得益于技術(shù)的不斷發(fā)展與廣泛部署，如今對(duì)數(shù)據(jù)與通信內(nèi)容加以保護(hù)在實(shí)現(xiàn)難度上已經(jīng)遠(yuǎn)低于大家的固有印象。

加密機(jī)制正處于攻擊威脅之下。無論大家是否自認(rèn)為將重要資產(chǎn)隱藏了起來，這方面的安全隱患仍然值得我們高度關(guān)注。

加密機(jī)制是我們確保敏感個(gè)人信息與通信內(nèi)容免受惡意人士窺探的主要技術(shù)手段，而世界各國政府也在想盡一切辦法對(duì)民眾的在線活動(dòng)進(jìn)行調(diào)查或者監(jiān)控——這意味著我們必須要憑借加密機(jī)制的力量提高執(zhí)法部門獲取個(gè)人隱私的難度。那么政府想出了怎樣的解決辦法?保留“后門”，通過這種方式各政府機(jī)構(gòu)將能夠?qū)κ鼙Ｗo(hù)數(shù)據(jù)進(jìn)行解鎖。

阻止政府窺探的最佳方式就是直接迎擊其用于弱化加密機(jī)制的手段——也就是后門——即讓加密技術(shù)成為一種無所不在的主流舉措。如果每個(gè)人都使用加密方案，從加密聊天到加密電子郵件再到加密網(wǎng)絡(luò)瀏覽及期間所涉及的一切，那么政府方面就很難再用“只有心懷不可造人秘密的家伙才會(huì)積極使用加密”這種理由侵犯我們的個(gè)人生活。

那么工作該從何處入手?到目前為止，將加密機(jī)制作為大多數(shù)人數(shù)字化生活的必要組成部分的核心挑戰(zhàn)在于，其仍然存在一定程度的實(shí)現(xiàn)難度。從傳統(tǒng)角度講，加密技術(shù)通常要求用戶經(jīng)過多次跳轉(zhuǎn)方能使其真正起效，而且這種狀況很難得到快速扭轉(zhuǎn)。不過在今天的文章中，我們將介紹多項(xiàng)加密技術(shù)，大家可以輕松對(duì)其加以使用以保護(hù)自己的數(shù)據(jù)不至受到窺探、同時(shí)保障在線通信活動(dòng)的安全性與私密性?？偠灾褂眠@類方案的用戶越多，我們的隱私權(quán)與安全權(quán)就越能得到支持。

安全聊天與通信應(yīng)用

移動(dòng)設(shè)備已經(jīng)成為用戶與企業(yè)愈發(fā)關(guān)注的安全對(duì)象，這主要是考慮到其中往往承載著大量涉及范圍極廣的敏感數(shù)據(jù)。值得慶幸的是，面向移動(dòng)設(shè)備的加密選項(xiàng)已經(jīng)迎來了快速發(fā)展，而且其實(shí)現(xiàn)方式絕非單純只有應(yīng)用產(chǎn)品。蘋果公司在iOS設(shè)備上默認(rèn)提供全盤加密選項(xiàng)，這意味著保存在iPhone與iPad當(dāng)中的全部數(shù)據(jù)都都將自動(dòng)受到保護(hù)。與此同時(shí)，谷歌方面也在自己的最新Android版本當(dāng)中提供全盤加密機(jī)制——盡管目前其尚不屬于默認(rèn)啟動(dòng)選項(xiàng)，這意味著全盤加密已經(jīng)成為移動(dòng)設(shè)備平臺(tái)上的一種客觀標(biāo)準(zhǔn)。一旦成為標(biāo)準(zhǔn)，那么政府將很難引導(dǎo)人們重新回歸以往的未加密狀態(tài)。

蘋果公司還為我們的iMessage應(yīng)用提供端到端加密保護(hù)，這意味著大家的iMessage消息能夠避開企業(yè)的監(jiān)控。執(zhí)法部門一直在敦促蘋果方面降低此類門檻，從而保證其更輕松地獲取iOS設(shè)備中的數(shù)據(jù)，不過蘋果表現(xiàn)出了強(qiáng)硬的態(tài)度。對(duì)于很多需要考慮監(jiān)管要求的用戶來說，選擇iOS設(shè)備能夠幫助他們以最便捷的方式獲得與使用加密工具相對(duì)等的安全效果。

目前已經(jīng)有一部分應(yīng)用開始為Android以及iOS提供安全通信功能，其中包括Wickr、Signal以及Telegram。不過這類加密聊天與通信工具的一大弊端在于，其要求發(fā)送方與接收方必須使用同一款應(yīng)用來完成交流。舉例來說，Wickr用戶能夠向其他Wickr用戶發(fā)送加密文本信息，但卻無法使用某種標(biāo)準(zhǔn)化文本消息應(yīng)用向非Wickr用戶發(fā)送未加密內(nèi)容。

Wickr之所以極具人氣，是因?yàn)槠渫瑫r(shí)提供其它多種安全層：聊天與圖片內(nèi)容會(huì)在對(duì)話完成后的一定時(shí)間段內(nèi)自動(dòng)刪除。這項(xiàng)功能也適用于音頻、視頻以及來自云存儲(chǔ)的文件。通過Wickr發(fā)送的一切內(nèi)容都通過加密通道進(jìn)行傳輸，且會(huì)在到期之后被自動(dòng)移除。這意味著當(dāng)執(zhí)法部門試圖介入時(shí)，“閱后即焚”機(jī)制將使他們一無所獲。

Telegram目前的聲譽(yù)不是太好，這是因?yàn)橛袌?bào)道指出多個(gè)恐怖活動(dòng)集團(tuán)及犯罪組織在利用該應(yīng)用進(jìn)行溝通。其允許用戶最多建立起200人的聊天群組，并在內(nèi)部以加密形式共享媒體與文本信息。這部分秘密對(duì)話會(huì)完全繞過Telegram的服務(wù)器，并只以特定周期加以保存，或者以安全方式存儲(chǔ)以備日后歸檔。

加密語音通話

沒人希望在打電話的時(shí)候，自己的語音信息被他人或者執(zhí)法部門所追蹤，而目前的多款新型應(yīng)用已經(jīng)能夠?qū)φZ音通話進(jìn)行加密。

由安全研究員Moxie Marlinspike打造的Signal就允許用戶輕松實(shí)現(xiàn)語音通話加密，并在Android與iOS平臺(tái)上實(shí)現(xiàn)加密信息發(fā)送。(目前Signal Desktop Chrome應(yīng)用尚處于beta測(cè)試階段，旨在將signal的安全通信機(jī)制拓展到桌面環(huán)境當(dāng)中。)另外值得一提的是，Signal允許用戶與移動(dòng)設(shè)備通訊錄中的任何聯(lián)系人進(jìn)行加密交流。如果通話對(duì)象并非Signal用戶，該應(yīng)用會(huì)提醒稱我們的通話無法受到加密保護(hù)，但呼叫仍將繼續(xù)——也就是說，我們無需切換出當(dāng)前程序并額外通過手機(jī)上的通話應(yīng)用重新?lián)芴?hào)，這無疑極大提升了該應(yīng)用的使用體驗(yàn)。

作為Signal的出品方，Open Whisper Systems最近與WhatsApp建立了合作伙伴關(guān)系，旨在將端到端加密機(jī)制引入該高人氣通信應(yīng)用——不過目前尚不清楚雙方的具體合作細(xì)節(jié)。即使如此，WhatsApp與Snapchat等高人氣應(yīng)用也已經(jīng)開始用實(shí)際行動(dòng)證明，其正在高度關(guān)注安全保護(hù)方面的需求。

長久以來，希望在桌面系統(tǒng)上進(jìn)行語音通話的用戶只有Skype這一種方案可以選擇。不過Skype近來始終飽受指責(zé)，因?yàn)槊绹畯?qiáng)制要求微軟公司在其中設(shè)立后門以供其調(diào)查之用。由The Guardian項(xiàng)目支持的OStel是一項(xiàng)安全語音與視頻通信服務(wù)，且同時(shí)面向桌面與移動(dòng)設(shè)備用戶。用戶需要?jiǎng)?chuàng)建一個(gè)OStel賬戶(但無需提交任何個(gè)人信息)并下載對(duì)應(yīng)軟件。舉例來說，CSipSimple與Linphone都能夠在Android與iOS設(shè)備上與OStel進(jìn)行協(xié)作。

不過要實(shí)現(xiàn)安全保護(hù)，通話兩側(cè)——即呼出方與接聽方——都需要使用OStel。另外，OStel無法與固話或者仍在使用SIM卡的蜂窩網(wǎng)絡(luò)用戶進(jìn)行對(duì)接。作為一大優(yōu)勢(shì)，OStel能夠運(yùn)行在黑莓、iPhone、諾基亞以及Android這四大主流移動(dòng)設(shè)備之上，同時(shí)面向Mac OS X、Windows以及Linux三大桌面系統(tǒng)端。除此之外，它還采用ZRTP，即Signal所使用的加密協(xié)議。

加密互聯(lián)網(wǎng)連接

目前正有越來越多的網(wǎng)站利用HTTPS對(duì)用戶計(jì)算機(jī)與服務(wù)器間的往來數(shù)據(jù)進(jìn)行保護(hù)。被輸入Web表單的信用卡信息會(huì)通過加密通道進(jìn)行傳輸并發(fā)送至零售商服務(wù)器，這樣任何攻擊者在監(jiān)控對(duì)應(yīng)流量時(shí)都無法確切了解其承載的真實(shí)信息。不過這一切僅僅只是開始。

當(dāng)下公共Wi-Fi連接可謂無處不在——機(jī)場、咖啡廳、公園甚至是紐約地鐵都已經(jīng)實(shí)現(xiàn)了網(wǎng)絡(luò)覆蓋，但很多朋友可以沒有意識(shí)到，隨意使用網(wǎng)絡(luò)接入資源將會(huì)帶來巨大威脅。攻擊者們能夠輕松攔截大家的往來數(shù)據(jù)——無論其究竟指向何種在線服務(wù)。有鑒于此，通過虛擬專用網(wǎng)絡(luò)對(duì)互聯(lián)網(wǎng)連接進(jìn)行加密能夠保證攻擊者除了無效數(shù)據(jù)外什么也窺探不到——此類選項(xiàng)包括F-Secure的Freedome服務(wù)、NordVPN以及CyberGhostVPN等等。

大多數(shù)朋友所熟知的VPN軟件可能都是安裝在自己的工作用計(jì)算機(jī)之上，旨在允許我們接入到企業(yè)應(yīng)用當(dāng)中。但在另一方面，也有一部分VPN服務(wù)負(fù)責(zé)幫助用戶通過第三方服務(wù)器建立加密通道，并以該通道為基礎(chǔ)轉(zhuǎn)接至互聯(lián)網(wǎng)。當(dāng)身處加利福尼亞州的用戶利用法國的VPN服務(wù)接入Facebook時(shí)，從Facebook的角度來看用戶所處位置將位于法國、而非加利福尼亞。這是一種非常強(qiáng)大的處理方式，我們可以利用VPN服務(wù)進(jìn)行連接加密，從而在機(jī)場更為安全地辦理網(wǎng)上銀行業(yè)務(wù)、且不必?fù)?dān)心自己的操作被惡意人士所掌握。

接下來要說的是Tor，其能夠讓用戶在互聯(lián)網(wǎng)上以匿名方式存在。Tor采用多層安全機(jī)制，能夠利用通信內(nèi)容在多個(gè)節(jié)點(diǎn)間反復(fù)跳轉(zhuǎn)的機(jī)制隱藏其起源。Tor不僅能夠防止網(wǎng)絡(luò)操作受到監(jiān)控，同時(shí)也能夠防止網(wǎng)站對(duì)用戶行為進(jìn)行追蹤。大家甚至可以通過Tor訪問Facebook。Tor的新用戶可以利用Tor瀏覽器作為起點(diǎn)，另外The Guardian項(xiàng)目還面向Android提供一款名為Orbot的Tor代理工具。

加密電子郵件

在各類現(xiàn)代通信形式當(dāng)中，電子郵件的敏感性可能是最高的。大家的收件箱中可能保存有銀行報(bào)表、來自各類服務(wù)與零售商的賬單、稅務(wù)相關(guān)文件乃至個(gè)人信息等等。一旦電子郵件泄露，我們的對(duì)話對(duì)象以及對(duì)話議題都將被惡意人士所掌握——甚至?xí)恢匦露ㄏ蛑铃e(cuò)誤的接收對(duì)象處。執(zhí)法部門也能夠?qū)Ρ４嬖卩]件服務(wù)器中的郵件副本進(jìn)行調(diào)查，因此對(duì)文本內(nèi)容進(jìn)行加密以保護(hù)相關(guān)信息就成了一項(xiàng)當(dāng)務(wù)之急。

以Hushmail與GhostMail為代表的安全郵件服務(wù)承諾內(nèi)置加密功能。當(dāng)大家向其他同類安全服務(wù)用戶發(fā)送郵件時(shí)，該服務(wù)會(huì)在實(shí)際進(jìn)行內(nèi)容傳輸前進(jìn)行加密操作。如果大家希望向某位非Hushmail用戶發(fā)送郵件，則可以利用預(yù)設(shè)了答案的個(gè)人問題來限定訪問權(quán)限——這意味著接收方必須知曉該問題的答案才能完成消息解密。值得強(qiáng)調(diào)的是，這些服務(wù)完全在后臺(tái)進(jìn)行處理，用戶在使用過程中仍能享受到無縫化體驗(yàn)。

Outlook也會(huì)利用由該軟件生成的數(shù)字化證書實(shí)現(xiàn)內(nèi)置加密功能——具體來講，用戶需要在發(fā)送加密消息之后對(duì)內(nèi)容進(jìn)行數(shù)字簽名并交換證書。完成這些操作之后，打開新消息并選擇“選項(xiàng)”菜單之下的“加密消息內(nèi)容與附件”條目即可。

如果大家擁有多年的Gmail、雅虎、Hotmail或者其它郵件服務(wù)的使用經(jīng)驗(yàn)，那么恐怕不太可能單純出于安全考量而選擇新的郵件服務(wù)供應(yīng)商。考慮到這一點(diǎn)，比較可行的辦法是利用Husmail或者GhostMail處理敏感通信，并繼續(xù)使用現(xiàn)有服務(wù)發(fā)送及接收普通消息。不過這種作法對(duì)于推動(dòng)加密普及來講并不理想。

管理私有/公共密鑰

在電子郵件服務(wù)供應(yīng)商決定建立起通用型的電子郵件加密系統(tǒng)之前，安全責(zé)任仍然需要由發(fā)送方與接收方自行承擔(dān)。發(fā)件人必須生成一套公共/私有密鑰對(duì)，而后公開公共密鑰。而接收方必須了解如何使用該公共密鑰來進(jìn)行消息解密。對(duì)于大部分使用公共/私有密鑰機(jī)制的工具來說，公共/私有密鑰的管理過程都是完全透明的。不過電子郵件場景并不符合這種慣例。

以Keybase.io為代表的服務(wù)以及K-9與OpenKeychain等Android應(yīng)用都致力于簡化密鑰的管理流程。在Keybase.io的幫助下，大家可以使用Twitter、GitHub、Reddit或者其它自己喜愛的工具對(duì)公共密鑰進(jìn)行發(fā)布。另外，大家也可以將私有密鑰保存在Keybase或者其它合適的位置，例如通過OpenKeyvhain將其存儲(chǔ)在手機(jī)當(dāng)中。如果大家需要利用密鑰對(duì)通信消息進(jìn)行簽名或者加密文本內(nèi)容，則可以利用Keybase的內(nèi)置工具，而后將由其生成的文本塊粘貼到郵件信息當(dāng)中。因?yàn)镵eybase采用PGP(即Pretty Good Privacy)機(jī)制，對(duì)應(yīng)副本可利用任意能夠處理PGP密鑰的密鑰管理器進(jìn)行解密或者修改簽名。Mailvelope是一款Chrome應(yīng)用，其能夠利用大家的PHP密鑰對(duì)目前各主流郵件服務(wù)中的信息進(jìn)行加密與解密。

雖然要真正實(shí)現(xiàn)普及，個(gè)人郵件加密工具還需要進(jìn)一步提升自身易用性水平，不過其目前已然邁出了重要的一步。

加密磁盤驅(qū)動(dòng)器

微軟公司已經(jīng)利用BitLocker將文件與磁盤加密機(jī)制內(nèi)置到了部分Windows版本當(dāng)中，而蘋果方面亦利用FileVault2在Mac OS X中實(shí)現(xiàn)了相同的功能。遺憾的是，對(duì)于Windows用戶來講，BitLocker并不存在于當(dāng)前人氣最高的版本當(dāng)中——例如Windows 7家庭版或者Windows 8與8.1各核心版本。

對(duì)于這部分無法享受到BitLocker的Windows用戶，大家可以選擇TrueCrypt及其它后續(xù)同類工具。TrueCrypt誕生于2014年，盡管其活躍在歷史舞臺(tái)上的時(shí)間還非常有限，不過這款文件加密程序的最新穩(wěn)定版本已經(jīng)能夠提供極為出色的安全保護(hù)效果與執(zhí)行效率。VeraCrypt屬于TrueCrypt的fork外加繼任者，其目前尚處于積極的發(fā)展當(dāng)中，且能夠支持多種加密算法——包括AES、TwoFish以及Serpent。

同時(shí)值得指出的是，大家的數(shù)據(jù)并不只存在于自己的移動(dòng)設(shè)備或者臺(tái)式機(jī)當(dāng)中。我們平時(shí)經(jīng)常使用的 U盤也包含有大量文件，而其中也許就存在著一些不可被公開的隱私及有價(jià)值信息。另外，外接磁盤驅(qū)動(dòng)器在文件存儲(chǔ)擴(kuò)展與備份方面也扮演著重要角色。這些驅(qū)動(dòng)器同樣必須得到嚴(yán)格加密。

目前市面上存在著多種加密U盤產(chǎn)品，相關(guān)廠商包括Imation、海盜船以及金士頓等等。只需要將U盤接入我們的USB接口，而后將文件拖拽至其中，文件保護(hù)工作就輕松完成了。一部分U盤甚至支持生物識(shí)別功能，其設(shè)計(jì)目的在于如果大家不慎丟失了自己的U盤，那么其中的數(shù)據(jù)仍將受到保護(hù)——除非拾到者能夠猜出密碼內(nèi)容或者突破生物識(shí)別機(jī)制。另外，希捷與西部數(shù)據(jù)等廠商也在銷售安全自加密磁盤驅(qū)動(dòng)器，大家可以利用它們來實(shí)現(xiàn)數(shù)據(jù)的安全備份。

保護(hù)我們的文件

盡管全盤加密能夠?qū)Ρ４嬖诒镜氐囊磺形募M(jìn)行自動(dòng)加密，但這并不足以徹底解決問題——仍有相當(dāng)一部分文件被保存在其它位置或者在與其他人進(jìn)行共享。

以Google Drive與Dropbox為代表的各類云存儲(chǔ)服務(wù)都能對(duì)保存在其服務(wù)器當(dāng)中的文件進(jìn)行自動(dòng)加密。不過如果一旦惡意人士成功獲得了此類文件的訪問權(quán)，那么其內(nèi)容將不再具備任何形式的保護(hù)。Dropbox、Box以及Syncplicity都提供相關(guān)企業(yè)工具，允許IT部門為文件分配特定管理政策，不過這些控制手段通常只作用于文件存在于其服務(wù)當(dāng)中的這一周期。而要想對(duì)文件進(jìn)行由始至終的連續(xù)保護(hù)而無論其當(dāng)前所處位置，那么最理想的辦法當(dāng)然是使用基于文件的加密機(jī)制。

名為MiniLock的一款Chrome應(yīng)用能夠幫助用戶輕松解決這個(gè)問題，它的作用是對(duì)文件進(jìn)行加密與解密。要使用這款應(yīng)用，訪問者只需通過Chrome Web Store安裝MiniLock——不涉及任何登錄操作。這款應(yīng)用采用電子郵件地址與密碼(請(qǐng)大家務(wù)必選擇一條高強(qiáng)度密碼)以生成一條長度為44字節(jié)的MiniLock ID，其將作為公共加密密鑰存在。大家可以將任意類型的文件，包括視頻、圖片以及文檔，拖拽至MiniLock窗口以完成加密，而只有掌握特定MiniLock ID的用戶才能將該文件打開。在此之后，該文件可以被保存在云存儲(chǔ)服務(wù)當(dāng)中或者通過郵件進(jìn)行發(fā)送，永遠(yuǎn)只有掌握有效MiniLock ID才能對(duì)文件加以解密。

一家名為Vera的初創(chuàng)企業(yè)也拿出了自己的文件保護(hù)解決方案——其能夠在文件離開企業(yè)網(wǎng)絡(luò)或者安全文件存儲(chǔ)環(huán)境后繼續(xù)擁有安全保障。用戶能夠在文檔當(dāng)中設(shè)置管理政策，例如不允許對(duì)該文檔進(jìn)行復(fù)制與粘貼或者打印、在被轉(zhuǎn)發(fā)給他人的情況下不可打開、在一定時(shí)間后刪除該文件或者對(duì)內(nèi)容進(jìn)行加密以確定只有指定接收者能夠查看其內(nèi)容。

也有不少軟件套件能夠?yàn)榇蠹姨峁┘用芄ぞ?。微軟公司就在Office 2010之后的版本當(dāng)中，為文件菜單下的信息標(biāo)簽提供了內(nèi)置加密工具。Adobe Acrobat Pro X在其“工具”標(biāo)簽下的“保護(hù)”選項(xiàng)內(nèi)提供對(duì)應(yīng)條目。而在這兩款套件當(dāng)中，文件皆可通過密碼實(shí)現(xiàn)加密與解密，所以大家在使用時(shí)一定要使用高復(fù)雜度密碼內(nèi)容并保證其與文件本身不具有相關(guān)性。

如果大家經(jīng)常發(fā)送zip文件，但又不打算專門使用由MiniLock生成的公共密鑰或者安裝特定軟件，那么7-Zip文件歸檔工具可能最符合大家的需求。盡管其主要設(shè)計(jì)目標(biāo)在于壓縮及解壓大型文件與文件夾，但其也會(huì)利用256位AES加密機(jī)制對(duì)各獨(dú)立文件進(jìn)行批量加密。而在創(chuàng)建歸檔文件時(shí)，大家可以為其指定一條密碼，這款工具會(huì)自行完成其余的加密工作。這可以說是最為簡單的一種文件加密途徑了，大家完全不需要接觸公共密鑰或者登錄其它額外的服務(wù)。

用戶接受度才是關(guān)鍵

加密機(jī)制能夠幫助我們包含有銀行私密信息的通信內(nèi)容免受犯罪分子的觸及，讓我們的醫(yī)療記錄在服務(wù)器之間往來傳輸時(shí)免遭泄露，更能夠預(yù)防其他人在網(wǎng)上購物過程中窺探我們的信用卡號(hào)碼。盡管各政府機(jī)構(gòu)正想盡辦法通過安裝后門等方式突破加密手段，從而調(diào)查隱藏在其背后的犯罪活動(dòng)與相關(guān)通信內(nèi)容，但這并不妨礙我們出于自我保護(hù)的立場而使用加密通道。

政府與各執(zhí)法部門忽略了加密技術(shù)給每個(gè)人帶來的助益，很明顯并非每位隱私受保護(hù)者都是恐怖分子或者犯罪集團(tuán)成員。畢竟各政府機(jī)關(guān)也都會(huì)利用加密保護(hù)自身權(quán)益，道理是完全相同的。

盡管加密技術(shù)已經(jīng)取得了長足的進(jìn)步，更加易于實(shí)現(xiàn)，而加密也開始以默認(rèn)標(biāo)準(zhǔn)的形式滲透到各個(gè)角落，但要使其真正邁上新的臺(tái)階、我們應(yīng)當(dāng)從現(xiàn)在開始將加密工具引入自己的日常數(shù)字化生活?？偨Y(jié)來講，加密技術(shù)的普及將成為我們實(shí)現(xiàn)隱私權(quán)與安全權(quán)的重要武器。

原文標(biāo)題：Maximum security: Essential tools for everyday encryption