EFS加密
随着计算机和计算机网络的不断普及,计算机信息安全问题已经日益突出。目前安全产品也非常多,其实普通用户用不上太复杂的加密方式以及加密设备,他们需要的大多是自己电脑上的数据防止被他人非法复制等。这类普通用户的需求如果采用大型安全公司的解决方案成本高,也会造成不必要的浪费。而操作系统本身如果具有一定的安全工具,就可以解决大部分的安全需求。
微软的操作系统整合了很多有用好用的功能,多年来坐拥无可争议的最受欢迎使用人数最多的个人桌面操作系统。windows7整合了之前操作系统的优势,其自身的安全性、兼容性也达到了相当高的水平,在用户当中好评不断。今天我们从Windows7的两个安全工具说起,简单谈谈Windows7在数据安全这方面有哪些过人之处。
我们引述一段来自微软技术白皮书的文字:EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。
在Windows7下对文件或者文件夹进行EFS加密很简单,右击要加密的对象,点击属性,在常规标签下点击高级,在弹出的对话框中将加密以保护数据复选框中的勾勾上,点击应用,加密对象就会变成绿色,说明加密成功,解密只需进行相反操作。
启动加密向导
此时Windows自动生成了一个对应账户的证书。为了数据的安全我们可以导出证书,运行certmgr.msc,调出证书管理器,在证书当前用户下找到生成的证书,右键选择所有任务,打开导出向导。
证书管理器
证书导出向导
选择同时导出密钥
此证书只能以个人信息交换的方式导出
从上面一段文字看,EFS加密或依赖于域控制器或依赖于本地用户账户,我们不考虑EFS加密的强度的话,采用这种加密方式如果采用脱机攻击的方式,破解了域控制器或者本地对应的用户账户则EFS加密不攻自破。不过对于大多数用户来说,EFS加密是一种操作系统带来的免费加密方式,可以应对大部分的非法偷窥或者复制,因此是一种不错的安全工具。
#p#
BitLocker加密
BitLocker驱动器加密早期出现在Windows Vista中的一种数据保护功能,主要用于解决数据安全问题:由计算机设备的物理丢失导致的数据失窃或恶意泄漏。在新一代操作系统windows 7中Bitlocker更是数据安全的特色工具之一。
BitLocker可以实现与TPM(TPM实际上是一个含有密码运算部件和存储部件的小芯片上的系统,由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。)无缝对接,如果计算机安装了兼容TPM,BitLocker将使用TPM锁定保护数据的加密密钥。因此,在TPM已验证计算机的状态之后,才能访问这些密钥。加密整个卷可以保护所有数据,包括操作系统本身、Windows注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由TPM锁定,因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。
右键启动向导
可以选择解锁驱动器方式
密钥备份
加密过程比较慢 因为是加密整个卷
加密完成
在没有输入密码的情况下格式化U盘 锁定解除 但数据亦消失了
如此看来,BitLocker可以通过加密整个卷,实现对非授权用户的有效限制。BitLocker采用了输入密码生成密钥的方式,密码以及密钥的安全存储成为另外一个问题,另外笔者没有发现BitLocker对输入密码次数有限制,给暴力破解密码造成了机会。我们还发现,如果使用BitLocker锁定了某个卷,虽然密码输入错误不能进入,但可以通过格式化来达到重新启用的目的。通过镜像复制技术或者格式化以后数据恢复技术能不能绕过BitLocker加密措施我们没有实际验证。
小结:
EFS加密和BitLocker加密是Windows7提供的数据安全工具,作为操作系统的一个附加功能随操作系统附送,这两种工具的加密强度以及安全性完全符合一般用户的使用要求。但对于对数据安全性要求更高的用户,我们还是建议使用专业数据安全加密产品。
EFS目前有专门的解密工具,而且EFS的安全性在一定程度上取决于用户账户安全;BitLocker在第一次输入密码之后,在账户没有注销和不利用CMD再次锁定之前,是不需要再次输入密码,也存在一定的安全风险。我们说安全性是相对的,一方面有赖于用户对计算机本身的设置,另一方面加密和解密这对矛盾一直是水涨船高的关系。在1024位加密强度的密码体系的攻击方面,采用边信道破解的方法已经取得突破,如何在现有的安全体系下让数据更安全已经成为了一个课题。
【编辑推荐】