74 评论

TrueCrypt 使用经验[3]:关于加密盘的破解和防范措施

  本来第三篇想写隐藏卷相关的经验。但是看到好几个读者在留言中提及加密盘的破解,所以俺先来说说和破解有关的话题以及防范措施。


★各种暴力破解(穷举)


◇针对【密码/口令】的穷举破解


  关于这个话题,在前一篇博文已经介绍了穷举的原理和防范的措施。所以,今天就不再啰嗦了。

◇针对【KeyFiles】的穷举破解


  这分两种情况:已知 KeyFiles 的范围、未知 KeyFiles 范围。

  【已知】KeyFiles 的范围
  啥是“已知 KeyFiles 的范围”,举个例子:假设你把 KeyFiles 存储到 U 盘。然后攻击者通过某种方式知道你的 KeyFiles 都在 U 盘上,并且攻击者拿到了你的 U 盘。这就属于“已知 KeyFiles 范围”的穷举破解。这种情况下,攻击者可以把“U 盘上所有文件”进行各种组合,对每一种组合进行尝试。
  那么,这种场景下的攻击,是否能得手捏?取决于如下三点:
1. 你是单独使用 KeyFiles 认证,抑或是组合 KeyFiles 和密码的【双因素认证】
2. 该范围内的文件数有多少
3. 加密者选了多少个文件作为 KeyFiles

  对第一点,如果你用了双重认证,光穷举 KeyFiles 是没用滴;至于后两点,是共同起作用滴。就拿刚才 U 盘的例子。如果 U 盘内的文件数很多并且加密者同时选择了好几个文件做 KeyFiles,那么暴力穷举的次数会成为天文数字。前一篇博文给出了具体的计算公式和例子,这里就不再浪费口水啦。
  由此可见,“已知 KeyFiles 范围”的穷举破解,应用场合和有限,不会构成太大威胁。

  【未知】KeyFiles 的范围
  这种情况下,暴力穷举 KeyFiles 是【绝对不可能】滴。因为任何一个文件都可以拿来当 KeyFiles,世上有那么多的文件,怎么可能穷举完捏?
  某些天真的同学会说,TrueCrypt 仅仅使用 KeyFiles 开头【1MB】的内容参与加密,那么,有没有可能穷举大小在一兆以内的所有文件捏?俺可以大致帮你算一下,大小在一兆以内的所有文件,总共有多少种可能(不喜欢数学的同学,请略过计算内容,直接看下一章节)。

大小是【1字节】的文件,所有的可能性是“2 的 8 次方”(写作2^8,下同)。为啥是 2^8 捏?因为一个字节有 8 个比特,每个比特可以有 0 或 1 两种可能。
以此类推,
大小是【2字节】的文件,所有的可能性是:2^16 = 65536
大小是【3字节】的文件,所有的可能性是:2^24 = 16777216
大小是【4字节】的文件,所有的可能性是:2^32 = 4294967296(约43亿)
大小是【5字节】的文件,所有的可能性是:2^40 = 1099511627776(约1万1千亿)
大小是【6字节】的文件,所有的可能性是:2^48 = 281474976710656(约281万亿)
......
  上述计算可以看出,每增加一个字节,可能性的总数就增加“256倍”。仅仅才到【6字节】,可能性就已经达到【万亿】级别。大小是 1MB 的文件,会有大约100万字节,你自己盘算一下吧,会有多少种可能性。
  而且上述的计算,仅仅是针对单个 KeyFiles 的情况。如果用户同时使用多个 KeyFiles,嘿嘿......
  所以捏,在未知范围的情况下穷举 KeyFiles,还不如直接去穷举密钥(下面就来介绍“对密钥的穷举”)。

◇针对【密钥】的穷举破解


  【密钥】是啥玩意儿?
  密钥说白了就是一段数据,可以用来加密或者解密。TrueCrypt 使用的加密算法都是“对称加密算法”。这种算法的特点是:“加密的密钥”和“解密的密钥”是【同一个】。假设你用“密钥 K”把一段“明文 P”变成“密文 C”,那么你同样可以用 K 把 C 变为 P。
  除了“对称加密算法”,还有一类算法叫做“非对称加密算法”——“加密的密钥”和“解密的密钥”是【不同】滴。这类算法与本文无关,就不展开介绍啦。

  很多不懂技术的网友经常混淆“密钥”和“密码”,其实这两者是【完全不同】滴:
1. 密钥是直接参与加密运算滴,而密码【不参与】。
2. 密码的作用是保护密钥(下面会提到)

  加密盘的【密钥】是怎么来滴?
  简单地说,“加密盘的密钥”是根据你输入的“口令和 Key Files”,通过某种复杂的数学运算产生出来(密码学术语叫“密钥生成函数”)。在“密钥生成函数”中,会用到“哈希运算”(也叫“散列运算”,洋文叫“hash”,这篇博文有 hash 的扫盲)和多次迭代。其效果就是——只要你输入的“password 或 KeyFiles”有一丁点的差异(哪怕仅仅“一个比特”的差异),产生的密钥也完全不同。正因为这样,当你输错密码时,肯定打不开加密盘。
  顺便说一下,当你创建加密盘的时候,TrueCrypt 除了让你选择“加密算法”,还让你选择“哈希算法”(也叫“散列算法”)。为啥要选“哈希算法”捏?其中一个用途就是参与“密钥生成函数”的运算。
  补充说明:
以上只是简述。如果要【细说】的话,TrueCrypt 的加密和解密过程还涉及“头部密钥”(Header Key)&“主密钥”(Master Key)这2个玩意儿。由于 TrueCrypt 采用的是 XTS 操作模式,所以头部密钥有一对,主密钥也有一对。如果选的是多重加密算法,主密钥就会有 N 对。
这些都属于技术细节,普通网友不需要知道太多,俺就省点口水,不深入聊了。

  穷举密钥的【难度】
  虽说穷举密钥的难度比穷举 KeyFiles 的难度要小很多。但穷举密钥的可能性,依然是天文数字。
  目前 TrueCrypt 内置的三种加密算法,都使用 256 比特的密钥(256 比特 = 32字节)。对于 256 比特的密钥,其所有的可能性是2的256次方。这是一个天文数字,要进行这么多次的穷举(每一次穷举都有一定的运算量),就算拿未来10年发明的超级计算机来运算,估计也没戏。

  (小知识)加密算法的“密钥长度”
  前2个月(2013年)出了个新闻,说 Google 开始把 HTTPS 证书的密钥升级到 2048位,因为 Google 担心 1024位的密钥不够安全。
  估计某些不太懂的读者也看到了这个新闻,然后就会来质疑俺:“256比特”的密钥到底是否可靠?
  请注意,当咱们谈论 HTTPS 证书的密钥长度,指的是“【非对称】加密算法”(比如:RSA 算法)的密钥长度。而 TrueCrypt 使用的是“【对称】加密算法”。“对称加密”与“非对称加密”是【完全不同】的两种东西,这两者的密钥长度【没】可比性(就如同“铅球的世界纪录”跟“标枪的世界纪录”没有可比性)

◇小结


  前面说的这几种穷举破解,只有一种是可行的,那就是基于密码/口令的穷举。所以俺再啰嗦两句:
1. 加密盘的密码/口令一定要足够复杂(具体方法请看前一篇博文);
2. 能用 KeyFiles 的地方,尽量用 KeyFiles 组合密码,构造【双重认证】。


★针对【加密算法】的攻击


  所谓“针对加密算法的攻击”,就是利用算法本身的漏洞。从而找到某种【快速解密】的方法。目前 TrueCrypt 使用的加密算法分别是:AES、Twofish、Serpent。它们会不会有漏洞捏?
  在本系列第一篇,俺特地花不少口水来介绍这三种加密算法。十多年前,美国国家标准局(NIST)公开招标21世纪的新一代“加密算法标准”(也就是 AES)。经过层层筛选/淘汰,上述这三个算法是【最后一批】候选者,其中之一的 Rijndael 更是有幸成为 AES。
  从那之后,世界上有非常多的密码学专家对这几个候选者(尤其是 Rijndael)进行了深入的研究。到目前为止,并【没有】发现明显的漏洞可以被利用。
  退一百步讲,即使其中的某个算法将来被发现有漏洞,只要你创建加密盘的时候,使用的是【多重】加密,问题就不大了。
目前 TrueCrypt 支持的【多重】加密有如下几种:
AES-Twofish
Serpent-AES
Twofish-Serpent
AES-Twofish-Serpent
Serpent-Twofish-AES
  某些爱抬杠的读者会问:如果三个算法全都发现漏洞,咋办捏?俺觉得吧,这种概率非常非常非常小,完全不必为这种小概率的事情浪费心情。


★盗取【内存中】的密钥


  (虽然前面说过了,俺还是要再唠叨一句:“密钥”与“密码”是两回事儿
  从严格意义上讲,这种方式属于“盗取”,而不是“破解”。之前好几个读者在留言中提到了:“某些取证工具,号称能破解 TrueCrypt 加密盘”。其实这些所谓的【破解】,都仅仅是【盗取】。而且捏,要想成功盗取密钥,需要好几个前提条件。

◇概述


  TrueCrypt 为了确保安全性,当然【不】把加密盘的密钥存储到硬盘上的。但是为了进行实时的加密解密,密钥必然会放在【内存】中。所以,攻击者如果能拿到整个操作系统的内存,并对内存进行分析,就【有可能】(只是“可能”,不是“一定”)找到密钥。
  大伙儿请注意:
  通过分析内存拿到密钥,有一个前提——加密盘【尚未】卸载。当你把某个加密盘卸载(umount)的时候,TrueCrypt 就会把该加密盘在内存的密钥清空。换句话说,如果你所有的加密盘都已经正常卸载了,内存中就【不含】TrueCrypt 加密盘的密钥了。
  但是,【系统加密分区】是无法卸载滴(上面跑着操作系统呢)。因此,只要你加密了系统分区,就只能依靠【正常关机】来防止别人偷窥该分区在内存中的密钥。

  那么,如何才能拿到操作系统的内存?攻击者可以来软的,也可以来硬的——
来软的(软件方式),常见的招数有:虚拟内存、系统休眠、内存转储;
来硬的(硬件方式),常见的招数有:冷启动攻击、DMA攻击。
  下面俺逐一介绍这几种破解方式和防范措施。

  除了这几种方式,其实也可以利用木马来盗取系统的内存。比如说,你的系统被植入一个很牛B的木马,理论上可以通过木马去 Dump 整个系统的内存。但是捏,既然攻击者已经植入了木马,就没必要去 Dump 内存来分析了——这么干太费劲啦,简直是舍近求远。有了木马,攻击者直接就可以利用木马来偷窥你的密码和 KeyFiles。所以,木马的情况俺放到后面的★【偷盗】密码和 Key Files章节再来介绍。

◇虚拟内存——Windows 的虚拟内存文件


  原理介绍
  稍微熟悉 Windows 的同学,都知道 Windows 有一个虚拟内存文件。而且可以通过设置,把这个虚拟内存文件同时放到几个不同的分区上。
  假如你存放虚拟内存的那几个分区【没】加密,假如攻击者能够拿到你的硬盘,假如攻击者接触到硬盘的时候你的加密盘还【没】卸载。当这3个“假如”【同时成立】,攻击者通过分析虚拟内存文件,【有可能】(只是“可能”,不是“一定”)拿到加密盘的密钥。

  防范措施
  1. 手动设置虚拟内存文件的存放位置,【不要】让操作系统自动设置“虚拟内存文件”的存储位置。
  2. 确保你存放虚拟内存文件的那些分区,本身都已经加密了。

◇虚拟内存——Linux 的交换分区(swap 分区)


  原理介绍
  Linux 的“交换分区”,其性质类似于 Windows 的“虚拟内存文件”。因此,也要留意类似的风险。

  防范措施
  防范措施很简单,下面两招二选一:
1. 干脆不使用“交换分区”(安装系统时就不创建这个分区);
2. 使用 Linux 自带的 dm-crypt(LUKS)加密“交换分区”。具体教程参见《扫盲 dm-crypt》。

◇休眠文件


  原理介绍
  从 Windows 2000 开始,就提供了休眠功能。当操作系统休眠时,会把整个系统的内存写到【系统分区】根目录下的某个文件。
  假如你在打开加密盘的情况下休眠系统,假如你的“系统分区”【没】加密,假如攻击者能够拿到你硬盘上的休眠文件。当这3个“假如”【同时成立】,那么攻击者通过分析休眠文件,基本上可以拿到加密盘的主密钥。

  防范措施
  防范措施很简单,下面两招二选一:
1. 不要使用休眠功能,每次都正常关机
2. 加密系统分区

◇内存转储文件


  原理介绍
  在很早以前(大概是 Windows NT 3.1),Windows 系统就提供了内存转储功能。当操作系统崩溃的时候(比如系统蓝屏),内存转储功能会把崩溃这一瞬间的内存转储到硬盘上。当初提供这个功能,主要是为了便于微软的程序员排查系统崩溃的故障(早些年,Windows 蓝屏几乎是家常便饭)。
  但是攻击者可以利用 Windows 的这一机制,人为触发一个系统崩溃,然后就可以拿到整个内存的转储文件。
  假如你开启了“完全内存转储”这个系统选项,假如在打开加密盘的情况下系统崩溃(蓝屏),假如你的“系统分区”【没】加密,假如攻击者能够拿到你硬盘上的转储文件。当上述4个“假如”【同时成立】,那么攻击者通过分析转储文件,基本上可以拿到加密盘的主密钥。

  防范措施
  Windows 的内存转储功能是可以【手工禁用】滴。具体方法如下:

  对于 Vista【之前】的版本(Win2000、WinXP、Win2003)
  以管理员身份登录到系统,在桌面上“我的电脑”点右键,快捷菜单上选“属性”。会弹出一个属性对话框,选“高级”标签页。下面有一个栏目是“启动和故障恢复”,点“设置”按钮。会弹出第二个对话框,下面有个“写入调试信息”的下拉框。把这个下拉框选择成“不转储”,然后点“确定”。

  对于 Vista【之后】的版本(Vista、Win7、Win8 ...)
  以管理员身份登录到系统,打开资源管理器,在“我的电脑”上点右键,快捷菜单上选“属性”。会弹出一个新窗口。在左侧栏选“高级系统设置”,会弹出一个对话框。后面的操作就跟 WinXP 一样了。

◇【冷启动】攻击(cold boot attack)


  这个攻击手法比较高级,能够实现这种攻击手法的人,需要配有专门的设备。假如俺没记错的话,此招数应该是2005年之后才开始在安全界流传。如果是5年前写此文,可能就不会写这一章节了。因为那时候六扇门的取证部门,很多还没有这个技术实力。但是最近几年,已经开始陆续具备这种技术实力了。
  不过捏,也别太担心。如果你只是普通的网民,估计你还享受不到这种级别的攻击 :)

  原理介绍
  很多人都【误以为】:电脑断电之后,内存中就不会有数据了。其实不然!从“断电”到“内存中的数据完全消失”,存在一个数据滞留的时间差。而且这个时间差是依赖于温度的。当温度降到一定的程度,这个时间差可以超过10分钟(至于多低的温度可以达到多长的时间差,跟具体的内存条规格有关,也跟主板型号有关)。
  10分钟的时间差,已经足够让攻击者完成如下一系列动作:
1. 硬关机(拔电源)
2. 插上电源,重新启动
3. 进入 BIOS 设置界面,设为“U 盘启动”
4. 插入一个专门的 U 盘
5. 利用 U 盘上特制的迷你系统重启
6. 重启后把全部物理内存的数据复制到 U 盘上
  上述做法涉及到“重启系统”,会稍微破坏物理内存的原始内容。更专业的攻击者(比如警方的【技侦人员】)还可以用更牛逼的方式——对电脑降温之后,直接拔出内存条,然后通过专用设备取出“原汁原味的”内存数据。

  关于“冷启动攻击”的更多介绍,可以看洋文维基百科(很详细哦),链接在“这里”。

  防范措施
  (只有对安全性要求很高的同学,才需要考虑“冷启动攻击”)
  要防范冷启动攻击,其实也不难。当你要长时间离开自己的电脑时,不要使用“待机”或者“锁定”(当然更不能使用“休眠”),要【正常关机】。这种情况下,TrueCrypt 会正常退出。在 TrueCrypt 正常退出之前,它会先清空储存密钥的内存位置。

  补充说明
  刚才强调“正常关机”,主要是为了清除“【系统】加密分区”的密钥。
  对于【非系统】加密分区或者逻辑加密盘,你只需把某个加密盘卸载(umount),TrueCrypt 就会把该加密盘位于内存的密钥擦除。但是,“系统加密分区”是无法卸载的(上面跑着操作系统呢),因此只能依靠正常关机。

◇【DMA】攻击(DMA attack)


  原理介绍
  这种攻击方式比冷启动攻击更新颖,应该是最近2-3年才出现的。
  熟悉硬件的同学应该听说过 FireWire 硬件接口(俗称“火线接口”,也叫“IEEE 1394 接口”)。这玩意儿支持 DMA 方式直接操作物理内存。所以攻击者如果能物理接触你的电脑,可以在你的电脑上插入一个 FireWire 接口的设备,然后利用 DMA 的方式直接读取整个系统的内存。这种方式不仅仅是理论上可行,实际上已经有人搞了现成的 DMA 攻击工具——Inception
  更多相关介绍,可以看洋文维基百科,链接在“这里”。

  防范措施
  (只有对安全性要求【很高】的同学,才需要考虑“DMA 攻击”)
  前面提到的“冷启动攻击”的防范措施,也可以用来防范 DMA 攻击。另外,可以通过禁用 1394 接口的 DMA 模式防范这种攻击。根据微软官方文档(链接在“这里”),所有版本的 Windows 默认都是禁用 1394 接口的 DMA 模式。所以这种攻击的风险不算太大。


★【偷盗】密码和 Key Files


◇通过木马


  原理介绍
  如果你的系统被攻击者植入了木马,那么攻击者就可以利用木马来偷窥你的口令输入和 KeyFiles 输入。一旦拿到加密盘的口令和 KeyFiles,攻击者就可以轻松打开加密盘。

  防范措施
  从上面的介绍可以看出:确保本机的安全是至关重要的!
  关于如何防范骇客植入木马,又是一个很大的话题——显然不可能在这里细聊。列位看官如果有兴趣,请看本博客的另一个系列《如何防止黑客入侵》。

◇通过替换 Boot Loader


  原理介绍
  对于系统盘加密或者全盘加密,TrueCrypt 会在硬盘的引导扇区(或主引导扇区)放一个定制的 Boot Loader。当你的系统启动时,会首先加载 TrueCrypt 的这个 Boot Loader,然后它会提示你输入密码。

  如果攻击者可以物理接触到你的电脑,就有可能采用软件方式,用一个伪造的 Boot Loader 替换掉原来正宗的 Boot Loader。然后这个假的 Boot Loader 也会装模作样地提示你输入密码。再把你输入的密码转交给那个真的 Boot Loader,同时把密码保存在某个地方。
  这样一来,攻击者就可以利用这个假的 Boot Loader,拿到你的密码。

  防范措施1——BIOS 硬盘锁
  对于笔记本电脑,如果 BIOS 支持的话,建议增加一个硬盘锁的口令。这样一来,即使攻击者拿到你的电脑,取出硬盘,也无法看到里面的内容。

  提醒一下
  不同品牌的笔记本,硬盘锁的机制是不同的。有的靠谱,有的不靠谱。一般规律是:越有实力的厂商,硬盘锁的安全性也越高。
  其次要注意的是:如果你要防的是天朝的六扇门,最好不要用大陆品牌的笔记本。大陆品牌的笔记本,其硬盘锁可能会留有后门给公安和国安使用。

  防范措施2——U 盘引导
  这个招数比较适合于 Linux 之类的系统。你可以把整个系统安装到一个小小的 U盘上,然后把它带在身边。每次开机就插入这个 U 盘来启动操作系统。
  这种情况下,就不需要使用“加密系统分区”(因为系统分区已经在 U 盘上了),自然也就不依赖硬盘的 Boot Loader。

◇其它盗取“密码和 Key Files”的招数


  上述介绍的,都是比较常见的,也比较容易实施的攻击手法。除了这几招之外,还有若干冷门的招数,也可以用来盗取密码或 KeyFiles。比如:基于硬件的“Key Logger”、基于硬件的“边信道攻击”、等等。
  这些招数比较罕见,而且需要借助专门的硬件设备。如果你只是普通网民,通常【没】资格享受到这种级别的攻击 :) 一般来说,只有“商业间谍、军事间谍、政治间谍”才会使用这类手段,以对付重要人物(高价值目标)。
  而且,考虑到篇幅已经比较长,俺就不深入介绍这些冷门的手法了。


★总结


  在本文的末尾,稍微总结一下。

◇第1步:物理安全


  在 TrueCrypt 的产品手册中,作者已经明确指出:如果无法确保电脑的【物理安全】,那即使采用 TrueCrypt 也无法保证数据的保密性。在这种情况下泄密,不能算 TrueCrypt 的责任。
  所以,确保【物理安全】是第一步。

◇第2步:操作系统安全


  其次,TrueCrypt 的手册还说了,如果你无法确保【操作系统安全】,那 TrueCrypt 也无法保护你的数据。比如前面提到的:植入木马可以偷窥你的口令。这种情况是任何软件(包括杀毒软件)都无法【彻底防范】滴!
  所以,确保【操作系统自身安全】是第二步。

  天朝六扇门的人要想解开 TrueCrypt 加密盘,基本上就是采用这两条路——要么从物理安全入手,要么从操作系统安全入手。(除了这两个途径)【没有】其它任何途径可以用来【快速】突破 TrueCrypt 本身的防线。
  目前那些号称能破解 TrueCrypt 的软件,基本上都是采用“内存 Dump 的方式”。这种方式的可用性比较差——如果拿不到“系统内存”,这些破解软件完全没辙。

◇第3步:使用复杂的认证因素


  当你做好了上述两种防范,基本上就排除了“【快速】破解”的可能性。接下来要考虑的是“【慢速】破解”——也就是各种“暴力破解”。
  暴力破解从【理论上】讲,虽然可以突破 TrueCrypt 的防线,但可能会很慢。具体有多慢,取决于你使用的密码有多么复杂,也取决于你是否组合了 KeyFiles。只要你设置了足够复杂的密码,并组合了 KeyFiles,“暴力破解”可能需要花几百年以上(即使把“硬件升级”的因素考虑进去)。那这种风险就可以忽略不计啦。
  综上所述,只要你根据本系列介绍的经验,对 TrueCrypt 使用得当,TrueCrypt 加密盘的安全性是非常有保障的——至少对普通网民已经是足够了。

回到本系列目录


俺博客上,和本文相关的帖子(需翻墙)
TrueCrypt——文件加密的法宝
扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品
如何用“磁盘加密”对抗警方的【取证软件】和【刑讯逼供】,兼谈数据删除技巧
文件加密的扫盲介绍
扫盲文件完整性校验——关于散列值和数字签名
扫盲 dm-crypt——多功能 Linux 磁盘加密工具(兼容 TrueCrypt 和 VeraCrypt)
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2013/08/truecrypt-3.html

74 条评论

  1. 请问各位:我有一个重要的WINRAR文件加密了需要破解。
    请问如何暴力破解,很多软件我用过,跑的时间久了就自动关闭了。推荐一个好用的软件,如何生成字典呢?

    回复删除
  2. TrueCrypt 6.3a 是6系列的最后一个版本,兼容性和稳定性均得到了广泛的验证,因此提供给大家。另外TrueCrypt 6.0 以后的版本有内置的加密盘头信息备份,对意外的加密盘损坏有一定的恢复能力。

    下载 [url=http://www.bannedbook.org/forum23/topic2855.html]TrueCrypt 6.3a 绿色版及安装版 加密盘软件[/url]

    回复删除
    回复
    1. TO 王禁书
      俺不建议用 TrueCrypt 的 6.0 版本
      7.0 相对于 6.0 版本,修正了某些 Bug

      删除
    2. 墙外真不赖

      俺不建议用 TrueCrypt 的 6.0 版本
      7.0 相对于 6.0 版本,修正了某些 Bug

      TrueCrypt 的 7.0 版本在哪里下载,可否给一个下载链接?

      删除
    3. 这个就不用问博主了吧,在baidu或google里面打上TrueCrypt,一般第一个链接应该就是它的主页了,去里面下载就可以。

      删除
  3. 前排留名。支持樓主。

    回复删除
  4. 看了博主文章以后,试了一下容器和分区方式,对本人来讲,容器方式就可以了,像博主之面说到的,不能只追求加密,“恰到好处”“刚刚好”,大概就这意思吧,本人很同意。
    就是对容器方式的弱势不大喜欢,本人加密的是几十G的,那么大个文件凸在那里,实在刺眼,而且直接可以删掉,可不能哪天大扫除不小心,虽然有点玩笑,但终归是个不爽。隐藏吧,分区空间显示又太露骨,一般有点点水平的人都知道正常文件大小,那多余的空间去哪了,撤消隐藏呗。
    分区方式吧,也挺好的,可本人又想用博主说的加密加上Dropbox的办法,就不行了,而且现在网盘大多还都是一二十G样子,至于那种什么字节级同步,可能更少了。
    博主说的分割后同步倒是可行的,那就只能用Dropbox了,但大陆用它速度不是十分好,而且麻烦增加了很多,一个是分割,要是每次增加大文件进去,岂不是每次都要重新分割一次,这就是个麻烦。再就是不知是不是要多个网盘都传一次让它判断哪些有改变?即使是没变的一下就过,只传变的那部分,但如果需要的网盘多点是也麻烦呐,比如现在是几十G,说不定就上百了。不过Dropbox倒有个付费的有100G,但这就没有必要了,也就不是“刚刚好”了。
    所以说,博主的方法,可以说已经可以系统化的方法虽然在理论上完全成立,但实行起来还需要时间。也可以说是还不能大众化,只有部分各方面刚好合适的网民用的上,比如只需加密和同步不太大文件的,这种符合用容器方式加Dropbox。比如加密文件较大的,这种符合用分区方式或者全盘方式,就只能放弃同步了。

    回复删除
    回复
    1. TO 4楼的网友
      多谢写了这么长的留言,分析你对 TrueCrypt 的使用体会。
      你提到的几个困难,俺的解答如下:

      加密卷的容器文件,太大,太显眼。
      解决方法:把逻辑加密盘放到加密分区。只要加密分区不挂载,就看不到“逻辑加密盘”

      加密盘的文件太大,同步网盘有困难
      老实说,不需要把所有的个人资料都同步到网盘。
      只需要同步那些特别重要的,一旦丢了就无处可找的资料。
      对于网上下载的视频,大部分没必要同步到网盘。
      视频通常都太大,而且视频的信息密度很低。
      如果某个视频是可以从网上[b]重复下载[/b]的,就更加没必要同步到网盘了。

      关于隐藏卷的空间
      确实如你所说,空间的分配要合理,否则就太露骨了。
      你可以在外层卷放一些有用的大文件。
      假如你用 100GB 的外层卷用来存放视频,用掉 70GB,还可以留 30GB 用来伪装隐藏卷。
      如此一来,隐藏卷的空间就不会显得太露骨。

      删除
    2. 谢谢博主回复,再试了试逻辑盘放加密盘。虽然多一次挂载和密码,要是需要的话可以接受。但加密分区不挂载应该去掉分区盘符让它自动隐藏吧,不然就一个没格式化分区了。
      我自己现在采取不同步了,只做个备份,试用的新工具btsync,还可以。好像看到有网友提起过这软件,我想,用它传送本身就加密的数据,被人打劫也应该没什么把,希望博主到时评价一下。

      删除
    3. 可以用.GHO,来命名啊,一个ghost文件几十个G不要太正常哦.或者.vmdk,.vdi这种镜像扩展名都可以啊.

      删除
  5. LZ.. 我在传送小文件时使用Axcrypt 这软件安全吗,还有使用7Z加密这个安全性如何。(如果没有位数限制,我一般的加密位数是文件的md5X3)

    回复删除
    回复
    1. Axcrypt是开源软件,你要是不放心,去sourceforge下载源码自己看

      删除
    2. axcrypt别的什么都还好,就是有两个缺点,第一不支持多种算法复合,第二不支持多个keyfiles,所以它的灵活性比truecrypt好,但加密强度、安全性方面不如truecrypt

      删除
    3. 关于Axcrypt
      这个软件俺了解不多,不方便评价,抱歉 :(

      关于 7zip 加密
      7zip 内置的加密功能,用的算法是 AES-256,强度应该是够了。
      而且 7Zip 本身也比较成熟,而且又是开源的。
      只要口令的复杂的足够高,风险不大。

      删除
  6. 您好请问Google drive及windows的bitlocker是否符合差异网盘和差异加密的要求?

    回复删除
    回复
    1. 在《文件备份技巧:组合"虚拟加密盘"和"网盘"》一文中,俺提到了网盘的“字节级差异同步”
      这个功能跟加密盘的类型是无关的。

      因为目前主流的加密盘,操作模式都是 XTS
      XTS 模式有利于“字节级差异同步”

      至于 Google 的 GDrive 是否支持“字节级差异同步”,俺本人没有测试过。
      之前听某个读者反馈,好像是没有。

      删除
  7. 编程随想,差一下队:
    最近在改用多重代理,用的是TOR加其它VPN。
    重点是:连好之后,VPN有时会断掉。它断了TOR还是绿的。
    所以想问一下,这样VPN一断是不是TOR实际也断了,虽然还绿着。这样会不会暴露真实IP。

    回复删除
    回复
    1. 一般vpn断开后,国内tor也连不通了.你也到不了想去的目的地,所以真实ip也不会暴露.

      删除
    2. 对于 VPN + TOR 的双重代理
      如果 VPN 断了,TOR 通常也断了。
      因为 GFW 屏蔽了大部分的 TOR 网桥中继。

      所以,只要 VPN 断线,TOR 也就断线。
      你虽然看到 TOR 界面的洋葱头还是绿色,如果是假象。
      你可以看看 TOR 的流量图,这时候 TOR 应该已经没流量了。

      TO 1单元的网友
      多谢帮俺回答 :)

      删除
  8. 国人49年后被中共夺走的权利(之一)

    -----中国人要夺回1949年后被中共夺走的权利


    作者:汪园斐  


    1949年,躲在抗日大后方养精蓄锐、兵强马壮的共产党在苏联的支持下,终于从刚刚打完抗日战争还未来得及喘一口气的中华民国政府手里夺得了中国大陆的政权。共产党声称中国人民“从此站起来了”、“得到了解放”……然而事实却是伴随着共产党的红色铁幕,人民的生活变得更加屈辱和更加没有尊严,原本拥有的众多权利也一一失去。

    1949年共产党建政后,中国大陆人失去了哪些权利呢?笔者随手列举如下:


    一、言论自由

    民国时期,人们谈论国事非常踊跃,一般情况下不必担心仅因言谈而带来严重后果。共产党建政后,从一开始的人们相互检举、人人自危乃至家人反目,直至今日人们动不动就会因为一两句所谓的敏感言辞而被“国保”、“国安”请“喝茶”、限制人身自由,甚至谩骂、殴打、拘留。


    二、游行、示威自由

    民国时期,人们因不满政府而举行的各种抗议、游行、示威活动比比皆是,就连共产党美化自己所谓“革命”历史的各类影视作品中,都少不了各种大规模游行、示威的画面,可见当时人们是享有充分的游行、示威自由的。笔者曾经看过一些历史照片,许多游行、示威活动都在当时的总统府附近举行,并且受到总统蒋中正的亲自接见和对话。反观共产党建政后,人们何时有过真正的游行、示威?就连60余年后、21世纪的今天,游行、示威对我们而言,仍然是多么遥远的梦想。

    共产党由于自知其统治的非法性,深怕人们的抗议活动会导致自己的垮台,因为向来对任何形式的游行、示威活动都是严厉镇压的。共产党一直不遗余力的推行“把不稳定因素消灭在萌芽状态”的政策,因此,别说游行、示威的举行,就算是有任何游行、示威的倾向而已,相关人员都可能遭到抓捕和迫害。


    三、结社自由

    民国时期,中国政党林立,包括当时身为叛乱组织的中国共产党都能得以存在,其他各类组织更是不胜枚举,可见社会有充分的结社自由。然而共产党篡取政权后,除了几个共产党为掩人耳目“钦点”存在的几个花瓶组织之外,不允许有任何其他组织。但凡民间一出现结社倾向,共产党就大为紧张,迅速出动警察对相关人士进行抓捕、判刑。可笑的是,就算是那几个共产党为掩人耳目而“钦点”存在的几个花瓶组织的许多成员甚至领导人都是共产党的地下党员。


    四、出版自由

    民国时期,文人办报、出版书籍是再平常不过的事情,也是那个时候,中国出现了大批优秀的文学作品。胡适、鲁迅都是那个时代的风云人物。他们可以在政府的眼皮底下公开出版各种“异见”书籍并公开发售。作为叛乱组织的共产党的机关报“新华日报”居然可以堂而皇之的在当时的首都南京和陪都重庆公开发行。这在今天是不可想象的事!然而事实确是如此。

    共产党建政后,所有的自由出版物均被取缔,无一幸免。包括当初支持共产党的文人在内的大批文人,历经共产党各类整人运动后,自杀的自杀、枪毙的枪毙、发疯的发疯……总之非死即伤,少量幸存的也都奄奄一息、不敢再发表只言片语。综观今日中国大陆,可有哪家不受共产党操控的报纸和杂志吗?可由哪本“禁书”可以自由发行吗?就算是体制内的记者、编辑,因说话“不小心”而被整肃的还少吗?


    五、学术自由

    民国时期,大学不是由政府控制,而是由教授、学者甚至学生控制,政府除了拨款,其他方面管的真不太多。因此才出现了学术争鸣的局面。甚至在八年抗战时期,学术界仍然取得许多重大成果。那时候,教授、学者秉持学术良心,广受各界尊重。如对政府部门不满,教师、学生还会罢课抗议。此外公民还可以自由办学,所以那个时候出现了许多著名的私立高校、中学、小学。

    共产党篡政后,是怎么样一个结果呢?教授学者被批斗,被骂“臭老九”。学生在校期间除了接受洗脑教育,毫无其他可为之处。在共产党宣称要建立世界一流大学的今天,教授学者不是自甘“犬儒”在为共产党涂脂抹粉,就是在忙着跑项目、拉赞助,或者在忙着评职称、跑官位……学生呢,被严密控制在校园内,无法组织真正的学生会和其他真正的社团,也没有独立的人格和思想,不是在谈恋爱就是在忙着入党,更谈不上拥有抗议、游行、示威、罢课的权利和想法。公民要想不受控制、独立办学更是不可能的事情。


    六、信仰自由

    民国的时候,人们信佛、信道、信教,无人干涉、限制。国内古寺、名刹、道观、教堂到处都是。共产党建政后是什么情况呢?在物质上,共产党通过“破四旧”、 “文化大革命”等手段,将各类宗教场所破坏殆尽;在精神上,共产党通过强制推行“无神论”教育,让人们只知马列邪教,不知如来耶稣。共产党还通过“宗教管理局”等无神论职能机关和通过成立所谓的“佛教协会”和“三自”爱国教会来控制宗教信徒。对于不接受共产党宗教控制的信徒,共产党就会予以骚扰和抓捕。北京最近发生的“守望教会”被打压事件就是最新案例之一。

    回复删除
  9. 国人49年后被中共夺走的权利(之一)

    -----中国人要夺回1949年后被中共夺走的权利


    作者:汪园斐  


    1949年,躲在抗日大后方养精蓄锐、兵强马壮的共产党在苏联的支持下,终于从刚刚打完抗日战争还未来得及喘一口气的中华民国政府手里夺得了中国大陆的政权。共产党声称中国人民“从此站起来了”、“得到了解放”……然而事实却是伴随着共产党的红色铁幕,人民的生活变得更加屈辱和更加没有尊严,原本拥有的众多权利也一一失去。

    1949年共产党建政后,中国大陆人失去了哪些权利呢?笔者随手列举如下:


    一、言论自由

    民国时期,人们谈论国事非常踊跃,一般情况下不必担心仅因言谈而带来严重后果。共产党建政后,从一开始的人们相互检举、人人自危乃至家人反目,直至今日人们动不动就会因为一两句所谓的敏感言辞而被“国保”、“国安”请“喝茶”、限制人身自由,甚至谩骂、殴打、拘留。


    二、游行、示威自由

    民国时期,人们因不满政府而举行的各种抗议、游行、示威活动比比皆是,就连共产党美化自己所谓“革命”历史的各类影视作品中,都少不了各种大规模游行、示威的画面,可见当时人们是享有充分的游行、示威自由的。笔者曾经看过一些历史照片,许多游行、示威活动都在当时的总统府附近举行,并且受到总统蒋中正的亲自接见和对话。反观共产党建政后,人们何时有过真正的游行、示威?就连60余年后、21世纪的今天,游行、示威对我们而言,仍然是多么遥远的梦想。

    共产党由于自知其统治的非法性,深怕人们的抗议活动会导致自己的垮台,因为向来对任何形式的游行、示威活动都是严厉镇压的。共产党一直不遗余力的推行“把不稳定因素消灭在萌芽状态”的政策,因此,别说游行、示威的举行,就算是有任何游行、示威的倾向而已,相关人员都可能遭到抓捕和迫害。


    三、结社自由

    民国时期,中国政党林立,包括当时身为叛乱组织的中国共产党都能得以存在,其他各类组织更是不胜枚举,可见社会有充分的结社自由。然而共产党篡取政权后,除了几个共产党为掩人耳目“钦点”存在的几个花瓶组织之外,不允许有任何其他组织。但凡民间一出现结社倾向,共产党就大为紧张,迅速出动警察对相关人士进行抓捕、判刑。可笑的是,就算是那几个共产党为掩人耳目而“钦点”存在的几个花瓶组织的许多成员甚至领导人都是共产党的地下党员。


    四、出版自由

    民国时期,文人办报、出版书籍是再平常不过的事情,也是那个时候,中国出现了大批优秀的文学作品。胡适、鲁迅都是那个时代的风云人物。他们可以在政府的眼皮底下公开出版各种“异见”书籍并公开发售。作为叛乱组织的共产党的机关报“新华日报”居然可以堂而皇之的在当时的首都南京和陪都重庆公开发行。这在今天是不可想象的事!然而事实确是如此。

    共产党建政后,所有的自由出版物均被取缔,无一幸免。包括当初支持共产党的文人在内的大批文人,历经共产党各类整人运动后,自杀的自杀、枪毙的枪毙、发疯的发疯……总之非死即伤,少量幸存的也都奄奄一息、不敢再发表只言片语。综观今日中国大陆,可有哪家不受共产党操控的报纸和杂志吗?可由哪本“禁书”可以自由发行吗?就算是体制内的记者、编辑,因说话“不小心”而被整肃的还少吗?


    五、学术自由

    民国时期,大学不是由政府控制,而是由教授、学者甚至学生控制,政府除了拨款,其他方面管的真不太多。因此才出现了学术争鸣的局面。甚至在八年抗战时期,学术界仍然取得许多重大成果。那时候,教授、学者秉持学术良心,广受各界尊重。如对政府部门不满,教师、学生还会罢课抗议。此外公民还可以自由办学,所以那个时候出现了许多著名的私立高校、中学、小学。

    共产党篡政后,是怎么样一个结果呢?教授学者被批斗,被骂“臭老九”。学生在校期间除了接受洗脑教育,毫无其他可为之处。在共产党宣称要建立世界一流大学的今天,教授学者不是自甘“犬儒”在为共产党涂脂抹粉,就是在忙着跑项目、拉赞助,或者在忙着评职称、跑官位……学生呢,被严密控制在校园内,无法组织真正的学生会和其他真正的社团,也没有独立的人格和思想,不是在谈恋爱就是在忙着入党,更谈不上拥有抗议、游行、示威、罢课的权利和想法。公民要想不受控制、独立办学更是不可能的事情。


    六、信仰自由

    民国的时候,人们信佛、信道、信教,无人干涉、限制。国内古寺、名刹、道观、教堂到处都是。共产党建政后是什么情况呢?在物质上,共产党通过“破四旧”、 “文化大革命”等手段,将各类宗教场所破坏殆尽;在精神上,共产党通过强制推行“无神论”教育,让人们只知马列邪教,不知如来耶稣。共产党还通过“宗教管理局”等无神论职能机关和通过成立所谓的“佛教协会”和“三自”爱国教会来控制宗教信徒。对于不接受共产党宗教控制的信徒,共产党就会予以骚扰和抓捕。北京最近发生的“守望教会”被打压事件就是最新案例之一。

    回复删除
  10. 国人49年后被中共夺走的权利(之二)


    七、永久拥有土地和房屋,私有财产受到保护

    民国时期,人们的土地、房屋和其他私有财产都是受到政府和社会保护的,只要自己不卖、不送给他人,就永远是自己的私有财产,可以世代继承。

    然而共产党建政后,将所有的私有土地以“国家”的名义予以抢夺,对有利用价值的房屋也明目张胆的强行予以“征收”并不给任何补偿,人们的其他财产也不同程度的被共产党以各种名义抢夺、没收。时至今日,老百姓倾其一生所得去购买的房屋亦仅仅是“70年产权”,70年之后,共产党又抢回去,重新卖……不但如此,共产党任何时候想要你的房子,你都不能拒绝,否则将面临强征、强拆的命运!人们的其他财产亦没有充分的保障,共产党盯上你的财产时,就会给你构陷各种罪名,然后以各种貌似合“法”(共产党自己制定的法律)的手段对你的财产进行没收。此刻正在发生的新移民潮,就是人们对自己的财产寻求保护的结果。


    八、自由买卖,没有城管

    民国时期,人们摆摊设点,利用自己的辛勤劳动换取生计,从来不受任何部门的限制,更没有所谓的“城管”存在。即使在今日的民国台湾,路边摊还是吸引无数游客的一大亮点。

    然而共产党建政后,为了掩盖百姓生活艰难的事实,为了防止自由商业的发展会威胁到自己的统治,为了从商贩的身上榨取更多的税收油水,成立各种机构,养着一群称为“城管”的流氓土匪,对老百姓赖以生存的自由商业活动百般阻挠甚至任意殴打百姓、砸毁设备、抢夺财物。


    九、公平致富、自由选择经营行业

    民国时期,只要勤劳肯干,人们发财致富的机会相对是均等的,人们通往上层社会的道路并没有堵塞,人们可以自由选择经营行业,不受各种名目繁多的控制和审批。然而共产党建政后,先是搞大锅饭,富人变成穷人,穷人永远是穷人、永无翻身机会,大家都吃不饱饭。后来为挽回统治颓势,搞了所谓的改革开放,但是改革开放的最大受益者都是共产党特权阶层,普通百姓甚少有机会。此外,共产党为了牢牢控制国民经济命脉,对社会上的经营者进行各种各样的限制,经营者没有自由选择经营行业的权利。能赚钱的好行业都被共产党特权阶层把持,普通人只能去做赚钱少而且又苦又累的行业。


    十、自由行善

    民国时期,教会、寺庙、富豪、名人、乡绅举办的各种慈善机构比比皆是,穷人走投无路时,都可以寻求他们的各种帮助。然而共产党建政后,深怕各类慈善机构抢了“党和政府”的光,对各类慈善机构赶尽杀绝。在21世纪的今天,当你知道一个个有心慈善的富豪在中国想创办一个慈善机构比登天还难时,当你知道在中国大部分的捐款捐物只能通过共产党各级政府和共产党把持的所谓官方慈善机构时,你将会作何感想?在共产党这个变态恶魔的统治下,行善都成了一件举步维艰的事情。


    十一、迁徙自由、就业自由

    民国时期,人们拥有自由迁徙的权利,不用办暂住证,没有农业和非农业户口之分。农民只是一种职业,而不是一种身份的标志。共产党建政后,为了最大限度控制和监视人民,一手炮制了所谓“户籍制度”,将公民分为三六九等。农民不再是一种职业,而是一种身份的标志,农民及后代饱受各种歧视。在21世纪的今天,这种非人的制度依然存在着,只因为共产党担心废除后会影响它的统治。

    在民国时期,人们在就业方面也是十分自由的,可以自由流动,没有监视公民的档案制度,没有变态的档案托管,没有所谓的组织关系转进转出。共产党建政后则大不相同,一方面,如果没有所谓“组织的安排”,要想调换工作难于登天,另外所谓的“档案”跟着你一辈子,你永远也别想逃出共产党的魔掌。就在21世纪的今天,高校毕业生还面临着变态的“档案托管”,除了给工作和生活带来极大的不便,每年还要搭上几百数千元的血汗钱。


    十二、组建工会、罢工的自由

    根据历史档案,民国时期,包括共产党阴谋策动的罢工在内,工人罢工事件十分平常。正如在今天的西方民主国家,工人罢工是很平常的事。那时候,工人可以自由组建工会等自己的组织,没有任何政府的背景涉入。共产党建政后,在各级单位广泛设立了“工会”,但此“工会”非彼“工会”。共产党这个所谓的“工会”除了作为统治的一个工具,存在的目的纯粹是为了混淆视听、欺骗工人和外界。因为这个工会从来没有真正的工人参与,更别提选举了,我们也从未听说过有此类工会主动出面真正为工人争取权益的事例。

    在共产党统治下,工人罢工更是遥不可及的“浮云”,在共产党的严密控制下,想罢工的工人恐怕还没有行动,就噎全数被抓捕、拘留了!领头的工人或推选出来的工人代表更是会面临重判和酷刑的“待遇”。共产党在还没有夺取政权的时候,用谎言和欺骗获得了工人(无产阶级)的支持,但夺取政权后,露出真面目,“兔死狗烹”,对工人的压迫和控制从未缓解过。


    以上不过是笔者随手列举的一些方面,其实与现在相比,那时候老百姓享有的权利并不止这些。笔者列出这些的目的,不是为了证明60多年前有多么美好,而是让大家看到,60余年前,我们的国家或许并不完美,但至少那时候我们拥有上述的权利,另外,立法、行政、司法是相互独立的,公路是没有收费站的,学校和企业是没有“党委”和“党支部”的,政党是不能凌驾于国家和民族之上的,猪肉是不会有瘦肉精的,饭店是没有地沟油的,大米是没有石蜡的,养鱼是不放避孕药的,豆芽是没有尿素的,米酒是没有甲醇的,馒头是没有染色剂的……

    60多年后的今天,我们本应在原有的基础上随着人类社会的进步而获得更多,就如同今日的中华民国自由地区——台湾一样。然而共产党这个无耻的恶魔,硬生生的把老百姓给骗了,当利用大家最初的支持站稳脚跟后,便露出狰狞面目,绑架了人民和整个国家。60多年来,社会不单没有进步,反而严重倒退了。

    回复删除
    回复
    1. TO 8、9、10 楼的网友
      多谢转载长篇网文 :)

      删除
  11. "接触到硬盘的时候你的加密盘还没有卸载"

    指的是未卸载加密盘,直接拔电源的情况吗?

    回复删除
    回复
    1. TO Host
      本文中提到的“加密盘没有卸载”,指的是没有正常卸载。
      “拔电源”属于“没有正常卸载”之一

      删除
  12. 请问楼主:这篇文章是什么等级的,会不会一些人原本不知道如何侵入TrueCrypt,然后把博主的文章视为侵入教程,而不是反侵入教程。

    毕竟大部分用户都是马马虎虎,不怎么追求完美,而一些人却以侵入为工作,自然就很专业。

    此文章作为侵入教程的价值,与作为反侵入教程的价值相比,如何?

    回复删除
    回复
    1. TO Inception
      多谢提出不同观点 :)

      这个 TrueCrypt 的系列教程,谈的技术相对深入一些,主要是用来防范朝廷。
      (如果仅仅是针对普通骇客,或者是防范笔记本电脑被盗,不需要谈这么深入的技术)

      既然是对付朝廷,当然是“知己知彼,百战不殆”
      俺也曾经接触过公安系统内部搞“信息取证”的人员。
      就算俺不写这篇博文,文中的这些入侵技巧,公安系统内部的取证人员,(只要是比较懂技术的)肯定已经这些技巧。

      相反,很多使用 TrueCrypt 的网友(尤其是有政治风险的网友),还不清楚这些技巧。
      所以,本文当然是更有利于“反破解”

      删除
  13.   一直错误的认为内存中的数据断电后就什么数据都没有了,读了博主的文章才知道原来并不完全是这样的,真是又学习到了新的知识。

      以前是一直将系统虚拟文件、临时文件夹、浏览器缓存文件夹放在用 RAMDISK 软件生成的虚拟硬盘中很安全,从楼主的这篇博文中看来这种方式也是有漏洞的。

      博主提到的“BIOS 硬盘锁”是不是指的是 TPM 芯片模块?如果是,国内好像是不允许用 TPM 的,要用国安改过的 TCM。所以国内卖的电脑都无法使用 TPM。

    回复删除
    回复
    1. 关于文中提到的“BIOS 硬盘锁”
      这个功能,如今很多笔记本电脑都有。至少俺用过几个型号的商用笔记本,都有此功能。
      有些硬盘锁用的是 TPM安全芯片,有的不是。

      删除
  14. TrueCrypt好像不支持ubuntu系统加密,ubuntu系统用什么软件加密

    回复删除
    回复
    1. TrueCrypt 只能加密 Windows 的系统分区,无法加密 Linux 和 Mac OS X 的系统分区。
      估计今后也不会支持。
      关于“TrueCrypt 加密系统分区”的话题,俺会在本系列的后续博文中具体聊一聊。

      对于 Linux 系统,可以使用 Linux 平台上的 dm-crypt/LUKS 工具,
      支持全盘加密和“根分区”加密(但无法加密 /boot)
      用 dm-crypt/LUKS 进行全盘加密,需要把 /boot 挪出去(比如把 /boot 放U盘启动)

      删除
  15. 受益匪浅,但有好几个问题想请教:
    1、如果在虚拟机里面操作TrueCrypt,在未正常退出TrueCrypt,但是关掉了虚拟机的情况下,那么是否还有可能被冷启动攻击或者DMA攻击等什么的破掉?如果未正常关闭虚拟机呢(例如突然断电)?
    2、在大陆怎么样才可以比较方便地购买到非大陆品牌的笔记本?现在很多外国货也在大陆代工的,那么一台洋品牌笔记本买回来后,会不会也有可能被植入大陆后门?重装MSDN英文原版系统是否可以完全避免大陆的后门?
    3、听说GoAgent连接加密性能比较差,那么如果我此时仅仅利用GoAgent翻墙(未戴套)然后写下此匿名评论,某组织是否还可以对我跨省?

    回复删除
    回复
    1. 你思考得比较深入 :)

      ★关于虚拟机
      对于虚拟机(Guest OS)内部使用 TrueCrypt,风险比实体机(Host OS)更大。
      因为虚拟机软件本身就会把 Guest OS 的整个物理内存保存为 Host OS 中的一个文件。
      每次对 Guest OS 进行暂停(Suspend)或者制作快照,都会产生这个内存文件。

      如果攻击者能够拿到这个内存文件,连“冷启动攻击”都不需要了。

      ★关于后门
      对于普通网友,不需要担心硬件级别(比如 BIOS)的后门。

      软件方面的后门,倒是要注意。
      安装 Windows 系统用原版光盘(建议到网上找官方的 ISO 镜像),不要用国内的破解版。
      装软件也要小心,尤其是国产的流氓软件,遍地都是。


      ★关于 GoAgent 翻墙发评论
      要看几个方面:

      1、看你是在哪个网站留言。
      如果你留言的网站是国内网站,或者是跟朝廷有合作关系的国外网站(比如雅虎公司),用 GoAgent 是不安全的。
      如果你留言的网站是国外的,而且不会屈服于朝廷(比如 Google 公司,Twitter公司)
      那么跨省的难度会大很多。

      2、跟你用的 GAE 服务器有关系
      如果用的是部署在国内的 GAE 服务器,说不定服务器本身就不安全。

      删除
  16. [url]http://lucb1e.com/rp/cookielesscookies/[/url]有另一种用户追踪技术,即使你禁用cookies和Javascript,同时使用VPN访问网络,仍能追踪到你。尽管众多网站已在使用,希望楼主能介绍下

    回复删除
    回复
    1. 在该文章最下面有完美解决方案,即使用这个插件来擦写这个Etag防止被追踪。
      https://www.dephormation.org.uk/index.php?page=81

      删除
    2. 墙外真不赖

      似乎是针对火狐浏览器的计算机网络安全技术,非常重要,只可惜英文功底差,看不懂,哪位网友英文好给大家翻译一下可好,谢谢 。

      删除
    3. to 墙外真不赖
      这是secret agent(直译为秘密代理)
      Continuously Randomizes your Firefox/SeaMonkey HTTP User Agent, to Suppress Device Fingerprinting, and Resist Web Tracking.----可以持续地随机选择你的firefox或者seamonkey HTTP用户代理,隐藏网路指纹,防止web追踪。
      最新版本是v1.6,那个图片是下载链接。下面有MD5和SHA1验证。
      暂时只翻译这么多,还望谅解哦。看来本人的英文水平还不错:-)

      删除
    4. TO 16楼的网友
      感谢你分享了这个用户追踪技术 :)
      俺会在《如何保护隐私》系列中介绍此技术,初步考虑放到后面的“高级部分”

      这个技术确实是比较牛的。下面是俺的测试结果(直接使用该页面的“文字存储功能”测试)

      清空浏览器缓存(无效,被追踪到)
      浏览器使用隐私模式(无效,被追踪到)
      禁用 JS 和 Cookie(无效,被追踪到)
      禁用图片(无效,被追踪到)
      切换 TOR 线路([b]有效[/b],保存的文字不再出现)

      看来 TOR 还是比较牛的 :)
      即使没有使用文中提及的 secret agent 浏览器扩展,也可以防范 etag 追踪

      删除
  17. 香港——中共干部聚集在中国各地的会议大厅里,聆听高层领导发出一个严肃的秘密警告。他们获悉,如果党不能根除中国社会的七大颠覆性潜流,权力就可能旁落。

    前述七大危险列在一份名为“9号文件”的备忘录中,该文件明确无误地得到了中国新的最高领导人习近平的首肯。七大危险以“西方宪政民主”为首,其他则包括对人权“普世价值”的宣扬,诸如媒体独立和公民社会之类的西式概念,热衷于市场化的“新自由主义”,以及针对惨痛党史的“虚无主义”批评。from nytimes chinese[/url]http://cn.nytimes.com/china/20130820/c20document/[url]博主阿好久没出新文章了...大家都等的好苦

    回复删除
    回复
    1. “七不讲”的确切来源,不新鲜了。
      反正就是一条黑路走到底。

      删除
    2. 不是黑路,是死路哦:-)

      删除
    3. TO 17楼的网友
      最近有点忙,所以《每周转载》没有发。
      但是至少每周还是会有一篇原创博文。本月的发博频度平均是 5 天发一篇。

      删除
  18. [url]https://www.facebook.com/permalink.php?story_fbid=10151598223623027&id=105759983026[/url]建议楼主能向王丹索取《王丹回憶錄》電子檔共享到网盘中
    wangdan@gmail.com

    回复删除
    回复
    1. 多谢提建议 :)
      刚才俺已经给王丹发邮件索取回忆录的电子版。不知道他是否肯给 :)

      删除
  19. 各位大神好,一些带机器码的软件都是收集我们电脑上的主板,硬盘吧。但是我们上的论坛应该没办法直接获取我们电脑上的这些资料。博客高手多,论坛的机器码一般收集的是什么资料呢?假如只收集使用浏览器,windows版本,这些重复的也太多了,意义肯定不大。
    我看他们论坛的机器码是php的插件,最多收集电脑上的什么内容呢?

    回复删除
    回复
    1. 机器码一般是CPUID、网卡MAC、主硬盘ID等混合成的码,用来标识你这台电脑的

      删除
    2. 机器码一般是CPUID、网卡MAC、主硬盘ID等混合成的码,用来标识你这台电脑的
      我是用的vbox虚拟机,网卡mac我知道可以改的,但是硬盘ID,CPUID能不能改的呢?

      删除
    3. TO forceback
      通过Web页面能获取的硬件信息是比较有限的,除非利用浏览器插件
      (请注意,别混淆“插件”和“扩展”)

      删除
  20. 看了您的文章,让我受益匪浅。
    通常使用vpn+ Tor Browser Bundle 上网。
    最近发现 obfsproxy 这个软件,看官网说这个要比 Tor Browser Bundle 在安全性方面要好一点。
    不知博主有何看法。
    谢谢

    回复删除
    回复
    1. obfsproxy 是 TOR 官方搞出来的一个网络工具,用来混淆网络流量,专门对付类似 GFW 的网络流量分析,帮助 TOR 穿越像 GFW 这样的网络封锁。
      TOR 官网[url=https://www.torproject.org/projects/obfsproxy.html.en]这里[/url],有一张原理示意图

      如果你是普通网友,已经用 VPN+TOR,就没必要再用 obfsproxy
      除非你对安全性有很高的要求。

      而且 obfsproxy 的混淆流量机制,会影响传输性能

      删除
  21. 我算是完了,用truecrypt加密了一些敏感文件后,由于久未使用,连密码都忘记了。。。

    回复删除
    回复
    1. TO 周霖
      俺在 TrueCrypt 的几篇教程中,反复强调:不要忘记密码和 KeyFile
      忘了的话,只好使劲回忆。
      回忆不起来,你的数据就废了。

      删除
  22. 楼主尝试用truecrpt加密了一些文件,效果很不错!不过关闭加密盘点击卸载时出现了“一些加密卷的文件或文件夹正在被使用,是否强制卸载”的字样这是为何,强制卸载后,还是能打开的。请教这是什么原因造成的?

    回复删除
    回复
    1. 应该就是字面的意思吧,有进程还在使用这些文件。

      删除
    2. 比较常见的一种情况就是:Windows的资源管理器打开了加密盘中的某个目录。
      这时候如果关闭加密盘,就会有这个提示。

      强行关闭加密盘,对加密盘本身不会有影响,但如果某个软件打开了加密盘上的某个数据文件,并且有数据还没保存,这时候强行关闭加密盘,可能会导致该软件的数据丢失。

      这种情况有点类似于:没有正常卸载 USB 盘,就强行拔出

      删除
  23. 加密Ubuntu系统教程,比较详细
    [url]http://blog.andreas-haerter.com/2011/06/18/ubuntu-full-disk-encryption-lvm-luks#manual_installation[/url]

    回复删除
    回复
    1. 多谢分享 Ubuntu 的全盘加密教程 :)

      LUKS 是不错的工具,大部分 Linux 发行版都可以用它来进行分区加密和全盘加密
      有空的话,俺也会写点教程普及一下 Linux 系统专有的安全工具

      删除
  24. 除了密码,文件密钥外,还可以使用安全口令牌。
    现在的银行都有类似于u盘的网盾,把它作为安全口令牌比较不错。
    我想这样安全性又可以提升一点了。
    随想大大,快点出一些关于gpg加解密和签名的文章吧,搜索了一下博客,发现还没有。
    听说gpg很厉害,但我只会用来加解密,签名方面是不会了(看了说明书还是不会)。
    双方互换公钥后,加密传输。为了保证其安全性,可以在加密前对其签名。这一步我就不会操作了。
    步骤如下:
    1.签名 2 加密 3 解密 4 验证签名。
    1 4 不会,只会 2 3。

    回复删除
    回复
    1. 我一般用GPG加密邮件,安装gnupg后,再安装thunderbird + Enigmail,使用比较方便。
      加密硬盘分区使用TrueCrypt

      删除
    2. GPG(pgp)加解密中文完整教程
      [url]http://www.alexgao.com/2009/01/24/gpg/[/url]

      删除
    3. TO 24楼的网友
      多谢提建议 :)
      GPG 的教程,俺也在考虑中。

      关于安全方面的教程,初步考虑的优先级是:
      先要把 TrueCrypt 的高级技巧写差不多,
      然后写 TOR 的高级技巧
      然后再写 TAILS 的扫盲
      然后再写 GPG/PGP 的扫盲

      删除
    4. TO 1单元的网友
      多谢分享经验 :)

      TO 2单元的网友
      多谢分享 GPG 教程的链接 :)

      删除
  25. 咨询一下 程序员和其他职业相比
    1. 个人满意度如何?
    2. 管理模式如何?
    3. 收入如何?
    4. 前景如何?

    我们专业分为
    检测技术与应用方向:就是电路板,单片机,DSP,FPGA,数字电子,模拟电子等
    另一个方向就是信息处理技术与系统方向:就是数字滤波,数字图像处理,计算机图形学,模式识别等

    以前我幻想着做一个纯粹的程序员,(大概的理解就是用别人编写的Library写出应用,不是科学研究不是技术研究,就是编写应用),目前发现纯粹的程序员好像有很多缺陷

    我老师说 做信息处理技术与系统 需要比较强的数学能力 貌似在这方面不如易被替代

    回复删除
    回复
    1. TO Aluminium
      关于职业规划的建议,俺长期以来一直强调“兴趣导向”
      你应该优先考虑,哪个方向更加符合你本人的兴趣(必须是“真正的兴趣”,而不是一时冲动)

      对于自己感兴趣的方向,你自然有更强的动力、更好的耐心、更持久的恒心。
      如此一来,自然也就可以在这个领域达到更高的水平,做到更高的层次。
      而且干自己感兴趣的事情,个人的满意度,快乐度也更高。

      删除
  26. 思想君,能否介绍一下「双重认证」,或者给一些参考资料学习下,谢谢!

    这篇文章也提到「双重认证」,但是在网上搜到的是类似 Google 的 Two-Step 认证(国内好像也翻译成「双重认证」)。
    不过我想这应该和 HTTPS 的双重认证是不同的吧?
    想了解的是企业内的 HTTPS 的双重认证是如何做到的。再次感谢!

    回复删除
    回复
    1. 你想查的,其实是“SSL 证书 双向认证”
      也就是 HTTPS 同时进行 客户端认证 和 服务端认证

      你如果 google“双重认证”
      查到的大多数是指“双因素认证”
      本文提到的 口令 + keyfile,也属于“双因素认证”

      删除
    2. 墙外真不赖

      HTTPS 同时进行 客户端认证 和 服务端认证

      这种双重认证,在计算机网络安全方面,尤其是在个人计算机网络安全方面(比如防止被跨省追捕)有什么重要意义?

      删除
    3. 感谢思想君,了解了,这样子一下子就搜索到相关资料了,祝好!

      to 2单元,
      我个人觉得「SSL 双向认证」主要是在于避免一些敏感的移动客户端被破解、中间人攻击时导致信息泄漏。

      删除
  27. TrueCrypt在“粉碎棱镜”的网站中是不被推荐,好像说它所谓的开源是有问题的,随想大哥怎么看?

    回复删除
    回复
    1. 已经修改为推荐。
      ---While TrueCrypt is open source, it is developed in a closed fashion and may receive less review than a comparably openly deveoped project. That said, it is still probably the best option for file encryption on Windows and OS X.

      删除
    2. TO 27楼的网友
      TrueCrypt 的问题在于,其作者的身份一直是保密不公开。
      外界不知道其作者的到底是谁。
      但 TrueCrypt 确实是开放源代码的。之前也有信息安全专家研究过TrueCrypt的源代码。

      删除
  28. 把U盘带在身边也不靠谱啊,人总要睡觉,警察可以趁我睡觉的时候,先往我脸上喷点防止我醒来的药品,然后从口袋里把我U盘拿出来,再把Boot Loader替换掉。

    回复删除
    回复
    1. 这篇文章看了又看,非常失望。TrueCrypt及其衍生品似乎主要只是防止一种情况,那就是警察在惊动了我的情况下,我被迫把电脑交给警察检查,那警察就没办法查到内容。虽然我理论上是可以雇一个佣人,我睡觉的时候把电脑和U盘让他看着,但我要是有那个资源,我就移民肉翻啦,哪里还用在天朝,天天提心吊胆的,到处都是流氓软件,政府劣迹斑斑,可跨省追捕发过一点反动言论的人。

      删除