啟汀技術(shù)部
想要知道BitLocker的優(yōu)勢(shì)和意義,就先要知道BitLocker到底是什么.
WindowsBitLocker驅(qū)動(dòng)器加密通過(guò)加密Windows操作系統(tǒng)卷上存儲(chǔ)的所有數(shù)據(jù)可以更好地保護(hù)計(jì)算機(jī)中的數(shù)據(jù)。BitLocker使用TPM幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù),并幫助確保計(jì)算機(jī)即使在無(wú)人參與、丟失或被盜的情況下也不會(huì)被篡改。BitLocker還可以在沒(méi)有TPM的情況下使用。若要在計(jì)算機(jī)上使用BitLocker而不使用TPM,則必須通過(guò)使用組策略更改BitLocker安裝向?qū)У哪J(rèn)行為,或通過(guò)使用腳本配置BitLocker。使用BitLocker而不使用TPM時(shí),所需加密密鑰存儲(chǔ)在USB閃存驅(qū)動(dòng)器中,必須提供該驅(qū)動(dòng)器才能解鎖存儲(chǔ)在卷上的數(shù)據(jù)。
主要功能:
BitLocker驅(qū)動(dòng)器加密它是在WindowsVista中新增的一種數(shù)據(jù)保護(hù)功能,主要用于解決一個(gè)人們?cè)絹?lái)越關(guān)心的問(wèn)題:由計(jì)算機(jī)設(shè)備的物理丟失導(dǎo)致的數(shù)據(jù)失竊或惡意泄漏。在新一代操作系統(tǒng)Windows8.1中也能使用此加密驅(qū)動(dòng)。隨同WindowsServer2008一同發(fā)布的有BitLocker實(shí)用程序,該程序能夠通過(guò)加密邏輯驅(qū)動(dòng)器來(lái)保護(hù)重要數(shù)據(jù),還提供了系統(tǒng)啟動(dòng)完整性檢查功能。
BitLocker使用TPM幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù),并幫助確保計(jì)算機(jī)即使在無(wú)人參與、丟失或被盜的情況下也不會(huì)被篡改。
受信任的平臺(tái)模塊(TPM)是一個(gè)內(nèi)置在計(jì)算機(jī)中的微芯片。它用于存儲(chǔ)加密信息,如加密密鑰。存儲(chǔ)在TPM上的信息會(huì)更安全,避免受到外部軟件攻擊和物理盜竊。BitLocker可加密存儲(chǔ)于Windows操作系統(tǒng)卷上的所有數(shù)據(jù),默認(rèn)情況下,使用TPM以確保早期啟動(dòng)組件的完整性(組件用于啟動(dòng)進(jìn)程的更早時(shí)期),以及“鎖定”任何BitLocker保護(hù)卷,使之在即便計(jì)算機(jī)受到篡改也得到保護(hù)。
那么現(xiàn)在看看微軟的加密的優(yōu)勢(shì)和意義吧:
優(yōu)勢(shì)和意義看是和誰(shuí)比了,如果是和之前的EFS比,那意義就很大了,全盤加密性能遠(yuǎn)遠(yuǎn)好于按文件夾的加密,你用EFS加密chrome的主目錄試試就知道了,如果是5400/7200這樣的硬盤效果更佳。如果是和其他全盤加密比,比如TrueCrypt,那么意義就是BitLocker默認(rèn)安裝的機(jī)器更多,和TPM等模塊結(jié)合的更好。另外TrueCrypt已經(jīng)棄療了,雖然TrueCryptAudit那幫人剛剛湊齊了6-7萬(wàn),并且說(shuō)服了一家安全公司做cryptanalysis,等審計(jì)完,沒(méi)大問(wèn)題,那么TrueCrypt又可以回到競(jìng)爭(zhēng)序列了。TrueCrypt要說(shuō)獨(dú)門絕活就是plausibledenability,兩個(gè)密碼打開兩個(gè)盤,一個(gè)真,一個(gè)假。目前似乎還沒(méi)有任何司法實(shí)踐用到。全盤加密最主要的是防止小偷偷電腦,拆硬盤,害的你丟失數(shù)據(jù)/隱私泄露。過(guò)關(guān)安檢的時(shí)候,如果要搜查電腦,你又不配合提供密碼,分為以下兩種情況:1.逮捕,妨礙執(zhí)法之類的,法庭上進(jìn)一步拒絕就會(huì)導(dǎo)致蔑視法庭等罪;2.對(duì)你的電腦做全盤拷貝,然后根據(jù)你的危害級(jí)別后臺(tái)慢慢破解你的key。第二種情況傳說(shuō)中巴西某大亨的電腦被搜查了,巴西調(diào)查局搞不定找了FBI,前后兩年都解不開,大約08年的樣子吧。總體而言,這個(gè)是防小偷的,不是防司法的,cyberpunk他們真的想多了。當(dāng)然,當(dāng)今的SSD也是自帶加密的,主要好處是如果要銷毀數(shù)據(jù),不必非要碾碎硬盤,只需要破壞key的存儲(chǔ)單元就可以快速的銷毀數(shù)據(jù)了。
另,BitLocker在啟動(dòng)的時(shí)候,是可以把key備份到微軟服務(wù)器的,云備份這個(gè)屬于犧牲安全保全易用的特性,可以在你忘記key的時(shí)候救你一把。
如果是物理隔離的電腦,哪怕被人裝了惡意軟件,bitlocker依然可以保護(hù)計(jì)算機(jī)內(nèi)部文件的安全。而且全盤加密比分區(qū)加密強(qiáng)的一點(diǎn)在于,哪怕是系統(tǒng)的垃圾緩存文件也是加密的,不存在從未加密文件中恢復(fù)出加密秘鑰的可能性。TPM也是硬件級(jí)別的加密模塊,比純軟件方案來(lái)說(shuō),對(duì)性能影響更小,安全性也更高。
總的來(lái)說(shuō),bitlocker的安全性取決于用戶自身的密碼管理水平與微軟的職業(yè)操守。
因此,微軟的bitlocker的加密還是有一定的好處的。