保护数据 Vista的磁盘加密功能

核心提示： 如果默认保存在TPM芯片中的指纹信息未经篡改，Bitlocker就会开始解密过程，保护数据 Vista的磁盘加密功能(3)，让引导程序可以正常启动，这样可以保护计算机不受引导扇区病毒感染和Rootkit的攻击，你还可以将启动密钥保存在USB闪存上，这样在引导系统的时候就必须提供这个USB闪

如果默认保存在TPM芯片中的指纹信息未经篡改，Bitlocker就会开始解密过程，让引导程序可以正常启动。这样可以保护计算机不受引导扇区病毒感染和Rootkit的攻击。因此，如果有攻击者篡改了引导扇区，或者如果你将被加密的硬盘装入其他计算机，或者你更换了主板，哈西值就会产生变化，而Bitlocker将会禁止访问数据。　　

在被检控的引导组件的完整性得到确认后，Bitlocker才会让TPM芯片解密其余的数据。解密之后，对系统的保护工作就交给操作系统了。完整性检查会检查下列项目：BIOS、主引导记录、引导管理器、NTFS引导扇区、NTFS引导区块，还有CRTM（Core Root of Trust of Measurement，核心度量根）。

多重密钥

Bitlocker的加密是基于硬盘扇区的，并且可以提供多重保护，每一重都有自己的密钥，可以防止对硬盘上数据的未经授权的访问。　　

最基本的保护是由FVEK（Full Volume Encryption Key，整卷加密密钥）提供的，该功能可以加密硬盘上保存的数据。目前Bitlocker支持128位至512位的加密，默认的加密将会使用128位的AES算法。

随后FVEK会被VMK（Volume Master Key，卷主密钥）加密，数据的加密顺序如图2所示。

如果希望在Bitlocker被撤销后访问被加密的数据，这时还需要用到一个叫做“Clear Key”的密钥。这个密钥被（未加密）保存在硬盘上，使用VMK和FVEK让我们可以在Bitlocker被撤销后继续访问加密的数据。如果随后Bitlocker再次被启用，就不能继续访问Clear Key了。　　

除了和TPM捆绑在一起的密钥，你还可以将启动密钥保存在USB闪存上。这样在引导系统的时候就必须提供这个USB闪存，而且可以提供除了TPM之外额外的验证保护。