数据加密与彻底删除数据

沈思淼

首先，你要把一些重要的、敏感的数据，加密保存。具体的加密方式，可以考虑如下几种。

　　1. 加密文件系统（EFS）
　　加密文件系统是比较方便的一种方法。你可以针对文件系统中的某几个文件或某几个目录，设置为加密存储。平常使用的时候，你完全感觉不到（用IT的行话，就是对使用者透明）。但如果别人拿走了你的硬盘，是无法读取出EFS里面被加密的文件滴；甚至同一个操作系统的其它用户，也是无法读取出被加密文件的内容。
　　EFS有赖于特定文件系统的支持。如果你使用Windows系统（Win9x不算，至少要Win2000），你必须得用NTFS格式的分区才行（不能用FAT16、FAT32）；如果你使用Linux，使用默认的ext3或ext4即可。关于EFS的更多介绍，请看“这里”。
考虑到Windows系统，用的人多，再多说两句。
　　Windows传统的EFS，有若干缺点。其一、如果包含有EFS文件的系统重装了，你就再也无法打开这些EFS文件了；其二、不便于在移动设备（如USB Key、移动硬盘）用EFS；其三，如果要解决前两个缺点，需要导出/导入相关的密钥，但是步骤较繁锁。想必微软也意识到这些缺点，从Vista开始（包括其后的Win7、Win8），推出了BitLocker功能，可以解决上述缺点。详细的功能介绍，可以看“这里”。

　　2. 加密盘
　　除了EFS，还可以使用专门的加密软件来达到加密数据的效果。目前的文件加密软件五花八门，俺简单说一下非常老牌的PGP（Pretty Good Privacy）。它实际上是一系列软件的合集，包括了加解密、数字签名等功能。其中的“PGPDisk”是专门针对文件加密存储的工具。它可以在你的系统中，创建一个虚拟分区。每一个虚拟分区对应到一个扩展名为pgd的文件。需要用PGP key（私钥）才可以访问该虚拟分区。另外，PGP的私钥还有一个额外的口令保护。也就是说，你需要有私钥文件，且知道私钥的口令，才有可能访问该加密的虚拟分区。
　　如果2台机器都装了PGPDisk，你就可以在2台电脑中共享这个虚拟分区的文件（比如把对应pgd文件放到U盘来共享）。即使你的U盘和私钥一起丢失了，别人由于不知道私钥的保护口令，还是无法打开这个虚拟分区。
　　关于PGPDisk的深入介绍，大伙请看“这里”（尤其是里面关于“PGPdisk”的部分），俺就不多费口水了。相关的软件，可以到“这里”下载（里面商业版本和免费版本都有）。
　　除了PGP Disk，还有另一个同样牛X的加密盘工具——TrueCrypt。关于该软件的介绍，可以看俺写的扫盲教程（在“这里”）。

　　3. 硬盘口令
　　有些笔记本电脑，提供硬盘口令的功能。一旦设置了硬盘口令，在开机时，必须输入该口令，才可以使用。注意，硬盘口令和BIOS里的开机口令是两码事，别搞混了。一旦设置了硬盘口令，即使把该硬盘取来下，挂载到另外的电脑，也还是无法读取该硬盘的数据。
　　有必要提醒一下诸位：不同的电脑厂商，其硬盘口令的实现机制不同，因此其强度（抗破解能力）也就不同。所以，俺建议把硬盘口令作为一种辅助手段，而不要当作唯一手段。