巴别鸟企业网盘+Boxcryptor 实现在公有云上对数据的二次加密,让你完全掌控自己的文件安全。
越来越多的企业开始尝试使用公有云企业网盘来存储数据,但同时也担心敏感数据存放在公有云中的安全性。这有些时候变成了一个难以解决的悖论,不管公有云宣称用的加密手段多先进,隐私保护多严密,但为了提供服务和应对监管,理论上公有云服务商和监管机构都有办法访问公有云的用户数据。选择私有云可以有效解决这个问题,但私有云成本较高还需要一定的维护能力。如何在公有云上保护好敏感数据?由公有云服务商来提供数据加密服务就像既当运动员又当裁判员,不能让人信服。所以,这时候我们能借助的就是第三方的力量。利用第三方加密软件对敏感数据进行加密后自动同步到公有云,只有在第三方加密软件提供的解密环境中才能查看。如果企业在关键部门配置好第三方加密软件,使用起来还是相当方便且安全的。
经过靠谱第三方加密的文件保存在公有云上相当安全,云服务商是无法解密该文件的,就是监管机构也不行。按现在主流的几个加密技术,在没有私钥的情况下,连FBI都无能为力。
FBI在经过一年的尝试后,还是未能破译被巴西执法机构指控金融犯罪的巴西银行家的加密文件。巴西一家葡萄牙语报纸报道(葡萄牙语),巴西联邦警察在2008年7月展开的Satyagraha行动中,在银行家Daniel Dantas位于里约热内卢的公寓内收缴了5个硬盘。文章提到硬盘使用了两种加密程序,一种是TrueCrypt,另一种是不知名的256位AES加密软件。在专家未能破解密码后,巴西政府在2009年初请求美国提供帮助,然而美国联邦警察在一年不成功的尝试后,退还了硬盘。巴西现有的法律中不存在强制要求Dantas交出密码的规定。
第三方加密软件其实很多,但主要两个派系,一个是传奇的truecrypt及其延伸的派系,实现原理是虚拟一个加密驱动器,需要加密的内容放入这个驱动器中。这个驱动器有一个对应的文件,上传这个文件就保存了加密的内容。使用时就像访问硬盘一样,只是存在这个硬盘上的数据是高度加密的。网盘使用truecrypt的问题在于无法自动同步,因为网盘监测不到truecrypt文件的更新,需要手动上传驱动器文件。truecrypt加密安全性极高,目前没有已知的办法破解,但由于种种压力,truecrypt已经停止维护,不过由truecrypt技术衍生出来很多加密软件如:VeraCrypt、CnCrypt 都大同小异,加密安全性高,但不能自动同步到公有云,需要手动上传至公有云。
另一个派系是今天重点介绍的,专门为公有云存储设计的加密软件,这类加密软件是针对文件进行加密,你可以设定一个同步文件夹(模拟成一个驱动器)放入文件夹的文件都会加密,支持同步,同步到云端的文件都进行了二次加密。只有在安装该软件的设备且拥有私钥的前提下才能查看这些文件,不然就是获得了文件也没什么用。这类软件目前也不少,而且都支持免费使用(付费可以增加账号数,但可以每个人用不同的免费账号加密不同的内容配合公有云网盘使用)。目前主要推荐两款: Cryptomator 和 Boxcryptor,今天以巴别鸟和Boxcryptor配合为例,详细讲解下用法。Cryptomator的用法大同小异。
介绍
Boxcryptor 是加密行业的“德国制造”,德国的团队(离CIA比较远),目前发展良好,无论是否是免费版都提供 AES-256、RSA-4096 这两个安全性超高的加密协议,支持主流操作系统(Win、macOS、Linux和手机系统等),支持主流的云储存平台(Dropbox、Google Drive、OneDrive 等),免费版限制在两个设备使用,且仅支持一家云储存厂商。
他们是本地加密解密,不连接服务器(所以不用担心厂商停维无法解密的问题),加密过的文件可配合巴别鸟同步功能自动上传至云端。在网盘上,已加密的文件是不可读取的,下载后也需要解密才能读取。
使用
1、Boxcryptor下载 | Boxcryptor教程网 在官网下载安装完成后,登录或者注册账号即可使用(第一次打开出线登录或注册界面可能会loading比较慢),注意:Boxcryptor为了安全性,其本身不会存储用户密码,所以密码一但忘记将无法找回,请务必牢记自己的账号密码,否则密码丢失后将无法使用。
不注册使用本地账户配置方法
如果你不需要在其他设备上使用加密,或者没有互联网连接,可以不注册账号,直接点击右上角更多(三个点)选择Local account 输入一个密码后系统会自动生成账号并提供一个私钥文件。这样操作这个加密的文件夹就只能在这台设备上才能解密。要在其他设备上使用除非获得生成的私钥文件及密码。从这一步其实可以理解,Boxcryptor本质是一个单机加密软件,为了使用更方便提供互联网账号体系,但Boxcryptor的账号负责的仅仅是保存和传递私钥不保存用户数据
2、开始设置需要加密的文件夹路径,打开文件管理器,登陆Boxcryptor后你的磁盘会自动多一个Boxcryptor的虚拟硬盘,在这个界面里鼠标右键-Boxcryptor-Settings,就可以进行设置和修改路径(windows)。也可以在系统托盘里点击成勋图标选择setting(windows),或顶部拦点击程序图标,选择Preferences 进入配置界面(mac)。
3、如果电脑里安装有Onedrive等固定同步路径的网盘服务,Boxcryptor是会自动识别出路径,巴别鸟可以自由指定同步的文件夹,所以需要手动添加选择自己需要的文件夹进行。这时候你可以添加任意一个已同步的巴别鸟文件夹。(你也可以先指定一个文件夹路径,然后同步该文件夹至巴别鸟)Boxcryptor免费版只可以选择一个文件夹路径,所以需要先取消已有的,然后再选择Add,付费版可以设置多个文件夹加密的路径。
4、添加好后关闭窗口,此时你的Boxcryptor虚拟硬盘里已经多了你选择想要加密的巴别鸟文件夹。在这个文件夹中放入的文件都会自动同步到巴别鸟。如果把文件从Boxcryptor虚拟硬盘里拖出来,这个文件就解密了。
5、如果安装在windows系统,打开这个文件夹,可以对任意的子文件夹或者文件进行加密或者解密。在需要加密的文件夹或文件上右击-Boxcryptor-Encrypt,即可加密。取消已加密的文件夹或文件也是右击-Boxcryptor-Decrypt。配合巴别鸟同步使用,强烈建议对添加的整个同步文件夹进行加密。这样可以排除因人为因素造成的部分文件没有加密造成的泄密隐患。( 注意:日常使用时一定要在Boxcryptor显示的虚拟硬盘的文件中放入和打开要加密的文件。不要使用也不要删除指定路径的原始文件夹)
6、加密后文件夹右下角的图标变成绿色的方框,另外加密的文件夹名字会被Boxcryptor自动修改,增加encrypted后缀作为区别(Boxcryptor付费用户使用不会改名)。因为文件被加密,在巴别鸟上无法打开和预览该文件,只有在Boxcryptor虚拟硬盘的文件夹中可以访问。
7、如果你需要在其他电脑上查看加密的文件,需要这样操作。先使用巴别鸟同步该加密的文件到本地。安装Boxcryptor,用你注册Boxcryptor时的用户名密码登录,在setting(win)或Preferences(mac)中添加(add)这个同步文件夹。这样你也可以在其他电脑的Boxcryptor虚拟硬盘中访问加密的文件。并且和巴别鸟同步。(这意味着这两台设备都同步了加密文件,在A设备上修改的文件也会同步到B设备,同时都文件都是在加密状态,世界上只有这两台设备能够读取)
加密设置完成后,你可以就像以前使用巴别鸟同步文件一样继续使用。只是你加密文件夹的文件在巴别鸟上显示的都是加密状态,没有你密码的用户即使下载了也没法使用。要在其他设备上使用可以在其他设备上也安装Boxcryptor,用同样的密码打开,使用巴别鸟同步加密的文件夹,并按第3步再操作次添加这个文件夹。免费版仅支持2个设备。付费版不限设备数,付费版价格也不贵,一年仅需要48美元,350块钱人民币。
具体到工作中,可以要求涉密的部门使用Boxcryptor,如果你购买的是巴别鸟企业网盘,我们的工程师也可以帮助你的企业用户进行设置,涉密的文件都放入加密文件夹进行同步。设置好一次后就可以一直使用,操作和习惯也不会改变。