【原创】一步一步用bitlocker加密磁盘——另对一些安全问题的哲学探索
这是我的原创,在long-jf和vistafans刚刚发过只是用的另外一个帐号而已
版权所有
全部凭记忆自己阐述,不对技术细节作过多描述。
希望能够用一种比较简单直白的口吻叙述这个复杂的技术问题,这是本文的要旨。
有些地方也是凭个人感觉,不准确的还要包涵。
不配图了,想玩这个估计都能看得懂,找得到。
这里讨论这个的好象不多,搜索了网上的帖子,有的似是而非,很要命。
主要操作来自于MS的官方指导,有兴趣的自己看MS官方网站,实现起来很简单的。
关于TPM
这个不是必须的。现在好像不少笔记本和新的台式机都有,但是稍微老一点的就没有
MS体会到大家的难处,没有TPM,就用U棒也行
本文描述的是没有TPM的情形。家里面一台笔记本,虽然有TPM,但是好像是TPM 1.1,可能无法满足bitlocker的TPM 1.2的要求,还没有测试,谁测试一下给我看个结果吧
Bitlocker实现方式及达到效果简要说明:
全盘加密,其实准确的说,是全分区加密,但不是指整个磁盘所有分区都bitlocker,而是操作系统所在的分区全分区加密。
MS解释说,总算找到一种硬盘丢失后无须担忧数据是否可能泄密的可行方案了,同样处理废旧硬盘也可以不要消磁和大卸八块了。某些保密单位就是这样的,省级换下来的硬盘,不管怎样处理过,都不敢丢弃,现在不用愁了,bitlocker之后,可以重新回收利用……真环保
有人疑惑,那有个什么用呢,我们只加密数据文件,系统文件加密干吗?
问题在于bitlocker不是小儿科的加密,比如word文档加密了,但是在读写过程中,在pagefile、系统缓存、临时目录里面都留下了痕迹,即使word文档解密困难或者干脆无法解密,如果能够从临时文档中解密,那还是达到了解密的效果。举例来说,正在编辑一个加密的doc文档,突然断电了,别人就能把磁盘拆下来,看到文档内容了,为什么呢,因为功能强大的word软件设置了自动恢复,对付突然断电这样的问题,尽量保证数据能够恢复。
所以bitlocker把系统分区全部加密,就可以杜绝这个问题,因此MS建议bitlocker出来了,不要再分什么系统分区,数据分区了,全部合在一起,享受bitlocker无与伦比的保护,哈哈……
1、 先决条件
由于系统分区被加密,因此这种加密技术必须要操作系统支持,估计目前任何第三方软件都无法做到这一点,所以这么高端的功能还是只提供给U版和E版使用,B版和H版就不要想了。
磁盘必须至少两个分区,系统必须安装在非激活的分区上(有点匪夷所思吧)
2、 实现方式
无论如何都需要安装完成后才能加密磁盘,想MS怎么这么笨哪,不能一边安装一边加密么?多节省时间啊,猜测可能是因为需要驱动支持API支持,所以安装时加密实在困难。
建议最好安装前把磁盘按照要求划分一下,当然安装后重新分割磁盘也很方便,从此彻底不用PQ啦(好久不用PQ了,当然PQ还是有些功能vista的磁盘管理无法实现,不过这样的功能不用也罢)
划分分区,以空白磁盘为例,第一个分区1.5G,ntfs,激活,第二个分区为系统安装分区,大小么,至少6G了,越大越好,最好包含剩下的所有容量,所有数据文件也就放在系统分区,这样就可以都被bitlocker这把大伞罩着。
第一个分区1.5G,是MS推荐的,事实上占用只有50M,但是MS建议,未来可能要安装升级、系统修复什么的,所以要1.5G。
安装时要选择非激活的那个分区,就是那个大的分区,为什么要这样?因为系统启动最开始是由bios确定启动顺序,调用磁盘的启动分区,读取第一个启动文件,如果磁盘的启动分区都被加密的话,那现有的bios就不认识了,就无法启动了
事实上,加密完成后的系统分区用其他系统察看,根本无法识别,显示文件系统为RAW,就是原始未分区的状态,因此不要指望什么恢复软件能够轻易读取,况且读取了也没有用,因为bitlocker是每个字节都加密的,读取的只是加密后的密文,至于原来的内容是什么,就要问问MS这种加密方式的强度如何了,当然了,想来也不会太复杂吧,要不然操作系统怎么启动啊?不过,肯定不会是对称式加密,也就是说无法用分析密文的方式得出密钥来解密。
安装完成后,进入控制面板的bitlocker,咦?怎么也搞不定吗?
没有TPM,那就要用gpedit.msc,因为bitlocker默认必须要有TPM才能开启的
那就把组策略里的搞定,于是可以下一步了
提示插入U盘,然后把开启加密分区的密钥(整个过程密码、密钥不断,难免眼晕,这个用SK表示)存在这个U盘上,以后每次启动之前,都要把这个U盘插上。
这个过程是把一个1K的很小的文件放在U盘根目录,里面包含了解密的密钥SK
生成恢复密码RP,这个是加入U盘丢了或者忘带了,进系统的48位数字密码,启动的时候会有提示的,密码和密钥都是系统随即生成的,所以想自己搞一个简单的是不行的
这个RP可以有三种方式保存,最直接的就是打印出来,或者系统生成一个xps文档,打开一看,48位数,分组显示,赫然在目。
然后开始选择加密分区,重新启动后检查系统是否适合加密,适合的话自动加密,期间计算机性能会有所降低,大概40分钟搞定。
用了TPM的话,密钥SK可以存在TPM中,这样就不用插U盘了,此时虽然硬盘已经bitlocker,用户却可能觉察不到
但是如果把硬盘拿到其他机子上去或者TPM坏了的话,还是要恢复密码RP的。
另外TPM本身也可以设置密码PIN,类似手机的PIN,要输入PIN,才能让TPM把SK释放出来启动机子。感觉这里有点瑕疵,具体细节我也研究不了,算了。
总结:
搞定后,对系统性能的影响几乎感觉不出来。
与原来的硬盘密码的关系和比较:
现行的所有硬盘,都可以设置硬盘密码,对于大多数笔记本,可以在bios里面设置,对于台式机,则可以通过第三方工具。
这个密码的保护程度,还是很高的,非专业人士无法搞定
但是这个密码也没有那么神秘,最关键的一点,就是这个密码只是类似于一个门钥匙,有了这个钥匙,可以顺利进入,没有这个钥匙,硬盘的数据都在,也都是未加密的状态,极端一点,把硬盘拆了,把盘片取出来,换个壳,一切历历在目。当然关于这个问题,网上的讨论也是连篇累牍,有些只知其然的人,难免会犯贻笑大方的错误
比如有公司宣称,硬盘密码如果丢失,硬盘只能扔掉,事实真的如此么?还有一些,在出厂的时候,其实对硬盘是做了初始设置的,但是谁也不会大张旗鼓地宣扬这些事情。
所有的安全方面的话题,看似都很高深,但是原理都不是那么复杂的
解密取决于加密的原理,更取决于加密的强度
想知道大概这些所以然是怎么回事,其实不难,懂点英语、懂点数学、懂点计算机和电子,就可以了。
至于研究加解密的原理、加密强度,则是非专业领域不能为的,而且更需要天赋。
普通老百姓,看看热闹也就行了,也没有那么多不可告人的秘密需要隐藏的,是吧?
看到网上轰轰烈烈的关于各种皮毛技术的讨论,不觉莞尔……
版权所有 ding 没看出跟哲学有啥联系,倒是有点像在讲伦理道德 超级经典!帅呆了!
超级经典! 牛啊 中一个RSA4096病毒,啥都有了:D 本帖最后由 NCpiro 于 2016-9-30 09:18 编辑
多少人因为加密又没备份key,数据回复不出来了。
页:
[1]