Q：硬盘整体加密技术工具介绍

A：很少有IT工程师需要接受专业的数据安全培训课程，但是我们却太频繁地听说了有关电脑或硬盘中的数据在没有施行加密措施的情况下丢得精光。 很少有IT工程师需要接受专业的数据安全培训课程，但是我们却太频繁地听说了有关电脑或硬盘中的数据在没有施行加密措施的情况下丢得精光。

幸运的是，如今，快速的数据加密技术已经不再像以前那样罕见且花费昂贵，人们不仅仅可以将单个的文件进行加密，而且还有一些技术工具能够创建虚拟硬盘，并且是在单个文件、甚至就在同一个分区内建立的，在这个虚拟硬盘上任何写入其上的信息都是被自动加密的。在现代的硬件条件下，加密所需的空间是很小的，你根本不需要专门贡献一定的硬盘空间来实现加密。

本站将分上下篇介绍几种应用程序实现创建、管理那些加密的文卷。其中，上篇介绍TruCrypt、Windows Vista自带的BitLocker加密工具、Dekart Private Disk 1.2以及7-Zip; 下篇则将介绍DriveCrypt、FreeOTFE以及PGP为电子邮件、即时信息提供的全覆盖桌面套件。你甚至能够免费获得非常强壮且易实施的全硬盘加密工具，即使是需要付费的企业级套件，凭其可管理性和支持力度的卓越性能也是非常值得您为它买单的。

一、TrueCrypt 5.1a

费用：免费/开源

从禁得住考验的角度讲，TrueCrypt可谓制造了一个惊人坚固的箱子作为第一个全硬盘或虚拟文卷加密技术的解决方案。抛开免费和开源这两大附加值，TrueCrypt不仅拥有漂亮书写的可用性和数据保护的特性，而且还是对整个系统(包括操作系统分区在内)加密的一种有效途径。

TrueCrypt允许用户自主选择AES、Serpent、Twofish等算法，既可以单独用也可以以不同的组合方式用，还有其他算法如Whirlpool、SHA-512和RIPEMD-160哈希算法。目前的加密技术有三种基本实现方法：1.该算法可以把一个文件做成一个虚拟加密文卷; 2.该算法能将整个硬盘分区或物理盘转化为一个加密的文卷; 3.该算法能够加密一个运行中的Windows操作系统文卷，虽然有一些限制条件。

加密的文卷可用密码和关键文件特别保护的方式得到数据保护。举个例子来说，一个位于可移除USB盘中的文件，要求创建一种双因素认证的格式，如果你正好创建了一个独立的虚拟文卷，你就可以使用任何大小或命名方式创建文件需要的安全格式。那么，在这种情况下，具备能够随意操作文件命令的文件就可以由TrueCrypt通过自动创建并格式化的方式获得。其中，TrueCrypt发挥的最大作用就是使原文件变成看起来就像只剩下随机数据的样子。

TrueCrypt设计的初衷就是，没有任何加密的文卷或硬盘能被随意鉴定为是用这种工具加密的，没有明显的文卷头，需要文件扩展或其他可识别的标记。唯一的例外就是加密启动文卷的时候，该过程会加载TrueCrypt启动加载代码，但是在未来版本的TrueCrypt中隐藏全部的文卷并使用外部启动加载器(如从USB或CD处)将可能不再存在这一例外。在这种前提下，创建一个自身加密的USB并以旅行者模式运行也是有可能的，这一过程用到的将是可执行TrueCrypt的一个拷贝，并且还将能被安置和运行在用户具备管理员权限的任何Windows设备中。

TrueCrypt还具备被外界公认的似是而非的否认特性，这是最显著的一项功能，该功能能将很多文卷之间互相隐藏。被隐藏的文卷有属于自己的密码，但是没有任何办法能判定一个给定的TrueCrypt文卷是否在其内部哪个位置隐藏着另外一个文卷。如果你把外部文卷上写入了太多数据，那么很有可能你会破坏隐藏其中的文卷。但是，作为一个种保护策略，TrueCrypt为用户提供了相应的选择权，即当你要在一个文卷中隐藏令一个文卷时，只能以只读的方式隐藏。

如果你正在使用系统硬盘的加密工具，当前的加密进程会暂时停住，但是可以依命令中止并且恢复，同时程序会提示你创建一张系统恢复盘以便系统遇到灾难时能够重新启动。需要注意的是，你不能在一个没有Windows启动加载器的情况下对双引导的Windows系统进行加密。

电脑知识学习论坛为电脑初学者的疑难杂症提供最佳解决方案。电脑基础知识学习QQ群：81158926 欢迎电脑爱好者加入。

二、Windows Vista BitLocker

费用：包含在Vista终极版和Vista企业版内

Vista自带的BitLocker仅在其企业版和终极版中才有效，并且被明确定义为展示系统文卷的加密保护功能。BitLocker并不是简单地设计为加密可移除的文卷，也不是像本文介绍的其他产品的描述那样让用户创建虚拟的加密文卷，而是为了智能的集中管理而被开发出来的，是通过活动目录和组策略实现的。

不像TrueCrypt系统硬盘的加密技术，设置BitLocker需要用户目标系统中至少有两个文卷，一个用来控制启动加载器，另一个则用来控制加密的系统文件。一个已经存在的系统能够通过BitLocker磁盘准备工具实现重新分区(目前是作为支持BitLocker的一个系统额外的工具提供的)，但是如果你正工作在一个没有划分好的系统上，你也可以手动设置分区。

当你用BitLocker加密一个文卷时，你就享有了三种基本选择，这些选择可以告诉你如何识别访问加密文卷的帐户类型。如果电脑有一个TPM(可信计算模块)，那么你也可以结合机器提供的PIN代码一并判断。第二个选择是创建一个可移除USB磁盘，其中包含认证数据，并将这些数据与PIN代码一起运用，但是这种办法仅仅在电脑出现故障需要从一个USB连接的设备启动时才有效。如果你用的是这个选择，BitLocker将会在对硬盘加密前做一次启动测试以确保你的系统能够从USB设备启动。第三个选择只需要用户机器上的PIN代码，但是这个代码通常都会很长(达25个字符以上)，并且只能由操作系统指派。

正如运用其他任何全硬盘的加密工具系统一样，最慢的部分实际上是对磁盘的加密过程。比如我使用的75GB硬盘的笔记本，就需要花费大约三个半小时才能完成加密。幸运的是，BitLocker可以在其他工作继续进行的情况下完成加密过程，同时如果需要的话，你甚至可以关闭系统并在以后恢复该加密过程(我的建议是：让电脑整晚自己单独待在一个房间完成加密。)。对于一个给定的文卷，如果管理员需要访问或解密的话，那么文卷加密后的密钥也可以保存到一个活动目录的仓库中。如果你还不属于活动目录的域，那么你也可以手动将密钥备份到一个文件中，这样当然将会被保护得更加缜密。

最后，虽然说BitLocker最初只是被用来保护操作系统文卷的，但你也可以通过Vista命令行界面手动实现非系统文卷的加密。

三、Dekart Private Disk 1.2

费用：45美元/终端

虽然与其他加密程序在功能上有些相似，但是Dekart Private Disk至少有一个突出的特性就是能让一些应用程序真正被保护起来。

对于刚接触Dekart Private Disk的用户来说，Dekart Private Disk的个性设置并不比本文讲述的其他免费或开源的产品好多少：用户可以创建虚拟加密文卷、为一个加密硬盘备份文卷头、根据用户行为控制安装或不安装到硬盘……真正仅有的显著特色并且在其他情况下不可用的却是——Disk Firewall，该功能是让用户承认或否认对特定程序加密文卷的访问权。

Dekart Private Disk没有被归入真正安全管理类别的最大标识就是Recovery Option，这个选项是通过实施一个有关密码的蛮干攻击从而获得私有硬盘的密码，没有任何专业的加密产品具备这样类似的功能选项。这种策略有点像，先为你的前门买了一条安全绳待日后破门而入，譬如在你丢失门钥匙的情况下。

简而言之，很难对这种功能的付费加密程序给予认可，何况它的很多特性在很多其他地方都是免费可以实现的，然而也许它在启动的时候实施的性能更好一些。

四、7-Zip

费用：免费/开源

你也许并不认为开源归档应用——7-Zip是一个和本文其他工具相匹配的加密程序，但是如果你只是寻找一个快速实现的方法创建一个加密、密码保护的文档时，它实际上真的是一个较好的选择。7-Zip也能够创建自动压缩的文档，因此偏爱加密过程的人们不太需要它，但这仅仅是建立在你能够接受任意密码的基础上。但无论如何，没有哪个程序会天然支持任何种类的双基因认证技术。因此，对于更多附加价值的安全性而言，请在创建压缩文档的时候，确保选择了对文件名称加密的选项。