Vista BitLocker 驱动器加密原理
2008-08-22 17:23:00 来源:WEB开发网卷中的每个扇区都单独进行加密,加密密钥的一部分是从扇区编号本身派生而来。这意味着,包含完全相同的未加密数据的两个扇区也会以不同的加密字节写入磁盘,这使得通过创建和加密已知部分信息的方法来尝试发现密钥的难度大大增加。
使用 AES 加密数据前,BitLocker 还会使用一种称为“扩散器”的算法。无需深入说明其加密技术,对扩散器的简单描述就是,它可以确保即使是对明文的细微更改都会导致整个扇区的加密密文发生变化。这也使得攻击者发现密钥或数据的难度大大增加。
如果您对 BitLocker 加密算法的详细信息感兴趣,则可以阅读 Neil Ferguson 的相关文章“AES-CBC + Elephant 扩散器: 用于 Windows Vista 的磁盘加密算法”。
BitLocker 密钥
无论何时处理加密,您都需要了解密钥,BitLocker 也不例外。BitLocker 使用明确但有些复杂的密钥体系结构。
这些扇区本身使用称为“整卷加密密钥”(FVEK) 的密钥加密。然而,FVEK 不会由用户使用,而且用户也无法进行访问。FVEK 又会使用称为“卷主密钥”(VMK) 的密钥加密。此程度的抽象性带来了独一无二的好处,但也使得整个过程较难理解。FVEK 作为严密保护的秘密来保存,因为一旦泄漏,所有的扇区都需要重新加密。因为这是一个费时的操作,所以应当尽量避免。实际上,系统使用 VMK 代之。
FVEK(使用 VMK 加密)存储于磁盘本身,作为卷元数据的一部分。虽然 FVEK 在本地存储,但从不写入未加密的磁盘。
VMK 也进行加密或“保护”,但使用的是一个或多个可能的密钥保护程序。默认的密钥保护程序是 TPM。TPM 的使用会在以下完整性检查部分进行介绍。此外还会创建恢复密码作为密钥保护程序,用于紧急情况。恢复也会在稍后进行介绍。
更多精彩
赞助商链接