至顶网›安全频道 ›应用安全›浅谈用BitLocker进行随身资料加密

浅谈用BitLocker进行随身资料加密

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

　在过去Windows操作系统的使用者，如果想要保护电脑中的资料，只能借助第三方加密软件或是EFS(Encrypting File System，加密文件系统)，不过各种第三方加密软件使用的技术都不相同，使用者必须在不同的电脑上安装同样的软件，而Windows内建的EFS也仅能加密单一文件或文件夹，无法全面性地保护整台磁盘机，使用上有诸多限制。

来源：比特网 2009年12月4日

关键字： WEP加密加密数据加密技术

　　到了Windows Vista，微软在操作系统中加入了内建的磁盘加密工具”BitLocker”，它能保护系统磁盘(通常为C盘)中所有的文件或文件夹，而不像EFS必须分开加密并保存金钥或密码，如果再搭配AD中的群组原则，可以大幅提升系统磁盘的资料安全性，同时减少文件加密时间。

　　以Vista SP1来说，BitLocker加密的范围已经可以包含全部的本机磁盘，而不是受限于安装Windows操作系统的系统磁盘。然而，由于外接式磁盘或USB随身盘携带方便，几乎已经成为暂时存放或迁移资料时不可或缺的重要储存设备，不过由于体积小、重量轻，这类型的装置遗失率也特别高，而其中储存的重要资料价值，更是远在设备本身之上，所以如何管理随身盘一直是企业相当重视的环节，BitLocker的加密功能却并没有将这类型的储存装置纳入保护范围内。

　　一直到了Windows 7，微软再度改进加密资料的BitLocker功能，延伸至上述的抽取式储存设备，让企业在全面禁用或开启USB随身盘的管理方式外，能有较为弹性的选择，同时又能保障资料安全。

　　企业版及旗舰版的专属功能

　　这项新的磁盘加密功能称为”BitLocker To Go”，目前仅内建在企业版与旗舰版的Windows 7中，不过其他版本的Windows(Vista或XP)仍然可以读取被BitLocker To Go加密过的磁盘。

　　BitLocker To Go可加密所有使用FAT(包含FAT32、exFAT等)或NTFS格式的抽取式储存设备，同时操作方式也和BitLocker互相独立，换句话说，使用这项功能时，并不需要先使用BitLocker加密其他本机磁盘，电脑也不需要内建TPM安全芯片。

　　BitLocker To Go的特殊加密机制

　　当使用者删除磁盘机中的文件时，这些资料并不是真的消失，而只是把资料和读取装置之间的连结移除而已，因此有些看起来是闲置的空间，事实上却包含了机密资料，所以一般而言，加密软件的处理流程是先读取资料(包含未使用空间)，然后将这些资料加密，最后再把加密过的资料写入磁盘。但是当磁盘空间使用率不到20%时，读取可用空间并加密的行为，就会显得相当耗时。

　　BitLocker采取的作法则是仅加密已使用空间的文件，再自行创造一些无意义的资料来填补未使用空间，以避免系统浪费时间在加密已删除的资料上，微软宣称，这样的机制让BitLocker加密闲置空间资料的速度，比加密一般资料快2倍。

　　加密后不影响文件传输效能

　　根据我们的实测，在Intel Core i7处理器搭配3GB记忆体的个人电脑上，使用BitLocker加密容量为2GB的随身盘(内含755MB的文件)，约需费时16分钟30秒。相较于知名的企业级加密软件PGP，加密过程约需耗时5小时20分，BitLocker To Go的加密速度显然较快。至于免费软件TrueCrypt，虽然加密同样容量的随身盘(不含资料)仅需6分钟20秒，不过当随身盘内存有文件时，必须先利用本机磁盘手动建立一个新的加密磁区，再将随身盘上的所有文件搬移到加密磁区中，之后才能完成文件加密，过程相当麻烦。

　　即使BitLocker To Go的加密速度仍有进步空间，但经过加密的随身盘能保持和未加密相同的读取效能。我们将大小为755MB的文件复制到未加密的随身盘中，历时31.3秒，平均每秒传输速度为24.11MB;如果复制到由BitLocker To Go加密过的同一个USB随身盘，则是费时31.4秒，平均每秒可传送24.05MB的资料，两者之间几乎没有差别。