手机短信加密

开源免费的TrueCrypt、7-zip和gpg4win使用经验谈（原创）

FBI未能破解加密硬盘新闻来源:

FBI在经过一年的尝试后，还是未能破译被巴西执法机构指控金融犯罪的巴西银行家的加密

文件。巴西一家葡萄牙语报纸报道（葡萄牙语），巴西联邦警察在2008年7月展开的

Satyagraha行动中，在银行家DanielDantas位于里约热内卢的公寓内收缴了5个硬盘。

文章提到硬盘使用了两种加密程序，一种是Truecrypt，另一种是不知名的256位AES加密

软件。在专家未能破解密码后，巴西政府在2009年初请求美国提供帮助，然而美国联邦

警察在一年不成功的尝试后，退还了硬盘。巴西现有的法律中不存在强制要求Dantas交

出密码的规定。

TrueCrypt是一种非常重要的开源免费的加密软件，支持windows、mac、linux，在华军软

件园的加密软件类排行中（不包括其他暴力解密型软件）排名第一，非常好用，甚至可以全

盘加密，如果没有密码即使把硬盘拆下来挂到别的电脑上也打不开。我个人就在用，不过有

一些使用经验必须要注意。不推荐pgp，文件大，还收费。bitlocker只在Vista和windows7

的专业版和旗舰版才能够实现，而且bitlocker不能和XP完全兼容。

1.加密时不推荐使用密钥文件，因为文件很容易损坏或被误删。

2.菜鸟推荐使用“创建文件型加密卷”，非常好用，缺点是一旦打开后无法保证文件不被病毒

侵害（除非选择只读方式打开），而且文件大小不容易确定，大了浪费，小了不够用。

3.“加密非系统分区/设备”可以加密单独的分区，缺点是很容易被别人认为是未格式化的分区

而格式化掉。

4.“加密系统分区或者整个系统所在硬盘”安全性比较高，甚至有些变态，非常适合公司电脑

使用，即使被商业间谍盗窃也没办法打开（但防不住网络木马的偷窃）。如果只加密系统分

区，那么要注意的是需要准备刻录机，如果没有的话软件就不允许你继续安装，这对于没有

刻录机的人来说非常不方便，解决的办法就是通过虚拟光驱加载iso欺骗软件。iso一定要

通过email的附件形式备份，丢失就麻烦了，如果系统可以正常进入那么可以重新倒出备份，

而系统损坏又没有备份就等着哭吧。每次安装生成的iso都不同，不可通用，这种方式适合

安装XP的台式机使用。如果是“加密整个硬盘驱动器”至少需要vista或windows7，这种方

式适合安装vista或windows7的电脑使用。

5.所有的硬盘分区必须进行一次未用空间的文件粉碎，U盘或移动硬盘也是一样，否则也容

易被人破译，因为windows下普通的文件删除后也是可以通过专门的软件恢复的。

6.如果你的电脑里有极其重要的文件，那么密码应该要设置成最大64位（字母大小写+数

字+特殊字符），因为现在40位以下的密码已经很容易破解了。最后想说的就是千万别忘

了密码，忘了的话软件作者也打不开。如果是单位重要的台式机（比如会计）可用整盘加密，

不推荐用U盘钥匙加密，因为一旦U盘丢失或损坏就完蛋了。如果是经常外出使用的笔记

本，应该使用整盘加密+文件型加密卷，用不同的密码，防止别人趁你不在使用。

7.U盘及移动硬盘不建议使用分区加密，只推荐使用第一种创建文件型加密卷，因为如果使

用的是分区加密，很容易误格式化，即使自己不误格式化，也容易被其他小白给误格式化。

切慎！

8.现在俄罗斯299美元工具ElcomsoftForensicDiskDecrptor可实时解密BitLocker、PGP

以及TrueCrypt加密磁盘（本人暂时没有时间测试），ElcomsoftForensicDiskDecrptor会

检查windows的休眠文件，所以请关闭休眠功能以保证安全，另外如果你的电脑有极度机

密的文件并全盘加密时，那么在暂时离开电脑时应重启系统再离开，以免别人乘此机会不需

要密码就能偷看电脑。在某些特殊的紧急条件下，可拔下内存条并予以机械性破坏（比如用

榔头砸碎内存颗粒并焚烧），以达到防止别人通过内存拷贝的方式得到数据。

呵呵，情况真得不妙了，TrueCrypt的官网已经被关闭了，我个人认为很可能是斯诺登事件

后因美国ZF的威胁而关闭的。关闭这个事本身不让我震惊，真正让我震惊的是官网居然推

荐转移到BitLocker，BitLocker是个什么玩意，大家都知道，微软的东西，因为是闭源的，

所以很可能有后门，所以我不建议大家使用BitLocker。

开源的东西就是好，虽然TrueCrypt的官网关闭了，但源代码还在，别人还可以接着编译，

瑞士已经有人开始另开门户了，我们现在可以暂时等待，看这个网站最

后是否会真的担起如此一个重任。我以前有过TrueCrypt7.1a版本的备份，也有汉化包，因

TrueCrypt的官网已无法下载，所以现在上传供大家下载。

下载地址：

/s/1qWJgZ72

现在又出了一个基于TrueCrypt源代码而出的VeraCrypt，做了各种重大改进，所以和

TrueCrypt格式不兼容（可能要先卸载TrueCrypt）。有兴趣的可以下载安装试试。

紧急消息：TrueCrypt是一款流行的开源加密软件，但你知道它的作者是谁吗？没人知道。

更糟糕的是，没有对它进行过完整的安全审计。在NSA大规模监控活动和破解加密技术的

能力曝光之后，安全专家对这款来历不明的加密软件产生了疑问，有人已经提议要开发替代

TrueCrypt的加密软件，其他人则提议对其展开完整安全审计。约翰霍普金斯大学密码学教

授MatthewGreen是安全审计发起人之一，他帮助创建了，与其

他安全专家发起了在线集资活动，计划筹集到2.5万美元对TrueCrypt展开安全审计。目前

集资项目已经筹集到约1万美元，加上安全公司IonicSecurity承诺捐赠1万美元，估计审

计将很快启动。（2013年10月16日）

FreeBSD开发者称不能信任英特尔VIA的随机数生成器

FreeBSD开发者将不再允许用户信任芯片制造商英特尔和威盛电子（VIA）作为唯一的随机

数生成器来源。这一改变将在即将发布的FreeBSD10中生效。随机数生成器被加密系统用

于生成密钥，如果随机数生成器存在弱点，密钥也可能会容易被破解。根据前NSA合同工

EdwardSnowden泄漏的机密文件，NSA能解密大量加密流量。

它是如何办到的？一些人将怀疑目标指向了NSA参与制定的加密标准，以及依赖该标准的

RdRand——存在于Intel64和IA-32指令集架构的随机数生成指令。FreeBSD开发者称，

英特尔和威盛电子各自提供的RDRAND和Padlock随机数生成器将不能作为唯一生成随机

数的来源，需要与其它随机数生成算法组合使用。（2013年12月11日）

NSA和Intel的硬件随机数生成器

为了帮助程序开发者更简单的生成随机数，也为了帮助生成安全的随机数，Intel的芯片组

中包括一个硬件随机数生成器，名叫RdRand，这块芯片利用处理器的熵源向软件提供随机

数。

问题是这个随机数生成器是个黑盒，我们不清楚里面的工作原理。如果RdRand藏有NSA

的后门，那么政府就可以破译依靠随机数生成器提供的唯一数据产生的密钥。

这个问题非常严重。在2013年12月，FreeBSD的开发者们取消了对直接采用RdRand作

为随机数源的支持，理由是无法信任Intel。RdRand设备的输出结果会用另一套加密算法增

加额外熵，确保随机数服务器中即便有后门程序也不会产生影响。Linux已经这么做了，在

RdRand的随机数基础上再次进行随机处理，以确保后门程序不可能从中作祟。Intel总裁

BrianKrzanich在Reddit上没有直接回答关于是否装有后门的问题。

当然这不是Intel一家的问题，FreeBSD的开发者们也点了Via芯片的名。从这场争论中我

们可以看出为什么不可预测的真随机数如此重要。

以上三条新闻告诉我们不要去随便相信什么随机数，第七张图就是在收集随机数，不管随机

数是软件生成的，还是硬件生成的，都不能完全相信！

另外我推荐一个软件eraser，它是一个专门的开源免费的文件删除软件，既可以删除存在的

文件，也可以粉碎仅仅在回收站里删除的文件，所以任何软件都无法恢复他们，非常安全，

/projects/eraser/files/，需要注意的事安装后右键点击可能没有确定

按钮，所以一定要注意误删，所以一般不建议安装，只建议在硬盘报废或移动硬盘外借时使

用。

也可使用dban,下载地址:/projects/dban/

7-zip的使用注意是：1.压缩等级尽量选择极限压缩，时间并没有消耗更多，却可以更小。

2.压缩方法如果自己用则选用LZMA2，毕竟可以支持多线程。如果要发布到网上，则建议

选LZMA，因为低版本的winrar并不支持LZMA2的解压缩。3.如果要选择加密，则应该选

择加密文件名，否则文件一旦被盗，即使别人得不到密码，也可以通过文件名得到大量的信

息。4.重要的东西密码位数一定要高，即使几千位也没什么。5.分卷压缩后，生成的文件的

文件名则不可更改，否则将不能正常解压，这一定要注意！

gpg4win是一种重要的加密软件，开源的，使用的是RSA模式，即是公钥和私钥模式，有

着比7-zip更多的优点。比如甲要在网上传个重要文件给乙，但怕被人在传输过程中被人劫

夺从而泄密。怎么办？用7-zip？如果不加密码，则黑客很容易劫夺并解密，如果加密，甲

又如何告知乙密码，如果也在网上告知，则黑客还是可以劫夺密码，如果甲通过电话或信件

告知乙密码，则国家级别的间谍还是可以知道密码（比如NSA），那总不能甲亲自跑到乙

那里去吧。那就要用到公钥和私钥模式，也就是说让乙先用电脑生成一个公钥，然后发送给

甲，甲用公钥加密重要文件，然后把加密过的文件正常传送给乙，乙通过私钥解密该加密文

件。黑客即使得到公钥和甲加密过的文件，也无法解密，因为黑客没有私钥。打个比方，乙

打造了个无人能破坏的盒子，盒子上有个锁（这个锁相当于公钥），锁没有合上，而钥匙自

己保留，然后乙把这个盒子给甲，甲把重要的文件放到这个盒子里，然后关闭上锁，这个时

候即使是甲也无法打开这个盒子，因为甲没有钥匙（即私钥），甲把这个盒子交给了乙，乙

通过自己的钥匙（私钥）打开盒子得到文件。这个传输的过程中即使被人劫夺，因为劫夺者

没有钥匙（私钥），所以无法打开盒子，所以文件是安全的。如果此时乙也想传输一些文件

给甲，那么同理，甲先用电脑生成个公钥给乙，乙用次公钥加密文件然后传输给甲，甲再用

私钥解密文件。大家所熟知的PGP就算了，并不是开源软件，谁也不敢保证没有后门。gnupg

是linux下的版本，windows没法用，所以用修改过的gpg4win，软件界面英文确实难懂一

些，但我配合截图应该能很好使用。

另外需要注意的是这种方法有个最大的缺点，就是中间人攻击，但一般人不会遇到，有兴趣

的可以查阅相关资料。

在桌面选择进入Kleopatra程序，在菜单File--NewCertificates，选择openpgp模式

输入姓名、邮箱和注释，选择右下角的AdvancedSettings，在RSA中选择最高的4096位

密钥。点击生成密钥。

导出公钥的私钥非常重要，防止重装系统后密钥丢失

上图是公钥的内容

私钥有两种生成方式，如上如果勾选ASCIIarmor则如下图显示，优点是可以在不能明着发

送公钥文件时可以以类似手机短信的形式发送明文文本公钥，缺点是文件也大一些。

如不勾选ASCIIarmor则如下图所示，有些乱码，文件也小一些，但不影响使用。

上图是显示重装系统后如何加密和解密文件

如上图所示，如果勾选Textoutput(ASCIIarmor)，则加密后的文件大一些，但优点是可以

在不能明着发送加密文件时可以以类似手机短信的形式发送明文加密文件，如果不需要，则

不勾选，生成的文件也小一些，文件以记事本打开时就是乱码显示。

如上图显示，加密成功

上图显示的是准备解密了，如果在点击解密按钮后要输入要解密的强力密钥则直接输入即

可。

gpg4win一般用于网络上不能碰面但又想交换重要的私密文件所用，7-zip的加密功能一般

用于个人重要文件备份在网上时加密，TrueCrypt一般用于个人电脑或移动硬盘的加密，

eraser用于硬盘报废或移动硬盘外借前的文件粉碎。如果在美国使用重要文件或带重要文件

的硬盘去美国应避免使用TrueCrypt，而应用7-zip。

文章看完了，为了看看大家学习得如何，给大家出一道选择思考题：

斯诺登同学带着自己包含重要文件的笔记本电脑逃到了俄罗斯，但也感到非常的不安全，他

有gpg4win、TrueCrypt和7-zip三种软件。

1.他想加密自己的笔记本，让别人没有密码即使偷到了自己的笔记本电脑也得不到里面的重

要文件，则斯诺登会使用________软件。

2.斯诺登尝试第一次和维基解密工作人员交流并传输一些重要文件则使用________软件。

3.斯诺登和维基解密工作人员交流后怕美国的暗杀，所以斯诺登使用了________软件在网

上发布了一个加密文件包（内含NSA丑闻），提供公共下载，但不提供密码，并威胁美国，

如果自己被暗杀则维基解密工作人员自动发布加密包的密码立即公开这些加密包里的NSA

丑闻文件。

答案：

ypt，因为TrueCrypt不需要联网，所以是用来加密本地硬盘的。

4win，因为和维基解密工作人员第一次接触，根本没办法告诉密码，因为用电话或手

机告知密码，则美国肯定能窃听到，所以用gpg4win是唯一选择。

3.7-zip，没有密码的话，任何人都得不到加密包里的文件，而把加密包先放到网上供任何人

下载，是因为加密包肯定很大，如果等斯诺登被暗杀后再放出来显然不可能，而一旦斯诺

登被暗杀则维基解密工作人员只要放出密码就可以让任何人知道加密包里的内容。这里为什

么不用TrueCrypt或gpg4win呢，因为7-zip是一种通用压缩软件，其他很多加密软件都

可以通过密码解密7-zip生成的加密包（比如winrar）。而TrueCrypt没有这个通用性，而

gpg4win也没有这种通用性，使用的话，斯诺登还要大费周章。首先就是如何把这个加密包

的私钥传递给维基解密工作人员，当然不能直接传，当然也要用公钥加密这个私钥传。。。。。

呵呵，是不是有点乱，我讲细一点：斯诺登先明文告诉维基解密工作人员要和他们交流，然

后让维基解密工作人员把他们生成的公钥1传给自己，自己用此公钥1加密文件后传给维

基解密工作人员，维基解密工作人员用私钥1解密后得知是非常重要的文件，认为这些文件

有发布的必要，希望斯诺登能授权维基解密在斯诺登被杀后由维基解密工作人员发布这些文

件，但这个指示不能直接发给斯诺登，于是要求斯诺登也生成一个公钥2发给自己，维基解

密工作人员得到这个公钥2后加密这个指示传给斯诺登，斯诺登得到这个加密指示后用自

己的私钥2解密，得到指示，同意后，斯诺登有两种选择，1是用7-zip加密，二是用gpg4win

加密，用7-zip加密后公众得到密码即可解密，方便，如果用gpg4win加密则公众得到私钥

后还要先安装gpg4win才能用私钥解密，太麻烦了。当然了7-zip加密文件的密码也是通

过公钥1加密后告知维基解密工作人员的，维基解密工作人员得到用公钥1加密的7-zip密

码后用私钥1解密从而得到7-zip压缩包的密码，一旦斯诺登被杀，则放出该密码。