Google
 

星期一, 7月 15, 2013

保密防諜, TrueCrypt磁碟加密軟體

之前談到ThinkPad的保密技術, 可以讓你在電腦遺失時也不需擔心資料洩漏。
而在正常使用的情況下, 尤其是在開放空間下使用電腦時, 也許就在你離開的短短兩分鐘, 資料就被幹走了。
所以養成良好的保密習慣是必要的, 以下有幾個做法可供參考:
1. 設定一個複雜連神都猜不到的密碼, 然後用指紋連結密碼。
2. 設定電腦進入休眠或螢幕保護時, 復原時需要求密碼才能使用。
3. 若要離開座位, 可直接用Windows鍵+L鎖住螢幕。
4. 注意敏感資料的複製和備份, 採取適當的防護策略。

前面講的, 1~3點我想大家都很容易理解。這裡我要針對第4點做一些深入的說明。

試想, 如果你有一些敏感又重要的資料, 你會怎麼做?
因為他很重要, 所以你一定怕它不見, 所以需要備份。
備份的方式有很多種, 最簡單的, copy到USB裡, 那萬一USB掉了怎麼辦? 這麼小的東西, 可是很容易掉的。
備份到雲端上? 對我而言, 只有可公開的資料才會放在雲端; 尤其在我看過史諾登的爆料之後, 更確定我原先這種想法。
備份在硬碟上, 然後把硬碟放家裡? 那萬一家裡遭小偷, 硬碟被偷走怎麼辦? 把硬碟拿去銀行放保險箱...

好吧! 我承認我是過份擔心了, 但正因為它是敏感又重要的資料, 很難不讓人擔心這些問題。

這時, 有一個好的加密軟體是很有用的。加密過的資料, 就算萬一不幸遺失或被竊取, 也很難被讀取出內容。所以你可以用USB, 用硬碟備份, 都不用太過擔心。

以往在早期的Thinkpad機型上, 都有附送一個SafeGuard PrivateDisk的加密軟體。它可以讓你建立一個加密的虛擬磁碟, 保護虛擬磁碟中所有資料, 還可以直接做讀寫。

但在現在的Thinkpad已經不再提供這個軟體了, 但卻看不到Thinkpad有對應的解決方案。
於是, 我找到一個和PrivateDisk功能類似, 但比它功能還強大, 而且又免費的open source加密軟體叫TrueCrypt

這個軟體可以讓你建立虛擬的加密磁碟, 也可以將實體磁碟加密。

你可以到TrueCrypt的官方網端下載適合你作業系統的版本, 安裝後即可開始使用。雖然TrueCrypt可以下載語言包, 但因為英文對我不是什麼問題, 而且我看它的正體中文語言包也沒有完全完成, 所以有興趣的朋友可能要自己試試了。

以下就以英文界面介紹如何建立一個虛擬加密磁碟:

1. 執行TrueCrypt後看到畫面如下, 這裡會列出你系統中目前所有未使用的磁碟機代號。如果你要掛載加密磁碟, 就可以掛載在這些磁碟代號上, 這點我們後面再說。
按下Create Volume建立一個加密磁碟。

2. 這裡會出現一個加密磁碟建立的精靈, 你可以選擇Create an encrypted file container。這意思是說, 把整個磁碟的內容放在一個檔案裡, 這種做法可以方便你做檔案的複製。按Next到下一步。

 3. Volume Type選Standard TrueCrypt volume即可。如果你怕檔案被看到而被脅逼要交出密碼, 例如被老婆大人看到, 或被勒索時, 則可以選Hidden TrueCrypt volume隱藏TrueCrypt的volume檔。

4. 設定加密磁碟檔的位置, 按Select File...然後選擇所有存放的路徑, 輸入檔名即可。

5. 加密演算法設定, 採預設值即可。按Next到下一步。 

6. 設定加密磁碟的空間大小, 通常保護重要資料, 10MB就夠用了。除非你像富二少一樣有一大堆機密圖檔要加密...

7. 設定存取密碼。按Next。

8. 如果你設定的密碼長度不足20個字元, 程式會有個警告訊息。我是記不住超過20個字元的密碼的, 所以我就按是(Y), 不管它。

9. 設定磁碟配置方式, 一般文件檔用FAT即可, 除非你有超過4GB像是影片這種東西要加密, 那你可以考慮NTFS...
然後你會看到畫面中間的Random Pool裡有一組亂數, 它會用來產生你的加密磁碟。你可以在這個視窗中搖動滑鼠改變這組亂數, 搖得愈久愈好...
搖夠了之後, 就按下Format將這個新的加密磁碟做格式化。

10. 恭禧你, 已成功建立一個加密磁碟檔。

11. 如果你沒有要建立其它加密磁碟, 那就按Exit結束精靈。

12. 回到主畫面後, 可以將剛剛建立的加密磁碟檔加載到系統中試試。
先點選你要加載的磁碟代號, 如D:, 然後按Select File...

13. 選擇剛剛建立的加密磁碟檔, 接著下Mount。程式會要求你輸入密碼, 也就是剛剛建立加密磁碟檔時所設定的密碼。

14. 密碼無誤的話, 就可以順利掛載這個加密磁檔, 如下圖的D:
 這時就可以和一般磁碟一樣使用這個加密磁碟。

15. 不使用加密磁碟時, 記得把它卸載(Dismount)下來, 這樣才能保護資料。點選你要卸載的磁載, 然後按Dismount按鈕即可卸載。
或是你也可以按Dismount All, 一次把所有加密磁碟全部卸載掉。


以上是TrueCrypt最基本的玩法。除了採用加密磁碟檔外, 如果你和我一樣手邊有好幾個容量很小的SD卡, 那也可以把這些SD卡做成加密磁碟, 這樣也是很方便的。在做法上有幾個地方和上述流程不太一樣:
第一是在步驟2時, 應選擇Encrypt a non-system partition/drive。

第二是在步驟4時, 應選擇你要加密的小SD卡或USB, 例如若你的SD卡是在Z:, 那就選Z:。
注意, 在Format時SD卡裡的東西會被刪除, 所以要確定你裡面的資料已經不要了。

第三是建立好加密磁碟後, 只要按下Auto-Mount Devices, 輸入正確的密碼後程式就會自動掛載加密磁碟。
注意, 原本的磁碟在系統上會變成不可辨識, 只有加掛後的磁碟才能使用。例如, 若你的SD卡放在Z:碟, 而把它mount到H:碟, 則只有H:碟是可以自由存取的。

如果你不小心按到Z:碟, 則系統會提示你做格式化, 請千萬不要做格式化!


TrueCrypt還可以讓你設定hot key做掛載或卸載的動作, 你可到Settings->Hot Keys...裡做設定:
這裡我把自動掛載設成Ctrl+Alt+M, 要全部卸載則用Ctrl+Alt+D。

另外, 為了確保Hot key在任何時候都可以運作, 在Settings->References裡要設定讓Windows一開機後就把TrueCrypt Background Task啟動。你還應該設定你的加密磁碟在一段時間沒使用後, 就自動卸載。










有了TrueCrypt後, 你可以很安心地將你的重要資料加密, 備份, 不需要再擔心機密資料遺失後怎麼辦。就我個人的使用經驗而言, 它完全可以取代PrivateDisk, 甚至功能比PrivateDisk更齊全。



張貼留言