TrueCrypt 允许用户在文件上创建加密卷,或者在驱动器或分区上托管加密的设备上创建加密卷。其中一个的优势或劣势是什么?
我很快就会为我们的移动员工购买一些运行 Windows 7 的笔记本电脑。由于我们业务的性质,我需要驱动器加密。Windows BitLocker 似乎是显而易见的选择,但看起来我需要购买 Windows 7 Enterprise 或 Ultimate 版本才能获得它。任何人都可以提供有关最佳行动方案的建议:
a) 使用 BitLocker,咬紧牙关,付费升级到 Enterprise/Ultimate
b) 购买另一个更便宜的 3rd 方驱动器加密产品(建议表示赞赏)
c) 使用免费的驱动加密产品,例如 TrueCrypt
理想情况下,我也对使用驱动器加密软件的人的“真实世界”体验和任何需要注意的陷阱感兴趣。
提前谢谢了...
更新
由于以下原因,决定使用 TrueCrypt:
a) 产品有良好的记录
b) 我没有管理大量笔记本电脑,因此与 Active Directory、管理控制台等集成并不是一个巨大的好处
c) 尽管 eks 确实对 Evil Maid (EM) 攻击提出了很好的观点,但我们的数据并不能将其视为主要因素
d) 成本(免费)是一大优势,但不是主要动力
我面临的下一个问题是成像 (Acronis/Ghost/..) 加密驱动器将无法工作,除非我执行逐个扇区的成像。这意味着一个 80Gb 的加密分区会创建一个 80Gb 的图像文件:(
我的工作需要对我的笔记本电脑硬盘(运行 Linux)进行加密,据我所知,TrueCrypt 和 LUKS 似乎是那里的两个主要竞争者。
在“正常”系统中,如果系统崩溃(断电等),使用fsck. 然而,在加密系统上,事情变得更加复杂。
在发生崩溃时,TrueCrypt 或 LUKS 中的哪一个提供最佳的稳定性/恢复?
Vista 和 Windows 7 将少量信息保存到后台的中央位置。
我知道的实例是桌面搜索索引、最近的文档和缩略图(保存到\Users\[User Account Name]\AppData\Local\Microsoft\Windows\Explorer)。
我怎样才能确保没有信息从安装的 TrueCrypt 驱动器或插入的 USB 驱动器中保存?
有没有办法配置 Widnows 7,以便只有用户明确运行的程序,而不是后台服务,才能访问驱动器上的数据。更好的是,是否可以这样做以阻止整个驱动器类别(例如所有可移动驱动器,然后始终将 TC 驱动器安装为可移动驱动器)?
请注意,我不想完全禁用桌面搜索和缩略图缓存——这太不方便了。
编辑:* Bruce Scheiner 的论文与加密卷中的信息泄漏有关。
我买了一个新的硬盘来安装新的操作系统。如果我丢失了文件,我可以将旧的 TrueCrypt 加密硬盘连接到 USB 并将其安装在 TrueCrypt 中吗?
或者这不适用于系统加密的硬盘?
我有一个包含 ext3 文件系统的 truecrypt 文件。不确定如何准确表达这一点,但是有没有一种方法可以在不实际安装文件系统的情况下安装 truecrypt 卷,以便我可以尝试使用 fsck 修复它?
所以我有(ext3 文件系统(TrueCrypt 文件(Ext 3 文件系统)))。我想对粗体的那个进行检查。
我当然已经制作了该文件的副本。我仍然可以挂载它,但是我已经删除了文件并且df仍然显示为已满,所以我想可能是一个坏的超级块?
是否可以为 Ubuntu 10.4 服务器设置全盘加密?是本机还是使用 Truecrypt?
此外,这是必须在安装操作系统时完成的事情,还是可以在之后完成?
我希望服务器上的数据尽可能安全,因此我打算使用 TruCrypt,到目前为止它对我来说效果很好(作为 Windows 用户)。
安装、运行和挂载不是问题。
我担心服务器突然关闭、电源峰值、重新启动,我不知道..
如果正在写入数据然后在写入所有数据之前关闭电源怎么办?
这更令人担忧,因为整个加密卷是一个文件,如果一个或几个字节损坏,那么一切都消失了,我想,不确定。
那么,有没有人知道得更好?有关此类问题的任何链接?
编辑 #1:
我在 TrueCrypt 的常见问题解答中找到了我问题的部分答案:
当 TrueCrypt 卷的一部分损坏时会发生什么?在加密数据中,一个损坏的位通常会损坏它出现的整个密文块。TrueCrypt 使用的密文块大小为 16 字节(即 128 位)。TrueCrypt 使用的操作模式确保如果一个块内发生数据损坏,其余块不受影响。
我的一部分用户需要一种方法来共享文件服务器上的加密文件夹。安全性是最重要的,其次是易用性。看起来 TrueCrypt 更容易设置。EFS 是否比 TC 有任何优势来证明额外设置的合理性?
Windows Server 2003 和 XP、Active Directory、100 用户 LAN。
编辑:我最初错过了 Truecrypt 的单用户 R/W 访问限制。一旦我通过设置,看起来 EFS 会更好。
目标是保护我的数据库数据免遭服务器盗窃,即服务器位于具有正常场所锁和防盗警报的商业办公地点,但由于数据是个人医疗保健数据,我想确保如果服务器被盗,数据将无法使用加密。
我正在探索在已安装的 Truecrypt 加密卷上安装 mySQL。一切正常,当我关闭电源或只是残忍地拔掉插头时,加密驱动器就会消失。
这似乎比将数据加密到数据库更容易加载,我知道如果 Web 应用程序中存在安全漏洞,或者用户可以物理访问插入的服务器,则数据会受到损害,但作为健全性检查,是有什么好的理由不这样做吗?
@James 我在考虑盗窃情况,它不会很好地断电,因此可能会使任何正在运行的数据库事务崩溃。但是如果有人偷了服务器,我无论如何都需要依赖我的异地备份。
@tomjedrz,与医疗转诊/记录相关的所有敏感的个人和地址详细信息。在我们的领域会像丢失信用卡数据一样糟糕,但这意味着数据库中的几乎所有内容都需要加密……所以最好在加密分区中运行整个数据库。如果加密表中的数据,我假设服务器上的某个地方必须有一个密钥,如果盒子走动,这似乎风险更大。
目前,该应用程序配置为将数据转储(每周完整,然后仅使用 rdiff 每小时增量)放入 Truecrypt 磁盘上的目录中。我有一个运行 WS_FTP Pro 的异地盒子,计划通过 FTP 连接并同步备份,再次进入 Truecrypt 安装分区。