Truecrypt

推薦的驅動器加密解決方案

  • November 1, 2021

我很快將為我們的移動員工購買一些執行 Windows 7 的筆記型電腦。由於我們業務的性質,我需要驅動器加密。Windows BitLocker 似乎是顯而易見的選擇,但看起來我需要購買 Windows 7 企業版或旗艦版才能獲得它。任何人都可以就最佳行動方案提出建議:

a) 使用 BitLocker,咬緊牙關,付費升級到 Enterprise/Ultimate

b) 購買另一個更便宜的第 3 方驅動器加密產品(建議讚賞)

c) 使用免費的驅動器加密產品,例如 TrueCrypt

理想情況下,我還對使用驅動器加密軟體的人的“真實世界”體驗以及需要注意的任何陷阱感興趣。

提前謝謝了…

更新

決定使用 TrueCrypt 的原因如下:

a) 產品有良好的往績記錄

b) 我沒有管理大量筆記型電腦,因此與 Active Directory、管理控制台等集成並不是一個巨大的好處

c) 儘管 eks 確實對 Evil Maid (EM) 攻擊提出了很好的觀點,但我們的數據並不理想,不能其視為主要因素

d) 成本(免費)是一大優勢,但不是主要動力

我面臨的下一個問題是映像(Acronis/Ghost/..)加密驅動器將無法工作,除非我執行逐個扇區的映像。這意味著一個 80Gb 的加密分區會創建一個 80Gb 的映像文件 :(

真加密:http ://www.truecrypt.org/

將完全加密移動、內部驅動器,您甚至可以即時加密整個系統分區,然後設置引導載入程序密碼 - 為您在筆記型電腦上提供更多安全性。

及其開源 - 免費。

http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/

Bitlocker 也不錯,但由於預算問題,我建議使用 truecrypt。

有了現在可用於 TrueCrypt 的 Evil Maid (EM) 攻擊工具,如果我有預算,我會選擇 BitLocker,因為類似 EM 的攻擊要復雜得多,而且正如 Oskar Duveborn 所說,它可以更好地與 AD 等集成。

我建議您閱讀 Joanna Rutkowska 關於這兩種產品的文章:

http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html

但是,如果您確定您的同事會一直照顧好他們的筆記型電腦 - 帶有安全盒和所有東西,您可以選擇 TrueCrypt。

旁注

  • 請記住,全盤加密不會從內部保護您的數據

$$ the OS $$,例如,如果您的電腦在執行時被病毒損壞。

  • 請記住,技術解決方案只是安全鏈的一部分(有關詳細資訊,請參見http://xkcd.com/538/)。

編輯 (01-20-2010)

有關 BitLocker 和 EM 攻擊的其他詳細資訊:

  • 請注意,僅當在啟用 TPM 的電腦上使用時,BitLocker 才會比 TrueCrypt 更具彈性。
  • 有多種方法可以擊敗 BitLocker+TPM(文章論文),但沒有可用的公共工具 AFAIK。因此,雖然 BitLocker 對機會性 EM 攻擊更具彈性(為 BitLocker 重新開發欺騙性使用者互動螢幕需要更多的時間,而不僅僅是在 USB 密鑰上複製用於 trucrypt 的 EM 工具),但它並不是 100% 防彈的(沒有解決方案是)。

引用自:https://serverfault.com/questions/104127