开源免费的TrueCrypt、7-zip和gpg4win使用经验谈（原创）FBI未能破解加密硬盘新闻来源:FBI在经过一年的尝试后，还是未能破译被巴西执法机构指控金融犯罪的巴西银行家的加密文件。

巴西一家葡萄牙语报纸报道（葡萄牙语），巴西联邦警察在 2008年7月展开的Satyagraha行动中，在银行家Daniel Dantas位于里约热内卢的公寓内收缴了5个硬盘。

文章提到硬盘使用了两种加密程序，一种是Truecrypt，另一种是不知名的256位AES加密软件。

在专家未能破解密码后，巴西政府在2009年初请求美国提供帮助，然而美国联邦警察在一年不成功的尝试后，退还了硬盘。

巴西现有的法律中不存在强制要求Dantas交出密码的规定。

TrueCrypt是一种非常重要的开源免费的加密软件，支持windows、mac、linux，在华军软件园的加密软件类排行中（不包括其他暴力解密型软件）排名第一，非常好用，甚至可以全盘加密，如果没有密码即使把硬盘拆下来挂到别的电脑上也打不开。

我个人就在用，不过有一些使用经验必须要注意。

不推荐pgp，文件大，还收费。

bitlocker只在Vista和windows7的专业版和旗舰版才能够实现，而且bitlocker不能和XP完全兼容。

1.加密时不推荐使用密钥文件，因为文件很容易损坏或被误删。

2.菜鸟推荐使用“创建文件型加密卷”，非常好用，缺点是一旦打开后无法保证文件不被病毒侵害（除非选择只读方式打开），而且文件大小不容易确定，大了浪费，小了不够用。

3.“加密非系统分区/设备”可以加密单独的分区，缺点是很容易被别人认为是未格式化的分区而格式化掉。

4.“加密系统分区或者整个系统所在硬盘”安全性比较高，甚至有些变态，非常适合公司电脑使用，即使被商业间谍盗窃也没办法打开（但防不住网络木马的偷窃）。

如果只加密系统分区，那么要注意的是需要准备刻录机，如果没有的话软件就不允许你继续安装，这对于没有刻录机的人来说非常不方便，解决的办法就是通过虚拟光驱加载iso欺骗软件。

iso一定要通过email的附件形式备份，丢失就麻烦了，如果系统可以正常进入那么可以重新倒出备份，而系统损坏又没有备份就等着哭吧。

每次安装生成的iso都不同，不可通用，这种方式适合安装XP的台式机使用。

如果是“加密整个硬盘驱动器”至少需要vista或windows7，这种方式适合安装vista或windows7的电脑使用。

5.所有的硬盘分区必须进行一次未用空间的文件粉碎，U盘或移动硬盘也是一样，否则也容易被人破译，因为windows下普通的文件删除后也是可以通过专门的软件恢复的。

6.如果你的电脑里有极其重要的文件，那么密码应该要设置成最大64位（字母大小写+数字+特殊字符），因为现在40位以下的密码已经很容易破解了。

最后想说的就是千万别忘了密码，忘了的话软件作者也打不开。

如果是单位重要的台式机（比如会计）可用整盘加密，不推荐用U盘钥匙加密，因为一旦U盘丢失或损坏就完蛋了。

如果是经常外出使用的笔记本，应该使用整盘加密+文件型加密卷，用不同的密码，防止别人趁你不在使用。

7.U盘及移动硬盘不建议使用分区加密，只推荐使用第一种创建文件型加密卷，因为如果使用的是分区加密，很容易误格式化，即使自己不误格式化，也容易被其他小白给误格式化。

切慎！8.现在俄罗斯299美元工具Elcomsoft Forensic Disk Decrptor可实时解密BitLocker、PGP 以及TrueCrypt加密磁盘（本人暂时没有时间测试），Elcomsoft Forensic Disk Decrptor会检查windows的休眠文件，所以请关闭休眠功能以保证安全，另外如果你的电脑有极度机密的文件并全盘加密时，那么在暂时离开电脑时应重启系统再离开，以免别人乘此机会不需要密码就能偷看电脑。

在某些特殊的紧急条件下，可拔下内存条并予以机械性破坏（比如用榔头砸碎内存颗粒并焚烧），以达到防止别人通过内存拷贝的方式得到数据。

呵呵，情况真得不妙了，TrueCrypt的官网已经被关闭了，我个人认为很可能是斯诺登事件后因美国ZF的威胁而关闭的。

关闭这个事本身不让我震惊，真正让我震惊的是官网居然推荐转移到BitLocker，BitLocker是个什么玩意，大家都知道，微软的东西，因为是闭源的，所以很可能有后门，所以我不建议大家使用BitLocker。

开源的东西就是好，虽然TrueCrypt的官网关闭了，但源代码还在，别人还可以接着编译，瑞士已经有人开始另开门户了http://truecrypt.ch，我们现在可以暂时等待，看这个网站最后是否会真的担起如此一个重任。

我以前有过TrueCrypt7.1a版本的备份，也有汉化包，因TrueCrypt的官网已无法下载，所以现在上传供大家下载。

下载地址：/s/1qWJgZ72现在又出了一个基于TrueCrypt源代码而出的VeraCrypt，做了各种重大改进，所以和TrueCrypt格式不兼容（可能要先卸载TrueCrypt）。

有兴趣的可以下载安装试试。

https://FreeBSD开发者称不能信任英特尔VIA的随机数生成器FreeBSD开发者将不再允许用户信任芯片制造商英特尔和威盛电子（VIA）作为唯一的随机数生成器来源。

这一改变将在即将发布的FreeBSD 10中生效。

随机数生成器被加密系统用于生成密钥，如果随机数生成器存在弱点，密钥也可能会容易被破解。

根据前NSA合同工Edward Snowden泄漏的机密文件，NSA能解密大量加密流量。

它是如何办到的？一些人将怀疑目标指向了NSA参与制定的加密标准，以及依赖该标准的RdRand——存在于Intel 64和IA-32指令集架构的随机数生成指令。

FreeBSD开发者称，英特尔和威盛电子各自提供的RDRAND和Padlock随机数生成器将不能作为唯一生成随机另外我推荐一个软件eraser，它是一个专门的开源免费的文件删除软件，既可以删除存在的文件，也可以粉碎仅仅在回收站里删除的文件，所以任何软件都无法恢复他们，非常安全，/projects/eraser/files/，需要注意的事安装后右键点击可能没有确定按钮，所以一定要注意误删，所以一般不建议安装，只建议在硬盘报废或移动硬盘外借时使用。

也可使用dban,下载地址:/projects/dban/7-zip的使用注意是：1.压缩等级尽量选择极限压缩，时间并没有消耗更多，却可以更小。

2.压缩方法如果自己用则选用LZMA2，毕竟可以支持多线程。

如果要发布到网上，则建议选LZMA，因为低版本的winrar并不支持LZMA2的解压缩。

3.如果要选择加密，则应该选择加密文件名，否则文件一旦被盗，即使别人得不到密码，也可以通过文件名得到大量的信息。

4.重要的东西密码位数一定要高，即使几千位也没什么。

5.分卷压缩后，生成的文件的文件名则不可更改，否则将不能正常解压，这一定要注意！gpg4win是一种重要的加密软件，开源的，使用的是RSA模式，即是公钥和私钥模式，有着比7-zip更多的优点。

比如甲要在网上传个重要文件给乙，但怕被人在传输过程中被人劫夺从而泄密。

怎么办？用7-zip？如果不加密码，则黑客很容易劫夺并解密，如果加密，甲又如何告知乙密码，如果也在网上告知，则黑客还是可以劫夺密码，如果甲通过电话或信件告知乙密码，则国家级别的间谍还是可以知道密码（比如NSA），那总不能甲亲自跑到乙那里去吧。

那就要用到公钥和私钥模式，也就是说让乙先用电脑生成一个公钥，然后发送给甲，甲用公钥加密重要文件，然后把加密过的文件正常传送给乙，乙通过私钥解密该加密文件。

黑客即使得到公钥和甲加密过的文件，也无法解密，因为黑客没有私钥。

打个比方，乙打造了个无人能破坏的盒子，盒子上有个锁（这个锁相当于公钥），锁没有合上，而钥匙自己保留，然后乙把这个盒子给甲，甲把重要的文件放到这个盒子里，然后关闭上锁，这个时候即使是甲也无法打开这个盒子，因为甲没有钥匙（即私钥），甲把这个盒子交给了乙，乙通过自己的钥匙（私钥）打开盒子得到文件。

这个传输的过程中即使被人劫夺，因为劫夺者没有钥匙（私钥），所以无法打开盒子，所以文件是安全的。

如果此时乙也想传输一些文件给甲，那么同理，甲先用电脑生成个公钥给乙，乙用次公钥加密文件然后传输给甲，甲再用私钥解密文件。

大家所熟知的PGP就算了，并不是开源软件，谁也不敢保证没有后门。

gnupg 是linux下的版本，windows没法用，所以用修改过的gpg4win，软件界面英文确实难懂一些，但我配合截图应该能很好使用。

另外需要注意的是这种方法有个最大的缺点，就是中间人攻击，但一般人不会遇到，有兴趣的可以查阅相关资料。

在桌面选择进入Kleopatra程序，在菜单File--New Certificates，选择openpgp模式输入姓名、邮箱和注释，选择右下角的Advanced Settings，在RSA中选择最高的4096位密钥。

点击生成密钥。

导出公钥的私钥非常重要，防止重装系统后密钥丢失上图是公钥的内容私钥有两种生成方式，如上如果勾选ASCII armor 则如下图显示，优点是可以在不能明着发送公钥文件时可以以类似手机短信的形式发送明文文本公钥，缺点是文件也大一些。

如不勾选ASCII armor则如下图所示，有些乱码，文件也小一些，但不影响使用。

上图是显示重装系统后如何加密和解密文件如上图所示，如果勾选Text output (ASCII armor)，则加密后的文件大一些，但优点是可以在不能明着发送加密文件时可以以类似手机短信的形式发送明文加密文件，如果不需要，则不勾选，生成的文件也小一些，文件以记事本打开时就是乱码显示。

如上图显示，加密成功上图显示的是准备解密了，如果在点击解密按钮后要输入要解密的强力密钥则直接输入即可。

gpg4win一般用于网络上不能碰面但又想交换重要的私密文件所用，7-zip的加密功能一般用于个人重要文件备份在网上时加密，TrueCrypt一般用于个人电脑或移动硬盘的加密，eraser用于硬盘报废或移动硬盘外借前的文件粉碎。

如果在美国使用重要文件或带重要文件的硬盘去美国应避免使用TrueCrypt，而应用7-zip。

文章看完了，为了看看大家学习得如何，给大家出一道选择思考题：斯诺登同学带着自己包含重要文件的笔记本电脑逃到了俄罗斯，但也感到非常的不安全，他有gpg4win、TrueCrypt和7-zip三种软件。

1.他想加密自己的笔记本，让别人没有密码即使偷到了自己的笔记本电脑也得不到里面的重要文件，则斯诺登会使用________软件。

2.斯诺登尝试第一次和维基解密工作人员交流并传输一些重要文件则使用________软件。