文件透明加密技术简介

文件透明加密技术是近些年针对企业文件保密需求应运而生的一种文件加密技术,区别于常见的文件密码加密。所谓透明,是指对用户而言加解密过程不会被觉察,当用户打开或编辑受保护文件时,系统将自动对未加密的文件进行加密,对已加密的文件解密。文件在硬盘上以密文形式存储,在内存中则为明文,一旦改变使用环境,由于无法获得自动解密服务而无法打开,从而达到保护文件内容的目的。

 

透明加解密技术是与操作系统紧密结合的一种技术,wjndows允许程序设计人员在内核和用户两个级别操作文件,因此,加密进程就可以在这两个层次截获文件读写操作,嵌入自己的加密算法进行加解密,通常应用级别的截获采用APIH0()K(俗称钩子)技术,称为钩子透明加密,内核级采用文件过滤驱动,称驱动加密。两者的加密层次如下图所示。

 

图: 钩子透明加密和驱动透明加密的截获文件操作的层次

 

钩子透明加密和过滤驱动加密是目前两种主流的透明加密方法,二者的区别在于截获文件操作的位置不同,比较而言过滤驱动加密效果更好,但是实现的难度也相当的大,在安全领域具有很高的研究价值和实用价值。

 

超时代旗下视频加密软件手机视频加密u盘防复制软件共享资料保护专家等均采用先进的加密算法,保护企业文档的安全。

透明加密技术在企业信息保护中的应用(三)

( 3)透明加密与解密过程
1.加密过程
透明加密的过程与传统的加密一样, 在进行加密时, 也必须改变文件的内容, 只有这样才能起到保护作用。在这个过程中, 使用密码或者专用加密硬件作为内容变化的依据。例如: 磁盘上存在一个abc. txt的文本文件, 内容为”123456. . . “, 使用加密软件对它进行加密, 加密后文件的存储内容成为“$ &* #@ )…”。
2. 解密过程
与传统加密相同, 透明化加密软件所具有的解密功能也是彻底解密, 即彻底恢复文件的原本内容。进行解密时, 软件要求进行密码的检核或加密硬件的连接。虽然与传统加密软件的解密在实质上相同, 但具体使用上却有天壤之别: 在传统加密中, 每次使用加密文件时, 必须要先解密文件。当加密文件被认为不再属于隐私文件或机密文件, 也要进行解密以后才可以使用。而在透明加密中, 每次使用加密的文件, 需要使用透明化功能, 不需要用户自己解密, 只有当被加密的文件被认为不在属于隐私文件或机密文件的时候, 才需要解密文件。
( 4)透明加密技术的关键指标
透明加密技术的评价一般可采用以下要素, 各要素的重要度从高到低排列如下:
1. 可靠性和稳定性
可靠性就是要保证: 无论在任何情况下, 被加密的文件不能被损坏。这是企业选用加密软件的基础。在日常应用中本来就存在不稳定因素, 可能造成计算机文档的损坏, 例如: 掉电、误删除等, 透明加密软件产品如果程序写得不够好, 考虑得不够周全,会加大操作系统原有故障产生的概率。
所谓稳定性是指: 安装了加密软件后, 客户端不能动辄出现蓝屏、崩溃、重新启动等不稳定的症状。不稳定的情况在目前阶段恐怕无法完全避免, 但不能影响到正常使用。如: 某版本的加密软件, 用户按照某个固定的顺序执行一个应用操作后, 系统肯定会重新启动, 在找到问题之前, 用户可通过建立规范等管理手段, 要求员工不要按照这个流程来操作。判断加密产品可靠性和稳定性的方法: 搭建足够复杂的测试环境, 模拟企业应用实际操作, 通过极限测试和压力测试来判断。
2.效率
采用透明加密软件后, 用户在进行实际操作的时候, 在打开和关闭文件、存盘、复杂计算等操作时,速度不能受到太大影响。因为加密软件直接接管了客户端的文件读写, 其执行效率直接影响用户的实际工作效率, 例如: 编辑一个文档, 如果本来保存需要5秒, 现在安装了加密软件后, 保存文档需要 5分钟, 恐怕所有用户都不会使用。使用加密软件必然存在效率的损耗, 要看效率损耗有多少。这一点和杀毒软件类似。判断加密产品效率的方法是: 模拟企业应用实际操作, 用最大、最复杂的文件
作为测试对象, 通过比较采用加密产品前后执行存盘等操作的时间差异来判断效率的损耗。
3.安全性
这里谈到的安全性主要针对透明加密对象, 主要体现在以下几个方面:
一方面加密的文件本身要保证安全, 文件的明文不能被复制。不少加密产品不但对内存中的文档进行了保护, 同时通过封锁出口等其他的方法防止重要文档的泄密。
window s操作系统有很多种应用之间交换数据的方法, 安全性的另一方面体现在对这些数据交换方法的控制, 包括: 如何控制剪贴板复制和粘贴、程序之间的拖拽、通过OLE交换数据等, 其核心又包括两部分内容, 一是涉密的应用与非涉密应用之间的数据交换应当只进不出, 如: 如果 word文档如果被加密, 则其中的内容不能被粘贴到非涉密的qq中, 或者粘贴到 qq中的文本应当是乱码; 二是加密软件之间还应当能通过系统提供的数据交换方法进行正常的数据交换, 如: word和 excel都是加密的,从word可以正常粘贴数据到 excel中。
安全性的第三方面体现在文件打开后要防止屏幕的拷贝, 但是这种控制力度是有限的, 一方面截屏的方法很多, 除了屏幕拷贝键Print Screen以外, 还有很多中屏幕拷贝软件, 如:Hprsnap等, 甚至有方 法直接截取显卡的显示内存中的内容将其还原为图片, 还有一种最为简单的方法是基于W indow s文件系统过滤驱动的文件加/解密技术 的: 用手机或者数码相继直接拍照。所以说这种方法一般很难保证全部控制, 只能点到即止, 而且过于严密的控制会影响到用户的正常使用, 这种情况加密产品应当避免。
安全性的第四个方面体现在透明加密产品的解密机上, 所谓解密机就是一把万能钥匙, 得到授权的使用者可以用来批量还原被加密的文件, 假设 A、B两家企业采用了同一个透明加密产品, 则既要保证在任何情况下, A 用户加密的文档能够被自己还原,又要保证A 用户的万能钥匙无法解开 B用户的加密文件。
4.方便性
方便性主要体现在两个方面: 一方面是对于系统维护人员而言, 加密产品在部署、配置、升级、维护等管理方面的是否简单便捷; 另一方面是对于用户来说, 加密和解密在操作上是否简单, 是否真正实现了对用户透明。
5. 防卸载
目前针对透明加密软件存在较多诟病的地方在于其防卸载能力方面, 少数员工未经许可, 私自终止透明加密客户端的运行成为企业关注的问题。其实, 从透明加密产品的研发思路来看, 透明加密产品在防止卸载方面要求过高必要性不大, 因为透明加密在用户需要保密的区域 ( 比如: 某个部门或者整个企业)和应用( 比如: CAD 图纸)整个范围内, 所有相关类别的文档自生成之日起, 在计算机中就以加密方式存在的, 如果用户私自卸载了客户端, 至少他无法打开其他被加密的文档。
随着企业信息化的进一步推进, 企业信息的安全问题也成为众多企业的关注问题, 透明加密技术,视频加密软件,u盘防复制软件等可以在一定程度上保护企业信息的安全, 但是要真正杜绝企业信息的泄密, 这依然是很难达到的, 未来的透明加密技术应该在设计良好加密算法的基础上, 和其他相关知识如操作系统等进行结合, 获得更好的保护效果。

透明加密技术的分类比较

从底层技术来看, 透明加密产品可分为采用钩子模式和采用驱动模式的两种流派,两种加密技术由于工作在不同的层面, 从应用效果、开发难度上各有特点。

* 钩子透明加密技术

所有Windows应用程序都是通过 windows API函数对文件进行读写的。程序在打开或新建一个文件时, 一般要调用 windows的Create File或Open File、Read File等Windows API函数; 而在向磁盘写文件时要调用Write File函数。

同时windows提供了一种叫钩子 ( Hook) 的消息处理机制, 允许应用程序将自己安装一个子程序到其他的程序中, 以监视指定窗口某种类型的消息。当消息到达后, 先处理安装的子程序后再处理原程序。

钩子透明加密技术就是将上述两种技术组合而成的。通过windows的钩子技术, 监控应用程序对文件的打开和保存, 当打开文件时, 先将密文转换后再让程序读入内存, 保证程序读到的是明文, 而在保存时, 又将内存中的明文加密后再写入到磁盘中。

钩子透明加密技术与应用程序密切相关, 它是通过监控应用程序的启动而启动的。一旦应用程序名更改, 则无法挂钩。同时, 由于不同应用程序在读写文件时所用的方式方法不尽相同, 同一个软件不同的版本在处理数据时也有变化, 钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。目前不少应用程序为了限止黑客入侵设置了反钩子技术, 这类程序在启动时, 一旦发现有钩子入侵, 将会自动停止运行。驱动加密技术基于windows的文件系统(过滤)驱动(FS)技术, 工作在windows的内核层。我们在安装计算机硬件时, 经常要安装其驱动,如打印机、U 盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时, 文件驱动会监控到程序的操作, 并改变其操作方式, 从而达到透明加密的效果。

* 驱动透明加密技术

驱动加密技术与应用程序无关, 他工作于 w in- dow sAPI函数的下层。当API函数对指定类型文件进行读操作时, 系统自动将文件解密; 当进入写操作时, 自动将明文进行加密。由于工作在受 w indow s保护的内核层, 运行速度更快, 加解密操作更稳定。

但是, 驱动加密要达到文件保密的目的, 还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序, 哪些程序是非法的程序。驱动透明加密工作在内核层。

驱动加密技术虽然有诸多的优点, 但由于涉及到w indow s底层的诸多处理, 开发难度很大。如果处理不好与其他驱动的冲突, 应用程序白名单等问题, 将难以成为一个好的透明加密产品。

* 两种技术比较

两种加密技术由于工作在不同的层面, 从应用效果、开发难度上各有特点。下表从几个方面进行了简单比较:

表 1钩子透明加密与驱动透明加密比较表

项目 钩子透明加密 驱动透明加密
工作层面 用户层 内核层
工作方式 Hook应用程序和文件类型 接受系统IRP进行处理
与应用程序关联性 直接与程序工作方式相关,对新应用程序加密或应用程序升级可能需要再开发。 与程序工作方式无关,但监控应用程序名单。
加解密可靠性 应用层加解密,大文件易死机。速度慢。 内核层加解密,受windows保护,稳定性较好,速度快。
网络操作能力 不受限制 需要专门处理

开发难度 Hook技术, 相对较容易 驱动技术, 开发难度较大。采用钩子模式开发相对容易, 但由于控制的层面较高, 很多底层的操作难以控制, 和各种应用程序之间的兼容性需要特殊处理。所以相对容易受到应用版本的限制, 一旦应用修改了读写方法, 加密软件必须跟着修改。

采用驱动模式是从更为底层的层面进行控制,可以获得更高的安全性和效率, 但是技术难度很大。底层的操作需要顾及系统的各个层面之间的协调处理, 由于驱动中程序的健壮性更多由程序本身决定, 难以依赖操作系统对错误进行处理, 如果这个驱动存在缺陷或者被某些程序异常终止 (例如出现未预料的错误), 在系统底层无任何保护措施的环境下, 最直接的后果就是系统蓝屏崩溃。

透明加密技术在企业信息保护中的应用

作者:陈锦屏,毕媛媛 整理:超时代软件

网站标签:视频加密软件, 手机视频文件加密金盾视频加密器, 共享文件夹设置密码局域网共享软件, 共享文件夹加密专家u盘防复制

随着计算机的深入应用、企业信息化程度的提高,对企业核心数据安全的保护与采用手工工作方式的时代相比较也提出了更高的要求。其中内网信息安全也因其重要性成为众多企业关注的焦点。然而企业很难做到有效控制员工将数据外流泄密的行为,因为无论企业采用什么样的方式进行监控防堵,总是防不胜防,总有疏忽的时候。因此可以采取文件加密方式,使其就算把数据外流出去,也将变成无法解密的垃圾数据。透明加密技术就是在这种背景下应运而生的。

一、企业信息泄密概述

在现今企业的泄密事件中,内部人员的泄密是其中的一个重要原因。这主要有以下原因:

1.泄密途径增加,泄密手法更加隐蔽
随着企业的信息化水平越来越高,企业对计算机和网络的依赖程度也日益增强,因此相应泄密的途径也随之大量增加。一封电子邮件或者一个U盘就足以将企业的重要信息泄露出去。而在管理不严格的单位,这种泄密在当时很难被察觉,等到察觉时往往已经对企业造成重大损失。

2.企业安全意识不够
在企业信息化应用深入的同时,部分企业的安全意识和防护能力并没有得到同步加强,一些企业仍然对员工计算机管理采用放任自流的态度,将计算机作为一种普通的工具来看待,对于IT制度建设和日常管理的重要性认识不足,IT部门的重要性远不如一线的设计、生产部门,即使建立了IT管理制度,也没有得到较好的贯彻和执行。

3.传统安全保密技术的滞后
由于各类信息化应用的普及,企业内部网络成为自有知识产权的主要载体,传统的以纸张保密为基础的监控手段无法适应新环境的保密要求;但是防火墙、入侵检测和漏洞扫描等对于来自内部的安全隐患也无计可施。

二、透明加密技术

透明加密技术就是针对企业信息保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。

1.透明加密技术的由来

其实,针对企业信息的加密的研究,在很早之前就有,当时主要是通过主动式加密的方法对信息进行加密。主动式加密由信息作者进行加密。例如:WORD、EXCE等软件都允许用户通过设置密码对文档的阅读和修改权限进行控制;也有一些工具允许用户对计算机的文件夹进行加密,防止非授权用户查看。这种主动加密功能相对简单,实现也比较容易,但是对于企业内部员工的泄密是无法防范的。

透明加密技术主要是针对这种主动加密的缺陷而产生的,其属于被动式加密类产品,其主要思路是:在局域网中,只要部署了该产品,在涉密范围内的文档,在用户使用时会强制自动加密。其基本过程是:当应用向计算机磁盘写文件的时候,对写的结果进行加密;而应用在读取文件的时候,对文件进行解密。以保证涉密文档在离开了企业环境或者用户不具备授权时无法查看;或者将所有涉密文档转换成为专有格式,并存放到服务器上,用户需要察看涉密文件,如同在档案室借阅文档一样。

2.透明加密原理和分类
(1)透明加密原理
透明加密技术是与Windows紧密结合的一种技术,它工作于Windows底层。通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中明文加密并写入存储介质,从而保证存储介质上文件始终处于加密状态。

微软Windows采用事件驱动的机制,通过消息的传递来实现对应用的管理。其中监控windows打开(读)、保存(写)可以在windows操作文件的多个层面上进行。例如:32位CPU定义了4种(0~3)特权级别,或称环(ring)。其中0级为特权级,3级是最低级(用户级)。运行在0级的代码又称内核模式,3级的为用户模式。常用的应用程序都是运行在用户模式下,用户级程序无权直接访问内核级的对象,需要通过API函数来访问内核级的代码,从而达到最终操作存储在各种介质上文件的目的。为了实现透明加密的目的,透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时先转换成为明文,以便应用程序能够识别;在保存时又要将明文转换成密文,以达到保密的效果。

Window允许编程人员在内核级和用户级对文件的读写进行管理,内核级采用虚拟驱动的方式,用户级采用HookAPI(俗称钩子技术)的方式。因此,透明加密产品根据其采用的核心技术包括APIHook和VDM(WindowsDriverModel)内核设备驱动挂载方式(俗称驱动技术)。透明加密软件通过监视涉密应用的磁盘读写,对文档进行动态的加密和解密,由于这些操作都在后台自动完成,除了速度可能降低外,用户在使用方式上与平时没有差异。

编程上可以在两个技术层面对文件的操作进行控制,内核层和应用层,内核层采用文件驱动的方式,应用层采用HookAPI的方式。因此,透明加密产品根据其采用的核心技术包括APIHook和VDM内核设备驱动挂载方式。透明加密软件通过监视涉密进程的磁盘读写,对保密文档进行动态的加密和解密,由于这些操作都在后台自动完成,除了速度可降低外,用户在使用方式上与平时没有差异。

文档加密技术和透明加密软件发展趋势研究

1.前言
随着计算机的普及和网络的发展,标志了人类社会进入了信息化时代,无纸化办公系统被越来越多的组织和个人所认可并得到广泛应用;但随之而来的一个问题就是:人们如何保护信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性 。要解决这个问题方法有两种,一是封堵信息出口,使之不被泄露出去,阻止非法用户接触到信息资源;二是对信息进行加密,使之即使遭到泄露也将处于安全可控状态,不被非授权用户所读取。由于信息的传播和泄露途径众多,难以进行完全封堵,因此对信息进行加密存储是确保信息安全最重要的技术措施之一,是信息安全的关健核心技术 。
2.信息加密技术介绍
数据加密的基本过程就是对原来为明文的文件或数据采用某种算法进行处理,使其成为一段不可读的代码,通常称为 “密文”,只能在输入相应的密钥之后才能显示出本来内容;该过程的逆过程为解密…。透明加解密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是不可见的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存在中是明文。一旦离开使用环境,由于应用程序无法获得自动解密的服务而无法打开,从而起到保护文件内容的效果。
透明加解密技术是与操作系统紧密结合的一种技术,它工作于操作系统底层,从技术角度看,可分为内核级加密和应用级加密两类。
2.1应用层加密
应用层加密技术基于Wind0ws操作系统的API hook技术开发,通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。其本身是跟应用软件有紧密关系的一种方式,它是通过监控应用程序的启动而启动的,技术开发难度小,相对简单,网络操作能力不受限制,但也正是其与应用程序紧密相关性,使其工作的有效性跟应用程序的版本联系非常紧密,如果版本变化,或应用程序名更改,则无法挂钩,导致加密的失效,同时,由于不同应用程序在读写文件时所用的方式方法不尽相同,同一软件不同版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。另外对于大文件操作时速度较慢,且容易被应用软件误认为是病毒或者黑客利用hook侵入而终止软件运行。
2.2驱动层加密
驱动层加密技术是基于windowS的文件系统 (过滤)驱动 (IFS)技术,工作在于windowsAPI函数的下层 。驱动加密技术与应用程序无关,当API函数对指定类型文件进行读操作时,系统 自动将文件解密;当进入写操作时 , 自动将 明文进行加密 。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定和更安全可靠,即使对大文件进行操作也不会死机,但基于Windows操作系统内核开发的驱动层加密,开发难度大,对网络操作能力,需要专门处理.
3.前景展望
透明加密技术作为一种新的数据保密手段,自出现以来,得到许多信息安全公司的热捧,也为广大需要对敏感数据进行保密的客户带来了希望,市场份额逐年上升;经过几年的实践和摸索,客户对安全软件开发商提出了更多的要求,为透明加密技术未来的发展指出了新的方向。本文就五个方面对透明加密软件的发展动向进行了简要的分析。
3.1驱动层加密技术成为透明加密的主流技术
应用层透明加密技术和驱动层加密技术的特点使得驱动层透明加密技术有着更多竞争上的优势,其在加密过程中所体现的稳定性、安全性和使用方便性已经被使用者所认可,并通过市场手段逐渐展现,加密软件厂商也将逐步认识到这点,于是将会有越来越多的厂商转而研发驱动层加密技术,促进驱动层加密技术发展 。
3.2高级加密算法 (AES256)被普遍使用
加密技术最明显的作用就是提供机密性和可靠性 ,作为DES的替代方案,AES是一个迭代的对称密钥分组的密码 ,它可以使用128、192和256位密钥,作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点,已经被多方分析且广为全世界所使用,也将被越来越多的加密厂商所采用。超时代视频加密软件共享文件夹加密软件等各类企业级及个人软件均采用此种高级加密算法,确保其可靠性。
3.3加密控制策略更加灵活,操作更加人性化
在企业管理越来越人性化的今天,一成不变的强制加密技术虽然可以控制单位内部敏感数据泄密,但缺乏灵活性却饱受垢病,客户期待能 自主、灵活的设置加密控制策略。比如,雇主需要能打开员工加密的密文,但 自己电脑上不加密,又或者单位高层领导可以自主选择是否对编辑中的文件进行加密,并能 自由在强制加密与不加密间切换,这就促使加密软件厂商对加密控制策略不能局限于强制加密一种手段,而是要更加灵活地进行配制。
3.4密文 自动备份成为必备功能
数据存储是个复杂的过程。透明加密软件对Windows操作系统的存储和读取进行干预,难免不会出现这样那样的问题,导致加解密过程失败,甚至对文件造成无法挽回的损失。一旦文件造成无法挽回的破坏、或经常出现需要对异常密文进行修复的情况,将直接影响客户的正常工作,因此密文的自动备份可 以作为预防措施。
3.5密文管理精细化
在一些单位,不但要求内部数据不能外传,还要在部门间或项 目组之间相互保密,而上级部门或领导又要能打开不同部门的密文,这就使得一个单位 只有一个密钥无法满足需求。于是便要求加密时做到密文分级的管理,使 同一单位 内部拥有多个密钥 ,相互不能解密,但通过赋予某一职权人 (如上级领导等)同时拥有多个密钥,其就可以对相应的文件进行加解密操作。
同时,单位 内部还涉及到不同的人对密文的控制权限不同,如项 目组人员可以编辑相关的文件,但项 目周边相关人 (如车间主任等)只拥有访问的权限,所以在加密中集成权限理将是未来用户的普遍需求。
4.结论
随着信 息安全被人们 日益重视,文件保护是最重要的 目的。透明加密软件作为新型安全软件产品,已经得到广大客户的认同,市场需求不仅在现有层面上不断扩大,我们有理由相信,透明加密软件会象其它软件一样,产品会越来越完善,功能定位会越来越明确,并最终成为广大企业和个人计算机用户的 “标准配 置”软件。

透明加密技术实现原理

作者:周道明,钱鲁锋,王路路 整理:超时代软件

近年米,信息技术迅猛发展,越来越多的信息和资料以数字形式存放在硬盘等数字存储设备中,并且随着信息共享技术的突破,通过移动存储设备、网络等介质交换数据越来越方便,但同时,核心数据的控制和管理也越来越难,如何保证核心数据不泄露逐渐成为了信息安全的热点问题。为此,很多单位采取了“完全封闭式的管理”、“堵塞或拆除计算机的USB接口,禁止上网”、“简易的身份认证”等各种方式防止核心数据泄露,但往往是顺此失彼,难以完全控制。如何建立完善的数据泄露防护体系、保护核心资源,已迫在眉睫。

 

数据加密作为数据保护的有效方式之一,越来越受到广泛认可,但传统的数据加密方式仔在加密速度慢、密码易被破 、无法防止文档被复制等缺点,难以满足需要。近年来,随着对加密技术的深入研究,透明加密技术正逐渐得到广泛应用.

 

实现原理

 

透明加密技术是近年来发展较为迅速的一种文件加密技术。所谓透明加密是指对使用者来说,数据的加、解密是自动的,不会影响其止常的操作习惯:采用这种技术,使用者保存数据时,系统将对数据自动进行加密,当使用者打开或编辑指定文件时,系统自动对已加密的文件进行解密,在硬盘上存储的是密文,在内存中存储的是明文,一旦离开使用环境,数据就无法得到自动解密的服务,从而达到保护数据内容的效果。共享文件夹加密,采用先进的透明加密技术,获得广大用户的好评。

 

透明加密技术的产生是与Windows操作系统的发展密不可分的。自WindowsNT问世以来,微软提出了系统分层的概念将操作系统设计为双模式多层驱动式结构,典型的Windows驱动程序层次结构如图1所示 。

0925

两个模式主要指用户模式和内核模式。通常情况下,应用程序运行在用户模式下,只能访问自己私有的内存空间,无法直接访问硬件,它对文件的操作只能通过调用Windows API函数进行,这为在用户模式下进行透明加解密提供了时机。如在写文件时,首先对文件数据进行加密,再调用Win32 API函数进行写操作 ;在读文件时,先调用Windows API函数读出加密的数据,再 自动进行解密。在调用WindowsAPI函数时截获消息并对数据进行加解密处理,是在用户模式下实现透明加解密的主要方式。

 

在核心模式下,应用程序对WindowsAPI函数的调用,最终将转化为不同的操作指令传递给I/O管理器,I/O管理器将不同的操作请求转化为IRP(I/ORequestPackage,输入/输出请求包),分发给各层驱动依次处理。Windows将驱动分成了以下三种 。总线型驱动程序主要用于管理一个逻辑的或物理的总线,比如PCI、USB等 ;功能型驱动程序用于管理某一 特定类型的设备,主要用于将一个设备的操作接口导出给操作系统 ;过滤型驱动程序位于功能型驱动程序的上层或下层,可增加或者改变一个设备或另一个驱动程序的行为。具备不同功能的各种驱动,分层合作,各司其职。过滤型驱动的出现,为在核心模式下实现数据透明加解密提供了手段。如写文件时,在上层过滤型驱动程序或下层过滤型驱动程序中可以首先截获 IRP,进行加密处理,然后再交给下层驱动处理;读文件时,在上层过滤型驱动程序或下层过滤型驱动程序中可以首先获取读到的加密数据,进行解密后交给上层驱动或应用程序。编写具备加解密功能的过滤型驱动,是在内核模式下实现透明加解密的主要方式。

ESIGN算法和MeEliece算法

ESIGN算法

ESIGN是出自FEAL和N一散列发明者之手的数字签名方案。按作者的说法一在相似密钥和签名长度条件下,它至少同RSA或DSA一样安全,而且比RSA或DSA的速度要快得多·

最初提出这个算法时,安全参数K定为2,算法很快为布里克乐(ErnieBrickel1)和德劳伦蒂斯(Delaureutls)所破译,接着他俩又把攻击扩展到K一3。这个算法的改进型被沙米尔破译。提出的算法变型又被瓦里斯(Valece)、吉拉尔特(Girauh)和托芬(Toffin)在如何通过降低格值破译Okamoto密码体制文中破译。ESIGN是这一族算法的最新体现。

MeEliece算法

麦克埃里斯(McEliece)开发出一种基于代数编码理论的公钥密码体制.算法利用现有的一类被称为Goppa码的纠错码。他们的想法是构成一种Goppa码并把它伪装成普通的线性码。有一种破译Goppa的快速算法,但破译普通线性码却是个很困难的问题。

虽然还没有对付McElleee算法的成功攻击,但它却从未得到密码学界的广泛的认可。老实说,甚至从未考虑在任何实际应用中实现它。这个方案比RSA快2~3个数量级,但存在若干问题。公钥十分庞大,有219比特长;数据扩展大,密文的长度是明文的两倍;最后一点,这个体制和背包体制两者之间的相似性使它的安全令人怀疑。

超时代视频加密U盘防拷贝软件整理。

RC2和RC4算法

深圳市超时代软件有限公司整理,旗下产品有视频加密软件手机视频加密软件共享文件夹加密专家等各类数据文档安全软件。

RC2和RC4由RSA数据安全公司的里维斯特(RonRivest)设计,是两种可变密钥长度的加密算法,而且都是RSA数据安全公司的专有算法。有关两种算法的细节尚未公开披露。

RC2是一种可变密钥长度的对称分组密码,打算作为DES的一种代替物。它以64比特分组加密数据。据公司声称,RC2软件实现的速度为DES的两倍。

Rc4是一种可变密钥长度的对称流密码。据公司声称.其速度为DES的10~100倍。两种算法的编码规模非常紧凑,其速度与密钥长度无关。

算法的安全性取决于所用密钥的长度。如果使用长密钥,算法比DES更安全;使用短密钥,算法不如DES安全。

不仔细研究算法,就不可能知道什么样的密钥长度最恰当。RSA数据安全公司的首席科学家卡里斯基(Burt Kaliski)认为RC2并非容易受到差分密码分析攻击;RC4由于是一种流密码算法,所以并不适用。

美国软件出版商协会(SPA)和美国政府间的一份最新协议给予了RC2和RC4特殊的出口地位。实现这两种算法之一的产品,只要其密钥长度少于40比特,其出口批准手续就要简单得多。

40比特密钥足够了吗?有2的40次方(10的12次方)个可能密钥,如果穷举搜索是最有效的密码分析方法(一个很大的假定,认为算法从未公开),假定密码分析家能1秒钟试验一百万个密钥那么找出正确密钥需要花费12.7天时间;100台机器并行工作,则可能在3小时之内产生出密钥。

RSA数据安全公司坚持认为,虽然加密和脱密都很快,但穷举密钥搜索却不快。产生密钥编制方案需要花费大量的时间。尽管在加密和脱密报文时这个时间可以忽略,但在尝试每一种可能密钥时这个时间却不能忽略。

有人坚信美国政府绝不会允许出口它不能破译的任何算法,至少也是在理论上不能破译的任何算法。另一种可能性是产生用每一个可能密钥加密的明文分组的磁带.要破译已知报文,只须操作磁带,把报文中的密文分组同磁带上的密文分组比较,如果相配,则试验候选密钥,看看报文是否产生什么意义。如果选择普通明文分组(全零、某空白的ASCII字符等),这个方法应当凑效。利用所有10的12次方个可能密钥加密的64比特明文分组,存贮要求为8×10的12次方字节——当然是可能的。

三重DES和具有独立子密钥的DES

超时代视频加密共享文件夹加密软件整理

三重DES

提高 DES安全性的一种比较实在的办法是用两令不同的密钥两次加密一个分组。首先, 用第一个密钥加密分组,然后再用第二个密钥加密它。脱密则是逆过程。

C=EK2(EK1P)

P—DKl(DK2C)

产生双重加密的密文分组应当是非常难于用穷举搜索法破译的。它需要 2的512次尝试而不是2有56次尝试 (其中n是密钥的比特长度)。

这个结果是不正确的。默克尔(Merkle)和赫尔曼证明已知明文可在2的57次尝试内破译这种双重加密方案。这是一种中间相会攻击,它的运作方式是由一端加密,由另一端脱密,在中间对比结果。

这种攻击需要2的56个分组或2的64个字节的存贮器一存贮器的存贮量大大超过了人们易于理解的程度,但却足以使多数患妄想症的密码学家承认双重加密也不是很有价值。

塔切曼 (w.Tuehman)是DES的主要研制者之一,他提出了一种较好的想法:用两个密钥 三次加密一个分组。首先用第一个密钥,然后用第二个密钥,最后再用第一个密钥。他提议发方首先用第一个密钥加密,然后用第二个密钥脱密、最后用第一个密钥加密,收方则用第一个密钥脱密,然后用第二个密钥加密,最后用第一个密钥脱密。

C—EKl(DK2(EK1P))

P—DKI(Ek2(DK3-C))

这种稀奇的加密——脱密——加密方案保存了与传统算法实现的兼容性.使两个密钥彼此相等和用该密钥加密一次并无两样。在加密——脱密——加密模式中不存在内在的安全性。

虽然这种技术不容易遭受上述中间相会攻击,但默克尔和赫尔曼却发现了以 2的56步运作的选择明文攻击 。他们竭力推崇采用三个不同密钥的三重加密:

C=EK3(DK2(Kk1P))

P=Dx1(EK2(DK3C))

迄今尚无人找到针对此方案的攻击。

具有独立子密钥的DES

另一个变化是每一轮 (迭代)都使用一个不同的予密钥 ,而不是由单独一个 56比特密钥产生它们。由于l6轮的每一轮都使用48个密钥比特,这意味着这个变型的密钥长度为768个比特。据推测这个变型能大大地提高DES的复杂性。

比哈姆和沙米尔证明利用2的41个选择明文便可破译这个DES变型,而不是强力攻击所需的2的763个选择明文。

改进密钥编制方案不可能使DES的强度增加很多。

一种随机公开密钥加密算法及一种压缩算法

作者:李煌,整理:超时代软件

1问题的提出
1.1加密技术
加密是用来保护敏感信息的传输,从而保证信息的安全。在一个加密系统中,信息使用加密密钥加密后,得到的密文传送给接收方,接收方使用解密密钥对密文解密得到原文。目前主要有两种加密体系:对称密钥加密和公开密钥加密。(1)对称密钥加密。对称密钥加密也称为秘密密钥加密,加密和解密使用同一个密钥。因此信息的发送方和接收方必须共享一个密钥.
这种加密类型快速牢固,但能力却很有限,入侵者用一台运算能力足够强大的计算机依靠“野蛮力量”就能破译,也就是说尝试亿万次密码直到其被解开。对称密钥加密的另一不足是密钥本身必须单独进行交换以使接收者能解密数据,如果密钥没有以安全方式传送,它就很可能被劫获并用于信息解密。
(2)公开密钥加密。公开密钥加密也称为非对称密钥加密。公开密钥加密使用两个不同的密钥:一个用来加密信息,称为加密密钥;另一个用来解密信息,称为解密密钥。用户把加密密钥公开,因此加密密钥也称为公开密钥,简称公钥。解密密钥保密,因此解密密钥也称为私有密钥,简称私钥。这两个密钥是数学相关的,用某用户的加密密钥加密后所得的数据只能用该用户的解密密钥才能解密。因而要求用户的私钥不能透露给自己不信任的任何人。RSA是著名的公开密钥加密算法。超时代视频加密软件也是一个公开密钥加密方法,用户只要掌握好自己的私钥就可以了。
而本文主要针对公开密钥加密算法开展了一些研究工作,提出了一种随机公开密钥加密算法。目前的几种公开密钥加密算法都是建立在一些NP数学难题基础上的,但是随着针对这些NP难题的计算机新算法的出现和对已有算法的不断改进,还有计算机运算速度的不断提升,这些基于NP难题的公开密钥加密算法正在变得越来越不可靠,而且在数学上也无法证明大数因子分解和离散对数问题到底是不是NP难题,因此目前的几种公开密钥加密算法,如,,椭圆密码的安全性都是建立在这些问题是NP难题的假设基础上,如果针对因子分解的算法一旦被突破,那么这些加密算法将全部失效,而且目前国内商业上的加密算法基本上都是基于这3种公开密钥加密算法的,因此有必要提出一种新的公开密钥加密算法。这种新的公开密钥加密算法的安全性是基于随机数的,不依赖于任何数学难题,而用随机数来加密是非常安全的,除非穷举搜索,否则无法破解。
0102
3. 对随机公开密钥加密算法的安全性分析
该算法的私人密钥是p,公开密钥是S3和S1,通过公开密钥加密明文M,私人密钥解密明文M,而且通过公开密钥无法得到解秘密钥,因此本文的算法是标准的公开密钥加密算法。对其安全性分析如下:
如果有人想通过密文C1和C3破解得到明文M,就必须知道私人密钥p,但是要想知道p,就必须知道S2,而S2被丢弃了,因此无法知道P,所以也就无法破解。
03