在Linux中安全加密文件

■

Windows安全加密技術回顧

在Windows中，最著名加密技術非PGP（Pretty Good Privacy）莫屬，PGP是基于RSA公鑰加密體系的郵件加密軟件，可以對您的郵件進行加密，防止非法用戶的攔截和窺視，PGP還可以對郵件加上數字簽名，讓收信人可以確信郵件是您親自發送，讓偽造郵件者無機可乘。

當然，雙方都必須同時安裝PGP加密軟件，PGP采用公匙加密體系，使用高強度加密算法生成公匙和私匙兩個密匙。其中的公匙用來公開加密，而私匙是自己保存。這樣，即使是素未謀面的人也可以使用公鑰來加密郵件，向您發送安全郵件，而您使用私鑰解密即可。例如，使用開源的PGP加密軟件GnuPG，就可以保證郵件的安全性。運行GnuPG中的Kleopatra組件，在其主界面中點擊“Ctrl+N”鍵，選擇“Create a personal OpenPGP key pair”項，在下一步窗口中輸入名稱，郵件地址等信息，之后點擊“Create Key”按鈕，輸入私鑰密碼。在下一步窗口中的“Next Steps”欄中點擊第一個按鈕，將密鑰對保存為文件（后綴為“.gpg”），點擊第二個按鈕，將密鑰對通過Email發送出去，點擊第三個按鈕，將密鑰對發送到服務器上供別人下載使用。當發送郵件時，在附件文件右鍵菜單上點擊“Sign and encrypt”項，在下一步窗口中選擇公鑰項目，點擊“Add”按鈕完成添加操作，點擊“Encrypt”按鈕，對文件執行加密操作，然后通過郵件發送給您，而您可以在加密文件的右鍵菜單上點擊“More GpgEX options”-“Decrypt”項，點擊“Decrypt/Verify”按鈕，輸入私鑰信息，完成解密操作。

根據以上例子，大家可以對PGP加解密技術有了直觀的認識，其實，PGP除了可以對文件進行加密和校驗之外，還提供了其他相關的安全工具，保證我們的電子郵件、文件、磁盤以及網絡通訊的安全。例如，PGP Disk這一獨特的安全技術就值得關注，該工具允許您創建格式為“.pgd”的加密文件，使用PGP Disk提供的相關工具可以加載該文件，將其作為虛擬盤來使用，其采用的是私鑰和公鑰對來保存加密數據。例如，在Windows平臺下，您需要保存的機密數據的容量為1GB，就可以使用PGP Disk來創建體積為1GB的“.pgd”文件，之后將其掛載為獨立的磁盤，當然，在掛載時是需要私鑰處理的。您可以將機密數據保存到該虛擬盤中，并使用公鑰對其加密。之后卸載或者重啟系統時，該虛擬盤就會關閉，別人不知道私鑰是無法窺視其中內容的。在重新安裝系統前，必須將“我的文檔”中的“PGP”文件夾進行備份，里面保存著私鑰信息，當重裝系統后，就可以恢復私鑰信息，否則根本無法打開加密文件。

為加密文件巧設“保險箱”

了解了Windows下的優秀的加密工具之后，那么在Linux中有沒有類似于PGP的加密軟件，來保護數據安全呢？其實，在Linux中有很多類似的工具可以利用。除了官方推出的Linux版本的PGP加密工具外，還有OpenGPG、GunPG、Bestcrypt等加密利器。相比之下，使用BestCrypt這款體積小巧，功能強悍的免費加密軟件，可以讓您的機密文件徹底放進保險箱中。

在L i n u x中 打開終端界面，切換到“BestCrypt-1.8-2.tar.gz”安裝包所在路徑，執行“tar-xzvf BestCrypt-1.8-2.tar.gz”命令對其解包。進入解壓路徑后，執行“sudo make install”命令，將Bestcrypt安裝到Linux中，之后重新啟動Linux后，讓Bestcrypt主程序得以順利運行。當重啟后打開終端界面，Bestcrypt的主程序名稱為“bctool”，而且已經將其添加到了命令中了。因此直接輸入“Bctool”命令，就可以了解bctool的所有參數和選項了。雖然bctool的參數很多，不過這里我們只講解常用的參數。

首先執行“su -root”命令，切換到Root賬戶權限環境中。之后執行“bctool new a BLOWFISH-448s 1000Md securefileok secdata”命令，使用448位的Bloefish加密算法，創建大小為1000MB，名稱為secdata的加密文件，文件的備注為“securefileok”。執行該命令后，可以看到創建加密文件的進度信息。當進度只是達到100%后，bctool會提示您輸入密碼，在加載加密文件時必須輸入該密碼。輸入兩次相同的密碼后，Bctool會 提 示“Please do not forget to format the container”信息，提醒需要對加密文件進行格式化方可使用。執行“bctool format–treiserfs secdata”命令，在彈出的確認提示中點擊“y”鍵，執行格式化操作，在操作進度條中顯示格式化進度信息，之后Bctool會提示格式化加密文件成功。

僅僅擁有了加密文件是不夠的，必須使用其來存儲機密數據。執行“pwd”命令，當前的路徑為“/home”。執行“Mkdir jiami”命令，在該路徑下創建名為“jiami”的文件夾。執行“bctool mount reiserfs secdata /home/jiami”命令，將reiserfs格式的secdata文件加載到了“home/jiami”目錄中。當Bctool提示操作成功后，我們就可以將體積小于1000MB的加密文件存到了“home/jiami”路徑中。當Linux重啟或者手工卸載該加密文件后，“home/jiami”目錄中就沒有任何文件痕跡信息了。例如，我么可以將一些機密文件存放到“home/jiami”路徑中，之后執行命令“bctool unmount home/jiami”， 將 secdata 加密文件卸載掉，但是之前在“home/jiami”目錄中存儲的加密文件全部存儲到了secdata文件中了，因為其已經卸載，自然無法在“home/jiami”中查找了任何機密文件的內容。如果再次將secdata加密文件掛載到“home/jiami”目錄中，可以看到，之前存儲的加密文件又出現了，您可以自由的對其進行操作。有了Bestcrypt的保護，即使別人知道secdata文件中存儲有機密文件，也無法破譯其內容，這樣保存在其中的機密文件就高枕無憂了。實際上，您可以將secdata更改為更加普通的名字，將其隱蔽保存到更深層次的路徑中，讓別人根本無法發現其行蹤，來更好的保護數據的安全。