玉山科技 AsiaPeak  
 


  中文首頁
  最新消息

  解決方案

  產品

  硬體加密模組(HSM)

>網路型 HSM

>單機型(PCIe卡) HSM

>USB介面 HSM

>Payment HSM

>KMIP金鑰管理

  PGP加密

>PGP加密原理

>電子郵件加密

>網路磁碟機加密

>硬碟加密

>企業郵件加密環境建置

>企業資料加密整合

  OpenPGP加密

>PGP加密伺服器

>PGP加密指令集與API

>PGP for Java API

   電子時戳

  儲存/資料庫/網路加密

>Storage/Tape加密器

>Data at Rest 加密

>網路加密器

>MS SQL 資料庫加密
   檔案傳輸管理(MFT)

>檔案加密傳輸服務

>檔案傳輸管理員

>檔案傳輸代理服務

>跨平台SFTP/FTPS指令與API

  資源

  連絡我們

 English Version

絕地反攻!個人資料保護戰的最後一哩


前言

在農曆春節前開始吵得喧騰一時的陳冠希「慾照風波」,在陳冠希終於出面,並召開記者會後,在其聲明「…這是都是我私密的照片,也從沒打算給別人看,這些照片從我手中被偷走,是違法的照片…」後,照片的真實性已獲得他本人的親口證實,而在陳冠希的委任律師高調的聲明「陳冠希擁有其本人與其女性朋友之親密照片及影像的版權」情形下,整起事件,似乎也到了漸漸降溫的時侯。

我無意也無權站在道德的制高點上對「慾照風波」內的幾位男女主角進行又一次的公審,亦或站在法律的觀點來議論傳播圖片之人的行為對錯,筆者在此,僅僅是想強調這個「慾照風波」除了帶給大家一個充滿八卦誹聞且娛樂性十足的春節假期外,也再一次暴露了個人資料保護的重要性,因此針對這次的事情來談談本人對個人資料防護的淺見。

個人資料洩露的途徑

去年一整年,世界各地資料洩漏的情事頻傳,因此,有人稱今年(2008)的資安重點就是資料保護(Data Protection)。而欲了解資料保護,就得先了解資料外洩的途徑。通常,資料洩漏的途徑不外以下幾種:
1. 內部攻陷法:再堅固的堡壘,若從內部產生叛變,則很快就會攻陷,同理,資料的洩漏的最有效、最快的方法,就是組織內部的人自掘牆角,將內部的資料偷出,轉而交給組織外的人。
2. 外部進攻法:簡言之,即想辦法從外面透過網路入侵的方式,以達到資料竊取的目的。這是效率最低的方法,但是,隨著內部資安管控的不良,有時,可以透過偉大的Google大神而達成目的。
3. 外部竊取(洩漏)法:竊取特定人物所使用的筆記型電腦、或個人電腦,或是內含敏感資料的磁帶、光碟以達到資料竊取的目的,這是相較於駭客入侵,要簡單有效的方法,且技術含量相對來說也不高。

整起「慾照風波」事件的起源,據說是這樣的:話說有一天,陳冠希的電腦出了點問題,於是陳冠希決定將電腦送修,但是,他的電腦裡有一些非常私密的照片及影片,再將電腦送修前,陳冠希為了防止這些私密照片被其他人看到,將這些精彩的照片都刪除了,然後,才放心地將電腦送修。未料,外面早就有謠傳說陳冠希不但喜歡自拍,更喜歡拍跟他有過超有誼關係的女子;當電腦送修後,負責維修的工程師知道該電腦是陳冠希送修的後,就開始尋找起了「傳說中的自拍」,豈料,陳冠希並非一個沒有安全意識的人,那些私密到不行的照片,早已刪除了。不過,世事無絕對,檔案就算真的刪除了(意指不在資源回收筒內),並不代表檔案就真的不在了,錯!檔案還在,只是一般的檔案系統找不到而已,透過一些特別的工具程式,我們就可以將曾經刪除的檔案救回來。於是乎,該工程師,就用一些特別的工具程式來掃描了陳冠希的硬碟,於是,一場堪比當年璩美鳳光碟甚或尤有過之的陳冠希「欲照事件」震撼了整個華人世界。

若傳言無誤,那末,這整起事件就僅是一件個人資料被人竊取的又一案例,而陳冠希則是個人資料被人竊取的又一受害者,只不過,由於照片中諸人的明星光環,而帶來這起個人資料竊取及誤用事件的公眾性、話題性與關注性。在此案之中,陳冠希的敏感個人資料並不是被人輕易的從電腦中直接拷貝出來的,而是在其已經刪除後,被人以特別的方法,將這些已被刪除的敏感個人資料再一次的還原回來,而最後得以公佈於網路上。也是因此,才讓許多人知道,原來,檔案就算從資源回收筒裡刪除了,還是可以還原回來地。

下面的二張圖,就是筆者用特別的工具程式,在磁碟D上搜尋已被刪除的檔案。(圖1)可以發現,該工具程式已經找到很多已被刪除的檔案,接著(圖2),曾經被刪除的檔案就再一次的現身,等著被人還原而重新面世。

圖1

圖2

硬碟上的資料防護

姑且不論檔案被刪除後還可被人還原的這件事好了,我們一般人在平時是否重視過存在硬碟上的敏感個人資料呢?而對於這些儲存在硬碟上的敏感個人資料我們又該如何的保護呢?在愈來愈多人使用筆記型電腦的今日,還是有許多人的筆電,一開機後就真接進入了Windows的作業系統中,真可謂是完全沒有保護資料安全的觀念,一旦其筆電被偷,別人只要一開機就能輕易的將儲存在該筆電上的資料輕易複製;相較於這些人,大部份的人都設有登入密碼,只有自己才能登入,以此來防範,更有甚者,使用具有指紋辨織器的筆電,需要透過指紋辨織正確方能登入,然而,這個方法,目前來說,只能防止完全不懂的人,只要稍具電腦知織的人,就知道,在不進入作業系統的情形下,只要把筆電的硬碟拆下來,當作其他電腦的外接式硬碟,就能將該硬碟內的內容看得清清楚楚,進而拷貝複製。

這樣看來,似乎沒有什麼安全的方式可以防止別人從電腦內將個人的敏感資料偷走了,本來,這世上就沒有所謂真正安全的防護措施,一切的防護措施,都是在增加別人偷取資料的困難度,當困難度達到一定程度,其投入的成本高過回報時,自然就放棄了。就好比機車的大鎖,沒上大鎖的機車,永遠是最容易被偷的,如果每台機車都上了大鎖,那麼,上了一個用榔頭一敲就開的大鎖的機車,比一個上了榔頭敲不開大鎖的機車要容易被偷。同理,有登入設定的筆電,其內的資料相較於沒登入設定的筆電要難偷一點,起碼,你得將筆電內的硬碟取出,然後將該硬碟裝入一個2.5吋的USB硬碟外接盒才成。那麼,比登入設定更安全的防護措施是什麼呢?加密!更精確的說,硬碟加密!

相信很多人都看過「達文西密碼」的電影,在電影中,聖杯所有地的密秘就藏在那個密碼筒中,只有知道正確的密碼,才可能得到密碼筒中所藏的字條,進而得知聖杯的所在。而一個加密的硬碟,正可以看做是一個密碼筒,只有知道正確密碼(亦即有正確授權)的人才能看到加過密的硬碟內的檔案。

硬碟加密的實現方法大致上說來,有二種,一、實體硬碟加密,二、虛擬硬碟加密。其中實體硬碟加密部份,又可細分為,系統硬碟加密,及一般硬碟加密。這裡所說的實體硬碟,乃指硬碟經分割後,系統所能辨識到的硬碟,意即硬碟分割區,而非一般意義上所指的單顆硬碟,因此,單顆硬碟上,最少有一個實體硬碟(硬碟分割),最多則可以有26個實體硬碟(硬碟分割)。

所謂的系統硬碟加密,就是對開機的硬碟磁區進行加密,並在開機時,所謂pre-boot階段,就對使用者進行身份認證,身份認證通常為密碼輸入,有的工具可能支援USB Token認證,唯有認證成功,才將硬碟解密,並續繼執行作業系統的啟動。

而一般硬碟加密就比較容易理解,就是對一個硬碟分割區做加密,由於該分割區經過加密處理,作業系統並不認識該硬碟,必須透過加密程式,將該硬碟掛載(mount)上作業系統,並於掛載時,進行授權認證(通常為密碼輸入),唯有認證通過,方才將該硬碟解密,並掛載於系統上。

至於虛擬硬碟加密,則是在既有的硬碟上,建立一個加密的檔案,之後,將該加密檔案,以掛載的方式,加到系統中,如同一個硬碟般,但凡有需要加密的檔案,都可存至此加密虛擬硬碟中。而不用時,則可將其從系統卸載。

其實,不論是哪一種硬碟加密的方法,其基本原理都是一樣的,建立加密容器(container)如下圖所示

所以,只要將欲保護的檔案,放到加密容器中,則所有的加密容器中的檔案自然就被加密了,加密容器就像「達文西密碼」中的密碼筒,而加密的檔案就像放進密碼筒中的羊皮紙。

硬碟加密的另一個好處是,當你把檔案刪除了,就算用檔案復原的工具也無法將在加密過的檔案還原回來。

硬碟加密工具簡介

上面既然提到了硬碟加密的幾種作法,接下來,我們就來看看實際的硬碟加密工具是怎麼做的吧!
硬碟加密的軟體雖然不少,但是,真正好用且具備上述所說的三種加密方法的就不多了,在這裡,我就簡單介紹一下二個比較有名,且有很多人在用的二個硬碟加密工具。

TrueCrypt

這個軟體最迷人的部份就是,它是一個Freeware,但是,它的功能齊全,與付費軟體相比,並不會遜色太多,當然,也就沒有所謂的after service了。
官方網址:http://www.truecrypt.org
1. 執行TrueCrypt
2. 選Create Volume

3. 選Create a file container後,按Next

4. 選Standard TrueCrypt volume後,按Next,接著會要我們選擇虛擬加密硬碟的位置,選Select File後,在欲建立虛擬加密硬碟的地方輸入檔名後,就可以進行下一步

5. 接下來要選擇加密演算法與雜湊函數演算法,用預設的AES與RIPEMD-160就很安全了,若不放心,雜湊函數演算法也可以選SHA-512,按下一步後,要決定虛擬加密硬碟的大小,請填入欲使用的MB。

6. 在此設定該虛擬加密硬碟加密所要用的密碼,密碼愈長愈好,若能含符號更好,重點是你要記得住,而不用寫下來。

7. 決定好檔案系統的格式後,按下Format就開始建立虛擬加密硬碟了,當看到 The TrueCrypt volume has been successfully created的訊息時,就代表虛擬加密硬碟已建立好了。

8. 選一個磁碟代號當做虛擬加密硬碟的磁碟代號,按Mount,再輸入之前建立的密碼後按OK就可以開始將敏感資料放到這個虛擬加密硬碟中。

PGP Desktop Email

PGP是個老牌的軟體了,它一開始的主要功能是在email上的身份認證與加密,隨著需求的增加,如今,PGP也具備了硬碟加密的功能,與一般的硬碟加密軟體不同的地方是,PGP多了一個用非對稱式的金鑰來做存取加密硬碟的身份認證,增加了加密本身的安全性。
PGP是商用軟體,其30天試用版可以在http://www.pgp.com下載,正試版可透過其在台灣的總代理玉山科技購買

1. 啟動PGP Desktop後,選擇PGP Disk下的New Virtual Disk

2. 設定好檔名、檔案位置、磁碟代號、磁碟大小、檔案系統、加密演算法,及誰可以存取這個虛擬加密硬碟後,按Create後,該虛擬加密硬碟就建立了,並會自動掛載至系統。

由於整顆硬碟加密存在一定的風險,我們僅在此簡介虛擬硬碟加密部份。

為何加密整顆硬碟會有風險呢?因為加密過的整顆硬碟若是出現壞軌,很可能整顆硬碟就無法解密回來了,因此,除非必要,一般的使用上,建議使用虛擬加密硬碟即可。

結論


上述的兩個硬碟加密軟體是筆者較常用的,不免有遺珠之憾,若有其他的好用硬碟加密軟體,還請各方賢達不吝指教。


雖說硬碟加密後,就可以保護敏感的個人資料,但是,正如之前說過的,世上沒有絕對安全的防護措施,加密,也只是確保在目前的科技下,要破解加密需要花費幾十到幾百年的時間,以延長時間達到保護的目的;然而,一般的辦法不是用暴力破解法,而是想辦法竊取加密金鑰(即加密用的密碼),因此,一旦採用硬碟加密來保護您的個人資料後,妥善保存金鑰亦是需要特別注意的事情。

 


PGP 產品線


最專業的資料加密產品代理商--玉山科技

請與我們連絡: (02)77128295

 

Google

玉山科技 版權所有 © Copyright AsiaPeak 2006, All Rights Reserved