Windows Vista加密服务简析

    如果没有加密技术，安全技术就无从谈起。当然，自从微软1987年发布了OS/2 1.0以来，这个软件业的巨人推出的每一款操作系统(除了MS-DOS以外)都采用了某种形式的加密技术。但多年以来，微软内嵌在其操作系统中的加密加密技术的种类以及它们的工作方式都在发生变化。

　　Windows Vista中包含新的加密服务

　　每一个软件供应商在软件开发过程中都要面临这样一个决策：是尝试创建自己的加密算法还是使用标准的加密算法。乍看之下，对于一个软件供应商来说，最好还是自己编写加密算法并且对于它的内部运行机制严格保密。但是，安全领域的权威专家Bruce Schneier却不这么认为，Schneier指出，最好不要使用那些自己编写的加密算法，因为这些算法只是被少数业内人员研究和交叉检查，可靠性和正确性都没有保障，相反，最好使用那些被无数数学家检验过的标准加密算法。Schneier在他的书中还拿微软作例子，声称每次微软创造了一个专有的加密算法，短短的几个月后该算法就被破解了。

　　我不知道这种情况是否一直发生，但可以肯定地是，它发生的次数已经很频繁了。也许这 就是为什么微软越来越多的使用标准加密算法的原因。目前，两个最常用的加密算法是安全散列算法(Secure Hashing Algorithm 、SHA)和高级加密系统(Advanced Encryption System ，AES)。这两种加密技术都是在美国政府的标准和技术国家研究所(NIST)的支持下开发出来的，目的就是提供一套深思熟虑的散列和加密的算法。AES在加密社区中反映良好，不过SHA却在一些特殊的情况下被成功破解了。SHA最新的版本---SHA-2到目前为止还没有被成功破解的报道。

　　Windows XP SP1以后的任何XP操作系统以及Windows Sever 2003的任何版本中都采用了AES技术，不过使用很有限。据我所知，Windows XP只在加密文件系统EFS(Encrypting File System )中使用了AES。而对于Vista，微软表示，它的IPsec功能使用了AES加密。坦白地说，这不是什么惊天动地的大事，虽然先前只采用Triple DES数据加密标准，而破解这个加密算法也是不太实际的，但在IPsec中使用AES也算是提前了一步。把SHA-2j加入到IPSec中也是一个不错的想法，但我要指出的是，微软的组策略接口Group Policy interface并没有包含这两者的选项。不过，，我可以证实，另一个Windows技术，BitLocker Full Volume Encryption确实使用了128位和256位的AES加密。

　　对分页加密

　　在Vista中，用户可以对分页进行加密，不过，这只对于妄想狂来说是个好消息。而我建议用户不要使用这个功能。因为每次在你启动计算机的时候，要解密1GB的分页需要一小时或更长的时间。

　　脱机文件Offline Files是一项伟大的技术，它可让用户从经常使用的本地共享文件中缓存数据。这项技术最早出现在Windows 2000中，虽然它并不适合每一个人，但有很多人喜欢它。但是，Offline Files的工作细节被公布以后，用户很快就意识到这项技术有一个安全漏洞。进一步来说，在Windows 2000中，所有的缓存文件被存放在一个能被任何用户轻而易举就能查看的目录中。因此，如果我与你共享一台计算机，而你使用了Offline Files，那么我也可以浏览存放缓存文件的文件夹---使用同一台机器的所有用户共享同一个文件夹-这未必是件好事。

　　而在Windows XP中，微软也对存放缓存脱机文件数据的文件夹进行加密。但是这一加密过程被作为运行在为LocalSystem帐户中的一个服务，这意味着每一个运行在LocalSystem账户上的用户很容易地就能使用EFS脱机文件数据加密密钥。不幸地是，用户很容易就能使用LocalSystem账户登陆系统---只需使用at.exe调度程序启动了一个命令提示界面，由于调度程序默认是在LocalSystem账户上运行的，那么你完全可以在命令提示界面进行文件操作，因而，进入Offline Files并查看共享这台计算机的用户所使用的脱机文件变得相当容易。

　　而Vista对此进行了改进，主要包括两个方面。首先，每个用户的缓存文件都使用自己的密钥而不是LocalSystem的EFS密钥进行缓存。第二，即使微软没有作出上述改变，在Vista中，要使用LocalSystem账户进行登陆也是相当困难的。过去操作系统中使用的登陆LocalSystem账户的伎俩在Vista中都不再生效了。