【TechTarget中国原创】存储加密技术是一种简单的加密机制,用于加密存储在硬盘和其它一些媒介如备份磁盘上的数据。这种加密技术主要用以应对突发的物理安全攻击事件,如包含敏感数据的笔记本电脑被盗。在这种情况下,Windows 操作系统至少会提供一些保护。假定硬盘使用的是NT文件系统并且也应用了适当的文件系统权限,那么,除非小偷知道用户密码,否则他是不能访问用户数据的。
然而,熟悉电脑的小偷会利用一种方法去重新设置本地管理员的密码,从而访问数据,或者只需移去硬盘并把它装在另一台电脑从而避开Windows操作系统的限制。所以,除非这些硬盘上的数据加密了,否则这两种方法可以很快就让小偷访问用户的数据。
在以上情况出现时,存储级加密可以保护数据,但有其他一些加密技术达到的效果可以更好。例如,Windows加密文件系统(EFS)可以对数据卷进行加密,但它不能加密包含启动 Windows所需特定硬盘文件的系统卷。这意味着,只有在电脑本身的物理安全得到保障的前提下,EFS加密的数据才会继续受到保护。
如果计算机被盗,加密的硬盘又被移除并安装到另一台计算机上,此时EFS加密将会防止数据的泄密。然而,由于系统卷是不受保护,这样就无法阻止小偷采用一种可行的方法重新设置管理员密码,进而启动Windows,用新密码登陆,并获取数据。
Windows Vista和Windows Server 2008提供BitLocker功能,从而解决了这个问题。它使用的可信平台模块去加密系统卷。因为这是一个BIOS级的加密机制,所以它能防止密码重置攻击(假设系统卷已被加密)。
如果您正在考虑使用存储级加密,此时仔细制定密钥管理计划,并拥有一个密钥恢复机制就显得很重要了。密钥的丢失是一个相当普遍的问题。当钥匙丢失时,加密的数据无法读取。除非有备份的密钥可用,否则其结果将是数据永久性的丢失。
第三方的存储级加密产品大多与EFS的工作机制类似,但其管理起来更加容易。除了采用不同的加密算法外,EFS和其他产品一个很重要的区别是密钥存储的方式。
Windows把EFS密钥存储在系统盘上,这将产生一些棘手的问题。第一,当系统盘无法正常工作时,密钥便丢失,这将导致数据永久性的丢失,除非有备份的密钥可用(作为域的一部分的Windows工作站通常会指派域管理员作为恢复密钥的代理)。第二,如果一台笔记本电脑被盗,熟练的黑客可以从系统盘上提取到密钥,并利用它们来解开加密的数据。许多第三方的加密产品通过把密钥存储在U盘或网络服务器上来应对这种盗取密钥的方法。