论文部分内容阅读
从古至今,人们总是将信件放在信封里,把重要的文件保存在保险箱里,以保护它们不被窥探和窃取。然而,对于电子邮件来说,只有极少数人会对邮件进行加密。或许,许多人并不知道,通过互联网发送未经加密的电子邮件,除了电子邮件服务器上拥有权限的管理人员之外,在我们发送电子邮件的线路上各个节点拥有权限的人,甚至是和我们使用同一个局域网的用户,他们都可以截取电子邮件的内容。同样,我们存储在云端的文件以及我们使用QQ等即时通讯软件发送的信息,在没有加密的情况下,更是完全没有安全可言。
按照斯诺登先生的说法,现阶段我们要保护自己的隐私,一个强大的加密系统是唯一的选择,并且只有在正确实施加密的情况下才能奏效。下面,CHIP将为大家展示如何加密硬盘、云空间、邮件和网络通讯。
在开始加密之前,首先,我们要选择一个好的密码。如果我们的密码很容易被猜到或者破解,那么即使是最强的加密也是徒劳的。
像“12345”、“abcd”或“Password”这样的密码是最弱的。除此之外,还需要注意避免使用太短的密码或由自己和家人的姓名、出生日期组成的密码,因为对你加密数据感兴趣的人,通常会比较容易找到这些信息。
一般来说,我们的密码越长,越难破解。因此,我们应该使用短语作为密码,这样既可以有足够的强度,同时又很容易记住,例如它可以是我们很喜爱的书、诗歌,或者是喜欢的歌曲其中的一句歌词。此外,如果我们在密码中同时包含特殊字符在内的多种字符,那么它会更安全,例如我们可以在句子中将某些字母替换成数字,或者在特定的位置插入特殊字符,这样,密码仍然很容易记住,但破解起来却很困难。
加密硬盘
旗舰版和企业版的Windows Vista和Windows7以及Windows 8、Windows8.1和Windows10的专业版和企业版的用户可以使用集成工具BitLocker加密硬盘。而使用其他版本的用户,则可以考虑使用VeraCrypt。
在搜索框中输入“BitLocker”,然后单击“管理BitLocker”打开Windows加密工具,在接下来出现的窗口中,我们可以通过单击硬盘条目附近的“启用BitLocker”激活加密(如果出现错误消息,请阅读“使用不带TPM的BitLocker”部分)。接下来,我们需要选择是使用闪存盘还是密码来解锁加密的驱动器。无论我们选择哪个选项,都需要注意在设置过程中保存或打印恢复密钥。这样,当我们不慎忘记密码或丢失闪存盘时才不至于永远失去加密的数据。
使用不带TPM的BitLocker
如果电脑没有“可信平台模块”(Trusted Platform Modules,简称TPM)芯片,那么需要提供几个其他的设置来激活BitLocker。在Windows搜索框中键入“组策略”,然后打开“编辑组策略”。在打开的“本地组策略编辑器”左侧导航栏中选择“计算机配置|管理模板|Windows组件|BitLocker驱动器加密|操作系统驱动器”,在右侧列中选择“启动时需要附加身份验证”,然后在打开的设置对话框左上角上单击选择“已启用”,在下方“选项”框中“配置TPM”下拉菜单中选择“不允许TPM”。单击“应用”和“确定”后,即可按照上面的方法启用BitLocker。
使用VeraCrypt
要使用TrueCrypt后续版本VeraCrypt(veracrypt.codeplex.com)加密系统分区或整个硬盘,可以在下载安装VeraCrypt之后在主菜单中选择“Create volume”,然后在下一步“Encrypt the system partition or entire system drive”中选择需要加密的驱动器,如果要加密整个硬盘与Windows分区,则选择“Encrypt the whole drive”,并按照设置向导的提示进行操作即可。注意VeraCrypt会创建一个救援光盘,以防我们忘记密码,为此,我们将需要一张空白的光盘。
驱动器加密后,在引导时将需要输入密码和PIM(Personal Interactions Multiplier,生成加密盘的头部密钥的迭代次数),如果在设置过程中没有指定PIM,则只需要输入密码即可。
加密云存储
建议使用Boxcryptor软件(www.boxcryptor.com)来加密Google云端硬盘和Dropbox等云存储服务。该软件的免费版本仅供个人用户使用,可以用于管理两个设备,例如电脑和智能手机,但可以和Boxcryptor的其他用户共享。虽然Boxcryptor免费版本只加密一个单一的云服务,但其功能是最充分的。
首先,我们需要安装Boxcryptor的桌面客户端,创建一个Boxcryptor账户并选择软件的授权方式为免费软件。BoxCryptor将创建虚拟驱动器并将其加载到系统上,例如加载为磁盘“X”,其中是需要被加密的云数据,BoxCryptor所有加密或者解密的操作都是通过这个虚拟驱动器进行的。要更改云服务,右键单击任务栏中的Boxcryptor图标,选择“Settings”,单击切换到“locations”选项卡,禁用软件自动选择的云服务,重新选择我们需要的云服务即可。
存储在Boxcryptor文件夹中的文件加密后将被上传到我们指定的云服务,要与其他人共享加密的数据,我们需要授予他们访问权限。为此,在Boxcryptor上下文菜单中选择“Manage Permissions”,并单击“Add user”,键入朋友的电子邮件地址,对方只要也注册和使用Boxcryptor就能够访问经过我们授权访问的加密文件。 智能手机上的Boxcryptor
如果准备在智能手机上访问加密的云数据,那么我们需要安装Boxcryptor的应用程序,该服务提供各种常见移动操作系统的应用程序。安装后,首先使用我们的Boxcryptor账户登录,在左侧菜单列(如果没有,则从左向右滑动)中点击“Add provider”,然后选择我们在桌面客户端中添加的云服务提供商。
要从智能手机上传加密文件到云中,点击应用程序主窗口右下角的箭头,选择一个或多个文件和文件夹,然后点击“OK”并选择“Encrypted upload”。要转发文件,可以按住文件并点按左下方的共享图标,然后选择共享方式。注意,与桌面版本不同,我们无法使用Boxcryptor应用程序向其他人提供加密文件的访问权限。转发文件时,文件将被解密后发送。
PGP加密电子邮件
加密电子邮件,我们建议可以使用遵循GPL协议的PGP加密软件。这方面有很多电子邮件加密方案可供我们选择,但是许多方案并不包括移动系统的应用程序,另有许多方案需要支付高昂的费用。而下面我们提供的这个全方位的解决方案不仅不需要支付任何费用,而且还可以在桌面、网络浏览器和智能手机客户端上加密电子邮件。
要在桌面电脑上使用PGP加密电子邮件,我们需要3个程序:Gpg4win(www.gpg4win.org)、Kleopatra和Thunderbird(www.mozilla.org/thunderbird),并且在开始使用加密功能之前,我们需要创建密钥。首先打开Kleopatra(它已经随Gpg4win一起安装到我们的系统上了),然后使用快捷键[Ctrl]+[N]开始生成密钥,选择“Generate personal OpenPGP key pair”,按照向导的提示操作即可。
生成密钥之后,打开Thunderbird并设置好我们的电子邮件账户,然后在www.enigmail.net下载Thunderbird的加载项Enigmail,在Thunderbird中单击右上角的菜单按钮,选择“附加组件”,将解压缩的Enigmail XPI文件拖到打开的附加组件管理器的左侧部分,安装并重启Thunderbird将可以看到Enigmail的设置向导。在此,选择默认配置,在下一步选择“Use one of the existing keys”,并选择我们创建的密钥。
在向某人发送加密电子邮件之前,必须通过点击[Ctrl]+[l]组合键将收件人的公钥导入Kleopatra。导入后在Thunderbird中正常地编写邮件,并通过“Enigmail”菜单选择加密邮件并正常发送即可。
在浏览器中使用PGP
要通过Web界面访问加密的邮件,我们需要适用于Firefox和Chrome浏览器的插件Mailvelope(www.mailvelope.com),该插件已经为常见的电子邮件提供商进行了预配置。
要使用Mailvelope进行加密和解密,我们必须从Kleopatra导出自己的私钥和联系人的公钥,并将其导入Mailvelope。在Kleopatra中可以在“My certificates”选项卡中找到我们的私钥。右键单击并选择“Export confidential key”,激活“ASCII coat”选项即可导出密钥。
要将密钥导入到Mailvelope,单击浏览器右上角的邮件符号,选择“Options”,在“Key management|Import key”选项中选择密钥文件。根据电子邮件提供商的不同,Mailvelope在Webmail界面中集成的方式也不同。如果Mailvelope没有预先配置我们使用的网络邮件提供商,那么我们需要登录电子邮件账户并点击浏览器右上角的邮件图标选择“Add”进行添加。
使用Android加密电子邮件
通过免费应用程序OpenKeychain和K-9 Mail,我们也可以在Android智能手机上使用PGP加密电子邮件(而对于iPhone和iPad,只有一个收费的应用程序iPGMail)。安装这两个应用程序,在K-9 Mail中设置我们的电子邮件账户,并将我们的密钥文件复制到智能手机,启动OpenKeychain,在主屏幕中选择“Import key from file”,然后再选择我们的密钥文件。
为了使K-9邮件可以访问保存在OpenKeychain中的密钥,打开收件箱中的菜单,转到“Settings|Accountsettings|Cryptography”,点击“OpenPGPProvider”,选择OpenKeychain。当使用K-9撰写电子邮件时,我们现在可以对邮件进行签名和加密了。
通过Tor加密网络通讯
加密我们的网络通讯数据很容易:我们需要的只是一个Tor Browser套件(https://www.torproject.org/projects/torbrowser.html.en),Tor浏览器是一个整合了Tor和Firefox等多种软件的网络应用,它已经配备了各种加密功能。启动时,它连接到Tor网络,可以通过加密隧道连接几个不断变化的节点,不仅加密流量,而且还可以隐藏用户的IP地址。打开Tor Browser之后,我们可以使用“http://check.torproject.org”来检查自己使用Tor冲浪的状态,确定是否已经处于匿名状态。注意,在Tor Browser套件下载页面单击“简体字(zh-CN)”可以下载中文版本,如果无法访问Tor网站,则可以尝试在互联网搜索其他的下载链接。
按照斯诺登先生的说法,现阶段我们要保护自己的隐私,一个强大的加密系统是唯一的选择,并且只有在正确实施加密的情况下才能奏效。下面,CHIP将为大家展示如何加密硬盘、云空间、邮件和网络通讯。
在开始加密之前,首先,我们要选择一个好的密码。如果我们的密码很容易被猜到或者破解,那么即使是最强的加密也是徒劳的。
像“12345”、“abcd”或“Password”这样的密码是最弱的。除此之外,还需要注意避免使用太短的密码或由自己和家人的姓名、出生日期组成的密码,因为对你加密数据感兴趣的人,通常会比较容易找到这些信息。
一般来说,我们的密码越长,越难破解。因此,我们应该使用短语作为密码,这样既可以有足够的强度,同时又很容易记住,例如它可以是我们很喜爱的书、诗歌,或者是喜欢的歌曲其中的一句歌词。此外,如果我们在密码中同时包含特殊字符在内的多种字符,那么它会更安全,例如我们可以在句子中将某些字母替换成数字,或者在特定的位置插入特殊字符,这样,密码仍然很容易记住,但破解起来却很困难。
加密硬盘
旗舰版和企业版的Windows Vista和Windows7以及Windows 8、Windows8.1和Windows10的专业版和企业版的用户可以使用集成工具BitLocker加密硬盘。而使用其他版本的用户,则可以考虑使用VeraCrypt。
在搜索框中输入“BitLocker”,然后单击“管理BitLocker”打开Windows加密工具,在接下来出现的窗口中,我们可以通过单击硬盘条目附近的“启用BitLocker”激活加密(如果出现错误消息,请阅读“使用不带TPM的BitLocker”部分)。接下来,我们需要选择是使用闪存盘还是密码来解锁加密的驱动器。无论我们选择哪个选项,都需要注意在设置过程中保存或打印恢复密钥。这样,当我们不慎忘记密码或丢失闪存盘时才不至于永远失去加密的数据。
使用不带TPM的BitLocker
如果电脑没有“可信平台模块”(Trusted Platform Modules,简称TPM)芯片,那么需要提供几个其他的设置来激活BitLocker。在Windows搜索框中键入“组策略”,然后打开“编辑组策略”。在打开的“本地组策略编辑器”左侧导航栏中选择“计算机配置|管理模板|Windows组件|BitLocker驱动器加密|操作系统驱动器”,在右侧列中选择“启动时需要附加身份验证”,然后在打开的设置对话框左上角上单击选择“已启用”,在下方“选项”框中“配置TPM”下拉菜单中选择“不允许TPM”。单击“应用”和“确定”后,即可按照上面的方法启用BitLocker。
使用VeraCrypt
要使用TrueCrypt后续版本VeraCrypt(veracrypt.codeplex.com)加密系统分区或整个硬盘,可以在下载安装VeraCrypt之后在主菜单中选择“Create volume”,然后在下一步“Encrypt the system partition or entire system drive”中选择需要加密的驱动器,如果要加密整个硬盘与Windows分区,则选择“Encrypt the whole drive”,并按照设置向导的提示进行操作即可。注意VeraCrypt会创建一个救援光盘,以防我们忘记密码,为此,我们将需要一张空白的光盘。
驱动器加密后,在引导时将需要输入密码和PIM(Personal Interactions Multiplier,生成加密盘的头部密钥的迭代次数),如果在设置过程中没有指定PIM,则只需要输入密码即可。
加密云存储
建议使用Boxcryptor软件(www.boxcryptor.com)来加密Google云端硬盘和Dropbox等云存储服务。该软件的免费版本仅供个人用户使用,可以用于管理两个设备,例如电脑和智能手机,但可以和Boxcryptor的其他用户共享。虽然Boxcryptor免费版本只加密一个单一的云服务,但其功能是最充分的。
首先,我们需要安装Boxcryptor的桌面客户端,创建一个Boxcryptor账户并选择软件的授权方式为免费软件。BoxCryptor将创建虚拟驱动器并将其加载到系统上,例如加载为磁盘“X”,其中是需要被加密的云数据,BoxCryptor所有加密或者解密的操作都是通过这个虚拟驱动器进行的。要更改云服务,右键单击任务栏中的Boxcryptor图标,选择“Settings”,单击切换到“locations”选项卡,禁用软件自动选择的云服务,重新选择我们需要的云服务即可。
存储在Boxcryptor文件夹中的文件加密后将被上传到我们指定的云服务,要与其他人共享加密的数据,我们需要授予他们访问权限。为此,在Boxcryptor上下文菜单中选择“Manage Permissions”,并单击“Add user”,键入朋友的电子邮件地址,对方只要也注册和使用Boxcryptor就能够访问经过我们授权访问的加密文件。 智能手机上的Boxcryptor
如果准备在智能手机上访问加密的云数据,那么我们需要安装Boxcryptor的应用程序,该服务提供各种常见移动操作系统的应用程序。安装后,首先使用我们的Boxcryptor账户登录,在左侧菜单列(如果没有,则从左向右滑动)中点击“Add provider”,然后选择我们在桌面客户端中添加的云服务提供商。
要从智能手机上传加密文件到云中,点击应用程序主窗口右下角的箭头,选择一个或多个文件和文件夹,然后点击“OK”并选择“Encrypted upload”。要转发文件,可以按住文件并点按左下方的共享图标,然后选择共享方式。注意,与桌面版本不同,我们无法使用Boxcryptor应用程序向其他人提供加密文件的访问权限。转发文件时,文件将被解密后发送。
PGP加密电子邮件
加密电子邮件,我们建议可以使用遵循GPL协议的PGP加密软件。这方面有很多电子邮件加密方案可供我们选择,但是许多方案并不包括移动系统的应用程序,另有许多方案需要支付高昂的费用。而下面我们提供的这个全方位的解决方案不仅不需要支付任何费用,而且还可以在桌面、网络浏览器和智能手机客户端上加密电子邮件。
要在桌面电脑上使用PGP加密电子邮件,我们需要3个程序:Gpg4win(www.gpg4win.org)、Kleopatra和Thunderbird(www.mozilla.org/thunderbird),并且在开始使用加密功能之前,我们需要创建密钥。首先打开Kleopatra(它已经随Gpg4win一起安装到我们的系统上了),然后使用快捷键[Ctrl]+[N]开始生成密钥,选择“Generate personal OpenPGP key pair”,按照向导的提示操作即可。
生成密钥之后,打开Thunderbird并设置好我们的电子邮件账户,然后在www.enigmail.net下载Thunderbird的加载项Enigmail,在Thunderbird中单击右上角的菜单按钮,选择“附加组件”,将解压缩的Enigmail XPI文件拖到打开的附加组件管理器的左侧部分,安装并重启Thunderbird将可以看到Enigmail的设置向导。在此,选择默认配置,在下一步选择“Use one of the existing keys”,并选择我们创建的密钥。
在向某人发送加密电子邮件之前,必须通过点击[Ctrl]+[l]组合键将收件人的公钥导入Kleopatra。导入后在Thunderbird中正常地编写邮件,并通过“Enigmail”菜单选择加密邮件并正常发送即可。
在浏览器中使用PGP
要通过Web界面访问加密的邮件,我们需要适用于Firefox和Chrome浏览器的插件Mailvelope(www.mailvelope.com),该插件已经为常见的电子邮件提供商进行了预配置。
要使用Mailvelope进行加密和解密,我们必须从Kleopatra导出自己的私钥和联系人的公钥,并将其导入Mailvelope。在Kleopatra中可以在“My certificates”选项卡中找到我们的私钥。右键单击并选择“Export confidential key”,激活“ASCII coat”选项即可导出密钥。
要将密钥导入到Mailvelope,单击浏览器右上角的邮件符号,选择“Options”,在“Key management|Import key”选项中选择密钥文件。根据电子邮件提供商的不同,Mailvelope在Webmail界面中集成的方式也不同。如果Mailvelope没有预先配置我们使用的网络邮件提供商,那么我们需要登录电子邮件账户并点击浏览器右上角的邮件图标选择“Add”进行添加。
使用Android加密电子邮件
通过免费应用程序OpenKeychain和K-9 Mail,我们也可以在Android智能手机上使用PGP加密电子邮件(而对于iPhone和iPad,只有一个收费的应用程序iPGMail)。安装这两个应用程序,在K-9 Mail中设置我们的电子邮件账户,并将我们的密钥文件复制到智能手机,启动OpenKeychain,在主屏幕中选择“Import key from file”,然后再选择我们的密钥文件。
为了使K-9邮件可以访问保存在OpenKeychain中的密钥,打开收件箱中的菜单,转到“Settings|Accountsettings|Cryptography”,点击“OpenPGPProvider”,选择OpenKeychain。当使用K-9撰写电子邮件时,我们现在可以对邮件进行签名和加密了。
通过Tor加密网络通讯
加密我们的网络通讯数据很容易:我们需要的只是一个Tor Browser套件(https://www.torproject.org/projects/torbrowser.html.en),Tor浏览器是一个整合了Tor和Firefox等多种软件的网络应用,它已经配备了各种加密功能。启动时,它连接到Tor网络,可以通过加密隧道连接几个不断变化的节点,不仅加密流量,而且还可以隐藏用户的IP地址。打开Tor Browser之后,我们可以使用“http://check.torproject.org”来检查自己使用Tor冲浪的状态,确定是否已经处于匿名状态。注意,在Tor Browser套件下载页面单击“简体字(zh-CN)”可以下载中文版本,如果无法访问Tor网站,则可以尝试在互联网搜索其他的下载链接。