内读取仍保留在内存中的内容。大量研究和实验表明,DDR3不易受到冷启动攻击,因为它失去电压的速度太快,无法支持计算机机箱卸载和冷冻操作[6,7]。

  • 最后,请始终记住,无论使用 Tails 还是其他任何安全操作系统,如果你使用弱密码或成为社会工程攻击的受害者,这些系统都将毫无价值。使用安全应用程序总是比使用 Skype™ 或 Internet Explorer 等常用应用程序更困难。必须公正地指出,无论用户决定使用什么,他/她都应该谨慎处理基本的安全性要素。®

便携式棒状计算机

数字世界的快速发展正每天为我们带来新的IT产品。主要的PC制造商一直在开发小型计算机的概念。华硕与谷歌™合作,凭借其名为Chromebit的超小型便携式个人电脑,似乎成为该领域的先驱。这被认为是迄今为止最小的系统是人类为商业用途创建的。它长度仅为12厘米,可通过HDMI端口连接到任何电视显示器或个人电脑。

Chromebit运行可自动更新的Chrome操作系统。当您将其连接到电视显示器时,可以配对蓝牙键盘和鼠标使用。该小型系统配备2 GB内存和16 GB eMMC存储、双频802.11ac无线网络、蓝牙4.0,以及USB和 HDMI端口。该小型系统内置多种安全功能,例如可信平台模块(TPM)芯片,可保护内部数据结构免受现实世界威胁。此外,它还配有防盗锁孔,可在餐厅、机场和展览馆等公共场所固定设备,以确保您的资产安全。

英特尔还通过推出计算棒来努力保持其在sticks电脑市场的份额(参见图5.6)。这是一种口袋电脑,其大小和重量类似于U盘。它的技术规格包括四核英特尔 ® AtomTM处理器以及可选的操作系统:Windows® 8.1、Windows® 10或Ubuntu 14.04 LTS。

Windows®版本配备2 GB内存、32 GB板载存储,并附带McAfee®杀毒软件Plus,以全面防范恶意软件。Ubuntu版本则配备1 GB内存和8 GB板载存储。两款设备均支持无线网络和蓝牙连接,配有USB端口用于连接外设,以及micro SD卡槽以扩展存储。

联想也在2015年夏季推出了其PC棒,技术规格与英特尔和华硕的类似。它支持Windows® 8.1和10。

这款小型计算机被认为是那些需要在公共场所使用个人电脑工作,但又担心公共电脑上可能已安装键盘记录器或其他监控工具的人士的理想选择。他们只需将自带的PC棒插入支持HDMI端口的计算机或电视显示器即可。他们可以在此设备中本地工作并存储文件,完成后将其加密并随身带走。

示意图5

磁盘加密

磁盘加密是一种通过打乱数据使其无法被人读取来保护数据的技术。它使用特殊软件或硬件设备对磁盘上存在的每个数据位进行加密。这可以防止未授权访问或潜在攻击者获取您的数据。全盘加密(FDE)正越来越被需要保护其移动数据的企业所采用。此外,来自不同行业领域的个人也正在将全盘加密(FDE)作为一种简便方法来保护其敏感数据。

在本节中,我们将展示在Windows®机器上加密磁盘的不同方法。幸运的是,有许多免费工具可用于执行此类任务。

首先,我们将演示如何使用某些版本的Windows®自带的内置加密工具BitLocker。我们还将使用一些著名的免费开源工具来加密您的数据和文件,这些工具几乎无法被破解。最后,我们将列举针对全磁盘加密(FDE)的各种攻击方式,以及我们可以采取哪些措施来降低此类漏洞的风险,或至少使其极难实现。

使用BitLocker加密分区

BitLocker 是一项新的安全功能,通过对存储在 Windows®操作系统卷[8]上的所有数据进行加密,为计算机提供更好的数据保护。BitLocker 是微软拥有的专有程序。需要注意的是,与所有微软产品一样,其源代码是闭源的;因此,根据我们之前的讨论,对于处理敏感数据或在恶劣环境中工作的注重安全的人而言,这可能存在一个问题。一般来说,闭源代码的应用程序无法揭示是否存在故意留下的后门以破解该应用程序。[9,10]

尽管如此,我们仍将讨论此程序及其使用方法,因为许多版本的 Windows 已经内置了该程序,并且对于大多数希望保护其数据的计算机用户来说,如果他们的系统被盗或个人计算机遭到未授权访问,它仍然可以提供足够的安全性。

BitLocker 支持以下 Windows® 版本:
- Windows® 10:专业版、企业版和教育版
- Windows® 8和8.1:专业版和企业版
- Windows® 7:旗舰版和企业版
- Windows® Vista:旗舰版和企业版

为了运行BitLocker,我们需要一台至少具有两个分区并配备TPM的个人电脑。如果您的个人电脑不支持 TPM,您仍然可以使用BitLocker,但需要将加密密钥存储在USB驱动器中。BIOS系统(无论是支持TPM还是不支持TPM的计算机)必须支持USB大容量存储设备类,包括在操作系统前环境中读取U盘上的小文件。

什么是可信平台模块? TPM 是一种内置于计算机主板中的微型芯片,用于执行安全性任务,例如通过将加密密钥集成到设备中来保护硬件。此外,它通过使用硬件总线与系统的其余部分进行通信。

TPM除了提供随机数生成器功能外,还具有生成加密密钥的能力。大多数计算机制造商都在计算机中内置了TPM芯片,但我们通常可以在面向企业用途设计的个人电脑型号上找到它们。

BitLocker 默认使用 TPM 来存储其加密密钥,从而使其难以受到外部软件攻击和物理盗窃的破坏。在启动过程中,TPM 将通过将重要的操作系统配置值的哈希值与之前拍摄的快照进行比较,执行身份验证检查,以确保这些重要文件未被篡改。然而,如果您的个人电脑上发生了任何修改,它将以受限模式启动,以阻止潜在攻击者。

现在让我们来实验如何在运行 Windows® 8.1 企业版的计算机上激活 BitLocker。我将首先加密一个非系统分区,在本例中是 D:\ 分区。

通过控制面板 > BitLocker驱动器加密启动 BitLocker。您也可以启动Windows资源管理器并选择要加密的驱动器。右键单击该驱动器,然后选择启用 BitLocker,立即开始驱动器的加密向导。

有两种可用的 BitLocker 类型可供我们激活:
1. BitLocker驱动器加密:此选项允许你加密本地分区,包括Windows®分区。它通过加密分区上的所有内容来工作。加密完成后,你的Windows®计算机将从系统保留分区启动(这就是为什么系统至少需要两个可用分区),并且Windows®启动加载程序会在 BitLocker设置期间提示你输入密码或包含加密密钥的 USB驱动器,以解锁驱动器并正常启动Windows。(如果您的个人电脑支持TPM,你还可以在启动过程中输入PIN码以解锁TPM中的加密密钥,从而提供额外的安全性层。)
解密过程对用户是透明的,你可以像平常一样访问你的文件,而不会察觉到任何差异。
2. BitLocker To Go:这用于加密您的可移动存储驱动器,例如外置硬盘和USB闪存。您需要输入密码才能解密您的文件。

数据驱动器磁盘加密

在本例中,我们将加密其中一个数据驱动器分区(D盘):
1. 选择要加密的驱动器,然后单击 启用 BitLocker(参见图5.7)。
2. BitLocker 将提示您输入用于解锁驱动器的密码。请输入一个强密码,然后单击 下一步 继续。
3. BitLocker 将询问您希望如何备份恢复密钥(以便在忘记密码时能够访问磁盘)。它提供四种存储位置:
- 保存到您的Microsoft账户
- 保存到U盘
- 保存到文件
- 打印恢复密钥
最安全的选项(在我看来!)是将其保存到U盘,并将恢复密钥打印在纸上并存放在安全位置。在本例中,我们将选择保存到USB。系统会提示您选择可移动的USB驱动器。请选择您的USB驱动器以在其中存储恢复密钥,然后单击下一步继续。
4. BitLocker 将询问您希望加密驱动器的多少空间。此处您有两个选项:
- 仅加密已使用的磁盘空间(速度更快,最适合新个人电脑和驱动器,因为新驱动器不包含之前编辑或删除文件的残留数据,无需加密)。当您添加更多数据时,BitLocker 将自动加密这些数据。
- 加密整个驱动器(速度较慢,但更适合个人电脑以及已在使用的驱动器,因为旧驱动器可能包含已删除的文件和文件片段,必须对这些内容进行加密,以防止未经授权的人员从磁盘未加密部分恢复此类文件)。
目前我们将选择第一个选项;单击下一步继续。
5. 向导中的最终窗口会询问您是否已准备好开始加密过程。准备就绪后,单击开始加密以开始(参见图 5.8)。根据驱动器的大小,可能需要一些时间。

示意图6

示意图7

Windows分区加密

如果您的个人电脑内部没有TPM芯片,您仍然可以使用BitLocker来加密系统分区。请按照以下步骤操作(我们以Windows® 8企业版为例来演示此功能):
1. 单击 启用BitLocker,位于操作系统驱动器下 C:卷的旁边(参见 图5.7)。
2. 如果您的个人电脑没有 TPM,您将收到 图5.9 中显示的消息。

要解决此问题并在系统驱动器上启用BitLocker,您需要编辑本地组策略中的设置。

请注意,您应具有管理员权限才能执行以下操作。

单击 Windows 按钮+R 以打开运行对话框。在其中输入 gpedit.msc,然后单击 确定。您的本地组策略编辑器将出现。导航至计算机配置 ≫管理模板 ≫ Windows 组件 ≫ BitLocker 驱动器加密 ≫操作系统驱动器。双击 启动时需要其他身份验证。此时会弹出一个新的对话框;将其设置为 已启用,并确保选中 允许在没有兼容TPM的情况下使用BitLocker 旁边的复选框,最后单击 确定 以保存此新设置(参见 图5.10)。

完成后,请关闭Local Group Policy Editor。现在,即使计算机中没有TPM芯片,也可以使用BitLocker加密系统驱动器。

现在,返回步骤1并单击启用BitLocker旁边的系统驱动器 C: 以启用它。您将看到安装向导中的第一个窗口出现,询问您希望如何在启动时解锁驱动器。在这种情况下,我们将选择输入密码选项(参见图 5.11)。

在下一个窗口中,您将输入用于解锁系统驱动器的密码。请输入密码,然后单击下一步继续。

现在BitLocker将询问您希望如何存储恢复密钥,以防忘记密码。系统会提供四个选项(与之前加密数据驱动器时提到的选项相同)。在本例中,我们将选择保存到 U盘。随后会出现一个新的窗口,显示已连接的U盘。请选择您要用来存储恢复密钥的U盘,然后单击保存。请注意,无论您的个人电脑是否支持TPM,保存恢复密钥都非常重要。如果您的个人电脑配备了TPM芯片并且您需要将您的硬盘移动到另一台机器,您需要此恢复密钥来解密您的数据。

下一个向导窗口会询问您是要加密整个驱动器还是仅加密已使用空间中的数据。在此情况下,我们将选择第一个选项,仅加密已使用的磁盘空间,然后单击 下一步 继续。

最后的向导窗口会出现,询问您是否准备好开始加密系统驱动器(参见 图5.12)。如果一切正常,请单击 继续 以继续。

BitLocker 准备开始加密您的系统驱动器;但是,这将在您重新启动个人电脑后进行(参见 图5.13)。

重启Windows®。BitLocker将
示意图8

示意图9

示意图10

示意图11

示意图12

示意图13

示意图14

示意图15

要求输入解锁密码的情况下点击 Escape。您需要插入包含恢复密钥的 U盘,才能解密驱动器并正常启动。

您也可以通过 控制面板 ≫ BitLocker驱动器加密 ≫ ,然后选择所选驱动器旁边的 关闭BitLocker 来禁用该驱动器上的BitLocker(参见 图5.15)。从同一位置还可以更改其他选项,例如更改密码、删除密码和复制启动密钥。

按照相同的步骤,您只需将可移动驱动器插入个人电脑即可对其进行加密。然后需要右键单击该驱动器并选择启用BitLocker。加密数据磁盘驱动器时需要执行类似的步骤(主要是设置密码并保存恢复密钥)。在加密过程中请勿拔出U盘,否则可能导致数据损坏。加密后要打开U盘,必须先输入您的密码(参见图5.16)。

如我们所见,BitLocker 提供了一种简便的方法来加密基于 Windows® 的个人电脑分区和可移动存储设备。使用 BitLocker 加密磁盘只会带来极小的性能下降。如果你在业务中使用个人电脑,并且其中存储了大量重要文档,则应采用更安全的 BitLocker 方法。

对于不信任封闭软件且愿意尽最大努力保护数据的注重安全的人而言,他们应使用开源加密工具,我们将在下一节中描述该工具。此类工具基于传奇的加密程序 TrueCrypt。

创建加密保险库

长期以来,TrueCrypt 一直是安全专业人员以及许多企业和大型组织使用的主要加密工具,用于加密磁盘分区,并创建加密保险库以在其中存储秘密数据。2014 年5月,TrueCrypt团队在其TrueCrypt页面上发布了重大公告 (http://truecrypt.sourceforge.net/)。他们宣称TrueCrypt不安全,并建议TrueCrypt Windows®用户使用我们之前提到的Windows®内置加密工具(BitLocker)来替代它。

TrueCrypt 项目的突然关闭令安全社区感到震惊,多年来他们一直依赖此工具来保护其数据(Edward Snowden 使用 TrueCrypt 存储其从美国国家安全局泄露的文件)。据传闻,政府机构出于国家安全考虑,施加压力以阻止该工具的进一步开发。

TrueCrypt 最后一个已知的稳定版本是 7.1a 版本(支持 Windows® 和 Linux 的 32 位与 64 位系统),可在吉布森研究公司通过以下链接: https://www.grc.com/misc/truecrypt/truecrypt.htm 下载。

TrueCrypt 已通过 开源加密审计项目接受了审计,该项目是一项由社区推动的全球性倡议,起源于对 TrueCrypt 首次全面的公众审计和密码分析(详见 http:// istruecryptauditedyet.com)。该工具已历经两个测试阶段。第一阶段在停止支持之前启动,两个阶段均顺利完成,且未发现其设计中存在任何重大缺陷。同时提出了一些建议,以进一步提升该工具的安全性。

有许多工具源自TrueCrypt的源代码。主要的工具有:
1. CipherShed:一款基于TrueCrypt的免费开源加密工具。它具有跨平台特性,可以打开使用旧版程序 TrueCrypt创建的加密容器。许多安全研究人员指出,该工具并非100%安全,因为它仍在使用TrueCrypt中一些经代码审计后被认定为不安全的功能。( CipherShed仍采用与TrueCrypt相同的密钥派生技术。开源加密审计项目报告指出,该技术在TrueCrypt代码中存在漏洞。)
2. VeraCrypt:由TrueCrypt分支而来,针对开源加密审计项目提出的安全漏洞问题进行了响应和修复。根据其创建者穆尼尔·伊德拉斯的说法:“在最新版本中,我们修正了开源加密审计项目发现的大部分安全问题。在下一个版本中,我们将修复引导程序中的安全问题。” VeraCrypt提供了与旧版 TrueCrypt工具类似的功能:
a. 创建虚拟磁盘(安全容器),这些容器可被挂载并像真实磁盘一样使用。
b. 加密整个分区(包括系统分区和数据分区)。
c. 创建一个隐藏容器,该容器可以容纳完整的操作系统,或仅包含另一个容器。

因此,根据我们的讨论,我们发现VeraCrypt目前被认为是唯一一个使用TrueCrypt代码并持续修复由不同TrueCrypt审计阶段所发现漏洞的项目。因此,在本节中,我们将使用此工具作为磁盘加密的首选开源工具。

使用VeraCrypt创建一个简单的加密卷

VeraCrypt 允许创建用于存储我们秘密数据的加密容器。这些容器具有可移植性,可以使用可移动存储介质随身携带和传输。以下步骤描述了如何创建这样一个简单的容器。
1. 从 https://veracrypt. codeplex.com/ 下载并安装 VeraCrypt。最初,版本 1.16 可用。
2. 启动该工具;单击“创建卷”以开始向导(参见图5.17)。
3. 卷创建向导启动。第一个窗口要求您选择卷类型。此时您将看到三个选项:
a. 加密文件容器。
b. 加密非系统分区/驱动器。
c. 加密系统分区或整个系统驱动器。
请确保选择了“创建加密文件容器”,然后单击“下一步”继续。
4. 您需要选择卷类型。此时您将看到两个选项:标准和隐藏。选择“标准VeraCrypt卷”单选按钮,然后单击“下一步”继续。
5. VeraCrypt 会询问您希望将加密容器存储在何处。选择一个位置并为您的文件指定一个名称。在本例中,我们将文件命名为 MyStore 并保存在 E:\ 驱动器上。单击“下一步”继续。
6. 现在您需要选择用于加密文件的加密算法。选择一个安全性强的算法总是一个好主意;然而,安全算法通常会在加密/解密过程中消耗更多时间。在本例中,我们将选择 Twofish 进行加密,Whirlpool 作为哈希算法。VeraCrypt 还提供了基准测试功能,可测试每种加密/解密算法的运行速度(参见图5.18)。单击 “下一步”继续。
7. 输入容器的大小。在本例中,我们将创建一个大小为 200兆字节 的容器。此容器大小可以达到您正在创建它的磁盘驱动器的全部容量。单击 “下一步”继续。

示意图16

加密算法选择标准

并非所有加密算法都提供相同级别的安全性。一般来说,我们更倾向于使用那些未由政府机构(如美国国家标准与技术研究院(NIST))开发或认证/批准的算法,因为该机构作为美国商务部的一个部门,众所周知与美国国家安全局( NSA)密切合作。

高级加密标准(AES)由美国国家标准与技术研究院(NIST)创建。另一方面,RSA此前已被发现其某些版本中存在影响隐私的后门(所有使用双椭圆曲线确定性随机比特生成器( Dual_ EC_DRBG)的工具包)。除了这一问题之外,许多期刊报道称RSA曾与美国国家安全局(NSA)勾结,在其安全算法中提供后门。2013年,《纽约时报》报道,其掌握但从未向公众披露的文件“似乎证实”该后门确实存在,并且是美国国家安全局(NSA)Bullrun解密计划的一部分而被故意植入[11–13]。2013年12月,路透社的一篇新闻文章称,2004年在美国国家标准与技术研究院(NIST)对Dual_EC_DRBG进行标准化之前,美国国家安全局(NSA)通过一项秘密协议向RSA安全公司支付了1000万美元,以使其在RSA BSAFE密码库中将 Dual_EC_DRBG作为默认算法,导致RSA安全公司成为这种不安全算法最重要的分发者[14]。RSA回应称他们“坚决否认”曾明知故犯地与美国国家安全局(NSA)合谋采用已知存在缺陷的算法,并表示“我们从未隐瞒过 [我们]与美国国家安全局(NSA)的[关系] ”[15]。

Twofish于1998年发布,由布鲁斯·施奈尔、约翰·凯尔西、道格·惠廷、大卫·瓦格纳、克里斯·霍尔和尼尔斯·弗格森设计。Twofish具有128位块大小,密钥长度范围为128至 256位,并针对32位CPU进行了优化。根据其创建者之一布鲁斯·施奈尔的说法:“目前尚无对Twofish成功的密码分析。” Twofish是无专利保护的,其源代码无版权且免费许可;可免费用于所有用途。

SHA‐256和SHA‐512哈希算法由美国国家安全局设计,并由 NIST在FIPS PUB 180‐2中发布,这使得它们成为我们使用上的不受欢迎的选择。Whirlpool哈希算法由高级加密标准 (AES)加密算法的联合设计者文森特·里杰芒和保罗 S.L.M. 巴雷托设计。该算法的输出大小为512位。

VeraCrypt采用Whirlpool的第三个(最终)版本,该版本已被国际标准化组织(ISO)和国际电工委员会(IEC)采纳为ISO/IEC 10118‐3:2004国际标准,并被认为具有高度安全性[16]。

示意图17

  1. 现在向导将提示您为所需的卷输入密码。您应选择一个非常强的随机密码,该密码应包含大写字母、小写字母、符号和数字的组合。如果可能,密码长度应超过 20个字符。(我们将在本章后面的节中为您提供有关如何选择最安全密码的简要指南,并列出一些免费的密码生成工具。) 除了密码外,您还可以使用密钥文件。密钥文件是一种其内容与密码结合使用的文件,如果没有该文件,您将无法解锁您的容器。为了增加安全性,此密钥文件可以存储在PIN保护的智能卡上。

新版本的VeraCrypt允许您输入个人迭代倍数( PIM),这是在VeraCrypt 1.12中引入的一个参数,其值控制头部密钥派生函数使用的迭代次数。

个人识别码(PIM)被视为一个秘密值,用户每次都需要与密码一同输入。如果指定了错误的 PIM值,挂载/启动操作将失败。使用较高的PIM值会因增加迭代次数而提高安全性,但会导致挂载/启动时间变慢。使用较小的PIM值时,挂载/启动速度更快,但如果使用弱密码,可能会影响安全性。

当未指定个人识别码(PIM)值或其等于零时, VeraCrypt 将使用默认值,系统分区加密的迭代次数范围为 200,000 到 327,661,标准容器和其他分区的迭代次数范围为 655,331 到 500,000。

使用自定义迭代对于以下原因很有用:
a. 通过增加额外的加密安全性,使得攻击者在面对密码障碍之前必须进行智能猜测。
b. 使用较大的个人识别码值来提高安全级别,以抵御未来暴力破解攻击的发展。
c. 通过使用较小的个人识别码值(系统加密时小于98,其他情况时小于485)来加快启动或挂载速度。

在本例中,我们将使用一个20个字符的密码(参见图 5.19),并勾选使用个人识别码选项。然后单击下一步继续。在下一个窗口中,我们将输入个人识别码,将其值设为600,然后单击下一步继续(参见图5.20)。

  1. 现在向导将要求您格式化分区。在这种情况下,我们将使用FAT进行格式化,因为此类型比新技术文件系统(图5.21)兼容更多的设备和操作系统。您还需要在窗口中移动鼠标指针,以通过引入真正的随机元素来增强加密密钥的加密强度(从而提高安全性)。请至少操作 1分钟。完成后,单击格式化以使用先前指定的设置创建您的卷。

完成后,VeraCrypt 将弹出一条消息:“VeraCrypt卷已成功创建”。现在您已创建了一个VeraCrypt简单卷。

示意图18

示意图19

示意图20

如何打开一个普通的VeraCrypt卷?

启动VeraCrypt,从VeraCrypt主菜单中的列表选择一个驱动器字母。单击选择文件,然后导航到选择您的加密容器。最后单击挂载(参见图5.22)。

单击挂载后,VeraCrypt会要求您输入密码以解锁此容器。请输入密码,并且如果您在VeraCrypt创建向导期间已启用PIM选项,请务必同时输入个人识别码。您可以通过在VeraCrypt盘符列表中双击卷(本例中我们选择了盘符R)来访问您的卷,或者您也可以直接打开 Windows资源管理器,在其中找到您的解密容器,它会位于其他驱动器旁边。当您使用完容器后,请在VeraCrypt盘符列表中选中该卷,然后单击卸载按钮(与挂载按钮位置相同;当选中已挂载的卷时,该按钮将被激活)。

下一节我们将演示如何创建隐藏卷以及使其不被检测到的最佳实践。请注意,正如本书前面所讨论的, VeraCrypt容器也可以隐藏在图像或其他数字媒体文件中。我们还可以将其隐藏在隐蔽的替代数据流中,从而使您的容器非常安全。

在隐藏的VeraCrypt容器中安装虚拟机操作系统

如果有人强迫你透露加密卷的密码,你可以添加额外的安全层通过在此容器内创建另一个卷。VeraCrypt 将此卷称为隐藏容器。即使外层卷已挂载,也应无法证明其中是否存在隐藏卷(如果采取了正确的预防措施[17] ),因为任何 VeraCrypt 卷上的空闲空间在卷创建时始终被随机数据填满已创建,且(已卸载的)隐藏卷的任何部分都无法与随机数据区分(参见图5.2)。

在本节中,我们将向您展示如何创建一个隐藏的 VeraCrypt容器,用于存储您的秘密数据。稍后,为了增加趣味性,我们将向您展示如何在此隐藏的VeraCrypt容器内安装完整的操作系统。

示意图21

示意图22

创建隐藏卷
  1. 通过单击 创建卷 启动VeraCrypt程序。
  2. 选择 创建加密文件容器 选项。单击 下一步 继续。
  3. 选择 隐藏VeraCrypt 卷。单击 下一步 继续。
  4. 如果您已创建了VeraCrypt容器,请选择 直接模式。或者,如果您想先创建普通VeraCrypt容器,然后再创建隐藏卷,请选择 正常模式。此处我选择了 直接模式,因为我已按照前面介绍的相同步骤创建了一个大小为15 GB的 VeraCrypt卷(参见 图5.24)。
  5. 选择将在其中创建隐藏卷的VeraCrypt卷的位置,然后单击 下一步 继续。
  6. 现在需要输入普通卷的密码(外层卷密码)。请注意, VeraCrypt可以确定隐藏卷的最大可用空间(参见 图 5.25)。如果您的外层卷需要PIM或密钥文件,您也需要输入以挂载该卷。单击 下一步 继续。
  7. 向导中的下一个窗口将提示您簇映射已扫描完成,并已确定隐藏卷的最大可能大小。单击 下一步 继续。
  8. 现在您需要选择隐藏卷的加密选项,包括加密算法和哈希算法。与之前相同,在本例中我们选择 Twofish 作为加密算法,Whirlpool 作为哈希算法。请注意,其他算法也是安全的;但最好选择不依赖于任何政府机构的算法。这有助于确保这些算法已由独立方进行审计,以实现最高安全性。然后选择您的选项是加密算法还是哈希算法,最后单击 下一步 继续。
  9. 此时 VeraCrypt将提示您输入隐藏卷的大小,并显示允许的最大大小(见 图5.26)。输入大小并选择单位(MB或千兆字节),然后单击 下一步 继续。
  10. 输入隐藏卷密码。如前所述,请选择一个难以猜测的密码。请注意,此密码必须与外层卷密码不同。根据使用时输入的密码,如果输入的是外层卷密码,则打开外层卷;如果输入的是隐藏卷密码,则访问隐藏卷。单击 下一步 继续。
  11. VeraCrypt将询问您是否希望在隐藏卷容器内创建大文件。VeraCrypt设计了此问题,以帮助您为卷选择最佳的文件系统。请选择 否,然后单击 下一步 继续。
  12. 现在您需要选择隐藏卷的文件系统格式。选择FAT,因其在兼容性方面更为推荐。完成后,当您准备创建隐藏卷时,请单击 格式化。

示意图23

示意图24

示意图25

  1. 完成隐藏卷格式化后,VeraCrypt 将弹出一条消息,提示用户查阅其手册中关于如何保护隐藏卷数据的说明(参见 图5.27)。

此时,我们已完成隐藏卷的创建。你可以像使用任何磁盘一样使用此隐藏容器用于存储您的秘密数据。要打开它,您需要在挂载时提供其密码,然后它将像 VeraCrypt 创建的任何普通卷一样打开。

下一步?

在下一节中,我们将在此隐藏卷内使用VirtualBox将 Tails操作系统作为本地虚拟机进行安装卷。为了提高安全性,我们将使用便携版的 VirtualBox,并将其放置在隐藏卷内。然后我们可以启动它,并在其上安装Tails。这样,在从该隐藏卷运行此操作系统时,可提供额外的安全性。请注意,您可以在 VirtualBox 上安装任何操作系统;但我们更倾向于使用 Linux 安全发行版,以尽可能降低宿主操作系统与客户操作系统之间的交互。

创建 VirtualBox 的便携版本

VirtualBox 是一款功能强大的 ×86和AMD64/Intel64 虚拟化产品。它可以在 Windows®、Linux 上运行,Macintosh™ 和 Solaris™ 上运行。您可以通过执行以下步骤在 Windows®下创建 VirtualBox 的便携版本:
1. 从Portable-VirtualBox下载并安装http:// www.vbox.me/上的工具。这是一款免费的开源软件,可以让您直接从U盘运行任何操作系统,而无需进行安装处理。该工具为便携式工具,大小为1.5 MB。然后您需要执行安装程序文件,并选择要提取其内容的文件夹。
2. 进入该文件夹并运行Portable-VirtualBox.exe。您将看到一个类似于图5.28中所示的窗口。

示意图26

示意图27

  1. 如果您已从 www.virtualbox.org 下载了 VirtualBox 的安装程序,请单击搜索并找到该文件(注意:本例中我们使用的是 Virtual Box 版本 5.0.10)。或者,单击 下载 VirtualBox 的安装文件。Portable‐VirtualBox 将显示下载进度。安装程序下载完成后,请勾选合适的选项框,然后单击 确定。Portable‐VirtualBox 将从 VirtualBox 安装程序中提取所需的文件到当前目录。
  2. Portable‐VirtualBox 文件夹是你的 VirtualBox 便携版本(参见 图5.29)。你会注意到,由于提取了64位系统的文件,生成了一个名为 app64 的新文件夹(参见 图5.28)。

完成!现在你已拥有完全便携的 VirtualBox 程序。你可以通过点击 Portable-VirtualBox.exe 来运行它。稍后我们将此文件夹移至上一节中创建的 VeraCrypt 隐藏容器内。

在隐藏的VeraCrypt卷中安装Tails

现在我们将开始在隐藏的VeraCrypt卷中安装Tails。首先,我们需要将便携式VirtualBox移动到我们的隐藏卷中。我们首先要挂载该卷。
1. 启动VeraCrypt程序。重复本节前面提到的“如何打开标准VeraCrypt卷”中的步骤,但输入隐藏卷密码而非外层卷密码。如果一切正常,隐藏卷将被挂载(参见图5.30)。
2. 将Portable-VirtualBox文件夹(包含该软件的便携版本)移动并粘贴到隐藏卷磁盘中。
3. 启动VirtualBox程序,然后选择新建以创建新的虚拟机(参见图5.31)。
4. 向导的下一个窗口将要求您输入操作系统名称、类型(Windows或Linux)和版本(32 位或64位)。在此情况下,我们将输入Tails作为其名称。然后键入Linux并选择选项其他 Linux (32位) 替换版本,然后单击 下一步 继续。
5. 现在选择分配给虚拟机的内存大小。请记住,内存越多,性能和速度越好。在本例中,我们将分配 1 千兆字节;点击 下一步 继续。
6. 在硬盘窗口中选择 不添加虚拟硬盘 选项。单击 创建 继续。在关于创建没有硬盘的虚拟机的警告对话框中单击 继续(参见 图5.32)。
7. 如果 Tails 未立即出现在 VirtualBox 的左侧面板中,您可能需要重新启动 VirtualBox。现在我们需要按照以下步骤配置虚拟机以从 ISO 镜像启动:
a. 在左窗格中选择新的虚拟机。
b. 选择 机器 ≫设置。
c. 在左窗格中选择 存储。
d. 选择 空 下方的 IDE控制器,在右侧面板的 存储树 选择列表中,然后单击窗口右侧的 光盘 图标。您需要选择 选择虚拟光驱文件......,以浏览用于启动 Tails 的 ISO 镜像。最后,请勾选 Live CD/DVD 选项(见 图5.33),然后单击 确定 关闭窗口。在本例中,Tails ISO 镜像位于一个隐藏卷内。Tails 可从 https:// tails.boum.org/download/index.en.html 下载;请务必从其官方网站下载 Tails ISO 镜像,以避免下载到被篡改的镜像。下载完成后,最好使用同一下载页面提供的 SHA256 校验和对已下载的文件进行校验。

现在要启动新的虚拟机 (Tails),请从左侧窗格中选择该虚拟机,然后单击上方工具栏中的 Start。

如果一切顺利,Tails 将在 VirtualBox 中启动(参见 图 5.34)。

示意图28

示意图29

示意图30

示意图31

示意图32

示意图33

使用完虚拟机操作系统后,请确保将其关闭,并通过VeraCrypt程序界面卸载您的隐藏卷。

您可以安装一系列替代的操作系统来代替Tails。其他类型的Linux甚至Windows®都可以正常运行完全相同。您需要遵循相同的步骤,仅需进行少量修改。主要区别在于为要安装在便携式VirtualBox中的操作系统创建硬盘(虚拟磁盘文件)(参见第6步)。在这种情况下,我们使用了Tails,并使用ISO镜像启动它(出于安全性考虑)。如果您改用Windows® ,则需要创建一个虚拟磁盘,并将该虚拟磁盘存储在隐藏的 VeraCrypt卷上,其余所有步骤保持不变。

首次运行时,VirtualBox 需要安装在运行它的宿主系统上的系统驱动程序。如果这些驱动程序在系统中不存在,则会自动安装,这意味着该系统并非 100% 可移植,因为这是其正常运行的必要条件。当 Portable-VirtualBox 启动时,它会检查以查看驱动程序是否已安装。如果未安装,将在运行 VirtualBox 之前安装它们,并在之后将其移除。同样, Portable-VirtualBox 会检查服务是否正在运行。如果没有,它将启动这些服务,并在退出时停止它们。

尽管在隐藏卷内使用便携式VirtualBox运行Tails被认为更安全,并且几乎不与宿主操作系统交互,但使用虚拟机运行此操作系统可能会带来各种安全影响,因为使用Tails的用户通常追求最大程度的在线安全性和匿名性。建议您阅读前一节“使用安全操作系统时的建议”,其中包含使用Tails及类似安全发行版时的各种安全考虑和最佳实践。

考虑到所有关于运行便携版VirtualBox的问题,如果您希望运行一个可以随身携带的隐藏操作系统,同时保持所有系统配置和设置的便携性,并且所有内容都存储在加密隐藏容器中,它仍然提供了高水平的安全性。

使用隐藏卷时的实用注意事项

如果挂载一个包含隐藏卷的VeraCrypt卷,您可以不受限制地读取(外层)卷上存储的数据。但是,如果您需要向该外层卷保存数据,则存在隐藏卷被损坏(覆盖)的风险。为避免这种情况,请遵循以下步骤:
1. 输入密码挂载外层卷,然后单击 挂载选项…,再单击 确定(参见 图5.35)。
2. 在 挂载选项 对话框中,启用 激活选项以防止对外层卷写入时损坏隐藏卷 选项。在 隐藏卷密码 输入框中,输入隐藏卷的密码。单击 确定,然后在主密码输入对话框中单击 确定(参见 图5.36)。

当启用隐藏卷保护时,VeraCrypt 将不会挂载隐藏卷。它仅解密其头部(在内存中)并获取隐藏卷大小的信息(从已解密的头部)。下一步,外层卷将被挂载,任何尝试向隐藏卷区域保存数据的操作都将被拒绝(直到外层卷被卸载)。

如果保护成功,图5.37中将出现弹出窗口。

如果需要挂载外层卷,并且已知无需向其中保存任何数据,则保护隐藏卷免受损坏的最便捷方法是将外层卷以只读方式挂载。您可以在Mount ≫ Password 对话框 ≫ Mount options… ≫中启用此选项,并勾选 Mount Volume as read-only。

单文件加密

有时我们可能希望有一个简单的解决方案,能够仅使用密码加密文件,以便快速完成操作,并立即通过电子邮件发送加密文件,或将其存储在U盘中随身携带。有许多工具可以实现此类功能;我们在此介绍两款工具,因为它们不仅简单、可靠,而且是开源的。

AES Crypt

这是一款使用AES加密算法对单个文件进行加密的开源加密软件。它会在Windows文件系统上下文菜单中添加一个上下文菜单项,可从https://www.aescrypt.com/download下载。使用此Windows®应用程序加密文件非常简单。首先右键点击要加密的文件,然后选择 AES加密选项并输入所需的密码(参见图5.38)。AES Crypt将生成一个与原文件同名但扩展名为aes的加密文件。解密文件的过程类似。你需要右键点击加密文件并选择AES解密,输入正确的密码后,解密后的文件将出现在同一文件夹/目录中。

此工具适用于单个文件快速加密,在将文件移至 USB驱动器之前进行加密非常方便。您也可以使用它通过电子邮件发送加密文件;然而,我们更倾向于使用像 Gpg4win这样的完整加密解决方案,该方案采用私钥加密和数字签名来实现安全的邮件传输,我们将在下一节中详细介绍。

示意图34

示意图35

示意图36

示意图37

使用PeaZip进行文件归档加密

PeaZip 免费归档和文件压缩工具是一款开源的 Windows 平台 WinRar、WinZip 替代工具®和 Linux。它可以执行多种功能,如提取、创建和转换文件。它还可以分割/合并文件,并为文件提供强加密保护。此外,它还具备加密密码管理器、安全数据删除、查找重复文件、计算哈希值、导出脚本以实现自动备份以及恢复任务等功能。您可以从 http://www.peazip.org 下载该软件。

要为您的压缩文件设置密码保护,请打开PeaZip,然后点击应用程序工具栏中的Add。随后您可以拖拽将要包含在压缩包中的文件拖放到程序窗口中。底部的程序窗口允许您选择偏好的压缩包类型(ZIP、TAR)。此外,您还可以指定输出文件名,并选择是否要将此压缩包分割为多个部分。更多选项如下所示:图5.39。通过此窗口,您可以点击输入密码/密钥文件来加密您的压缩包。PeaZip 还使用 AES256 加密算法,支持使用密码和密钥文件进行双因素认证。

为了提取受密码保护的压缩包,请使用PeaZip打开它,然后单击应用程序工具栏中的提取按钮。否则,可使用系统上下文菜单中的Extract选项直接提取,而无需浏览加密容器。

PeaZip 还在主菜单的 工具 ≫密码管理器 中提供了一个加密密码管理器。通过这种方式,用户可以使用主密码来加密想要保存的密码。每个系统用户使用的密码管理器文件都是唯一的,因此多个用户可以保存多个独立的密码列表。

示意图38

云存储加密

简而言之,云存储是指位于互联网上某处、具有大容量硬盘的一组计算机,用于存储您的文件。许多人可能会发现将数据存储在云端更加方便。这使您能够备份、同步并在多个设备之间访问数据,只要这些设备具备互联网功能,就可以从地球上任何地方进行访问。然而,存储此类数据实际上存在许多安全性考虑,例如您的信息可能被他人或云服务提供商本身访问的风险。在2014年发生名人丑闻事件后,数千名名人的照片从iCloud服务提供商处泄露,[18],人们在使用此类服务存储其私密数据时变得怀疑。然而需要注意的是,这并不完全正确。即使您的云存储账户遭到入侵,以下简单的安全措施也可以保护您在云中的文件。

首先向普通计算机用户介绍最著名的云存储服务提供商:
- Dropbox(https://www.dropbox.com) | Amazon Cloud Drive(https://www.amazon.com/cloud-driv) | 谷歌 云端硬盘 (https://www.google.com/drive) | 微软OneDrive (https://onedrive.live.com/about/en-us)

为了在使用此类服务时保护您的个人数据,您只需在将文件上传到云之前,在本地对文件进行加密。当然,这可能会限制您与朋友或同事共享文件的能力,因为他们需要密码才能解密您的文件。到目前为止,这被认为是您在此类虚拟环境中确保一切安全的唯一安全解决方案。

您可以使用任何加密工具在将数据上传到云之前对其进行加密。我们已经讨论过VeraCrypt容器,它可以用来存储您的文件,然后将整个容器内容上传到云中。然而,在某些情况下,这种技术可能并不适用;例如,假设您使用一个5 GB的VeraCrypt容器在云中存储文件。如果您想查看存储在此容器中的某一张图片,则必须先下载整个容器,然后按照之前所述的方法将其挂载,才能提取该文件。显然,这不是最实用的解决方案。

还有一些工具专为云存储模型设计,可自动逐个加密要上传到云的文件,从而避免了我们之前讨论过的大小问题。选择最佳加密工具并不像一些人想象的那么简单。我们使用了多个标准来选择最佳的云存储加密工具:
- 它应使用一种强大的加密算法,且必须始终接受技术社区不同方面的审计。
- 它必须是开源程序,以确保其中不包含后门。
- 在使用前不应要求您创建账户。
- 最好不将其文件存储在其内部服务器上,因为某些工具可能需要这样做(即使是临时的)。此处的目标是限制将您的个人文件分散到多台服务器上。
- 它在设计时考虑到了云存储,除了定期维护和更新外,还可以与著名的云服务提供商无缝集成。

使用CryptSync进行云存储加密

CryptSync 是一个小实用工具,可在同步两个文件夹的同时加密其中一个文件夹中的内容。这意味着这两个文件夹中,一个包含所有未加密的文件(即你日常使用的文件),另一个文件夹则包含所有已加密的文件。例如,加密后的文件夹可以是你的本地 Dropbox 文件夹。

同步是双向进行的:一个文件夹中的更改会同步到另一个文件夹。如果在未加密的文件夹中添加或修改了文件,则该文件会被加密;但如果在加密文件夹中添加或修改了文件,则该文件会被解密到另一个文件夹。

加密使用7‐Zip完成,同时也会进行压缩。这意味着您不仅获得了加密功能,还免费获得了压缩功能,从而减少了在云中使用的存储空间。

使用此工具,请按照以下步骤操作:
1. 从 http://stefanstools.sourceforge.net/ CryptSync.html 下载。在您的个人电脑上安装该应用程序(支持所有 Windows®版本,包括 Windows® XP 之后的版本)。
2. 启动工具并单击 新建配对…。
3. 输入您的配对文件夹位置。您还可以为配对文件夹设置一些其他选项(参见 图5.40和图5.41)。

注意:如果选择了 加密文件名 选项,请确保文件和文件夹的姓名不超过120个字符。加密这些姓名后长度大约会翻倍,而Windows对每个文件或文件夹的姓名限制为255个字符,请注意这一点。

  1. 单击 确定 返回主程序窗口。此时,您可以选择 在后台运行 以使同步过程透明化。或者,您可以通过选择 同步文件并退出 来查看其进度。

还有另一个值得一提的开源云加密程序,它使用 Cryptomator进行AES加密,可从https://cryptomator.org下载。

磁盘加密的安全级别讨论

实现全盘加密被认为是保护数据安全的重要防护措施,但我们不能将对整个磁盘的加密视为满足所有安全需求的100%安全解决方案。显然,许多

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值