作为一个从 Windows Vista 开始就内置在系统里的功能,很多人应该都在控制面板或是硬盘图标上见过 BitLocker 这把「小锁」。从某种程度上来说,它陪伴 Windows 用户多年,但一般用户却很少去关注过它的实际作用。
Windows 用户应该都见过 BitLocker 了吧?
因此今天这篇文章我们就来聊聊 BitLocker —— 这个对大多数 Windows 用户而言「熟悉而又陌生」的加密功能。
BitLocker 是什么?
BitLocker 的核心作用是对 Windows 系统的数据进行全盘加密,和大多数加密手段的目的一样,它的存在主要是为了阻止别人在未经许可的情况下访问被加密的硬盘数据。不管是系统被入侵、笔记本失窃、送去电脑城维修……即便你的硬盘被人「连根拔走」,不法分子都无法解密、恢复或访问其中原属于你的数据。
如果你有过尝试给买来的笔记本设备重装系统的经历,应该也会碰到进入重装步骤前的 BitLocker 解锁密码验证,解锁了 SSD 以后才能正式进入重装的步骤。
给较新一点的笔记本重装系统时可能会遇到这个界面 | 图:SpecOps
那 BitLocker 具体而言是如何工作的?
在了解 BitLocker 工作原理之前,我们还需要认识一个很少有人提到的模块:TPM(Trusted Platform Module,可信平台模块),在 Windows 操作系统中,TPM 扮演着 BitLocker 钥匙「管理者」的身份。
为了避免各种软件、硬件工具通过伪造这把「钥匙」的方式进行解锁,TPM 会采用非对称加密的方法来保证安全。你可以从字面意义上理解「非对称加密」:传统的对称加密在加密和解密时共用同一把「钥匙」,而非对称加密将钥匙一分为二,一个叫公钥、一个叫私钥。公钥可以暴露给任何人,任何人都可以用这个公钥来加密数据,但只有持有私钥的人才能解密。
实际上 TPM 还会用在 Windows Hello 等等安全措施中,用途广泛 | 图:微软
BitLocker 便采用了这种「把鸡蛋放在不同篮子里」的加密方式。为了便于理解,我们打个形象点的比方:公钥可以理解成信箱,每个人想联系到你都可以给你的信箱投信;而私钥则是信箱钥匙,只有你才会持有,因此除了你其他人都无法打得开这个信箱收取信件。
虽然大多数 Windows 用户甚至都不知道自己手里有这么一把「钥匙」,在对启用了 BitLocker 的驱动器进行修改时,系统还是会提示你该到哪里找 —— 在上面的重装系统案例中,你可以在微软账户管理页面的设备管理部分查看 BitLocker 提供给你的那把「钥匙」:
需要用到的时候可以在这里找
最后,BitLocker 也并非是一种万全的加密手段。
和 SSD 主控或 Mac T2 这类加密工具所携带的 AES 加密(有时也被称为透明加密)不同,BitLocker 的加密在系统开机、解锁登录以后,对于系统内应用来说是「透明的」,恶意软件可以很轻松地访问、修改和删除全盘数据。
换句话说,尽管 BitLocker 能够在上面提到的「极端情况」中保护硬盘数据,它们也只能保障电脑在解锁登录之前的数据安全。所以 BitLocker 的存在并不能成为我们放弃其它加密手段的理由。
BitLocker 怎么用?
如何开启 BitLocker
BitLocker 打开方式也很简单,一共有两种方法:直接在对应的磁盘上进行右键,你就能看到「打开 BitLocker」;或者在任务栏上的搜索中输入「BitLocker」直接跳转到 BitLocker 的控制面板,接着你就可以对你想保护的驱动器打开 BitLocker 了。
最常见的做法就是右键
BitLocker 的控制面板界面
选择「启用 BitLocker」后还需要经过几个设置流程,跟随流程设置完毕后,系统会给出一个保存密钥的界面。请注意密钥是唯一的,丢失密钥会导致你无法正常解密数据,所以一定要好好保存。
一定要多处保存
保存到 Microsoft 肯定最优选择,即使你文件和打印件不见了,你也可以在上文提到的设备管理界面找到密钥。如果你没有在 Windows 系统中登录微软账户,将密钥文件存放在安全的云盘或 1Password 这类管理工具中也是不错的选择。
保存完成以后,点击下一步,BitLocker 设置向导会问你需不需要加密全盘数据。加密全盘数据会耗费的时间更久但是更安全;仅加密已用的空间则会更快,但每次写入的时候都需要对写入的数据做一次加密。
加密全盘最保险
接下来 BitLocker 设置向导会问你需不需要使用新的加密方式。如果加密对象是长期插在电脑上的,比如自带的光驱,那就选择新加密模式;如果是经常需要连接不同设备的移动硬盘,则建议选择兼容模式来保证正常使用。
新的加密方式更安全
最后重启系统,BitLocker 加密过程就开始了。加密时长受需要加密的数据量和存储介质决定。
特殊情况
使用 BitLocker 有个前提:需要 Windows 专业版及以上,而一般情况下出售给个人的电脑都会预装的是 Windows 家庭版。
微软考虑到了这点,会在支持的设备上提供一个基于 BitLocker 的「设备加密」功能。「设备加密」可以理解成特殊版本的 BitLocker,家庭版用户也能使用,你可以进入「设置 > 更新与安全 > 设备加密」中打开它,密钥也会默认和你的微软账户相关联,你同样可以在 这里 找到密钥。
设备加密
一些常见问题
关于 BitLocker 的基本原理介绍和使用方法就介绍到这里了,针对具体使用过程中可能会出现的问题,这里用 Q&A 的方式补充说明:
我的电脑没有 TPM 模块,可以使用 BitLocker 吗?
可以,但需要我们手动输入密码,BitLocker 会通过这串密码生成恢复密钥;另外,没有 TPM 时无法对系统盘进行加密。
BitLocker 加密时性能开销大吗?
对 CPU、内存等设备的性能开销不大,对硬盘性能开销较大,加密时可以根据实际情况使用电脑。
加密时的资源开销
BitLocker 加密后的硬盘性能会下降吗?
对 SSD 几乎无影响,但是会影响 HDD 的随机读取和随机写入性能。所以在 HDD 上开启 BitLocker 时要谨慎考虑,安全与性能自然是不能两全的。
另外,在长时间持续读取被加密内容时,可能需要 CPU 持续解密,这个时候 CPU 占用也会比平时高一点。
那么 BitLocker 适合谁使用?
我推荐所有人都打开。如果真的非常担心它会影响性能的话,经常带出门的电脑一定需要开,因为 BitLocker 可以阻止恶意入侵,保障数据的安全。
BitLocker 密钥丢失了能找回数据吗?
不能。建议用文中提到的方法好好保存。
BitLocker 控制面板里的「暂停」是干什么用的?
维护系统、尤其是在更新 BIOS 时建议使用。如果更新 BIOS 之前你没关闭 BitLocker,TPM 里的 BitLocker 密钥会被清空,开机时需要你手动输入密钥来进行解锁;所以如果你不希望这么麻烦的话,更新 BIOS 前别忘了暂停 BitLocker。