加密軟體
數據加密是控制誰可以訪問它的唯一方法。 如果您目前沒有為您的硬盤,電子郵件或文件使用加密軟件,您應該在這裡選擇一個選項。
多平臺¶
此處列出的選項是多平臺的,非常適合建立資料的加密備份。
Cryptomator (雲端)¶
Cryptomator 是一種加密解決方案,專為將檔案私密保存到任何雲端提供商而設計。 它允許您創建存儲在虛擬驅動器上的保管庫,其內容已加密並與雲端儲存供應商同步。
Cryptomator 使用 AES-256 加密來加密檔案和檔案名稱。 Cryptomator 無法加密中繼資料,例如存取、修改和創建時間戳記,也無法加密檔案和資料夾的數量和大小。
一些 Cryptomator 加密程式庫 已被Cure53審核 。 稽核程式庫的範圍包括: cryptolib、 cryptofs、 siv-mode 和 cryptomator-objc-cryptor。 審計並未包含cryptolib-swift它是 Cryptomator 運用在 iOS 程式庫。
Cryptomator 的文件詳細介紹它的預期安全目標,安全架構和最佳實踐 以供更詳細的使用。
Picocrypt (檔案)¶
Picocrypt 是一個小而簡單的加密工具,提供現代加密。 Picocrypt 使用安全的 XChaCha20 密碼和 Argon2id 密鑰派生功能來提供高級別的安全性。 它使用 Go 標準x/crypto 模塊作為其加密功能。
VeraCrypt (磁碟)¶
VeraCrypt 是一個開源的免費軟件實用程式,用於即時加密。 它可以在檔案中建立虛擬加密磁碟、加密分割區,或透過預先啟動驗證來加密整個儲存裝置。
VeraCrypt是已停產的 TrueCrypt 項目的分支。 根據其開發人員的說法,已經實施了安全性改進,並解決了最初的TrueCrypt 代碼審計提出的問題。
使用 VeraCrypt 加密時,您可以選擇不同的 哈希函數。 我們建議您只需 **** 選擇 SHA-512 並堅持 AES 區塊密碼。
Truecrypt 已完成多次審計,而 VeraCrypt 也曾接受 獨立審計。
作業系統完整磁碟加密¶
加密開機用的作業系統,我們通常建議使用其隨附的加密軟體,而不是第三方工具。 因為作業系統原生的加密工具通常會使用作業系統和硬體特定的功能,例如裝置中的安全加密處理器保護電腦免於進階的實體攻擊。 至於非開機用的輔助磁碟和外接硬碟,我們則建議使用開源工具,例如 VeraCrypt< /a> ,因為它們提供了額外的靈活性避免供應商鎖定。
BitLocker¶
BitLocker 是 Microsoft Windows 捆綁的全磁區加密解決方案。 我們推薦利用它加密開機設備,因為其使用 TPM. 鑑證公司 ElcomSoft 曾撰寫過此功能的相關介紹 Understanding BitLocker TPM Protection.
BitLocker 僅支援專業版、企業版和教育版Windows 版本。 它可以在家庭版上啓用,只要符合先決條件。
Windows Home上啓用BitLocker
若要在 Windows 家用版啟用 BitLocker ,必須使用 GUID 分割表 格式化的分割區,並且具有專用的TPM (v1.2, 2.0+)模組。 如果在遵循本指南之前已在裝置上啟用,則要停用非Bitlocker「裝置加密」功能](因為它會將您的復原金鑰傳送到Microsoft 的伺服器)。
- 開啟命令提示符,並使用以下命令檢查磁碟機的分區表格格式。 您應該會在“分區樣式”下方看到“GPT” :
powershell Get-Disk
- 在管理員命令提示符中執行此命令以檢查您的TPM版本。 您應該會在
個SpecVersion旁邊看到2.0或1.2:
powershell Get-WmiObject -Namespace "root/cimv2/security/microsofttpm" -Class WIN32_tpm
-
造訪進階啟動選項。 重新啟動時需要在 Windows 啟動前按下F8 鍵,然後進入 命令提示符 in 疑難排解 → 進階選項 → 命令提示符。
-
使用管理員帳戶登入並在命令提示符中輸入指令以開始加密:
manage-bde -on c: -used
-
關閉命令提示符並繼續啟動正常Windows。
-
打開 admin 命令提示符並運行以下命令:
manage-bde c: -protectors -add -rp -tpm
manage-bde -protectors -enable c:
manage-bde -protectors -get c: > %UserProfile%\Desktop\BitLocker-Recovery-Key.txt
溫馨提示
將桌面上的「BitLocker-Recovery-Key.txt」備份到單獨的儲存裝置。 若遺失恢復代碼可能會導致資料無法回復。
FileVault¶
我們建議您將本地恢復金鑰存放在安全的地方,而不是使用您的iCloud 帳戶進行恢復。
Linux Unified Key設定¶
建立和開啟加密容器
dd if=/dev/urandom of=/path-to-file bs=1M count=1024 status=progress
sudo cryptsetup luksFormat /path-to-file
開啟加密容器¶
建議使用 udisksctl 打開容器和磁碟區,因為它使用 Polkit。 大多數檔案管理器,例如流行的桌面環境中包含的檔案管理器,都可以解鎖加密的檔案。 像 udiskie 這類工具可以在系統工作列運行並提供有用的使用者介面。
udisksctl loop-setup -f /path-to-file
udisksctl unlock -b /dev/loop0
記得備份磁區標頭
我們建議您務必 備份您的LUKS標頭 以防部分驅動器故障。 可透過以下指令達成
cryptsetup luksHeaderBackup /dev/device --header-backup-file /mnt/backup/file.img
命令列¶
命令行界面的工具可用於集成 shell 腳本。
Kryptor¶
Tomb¶
OpenPGP¶
OpenPGP 有時需要執行特定任務,例如數位簽署和加密電子郵件。 PGP具有許多功能,但也有爭議 複數 ,因為它已經存在了很長時間。 對於簽署或加密檔案等任務,我們建議您使用上述選項。
使用 PGP 加密時,您可以選擇在 gpg.conf 檔案中設定不同的選項。 我們建議您繼續使用 GnuPG 用戶常見問題集中指定的標準選項。
在生成金鑰時使用未來的預設值
當產生金鑰時,建議使用future-default 指令,它將指示GnuPG 使用現代密碼學,例如Curve25519 與 Ed25519:
gpg --quick-gen-key alice@example.com future-default
GNU Privacy Guard¶
GnuPG 是 GPL授權的加密軟體 PGP 替代品。 GnuPG 符合 RFC 4880 ,這是目前 OpenPGP 的 IETF 規範。 GnuPG 專案一直致力於 更新 ,試圖現代化OpenPGP。 GnuPG 是自由軟體基金會GNU 軟體項目的一部分,並已收到德國政府的重大 資助。
Downloads "下載"
GPG4win¶
GPG4win 是 Intevation and g10 Code 的Windows 套件。 它包括 各種工具 ,可協助您在 Microsoft Windows 上使用GPG。 該項目最初由德國聯邦信息安全辦公室 (BSI)於2005年發起並 資助。
Downloads "下載"
GPG Suite¶
Note "備註"
我們建議 Canary Mail 在iOS裝置上使用PGP和電子郵件。
OpenKeychain¶
OpenKeychain 是 GnuPG 的Android 實作。 郵件客戶端通常需要它,例如 K-9 Mail 和 FairEmail 以及其他 Android 應用程序提供加密支持。 Cure53 於2015年10月完成了 OpenKeychain 3.6 的 安全審核。 審核 OpenKeychain 方案的 技術細節在此。
Downloads "下載"
標準¶
**請注意,我們所推薦專案沒有任何瓜葛。 ** 除了 標準準則外,我們還發展出一套明確要求以提出客觀建議。 建議您在選擇使用項目之前先熟悉此列表,並進行自己的研究,以確保它是您的正確選擇。
最低合格要求¶
- 跨平臺加密應用程式須為開源。
- 檔案加密應用程式必須支援 Linux、macOS 和 Windows 的解密。
- 外部磁碟加密應用程式必須支援 Linux、macOS 和 Windows 的解密。
- 作業系統內部磁碟加密應用程式必須是跨平臺或原生內建作業系統。
最好的情况¶
最佳案例標準代表了我們希望從這個類別的完美項目應具備的條件。 推薦產品可能沒有此功能,但若有這些功能則會讓排名更為提高。
- 作業系統(FDE)加密應用程式應使用硬體安全性,例如 TPM 或Secure Enclave。
- 檔案加密應用程式應有自己的或第三方支援行動平臺。