【51CTO.com 综合消息】目前,全磁盘加密软件(FDE)受到广泛关注,但是多数客户对全磁盘加密软件并不十分了解。本文对市面上主要的FDE软件产品进行梳理。
一、磁盘级加密分类
磁盘加密技术目前主要有两种类型:一种是磁盘分区加密技术,另一种是全磁盘加密技术(FDE,Full Disk Encryption)。
所谓磁盘分区加密技术,是采用加密技术对磁盘上某一个扇区(或者分区)进行加解密。磁盘分区加密技术目前已经有广泛应用,虚拟磁盘加密技术(VDE,Vertual Disk Encryption)就是磁盘分区加密技术的代表之一,其他的还包括移动存储设备加密技术。后者的代表性产品主要有安全U盘(UDiskSec)、安全移动硬盘(EDiskSec)等。
所谓全磁盘加密技术(FDE,Full Disk Encryption),顾名思义,是对整个磁盘上的数据进行加解密,但是这个解释并不完全准确。FDE更为准确的解释是:通过动态加解密技术,对磁盘(硬盘)上所有数据(包括操作系统)进行动态加解密的技术。FDE在国外发展有十多年历史,技术相当成熟,基于FDE技术的许多产品也已经得到广泛应用。国内FDE技术起步比较晚,但目前已经有成熟产品在军队和企业级用户中使用。
二、全磁盘加密技术实现原理
全磁盘加密技术(FDE,Full Disk Encryption)是动态加密技术的一种。动态加密技术(Encrypt on-the-fly),是相对于静态加密技术而言的一种透明加解密技术,此处不作介绍,读者可以参照清华大学梁金千先生的著作《动态加解密技术综述》。
下图是亿赛通公司基于全磁盘加密技术的产品DiskSec的实现原理:在开机时,先启动DiskSec解密C盘上的操作系统;系统启动后,动态加解密系统直接在内存中解密数据,然后将解密后的数据提交给操作系统;在存盘时,在内存中将数据加密为密文,再写入硬盘。从图中可以看出,DiskSec的动态加解密算法位于操作系统的底层,操作系统的所有磁盘操作均通过DiskSec进行,当系统向磁盘上写入数据时,DiskSec首先加密要写入的数据,然后再写入磁盘;反之,当系统读取磁盘数据时,DiskSec会自动将读取到的数据进行解密,然后再提交给操作系,因此,加密的磁盘数据对操作者来说是透明的,对操作系统看来,磁盘上的加密数据和未加密的状态完全一样。
DiskSec的功能实现原理图 |
FDE的主要优点是加密强度高,安全性高。这种加密方式直接对磁盘物理扇区进行加密,不考虑文件等存储数据的逻辑概念,任何存储在磁盘上的数据均为密文。对系统性能的影响仅与采用的加解密算法有关。FDE对系统性能的影响非常有限,一般不超过10%(取目前市场上同类产品性能指标的最大值)。#p#
三、FDE软件产品通览
正因为全磁盘加密技术具备多项优点,基于FDE技术研发的产品,能够很好滴地保护机密信息。所以FDE软件很受推崇。这些软件中,有Windows Vista自带的BitLocker加密程序,免费开源的TruCrypt,用于加密电子邮件和即时消息的性能成熟的PGP桌面套件,全球著名的Pointsec和Safeboot,还有国内唯一的FDE软件DiskSec。
一般用户会出于费用的考虑,选择免费开源的TruCrypt。但是,企业级用户在选择加密软件的时候,应该慎之又慎。众所周知,天下没有免费的午餐。免费的加密软件在可用性,易管理性和安全性等多方面都存在许多问题。免费软件甚至可能导致大量文件损坏,致使重要资料丢失。因此,企业级客户最好还是选择有产品质量保证、有售后支持的收费软件。
1.Windows 自带的Vista BitLocker
首先要谈到Windows Vista企业版和终极版自带的BitLocker。Vista通过集中管理、活动目录和组策略来实现管理。BitLocker需要目标系统中至少有两个卷:一个卷用来存放引导装入程序,另一个卷用来存放加密的系统文件。现有系统可使用BitLocker驱动器准备工具(如今微软为支持BitLocker的系统提供了这个额外工具)重新进行分区;也可以手动设置分区。
用BitLocker对卷进行加密时,如果电脑有可信计算模块(TPM),可以结合个人身份识别号(PIN)代码一起使用;第二个选择是创建一个可移动USB驱动器,含有授权数据,该数据与PIN结合使用;第三个选择是用户输入PIN,不过这个PIN会相当长(25个字符以上),而且只能由操作系统来分配。
Windows Vista BitLocker可以自动设置对操作系统进行加密,也能手动操作对其他硬盘全盘加密。从技术上讲,这种软件是非常成熟的。只是有两个问题:一个是密钥容易在活动目录中找到,这是软件设计之初就预留的“后门”,其安全性本身就值得怀疑。另外一个问题是:Vista BitLocker的启动流程是:开电源——身份认证——进入操作系统——启动Vista BitLocker。这个流程存在的问题在于第二个环节身份认证。一般来说,电脑的身份认证系统都是很容易被破解的。由于存在这个环节,所以Vista BitLocker虽然能对数据加密,但是一旦身份认证被破解,后面的数据加密也容易被破解。还有一个看起来不是问题的问题,Windows Vista BitLocker本身是微软开发,自然不会支持Windows之外的其他操作系统。
费用:不是免费,具体费用含在Vista终极版和Vista企业版内。
2.免费开源的FDE软件
目前市面上免费开源的FDE有TrueCrypt 、FreeOTFE 3.00、7-Zip。以下分别简单介绍这三种FDE软件。
1)TrueCrypt 5.1a
TrueCrypt 5.1a能对整个磁盘加密,也可进行虚拟卷加密。该软件除了免费和开源外,还有程序编写巧妙,易用性高,还有丰富的数据保护功能;没有明显的卷头、所需文件扩展名或者其他识别标记;唯一的例外就是加密的引导卷,引导卷里面有TrueCrypt引导装入程序。TrueCrypt还包括了所谓的“似是而非的否认”(plausible deniability)特性,能够把一个卷隐藏在另一个卷里面。隐藏卷有自己的密码,没有办法确定某个TrueCrypt卷里面是不是隐藏了另一个卷。如果用户在使用系统磁盘加密,实际的加密过程需要一段时间,不过这个过程可以暂停,需要时恢复加密(你可能在晚上需要对上锁房间里面的PC进行这种操作)。TrueCrypt要求用户创建急救光盘。
2)FreeOTFE 3.00
FreeOTFE(OTFE的意思是“实时加密”)在许多方面与TrueCrypt很相似——它提供了许多同样的特性,只是实施时有些地方略有不同;它还有一个版本使用条件非常宽松的软件许可证。由于FreeOTFE的功能特点与TrueCrypt基本相似,所以也不作详述。
3)7-Zip
7-Zip只是临时应急的方法,用来创建经过加密、密码保护的存档, 7-Zip也能创建自解压存档,所以接收方不需要有7-Zip——只要你们事先约定好,任何密码都可以。不过,它本身并不支持任何一种双因子验证。为了提高安全性,创建存档时,一定要选择“加密文件名”选项。
前两种(TrueCrypt 5.1a和FreeOTFE 3.00)的安全性和稳定性稍强于7-Zip。喜欢开源免费软件的用户可能倾向于采用前两种FDE软件。不过,经过本人测试,由于是免费软件,其稳定性和安全性这两个最重要的指标,并不能让用户放心。对企业级用户来说,大量的核心资料,一旦被这种免费软件套牢,很可能招来严重的后果。如果企业所有重要信息被一套免费软件“销毁”,那对IT部门的主管人员来说,将会是一个极为悲惨的消息。
3.企业级FDE软件
1)DriveCrypt
SecureStar公司的DriveCrypt其主要功能类似TrueCrypt和FreeOTFE。至于比较先进的功能,比如整个磁盘加密,需要添加DriveCrypt PlusPack(185美元)。
标准版DriveCrypt可以在文件或者分区中创建虚拟加密磁盘。在一段时间没有使用后,系统自动锁住磁盘,还能在磁盘里面创建隐藏磁盘。它具有免费产品没有的一些功能,包括能够对现有加密磁盘随意调整容量大小以及管理员密钥代管服务(不过后者在TrueCrypt和FreeOTFE中也能实现,只需手动备份卷头)。可以创建“DKF访问文件”,该文件允许第三方不需要卷密码,就可以访问加密卷。DKF密钥可以附加各种限制——它可以使用自己的密码(与你自有磁盘上的密码无关)、X天后到期失效,或者只能在某个时间段有效。这样,就有可能为访问加密驱动器提供一定的控制权。
费用:每个用户59.95欧元(88.73美元)
2)Dekart Private Disk
Dekart Private Disk功能类似于其他加密程序,用户可以创建虚拟加密卷、备份加密磁盘的卷头、根据用户活动来控制磁盘的安装及卸载,等等。惟一真正重要、而其他产品没有的特性就是“磁盘防火墙”(Disk Firewall),你可以用来授予或拒绝某些程序访问加密卷。
Private Disk在开发当 “恢复选项”(recovery option),它试图通过对密码实施蛮力(brute-force attack)攻击来确定私密磁盘的密码。这带来巨大的安全隐患,很可能成为破解者一个撬锁的工具。
费用:每个用户45美元
3)PGP Desktop专业版
PGP Desktop提供了一整套加密工具,能完美地与Windows系统集成。该程序的主界面有五个基本部分:密钥管理、邮件、压缩、磁盘管理和网络共享(NetShare)。
PGP Desktop的个性功能在于邮件管理部分,控制着如何处理电子邮件。在默认状态下,PGP Desktop能够对标准的SMTP/POP电子邮件、Exchange/MAPI邮件以及Lotus Notes邮件进行加密。PGP Zip选项卡让你可以创建加密存档,这些存档可以在另一头用PGP来解压,或者封装成自解压存档。PGP Disk是套件中的整个磁盘或者虚拟卷加密解决方案。如果使用了整个磁盘加密,可以在加密过程中选择几个选项:最大CPU占用率,目的是节省时间;电源故障安全选项,以便加密过程中万一出现断电,防止系统受到破坏。
加密磁盘可以使用TPM硬件(如果你有这种硬件)或者USB闪存盘来存储密钥文件,也可以两者结合使用。PGP Disk另外有一个出色的特性:数据粉碎工具,类似自由软件Eraser产品。它可以清除文件,也可以只清除现有磁盘上的空余空间。网络共享特性让你可以共享便携式驱动器或者网络连接驱动器上的加密文件。所有解密在用户端进行,所以任何敏感信息绝对不会以明文格式传送,也用不着在文件服务器上安装特殊软件。网络共享还能与活动目录集成,以便对谁可以访问哪些信息实行细粒度管理。还可以对指定受保护文件夹外面的单个文件进行加密。PGP Desktop还可以由企业环境下的PGP中央服务器程序(PGP Universal)来管理。
费用:每个用户199美元
4)Pointsec
Checkpoint花费5.8亿美元收购Protect Data公司所获得了终端和移动设备数据安全产品Pointsec,其实在此之前已在全球得到应用。Pointsec与下文介绍的Safeboot是知名度最高的FDE产品,个人用户可以采用单机版,企业用户可以采用C/S架构的企业版。其解决方案已经被全球的公司、政府所验证。适用于PC、笔记本电脑、移动设备等多种磁盘加密,而且支持多种操作系统。具有预引导的一次性全盘加密功能,集中策略管理和关键恢复和远程协助功能,强加密和单点登录功能等都为用户熟知。
费用:单机版每点120美元左右。
5)Safeboot
虽然Safeboot已经被麦咖啡公司收购,集成到麦咖啡的数据泄露防护(DLP)系统中,但是本人还是比较喜欢Safeboot这个名字。这并不是因为本人有怀旧情结,而是因为Safeboot本身的含义比较有意思:从源头上保证安全。
Safeboot与Pointsec在功能,价格等多方面类似,故不赘述。#p#
四、国内能够采用的最佳FDE产品——DiskSec
个人用户看到有这么多FDE软件可供任意选择,一定会心花怒放。但是政府、军队和企事业单位,一定会感到非常遗憾。因为,这些产品在中国根本不能用。
国家法律规定,凡涉及到商用密码的软件产品,都必须由具备国家商用密码生产定点单位资格和国家商用密码销售许可单位资格的企业生产和销售。而且,还必须具备国家保密局、军队和公安部的相关销售资质才可以在国内销售。信息安全软件产品,关系到国家机密、军事机密和商业机密的保护,外国加密软件不得在中国政府、军队和企事业单位使用。虽然介绍了这么多FDE软件,但是政府、军队和企事业单位用户,只能从技术、功能上参考对照一下,不能采购和使用。
本人花费大力气在国内搜寻,发现国内目前具备法定资质的FDE软件只有北京亿赛通公司所生产的DiskSec。
DiskSec具备强大的功能,有单机版和企业版可以选用。从性能上看,比国外同类型的企业级FDE软件要高。DiskSec主要优点有:
1.安全可靠的认证方式:口令/密码、USBkey或口令/密码、USBkey二选一;
2.对磁盘上所有数据进行高强度加密(包括操作系统);
3.只在磁盘上保存密码的单向散列值,无法反推算出密码。系统不留后门,无法破解;
4.对系统容灾方面考虑周全,具备光盘急救系统、内嵌急救系统等急救系统;
5.加密速度快。加密速度能达到每小时60GB,远超过Pointsec每小时10GB。
DiskSec不仅是一款能保护PC、笔记本电脑、移动存储设备的多功能FDE软件,可以用于企业级的终端保护,还可与电脑生产厂家联合推出全加密硬盘电脑,具备强大的适用性。
DiskSec在中国空军全军得到应用,部署规模为10万台笔记本终端。除此之外,在金融、电信、电力、制造业等多个行业都已经有大量PC和笔记本电脑部署DiskSec。
五、结论
BitLocker可通过活动目录来进行集中管理。个人用户可能会试一试TrueCrypt(或者功能最接近于它的FreeOTFE)。PGP Desktop添加其他许多工具,对不仅需要加密磁盘上的内容、还希望加密电子邮件和即时消息的用户来说,这是个不错的选择。而DriveCrypt也有一些可能有用的隐匿和访问管理功能。7-Zip是创建经过加密、密码保护的存档的一种简单方法。遗憾的是,Dekart Private Disk很难称得上是专业的加密解决方案,因为它可能导致蛮力攻击。国外的企业级用户一般会采用Pointsec和Safeboot。
中国的政府、军队和军工、企业事业单位用户,目前还是只有一个选择,就是DiskSec。