bestcrypt

2006-11-28 14:27

到公司上班, 難免會有一些機密資料
會怕一旦筆記型電腦、或隨身碟不見時, 流出去就麻煩了
於是開始找一些加密資料的 Solution

我的需求要點有幾個:

  1. 加密性強, 不易破解
  2. 操作方便、不用太多麻煩的程序
  3. 由於我常會在 Windows/Linux 間切換環境使用, 因此最好是多平台通用的

timhsu 的這篇 “加密式檔案系統“ 是很實用, 但把資料拿到 Windows 上就沒辦法解了

於是最後我採用了 jeticoBestCrypt
詳細的特性就不多說了, 總之它符合我的需求

此外它也提供了強力的資料刪除工具 - bcwipe
可以將資料永久性的清除, 避免遭 FinaldataEncase 等 recover/forensic 軟體找回
(其實想想救資料的原理, 就不難推測其行為模式)
                                       
只要在本機裡先建立一個大型檔案, 並設定加密演算法、以及掛載密碼,
之後就可以將該檔案掛載成一個磁碟(或 mount point), 所有存進的資料會經過加密 ..
而磁碟格式也可以自訂, FAT32 / NTFS , 或 ext3 / reiserfs 等皆可.

若是在外接式的隨身碟、或外接式硬碟上,
我會將之格式化成 FAT32 格式, 在 Linux/Windows 上都可直接讀寫
或用 ext2 也可以, Windows 上可以透過 explore2fs 這個簡單的小工具來存取

每當重開機、或卸載了磁碟後, 要重新掛載皆需要密碼,
所以只要密碼不外洩、電腦操作習慣又良好, 基本上資料還算安全.

安裝過程很簡單, Windows 上的圖形界面也很直覺,
在這邊主要紀錄一下在 linux 上的指令使用方式:


建立一個新的 container -

    bctool new -a BLOWFISH-448 -s 4000M -d wahaha filename

    new : 表示要建立一個新的檔案
    -a : 指定加密演算法, 常用的有 BlowFish、AES、IDEA、3DES、DES、...等
    -s : 檔案大小
    -d : 給這個檔案一些描述, 以後可以用 bctool info filename 察看

格式化 -

    bctool format -t reiserfs filename

    -t : 指定檔案系統格式, 和 mkfs 時的參數一樣, 看系統有支援哪些

掛載(mount) - (需要輸入密碼)

    bctool mount -t reiserfs filename /enc

    -t : 檔案系統格式, 忘了也沒關係  可以用 bctool info filename 看

卸載(unmount) -

    bctool umount /enc


此外也會怕這個檔案要是爛掉, 是不是所有機密資料都完了 ??
                                       
於是再加上一個機制 -
用 rsync over ssh 把 /enc 裡的資料, 和遠端的自用伺服器作同步,

建立一個檔案名為 uenc.sh , 內容放入

/usr/bin/rsync -azv -e “ssh -l name -p port” /enc server:/enc

-a : 類似 cp 時的參數, 表示 -rlptgoD
   -r : 對子目錄遞迴操作
   -l : 複製 symbolic link
   -p : 保留檔案權限
   -t : 保留檔案時間屬性
   -g : 保留檔案 group
   -o : 保留檔案 owner
   -D : 保留 device 屬性
-z : 傳輸過程中壓縮
-v : 顯示詳細的傳輸過程

-e : “ssh -l name -p port” 表示經過 ssh 以 user 連接遠端的指定 port,
   如此一來不用另外開 port、同時也也較安全

( 由於沒有加上 -delete 選項, 因此在本機刪除檔案時, 不會一併刪除遠端伺服器上的,
 算是可以留個備份. )

如果有加什麼資料進去, 當時又連著網路時,
只要敲個 uenc.sh , 就會把新資料也丟一份上去了 ~
(顧名思義, 同時還有個 denc.sh 作反用途 XD)

一直以來, 安全、方便、效率  通常都是魚與熊掌, 很難兼顧,
如何在其中找一個適當的平衡點, 就需由我們自己來拿捏了
而像我這種懶人, 一向是 方便 > 安全 > 效率 ... XD
不過再怎麼說, 總是比讓資料大剌剌的曝露在外要好多了 :>

Personal Diary 類別的文章 :
My Third NotebookIt's time to leave the group

Security 類別的文章 :
Wordpress 2.0.5 Remote File Include VulnerabilityStudy-Area 2006 群英會

Tools 類別的文章 :
2006 Top Network Security ToolsPutty 0.59

2 則留言 新增留言

  • 1. Kuon  |  November 28th, 2006 at 17:40

    ccc..使用者輸入的密碼怎麼轉換成AES 256bits? 我可以暴力列舉嗎:)

  • 2. danix  |  November 29th, 2006 at 08:29

    小弟高中曾經被社團同學on-site盜取db,之後就開始用PGPDisk了,除了寫入效率其他的方面都很滿意,而且公司大所以每個月都有放出安全更新。

    一樣有PGPWipe(我喜歡他HOOK到資源回收筒的功能),NetShare可以加密SMB或外接USBDISK。完全符合國防部規範。PGPWholeDisk 有點類似 BitLock,發展到9.5已經與OS相容性不錯了,但小弟也是用虛擬磁碟。

    全GUI講究使用者親和力的東西小輩玩玩就好,OUTIAN長輩或許會喜歡這種~
    PGP.Command.Line.v9.5.1.Linux
    PGP.Command.Line.v9.5.1.Win2kXP2k3 (Nov.8)

新增留言

*

*

訂閱這則留言的 RSS Feed

各分類文章

最近的 20 篇文章