解析FDE—希捷谈全磁盘加密技术

软件加密或硬盘锁的效果如何？
   目前的数据保护方法为数不少，其中两种最流行，一种是基于密码的硬盘锁，另一种是软件加密法。这两种方法都有多年的历史，有一定的保护作用，但都有局限性。
   密码硬盘锁是ATA硬盘的标准功能。用户可使用一个特殊命令来设置一个用来访问硬盘的密码。大多数笔记本电脑和台式机系统都包含支持该功能的BIOS选项。了解BIOS的功能的用户可以设置密码，这样，每次系统启动时，都必须输入正确密码才能访问硬盘。该方法看似有效，但若有人能确定密码，将能访问硬盘的所有数据。最近的一项研究显示 ，如果黑客获得了一块密码锁硬盘，那么，他完全可以找到密码，并控制硬盘数据。
   软件加密的效果稍好些，能避免其他人对数据的偶然访问，但是，经验丰富的黑客照样能找到密钥。其中一个原因是，PC机的环境是公开的，人所共知，黑客能通过分析程序（如加密应用程序）来寻找弱点。未知的安全漏洞和攻击方法日益增多。
    ATA密码和软件加密都依赖于存储在硬盘某个位置的信息。物理入侵是最成功和最危险的攻击方法之一，它能够确定解密数据线索的位置。希捷FDE技术的独特之处在于，解密数据需要的明文密钥并不在硬盘上。任何物理袭击都找不到密钥，因为它根本不在那儿。
   软件加密包插件一般只用来加密特定用户数据文件目录。操作系统通常不允许第三方加密程序对OS专用文件进行加密，故用户经常只加密数据文件。操作系统和许多应用程序的工作方式使这种方法难以奏效。应用程序经常将某些文件的临时版本存储在一个不为用户所知的位置，在诸如断电或出现应用故障的情况下，这些临时文件可能被漏掉，导致敏感数据文件的未加密版本以明文形式存储在硬盘上。
    即使是基于操作系统的加密软件，也有可能造成文件泄漏。例如，假定一个操作系统对文件进行加密，并将原始明文版本删除。但删除并不能确保硬盘的未用空间中不再留下一个副本。硬盘上可能会以明文方式保留一个重要数据文件，从而被硬盘获得者所利用。
    FDE还有其它一些好处，它不要求执行初始化或使用“立即对全硬盘进行加密”这样的命令。而软件加密却通常要在初始化期间阅读全部内容然后加密；如果密钥泄漏，还必须更改它；这通常要解密整个硬盘，然后再加密。另外，FDE不占用任何额外时间，而基于主机的软件在进行加密或解密时，要占用额外的CPU时间。
    在使用基于OS的加密法时，用户还经常抱怨在访问文件时频繁输入密码。而且，这种加密法常依靠管理员密码来保护加密功能，若这个密码泄漏，加密将失效。
    总之，在目前的数据保护方法中，FDE是无与伦比的。

字串1

  为什么加密要在硬盘内进行？
  硬盘是计算机系统中最适于执行相关安全操作的位置。硬盘内部是一个完整的计算系统：CPU、内存、多任务OS及存储数据。此外，硬盘不像PC环境那样开放，其架构独特，调试和诊断工具由硬盘制造商控制。在过去15年中，随着集成度的提高，该系统聚集到单个ASIC中。它删除了许多物理部件，如内存总线和标准外部接口（这些正是典型PC机或笔记本电脑容易受到物理攻击的地方）。
    硬盘接口严格控制对硬盘资源的访问，将硬盘隔离起来。因为没有直接的内存访问，而且程序内存与数据存储分离，故最大程度地降低了硬盘遭受缓冲溢出攻击的可能性（这经常发生在PC机环境中）。
   有哪些支持？
   成千上万的公司管理着无数台笔记本电脑，必须有一种集中管理方式，以应对系统丢失、升级、重新分配等情况，并恢复密码。FDE包含主密码备份功能，可在用户忘记密码时提供帮助。用户还能托管密码和派生密钥，以便在数据恢复服务必须访问硬盘时支持数据恢复。
   总之，FDE提供了全面的数据加密保护，而且不会降低性能，不影响用户体验。 字串8

共2页: 上一页 [1] 2 下一页