随着TrueCrypt的出现似乎已被放弃,我对全盘加密的选择有哪些选择?两种操作系统的解决方案。我的轻松搜索发现了这个看起来很有前途的选项: ?

评论

自从SU脱离主题以来,我已将其迁移到SR.SE,我在这两个地方都是Mod,这有可能成为一个大问题。更多细节会很好-体面对您意味着什么?开源在这里很有意义-您是否需要FDE?似乎可以接受的加密卷?容器?

@slm关于您的要求,您可以更精确一点吗?必须支持哪些功能,哪些是可选功能?请在这里查看,然后编辑您的问题以合并一些改进。

@Caleb在此方面,我完全同意您的意见,但如果相反,则会感觉更好(此处还将介绍Windows特定的解决方案)。两者中的任何一个都没有详细说明具体要求;所以您可能是正确的VTCing这个。如果OP对其进行编辑并使它“更加独特”,则可以随时将其重新打开。

大。现在,我的Windows问题与仅包含Linux答案的问题合并在一起。我认为这太过节制了,您应该放任一切。

关于将softwarerecs.stackexchange.com/questions/4529/…合并到此问题的元讨论。

#1 楼

EncFS是现有文件系统之上的加密层。我目前在Linux和OS X上将其与Dropbox同步的文件夹一起使用,在该文件夹下效果最佳。 Windows也有实验性的支持,但是我还没有尝试过。另请参见如何在Linux和Windows上加密云存储。

Linux本身支持LUKS,并且使用FreeOFTE也具有Windows支持,对于TrueCrypt用户而言,这应该是一个相当简单的过渡。似乎不支持OS X.它的块级加密与TrueCrypt非常相似。

BitLocker是NTFS内置的加密系统,仅Windows支持。它还具有与众不同的安全模型,该模型已深度集成到操作系统中,并且涉及使用Windows密码在登录后立即“解锁”您的数据。在正常情况下,不能直接访问加密的块。这是仅在NTFS下的文件级加密。版本1是文件级加密,而版本2是分区级加密。对于Linux,可以使用libvfde对版本Filevault2分区提供只读支持。闻所未闻的商业产品,以及一些其他免费项目。我对他们没有太多的经验,也不能说出他们的可信度,但是他们可能就是您所追求的。

评论


我们几乎可以肯定地认为,至少有Bitlocker和FileVault具有后门功能,这要归功于NSA的恶作剧。

–詹姆斯·瑞安(JamesRyan)
2014年6月2日,11:21

@tylerl,所以您说的是对于高级Windows用户,最好的选择是BitLocker? (假设他不介意美国政府偷窥。)

–起搏器
2015年3月31日23:47

“这是仅在NTFS下的文件级加密。” -BitLocker不是文件级的,而是卷级的。它需要一个额外的未加密分区,系统可以从该分区启动,并使用TPM硬件进行加密和篡改检测。我也看不到它的安全模型有什么“异常”,您可以决定要求使用TPM +预启动PIN + USB密钥来解锁该卷,但是如果您的系统未配备,则还可以选择不安全的根使用TPM芯片。在所有这些选项中,我想说BitLocker是最安全的选择。

– Groo
17-2-24在11:19



#2 楼

VeraCrypt是TrueCrypt的积极开发和维护的分支。

优点:


支持的操作系统:Linux,Windows,OSX。
开源(Apache License 2.0)。
本质上与TrueCrypt完全相同的接口。
支持TrueCrypt卷。
解决了一些TrueCrypt问题(“短”密码暴力破解)。

评论


公平的说,我问这个问号是什么时候宣布的,所以我本周只听每周牙线播客时才听说过veracrypt。

–slm
15年6月13日在21:38

好吧,我当然不会因为您不知道veracrypt在那里而向您道歉。令我惊讶的是,当您问这个问题时,veracrypt已有一岁了,从那时起,没有人在如此重要(据说是“规范”)问题的列表中添加如此好的选择。

–乔
15年6月13日在22:27

令人惊讶的是8-)

–slm
15年6月13日在22:34

截至2016年初,Veracrypt仍在维护和改进,这使其成为一个不错的选择。

–反弱密码
16 Mar 5 '16 at 17:45



PSA:链接已过期,尚未失效(但),但项目的主页已移动。最新版本1.19于2016年10月发布,changelog显示正常活动,论坛上正在讨论即将发布的1.20版本(我不知道该软件在今天之前,引起了好奇)。

– Hugues M.
17年6月17日在20:43

#3 楼

您可以继续使用TrueCrypt。根据grc.com上的此博客文章:


是的,弗吉尼亚州,TrueCrypt仍然可以安全使用。

摘录该文章的关键部分:


然后听取了TrueCrypt开发人员的声音。 。

史蒂文·巴恩哈特(@stevebarnhart)写信给他以前使用的电子邮件地址,并收到了“大卫”的几封答复。以下摘录摘自史蒂文·巴恩哈特(@stevebarnhart)和马修·格林(@matthew_d_green)之间的Twitter对话: “我们对审核感到满意,它没有引起任何注意。我们为此进行了10年的努力,没有永远长存的东西。”

Steven Barnhart(破译):开发人员“个人”认为分叉是有害的:“尽管如此,该来源仍可作为参考。”

史蒂芬·巴恩哈特(Steven Barnhart):“我问过,从答复中可以明显看出,“他”认为分叉是有害的,因为只有他们才对代码很熟悉。 “还说过,除了一次询问一份'支持合同'外,没有政府联系。” “”

引用TrueCrypt开发人员David:“不再感兴趣。”





也有指向TrueCrypt最新版本的链接,其中包括所有源代码和安装包。



单个24.5MB ZIP存档包含所有最新的TrueCrypt v7.1a资料
TrueCrypt 7.1a Source.tar.gz
TrueCrypt 7.1a Source.zip

其他TrueCrypt资源



TrueCrypt.ch:瑞士推出的TrueCrypt可能有新房子。考虑到注册的TrueCrypt商标的故意持续许可负担,似乎很可能会将当前的TrueCrypt代码分叉并随后重命名。换一种说法 。 。 。 TrueCrypt变成的东西将不会被称为“ TrueCrypt”。可以追溯到以前被命名为“ ScramDisk”的时间(这是我们首次使用和使用它的时间)。不是最新的。但是,如果有人希望使用自己的Web浏览器在源中四处浏览,则很容易理解。随着审核进入下一阶段,从启动和引导加载程序深入到核心加密,更新将在此处发布和维护。


评论


遗憾的是,没有在Truecrypt中发现特权漏洞的升级。请参阅threatpost.com/…-因此,不应使用Truecrypt。但是,Veracrypt仍在积极维护。

–反弱密码
16 Mar 5 '16 at 17:48

您能否更新此帖子以反映过去两年的发展?特别考虑@ Anti-weakpasswords的评论吗?

– einpoklum
16年8月21日在9:10

@einpoklum-我欢迎任何人这样做,我目前不使用此产品,并且没有兴趣。

–slm
16年8月21日在17:16

#4 楼

我之前说过,然后再说一遍:除非您有非常特殊的要求,否则最佳的解决方案是使用操作系统的本机加密机制。它具有卓越的集成性,因此,不仅对于单OS用户和管理员,甚至对于双OS用户,它的使用和管理都更加容易。

这意味着:在Windows下,使用Bitlocker。在Linux下,通过LUKS使用Dm-crypt进行全盘加密,而通过Ecryptfs进行主目录加密。在Windows和Linux下均可使用。由于Linux无法访问加密的NTFS文件,而Windows当然不能访问Ecryptfs(任何一个操作系统也不支持另一个人的本机加密),因此替代方法受到限制。根据攻击者的个人资料,您可以选择继续使用Truecrypt,直到这些漏洞公开为止-您需要评估有人盗窃您的磁盘并在发现破坏性漏洞之后稍后对其解密的风险。另一个选择是使用Dm-crypt并通过Linux虚拟机访问文件(您可以将其作为设备捆绑在磁盘上未加密的分区上)。简单的解决方案当然是使用PGP加密单个文件,但这在某些情况下可能很乏味。

如果您担心操作系统的本机加密机制中的后门,那么您同样需要关注操作系统中其他地方的后门。加密子系统甚至不是最简单的隐藏后门的地方-例如,在网络堆栈中隐藏某些内容更容易,并且该子系统更容易在外部报告信息。操作系统中的后门程序可以识别并提取第三方加密机制的密钥,或者它可以减少中间人并直接泄漏数据。如果您不信任操作系统供应商,则根本无法信任操作系统。使用第三方机制只会增加您需要信任的来源。 >

评论


单文件加密也无济于事,可以防止攻击者能够访问磁盘上未明确覆盖的未使用部分(已删除文件等)。 PGP和朋友对静止和传输中的数据很有用,但对于FDE可以防止的许多情况并不能真正发挥作用。也就是说,即使是“现在不要惊慌”,我也会给您+1。

–用户
2014年5月29日在22:34



也许我很偏执,但是我已经不能再信任Microsoft或Apple了(我同时使用两者)。一般加密都可以,但真正敏感的东西可以吗? TrueCrypt可能并不完美,但至少里面没有PRISM。

– 2个混乱
2014年5月30日7:09

@Gilles好吧,您所说的是Windows会上传文件(比加密imho中的后门要明显得多),但我的意思是您认为您有一个安全的分区,并且有人附带了主密码,因为州政府强迫他们这样做。我也不十分信任TC(说实话,我认为它会更加开放和经过审核)。

– 2个混乱
2014年5月30日7:43

FreeOTFE允许Windows读写LUKS加密分区,但是该项目似乎已死。

–克里斯蒂安·丘皮图
2014年5月30日上午10:24

另外,从实际的角度来看,您提到的是,将后门放置在其他位置比加密算法更容易。是的,这样做比较容易,但是很难隐藏。从本质上来说,加密算法漏洞比未经授权的网络通信或写入存储介质要难得多。

– JBentley
2014年6月1日22:02

#5 楼

根据一些其他研究,这些替代方案也很有用。大部分内容摘自这篇题为《替换TrueCrypt》的文章。 ,根据2条款BSD许可获得许可。它位于Debian sid(tcplay)中,一旦完全可用的GUI即可完全替代TrueCrypt...。

tc-play允许创建TrueCrypt卷。 />版本2增加了将TrueCrypt卷标头保存和恢复到外部标头文件的功能。此功能可用于更改TrueCrypt卷标密码。


Cryptsetup


Cryptsetup 1.6支持读取TrueCrypt磁盘格式,因此,如果/当修改了udisk和朋友(如果需要)时,我们完全可以避免交付任何其他软件。它是Debian Jessie的一部分。

在命令行上解锁后,TC卷显示在Nautilus中,但此处没有udisk / GNOME Disks / Nautilus集成,因此用户无法通过图形方式激活TC卷。

上游(udisk)功能请求:https://bugs.freedesktop.org/show_bug.cgi?id=70164

cryptsetup 1.6.4不支持创建TrueCrypt卷。


Zulucrypt


zuluCrypt是cryptsetup和tcplay的前端,它可以通过GUI轻松管理Truecrypt卷,但它尚未打包在Debian中(RFP#703911)。


它使用cryptsetup来解锁TrueCrypt卷和LUKS卷。
它使用cryptsetup来备份和还原LUKS卷头。 。
它使用cryptsetup在LUKS卷中添加和删除密钥。
它使用tcplay创建TrueCrypt卷。
它使用tcplay备份和还原TrueCrypt卷头

zuluCrypt现在具有隐藏的卷类似的功能,使用cryptsetup。

zuluCrypt可以使用分离的头打开LUKS卷。


还有其他选择吗?

如果您浏览标题为:磁盘加密软件比较的Wikipedia主题,则会根据您的特定需求提供大量其他选项。

#6 楼

您可能想查看Truecrypt.ch。他们是一个瑞士小组,致力于接管Truecrypt的代码库,并最终创建一个具有新名称的新fork。由于最新信息表明Truecrypt仍然可以安全使用,因此最好使用TrueCrypt,直到有更好的选择为止。

我有两个主要的建议。首先,您指定需要跨平台兼容性。这是使Truecrypt非常受欢迎的功能之一,如果仍然可以安全使用最新版本,则确实没有太多理由进行更改。其次,我假设您已经在使用Truecrypt,并且坚持使用,直到社区提出一个好的或更好的解决方案,通常比现在出于错误的紧迫感而选择次佳的选择更可取。 >

评论


持续的发展现在称为CipherShed。

– DJCrashdummy
16年7月28日在12:17

#7 楼

我在寻找完全不相关的东西时发现了diskcryptor。它具有一些漂亮的功能-关键是能够加密启动驱动器,使用标准的,经过验证的开源加密算法,能够使用Intel的能力以及via的硬件加速加密选项。它仅Windows,并且仅支持Windows分区。

它进行启动和系统驱动器加密(并加密ISO)。但是您可以用一个已加密的VHD容器来解决该问题。

评论


您应该添加,它仅适用于“ Windows文件系统”,并且至少在开箱即用的情况下仅适用于Windows系统。 -不过,对于那些有效的选项。

–我和Monica在一起
2014年6月2日,下午6:56

#8 楼

我想在列表中再添加一个工具:SecurStick

这是为一家德国计算机杂志编写的工具。对我来说非常重要的是,该工具无需管理员权限即可运行(它是为可移动媒体设计的)。请注意,它创建了WebDAV服务。结果是Windows没有有关加密驱动器大小的信息,并假定它具有与C驱动器相同的可用空间。如果您的C盘快满了,这可能是个问题。

#9 楼

根据The Register:


在过去的一个小时中,加密专家Bruce Schneier告诉我们他已切换回Symantec的PGPDisk对其数据进行加密。

< schneier在2007年写道:


市场上有几种全盘加密产品。我使用PGP Disk的全盘加密工具有两个原因。这很容易,我相信公司和开发人员都可以安全地编写它。 (披露:我也是PGP Corp.的技术顾问委员会成员。)


#10 楼

而且,还有另一个名字:BoxCryptor Classic。请注意:我说的是经典版本,而不是新的花哨版本。

Classic风格与TC差不多,但不需要您预先定义体积的大小如果将文件夹中的文件添加到一个卷中,则该文件将被加密,然后将其卸载,从而使它们仍然可见但不可访问。可以从卷中取出并与加密文件分开),从而可能将信息公开给想要发现某些东西的坏人。 TC不提供此“武器”。

#11 楼

我还将检查LibreCrypt,


LibreCrypt(开放源代码)
用于Windows的透明动态磁盘加密。兼容LUKS。 (以前称为DoxBox)
功能

易于使用,带有用于创建新“容器”的“向导”。
完全透明加密,容器在Windows资源管理器中显示为可移动磁盘。
在没有管理员权限的情况下,浏览器模式可让您访问容器。
与Linux加密,Cryptoloop“ losetup”,dm-crypt和LUKS兼容。 Linux Shell脚本在Linux上支持可否认的加密。
支持智能卡和安全令牌。
加密的容器可以是文件,分区或整个磁盘。
打开用FreeOTFE创建的旧卷
/>可在Windows Vista及更高版本上运行(对于64位版本,请参见下面的注释)。
支持多种哈希(包括SHA-512,RIPEMD-320,Tiger)和加密算法(包括AES,Twofish和Serpent)
模式(CBC,LRW和XTS)。
可选的“密钥文件”使您可以使用拇指驱动器作为密钥。在第三方PC上进行跟踪(需要管理员权限)。
可否认的加密保护您免受“橡胶软管加密”的影响。



#12 楼

另一个选择-DAEMON Tools Ultra(从2.4版本开始)。它正在安装具有附加功能的软件,其中之一-创建TrueCrypt映像-已出现在最新版本中。可以在官方网站或公司的博客中找到更多信息。

#13 楼

我正在使用免费版本的Cryptic Disk,该版本支持TrueCrypt容器,并提供许多其他功能,例如高级UI,热键,安装/卸载脚本等。