启汀技术部
想要知道BitLocker的优势和意义,就先要知道BitLocker到底是什么.
WindowsBitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。BitLocker还可以在没有TPM的情况下使用。若要在计算机上使用BitLocker而不使用TPM,则必须通过使用组策略更改BitLocker安装向导的默认行为,或通过使用脚本配置BitLocker。使用BitLocker而不使用TPM时,所需加密密钥存储在USB闪存驱动器中,必须提供该驱动器才能解锁存储在卷上的数据。
主要功能:
BitLocker驱动器加密它是在WindowsVista中新增的一种数据保护功能,主要用于解决一个人们越来越关心的问题:由计算机设备的物理丢失导致的数据失窃或恶意泄漏。在新一代操作系统Windows8.1中也能使用此加密驱动。随同WindowsServer2008一同发布的有BitLocker实用程序,该程序能够通过加密逻辑驱动器来保护重要数据,还提供了系统启动完整性检查功能。
BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。
受信任的平台模块(TPM)是一个内置在计算机中的微芯片。它用于存储加密信息,如加密密钥。存储在TPM上的信息会更安全,避免受到外部软件攻击和物理盗窃。BitLocker可加密存储于Windows操作系统卷上的所有数据,默认情况下,使用TPM以确保早期启动组件的完整性(组件用于启动进程的更早时期),以及“锁定”任何BitLocker保护卷,使之在即便计算机受到篡改也得到保护。
那么现在看看微软的加密的优势和意义吧:
优势和意义看是和谁比了,如果是和之前的EFS比,那意义就很大了,全盘加密性能远远好于按文件夹的加密,你用EFS加密chrome的主目录试试就知道了,如果是5400/7200这样的硬盘效果更佳。如果是和其他全盘加密比,比如TrueCrypt,那么意义就是BitLocker默认安装的机器更多,和TPM等模块结合的更好。另外TrueCrypt已经弃疗了,虽然TrueCryptAudit那帮人刚刚凑齐了6-7万,并且说服了一家安全公司做cryptanalysis,等审计完,没大问题,那么TrueCrypt又可以回到竞争序列了。TrueCrypt要说独门绝活就是plausibledenability,两个密码打开两个盘,一个真,一个假。目前似乎还没有任何司法实践用到。全盘加密最主要的是防止小偷偷电脑,拆硬盘,害的你丢失数据/隐私泄露。过关安检的时候,如果要搜查电脑,你又不配合提供密码,分为以下两种情况:1.逮捕,妨碍执法之类的,法庭上进一步拒绝就会导致蔑视法庭等罪;2.对你的电脑做全盘拷贝,然后根据你的危害级别后台慢慢破解你的key。第二种情况传说中巴西某大亨的电脑被搜查了,巴西调查局搞不定找了FBI,前后两年都解不开,大约08年的样子吧。总体而言,这个是防小偷的,不是防司法的,cyberpunk他们真的想多了。当然,当今的SSD也是自带加密的,主要好处是如果要销毁数据,不必非要碾碎硬盘,只需要破坏key的存储单元就可以快速的销毁数据了。
另,BitLocker在启动的时候,是可以把key备份到微软服务器的,云备份这个属于牺牲安全保全易用的特性,可以在你忘记key的时候救你一把。
如果是物理隔离的电脑,哪怕被人装了恶意软件,bitlocker依然可以保护计算机内部文件的安全。而且全盘加密比分区加密强的一点在于,哪怕是系统的垃圾缓存文件也是加密的,不存在从未加密文件中恢复出加密秘钥的可能性。TPM也是硬件级别的加密模块,比纯软件方案来说,对性能影响更小,安全性也更高。
总的来说,bitlocker的安全性取决于用户自身的密码管理水平与微软的职业操守。
因此,微软的bitlocker的加密还是有一定的好处的。