BitLocker驱动器加密早期出现在Windows Vista中的一种数据保护功能,主要用于解决数据安全问题:由计算机设备的物理丢失导致的数据失窃或恶意泄漏。在新一代操作系统windows 7中Bitlocker更是数据安全的特色工具之一。
BitLocker可以实现与TPM(TPM实际上是一个含有密码运算部件和存储部件的小型片上的系统,由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。)无缝对接,如果计算机安装了兼容TPM,BitLocker将使用TPM锁定保护数据的加密密钥。因此,在TPM已验证计算机的状态之后,才能访问这些密钥。加密整个卷可以保护所有数据,包括操作系统本身、Windows注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由TPM锁定,因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。
右键启动向导
可以选择解锁驱动器方式
密钥备份
加密过程比较慢 因为是加密整个卷
加密完成
在没有输入密码的情况下格式化U盘 锁定解除 但数据亦消失了
如此看来,BitLocker可以通过加密整个卷,实现对非授权用户的有效限制。BitLocker采用了输入密码生成密钥的方式,密码以及密钥的安全存储成为另外一个问题,另外笔者没有发现BitLocker对输入密码次数有限制,给暴力破解密码造成了机会。我们还发现,如果使用BitLocker锁定了某个卷,虽然密码输入错误不能进入,但可以通过格式化来达到重新启用的目的。通过镜像复制技术或者格式化以后数据恢复技术能不能绕过BitLocker加密措施我们没有实际验证。
小结:
EFS加密和BitLocker加密是windows7提供的数据安全工具,作为操作系统的一个附加功能随操作系统附送,这两种工具的加密强度以及安全性完全符合一般用户的使用要求。但对于对数据安全性要求更高的用户,我们还是建议使用专业数据安全加密产品。
EFS目前有专门的解密工具,而且EFS的安全性在一定程度上取决于用户账户安全;BitLocker在第一次输入密码之后,在账户没有注销和不利用CMD再次锁定之前,是不需要再次输入密码,也存在一定的安全风险。我们说安全性是相对的,一方面有赖于用户对计算机本身的设置,另一方面加密和解密这对矛盾一直是水涨船高的关系。在1024位加密强度的密码体系的攻击方面,采用边信道破解的方法已经取得突破,如何在现有的安全体系下让数据更安全已经成为了一个课题。
