在Linux中安全加密文件

■

Windows安全加密技術(shù)回顧

在Windows中，最著名加密技術(shù)非PGP（Pretty Good Privacy）莫屬，PGP是基于RSA公鑰加密體系的郵件加密軟件，可以對您的郵件進(jìn)行加密，防止非法用戶的攔截和窺視，PGP還可以對郵件加上數(shù)字簽名，讓收信人可以確信郵件是您親自發(fā)送，讓偽造郵件者無機(jī)可乘。

當(dāng)然，雙方都必須同時(shí)安裝PGP加密軟件，PGP采用公匙加密體系，使用高強(qiáng)度加密算法生成公匙和私匙兩個(gè)密匙。其中的公匙用來公開加密，而私匙是自己保存。這樣，即使是素未謀面的人也可以使用公鑰來加密郵件，向您發(fā)送安全郵件，而您使用私鑰解密即可。例如，使用開源的PGP加密軟件GnuPG，就可以保證郵件的安全性。運(yùn)行GnuPG中的Kleopatra組件，在其主界面中點(diǎn)擊“Ctrl+N”鍵，選擇“Create a personal OpenPGP key pair”項(xiàng)，在下一步窗口中輸入名稱，郵件地址等信息，之后點(diǎn)擊“Create Key”按鈕，輸入私鑰密碼。在下一步窗口中的“Next Steps”欄中點(diǎn)擊第一個(gè)按鈕，將密鑰對保存為文件（后綴為“.gpg”），點(diǎn)擊第二個(gè)按鈕，將密鑰對通過Email發(fā)送出去，點(diǎn)擊第三個(gè)按鈕，將密鑰對發(fā)送到服務(wù)器上供別人下載使用。當(dāng)發(fā)送郵件時(shí)，在附件文件右鍵菜單上點(diǎn)擊“Sign and encrypt”項(xiàng)，在下一步窗口中選擇公鑰項(xiàng)目，點(diǎn)擊“Add”按鈕完成添加操作，點(diǎn)擊“Encrypt”按鈕，對文件執(zhí)行加密操作，然后通過郵件發(fā)送給您，而您可以在加密文件的右鍵菜單上點(diǎn)擊“More GpgEX options”-“Decrypt”項(xiàng)，點(diǎn)擊“Decrypt/Verify”按鈕，輸入私鑰信息，完成解密操作。

根據(jù)以上例子，大家可以對PGP加解密技術(shù)有了直觀的認(rèn)識(shí)，其實(shí)，PGP除了可以對文件進(jìn)行加密和校驗(yàn)之外，還提供了其他相關(guān)的安全工具，保證我們的電子郵件、文件、磁盤以及網(wǎng)絡(luò)通訊的安全。例如，PGP Disk這一獨(dú)特的安全技術(shù)就值得關(guān)注，該工具允許您創(chuàng)建格式為“.pgd”的加密文件，使用PGP Disk提供的相關(guān)工具可以加載該文件，將其作為虛擬盤來使用，其采用的是私鑰和公鑰對來保存加密數(shù)據(jù)。例如，在Windows平臺(tái)下，您需要保存的機(jī)密數(shù)據(jù)的容量為1GB，就可以使用PGP Disk來創(chuàng)建體積為1GB的“.pgd”文件，之后將其掛載為獨(dú)立的磁盤，當(dāng)然，在掛載時(shí)是需要私鑰處理的。您可以將機(jī)密數(shù)據(jù)保存到該虛擬盤中，并使用公鑰對其加密。之后卸載或者重啟系統(tǒng)時(shí)，該虛擬盤就會(huì)關(guān)閉，別人不知道私鑰是無法窺視其中內(nèi)容的。在重新安裝系統(tǒng)前，必須將“我的文檔”中的“PGP”文件夾進(jìn)行備份，里面保存著私鑰信息，當(dāng)重裝系統(tǒng)后，就可以恢復(fù)私鑰信息，否則根本無法打開加密文件。

為加密文件巧設(shè)“保險(xiǎn)箱”

了解了Windows下的優(yōu)秀的加密工具之后，那么在Linux中有沒有類似于PGP的加密軟件，來保護(hù)數(shù)據(jù)安全呢？其實(shí)，在Linux中有很多類似的工具可以利用。除了官方推出的Linux版本的PGP加密工具外，還有OpenGPG、GunPG、Bestcrypt等加密利器。相比之下，使用BestCrypt這款體積小巧，功能強(qiáng)悍的免費(fèi)加密軟件，可以讓您的機(jī)密文件徹底放進(jìn)保險(xiǎn)箱中。

在L i n u x中 打開終端界面，切換到“BestCrypt-1.8-2.tar.gz”安裝包所在路徑，執(zhí)行“tar-xzvf BestCrypt-1.8-2.tar.gz”命令對其解包。進(jìn)入解壓路徑后，執(zhí)行“sudo make install”命令，將Bestcrypt安裝到Linux中，之后重新啟動(dòng)Linux后，讓Bestcrypt主程序得以順利運(yùn)行。當(dāng)重啟后打開終端界面，Bestcrypt的主程序名稱為“bctool”，而且已經(jīng)將其添加到了命令中了。因此直接輸入“Bctool”命令，就可以了解bctool的所有參數(shù)和選項(xiàng)了。雖然bctool的參數(shù)很多，不過這里我們只講解常用的參數(shù)。

首先執(zhí)行“su -root”命令，切換到Root賬戶權(quán)限環(huán)境中。之后執(zhí)行“bctool new a BLOWFISH-448s 1000Md securefileok secdata”命令，使用448位的Bloefish加密算法，創(chuàng)建大小為1000MB，名稱為secdata的加密文件，文件的備注為“securefileok”。執(zhí)行該命令后，可以看到創(chuàng)建加密文件的進(jìn)度信息。當(dāng)進(jìn)度只是達(dá)到100%后，bctool會(huì)提示您輸入密碼，在加載加密文件時(shí)必須輸入該密碼。輸入兩次相同的密碼后，Bctool會(huì) 提 示“Please do not forget to format the container”信息，提醒需要對加密文件進(jìn)行格式化方可使用。執(zhí)行“bctool format–treiserfs secdata”命令，在彈出的確認(rèn)提示中點(diǎn)擊“y”鍵，執(zhí)行格式化操作，在操作進(jìn)度條中顯示格式化進(jìn)度信息，之后Bctool會(huì)提示格式化加密文件成功。

僅僅擁有了加密文件是不夠的，必須使用其來存儲(chǔ)機(jī)密數(shù)據(jù)。執(zhí)行“pwd”命令，當(dāng)前的路徑為“/home”。執(zhí)行“Mkdir jiami”命令，在該路徑下創(chuàng)建名為“jiami”的文件夾。執(zhí)行“bctool mount reiserfs secdata /home/jiami”命令，將reiserfs格式的secdata文件加載到了“home/jiami”目錄中。當(dāng)Bctool提示操作成功后，我們就可以將體積小于1000MB的加密文件存到了“home/jiami”路徑中。當(dāng)Linux重啟或者手工卸載該加密文件后，“home/jiami”目錄中就沒有任何文件痕跡信息了。例如，我么可以將一些機(jī)密文件存放到“home/jiami”路徑中，之后執(zhí)行命令“bctool unmount home/jiami”， 將 secdata 加密文件卸載掉，但是之前在“home/jiami”目錄中存儲(chǔ)的加密文件全部存儲(chǔ)到了secdata文件中了，因?yàn)槠湟呀?jīng)卸載，自然無法在“home/jiami”中查找了任何機(jī)密文件的內(nèi)容。如果再次將secdata加密文件掛載到“home/jiami”目錄中，可以看到，之前存儲(chǔ)的加密文件又出現(xiàn)了，您可以自由的對其進(jìn)行操作。有了Bestcrypt的保護(hù)，即使別人知道secdata文件中存儲(chǔ)有機(jī)密文件，也無法破譯其內(nèi)容，這樣保存在其中的機(jī)密文件就高枕無憂了。實(shí)際上，您可以將secdata更改為更加普通的名字，將其隱蔽保存到更深層次的路徑中，讓別人根本無法發(fā)現(xiàn)其行蹤，來更好的保護(hù)數(shù)據(jù)的安全。