2008年1月15日星期二

PC與隨身碟檔案安全防護 : TrueCrypt

在之前文章提到過PGP Key 的使用與管理 , 可以將檔案安全加密或使用PGP DISK來建立加密volume, 不過由於PGP軟體自8.0以後已經不是免費軟體(除非你還能取得PGP 8.0軟體), 因此在此再介紹另外一款加密檔案的免費軟體: TrueCrypt, 這裡介紹的內容將有一般正常的作法, 與隨身可攜而且簡便的使用方式

一、安裝與中文化方式如下

(1)首先去下載TrueCrypt檔案

下載連結: http://www.truecrypt.org/downloads.php

裡面有windows的zip檔案及Linux的tar.gz檔案, 看您自己環境去選擇

再來下載中文化檔案: http://www.truecrypt.org/downloads/thirdparty/localizations/langpack-zh-tw-1.0.0-for-truecrypt-4.3a.zip

(2)把TrueCrypt zip檔案解壓縮後, 去執行安裝 (執行TrueCrypt Setup.exe)

(3)安裝完成後, 把中文化檔案解壓縮後, 把Language.zh-tw.xml放到您安裝TrueCrypt的目錄下 (預設是 C:\Program Files\TrueCrypt)

(4)開始執行TrueCrypt, 選擇Settings->Language->選擇繁體中文 (如下圖)



(5)這樣你就看到了TrueCrypt的中文畫面了 (如下圖)




二、TrueCrypt的使用

再來介紹TrueCrypt的使用, 基本上TrueCrypt在您的硬碟中以加密方式(密碼或加上金鑰檔)建立一個檔案, 您可以把這個檔案載入變成電腦的一個獨立邏輯單元, 這個獨立邏輯單元就如同一個硬碟, 但是要打開這個硬碟必須有正確的密碼或者加上金鑰檔

(1)如下圖選擇建立一個加密區 (一個檔案型態,可以在PC或隨身碟)




(2)選擇標準TrueCrypt加密區, 或隱藏的TrueCrypt加密區, 按下一步
(其實沒有必要選隱藏, 不然到時候反而找半天 ...)



(3)選擇加密區的檔案名稱
例如我建立在G:\TrueCrypt\mycrypt.dat
不打附檔名也可以, 但是打一個自己習慣的附檔名, 讓自己以後知道這是TrueCrypt的加密區檔案, 比較不會搞亂




(4)加密選項 (不熟悉加密演算法的話, 就直接下一步吧...)
等使用很熟悉之後, 再來改變加密方式




(5)設定這個加密區的空間大小




(6)設定您的密碼 (千萬要記得密碼喔!)



(7)將加密區格式化 (僅把您設定的檔案格式化, 不要擔心整個硬碟會不見)




(8)建立完成囉, 就按下結束離開







現在開始來使用這個加密區 :

(1)如下圖先選要建立成哪個代號(也就是磁碟代號)
然後選您之前建立的加密檔案, 如剛剛我建的 G:\TrueCrypt\mycrypt.dat
然後按下載入 (當你不需使用時記得卸載下來)




(2)再去看看我的電腦, 就多出H:磁碟機了 ...
放在H:這裡面的檔案就會加密, 沒有密碼或金鑰檔就進不來啦




三、讓TrueCrypt變成可攜式

最後, 也許有人會問 ... 那如果我把隨身碟當成加密區
使用另外一台電腦沒安裝TrueCrypt怎麼辦? 還要再安裝一次嗎?

根本不需要, TrueCrypt幫你想好了

如何讓TrueCrypt跟著隨身碟跑呢?

(1)如下圖, 只需選擇工具->可攜版設定




(2)選擇隨身碟放置TrueCrypt的位置, 按下建立 ... TrueCrypt就在你的隨身碟上了



但是, 如果使用攜帶式的方式還要每次載入與卸載 ...未免太麻煩了

因此您可以在"隨身碟放置TrueCrypt的目錄"下, 建立兩個檔案 (只適用windows環境):

將以下程式碼以小作家編寫, 存成 mount.wsf


<job id="mount">
<script language="jscript">
var oShell = WScript.CreateObject('WScript.Shell');
oShell.Run('\\TrueCrypt\\TrueCrypt.exe /q /a /b /m rm /v "mycrypt.dat"',1,true);
</script>
</job>


將以下程式碼以小作家編寫, 存成 unmount.wsf


<job id="mount">
<script language="jscript">
var oShell = WScript.CreateObject('WScript.Shell');
oShell.Run('\\TrueCrypt\\TrueCrypt.exe /q /d /b',1,true);
</script>
</job>


在以上mount.wsf中的紅色部分就是您的加密檔案, 依您習慣來修改即可
把mount.wsf, unmount.wsf, mycrypt.dat, TrueCrypt.exe, Language.zh-tw.xml 等檔案都放置在隨身碟同一個目錄

如此, 隨身碟插上各不同PC, 只需執行mount.wsf ->輸入密碼

不使用時只需執行unmount.wsf即可

這樣就不需每次都要出現TrueCrypt複雜的界面了...容易吧 !

標籤: , ,

繼續閱讀:台灣搜尋引擎優化與行銷研究院

2007年12月5日星期三

PGP Key 的使用與管理

在前面文章談論過郵件與檔案加密:PGP,本篇文章再來說明一下關於key的使用細節與管理需注意的事項。許多人使用了PGP來加密與簽章,但因為沒有把key的概念弄清楚,因此最後常常搞得放棄使用PGP。因此希望本篇文章可以讓大家很愉快的使用PGP來加強網路安全性。



首先來談談public key(公鑰)與private key(私鑰)。

(1)public key(公鑰)與private key(私鑰):
當你初次使用PGP軟體,所產生的key ring(鑰匙圈)便包括了公鑰與私鑰,鑰匙圈裡可能有你的公私鑰與你朋友的公鑰。你的公鑰是給別人用的,例如對方要傳送加密檔案給你,就必須使用你的公鑰來加密。而對方接到你的簽章文件,就必須使用你的公鑰來確認。

私鑰是你自己用的,例如配合收件對方的公鑰與你的私鑰用來加密文件,而你要簽章文件就用你的私鑰。

而這個公鑰因為是給別人用的,你可以放在大家都取得到的key server或傳送給對方均可,並且當key ring重建就必須重新release給對方。

(2)對於公鑰的sign:
對於朋友的公鑰,你可以sign (也就是使用你的私鑰對這個公鑰確認),sign後會產生DSS signature或DSS exportable signature,表示這個公鑰是確認無誤的。

為何要對公鑰作sign的動作呢?正常情況,這個sign的動作不會對加解密有影響,主要是提高安全性而已。

假設你持有甲的公鑰A,經sign確認使用無誤,如果你的私鑰沒有外流的話,有sign過的公鑰A應可保證沒有問題。如果當你有一天去key server update甲的公鑰,發現有新的甲公鑰B出現,這個甲的公鑰B是真的嗎?(如果沒有sign的話,你可能不會發現公鑰A與公鑰B有不同,如果公鑰A有sign過,當出現公鑰B上就不會有你的signature)。

如果使用假造的甲公鑰B,你加密文件就可能被另外的人解開,反而甲自己打不開。

什麼時候會出現假公鑰?就是被Hacker入侵或被管理者盯上 ...這些人可以利用甲的郵件去傳送甲的假公鑰到key server,然後再截取用假公鑰加密的密文。

所以sign公鑰是可以提高安全性,讓使用者分辨哪些是核對無誤的公鑰。

(3)master key與subkeys:
private key(私鑰)又分成master key與subkeys,前者用來簽章,後者用來加解密。一個私鑰只有一個master key,但可有許多subkeys。並且subkeys的remove會影響原本用舊的subkeys加密的文件,也就是原本可以解密的文件會因更換subkey而不能解開。

為什麼要有subkeys?而且可以有許多subkeys?也是提高安全性。

(4)Split key:
split就是把鑰匙分成許多把,只有全部合起來才能做解密與簽章。
如果一把鑰匙A split成兩把鑰匙後,就有一個公鑰與兩個share key B,C
當要做簽章或解密時就必須同時兩把鑰匙都取得,才能完成動作。

標籤: , ,

繼續閱讀:台灣搜尋引擎優化與行銷研究院

2007年3月28日星期三

郵件與檔案加密:PGP

在網路安全的議題上,最容易被使用者忽略的大概就是檔案傳輸途中的安全性。當您的郵件或內容從使用者的電腦傳輸到伺服器,會經過許多關卡,在任何一個關卡如果被截取,就有可能洩密或被竄改的可能性。不相信嗎?看看以下例子吧!




看看以上由Sniffer軟體截取到的資料,竟然帳號密碼就眼睜睜的顯示在上面。雖然想要截取資料不是那麼容易,可能需要監聽一堆資料,然後慢慢分析或重組,但是以明碼傳送資料,等於是看天吃飯。

要如何保障電子郵件或是傳送檔案的安全性呢?其中一種方式就是使用PGP加密方式。

何謂PGP(Pretty Good Policy)呢?PGP是一種PKI(Public Key Infrastructure)公開金鑰的加密方式,使用非對稱式加密演算法,加密時使用接收對方的公鑰加密,接收後只能以接收者的私鑰解密。有興趣的話,可到
http://www.pgp.com/去看更多訊息或下載軟體使用。

現在演練幾個例子給各位參考。首先要使用PGP,您必須先去下載PGP軟體,然後去取得您的鑰匙,也就是公鑰與私鑰,然後將公鑰傳送到公用的keyserver。

(一)下載與安裝
下載: http://beta.pgp.com/main/get_winPGPDesktop960PB1_Win32(試用版/共35.3MB)
原本PGP 8.0版為免費使用,但到了PGP 9.0以後就變成需要付費了,如果需要PGP 8.0的話,自己去尋找了。
安裝完成後必須重新開機,開機後在您的toolbar就會出現如下圖的鎖頭。




(二)產生公鑰與私鑰的方式
首先以滑鼠右鍵點選鎖頭,選PGPKeys(如下圖)


會出現如下視窗,選取keys->New Key


依照指式,產生keys完後(切記剛剛自己輸入的密碼要記住),再來就是把您的公鑰送到keyserver(如下圖)


傳送成功完成後,您就可以到您剛填寫的email
按下Complete the Verification Process並依照步驟來啟動公鑰開始作用(如下圖)。


這個時候,您的公鑰已經存在於keyserver上,到http://keyserver.pgp.com/可以查詢(如下圖)

公鑰是讓所有人可以取得,以便使用公鑰加密然後寄加密資料給您。您如果按下Download就可以取得公鑰並放到您的PGP Keys上。

經過這樣的步驟,您的電腦中有公私鑰,keyserver上有您的私鑰,而您也可以把電腦上的keyRing或公私鑰匯出,以便裝在不同電腦上。

(三)送出加密郵件
不管您使用outlook或webmail,都可以傳送加密郵件。
首先如正常程序寫完郵件,然後將明文以Copy到clipBoard(使用Crtl+A全選,然後Ctrl+C複製)

然後如下圖,選擇clipBoard->Encrypt & Sign


這時會出現如下圖,先把要傳送對像拉到下端(當然您必須先把傳送對像的公鑰匯入到你的PGP KeyRing)
->然後按下OK->輸入您的密碼->按下OK


然後到PGP Keys的clipBoard->Edit,就可看到加密後的結果(如下圖),把它Copy到您要傳送的郵件內容就OK啦,當然原本的明文要記得刪除。


(四)讀取加密郵件
接到密文如上圖的內容,只要將
-----BEGIN PGP MESSAGE-----
一堆亂碼
-----END PGP MESSAGE-----
複製到clipBoard,然後使用toolbar的鎖頭,點選clipBoard->Decrypt & Verify就可以看到如下圖


當然PGP不只能做這些事,Encrypt/Decrypt/Sign/Verify也各也許多用處,以後有機會再談啦。




標籤: , ,

繼續閱讀:台灣搜尋引擎優化與行銷研究院