我先给你讲一个备用故事:一位计算机技术人员向我挑战,要我把笔记本电脑给他,并要求他提供我想“隐藏”在硬盘中的任何信息。他声称,无论我如何隐藏,他都能找回任何信息。
由于我不喜欢“你对此无能为力”这样的绝对说法,我开始在脑子里思考这个问题。我意识到一个非常安全的操作系统不会解决这个问题,因为它不需要从这个特定的硬盘启动来查找硬盘中的内容。
这里的一般问题是:
有没有办法完全保护硬盘上的所有数据?(我不需要详细解释如何做到这一点,我只需要你给我指明一个方向;我可以自己阅读更多相关内容)
具体来说,我怀疑我可能需要:
非常安全的操作系统,可能对其存储的所有数据进行加密(不知道是否存在这样的事情)。
如果不存在上述情况,是否有办法手动加密硬盘中的数据并且仍然能够从该硬盘启动?
一般来说,我想让硬盘尽可能地难以被我以外的人(=知道特定的密码/密钥)访问,因此欢迎任何解决方案。
答案1
它足以加密大多数敏感文件。使用 AES 256 位和一个很长的密码加密的 ZIP 文件几乎不可能在没有密码的情况下进入。(避免使用称为 PKZIP 流密码/ZipCrypto 的传统 ZIP 加密 - 众所周知它很弱。)
还可以加密整个分区,隐藏其中的所有内容。Truecrypt是家庭(和一些企业)分区/图像加密的实际标准程序。与操作系统内置的工具相比,Truecrypt 最好的一点可能是它便携的:有适用于 Windows、Mac OS X 和 Linux 的版本,这占了绝大多数消费者操作系统。
如果你想隐藏一切,您可以加密系统中的每个分区,包括您启动的分区。如果不知道密码/密钥,就无法从加密驱动器读取数据。问题是,Windows 操作系统并不总是支持从加密硬盘驱动器启动。*Truecrypt 有它所谓的系统加密。他们总结得很好:
系统加密涉及预启动身份验证,这意味着任何想要访问和使用加密系统、读取和写入存储在系统驱动器上的文件等的人,每次在 Windows 启动(启动)之前都需要输入正确的密码。预启动身份验证由 TrueCrypt 启动加载程序处理,它位于启动驱动器的第一个轨道和 TrueCrypt 救援磁盘上。
因此 Truecrypt 引导加载程序将在您的操作系统之前加载并提示您输入密码。当您输入正确的密码时,它将加载操作系统引导加载程序。硬盘始终处于加密状态,因此即使是可启动 CD 也无法从中读取任何有用的数据。
加密/解密现有系统也不是那么困难:
请注意,TrueCrypt 可以在操作系统运行时就地加密现有的未加密系统分区/驱动器(在系统加密期间,您可以照常使用计算机,不受任何限制)。同样,TrueCrypt 加密的系统分区/驱动器可以在操作系统运行时就地解密。您可以随时中断加密或解密过程,使分区/驱动器保持部分未加密状态,重新启动或关闭计算机,然后恢复该过程,该过程将从停止点继续。
*其他各种操作系统都支持系统驱动器加密。例如,Linux 内核 2.6 及更新版本具有dm-隐窝以及 Mac OS X 10.7 及更高版本文件保险箱 2. Windows 有这样的支持BitLocker,但仅限于企业版/商业版/服务器版,并且仅限于 Vista 及更新版本。如上所述,Truecrypt 更便于携带,但通常缺乏加密系统驱动器所需的集成,Windows 除外。
答案2
一句话 - 全盘加密,最好使用一个好的、长的、非字典密钥。您也可以查看使用外部密钥文件执行此操作的系统。基本上,由于除引导加载程序之外的整个系统都已加密,因此直接内存访问攻击- 也就是说使用火线或其他具有 DMA 的设备来获取内存内容,或者使用冷启动攻击来获取信息。 避免这种情况很简单 - 只需确保在交出系统之前关闭系统并取出电池即可。 如果它只是一个硬盘,这两种攻击都不太可能发生
我可能只会尝试 truecrypt,使用非常长的随机密码(长度使暴力破解更加困难,而随机性可以防止字典攻击),然后让他尽情使用它。或者,某些版本的 Windows 有 bitlocker - 这是 Windows 内置的强大 FDE 选项。同样,也有适用于 Linux 的解决方案,如 luks 和 dmcrypt。
或者用随机数据填充磁盘...并看看他需要多长时间才能弄明白;)
答案3
不要上当受骗,例如“给我密码,我就能查看结果”。
我参加过的一个安全会议一开始就要求输入密码。会议进行到一半时,主持人说,最大的安全风险就是你,因为大多数人都已经把密码泄露给了别人。
(是的,只需加密相关数据。)
答案4
我同意另一个 TrueCrypt 的回答。但是,我有一个重要的观点要补充 - TrueCrypt 的合理可否认性功能。这意味着 TrueCrypt 不会在其加密的磁盘/文件上留下任何可识别的签名。因此,没有人能够证明磁盘上的一组位是随机位还是加密数据。这一点非常重要,以至于在最近的一个法庭案件中产生了影响。