TrueCrypt,FileVault ( MacOS X),dm-crypt(Linux)等磁碟加密工具

TrueCrypt,FileVault ( MacOS X),dm-crypt(Linux)等磁盤加密工具 TrueCrypt是全球最著名最權威的硬盤加密軟件,迄今為止沒有任何方法可以破解其加密的磁盤,另外由於它是開源的,所以其安全性不容置疑。

但對於 TrueCrypt,Windows下的BitLocker(前文所述),FileVault ( MacOS X),dm-crypt(Linux),都可以通過對內存鏡像進行分析獲得密鑰,使破解成為可能。這種方式也成為: cold boot attack。
美國普林斯頓大學研究人員公佈的最新研究報告稱,現有的計算機加密技術存在重大弱點,不法分子可以通過一種低技術含量的手段繞過加密軟件獲取計算機存儲器 內敏感數據。美聯社援引這份研究報告說,低溫可使計算機內存斷電之後仍保留其中數據數分鐘甚至數小時。

對經加密的計算機而言,這些數據則包含加密數據。在 非低溫狀態下,內存被斷電幾秒後就會損失數據。
來自美國普林斯頓大學、電子產品維權基金會以及「風河系統」軟件公司的研究人員參與了上述研究。 研究人員用倒置的壓縮氣體噴灑器向計算機內存噴氣,使其降溫至零下50攝氏度。之後,他們利用斷電的內存中數據「凍結」時間,通過一個簡單的內存鏡像軟件 重啟計算機,把其中數據讀取出來,再分析、處理這些數據,從而找出計算機密碼,獲得訪問計算機存儲信息的權限。報導說,利用上述方法,電腦黑客可以在內存 清除其內部敏感數據前盜取信息。 報告指出:「這些風險意味著,筆記本電腦磁盤加密手段可能沒有普遍預想的那樣理想……最終,內存將可能被認為不可靠,並應被避免用來存儲敏感機密數據。但 在(計算機相關)結構被改變,從而向軟件提供存儲密碼的安全場所以前,這(種避免把敏感機密數據存於內存的做法)將不具可行性。」

研究人員稱,他們破解了一系列常見加密程序,如微軟BitLocker,蘋果FileVault,TrueCrypt等。由於結構相似,其他許多加密手段也同樣能被破解。 「如今,磁盤加密產品看似極其重要:(一些)筆記本電腦裡存儲著企業或個人的敏感數據……而我們卻破解了這些產品,」法新社援引普林斯頓大學計算機科學在讀博士生J·亞歷克斯·霍爾德曼的話說,「這不是個小漏洞,它是這些系統設計上的一種根本侷限性。」 研究人員警告說,只要在黑客物理接觸範圍內,筆記本電腦在鎖定、睡眠等帶電狀態時尤其脆弱。關掉筆記本電腦有助於防止黑客入侵,但並非在所有情況下都有效。

「無論是你的筆記本電腦被盜,還是你只是在機場安檢處幾分鐘之內看不到它,裡面的信息都可能被一名聰明的入侵者讀取,」電子產品維權基金會技術專家塞思·舍恩說。

下面介紹一下TrueCrypt 軟件。

加密軟件是否值得我們信賴

網上流傳著很多加密、隱藏特定文件和目錄的方法、技巧、軟件、硬件,比如加密狗、王牌文件夾加密大師、宏傑工具之文件夾加密、文件夾隱藏及加密金剛、博物加密工具;比如隱藏文件到jpg圖片、mp3、pdf文檔;比如創建一個「看不到」、「刪不掉」的目錄。


其中絕大部分方法都可以破解,絕大部分軟件我們通常都不放心!不放心的原因有三:


1、不知道加密軟件有沒有後門
很多加密軟件都是小公司甚至個人開發的,雖然他們技術實力也許很強,但是由於軟件沒有公開源代碼,我們永遠也不知道有沒有特定的密碼、技巧可以萬能的破解被加密的文件。


2、不知道有沒有工具破解
如果加密軟件採用的是類似於rookit的hook鉤子截獲windows api的實現文件隱藏的話,那麼肯定可以破解的。

如果加密軟件使用各種算法進行加密,那麼由於實現細節我們不清楚,同樣有被破解的可能。即使它號稱「反跟蹤、反編譯、反破解、雙重安全檢測、使用了高強度的加密算法」,我們也不是很放心。


3、不知道能否100%解密
如果重要數據文件加密後,解密失敗了,那顯然比不加密還要糟糕,加密就等於刪除了!-_-,到時候只有欲哭無淚了。

甚至有的加密軟件本身還帶有病毒、木馬,當然只是極少數。那麼TrueCrypt有什麼與眾不同的呢?

  

1、可靠
TrueCrypt完全開放源代碼,只要你願意,你完全可以自己下載源代碼然後自己編譯生成可執行文件,TrueCrypt內部每一步都做了些什麼,清清楚楚明明白白,更何況全球有幾乎1000萬雙眼睛盯著呢,TrueCrypt完全不可能做手腳!


2、安全
TrueCrypt使用了多種不同加密算法:AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES,加密容易解密難,加密快得你感覺不到佔用了時間,解密呢,只有一種辦法:暴力破解,窮舉所有可能的密碼,而且速度很慢,一秒鐘試不了幾個(我們假 設是三個),如果你的密碼有10位長的話,那麼10000000000除以(60*60*24*365*3)等於105.7年,如果你的密碼有20位長, 暴力破解需要1056993066125年時間!

軟件介紹:



TrueCrypt之軟件主界面(圖一)
  

TrueCrypt是一款免費,開源的支持Windows Vista/XP/2000 and Linux的綠色虛擬加密磁盤工具,可以在硬盤上創建一個或多個虛擬磁盤,所有虛擬磁盤上的文件都被自動加密,需要通過密碼來進行訪問。 TrueCrypt提供多種加密算法,如AES-256、Blowfish(448-bitkey)、CAST5、Serpent、Triple DES等,其他特性還包括支持FAT32和NTFS分區、隱藏卷標和熱鍵啟動。
  軟件全稱: TrueCrypt 軟件語言: 多語
  軟件版本: 6.2 軟件大小: 2.44M
  軟件授權: 免費版 華軍下載: 英文原版 官方中文包
  
一. 軟件安裝
  
TrueCrypt在使用前須對其進行安裝才可進行使用,軟件須按照提示進行安裝,軟件安裝過程如下圖所示:


TrueCrypt之接受安裝協議(圖二)



TrueCrypt之選擇安裝目錄(圖三)


TrueCrypt之完成安裝(圖四)


二. 軟件使用
  
TrueCrypt在安裝完畢後,雙擊桌面圖標即可進入到軟件主界面,在軟件啟動後,會跳出窗口提示用戶進行操作,並且小編要提醒大家的是該軟件為英文,所以在初次使用時我們須將其轉換為中文顯示,點擊軟件設置欄,如下圖所示:

TrueCrypt之選擇語言(圖五)
  
點擊語言選項後,軟件會跳出提示窗口,在語言框內我們只能靠英文選項,我們須在其官方網站上進行語言選項下載,點擊下載如下圖所示:



TrueCrypt之語言下載(圖六)

點擊下載後,軟件會自動關聯到官方網站,該軟件支持多國語言,用戶可從跳出窗口選擇中文語言,如下圖所示:



TrueCrypt之中文語言下載(圖七)
  
在下載了中文語言包後,我們還要將其放入到我們的軟件目錄,然後關閉軟件重新啟動軟件界面即可變為中文界面,如下圖所示:


TrueCrypt之中文語言安裝(圖八)


將軟件界面語言更換為中文後,我們就可以方便的進行軟件使用了,首先我們須進行加密卷的創立,點擊軟件創建加密卷,軟件會跳出窗口提示用戶進行操作,首先我們要對加密的類型進行選擇,如下圖所示:



TrueCrypt之加密卷創建(圖九)


小編選擇的第一種創建文件型加密卷,其後軟件會提示加密卷為標準形式還是隱藏形式存在,小編選擇的是標準型加密卷,如大家有特殊需要可選擇隱藏形式加密卷,如下圖所示:

TrueCrypt之加密卷類型(圖十)


在進行了加密卷創建後,我們還須對加密卷的位置進行選擇,點擊下一步後在跳出的窗口中點擊選擇文件按鈕進行選擇,如下圖所示:


TrueCrypt之選擇文件(圖十一)


選擇好加密文件後,我們還點擊下一步菜單,在跳出的窗口中我們須選擇設置加密算法,其中包括好幾種的算法,用戶自行選擇,如下圖所示:


TrueCrypt之文件加密算法(圖十二)


除了設置加密卷位置及算法,我們還須在下一步的設置中,對我們所要採用的加密捲進行大小設置,須為其設置一個上限,如下圖所示:



TrueCrypt之加密卷大小(圖十三)


選擇好加密卷大小後,我們還須為加密卷選擇一個合適的密碼,用戶自行進行設置,如下圖所示:



TrueCrypt之加密卷密碼(圖十四



在進行了一系列的設置後,我們即可完成加密卷的設置工作,下面就可以進行創建了,點擊格式化即可,如下圖所示:



TrueCrypt之加密卷創建(圖十五)


不過既然創造了一個加密磁盤,我們又怎麼進行打開和使用呢,我們須點擊選擇文件,在其跳出的窗口內選擇剛已創立的機密卷,然後輸入正確的密碼才可進行正常使用,如下圖所示:



TrueCrypt之選擇加密卷(圖十六)



TrueCrypt之加密卷密碼輸入(圖十七)

只有選擇正確的密碼才可以進入加密盤,在進行了密碼輸入後,我們即可打開該加密卷並對加密捲進行操作,當然我們還可以通過點擊盤符右鍵進行加密卷屬性查看,如下圖所示:



TrueCrypt之加密卷屬性查看(圖十八)


利用dm-crypt來創建加密文件系統


Linux使用加密文件系統後,數據的安全能得到很好的保護。在這種情況下,即使把我們的機器送給黑客,只要他們沒有密鑰,黑客看到的數據只會是一堆亂碼,毫無利用價值可言

本文將詳細介紹利用dm-crypt來創建加密文件系統的方法。與其它創建加密文件系統的方法相比,dm-crypt系統有著無可比擬的優越性:它的速度 更快,易用性更強。除此之外,它的適用面也很廣,能夠運行在各種塊設備上,即使這些設備使用了RAID和 LVM也毫無障礙。dm-crypt系統之所以具有這些優點,主要得益於該技術是建立在2.6版本內核的device-mapper特性之上的。 device-mapper是設計用來為在實際的塊設備之上添加虛擬層提供一種通用靈活的方法,以方便開發人員實現鏡像、快照、級聯和加密等處理。此外, dm-crypt使用了內核密碼應用編程接口實現了透明的加密,並且兼容cryptloop系統。

一、配置內核
dm -crypt利用內核的密碼應用編程接口來完成密碼操作。一般說來,內核通常將各種加密程序以模塊的形式加載。對於256-bit AES來說,其安全強度已經非常之高,即便用來保護絕密級的數據也足夠了。因此本文中我們使用256-bit AES密碼,為了保證您的內核已經加載AES密碼模塊,請利用下列命令進行檢查:

$ cat /proc/crypto

如果看到類似下面的輸出的話,說明AES模塊已經加載:

name : aes
module : aes
type : cipher
blocksize : 16
min keysize : 16
max keysize : 32

否則,我們可以利用modprobe來手工加載AES模塊,命令如下所示:

$ sudo modprobe aes

接下來安裝dmsetup軟件包,該軟件包含有配置device-mapper所需的工具:

$ sudo apt-get install dmsetup cryptsetup

為檢查dmsetup軟件包是否已經建立了設備映像程序,鍵入下列命令:

$ ls -l /dev/mapper/control

接下來加載dm-crypt內核模塊:
$ sudo modprobe dm-crypt
dm-crypt加載後,它會用evice-mapper自動註冊。如果再次檢驗的話,device-mapper已能識別dm-crypt,並且把crypt 添加為可用的對象:
$ sudo dmsetup targets

如果一切順利,現在你應該看到crypt的下列輸出:

crypt v1.1.0
striped v1.0.2
linear v1.0.1
error v1.0.1

這說明我們的系統已經為裝載加密設備做好了準備。下面,我們先來建立一個加密設備。


二、建立加密設備
要創建作為加密設備裝載的文件系統,有兩種選擇:一是建立一個磁盤映像,然後作為回送設備加載;二是使用物理設備。無論那種情況,除了在建立和捆綁回送設備外,其它操作過程都是相似的。

1.建立回送磁盤映像
如果你沒有用來加密的物理設備(比如存儲棒或另外的磁盤分區),作為替換,你可以利用命令dd來建立一個空磁盤映像,然後將該映像作為回送設備來裝載,照樣能用。下面我們以實例來加以介紹:

$ dd if=/dev/zero of=~/secret.img bs=1M count=100

這裡我們新建了一個大小為100 MB的磁盤映像,該映像名字為secret.img。要想改變其大小,可以改變count的值。
接下來,我們利用losetup命令將該映像和一個回送設備聯繫起來:

$ sudo losetup /dev/loop/0 ~/secret.img

現在,我們已經得到了一個虛擬的塊設備,其位於/dev/loop/0,並且我們能夠如同使用其它設備那樣來使用它。

2.設置塊設備
準備好了物理塊設備(例如/dev/sda1),或者是虛擬塊設備(像前面那樣建立了回送映像,並利用device-mapper將其作為加密的邏輯卷加載),我們就可以進行塊設備配置了。
下面我們使用cryptsetup來建立邏輯卷,並將其與塊設備捆綁:

$ sudo cryptsetup -y create myEncryptedFilesystem
/dev/DEVICENAME

其中,myEncryptedFilesystem 是新建的邏輯卷的名稱。並且最後一個參數必須是將用作加密卷的塊設備。所以,如果你要使用前面建立的回送映像作為虛擬塊設備的話,應當運行以下命令:

$ sudo cryptsetup -y create myEncryptedFilesystem /dev/loop/0

無論是使用物理塊設備還是虛擬塊設備,程序都會要你輸入邏輯卷的口令,-y的作用在於要你輸入兩次口令以確保無誤。這一點很重要,因為一旦口令弄錯,你就會把自己的數據鎖住,這時誰也幫不了您了!
為了確認邏輯卷是否已經建立,可以使用下列命令進行檢查一下:

$ sudo dmsetup ls

只要該命令列出了邏輯卷,就說明已經成功建立了邏輯卷。不過根據機器的不同,設備號可能有所不同:

myEncryptedFilesystem (221, 0)
device-mapper會把它的虛擬設備裝載到/dev/mapper下面,所以,你的虛擬塊設備應該是/dev/mapper/myEncryptedFilesystem ,儘管用起來它和其它塊設備沒什麼不同,實際上它卻是經過透明加密的。

如同物理設備一樣,我們也可以在虛擬設備上創建文件系統:

$ sudo mkfs.ext3 /dev/mapper/myEncryptedFilesystem

現在為新的虛擬塊設備建立一個裝載點,然後將其裝載。命令如下所示:

$ sudo mkdir /mnt/myEncryptedFilesystem
$ sudo mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem

我們能夠利用下面的命令查看其裝載後的情況:

$ df -h /mnt/myEncryptedFilesystem
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/myEncryptedFilesystem 97M 2.1M 90M 2% /mnt/myEncryptedFilesystem

很好,我們看到裝載的文件系統,儘管看起來與其它文件系統無異,但實際上寫到/mnt/myEncryptedFilesystem /下的所有數據,在數據寫入之前都是經過透明的加密處理後才寫入磁盤的,因此,從該處讀取的數據都是些密文。


要卸載加密文件系統,和平常的方法沒什麼兩樣:

$ sudo umount /mnt/myEncryptedFilesystem

即便已經卸載了塊設備,在dm-crypt中仍然視為一個虛擬設備。如若不信,你可以再次運行命令sudo dmsetup ls來驗證一下,你會看到該設備依然會被列出。因為dm-crypt緩存了口令,所以機器上的其它用戶不需要知道口令就能重新裝載該設備。為了避免這種情 況發生,你必須在卸載設備後從dm-crypt中顯式的刪除該設備。命令具體如下所示:

$ sudo cryptsetup remove myEncryptedFilesystem

此後,它將徹底清除,要想再次裝載的話,你必須再次輸入口令。為了簡化該過程,我們可以利用一個簡單的腳本來完成卸載和清除工作:

#!/bin/sh
umount /mnt/myEncryptedFilesystem
cryptsetup remove myEncryptedFilesystem


四、重新裝載

在卸載加密設備後,我們很可能還需作為普通用戶來裝載它們。為了簡化該工作,我們需要在/etc/fstab文件中添加下列內容:

/dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem ext3 noauto,noatime 0 0

此外,我們也可以通過建立腳本來替我們完成dm-crypt設備的創建和卷的裝載工作,方法是用實際設備的名稱或文件路徑來替換/dev/DEVICENAME:

#!/bin/sh
cryptsetup create myEncryptedFilesystem /dev/DEVICENAME
mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem

如果你使用的是回送設備的話,你還能利用腳本來捆綁設備:

#!/bin/sh
losetup /dev/loop/0 ~/secret.img
cryptsetup create myEncryptedFilesystem /dev/loop/0
mount /dev/mapper/myEncryptedFilesystem /mnt/myEncryptedFilesystem

如果你收到消息「ioctl: LOOP_SET_FD: Device or resource busy」,這說明回送設備很可能仍然裝載在系統上。我們可以利用sudo losetup -d /dev/loop/0命令將其刪除。


五、加密主目錄

如果配置了PAM(Pluggable Authentication Modules,即可插入式鑑別模塊)子系統在您登錄時裝載主目錄的話,你甚至還能加密整個主目錄。因為libpam-mount模塊允許PAM在用戶登 錄時自動裝載任意設備,所以我們要連同openssl一起來安裝該模塊。命令如下所示:

$ sudo apt-get install libpam-mount openssl

接下來,編輯文件/etc/pam.d/common-auth,在其末尾添加下列一行:

auth optional pam_mount.so use_first_pass

然後在文件/etc/pam.d/common-session末尾添加下列一行內容:

session optional pam_mount.so

現在,我們來設置PAM,告訴它需要裝載哪些卷、以及裝載位置。對本例而言,假設用戶名是Ian,要用到的設備是/dev/sda1,要添加到/etc/security/pam_mount.conf文件中的內容如下所示:
volume Ian crypt - /dev/sda1 /home/Ian cipher=aes aes-256-ecb /home/Ian.key

如果想使用磁盤映像,你需要在此規定回送設備(比如/dev/loop/0),並確保在Ian登錄之前系統已經運行losetup。為此,你可以將 losetup /dev/loop/0 /home/secret.img放入/etc/rc.local文件中。因為該卷被加密,所以PAM需要密鑰來裝載卷。最後的參數用來告訴PAM密鑰在 /home/Ian.key文件中,為此,通過使用OpenSSL來加密你的口令來建立密鑰文件:

$ sudo sh -c 'echo
'
YOUR PASSPHRASE
'
| openssl aes-256-ecb >
/home/Ian.key'

這時,提示你輸入密碼。注意,這裡的口令必需和想要的用戶登錄密碼一致。原因是當你登錄時,PAM需要你提供這個密碼,用以加密你的密鑰文件,然後根據包含在密鑰文件中的口令用dm-crypt裝載你的主目錄。
需要注意的是,這樣做會把你的口令以明文的形式暴露在.history文件中,所以要及時利用命令history -c清楚你的歷史記錄。此外,要想避免把口令存放在加密的密鑰文件中的話,可以讓創建加密文件系統的口令和登錄口令完全一致。這樣,在身份認證時,PAM 只要把你的密碼傳給dm-crypt就可以了,而不必從密鑰文件中抽取密碼。為此,你可以在/etc/security/pam_mount.conf文 件中使用下面的命令行:

volume Ian crypt - /dev/sda1 /home/Ian cipher=aes - -

最後,為了保證在退出系統時自動卸載加密主目錄,請編輯/etc/login.defs文件使得CLOSE_SESSIONS項配置如下:

CLOSE_SESSIONS yes



六、小結
數據加密是一種強而有力的安全手段,它能在各種環境下很好的保護數據的機密性。而本文介紹的Ubuntu Linux 下的加密文件系統就是一種非常有用的數據加密保護方式,相信它能夠在保護數據機密性相方面對您有所幫助。

關於 FileVault

Mac OS X 包括 FileVault,它允許您加密個人文件夾內的信息。加密將混雜您的個人文件夾中的數據,以便即使電腦丟失或被盜,您的信息也是安全的。

FileVault 使用最新的經美國政府批准的加密標準,即帶 128 位密鑰 (AES-128) 的高級加密標準。


當您打開 FileVault 時,您也為電腦設置了一個您或管理員可以使用的密碼,可以在您忘記常規登錄密碼時使用。

警告:如果您打開 FileVault,過後卻忘記了登錄密碼和主密碼,您就不能登錄您的帳戶並且您的數據將永久丟失。


如果您電腦上的信息是屬於敏感的那一種,就應該考慮使用 FileVault。例如,如果您的 PowerBook 上有公司的所有金融數據,PowerBook 丟失可能會讓其他人訪問這些敏感數據並對您的公司造成損失。如果您的 PowerBook 丟失時已註銷您的帳戶,並且 FileVault 已打開,您的信息就是安全的。


如果您考慮使用 FileVault,就應該注意到它可能影響計劃的備份並妨礙對您的個人文件夾內的共享文件夾進行訪問。由於 FileVault 創建了一個加密的個人文件夾,某些備份實用程序可能將您的個人文件夾當作一個總是在更改的文件夾,這可能會降低備份速度。此外,如果您沒有登錄到電腦,其 他用戶將不能訪問您的個人文件夾中的共享文件夾。


早在Windows Vista上市之前,便有許多人有意無意地將其與蘋果(Apple)的Mac OS X相提並論,試圖比較二者的優劣。畢竟,從簡單的角度看,Windows Vista與Mac OS 間存在太多的相似點,比如說,Windows Vista的Aero Galss界面與Tiger中的Aqua界面,再比如說Windows Vista中的即時搜索與Mac中的「Spotlight」等(詳見Windows Vista Vs. Mac OS X : 大戰一觸即發)。而在操作系統對文件的加密方面,Windows Vista中引入了對BitLocker的支持,這與Mac OS X中的FileVault 也有一定程度的近似,二者欲實現的目標也基本相同:即保護用戶的重要數據,使其即使在電腦遺失的情況下也不會造成機密的外流。


從技術上看,無論BitLocker還是FileVault,均是一種系統級的加密,但儘管二者的目標相同,採取的具體機制則有明顯的差別。那麼,究竟孰優孰劣?下面我們進行簡單的比較。

Windows Vista的BitLocker

與Mac OS X中的FileVault相比,Windows Vista中的驅動器加密功能BitLocker更為強大,不僅加密、保護用戶文件,事實上,BitLocker加密的是整個系統分區,包括Windows系統文件、應用程序以及存放於系統盤的任何個人數據。

  

啟用了BitLocker的Windows Vista系統,要求在啟動時 必須插入存有密鑰的USB盤,或具有BitLocker恢復密碼,不然,系統將無法啟動。BitLocker在加密過程中使用一個相對較小的啟動分區來檢 查密鑰,只有檢測通過硬盤數據才可存取,這樣,即使非法使用者將該硬盤掛接在別的可正常啟動的系統上,也無法讀取該分區中的數據。


BitLocker的優勢: 沒有正確的密鑰,不僅無法啟動進入Windows Vista,而且,正如上文所言,即使非法使用者採取其他手段,如試圖以脫機方式瀏覽存儲在受保護驅動器中的文件,也無法讀取加密分區內的數據,最大程度地保證了數據的安全


BitLocker的不足:從某種程度上說,BitLocker的優勢也具有雙面性,用戶必須確保將自己存有密鑰USB盤不要遺失,或者,將BitLocker恢復密碼保存到安全位置,不然,也許會發生反而將自己「拒之門外」的慘劇。

此外,要享受BitLocker帶來的好處,用戶必須購買Windows Vista Ultimate或Enterprise版,並且,在設置時需調整硬盤分區,新建一個啟動分區以及將密鑰保存到USB盤等繁瑣過程。


Mac OS X的 FileVault

在Mac OS X中,FileVault自動加密用戶文件目錄及其中的文件。當用戶對其目錄中的文件進行讀寫操作時,FileVault在後台自動對相應文件進行加解密過程,其效率極高,事實上,大多數用戶在操作中甚至感覺不到存在這麼一個加、解密的過程。


FileVault使用用戶的登錄密碼作為加解密的密鑰。也即是說,只有當用戶使用正確的密碼登錄時,才能看到自己主目錄及其下的文件。不然, 該文件夾將不可存取。如果同一台Mac機上存在多個用戶,那麼,每個用戶只能看到自己的主目錄及目錄下的文件,而無法對其他用戶目錄下的文件進行操作。


FileVault的優勢:FileVault是Mac OS X系統的默認功能, 用戶不必像Windows Vista那樣,必須購買更昂貴的Windows Vista Ultimate 或 Enterprise版才能享受BitLocker功能。同時,與BitLocker相比,不必對硬盤進行重新分區,不必創建存有密鑰的USB啟動盤,幾 乎不需任何用戶設置,應用較為簡便、方便。


FileVault的不足:即便啟用FileVault,非法用戶仍能正常啟動Mac,這與BitLocker直接讓非法用戶無法進入系統存在距離,雖然此時從理論上說,非法用戶仍然無法讀取用戶目錄下的文件。

小結:Windows Vista更勝一籌

從上文的簡單比較可以看出,儘管要應用BitLocker,需要購買更昂貴的Windows Vista版本,需要遠較FileVault複雜的設置過程,但BitLocker的安全防護更為全面,可以從根本上把非法使用者拒之門外,即使其拿到您 的PC、您的硬盤,也同樣對其上的數據無能為力。


此外,還必須考慮到,在Windows Vista中,除了BitLocker,還可以使用EFS(Encrypt File System : 加密文件系統),加密特定文件/文件夾,這可實施進行更靈活的數據保護。




轉自計算機取證技術

0 意見: