2024年5月25日发(作者:金晓露)
维普资讯
Technology
责任编辑:尹超辉E-mall yinch@cniti.tom
硬派讲堂
技的东西。实际上,加密技术很早以前就出现
对于很多计算机用户来说.最宝贵的不是计算机硬件本身.
而是存储在计算机上的重要数据.因为笔记本电脑被窃或者移动
存储设备(移动硬盘等)丢失而导致的公司重要数据丢失.泄密.
往往会给一个企业带来致命的打击。据报道,2003年在美国发生
6O万起笔记本电脑遗失案件.这一数字在2005年上升到75万起。
如果这些笔记本电脑中记录着用户的隐私信息或者一些敏感的商
业机密时.那损失将是无法估量的.没有人希望这种事某天会发
生在自己身上,但是未雨绸缪.提前做好硬盘数据的加密工作就
显得异常重要了。我们今天的主角是希捷的全硬盘加密技术(FuI I
D{sk Enc ryption 下文中简称FDE),但是在文章开始前,还是让我
具体有多早昵?
追溯到公元前2000年,当时人们的思想
们先来了解~些关于加密技术的背景知识吧。
图1古埃及的象形文字是世界上最古老的文字之
虽然经过了许多代人的研究,但这种包含着人
们最原始“加密”思想的古老文字,至今我们仍然
一
序:加密技术的由来
不要看到“加密技术”这四个字,就认为它一定就是什么高科
,
不能了解其中所有的含义。
微型计算机2006年8月下 153
………一~……~………一 …~…~……一………~~………~。 ~…………… …~
维普资讯
l
Techno|ogy
责任缩辑:尹超辉E・mail yinch@cniti corn
硬派讲堂
中还没有“加密”这个概念,但是人们的行为却不断地进行
“加密”的实践,例如当时的古埃及人最先使用一种非常特
别的象形文字作为信息记录的方式,后来古巴比伦、美索不
算法是整个加密技术的灵魂,任何一种成熟的加密技术
都是建立在一种或多种加密算法组合的基础之上;换句
话说,无论是硬件加密还是软件加密,脱离了加密算法一
切都是空谈!
达米亚(两河流域)地区和古希腊也出现了一些特殊的方法
来保护他们的书面信息,这一时期最出名的代表就是“凯撒
密码”。到了近代,两次世界大战的爆发,让加密技术有了质
的变化,其中第二次世界大战时德国人使用的Enigma ̄
二.软件加密算法与硬件加密算法
在算法的基础上,我们可以把加密过程分成软件加
密和硬件加密:软件加密是我们最常听到的,而且也是
次将机械加密引入到了加密这个“古老的技术领域”。
普通计算机用户最常用到的一种加密方式,简单地说,
>>你知速。飘量密码”么?
凯撒密码是一种非常古老的加密方法,相传当年凯撒大
帝行军打仗时为了保证自己的命令不被敌军知道,就使用这
种特殊的方法进行通信,以确保信息传递的安全。它的原理
软件加密算法及其特点
顾名思义.软件加密就是通过一些加密软件按照特
定的方法来实现加密,解密功能。软件加密这种方式依赖
于操作系统.并且通过CPU来对数据进行转换,运算操
作,这样一来就会占用很多处理器和内存资源.势必降低
其加密,解密的速度:而且软件加密的密钥通常被保存在
硬盘中.如果密钥被黑客找到就很容易将数据解密,导致
其安全性被大大削弱。
在软件加密方面.具有代表性的如来自美国的加密
软件《PGP》俭名:((Pretty Good Privacy)),本文中简记
很简单,说到底就是字母与字母之间的替换。下面让我们看
个简单的例子:“Micro computer”,用恺撒密码法加
密后字符串变为“Dlfur frDsxwhu”,它的原理是什/厶呢7
一
为PGP).它综合了对称加密和非对称加密两种算法,充
分利用两类加密算法的特点.来完成对电子邮件等个人
速度方面)和准确(误码率方面),不过随着计算机技术的
发展,人们将目光投向了计算速度更快,效率更高的电子
加密技术。
私密文件的加密过程:首先,使用者启动PGP来加密一段
内容.PGP会首先压缩明文,然后生成一个一次性会话密
钥(MYI),再用这个密钥配合传统的对称加密算法( ̄AES
等),加密刚才压缩的明文,并产生密文;随后,程序会根据
这段密文和接收者的公开密钥生成接收者的一次性会话
与此同时,普通而简单的加密方式已经无法满足人
们对数据安全的要求,一些更新、更复杂、更难以破解的
加密方式不断投入使用,以满足人们对数据安全性的需
要。发展到现在,加密技术按照工作方式的不同大致可以
分成三类:对称加密、非对称加密以及不可逆加密。加密
密钥(MY2);最后,MY2会随密文一起发送给接收者,接收
者会用自己的私有密钥来获得MY2,并最终根据MY2来解
密密文.得到原始信息泼信者的内容,&口原来的明文)。
图3 P(jP在加密时需要使
用到大量的随机数,所以
>>你知速三种常见加密方式的区别吗?
不同的加密方式往往会产生不一样的效果、其中算法起到
了决定性的作用,在计算机加密技术中经常使用到的加密算法主
要有以下三类:
1.对称加密算法:对称加密算法使用单个密钥对数据进
行加密或解密操作
把,就好缘生活中捌门“一把钥匙开一把锁”。
2非对称加密算法:非对称加密算法也称为“公开加密算
法”,它有两个密钥,只有两者搭配使用才能完成加密和解密的
全过程。非对莉功口密一般应用在“数字签名”中,即数据源使用
其私有密钥对数据进行校验和加密,然后数据的接收方使用相对
应的公用密钥解读“数字签名”,并将解读结果用于对数据完整
性的校验。非对称加密算法常用于“多对一”的环境中。
3不可逆加密算法:不可逆加密算法的特点是不需要密
钥,而且加密过后的数据可以被读取但是不能被解密(例如通常
我们所说的“6b/iB”),只有输八与加密过程同样的算法(规则)之
后,用户
在软件中有一个比较有趣
的设定,就是在加密时需
要用户不停地移动鼠标来
获得这些随机数f当然,这
个过程是一次性的,而且
是不可模仿 。
除此之外.还有很多保护本机内容的加密软件.如
acer笔记本电脑上的((eDataSecurity Management)):其
是一款笔记本电脑的加密软件.通过它用户可以对各种
文件或目录进行密码加密,防止未授权的用户非法读取计
算机上的资料。按照保密等级的不同,从低到高依次分为
128bit、192bit和256b_l三种不同强度的加密方式.用户可以
按需选择.不过加密等级越高.在进行加密,解密操作时所
耗费的时间也就越长。
154微型计算机2006 ̄8,EJ下
维普资讯
——一 _…r…~~~一… 一一~ —
1
硬派讲堂
 ̄echnology
贾任编辑:尹超辉E ̄ail yinch@cniti com
它就是通过加密软件利用特定的算法对数据进行加密运
算;相比较而言,硬件加密可以看成是一种“物理加密技
硬件级的加密性能又可以降低实现的成本呢?答案是肯
定的,这就是希捷全硬盘加密技术的由来。
术”,它是通过加密控制芯片采用一定的加密算法来对设
备上的数据进行加密的。
>>BIOS开机密码与FDE的区别
很多计算机爱好者部使用过主板的B10S开机密码功能,
三、全硬盘加密技术的实现
前文中我们介绍了软件加密以及硬件加密的优缺
点,软件加密成本便宜但是效率不高,硬件加密安全级别
很高但是成本上过于昂贵,有没有一种方案既可以提供
通过它我们可以锁定计算机的A T A通道,只有输八正确的密
码,我们才能使用计算机。不过这条看似安全的“马其诺防
线”,却有一个非常大的安全隐患:很多朋友都知道对BIos放
电即可消除存储在BIOS中的密码信息,即便开机密码没有存在
B10S中(很多品牌机的开机密码存在硬盘上),但是通过一些技
术手段,我们完全可以绕过这个限制,直接得到我们想要的数
据,因为它门是没有经过任何加密处理的。
FDE技术与硬盘开机密码的区别就在于,FDE会对存鼯
在硬盘上的数据进行加密 用户仍然可以使用开机密码等8los
我们不妨把软件加密的特点归结如下:加密过程需
要计算机的CPU全程参与,会消耗大量的系统资源.通常
设置,但是当有人想绕过这些检测程序而得到数据的日 候,他会
发现拿到的数据其实都是无法破解的“乱码”
将密钥保存在计算机的硬盘(或其它存储设备)上:在密钥
不丢失的情况下,可以满足安全性的需求.并对”暴力破
解 有一定的抵御能力。
疋羔袋盈 毒铰术?
FDE技术就是在传统硬盘的基础上加入3D Crypto
芯片和DriverTrust固件,从而实现在硬件层面上的对写
硬件加密及其特点
硬件加密的过程与软件加密是相对而言的,硬件加密的
特点在于其完全脱离操作系统.而且对操作系统而言是透明
的。硬件加密的过程通常由一颖独立的加密控制心-H-片来完成
对数据的加密/解密运算,全程基本上不需要CPU支持,其原
理是将需要保护的数据转换成不可识别的数据模块,因此
在加舒解密速度上以及安全性上比软件的方式要娆
说到硬件加密.
可能大家首先会想到
入/读取数据的时时加密/解密过程。由于FDE将所有的
安全密码、加密和解密操作均布置在硬盘的加密控制芯
片中,这种与操作系统分离的设计既继承了硬件加密卡
的优点,又弥补了加密卡成本过高以及需要加密盘支持
的缺点。按照希捷的计划,这项技术将首先应用于对数
据安全性要求较高的笔记本硬盘中
2 FDE硬盘的读写原理
在硬盘中,所有写入的数据都需要先转化成二进制
代码才能被存储。例如我们需要向硬盘中写入“8”这个
阿拉伯数字,首先计算机会将“8”变成二进制代码的形式
“1000”,之后再加上ECC校验码,于是“1000+ECC”
的就是硬件加密卡
(图4)。硬件加密卡在
安装时非常简单.只
需要把加密卡插在主
板的PCl插槽上.然后
用数据线连接硬盘即
可。在使用时,需要把
USB ̄D密盘插在加密
失,硬盘上的数据将彻底无法识别。 卡对应的接口上,平
便被写到硬盘中。这种传统的数据保存方式几乎是完
全公开的,稍微有点计算机基础的人只需要将数据与
ASCII码表进行对比,就可以轻松地进行解码操作。
时使用与正常无异;但是一旦拔出USB ̄D密盘系统就会被
锁死.只有重新插入加密盘才能继续使用。
硬件加密的安全级别要比软件加密高很多,纵然机
器丢失或者硬盘被盗.黑客也不能读取其中的数据:硬件
加密从原理上来说杜绝了黑客尝试 暴力破解”的途径,
所以更加安全。不过硬件加密的局限性在于过分依赖加
密卡.如果加密卡损坏或者USB ̄D密盘丢失,即使是用户
自己也无法再进入那台被加密过的机器,而加密卡的生产
厂商也没有办法复制新的钥匙出来。不过.硬件加密过高
的实现成本也阻止了其更大范围的应用.对于对数据安全
图5 FDE硬盘的加密过程
FDE硬盘与传统硬盘的区别在于加入了3D Crypto
芯片和DriverTrust固件,因此在写入/读取过程中实际
上多了一个加密/解密的过程。3D Crypto芯片负责密码
的存储和重置,并承担对数据进行加密和解密的全部操
作;而DriverTrust固件则提供密码管理与复原的功能。
性要求不高的普通用户 更倾向于采用软件加密的方式。
鳃睦鳝黧
…——一…一…一…~
在FDE硬盘里面,加密与解密是两个互逆的过程。
下面我们来介绍~一下FDE硬盘的工作机理,仍然以
…一一一………………… ………………………一一——
麓饕雾器糍鼗潆囊 辫
………一………...一一………
微型计算机2006 ̄8,EJ下155
维普资讯
硬派讲堂
上面的例子为基础:我们需要往硬盘中写入阿拉伯数字
“8”,这时3D Crypto芯片需要首先对“8”进行加密,为
了方便起见,我们假定加密公式F(x):密钥X数据,且我
们现在的密钥是“9”(当然应用中肯定没有这么简单),那
么我们得到的加密后的数据就是“72”,而最终写入硬盘
中的二进制代码是0lll1000+ECC。在读取时,首先被读
出的是二进制代码,然后被转换成数据“72”,再根据加
密时的密钥“9”,利用解密公式“数据=F(x)/密钥”,得
到原始数据72+9=“8”。
从上面的过程中可以看到,密钥是整个过程的关键
的命令,这样,密钥会被重新置为KEY 0,当用户重新设
置密码时,密钥就变成随机密钥。密钥是由3D Crypto, ̄ic.
片控制的,而不是存储于硬盘存储介质中,所以黑客就很
难破解。 (下转161页)
>>你知道文件分区格式与FDE技术的区别吗?
硬盘分区格式与安全性也有着密切的联系、大家部知道
NTFS分区的安全性要远远大于FAT32分区和FAT分区。(相
信大家对N T F S的安全性能已经有所了解,所以关于N T F S
的部分我们在此不再赘述。)有消息称,微软在下一代操作系
统Windows Vista中将采用一种叫做“Bitiocker”的加密
技术,其是一种基于操作系统级别的全硬盘软件加密技术。据
微软的介绍资料,Blt Fooker使用了信任平台模块(TrUSted
P Fatform Modu Fe,简写为TPM),存储在TPM中的密钥利用
部分。在FDE硬盘中,密钥分为“主密码(SID)”和“用户
密码(UI D)”两个等级,主密码用于制作加密密钥之用
(—旦输入之后,不能更改,原因后面介绍);而用户密码的
作用与先前的B10S开机密码相当,它只能对硬盘进行加
锁或者解锁的操作。
如果用户想改变密钥,只需要发出“擦除FDE密码”
AES算法对硬盘上的所有数据进行加密/解密操作,在Vista关
机之后数据不能被篡改,即使存储这些数据的硬盘丢失,也可以
保护数据的安全。就目前来看,这种加密算法还很难被破解,所
以数据是相对安全的;但是它毕竟是软件层次的加密技术,在加
密和解密过程中会消耗大量的系统资源,在处理大文件时这种影
响将更加明显。
另一方面,Vista的Bitlocker技术具有很强的排它性,任
1G; ̄Vista环境下进行的操作都将被认为是不安全的,所以在
vista和其它操作系统之间你只能选一个,二者不能兼得,这无
疑会让喜欢玩多系统的用户觉得不可接受。
FDE硬盘就没有这fi ̄'u3题了,因为FDE硬盘对任何软件
(包括操作系统)都是透明的。它只对用户有选择性,只要你是合
法用户,那厶你可以在硬盘上安装 可软件,没有任何限制。而
图6更改主密码SID之后,硬盘的加密算法就会发生改变,
先前写入的数据将会无法被识别。例如我们将SIDAL原来的
…9’,换成“6”,那么按照算法得到的最终数据就是72÷
6=12,这个值与原来的数据没有任何联系。
且其独特的硬件架构可以做到让加密/解密过程与接口传输速度
等速进行,硬盘性能几乎不会出现下降。
随着光存储产品的快速普及,很多时候数据交换的工作是由光盘来完成的,而不是传统的硬盘。光
盘携带起来更加方便,但是丢失的几率也要更大一些,所以对光盘来说,如何保护里面的数据就显得尤
为重要7。
所幸,光盘驱动器中也有类似的加密技术,不过名称不叫“FDE”,而是叫做“SecuRec”f全称为
Secure Recording技术),它是浦科特(Plextor)g ̄端刻录机所特有的一项加密技术。SecuRec技术与FDE技
术一样,也是基于硬件级的加密芯片,对光盘做物理特性处理。SecuRec可以在任何一张空白cD.R盘片上
使用,经过加密的数据只有加密者本人或者其它知道密码的人才能看到;由于经过7“物理”处理,所以一
156微型计算机2006 ̄-8N下
维普资讯
硬派讲堂
Technology
责任鳙■:蔺科毫-mall:link@cniti com
的电能供应被降低到最低限度——但即便是C4状态,
CPU的电能供应也无法完全切断,因为L1 Cache和L2
Cache仍然保存着数据,如果完全停止供电将导致Ll
Cache和L2 Cache数据流失,这样系统就无法从睡眠
状态恢复正常。而Core Duo所具有的增强型Deeper
Sleep技术就有能力做到这一点,它在C4状态之上增加
的制造工艺和省电技术,实际运
行时功耗更低,相应机型普遍拥
有更出色电池工作时间。
了“增强C4状态(Enhanced Deeper Sleep)”,在该模
式下处理器电力完全切断,L1 Cache和L2 Cache的数
据则被存储进内存,如果用户激活新的任务,L1 Cache
和L2 Cache数据将从内存载回,CPU由此成功回到激
活状态。Intel表示,Enhanced Intel Deeper Sleep将
比现有的Deeper Sleep省电30%以上,进一步延长笔
记本电脑的电池工作时间。
AMD没
式实现双核设计,同时通过先进的65纳米制造技术抵
消了芯片集成度提升带来的成本和功耗压力。更重要的
有对Tu rion
地方在于,Core Duo在节能方面非常出色,凭借增强
型SpeedStep、增强型深度睡眠等一系列先进的节能技
术,Core Duo在电池模式下能够保持超低功耗运行、
因此搭载Core Duo的机型在电池工作时间方面具有明
显的优势——倘若Intel不是那么急于推 ̄Core 2 Duo,
那么Core Duo将会成为又一款经典的产品!相比之下,
AMD Turion 64 X2则以64位支持、整合内存控制器的
怒 。
64 X2的睡
眠机制作多
少披露,虽
棱心1
棱心2
然它也具有
■■嘣
■■哪
【cO-Active】
【c1-H-h】
-
-
-
-
-
-
-
-
C4
深度睡眠
rC3)状态,但
肯定没有类
似Core DUO
●辨■止【c】-StopClock】
经典设计作为卖点,TDP功耗也降低到与Core Duo相
同的水平。但遗憾的是,Turion 64 X2的节能技术仍比
■I_【c3・Oe.p s●*P】
■l嘲【c4・DeePH Sh ̄'p】
i垂“
的C4和增强
此在电池驱
鞭I秘
、增强c
嚣 吲“ ”。 州
C4模式,因
动模式下,
Tu riOn 64
较欠缺,它只有单一的PowerNow!功能来动态调节处
理器的频率/电压以及简单的睡眠功能,也没有低功
耗设计的二级缓存,因此虽然TDP功耗与Core DUO相
当,但在电池驱动模式下,Tufion 64 X2实际功耗要大
一
图3 Intel Deeper Sleep原理
些,加之缺乏配套的认证平台,Turion 64 X2机型的
X2的实际能耗要明显高于Core DUO,这也是为什么
两者TDP功耗指标相当,但Turion 64 X2机型电池时
电池续航力普遍不如前者。整体而言,我们认为Core
Duo及其后续的Core 2 Duo具有更强的综合实力,而
Turion 64 X2凭借富有竞争力的价格、完善的64位支持
以及不俗的性能有望在家用和消费领域杀出一片天地,
相信这也是AMD公司当前移动战略的重点所在。四
●●●●●●●●●●-●●●●●●●●●●●●●●●●●●●●●●●●●●●
间明显较短的主要原因。如果AMD要想在移动领域
真正给对手造成威胁,发展出类似的超深度睡眠技术
十分有必要。
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
(上接156 ̄)需要特别注意的是,虽然从道理上说硬盘
可以更改密钥(指主密码SI D),但是更改主密码之后,硬盘
:果,用户可以像使用普通硬盘那样使用F D E硬盘,
j在性能上丝毫感觉不出差异,但是FDE硬盘的保密
上原有的数据将不能再被识别(图6)!所以更改SID功能只
有两个用途:一是新硬盘的初始化加密,另外一个就是快
性和安全性是其它传统硬盘所不具备的。就实现成本
而言,由于加入了一颗加密/解密芯片和其它固件,
FDE硬盘比普通硬盘要贵20美元左右(约合l60元人
民币1,但是对于有安全需要的用户来说,购买一套
正版加密软件往往需要l00美元以上的投资,而使用
速擦除硬盘上的全部现有数据(适用于少数特殊场 。
从上面的介绍我们可以看出,FDE技术并不是第一
个硬件级别的加密技术,加密算法也不是由它首创的,但
它最成功的地方是“第一块具有硬件加密功能的硬盘”,
对于速度和应用模式来说,这将是一次巨大的飞跃。
FDE硬盘无疑是最经济的一种选择。按照希捷的计
划,FDE技术将首先应用在Momentus系列的笔记本
硬盘上,所以使用台式机的用户要暂时与FDE无缘
了;不过从长远来看,FDE或者类似加密技术普及,
总结
F DE硬盘的出现可以说是传统硬盘发展的必然结
将会是一种大势所趋。四
微型计算机2006ff-8 ̄下161
2024年5月25日发(作者:金晓露)
维普资讯
Technology
责任编辑:尹超辉E-mall yinch@cniti.tom
硬派讲堂
技的东西。实际上,加密技术很早以前就出现
对于很多计算机用户来说.最宝贵的不是计算机硬件本身.
而是存储在计算机上的重要数据.因为笔记本电脑被窃或者移动
存储设备(移动硬盘等)丢失而导致的公司重要数据丢失.泄密.
往往会给一个企业带来致命的打击。据报道,2003年在美国发生
6O万起笔记本电脑遗失案件.这一数字在2005年上升到75万起。
如果这些笔记本电脑中记录着用户的隐私信息或者一些敏感的商
业机密时.那损失将是无法估量的.没有人希望这种事某天会发
生在自己身上,但是未雨绸缪.提前做好硬盘数据的加密工作就
显得异常重要了。我们今天的主角是希捷的全硬盘加密技术(FuI I
D{sk Enc ryption 下文中简称FDE),但是在文章开始前,还是让我
具体有多早昵?
追溯到公元前2000年,当时人们的思想
们先来了解~些关于加密技术的背景知识吧。
图1古埃及的象形文字是世界上最古老的文字之
虽然经过了许多代人的研究,但这种包含着人
们最原始“加密”思想的古老文字,至今我们仍然
一
序:加密技术的由来
不要看到“加密技术”这四个字,就认为它一定就是什么高科
,
不能了解其中所有的含义。
微型计算机2006年8月下 153
………一~……~………一 …~…~……一………~~………~。 ~…………… …~
维普资讯
l
Techno|ogy
责任缩辑:尹超辉E・mail yinch@cniti corn
硬派讲堂
中还没有“加密”这个概念,但是人们的行为却不断地进行
“加密”的实践,例如当时的古埃及人最先使用一种非常特
别的象形文字作为信息记录的方式,后来古巴比伦、美索不
算法是整个加密技术的灵魂,任何一种成熟的加密技术
都是建立在一种或多种加密算法组合的基础之上;换句
话说,无论是硬件加密还是软件加密,脱离了加密算法一
切都是空谈!
达米亚(两河流域)地区和古希腊也出现了一些特殊的方法
来保护他们的书面信息,这一时期最出名的代表就是“凯撒
密码”。到了近代,两次世界大战的爆发,让加密技术有了质
的变化,其中第二次世界大战时德国人使用的Enigma ̄
二.软件加密算法与硬件加密算法
在算法的基础上,我们可以把加密过程分成软件加
密和硬件加密:软件加密是我们最常听到的,而且也是
次将机械加密引入到了加密这个“古老的技术领域”。
普通计算机用户最常用到的一种加密方式,简单地说,
>>你知速。飘量密码”么?
凯撒密码是一种非常古老的加密方法,相传当年凯撒大
帝行军打仗时为了保证自己的命令不被敌军知道,就使用这
种特殊的方法进行通信,以确保信息传递的安全。它的原理
软件加密算法及其特点
顾名思义.软件加密就是通过一些加密软件按照特
定的方法来实现加密,解密功能。软件加密这种方式依赖
于操作系统.并且通过CPU来对数据进行转换,运算操
作,这样一来就会占用很多处理器和内存资源.势必降低
其加密,解密的速度:而且软件加密的密钥通常被保存在
硬盘中.如果密钥被黑客找到就很容易将数据解密,导致
其安全性被大大削弱。
在软件加密方面.具有代表性的如来自美国的加密
软件《PGP》俭名:((Pretty Good Privacy)),本文中简记
很简单,说到底就是字母与字母之间的替换。下面让我们看
个简单的例子:“Micro computer”,用恺撒密码法加
密后字符串变为“Dlfur frDsxwhu”,它的原理是什/厶呢7
一
为PGP).它综合了对称加密和非对称加密两种算法,充
分利用两类加密算法的特点.来完成对电子邮件等个人
速度方面)和准确(误码率方面),不过随着计算机技术的
发展,人们将目光投向了计算速度更快,效率更高的电子
加密技术。
私密文件的加密过程:首先,使用者启动PGP来加密一段
内容.PGP会首先压缩明文,然后生成一个一次性会话密
钥(MYI),再用这个密钥配合传统的对称加密算法( ̄AES
等),加密刚才压缩的明文,并产生密文;随后,程序会根据
这段密文和接收者的公开密钥生成接收者的一次性会话
与此同时,普通而简单的加密方式已经无法满足人
们对数据安全的要求,一些更新、更复杂、更难以破解的
加密方式不断投入使用,以满足人们对数据安全性的需
要。发展到现在,加密技术按照工作方式的不同大致可以
分成三类:对称加密、非对称加密以及不可逆加密。加密
密钥(MY2);最后,MY2会随密文一起发送给接收者,接收
者会用自己的私有密钥来获得MY2,并最终根据MY2来解
密密文.得到原始信息泼信者的内容,&口原来的明文)。
图3 P(jP在加密时需要使
用到大量的随机数,所以
>>你知速三种常见加密方式的区别吗?
不同的加密方式往往会产生不一样的效果、其中算法起到
了决定性的作用,在计算机加密技术中经常使用到的加密算法主
要有以下三类:
1.对称加密算法:对称加密算法使用单个密钥对数据进
行加密或解密操作
把,就好缘生活中捌门“一把钥匙开一把锁”。
2非对称加密算法:非对称加密算法也称为“公开加密算
法”,它有两个密钥,只有两者搭配使用才能完成加密和解密的
全过程。非对莉功口密一般应用在“数字签名”中,即数据源使用
其私有密钥对数据进行校验和加密,然后数据的接收方使用相对
应的公用密钥解读“数字签名”,并将解读结果用于对数据完整
性的校验。非对称加密算法常用于“多对一”的环境中。
3不可逆加密算法:不可逆加密算法的特点是不需要密
钥,而且加密过后的数据可以被读取但是不能被解密(例如通常
我们所说的“6b/iB”),只有输八与加密过程同样的算法(规则)之
后,用户
在软件中有一个比较有趣
的设定,就是在加密时需
要用户不停地移动鼠标来
获得这些随机数f当然,这
个过程是一次性的,而且
是不可模仿 。
除此之外.还有很多保护本机内容的加密软件.如
acer笔记本电脑上的((eDataSecurity Management)):其
是一款笔记本电脑的加密软件.通过它用户可以对各种
文件或目录进行密码加密,防止未授权的用户非法读取计
算机上的资料。按照保密等级的不同,从低到高依次分为
128bit、192bit和256b_l三种不同强度的加密方式.用户可以
按需选择.不过加密等级越高.在进行加密,解密操作时所
耗费的时间也就越长。
154微型计算机2006 ̄8,EJ下
维普资讯
——一 _…r…~~~一… 一一~ —
1
硬派讲堂
 ̄echnology
贾任编辑:尹超辉E ̄ail yinch@cniti com
它就是通过加密软件利用特定的算法对数据进行加密运
算;相比较而言,硬件加密可以看成是一种“物理加密技
硬件级的加密性能又可以降低实现的成本呢?答案是肯
定的,这就是希捷全硬盘加密技术的由来。
术”,它是通过加密控制芯片采用一定的加密算法来对设
备上的数据进行加密的。
>>BIOS开机密码与FDE的区别
很多计算机爱好者部使用过主板的B10S开机密码功能,
三、全硬盘加密技术的实现
前文中我们介绍了软件加密以及硬件加密的优缺
点,软件加密成本便宜但是效率不高,硬件加密安全级别
很高但是成本上过于昂贵,有没有一种方案既可以提供
通过它我们可以锁定计算机的A T A通道,只有输八正确的密
码,我们才能使用计算机。不过这条看似安全的“马其诺防
线”,却有一个非常大的安全隐患:很多朋友都知道对BIos放
电即可消除存储在BIOS中的密码信息,即便开机密码没有存在
B10S中(很多品牌机的开机密码存在硬盘上),但是通过一些技
术手段,我们完全可以绕过这个限制,直接得到我们想要的数
据,因为它门是没有经过任何加密处理的。
FDE技术与硬盘开机密码的区别就在于,FDE会对存鼯
在硬盘上的数据进行加密 用户仍然可以使用开机密码等8los
我们不妨把软件加密的特点归结如下:加密过程需
要计算机的CPU全程参与,会消耗大量的系统资源.通常
设置,但是当有人想绕过这些检测程序而得到数据的日 候,他会
发现拿到的数据其实都是无法破解的“乱码”
将密钥保存在计算机的硬盘(或其它存储设备)上:在密钥
不丢失的情况下,可以满足安全性的需求.并对”暴力破
解 有一定的抵御能力。
疋羔袋盈 毒铰术?
FDE技术就是在传统硬盘的基础上加入3D Crypto
芯片和DriverTrust固件,从而实现在硬件层面上的对写
硬件加密及其特点
硬件加密的过程与软件加密是相对而言的,硬件加密的
特点在于其完全脱离操作系统.而且对操作系统而言是透明
的。硬件加密的过程通常由一颖独立的加密控制心-H-片来完成
对数据的加密/解密运算,全程基本上不需要CPU支持,其原
理是将需要保护的数据转换成不可识别的数据模块,因此
在加舒解密速度上以及安全性上比软件的方式要娆
说到硬件加密.
可能大家首先会想到
入/读取数据的时时加密/解密过程。由于FDE将所有的
安全密码、加密和解密操作均布置在硬盘的加密控制芯
片中,这种与操作系统分离的设计既继承了硬件加密卡
的优点,又弥补了加密卡成本过高以及需要加密盘支持
的缺点。按照希捷的计划,这项技术将首先应用于对数
据安全性要求较高的笔记本硬盘中
2 FDE硬盘的读写原理
在硬盘中,所有写入的数据都需要先转化成二进制
代码才能被存储。例如我们需要向硬盘中写入“8”这个
阿拉伯数字,首先计算机会将“8”变成二进制代码的形式
“1000”,之后再加上ECC校验码,于是“1000+ECC”
的就是硬件加密卡
(图4)。硬件加密卡在
安装时非常简单.只
需要把加密卡插在主
板的PCl插槽上.然后
用数据线连接硬盘即
可。在使用时,需要把
USB ̄D密盘插在加密
失,硬盘上的数据将彻底无法识别。 卡对应的接口上,平
便被写到硬盘中。这种传统的数据保存方式几乎是完
全公开的,稍微有点计算机基础的人只需要将数据与
ASCII码表进行对比,就可以轻松地进行解码操作。
时使用与正常无异;但是一旦拔出USB ̄D密盘系统就会被
锁死.只有重新插入加密盘才能继续使用。
硬件加密的安全级别要比软件加密高很多,纵然机
器丢失或者硬盘被盗.黑客也不能读取其中的数据:硬件
加密从原理上来说杜绝了黑客尝试 暴力破解”的途径,
所以更加安全。不过硬件加密的局限性在于过分依赖加
密卡.如果加密卡损坏或者USB ̄D密盘丢失,即使是用户
自己也无法再进入那台被加密过的机器,而加密卡的生产
厂商也没有办法复制新的钥匙出来。不过.硬件加密过高
的实现成本也阻止了其更大范围的应用.对于对数据安全
图5 FDE硬盘的加密过程
FDE硬盘与传统硬盘的区别在于加入了3D Crypto
芯片和DriverTrust固件,因此在写入/读取过程中实际
上多了一个加密/解密的过程。3D Crypto芯片负责密码
的存储和重置,并承担对数据进行加密和解密的全部操
作;而DriverTrust固件则提供密码管理与复原的功能。
性要求不高的普通用户 更倾向于采用软件加密的方式。
鳃睦鳝黧
…——一…一…一…~
在FDE硬盘里面,加密与解密是两个互逆的过程。
下面我们来介绍~一下FDE硬盘的工作机理,仍然以
…一一一………………… ………………………一一——
麓饕雾器糍鼗潆囊 辫
………一………...一一………
微型计算机2006 ̄8,EJ下155
维普资讯
硬派讲堂
上面的例子为基础:我们需要往硬盘中写入阿拉伯数字
“8”,这时3D Crypto芯片需要首先对“8”进行加密,为
了方便起见,我们假定加密公式F(x):密钥X数据,且我
们现在的密钥是“9”(当然应用中肯定没有这么简单),那
么我们得到的加密后的数据就是“72”,而最终写入硬盘
中的二进制代码是0lll1000+ECC。在读取时,首先被读
出的是二进制代码,然后被转换成数据“72”,再根据加
密时的密钥“9”,利用解密公式“数据=F(x)/密钥”,得
到原始数据72+9=“8”。
从上面的过程中可以看到,密钥是整个过程的关键
的命令,这样,密钥会被重新置为KEY 0,当用户重新设
置密码时,密钥就变成随机密钥。密钥是由3D Crypto, ̄ic.
片控制的,而不是存储于硬盘存储介质中,所以黑客就很
难破解。 (下转161页)
>>你知道文件分区格式与FDE技术的区别吗?
硬盘分区格式与安全性也有着密切的联系、大家部知道
NTFS分区的安全性要远远大于FAT32分区和FAT分区。(相
信大家对N T F S的安全性能已经有所了解,所以关于N T F S
的部分我们在此不再赘述。)有消息称,微软在下一代操作系
统Windows Vista中将采用一种叫做“Bitiocker”的加密
技术,其是一种基于操作系统级别的全硬盘软件加密技术。据
微软的介绍资料,Blt Fooker使用了信任平台模块(TrUSted
P Fatform Modu Fe,简写为TPM),存储在TPM中的密钥利用
部分。在FDE硬盘中,密钥分为“主密码(SID)”和“用户
密码(UI D)”两个等级,主密码用于制作加密密钥之用
(—旦输入之后,不能更改,原因后面介绍);而用户密码的
作用与先前的B10S开机密码相当,它只能对硬盘进行加
锁或者解锁的操作。
如果用户想改变密钥,只需要发出“擦除FDE密码”
AES算法对硬盘上的所有数据进行加密/解密操作,在Vista关
机之后数据不能被篡改,即使存储这些数据的硬盘丢失,也可以
保护数据的安全。就目前来看,这种加密算法还很难被破解,所
以数据是相对安全的;但是它毕竟是软件层次的加密技术,在加
密和解密过程中会消耗大量的系统资源,在处理大文件时这种影
响将更加明显。
另一方面,Vista的Bitlocker技术具有很强的排它性,任
1G; ̄Vista环境下进行的操作都将被认为是不安全的,所以在
vista和其它操作系统之间你只能选一个,二者不能兼得,这无
疑会让喜欢玩多系统的用户觉得不可接受。
FDE硬盘就没有这fi ̄'u3题了,因为FDE硬盘对任何软件
(包括操作系统)都是透明的。它只对用户有选择性,只要你是合
法用户,那厶你可以在硬盘上安装 可软件,没有任何限制。而
图6更改主密码SID之后,硬盘的加密算法就会发生改变,
先前写入的数据将会无法被识别。例如我们将SIDAL原来的
…9’,换成“6”,那么按照算法得到的最终数据就是72÷
6=12,这个值与原来的数据没有任何联系。
且其独特的硬件架构可以做到让加密/解密过程与接口传输速度
等速进行,硬盘性能几乎不会出现下降。
随着光存储产品的快速普及,很多时候数据交换的工作是由光盘来完成的,而不是传统的硬盘。光
盘携带起来更加方便,但是丢失的几率也要更大一些,所以对光盘来说,如何保护里面的数据就显得尤
为重要7。
所幸,光盘驱动器中也有类似的加密技术,不过名称不叫“FDE”,而是叫做“SecuRec”f全称为
Secure Recording技术),它是浦科特(Plextor)g ̄端刻录机所特有的一项加密技术。SecuRec技术与FDE技
术一样,也是基于硬件级的加密芯片,对光盘做物理特性处理。SecuRec可以在任何一张空白cD.R盘片上
使用,经过加密的数据只有加密者本人或者其它知道密码的人才能看到;由于经过7“物理”处理,所以一
156微型计算机2006 ̄-8N下
维普资讯
硬派讲堂
Technology
责任鳙■:蔺科毫-mall:link@cniti com
的电能供应被降低到最低限度——但即便是C4状态,
CPU的电能供应也无法完全切断,因为L1 Cache和L2
Cache仍然保存着数据,如果完全停止供电将导致Ll
Cache和L2 Cache数据流失,这样系统就无法从睡眠
状态恢复正常。而Core Duo所具有的增强型Deeper
Sleep技术就有能力做到这一点,它在C4状态之上增加
的制造工艺和省电技术,实际运
行时功耗更低,相应机型普遍拥
有更出色电池工作时间。
了“增强C4状态(Enhanced Deeper Sleep)”,在该模
式下处理器电力完全切断,L1 Cache和L2 Cache的数
据则被存储进内存,如果用户激活新的任务,L1 Cache
和L2 Cache数据将从内存载回,CPU由此成功回到激
活状态。Intel表示,Enhanced Intel Deeper Sleep将
比现有的Deeper Sleep省电30%以上,进一步延长笔
记本电脑的电池工作时间。
AMD没
式实现双核设计,同时通过先进的65纳米制造技术抵
消了芯片集成度提升带来的成本和功耗压力。更重要的
有对Tu rion
地方在于,Core Duo在节能方面非常出色,凭借增强
型SpeedStep、增强型深度睡眠等一系列先进的节能技
术,Core Duo在电池模式下能够保持超低功耗运行、
因此搭载Core Duo的机型在电池工作时间方面具有明
显的优势——倘若Intel不是那么急于推 ̄Core 2 Duo,
那么Core Duo将会成为又一款经典的产品!相比之下,
AMD Turion 64 X2则以64位支持、整合内存控制器的
怒 。
64 X2的睡
眠机制作多
少披露,虽
棱心1
棱心2
然它也具有
■■嘣
■■哪
【cO-Active】
【c1-H-h】
-
-
-
-
-
-
-
-
C4
深度睡眠
rC3)状态,但
肯定没有类
似Core DUO
●辨■止【c】-StopClock】
经典设计作为卖点,TDP功耗也降低到与Core Duo相
同的水平。但遗憾的是,Turion 64 X2的节能技术仍比
■I_【c3・Oe.p s●*P】
■l嘲【c4・DeePH Sh ̄'p】
i垂“
的C4和增强
此在电池驱
鞭I秘
、增强c
嚣 吲“ ”。 州
C4模式,因
动模式下,
Tu riOn 64
较欠缺,它只有单一的PowerNow!功能来动态调节处
理器的频率/电压以及简单的睡眠功能,也没有低功
耗设计的二级缓存,因此虽然TDP功耗与Core DUO相
当,但在电池驱动模式下,Tufion 64 X2实际功耗要大
一
图3 Intel Deeper Sleep原理
些,加之缺乏配套的认证平台,Turion 64 X2机型的
X2的实际能耗要明显高于Core DUO,这也是为什么
两者TDP功耗指标相当,但Turion 64 X2机型电池时
电池续航力普遍不如前者。整体而言,我们认为Core
Duo及其后续的Core 2 Duo具有更强的综合实力,而
Turion 64 X2凭借富有竞争力的价格、完善的64位支持
以及不俗的性能有望在家用和消费领域杀出一片天地,
相信这也是AMD公司当前移动战略的重点所在。四
●●●●●●●●●●-●●●●●●●●●●●●●●●●●●●●●●●●●●●
间明显较短的主要原因。如果AMD要想在移动领域
真正给对手造成威胁,发展出类似的超深度睡眠技术
十分有必要。
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●
(上接156 ̄)需要特别注意的是,虽然从道理上说硬盘
可以更改密钥(指主密码SI D),但是更改主密码之后,硬盘
:果,用户可以像使用普通硬盘那样使用F D E硬盘,
j在性能上丝毫感觉不出差异,但是FDE硬盘的保密
上原有的数据将不能再被识别(图6)!所以更改SID功能只
有两个用途:一是新硬盘的初始化加密,另外一个就是快
性和安全性是其它传统硬盘所不具备的。就实现成本
而言,由于加入了一颗加密/解密芯片和其它固件,
FDE硬盘比普通硬盘要贵20美元左右(约合l60元人
民币1,但是对于有安全需要的用户来说,购买一套
正版加密软件往往需要l00美元以上的投资,而使用
速擦除硬盘上的全部现有数据(适用于少数特殊场 。
从上面的介绍我们可以看出,FDE技术并不是第一
个硬件级别的加密技术,加密算法也不是由它首创的,但
它最成功的地方是“第一块具有硬件加密功能的硬盘”,
对于速度和应用模式来说,这将是一次巨大的飞跃。
FDE硬盘无疑是最经济的一种选择。按照希捷的计
划,FDE技术将首先应用在Momentus系列的笔记本
硬盘上,所以使用台式机的用户要暂时与FDE无缘
了;不过从长远来看,FDE或者类似加密技术普及,
总结
F DE硬盘的出现可以说是传统硬盘发展的必然结
将会是一种大势所趋。四
微型计算机2006ff-8 ̄下161