我们都开始将大量的数据存储在网络上,以便可以随时随地地访问这些数据,但是包括云存储服务的供应商在内,没有人能够确保这些数据的安全,加密是保护这些数据的唯一手段。
免费、方便、安全,这是苹果、Google和Dropbox等著名的云服务提供商广告的关键词,看样子用户似乎不必过于担心个人数据存储在这些公司的服务器上会出现问题。然而,美国国家安全局的监听丑闻让所有人警醒:原来有人可以随意地存取这些公司服务器上的数据。
2014年9月,许多美国名人存储于iCloud的个人照片被盗,成千上万的裸照出现在互联网上。紧接着,2014年10月中旬,云存储服务供应商Snapsave服务器被入侵,导致Snapchat用户几十万张个人照片被盗。通过这两起事件,黑客又给所有人上了一课,或许,正如斯诺登所说,没有人能够确保在线数据的安全,加密是保护这些数据的唯一手段。
要安全地使用云存储服务,我们需要将上传的数据加密,确保黑客入侵了服务器也不会对我们造成任何伤害。下面,CHIP将告诉大家如何在电脑和移动设备上通过免费软件加密上传到云存储服务的数据以及如何加密自己的文件和电子邮件。
在电脑上加密云数据
Boxcryptor(www.boxcryptor.com)是一个专门用于加密云数据的软件,可以帮助我们保护存储在云端的数据。过去,CHIP曾经为大家简单介绍过该软件,下面,我们将介绍在电脑上使用其加密和解密数据的具体方法。
1、安装桌面客户端
Boxcryptor只负责加密和解密云数据,云数据的同步仍然需要由云服务客户端负责,例如Dropbox和Google的云端硬盘软件,所以我们必须先安装好云存储服务的桌面客户端。通常云存储服务的客户端软件在安装好之后,都会自动在资源管理器左侧导航栏上的“收藏夹”创建一个快捷方式,以便我们可以轻松地打开云数据的本地文件夹。其次,通过云存储服务的客户端软件,我们还可以设置数据的同步方式。
2、创建一个Boxcryptor账户
接下来,从boxcryptor.com下载安装Windows版本的Boxcryptor软件,安装完成后打开软件,首先创建一个账户,并为账户选择一个密码。创建账户之后,我们将需要选择软件的授权方式,通常选择免费授权已经可以满足大部分用户的需要,免费版本支持个人用户在两个设备(例如电脑和智能手机)上使用该软件,并只支持一家云存储服务商。
注意:Boxcryptor账户的密码将是存取加密数据的唯一凭证,如果忘记密码,此前加密的数据将无法解密。因而,我们需要创建一个包含大小写字母以及特殊字符高强度密码,但同时该密码必须很容易地记住。
3、选择一个存储位置
BoxCryptor创建的虚拟驱动器将会被加载到系统上,例如加载为磁盘“X”,其上是需要被加密的云数据,BoxCryptor所有加密或者解密的操作都通过这个虚拟驱动器进行。如果我们需要选择另一个云服务,则可以使用鼠标右键单击Boxcryptor在任务栏上的图标,选择“Settings”,单击切换到“locations”选项卡,禁用软件自动选择的云服务,重新选择我们需要的云服务。使用Mac版本的电脑,我们可以在OSX10.10和更高版本的系统下加密iCloud。
4、加密和共享文件
Boxcryptor创建虚拟驱动器后,我们可以马上对数据进行加密。当我们在Boxcryptor虚拟驱动器下创建一个文件或文件夹时,Boxcryptor将询问是否要对新数据进行加密,已经加密的文件和文件夹名称将以绿色字体颜色表示。如果需要加密或解密虚拟驱动器中的文件夹或者文件时,可以右击文件或者文件夹,然后通过快捷菜单选择需要的操作。如果我们希望通过云服务与朋友共享数据,那么在我们加密之后可以授权他们继续访问指定的数据。要这样做可以单击目标文件并在Boxcryptor的快捷菜单上选择“Manage Permissions”,单击“Add user”,键入朋友的电子邮件地址,对方只要也注册和使用Boxcryptor就能够访问经过我们授权访问的加密文件。
移动设备上加密云数据
除了可以在电脑上使用Boxcryptor加密云数据之外,Boxcryptor也提供移动设备使用的应用程序。下面,我们将以Android系统的Boxcryptor为例,介绍使用其加密云数据的方法。
1、安装和登录
从Play商店下载Boxcryptor,该程序可以支持Android2.3.3起所有版本的Android系统,下载安装之后启动应用程序,我们需要注册一个Boxcryptor账户,或者使用已有的账户登录。
2、添加云提供商
登录后应用程序将自动打开左侧的菜单栏,以后需要时我们可以通过手指从左至右滑动打开菜单。首先,在菜单中选择“Add provider”,从列表中选择我们使用的云服务提供商。接下来,Boxcryptor将切换到提供商的登录窗口,我们需要使用自己的云服务账户登录。
注意:免费版本的Boxcryptor只能够加密一个云服务空间的数据,因而我们应该像电脑上的Boxcryptor一样选择同一个云服务提供商。
3、管理文件和文件夹
添加云服务账户之后,Boxcryptor的应用程序窗口将显示我们的云数据,云数据中使用Boxcryptor加密的文件和文件夹将采用绿色颜色的字体显示名称,如果需要重命名、复制或移动文件和文件夹,则可以按住文件和文件夹的名称一会儿,即可通过右下角弹出的菜单进行操作。
4、上载和共享文件
如果需要加密智能手机上的文件并上传到云端,则可以单击应用程序主窗口右下角的箭头按钮,选择智能手机上的一个或多个文件或文件夹,然后单击“OK”,并在弹出的对话框中选择“Upload Encrypted”即可。如果需要发送云数据中的文件,则可以在浏览云数据的窗口按住选择文件,然后单击左下角的共享图标,即可像平时智能手机发送文件一样选择需要的共享方式发送文件即可,例如通过电子邮件或者即时通讯程序。
注意:在移动设备上Boxcryptor不支持授权他人访问自己的加密文件,因而,发送文件时需要先把文件解密,然后再发送出去。
5、设置拍摄后加密上传
Boxcryptor可以自动加密拍摄的照片并上传到云端。切换到Boxcryptor的主窗口,从菜单栏中选择“Settings”。在设置选项中激活“Camera Upload”,选中该选项下的“require wifi connection”,即可激活拍摄照片后自动加密上传的功能,并只允许在无线网络连接时上传,避免产生过多的移动通讯数据流量。
6、定义保护密码
如果不希望别人使用移动设备上的Boxcryptor应用程序,则可以在主菜单中选择“Settings”,并通过设置选项“App Unlock|Setup PIN unlock”设置保护密码。
加密电子邮件
如果想加密电子邮件,那么我们建议使用遵循GPL协议的PGP加密软件替代者GPG的Windows版本Gpg4win,结合免费的电子邮件程序Thunderbird和它的扩展程序Enigmail来实现。以前在介绍文件与电子邮件加密技术时,我们已经在相关的文章中介绍过这一方案,下面再简单地为大家介绍一下其使用方法。
1、选择支持PFS的邮件提供商
虽然GPG还没有被黑客攻破,但是由于它基于过时的OpenPGP技术,在密钥交换过程中存在一些缺陷,因此,在条件允许的情况下,建议尽可能地选择支持完全正向保密(Perfect Forward Secrecy,简称PFS)技术的电子邮件提供商,目前,许多规模较大的电子邮件服务商都已经开始提供PFS支持。
2、设置Gpg4win
通过www.gpg4win.org下载并安装Gpg4win,对于个人用户来说,出于提高安全性、减少受到攻击的可能性的目的考虑,建议使用普通用户账户安装该软件,在使用单独的Windows账户的情况下使用,并设置Windows加密该账户的配置文件,同时尽可能地在没有网络连接或者安全的网络连接下处理数据加密和解密的工作。
3、创建密钥
安装Gpg4win后,启动其中的密钥管理工具Kleopatra,然后选择“File|New certificate...”打开证书创建向导,选择“Generate personal OpenPGP key pair”,输入姓名和电子邮件地址,点击“Next”,然后单击“Create Key”并在弹出的对话框中输入一个最少10位数的密码,其中包含大小写字母和数字,例如“C1H2I3P4good!”,向导将要求再次输入密码,输入完毕密钥对将马上生成,单击“Finish”即可。
4、安装Thunderbird和Enigmail
下载安装Thunderbird(www.mozilla.org/thunderbird),并设置好自己的电子邮件账户。如果使用的是热门的电子邮件供应商提供的邮件服务,那么在Thunderbird中只需简单地输入电子邮件地址,软件即可自动设置电子邮件服务器等信息。在“https://www.enigmail.net/download/index.php”的“What email client do you use?”下拉菜单中选择使用的Thunderbird版本,下载适用的Enigmail版本。下载后解压缩文件,在Thunderbird中单击右上角的菜单按钮,选择“附加组件”,将解压缩的Enigmail XPI文件拖到打开的附加组件管理器的左侧部分,并在弹出的对话框中确认安装,单击右上角的“立即重启”。重启Thunderbird后,在打开的向导中选择“是的,我想用向导来帮我开始”,然后选择“Convenient auto encryption”,再选择“Don't Sign my messages by default”,然后选择“是”,并在下一步“选择密钥”对话框中选择上面步骤3中我们创建的密钥。
5、加密邮件和附件
如果准备发送加密邮件,那么我们需要在Kleopatra中将收件人的公钥通过“Import certificate”导入到Kleopatra中。接下来,在Thunderbird中照常编写邮件,然后在“编写”工具栏上“Enigmail”菜单或者“安全”菜单中根据自己的需要选择是否需要加密邮件,并对邮件进行签名,以便收件人可以验证邮件是否确实是我们所发出的。如果在“Enigmail”菜单中选择“附送我的公钥”,则可以将自己的公钥发送给朋友,这样对方就可以使用我们的公钥加密发送给我们的邮件。接下来,像平时一样地发送邮件,软件将要求我们输入Gpg4win的加密密码,输入正确后邮件将被加密,并将邮件以密文的方式发送出去。
6、接收加密邮件
如果有人通过Enigmail或者其他基于OpenPGP技术的邮件加密软件向我们发送加密邮件,那么他们将需要使用我们的公钥来加密邮件。当我们收到加密邮件后,Enigmail将询问我们的密码,如果密码正确则会使用我们的私钥对邮件进行解密。我们将可以看到邮件解密后的明文,而通过附件的快捷菜单,可以选择“解码并保存为”来解密并保存附件。