保护数据 Vista的磁盘加密功能

致命のdu

　　Microsoft的Vista操作系统通过Bitlocker，硬盘加密系统为你的数据提供了更好的保护。然而这项技术依然存在一定的风险，听听我们的解释。　　
　　直到现在，要想入侵基于Windows的系统依然是很容易的事情。任何人只要使用引导介质，例如Linux Live光盘启动计算机，就可以绕过一些保护机制，例如基于NTFS的EFS（Encrypting File System，加密文件系统），因为EFS并不能加密保存在硬盘上的所有数据。很多预引导以及系统文件，还有临时文件，在这种情况下都可以被访问。在很多情况下，遗失或者被窃的笔记本电脑上的重要数据都没有EFS加密保护。Windows的密码并不足以防止数据在这种情况下被滥用，例如，利用live Linux或XP安装光盘就可以进行滥用。　　
　　完备的加密
　　这种情况促成了Vista的Bitlocker的出现，也就是FVE（Full Volume Encryption，全卷加密）诞生的原因。这个功能可以在磁盘扇区的基础上完全加密操作系统所在的分区（卷），而非以往文件基础上的加密，因此该功能可以保护所有数据，包括分页文件、休眠文件以及所有系统文件。如果来自第三方的应用程序被安装到加密后的硬盘上，Bitlocker也可以保护这些程序的文件。
　　然而，如果你启用Bitlocker硬盘加密，那么你就必须要接受一个事实，这个功能并不能加密你的整个硬盘。Bitlocker只能加密Windows Vista的安装分区，如果还有一个专门用来存储数据的分区，那么这个分区并不受Bitlocker功能的保护。因为微软认为，如果你有专门的分区来保存数据，那么你应该使用EFS，因为EFS直接受到Bitlocker的保护，因为EFS的密钥是保存在操作系统所在分区的。
　　Windows Vista Enterprise和Ultimate版会自动安装Bitlocker功能，但是要求硬盘上已经分好了区，而且这个功能还需要被手工激活。其他版本的Vista完全不支持Bitlocker，如果希望在Longhorn Server中使用整卷加密功能，你需要首先从DVD中安装Bitlocker组件，检查BIOS和TPM芯片的兼容性，然后安装TPM（Trusted Platform Module，可信赖平台模块）的驱动。

　　为了使用Bitlocker的安全功能，你的计算机上必须有下列组件：TPM 1.2芯片，兼容TCG（Trusted Computing Group，可信赖计算工作组）1.2标准的BIOS，支持通过USB设备引导的BIOS，一个Windows引导分区，另外还需要一个大于50MB并且没有被加密的系统分区来保存BIOS在系统引导后用于引导Windows的和硬件相关的数据，除此之外，还需要一个保存恢复密钥的USB闪存。
　　取决于计算机的具体配置以及你的安全需要，Bitlocker提供了下列五种选项：
　　1. 不带TPM芯片的计算机：就算计算机上没有TPM芯片，你依然可以使用Bitlocker。要实现这一点，用于加密数据的启动密钥会被保存在USB闪存上，为了让Bitlocker功能引导系统，闪存必须连接到计算机。
　　2. 带TPM芯片的计算机：数据解密功能被限制为首先必须对系统组件进行校验，而校验信息是保存在TPM芯片中的。和第一个选项类似，只有在数据被解密后计算机才可以被访问。
　　3. TPM和PIN：这是一种可选的验证方法，每次启动系统后，你都需要输入一个长度在4到20位的PIN码。
　　4. TPM和启动密钥：不用输入PIN码，你只需要提供一个保存了启动密钥的USB闪存。如果没有这个闪存，Bitlocker将无法引导系统。
　　5. 恢复密钥：为了在数据校验失败后访问数据，例如，如果在黑客攻击或者硬盘被安装到其他计算机上之后，Bitlocker可以使用恢复密钥解密数据。你可以使用功能键手工输入恢复PIN码，或者从网络驱动器或者USB闪存中读入。　　
　　在激活Bitlocker时，选择好你想要使用的安全选项后，在Vista的分区被加密前你必须重启动系统。在重启动的过程中，Bitlocker还会检测预引导组件的指纹。这些校验哈西值可以确保系统文件不被篡改。　　
　　如果默认保存在TPM芯片中的指纹信息未经篡改，Bitlocker就会开始解密过程，让引导程序可以正常启动。这样可以保护计算机不受引导扇区病毒感染和Rootkit的攻击。因此，如果有攻击者篡改了引导扇区，或者如果你将被加密的硬盘装入其他计算机，或者你更换了主板，哈西值就会产生变化，而Bitlocker将会禁止访问数据。　　
　　在被检控的引导组件的完整性得到确认后，Bitlocker才会让TPM芯片解密其余的数据。解密之后，对系统的保护工作就交给操作系统了。完整性检查会检查下列项目：BIOS、主引导记录、引导管理器、NTFS引导扇区、NTFS引导区块，还有CRTM（Core Root of Trust of Measurement，核心度量根）。
　　多重密钥
　　Bitlocker的加密是基于硬盘扇区的，并且可以提供多重保护，每一重都有自己的密钥，可以防止对硬盘上数据的未经授权的访问。　　
　　最基本的保护是由FVEK（Full Volume Encryption Key，整卷加密密钥）提供的，该功能可以加密硬盘上保存的数据。目前Bitlocker支持128位至512位的加密，默认的加密将会使用128位的AES算法。

　　随后FVEK会被VMK（Volume Master Key，卷主密钥）加密，数据的加密顺序如图2所示。
　　如果希望在Bitlocker被撤销后访问被加密的数据，这时还需要用到一个叫做“Clear Key”的密钥。这个密钥被（未加密）保存在硬盘上，使用VMK和FVEK让我们可以在Bitlocker被撤销后继续访问加密的数据。如果随后Bitlocker再次被启用，就不能继续访问Clear Key了。　　
　　除了和TPM捆绑在一起的密钥，你还可以将启动密钥保存在USB闪存上。这样在引导系统的时候就必须提供这个USB闪存，而且可以提供除了TPM之外额外的验证保护。　　
　　自带的恢复策略
　　加密永远都是有风险的。如果你丢失了解密数据需要的密钥，数据就等于彻底丢失了。为了防止数据彻底丢失，另外还有其他一些无法通过Bitlocker的恢复控制台解决的事情需要注意，例如损坏的TPM、损坏或丢失的启动密钥、忘记的PIN码、更新后的引导组件、新的主板，或者甚至如果你想在其他计算机上使用加密的硬盘。　

　　通过使用恢复控制台和相应的恢复密钥，你就可以重新获得这些数据。在启用Bitlocker的时候，记得生成一个恢复密码是很关键的。这个48位的密码分为八组，每组有六个数字。你可以查看、打印，或者以明文的形式保存这个密码到其他设备，例如USB闪存上。　　
　　和密码相比，Bitlocker保存的是恢复密钥，而和这个密钥对应的是启动密钥。需要的时候，恢复密钥解密出被加密的VMK-BLOB（Binary Large Object，二进制大型对象）的副本，这个副本让数据的访问成为可能。如果将受到Bitlocker保护的硬盘转移到其他电脑上，那么为了让这个被加密的分区可以顺利访问，你也只需要提供保存了恢复密钥的USB闪存。　　
　　记住还原密钥就可以直接访问所有被TPM加密的数据。为了对所有意外做好准备，你还可以将恢复密钥复制到多个USB闪存上，并将这些闪存保存到其他地方。 不过管理员可以通过组策略禁止创建恢复密钥。　
　　正如我们在上文提到的，Longhorn Server也支持整卷加密，不过和客户端操作系统不同，服务器操作系统还可以对其他数据分区进行加密。另外数据分区和系统分区分别使用不同的密钥进行保护，不过这在操作系统看来没有太大区别。加密数据卷所用的密钥保存在系统卷中，另外还有一个使用256位AES算法的EWK（External Wrapping Key，外部绕接密钥）用于保护加密数据所用的VMK，同时还有一个叫做Auto Unlock的功能负责自动解密数据卷。　　
　　这个功能会把EWK复制到操作系统分区的注册表中。正因为如此，数据卷只有在操作系统卷正常启动后才可以被访问。如果系统卷上的Bitlocker功能被停用了，EWK的副本就会再次将自身删除。在这种情况下，管理员必须手工输入还原密钥，这样数据才可以被访问。因此，EWK的副本最好能保存在USB闪存上，在需要进行分区恢复的时候使用。
　　免费的替代品
　　Free Compusec 4.21 SP2
　　软件下载地址：
　　http://down.ddvip.com/view/11794676096807.html
　　来自CE-Infosys（www.ce-infosys.com）的完整的安全软件套装，Free Compusec可以让你对整个硬盘进行加密，包括操作系统和休眠文件。该软件支持Windows 2000/XP，以及Red Hat和Suse发行版的Linux。你还可以用这个软件加密CD和DVD光盘、软盘，以及USB闪存和网络文件夹。这个软件内的Closedtalk功能还可以对VoIP通讯进行加密。另外，该软件内还包含一个密码管理器，可以用一种128位的AES算法加密你的密码。你还可以指定一套用户名/密码进行预引导验证。
　　Abylon Cryptdrive 6.0
　　软件下载地址：
　　http://down.ddvip.com/view/11794678406808.html
　　Cryptdrive（www.abylonsoft.de）可以让你创建高达448位或者256位的加密分区来保护不被非授权访问。该软件可以自动加密被复制到加密分区中的数据，每个客户端最多可以创建10个每个128GB的加密容器。该软件支持Windows NT4/2000/XP以及Server 2003。　　
　　GNU Privacy Guard 1.4.4
　　软件下载地址：
　　http://down.ddvip.com/view/11794680436809.html
　　这是一个开源工具，可以加密发送到一个或多个加密容器的数据。这些数据还会被夫家签名，以验证其完整性，另外密钥会通过互相信任的网络进行验证。GnuPGwww.gnupg.org）使用了一种非对称加密方式，其中存在一个私有的、受密码保护的密钥和一个公钥。