科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全浅谈用BitLocker进行随身资料加密

浅谈用BitLocker进行随身资料加密

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 在过去Windows操作系统的使用者,如果想要保护电脑中的资料,只能借助第三方加密软件或是EFS(Encrypting File System,加密文件系统),不过各种第三方加密软件使用的技术都不相同,使用者必须在不同的电脑上安装同样的软件,而Windows内建的EFS也仅能加密单一文件或文件夹,无法全面性地保护整台磁盘机,使用上有诸多限制。

来源:比特网 2009年12月4日

关键字: WEP加密 加密数据 加密技术

  • 评论
  • 分享微博
  • 分享邮件

  在过去Windows操作系统的使用者,如果想要保护电脑中的资料,只能借助第三方加密软件或是EFS(Encrypting File System,加密文件系统),不过各种第三方加密软件使用的技术都不相同,使用者必须在不同的电脑上安装同样的软件,而Windows内建的EFS也仅能加密单一文件或文件夹,无法全面性地保护整台磁盘机,使用上有诸多限制。

  到了Windows Vista,微软在操作系统中加入了内建的磁盘加密工具”BitLocker”,它能保护系统磁盘(通常为C盘)中所有的文件或文件夹,而不像EFS必须分开加密并保存金钥或密码,如果再搭配AD中的群组原则,可以大幅提升系统磁盘的资料安全性,同时减少文件加密时间。

  以Vista SP1来说,BitLocker加密的范围已经可以包含全部的本机磁盘,而不是受限于安装Windows操作系统的系统磁盘。然而,由于外接式磁盘或USB随身盘携带方便,几乎已经成为暂时存放或迁移资料时不可或缺的重要储存设备,不过由于体积小、重量轻,这类型的装置遗失率也特别高,而其中储存的重要资料价值,更是远在设备本身之上,所以如何管理随身盘一直是企业相当重视的环节,BitLocker的加密功能却并没有将这类型的储存装置纳入保护范围内。

  一直到了Windows 7,微软再度改进加密资料的BitLocker功能,延伸至上述的抽取式储存设备,让企业在全面禁用或开启USB随身盘的管理方式外,能有较为弹性的选择,同时又能保障资料安全。

  企业版及旗舰版的专属功能

  这项新的磁盘加密功能称为”BitLocker To Go”,目前仅内建在企业版与旗舰版的Windows 7中,不过其他版本的Windows(Vista或XP)仍然可以读取被BitLocker To Go加密过的磁盘。

  BitLocker To Go可加密所有使用FAT(包含FAT32、exFAT等)或NTFS格式的抽取式储存设备,同时操作方式也和BitLocker互相独立,换句话说,使用这项功能时,并不需要先使用BitLocker加密其他本机磁盘,电脑也不需要内建TPM安全芯片。

  BitLocker To Go的特殊加密机制

  当使用者删除磁盘机中的文件时,这些资料并不是真的消失,而只是把资料和读取装置之间的连结移除而已,因此有些看起来是闲置的空间,事实上却包含了机密资料,所以一般而言,加密软件的处理流程是先读取资料(包含未使用空间),然后将这些资料加密,最后再把加密过的资料写入磁盘。但是当磁盘空间使用率不到20%时,读取可用空间并加密的行为,就会显得相当耗时。

  BitLocker采取的作法则是仅加密已使用空间的文件,再自行创造一些无意义的资料来填补未使用空间,以避免系统浪费时间在加密已删除的资料上,微软宣称,这样的机制让BitLocker加密闲置空间资料的速度,比加密一般资料快2倍。

  加密后不影响文件传输效能

  根据我们的实测,在Intel Core i7处理器搭配3GB记忆体的个人电脑上,使用BitLocker加密容量为2GB的随身盘(内含755MB的文件),约需费时16分钟30秒。相较于知名的企业级加密软件PGP,加密过程约需耗时5小时20分,BitLocker To Go的加密速度显然较快。至于免费软件TrueCrypt,虽然加密同样容量的随身盘(不含资料)仅需6分钟20秒,不过当随身盘内存有文件时,必须先利用本机磁盘手动建立一个新的加密磁区,再将随身盘上的所有文件搬移到加密磁区中,之后才能完成文件加密,过程相当麻烦。

  即使BitLocker To Go的加密速度仍有进步空间,但经过加密的随身盘能保持和未加密相同的读取效能。我们将大小为755MB的文件复制到未加密的随身盘中,历时31.3秒,平均每秒传输速度为24.11MB;如果复制到由BitLocker To Go加密过的同一个USB随身盘,则是费时31.4秒,平均每秒可传送24.05MB的资料,两者之间几乎没有差别。

  

浅谈用BitLocker进行随身资料加密

  如何使用BitLocker To Go

  

null

  在控制台启动BitLocker To Go

  使用者可以到控制台的”BitLocker磁盘机加密”选项中开启BitLocker To Go,如果想要解除加密状态,也必须到控制台才能执行解密。

  

null

  用右键选单启动BitLocker To Go

  除了从控制台启用外,直接在文件总管的卸除式磁盘图示上按下滑鼠右键,就会出现”开启BitLocker”选项,点选后就能直接开始加密。

  支援密码或智慧卡保护

  加密过程中可以选择使用密码或智慧卡来锁定或解除加密装置。在IT人员未启用强制套用强式密码群组原则的 情况下,密码需超过8个字元。

  

null

  BitLocker加密图示

  经BitLocker加密过的外接式硬盘或USB随身盘,Windows 7会以不同颜色的锁和钥匙图示来反映目前的存取状况,其中灰色代表加密的磁盘已经解锁,黄色则是未解锁。

  

null

  用修复金钥解锁BitLocker To Go随身盘

  一般情况下, 使用者可以透过密码或智慧卡来解除BitLocker,如果忘记密码,也可以选择使用修复金钥来解除锁定的磁盘机,系统将提示8位数的金钥识别码。

  

null

  BitLocker To Go在XP环境的使用限制

  在Windows XP 环境下,只能以唯读的方式来存取经过BitLocker To Go加密的随身盘资料,使用者可以直接将文件”拖”出来, 或是点选文件后再指定复制位置。这个BitLocker专属的读取程式,会在加密过程中一并安装于被加密的卸除式磁盘,并于 连接电脑后自动执行。(

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章