www.esafenet
- 1 -南阳师范学院地址
全盘加密软件DiskSec 简介
深圳限牌在计算机广泛使用的今天,计算机中存储资料的泄密已经成为一个潜在的重要威胁,尤其是在计算机丢失或失窃后,数据资料的泄漏会给用户带来重大隐患和无可挽回的损失,那么,如何保证在计算机丢失或失窃的情况下,计算机中存储的资料不被泄密呢?全盘加密(full-disk encryption ,FDE)是一个不错的选择。全盘加密(full-disk encryption ,FDE)可以自动将存储在硬盘上的数据转化为另一种形式(即密文形式),除持密钥者外,其他人无法将密文数据转换为可看懂的数据格式(即明文形式)。如果没有正确的验证密钥,即使将硬盘安装到另一台电脑上,仍无法看到存储在硬盘上的数据明文。
1. 全盘加密的实现方式及特点
全盘加密的优点在于在保证计算机安全的同时,基本不改变用户对计算机的使用习惯,一旦终端用户输入正确的密码解锁系统后,即可按常规使用计算机系统。FDE 会自动将写入硬盘的所有数据进行加密,
而在系统读取硬盘数据时,FDE 会自动解密所读取的硬盘数据。全盘加密对可能发生物理丢失或被盗的笔记本电脑及其它小型计算机设备尤为实用。
就目前的技术而言,全盘加密的实现有如下几种方式:
1) 纯软件实现方式
加密算法利用计算机的主CPU 实现数据的变换,对硬盘的加密解密控制等也由软件方式实现。
2) 软硬件结合方式
加密算法由硬件方式实现,如通过计算机中的加密芯片或安装的其它加密设备(如加密卡等)进行数据变换,而对硬盘的加密、解密控制等则通过软件方式实现。
www.esafenet
- 2 -
3)纯硬件实现方式
这种方式一般通过在硬盘的控制器(或在计算机中增加具有类似功能的加密卡)中增加加密芯片和加密固件(控制程序)实现对硬盘数据的加密变换和控制。
上述三种全盘加密实现方式均有各自的特点,其中纯软件实现方式的最大优点是成本低,灵活方便,既可对整个硬盘加密,也可只对某个分区(如C 盘或D 盘等)进行加密,缺点是对计算机性能有一定影响(随着计算机主CPU 速度的提高,这种影响会越来越低),且与操作系统相关,需要针对不同的操作系统进行开发,同时整体安全性也不如后两种方式。
纯硬件实现方式的最大优点是与软件系统无关,既可用于Windows 操作系统,也可用于其它各种操作系统(如Linux 、Mac OS 等),安全性比较好,缺点是成本高,不够灵活方便,一般只能对整个硬盘进行加密,难以实现只对用户指定分区进行加密等。软硬件结合的实现方式是介于纯软件、硬件实现方式之间的一种实现方式,特别是在计算机本身具有安全芯片(TPM)的前提下,是一种理想的实现方式,这种实现方式,不仅具有成本低,安全性高(与纯硬件实现方式完全一样)的优点,而且对计算机系统的整体性能影响很小,与纯硬件实现方式相比,其主要缺点是与系统软件相关,需要针对不同的操作系统开发不同的控制程序。
对计算机系统整体性能的影响,表面看,纯硬件实现方式对计算机整体性能无任何影响,但由于目前硬盘的读写速度比较快,而在实现时,出于成本和技术的因素,很多纯硬件实现方式对计算机整体性
能的影响远远超过了纯软件实现方式。例如,目前一些FDE 硬件实现方式的数据处理能力最大只有64M/s ,而目前主流硬盘的读写速度都超过了100M/s ;同时,由于目前计算机主CPU 的处理能力大幅度提高,因此,将计算机主CPU 的一部分负荷用来做数据的变换,对计算机整体性能的影响非常有限。
www.esafenet
- 3 -
2. DiskSec 的特点
DiskSec 是专门针对笔记本电脑容易丢失、硬盘被盗之后,导致重要或敏感的数据资料被泄漏而开发的全盘加密软件,同时支持软硬件结合实现方式(需计算机提供加密芯片,如TPM 等),目前只支持Windows 系列的操作系统(从Windows 2K 到最新的Windows 7均支持),它具有上述纯软件和软硬件实现方式的所有优点和缺点,同时它有如下几个特点:
(1)系统启动前认证,且认证物与硬盘数据通过加密算法紧密关联,能够抵御各种攻击和破解。
在Windows 系统启动之前,首先启动DiskSec ,只有输入正确的密码才能进入系统。与一般的访问控制安全机制不同,DiskSec 将用户输入的密码通过加密算法与硬盘数据紧密地结合在了一起,能够抵御各种攻击。反之,采用访问控制方式的安全机制,由于没有将验证物(用户密码、用户指纹等)与硬盘数据联系起来,因而存在难以弥补的安全漏洞,如可通过修改系统执行流程绕过安全机制或通过散列值碰撞方式直接破解安全机制(详细论述见后面)。
(2)安全性高,采用AES-256的标准算法,并且可根据用户需要,替换为其它加密算法或采用硬件加密(要求计算机具有硬件加密芯片)。
(3)足够长的硬盘数据加密密钥,DiskSec 支持的最大数据密钥长度为2048位,在现有技术条件下,可满足各种安全需要。
(4)可对硬盘上包括操作系统在内的所有数据进行加密,全面而彻底。
(5)支持双因子身份认证,DiskSec 既支持用户密码方式也支持硬件锁 (eToken) 认证方式。
(6)使用简单,使用者仅需记住一个密码(PIN 码)即可,除计算机启动时需输入密码外(如果采用硬件锁,则需将硬件锁插入USB 中),不改变用户的任何使用习惯。
www.esafenet
- 4 -独立访客
(7)使用灵活方便,可根据用户需要,加密指定的某些分区,或加密整个硬盘。
(8)具有密码备份和恢复功能,能够保证用户数据的安全。
(9)整个系统不留任何“后门”,在没有密码的情况下,即使本公司也无法获取加密硬盘的明文数据(注:凡是在没有用户提供密码备份条件下能够恢复用户密码的安全系统,必定留有“后门”,否则在理论上说就无法解释)。
(10)具有应急系统,能够帮助用户解决使用中遇到的各种问题。与一般FDE 系统需要用户制作急救系统不同,DiskSec 本身提供了两个急救系统,系统除内嵌一个急救系统外,还提供了光盘急救系统,可处理在使用DiskSec 时遇到的各种问题。
(11)兼容性好,能够兼容目前广泛使用的其他系统软件(如各种系统级的还原软件,备份恢复软件等)。
3. 笔记本电脑与全盘加密
什么牌子的电动车最好
笔记本电脑的使用特点,决定了其数据泄密的可能性要远远超过其他类型的电脑,笔记本电脑也是用户私密信息存储最多的地方,笔记本电脑在丢失或维修时引起的信息泄密无疑会给用户带来巨大的损失。
目前,除少数高端笔记本电脑在出厂时提供全盘加密功能外,大多数的笔记本电脑在出厂时均没有提供全盘加密功能,很多普通用户也没有意识到其中存在的安全隐患,近年来出现的越来越多的泄密事件有力地说明了这一点。因此,为笔记本电脑提供全盘加密功能,必将成为笔记本生产厂家的标准配置。
为笔记本电脑配置全盘加密功能,不仅有利于用户在使用笔记本时的安全性,而且对笔记本生产厂家促进笔记本电脑的销量也大有益处,通过提供这一基本配置,可以打消用户在使用笔记本时的后顾之忧,促进笔记本的销量。
www.esafenet
- 5 - 4. DiskSec 与笔记本电脑
DiskSec 在研发时就考虑到了与笔记本电脑的结合,其整体架构以模块的形式存在,能够方便地根据笔记本生产厂家或用户的需要增加或修改功能模块,或直接与生产厂家合作,将DiskSec 的部分代码嵌入到笔记本的BIOS 中,或利用笔记本提供的其他硬件功能(如加密芯片、指纹识别系统、硬盘HPA 等)增强笔记本的安全性。
5. DiskSec 采用的原理张宏民老婆
DiskSec 通过拦截操作系统或应用软件等对硬盘数据的读写请求,实现对硬盘数据的实时加密和解密操作,当系统向硬盘写入数据时,DiskSec 首先获得控制权,用加密密钥对要写的数据进行加密,然后将加密后的数据写入硬盘的指定位置,反之,当程序读取硬盘数据时,DiskSec 同样能够获得优先控制权,从硬盘的指定位置读取加密数据并利用加密密钥对加密数据进行解密操作,然后将解密后的数据提交给相应的程序,这样,在操作系统或应用软件看来,硬盘上存储的数据和未加密时的数据完全一样,能够以透明的方式直接使用硬盘数据,如同硬盘上的数据未加密一样。
教师节祝福语英文简单在计算机上安装DiskSec 后,计算机的启动过程会被改变,图1给出了在安装DiskSec 的情况下,计算机的实际启动过程。