在Linux中安全加密文件

■

Windows安全加密技术回顾

在Windows中，最著名加密技术非PGP（Pretty Good Privacy）莫属，PGP是基于RSA公钥加密体系的邮件加密软件，可以对您的邮件进行加密，防止非法用户的拦截和窥视，PGP还可以对邮件加上数字签名，让收信人可以确信邮件是您亲自发送，让伪造邮件者无机可乘。

当然，双方都必须同时安装PGP加密软件，PGP采用公匙加密体系，使用高强度加密算法生成公匙和私匙两个密匙。其中的公匙用来公开加密，而私匙是自己保存。这样，即使是素未谋面的人也可以使用公钥来加密邮件，向您发送安全邮件，而您使用私钥解密即可。例如，使用开源的PGP加密软件GnuPG，就可以保证邮件的安全性。运行GnuPG中的Kleopatra组件，在其主界面中点击“Ctrl+N”键，选择“Create a personal OpenPGP key pair”项，在下一步窗口中输入名称，邮件地址等信息，之后点击“Create Key”按钮，输入私钥密码。在下一步窗口中的“Next Steps”栏中点击第一个按钮，将密钥对保存为文件（后缀为“.gpg”），点击第二个按钮，将密钥对通过Email发送出去，点击第三个按钮，将密钥对发送到服务器上供别人下载使用。当发送邮件时，在附件文件右键菜单上点击“Sign and encrypt”项，在下一步窗口中选择公钥项目，点击“Add”按钮完成添加操作，点击“Encrypt”按钮，对文件执行加密操作，然后通过邮件发送给您，而您可以在加密文件的右键菜单上点击“More GpgEX options”-“Decrypt”项，点击“Decrypt/Verify”按钮，输入私钥信息，完成解密操作。

根据以上例子，大家可以对PGP加解密技术有了直观的认识，其实，PGP除了可以对文件进行加密和校验之外，还提供了其他相关的安全工具，保证我们的电子邮件、文件、磁盘以及网络通讯的安全。例如，PGP Disk这一独特的安全技术就值得关注，该工具允许您创建格式为“.pgd”的加密文件，使用PGP Disk提供的相关工具可以加载该文件，将其作为虚拟盘来使用，其采用的是私钥和公钥对来保存加密数据。例如，在Windows平台下，您需要保存的机密数据的容量为1GB，就可以使用PGP Disk来创建体积为1GB的“.pgd”文件，之后将其挂载为独立的磁盘，当然，在挂载时是需要私钥处理的。您可以将机密数据保存到该虚拟盘中，并使用公钥对其加密。之后卸载或者重启系统时，该虚拟盘就会关闭，别人不知道私钥是无法窥视其中内容的。在重新安装系统前，必须将“我的文档”中的“PGP”文件夹进行备份，里面保存着私钥信息，当重装系统后，就可以恢复私钥信息，否则根本无法打开加密文件。

为加密文件巧设“保险箱”

了解了Windows下的优秀的加密工具之后，那么在Linux中有没有类似于PGP的加密软件，来保护数据安全呢？其实，在Linux中有很多类似的工具可以利用。除了官方推出的Linux版本的PGP加密工具外，还有OpenGPG、GunPG、Bestcrypt等加密利器。相比之下，使用BestCrypt这款体积小巧，功能强悍的免费加密软件，可以让您的机密文件彻底放进保险箱中。

在L i n u x中 打开终端界面，切换到“BestCrypt-1.8-2.tar.gz”安装包所在路径，执行“tar-xzvf BestCrypt-1.8-2.tar.gz”命令对其解包。进入解压路径后，执行“sudo make install”命令，将Bestcrypt安装到Linux中，之后重新启动Linux后，让Bestcrypt主程序得以顺利运行。当重启后打开终端界面，Bestcrypt的主程序名称为“bctool”，而且已经将其添加到了命令中了。因此直接输入“Bctool”命令，就可以了解bctool的所有参数和选项了。虽然bctool的参数很多，不过这里我们只讲解常用的参数。

首先执行“su -root”命令，切换到Root账户权限环境中。之后执行“bctool new a BLOWFISH-448s 1000Md securefileok secdata”命令，使用448位的Bloefish加密算法，创建大小为1000MB，名称为secdata的加密文件，文件的备注为“securefileok”。执行该命令后，可以看到创建加密文件的进度信息。当进度只是达到100%后，bctool会提示您输入密码，在加载加密文件时必须输入该密码。输入两次相同的密码后，Bctool会 提 示“Please do not forget to format the container”信息，提醒需要对加密文件进行格式化方可使用。执行“bctool format–treiserfs secdata”命令，在弹出的确认提示中点击“y”键，执行格式化操作，在操作进度条中显示格式化进度信息，之后Bctool会提示格式化加密文件成功。

仅仅拥有了加密文件是不够的，必须使用其来存储机密数据。执行“pwd”命令，当前的路径为“/home”。执行“Mkdir jiami”命令，在该路径下创建名为“jiami”的文件夹。执行“bctool mount reiserfs secdata /home/jiami”命令，将reiserfs格式的secdata文件加载到了“home/jiami”目录中。当Bctool提示操作成功后，我们就可以将体积小于1000MB的加密文件存到了“home/jiami”路径中。当Linux重启或者手工卸载该加密文件后，“home/jiami”目录中就没有任何文件痕迹信息了。例如，我么可以将一些机密文件存放到“home/jiami”路径中，之后执行命令“bctool unmount home/jiami”， 将 secdata 加密文件卸载掉，但是之前在“home/jiami”目录中存储的加密文件全部存储到了secdata文件中了，因为其已经卸载，自然无法在“home/jiami”中查找了任何机密文件的内容。如果再次将secdata加密文件挂载到“home/jiami”目录中，可以看到，之前存储的加密文件又出现了，您可以自由的对其进行操作。有了Bestcrypt的保护，即使别人知道secdata文件中存储有机密文件，也无法破译其内容，这样保存在其中的机密文件就高枕无忧了。实际上，您可以将secdata更改为更加普通的名字，将其隐蔽保存到更深层次的路径中，让别人根本无法发现其行踪，来更好的保护数据的安全。