Win7中EFS加密和Bitlocker應用解析
EFS加密
隨著計算機和計算機網絡的不斷普及,計算機信息安全問題已經日益突出。目前安全產品也非常多,其實普通用戶用不上太復雜的加密方式以及加密設備,他們需要的大多是自己電腦上的數據防止被他人非法復制等。這類普通用戶的需求如果采用大型安全公司的解決方案成本高,也會造成不必要的浪費。而操作系統本身如果具有一定的安全工具,就可以解決大部分的安全需求。
微軟的操作系統整合了很多有用好用的功能,多年來坐擁無可爭議的最受歡迎使用人數最多的個人桌面操作系統。windows7整合了之前操作系統的優勢,其自身的安全性、兼容性也達到了相當高的水平,在用戶當中好評不斷。今天我們從Windows7的兩個安全工具說起,簡單談談Windows7在數據安全這方面有哪些過人之處。
我們引述一段來自微軟技術白皮書的文字:EFS加密是基于公鑰策略的。在使用EFS加密一個文件或文件夾時,系統首先會生成一個由偽隨機數組成的FEK (File Encryption Key,文件加密鑰匙),然后將利用FEK和數據擴展標準X算法創建加密后的文件,并把它存儲到硬盤上,同時刪除未加密的原始文件。隨后系統利用你的公鑰加密FEK,并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時,系統首先利用當前用戶的私鑰解密FEK,然后利用FEK解密出文件。在首次使用EFS時,如果用戶還沒有公鑰/私鑰對(統稱為密鑰),則會首先生成密鑰,然后加密數據。如果你登錄到了域環境中,密鑰的生成依賴于域控制器,否則它就依賴于本地機器。
在Windows7下對文件或者文件夾進行EFS加密很簡單,右擊要加密的對象,點擊屬性,在常規標簽下點擊高級,在彈出的對話框中將加密以保護數據復選框中的勾勾上,點擊應用,加密對象就會變成綠色,說明加密成功,解密只需進行相反操作。
啟動加密向導
此時Windows自動生成了一個對應賬戶的證書。為了數據的安全我們可以導出證書,運行certmgr.msc,調出證書管理器,在證書當前用戶下找到生成的證書,右鍵選擇所有任務,打開導出向導。
證書管理器
證書導出向導
選擇同時導出密鑰
此證書只能以個人信息交換的方式導出
從上面一段文字看,EFS加密或依賴于域控制器或依賴于本地用戶賬戶,我們不考慮EFS加密的強度的話,采用這種加密方式如果采用脫機攻擊的方式,破解了域控制器或者本地對應的用戶賬戶則EFS加密不攻自破。不過對于大多數用戶來說,EFS加密是一種操作系統帶來的免費加密方式,可以應對大部分的非法偷窺或者復制,因此是一種不錯的安全工具。
#p#
BitLocker加密
BitLocker驅動器加密早期出現在Windows Vista中的一種數據保護功能,主要用于解決數據安全問題:由計算機設備的物理丟失導致的數據失竊或惡意泄漏。在新一代操作系統windows 7中Bitlocker更是數據安全的特色工具之一。
BitLocker可以實現與TPM(TPM實際上是一個含有密碼運算部件和存儲部件的小芯片上的系統,由CPU、存儲器、I/O、密碼運算器、隨機數產生器和嵌入式操作系統等部件組成。)無縫對接,如果計算機安裝了兼容TPM,BitLocker將使用TPM鎖定保護數據的加密密鑰。因此,在TPM已驗證計算機的狀態之后,才能訪問這些密鑰。加密整個卷可以保護所有數據,包括操作系統本身、Windows注冊表、臨時文件以及休眠文件。因為解密數據所需的密鑰保持由TPM鎖定,因此攻擊者無法通過只是取出硬盤并將其安裝在另一臺計算機上來讀取數據。
右鍵啟動向導
可以選擇解鎖驅動器方式
密鑰備份
加密過程比較慢 因為是加密整個卷
加密完成
在沒有輸入密碼的情況下格式化U盤 鎖定解除 但數據亦消失了
如此看來,BitLocker可以通過加密整個卷,實現對非授權用戶的有效限制。BitLocker采用了輸入密碼生成密鑰的方式,密碼以及密鑰的安全存儲成為另外一個問題,另外筆者沒有發現BitLocker對輸入密碼次數有限制,給暴力破解密碼造成了機會。我們還發現,如果使用BitLocker鎖定了某個卷,雖然密碼輸入錯誤不能進入,但可以通過格式化來達到重新啟用的目的。通過鏡像復制技術或者格式化以后數據恢復技術能不能繞過BitLocker加密措施我們沒有實際驗證。
小結:
EFS加密和BitLocker加密是Windows7提供的數據安全工具,作為操作系統的一個附加功能隨操作系統附送,這兩種工具的加密強度以及安全性完全符合一般用戶的使用要求。但對于對數據安全性要求更高的用戶,我們還是建議使用專業數據安全加密產品。
EFS目前有專門的解密工具,而且EFS的安全性在一定程度上取決于用戶賬戶安全;BitLocker在第一次輸入密碼之后,在賬戶沒有注銷和不利用CMD再次鎖定之前,是不需要再次輸入密碼,也存在一定的安全風險。我們說安全性是相對的,一方面有賴于用戶對計算機本身的設置,另一方面加密和解密這對矛盾一直是水漲船高的關系。在1024位加密強度的密碼體系的攻擊方面,采用邊信道破解的方法已經取得突破,如何在現有的安全體系下讓數據更安全已經成為了一個課題。
【編輯推薦】
