BitLocker使用建议
开篇:润墨网以专业的文秘视角,为您筛选了一篇BitLocker使用建议范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
bitlocker是最早在WindowsVista中包含的一项硬盘加密功能,可对系统盘与非系统盘(对非系统盘进行加密是从VistaSP1才开始实现的)进行加密,保护系统完整性,预防脱机攻击,并确保数据安全。和传统的加密技术相比,BitLocker最大的特点在于可以借助额外的硬件TPM(可信平台模块)芯片进行加密,因此安全性更高,适用范围也
更广。
本刊曾经介绍过使用BitLocker的前提条件,以及具体的用法。最近一直有读者咨询相关问题,因此我们准备了这篇文章,准备更深地介绍有关BitLocker的技术细节,以及使用方面的建议。
BitLocker所支持的不同加密算法
根据微软的介绍,BitLocker支持128位与256位两种强度的AES加密算法。密钥越长,安全性越高,被攻破的难度也就越大;同时密钥越长,数据加密和解密所需的时间也就越长。除此之外,BitLocker还可以使用一种额外的Diffuser算法防范通过Ciphertext进行的攻击。
默认情况下,Windows中的BitLocker使用128位AES加密,同时使用Diffuser。不过具体使用哪种算法,以及是否使用Diffuser,都可以通过组策略进行调整。一般从性能的角度考虑,128位加密强度足矣,同时最好启用Dilfuser,也就是说,默认设置完全可以满足需要。但如果是企业用户,如果由于合规性要求需要遵守美国联邦信息处理标准(FIPS),则就不能使用Dilfuser。
具体来说,这些策略位于“管理模板”|“windows组件”|“BitLocker驱动器加密”节点下,通过“选择驱动器加密方法和密钥长度”策略进行配置。另外在这个节点下还有更多可以对BitLocker进行配置的策略,具体用途和使用方法请参阅说明信息。
典型的BitLocker环境对数据的解密可通过三种途径进行:
TPM芯片:这是一种专用芯片,需要固话或额外安装在主板上,用于存储加解密过程中所需的全部密钥和其他信息。Windows的BitLocker功能必须使用1.2版以上TPM芯片。
PIN码:如果没有TPM芯片,则可以使用PIN码。简单来说这就是一个密码,需要用户手工输入,以解密数据。
启动密钥:这实际上是一个文件,需要保存在可移动存储设备中,该密钥需要配合TPM芯片或者PIN码才能使用,不能单独使用。
因此取决于具体的硬件配置及安全需求,可以将上述三种解锁方式进行排列组合。
加解密对性能的影响
任何加密技术都会对性能产生影响,BitLocker也不例外。更重要的是,普通的加密技术主要加密特定文件或文件夹,而只要不访问这些内容,就不会影响性能。可BitLocker加密的是整个硬盘分区,甚至系统盘,因此对性能的影响就不能忽略。那么对性能到底有多少影响?
为此我们进行了测试。测试用的电脑是一台8GB内存的笔记本电脑,安装一块320GB容量,7200rpm的日立硬盘,具体型号为HTS723232A7A364,缓存16MB。电脑的CPU为San:dyBridge架构的IntelCorei7-2620M,双核心四线程,4MB缓存,主频2.7GHz,通过睿频功能最多可自动超频到3.4GHz。CPU的规格中列出了支持AESNewInstructions技术,简单来说,这个技术等于是给CPU中添置了专门负责AES相关操作的指令集,因此可以加速有关AES操作的运算速度。
为了尽量模仿真实测试环境,我们没有使用干净的系统,而是在系统中安装操作系统和所有常用软件,随后针对所有硬盘分区启用纯TPM模式的BitLocker(默认设置,128位AES算法,带Diffuser)。然后用软件测试非系统盘的读写速度,并确保在测试过程中没有其他程序需要读写该分区。测试环境使用64位旗舰版Windows7SP1系统,系统和驱动都升级到官方最新版。测试软件则使用了2.47版ATTODiskBenchmark。
结论
在开启BitLocker,并保持分区为加密状态下测试的参数和测试结果如下左图。随后用了将近三小时对该分区进行解密,禁用BitLocker,解密完成后重启动系统,然后用相同参数测试获得了下列右图的结果。
观察发现,无论是加密或是解密状态下,数据的读取速度影响并不是很大,但在写入数据时却有比较明显的差异。根据一般情况下的使用特点,选取2MB、4MB、8MB、16MB、64MB,以及512MB这几个区块的写入速度进行一个简单的对比。
从结果中可以看出,对于写入速度,BitLocker的影响还是很大的,对于512MB大小的区块,降速高达27%!除了8MB大小区块的结果异常,估计可能是误差或其他因素影响,毕竟这不是在干净环境中进行的测试,而且取的关键点也太少。这样的结果应该能够说明问题了:BitLocker对写入速度确实有不容忽视的影响,不过对读取速度的影响基本可以忽略不计。
考虑到一般应用都以读操作为多,写操作相对较少,因此可以近似理解BitLocker对性能的整体影响基本不那么让人纠结。尤其是需要考虑到以牺牲性能为代价所获得的其他好处。