我们的数据安全系列继续进行。Rio 之前为我们谈过了《如何保障即时通讯的安全性》和《如何保障电邮通讯的安全性》,但就算你的电脑完全离线,也并不代表里面的数据就一定安全。如果有不法分子限制了你的人身自由,并恶意在你的电脑内搜罗莫须有的罪证,你如何保障自己的数据隐私?请听 Rio 的分解。—— 编者
每个人难免都有些艳照之类不太见得光的东西存在电脑里,确保它们不误入他人手中是非常要紧的。(陈冠希老师,不好意思这篇指南来晚了点。)
简单来讲,不想给别人看的文件一定要加密。加密意味着两点:一、登入电脑后,需要输入密码才能查看加密的文件;二、如果有人将你电脑的硬盘取出,以外置硬盘形式插入其他电脑,他只能看到未加密的文件,而所有加了密的文件只会以一堆乱码的形式出现。
Mac OS X 提供了一个将整个 Home 目录——Finder 里图标是一座房子的那个目录——都加密的功能:FileVault。你几乎全部的个人数据都存在 Home 目录里,例如聊天记录、邮件、各种软件的使用习惯数据等等。因此对 Home 目录进行加密后,基本可以保证你的个人数据安全。
FileVault 可以在 System Preferences ▸ Security ▸ FileVault 里激活。开启后,电脑上所有用户的 Home 目录都会加密。采用这种做法有两个负面效果:一、据说登入和登出时会很慢;二、有数据毁坏的危险,这一点之前已有用户都遇到过。另外如果电池电量不足、强制关机的时候,可能会因为来不及将内容加密写回磁盘而造成数据丢失。
其实,大部分人并不需要加密 Home 目录里的全部数据,他们需要的只是对 XXX、Naked、「套图」、「银行记录清单」等个别目录进行加密。因此我们不推荐在一般情况下使用 FileVault,有选择地将需要加密的文件存入「加密磁盘镜像」是更好的办法。
Mac OS X 自带了一个非常方便的工具:Disk Utility。你可以在 Applications ▸ Utilities 里面找到它。当你要对个别的文件或目录进行加密时,只需要用这个工具创建一个加密的磁盘镜像,然后将需要加密的文件拖进这个镜像就好了。
步骤如下:
一、在 Finder 里按 Command (⌘) + Shift (⇧) + U,找到 Disk Utility(磁盘工具),启动之。
二、点 File ▸ New ▸ Blank Disk Image。
三、弹出的对话框里面几个选项如下:
- Name: 随便填个你自己喜欢的名字就可以了,比如「艳照们」……
- Size: 预计一下大概需要多大的空间。不用担心用不完会浪费,因为没有使用的不会占用实际的磁盘空间。而且如果以后不够用也可以通过 Disk Utility 调整。可以先选一个 DVD 的容量,4.6 GB。
- Format: 保持默认的 Mac OS Extended (Journaled)。
- Encryption: 加密种类与强度。这个是重点了,选择 256-bit AES encryption。
- Partitions: Hard disk
- Image Format: sparse bundle disk image (会把创建的加密磁盘镜像分成数个 8 MB 大小的小块,适用于 Dropbox 之类可以同步文件的服务)
四、在顶上 Save As 那里选择一个合适的路径存放后,点击 Create。
五、这时会弹出一个对话框让你输入密码,这个密码会被用来加密你所创建的镜像文件。请选择一个比较长的,不容易猜到的密码。你也可以点击那个钥匙图标用 Keychain Access 自动生成一个密码。此处还有个选项是问是否在 Keychain 中记住该密码。我建议不要选择这一项,因为如果你不在电脑旁,而你的 Keychain 刚好又处于解锁状态的话,点击加密的镜像文件时系统会自动用 Keychain 中的密码解密。
六、确认后系统会花一段时间创建加密磁盘镜像,并且自动挂载。
七、打开 Finder 可以看到在左边栏的 Devices 下面多了一个白色的图标,名字是刚才在 Name 里面输入的,比如「艳照们」。
八、将需要加密的文件复制到这个挂载的「艳照们」分区里面。
九、复制完成后在 Finder 下面的 Devices 那一栏点击「艳照们」图标右边的小三角符号(⏏)将其弹出,之后删除掉未加密的文件,然后点 Finder 的主菜单 Finder,选择 Secure Empty Trash,整个加密过程就完成了!
之后想访问加密的文件时,打开加密磁盘镜像、输入密码即可。
需要强调的是,社会工程学也是数据安全的重要环节。虽然以上我们使用了「艳照们」作为卷标,但你显然应该为自己的重要数据取一个完全平淡无奇、不会引起注意的名称,例如「Preferences」。
在 Mac OS X 以外的平台上,可以使用 TrueCrypt。这是一个非常强大的加密系统,可以创建加密磁盘镜像文件,也可以将整个磁盘分区都加密。坊间传闻,欧洲大部分色情网站都是将其庞大的资源存储在用 TrueCrypt 加密过的磁盘分区中,然后将服务器存放在欧洲网络的骨干数据中心(主要位于德国,这里租用专用服务器和带宽巨便宜)。这样即便警察找上门,但是因为无法解密 TrueCrypt 加密后的内容,无法证明里面存放的是色情内容(其实只是检查是否包含未成年人的内容;成年人的内容是合法的)只好作罢。TrueCrypt 的使用方法请自行搜索。
17 Comments so far
Leave a comment
Fields in bold are required. Email addresses are never published or distributed.
Some HTML code is allowed:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
URLs must be fully qualified (eg: http://apple4.us),and all tags must be properly closed.
Line breaks and paragraphs are automatically converted.
Please keep comments relevant. Off-topic, offensive or inappropriate comments may be edited or removed.
贯希老鼠泪流满面啊,早没看到这文章呢 XD
打错个字,想说贯希老师的,结果意外的喜感 www
文件名大亮!
如果已经创建了“Blank Disk Image”,如何修改这个空间大小呢?
请问楼主 如果不用这个Disk Image,怎么删掉它呢?不是“抹掉”
推荐FreeOTFE这款开源软件,对于普通windows用户很好上手。
如果你也玩Linux,好消息是这款软件也支持luks,也就是你可以在windows和linux下都可以使用加密数据,同时保证即便是cia拿到你的硬盘也看不到你的痔疮。
参考我的博文http://gfdice.javaeye.com/blog/611975
我晕,是把dmg文件直接删掉吧? 这样不会影响硬盘容量吧
@Kissman7
Disk Utility 工具栏有个按钮 Resize Image
@bicheng
不需要的话直接删除就可以了,它就是一个普通文件(夹)而已。
好文,顶了!
哈哈 这年头谁都怕泄露~
为何不直接把文件后缀名改pkg。 将就下就好了 自己知道可以找到就好 别人不知道就不能看
補充兩點:
1,密碼長度很重要。如果密碼過短,別人直接暴力破解密碼就可以了。當然也不是越長越好,因為這裡我們用的是256-bit AES,所以,假設你的密碼是隨機選擇的字母、數字、符號,這裡我們將ASCII中的95個可打印字符都算進去,那麼,我們需要的密碼的長度是:
log(2**256)/log(95)~=36
所以,你應該使用一個長度為36的由大小寫字母、數字、符號隨機組成的密碼。
短於這個長度,就說明你的密碼保護作用比AES 256弱。再長也沒用了,超過這個長度,人家就直接破解AES 256了。
2, 還有一點要考慮的是內存。雖然可以直接讀取內存,但內存的信息在斷電一段時間後就無法讀取了,這個一般情況下可以忽視。問題是Mac OS X會在/var/vm下生成swapfileN (N=0,1,2,…)的交換文件。解決方法有兩個:
1)在Preference->Security裡勾選encrypt virtual memory。這樣這些交換文件就會被加密了。不過這只在啟用加密家目錄的情況下有效。
2) 如果你的內存非常大的話,生成交換文件的機會較少。萬一還是生成了,可以重啟電腦。重啟的時候Mac OS X會自動清楚這些交換文件。當然,手動sudo rm /var/vm/swapfile*也是可以的,但是有導致系統不穩定的潛在可能性。
3) 有些程序可能會在臨時目錄甚至緩存目錄保存一些東西,這情況就比較復雜了。各個軟體的做法不同,要具體問題具體分析。盡量使用簡單的軟體,對軟體的cache要有一個基本的了解。
呀,我怎麼說了3點,看來我不會數數。 :-)
“重啟的時候Mac OS X會自動清楚這些交換文件。”
s/清楚/清除/
小小一則評論,竟有2處失誤。 :-(
PGP 10.0.2 For Mac