Vista BitLocker 驱动器加密原理
2008-08-22 17:23:00 来源:WEB开发网大多数组织已经在按照法律和公司要求保护多类隐私信息,并且,即使法律上并未要求,您很可能也会因为业务利益而必须如此去做。
为什么要加密整个卷?
如果您是位经验丰富的 Windows 管理员,您可能已经熟悉了基于 Windows 的加密选项,比如加密文件系统 (EFS),或者由权限管理服务 (RMS) 提供的加密和保护。BitLocker 最大的不同之处在于,它在启用后是自动、透明的,并包括整个卷。
例如,使用 EFS,您必须明确指明要保护哪些文件和文件夹。在 Windows Vista 中,有一些新选项可使 EFS 更加灵活,并使 EFS 和 RMS 能分别处理 BitLocker 无法处理的某些情况。但是,EFS 和 RMS 都需要管理员进行大量配置,并且不是为保护卷上存储的所有资料而专门设计的。
与之相反,BitLocker 会对写入 BitLocker 保护卷上的所有资料进行加密,包括操作系统本身、注册表、休眠文件和分页文件、应用程序以及应用程序使用的数据。
以下三项不会被加密:引导扇区、标为不可读的坏扇区和卷元数据。卷元数据由用于管理 BitLocker 的三个冗余副本数据组成,包括关于卷的统计信息,以及一些解密密钥的受保护副本。这些项不需要加密,因为它们并不是唯一的、有价值的,或者可辨认个人身份。
整卷加密可防止离线攻击 — 一种通过试图绕过操作系统而发动的攻击。例如,常见的离线攻击是窃取计算机、拆除硬盘并将其安装为其他计算机(运行 Windows 不同副本或不同操作系统)上的第二个驱动器,从而消除 NTFS 权限和用户密码。然而,使用这种攻击却无法读取 BitLocker 保护的卷。
BitLocker 如何加密数据
BitLocker 使用 128 位密钥的高级加密标准 (AES) 算法。要获得更好的保护,可使用“组策略”或 BitLocker Windows Management Instrumentation (WMI) 提供程序将密钥增至 256 位。
更多精彩
赞助商链接