目前,全磁盤加密軟件(FDE)受到廣泛關注,但是多數客戶對全磁盤加密軟件并不十分了解。本文對市面上主要的FDE軟件產品進行梳理。
一、磁盤級加密分類
磁盤加密技術目前主要有兩種類型:一種是磁盤分區加密技術,另一種是全磁盤加密技術(FDE,Full Disk Encryption)。
所謂磁盤分區加密技術,是采用加密技術對磁盤上某一個扇區(或者分區)進行加解密。磁盤分區加密技術目前已經有廣泛應用,虛擬磁盤加密技術(VDE,Vertual Disk Encryption)就是磁盤分區加密技術的代表之一,其他的還包括移動存儲設備加密技術。后者的代表性產品主要有安全U盤(UDiskSec)、安全移動硬盤(EDiskSec)等。
所謂全磁盤加密技術(FDE,Full Disk Encryption),顧名思義,是對整個磁盤上的數據進行加解密,但是這個解釋并不完全準確。FDE更為準確的解釋是:通過動態加解密技術,對磁盤(硬盤)上所有數據(包括操作系統)進行動態加解密的技術。FDE在國外發展有十多年歷史,技術相當成熟,基于FDE技術的許多產品也已經得到廣泛應用。國內FDE技術起步比較晚,但目前已經有成熟產品在軍隊和企業級用戶中使用。
二、全磁盤加密技術實現原理
全磁盤加密技術(FDE,Full Disk Encryption)是動態加密技術的一種。動態加密技術(Encrypt on-the-fly),是相對于靜態加密技術而言的一種透明加解密技術,此處不作介紹,讀者可以參照清華大學梁金千先生的著作《動態加解密技術綜述》。
下圖是億賽通公司基于全磁盤加密技術的產品DiskSec的實現原理:在開機時,先啟動DiskSec解密C盤上的操作系統;系統啟動后,動態加解密系統直接在內存中解密數據,然后將解密后的數據提交給操作系統;在存盤時,在內存中將數據加密為密文,再寫入硬盤。從圖中可以看出,DiskSec的動態加解密算法位于操作系統的底層,操作系統的所有磁盤操作均通過DiskSec進行,當系統向磁盤上寫入數據時,DiskSec首先加密要寫入的數據,然后再寫入磁盤;反之,當系統讀取磁盤數據時,DiskSec會自動將讀取到的數據進行解密,然后再提交給操作系,因此,加密的磁盤數據對操作者來說是透明的,對操作系統看來,磁盤上的加密數據和未加密的狀態完全一樣。
DiskSec的功能實現原理圖
FDE的主要優點是加密強度高,安全性高。這種加密方式直接對磁盤物理扇區進行加密,不考慮文件等存儲數據的邏輯概念,任何存儲在磁盤上的數據均為密文。對系統性能的影響僅與采用的加解密算法有關。FDE對系統性能的影響非常有限,一般不超過10%(取目前市場上同類產品性能指標的最大值)。
三、FDE軟件產品通覽
正因為全磁盤加密技術具備多項優點,基于FDE技術研發的產品,能夠很好滴地保護機密信息。所以FDE軟件很受推崇。這些軟件中,有Windows Vista自帶的BitLocker加密程序,免費開源的TruCrypt,用于加密電子郵件和即時消息的性能成熟的PGP桌面套件,全球著名的Pointsec和Safeboot,還有國內唯一的FDE軟件DiskSec。
一般用戶會出于費用的考慮,選擇免費開源的TruCrypt。但是,企業級用戶在選擇加密軟件的時候,應該慎之又慎。眾所周知,天下沒有免費的午餐。免費的加密軟件在可用性,易管理性和安全性等多方面都存在許多問題。免費軟件甚至可能導致大量文件損壞,致使重要資料丟失。因此,企業級客戶最好還是選擇有產品質量保證、有售后支持的收費軟件。
1. Windows 自帶的Vista BitLocker
首先要談到Windows Vista企業版和終極版自帶的BitLocker。Vista通過集中管理、活動目錄和組策略來實現管理。BitLocker需要目標系統中至少有兩個卷:一個卷用來存放引導裝入程序,另一個卷用來存放加密的系統文件。現有系統可使用BitLocker驅動器準備工具(如今微軟為支持BitLocker的系統提供了這個額外工具)重新進行分區;也可以手動設置分區。
用BitLocker對卷進行加密時,如果電腦有可信計算模塊(TPM),可以結合個人身份識別號(PIN)代碼一起使用;第二個選擇是創建一個可移動USB驅動器,含有授權數據,該數據與PIN結合使用;第三個選擇是用戶輸入PIN,不過這個PIN會相當長(25個字符以上),而且只能由操作系統來分配。
Windows Vista BitLocker可以自動設置對操作系統進行加密,也能手動操作對其他硬盤全盤加密。從技術上講,這種軟件是非常成熟的。只是有兩個問題:一個是密鑰容易在活動目錄中找到,這是軟件設計之初就預留的“后門”,其安全性本身就值得懷疑。另外一個問題是:Vista BitLocker的啟動流程是:開電源——身份認證——進入操作系統——啟動Vista BitLocker。這個流程存在的問題在于第二個環節身份認證。一般來說,電腦的身份認證系統都是很容易被破解的。由于存在這個環節,所以Vista BitLocker雖然能對數據加密,但是一旦身份認證被破解,后面的數據加密也容易被破解。還有一個看起來不是問題的問題,Windows Vista BitLocker本身是微軟開發,自然不會支持Windows之外的其他操作系統。
費用:不是免費,具體費用含在Vista終極版和Vista企業版內。
2. 免費開源的FDE軟件
目前市面上免費開源的FDE有TrueCrypt 、FreeOTFE 3.00、7-Zip。以下分別簡單介紹這三種FDE軟件。
1)TrueCrypt 5.1a
TrueCrypt 5.1a能對整個磁盤加密,也可進行虛擬卷加密。該軟件除了免費和開源外,還有程序編寫巧妙,易用性高,還有豐富的數據保護功能;沒有明顯的卷頭、所需文件擴展名或者其他識別標記;唯一的例外就是加密的引導卷,引導卷里面有TrueCrypt引導裝入程序。TrueCrypt還包括了所謂的“似是而非的否認”(plausible deniability)特性,能夠把一個卷隱藏在另一個卷里面。隱藏卷有自己的密碼,沒有辦法確定某個TrueCrypt卷里面是不是隱藏了另一個卷。如果用戶在使用系統磁盤加密,實際的加密過程需要一段時間,不過這個過程可以暫停,需要時恢復加密(你可能在晚上需要對上鎖房間里面的PC進行這種操作)。TrueCrypt要求用戶創建急救光盤。
2)FreeOTFE 3.00
FreeOTFE(OTFE的意思是“實時加密”)在許多方面與TrueCrypt很相似——它提供了許多同樣的特性,只是實施時有些地方略有不同;它還有一個版本使用條件非常寬松的軟件許可證。由于FreeOTFE的功能特點與TrueCrypt基本相似,所以也不作詳述。
3)7-Zip
7-Zip只是臨時應急的方法,用來創建經過加密、密碼保護的存檔, 7-Zip也能創建自解壓存檔,所以接收方不需要有7-Zip——只要你們事先約定好,任何密碼都可以。不過,它本身并不支持任何一種雙因子驗證。為了提高安全性,創建存檔時,一定要選擇“加密文件名”選項。
前兩種(TrueCrypt 5.1a和FreeOTFE 3.00)的安全性和穩定性稍強于7-Zip。喜歡開源免費軟件的用戶可能傾向于采用前兩種FDE軟件。不過,經過本人測試,由于是免費軟件,其穩定性和安全性這兩個最重要的指標,并不能讓用戶放心。對企業級用戶來說,大量的核心資料,一旦被這種免費軟件套牢,很可能招來嚴重的后果。如果企業所有重要信息被一套免費軟件“銷毀”,那對IT部門的主管人員來說,將會是一個極為悲慘的消息。
3. 企業級FDE軟件
1)DriveCrypt
SecureStar公司的DriveCrypt其主要功能類似TrueCrypt和FreeOTFE。至于比較先進的功能,比如整個磁盤加密,需要添加DriveCrypt PlusPack(185美元)。
標準版DriveCrypt可以在文件或者分區中創建虛擬加密磁盤。在一段時間沒有使用后,系統自動鎖住磁盤,還能在磁盤里面創建隱藏磁盤。它具有免費產品沒有的一些功能,包括能夠對現有加密磁盤隨意調整容量大小以及管理員密鑰代管服務(不過后者在TrueCrypt和FreeOTFE中也能實現,只需手動備份卷頭)。可以創建“DKF訪問文件”,該文件允許第三方不需要卷密碼,就可以訪問加密卷。DKF密鑰可以附加各種限制——它可以使用自己的密碼(與你自有磁盤上的密碼無關)、X天后到期失效,或者只能在某個時間段有效。這樣,就有可能為訪問加密驅動器提供一定的控制權。
費用:每個用戶59.95歐元(88.73美元)
2)Dekart Private Disk
Dekart Private Disk功能類似于其他加密程序,用戶可以創建虛擬加密卷、備份加密磁盤的卷頭、根據用戶活動來控制磁盤的安裝及卸載,等等。惟一真正重要、而其他產品沒有的特性就是“磁盤防火墻”(Disk Firewall),你可以用來授予或拒絕某些程序訪問加密卷。
Private Disk在開發當 “恢復選項”(recovery option),它試圖通過對密碼實施蠻力(brute-force attack)攻擊來確定私密磁盤的密碼。這帶來巨大的安全隱患,很可能成為破解者一個撬鎖的工具。
費用:每個用戶45美元
3)PGP Desktop專業版
PGP Desktop提供了一整套加密工具,能完美地與Windows系統集成。該程序的主界面有五個基本部分:密鑰管理、郵件、壓縮、磁盤管理和網絡共享(NetShare)。
PGP Desktop的個性功能在于郵件管理部分,控制著如何處理電子郵件。在默認狀態下,PGP Desktop能夠對標準的SMTP/POP電子郵件、Exchange/MAPI郵件以及Lotus Notes郵件進行加密。PGP Zip選項卡讓你可以創建加密存檔,這些存檔可以在另一頭用PGP來解壓,或者封裝成自解壓存檔。PGP Disk是套件中的整個磁盤或者虛擬卷加密解決方案。如果使用了整個磁盤加密,可以在加密過程中選擇幾個選項:最大CPU占用率,目的是節省時間;電源故障安全選項,以便加密過程中萬一出現斷電,防止系統受到破壞。加密磁盤可以使用TPM硬件(如果你有這種硬件)或者USB閃存盤來存儲密鑰文件,也可以兩者結合使用。PGP Disk另外有一個出色的特性:數據粉碎工具,類似自由軟件Eraser產品。它可以清除文件,也可以只清除現有磁盤上的空余空間。網絡共享特性讓你可以共享便攜式驅動器或者網絡連接驅動器上的加密文件。所有解密在用戶端進行,所以任何敏感信息絕對不會以明文格式傳送,也用不著在文件服務器上安裝特殊軟件。網絡共享還能與活動目錄集成,以便對誰可以訪問哪些信息實行細粒度管理。還可以對指定受保護文件夾外面的單個文件進行加密。PGP Desktop還可以由企業環境下的PGP中央服務器程序(PGP Universal)來管理。
費用:每個用戶199美元
4)Pointsec
Checkpoint花費5.8億美元收購Protect Data公司所獲得了終端和移動設備數據安全產品Pointsec,其實在此之前已在全球得到應用。Pointsec與下文介紹的Safeboot是知名度最高的FDE產品,個人用戶可以采用單機版,企業用戶可以采用C/S架構的企業版。其解決方案已經被全球的公司、政府所驗證。適用于PC、筆記本電腦、移動設備等多種磁盤加密,而且支持多種操作系統。具有預引導的一次性全盤加密功能,集中策略管理和關鍵恢復和遠程協助功能,強加密和單點登錄功能等都為用戶熟知。
費用:單機版每點120美元左右。
5)Safeboot
雖然Safeboot已經被麥咖啡公司收購,集成到麥咖啡的數據泄露防護(DLP)系統中,但是本人還是比較喜歡Safeboot這個名字。這并不是因為本人有懷舊情結,而是因為Safeboot本身的含義比較有意思:從源頭上保證安全。
Safeboot與Pointsec在功能,價格等多方面類似,故不贅述。
四、國內能夠采用的最佳FDE產品——DiskSec
個人用戶看到有這么多FDE軟件可供任意選擇,一定會心花怒放。但是政府、軍隊和企事業單位,一定會感到非常遺憾。因為,這些產品在中國根本不能用。
國家法律規定,凡涉及到商用密碼的軟件產品,都必須由具備國家商用密碼生產定點單位資格和國家商用密碼銷售許可單位資格的企業生產和銷售。而且,還必須具備國家保密局、軍隊和公安部的相關銷售資質才可以在國內銷售。信息安全軟件產品,關系到國家機密、軍事機密和商業機密的保護,外國加密軟件不得在中國政府、軍隊和企事業單位使用。雖然介紹了這么多FDE軟件,但是政府、軍隊和企事業單位用戶,只能從技術、功能上參考對照一下,不能采購和使用。
本人花費大力氣在國內搜尋,發現國內目前具備法定資質的FDE軟件只有北京億賽通公司所生產的DiskSec。
DiskSec具備強大的功能,有單機版和企業版可以選用。從性能上看,比國外同類型的企業級FDE軟件要高。DiskSec主要優點有:
1. 安全可靠的認證方式:口令/密碼、USBkey或口令/密碼、USBkey二選一;
2. 對磁盤上所有數據進行高強度加密(包括操作系統);
3. 只在磁盤上保存密碼的單向散列值,無法反推算出密碼。系統不留后門,無法破解;
4. 對系統容災方面考慮周全,具備光盤急救系統、內嵌急救系統等急救系統;
5. 加密速度快。加密速度能達到每小時60GB,遠超過Pointsec每小時10GB。
DiskSec不僅是一款能保護PC、筆記本電腦、移動存儲設備的多功能FDE軟件,可以用于企業級的終端保護,還可與電腦生產廠家聯合推出全加密硬盤電腦,具備強大的適用性。
DiskSec在中國空軍全軍得到應用,部署規模為10萬臺筆記本終端。除此之外,在金融、電信、電力、制造業等多個行業都已經有大量PC和筆記本電腦部署DiskSec。
五、結論
BitLocker可通過活動目錄來進行集中管理。個人用戶可能會試一試TrueCrypt(或者功能最接近于它的FreeOTFE)。PGP Desktop添加其他許多工具,對不僅需要加密磁盤上的內容、還希望加密電子郵件和即時消息的用戶來說,這是個不錯的選擇。而DriveCrypt也有一些可能有用的隱匿和訪問管理功能。7-Zip是創建經過加密、密碼保護的存檔的一種簡單方法。遺憾的是,Dekart Private Disk很難稱得上是專業的加密解決方案,因為它可能導致蠻力攻擊。國外的企業級用戶一般會采用Pointsec和Safeboot。
中國的政府、軍隊和軍工、企業事業單位用戶,目前還是只有一個選擇,就是DiskSec。
