传统的硬盘加密技术
为了保护硬盘数据,传统上有以下几种方法实现:BIOS系统口令,硬盘ATA密码,软件加密以及硬件加密卡。电脑主板BIOS提供设置系统口令的功能,用户可以进入BIOS设置该密码。下次开机时,需要输入BIOS密码才能进入系统,从而在一定程度上保护硬盘数据。但是,这种方法是安全级别最低的,因为只要将硬盘挂到另一台主机就可以访问硬盘全部数据。
所有执行ATA 标准的硬盘都带有ATA密码功能,包含主密码(SID)和用户密码(UID)两种。用户可以在主板BIOS里设置任意一种或者两种密码以及密码策略(高级和最高级)。如果密码策略是高级,则SID和UID任意一个都可以解除密码;但是如果是最高级别,只有UID能接触密码,SID只能用于重置密码,而且重置过程将清楚所有数据。上面提到的7220硬盘,就是只解除了ATA密码(即SID)。
软件加密就是通过一些加密软件按照特定的加密算法来实现加密/解密功能,这种方法可以对任意文件,目录或者全盘数据(包括操作系统,基于软件的FED加密)。这样的软件包括TruCrypt、PGP、FreeOTFE、Bit Locker、DriveCrypt, 7-Zip以及Windows Vista自带的BitLocker加密工具等。但是,软件加密的密钥仍然存放在硬盘上,仍然有可能被黑客破解,而且软件加密需要占用CPU,浪费系统资源。
硬件加密卡是通过加密卡和USB加密盘来实现。使用此方法,用户需要将加密卡插在主板PCI插槽,然后数据线连接硬盘即可。使用时,需要将USB加密盘插在加密卡对应的接口上,平时使用时正常无异;但是一旦拔出USB加密盘系统就会被锁死,只有重新插入USB盘才能使用。硬件加密卡的方法严重依赖加密卡和USB加密盘,一旦其中之一损坏,即使是加密卡生产厂家也无能为力。 恩 学习 了 不过 我用的 MHDD 加的密不知道好不好?
基于硬件的FDE加密技术
这种技术采用一块内置到硬盘里的芯片进行加密/解密操作,密钥存放在该芯片里。当操作系统写入明文数据到硬盘时,加密芯片会将其加密,并将密文数据写入磁盘;而当操作系统从磁盘读取数据时,解密芯片会将密文数据解密,并将明文数据输出。
在硬盘中,所有写入的数据都需要先转化成二进制代码才能被存储。例如我们需要向硬盘中写入“6”这个阿拉伯数字,首先计算机会将“6”变成二进制代码的形式“110”,之后再加上ECC校验码,于是“110+ECC”便被写到硬盘中。这是传统的硬盘写入数据方式。
那么,FDE硬盘是如何工作的呢? 仍然以上面的例子为基础:我们需要往硬盘中写入阿拉伯数字“6”,这时加密/解密芯片需要首先对“6”进行加密,为了方便起见,我们假定加密公式F(x)=密钥×数据,且我们现在的密钥是“8”。那么我们得到的加密后的数据就是“48”,而最终写入硬盘中的二进制代码是“1001000+ECC”。在读取时,首先被读出的是二进制代码,然后被转换成数据“48”,再根据加密时的密钥“8”,利用解密公式“数据=F(x)/密钥”,得到原始数据48÷8=“6”。
从上面的过程中可以看到,密钥是整个过程的关键部分。在FDE硬盘中,密钥分为“主密码(SID)”和“用户密码(UID)”两个等级,主密码用于制作加密密钥之用(一旦输入之后,不能更改,原因后面介绍);而用户密码的作用与先前的BIOS开机密码相当,它只能对硬盘进行加锁或者解锁的操作。
如果用户想改变密钥,只需要发出“擦除FDE密码”的命令,这样,密钥会被重新置为KEY 0,当用户重新设置密码时,密钥就变成随机密钥。密钥是由加密/解密芯片控制的,而不是存储于硬盘存储介质中,所以黑客就很难破解。 更改主密码SID之后,硬盘的加密算法就会发生改变,先前写入的数据将会无法被识别。例如我们将SID从原来的“8”,换成“12”,那么按照算法得到的最终数据就是48÷12=4,这个值与原来的数据没有任何联系。
需要特别注意的是,虽然从道理上说硬盘可以更改密钥(指主密码SID),但是更改主密码之后,硬盘上原有的数据将不能再被识别(图6)!所以更改SID功能只有两个用途:一是新硬盘的初始化加密,另外一个就是快速擦除硬盘上的全部现有数据。 看了半天
啥也木看懂http://cache.soso.com/img/img/e106.gif
页:
[1]