【51CTO.com 综合消息】目前,全磁盘加密(FDE)技术深得推崇,基于全磁盘加密(FDE)技术开发的产品也在全球广泛使用。不论是名满天下的Safeboot、Pointsec,还是国内***的FDE软件DiskSec,以及DriveCrypt、Dekart Private Disk、PGP Desktop和免费开源的TrueCrypt 、FreeOTFE 3.00、7-Zip,都逐渐为用户熟知,并安装在笔记本电脑上,用以防止笔记本电脑丢失、被盗、维修或报废后的数据泄露。
所谓全磁盘加密技术(FDE,Full Disk Encryption),顾名思义,是对整个磁盘上的数据进行加解密,但是这个解释并不完全准确,更为准确的解释是:通过动态加解密技术,对磁盘(硬盘)上所有数据(包括操作系统)进行动态加解密的技术。FDE在国外发展有十多年历史,技术相当成熟,基于FDE技术的许多产品也已经得到广泛应用。国内FDE技术起步比较晚,但北京亿赛通公司提供的DiskSec目前已经非常成熟,在军队和企业级用户中大量使用。
下文中,主要关于FDE软件的性能做一些简单的介绍。笔者主要想以FDE产品与其他用以保护笔记本电脑数据的软件相比较,对FDE的一些性能做一个简单的评比。笔者以中国国内***的这一款全磁盘加密(FDE)软件产品DiskSec作为FDE的代表性产品,与其他产品比较一下,
一、FDE软件与隐藏空间类软件比较
 |
| 图1 |
当前市面上有一类产品,是在磁盘上创建隐藏空间,之后把标的文件放到隐藏空间中,使非法操作者找不到该文件,达到数据防泄露的目的。不过经过笔者测试和比较,这一类隐藏空间的软件,实际上安全性很低,很容易被破解并找出文件。即使隐藏做得很好,但是由于文件本身没有被加密,所以还是很容易被抓出明文,导致泄露。
相比而言,DiskSec,不留后门,不可破解。而且磁盘上的数据经过高强度加密,安全性能高,综合评估性能远高于隐藏文件类软件产品。
二、FDE软件与虚拟磁盘加密软件比较
虚拟磁盘加密,显而易见,是在硬盘上创建一个虚拟空间,并把文件放入此虚拟空间中加密保存,从而防止数据泄露。从原理上即可知,虚拟磁盘加密软件是不能加密C盘和操作系统的,留下巨大的漏洞。
 |
| 图2 |
虚拟磁盘加密和全磁盘加密虽然都是对磁盘进行加密。但是,全磁盘加密能对磁盘上所有数据进行加密,包括C盘和操作系统,所以不会留下任何漏网之鱼。而且,FDE软件的启动流程是先于操作系统启动,非法操作者无法通过破解开机密码的方式来破解FDE软件。
从整体上看,FDE软件的访问控制手段非常严密,它的安全性远高于虚拟磁盘加密产品。
三、FDE软件与硬盘芯片级FDE比较
所谓硬盘芯片级FDE,也是就是把FDE功能植入硬盘中,硬盘本身就具备全磁盘加密功能,不再是通过后期安装软件来实现加密。现在主流的硬盘厂商,均有支持FDE的硬盘。硬件加密的特点在于其完全脱离操作系统,而且对操作系统而言是透明的。硬件加密的过程通常由一 颗独立的加密控制芯片来完成对数据的加密/解密运算,全程基本上不需要CPU支持,其原理是将需要保护的数据转换成不可识别的数据模块,因此在加密/解密 速度上以及安全性上比软件的方式要好。
硬件加密的安全级别要比软件加密高很多,从原理上来说杜绝了黑客尝试“暴力破解”的途径,所以更加安全。不过硬件加密的局限性在于过分依赖加密卡,如果加密卡损坏或者USB加密盘丢失,即使是用户自己也无法再进入那台被加密过的机器,而加密卡的生产厂商也没有办法复制新的钥匙出来。不过,硬件加密过高的实现成本也阻止了其更大范围的应用,对于对数据安全性要求不高的普通用户,更倾向于采用软件加密的方式。
 |
| 图3 |
四、DiskSec与国外全磁盘加密软件比较
大家看到这里,可能对FDE的性能有了一个大概的了解。有好事者一定想知道,国内的FDE和国外FDE软件PK一下,究竟会怎么样,到底是国产的FDE软件比较牛,还是国外的FDE比较先进?
本人很负责任地告诉你,国内外FDE软件采用的技术原理是一样的,功能基本相同,但是性能方面,本人也做了测试。为了满足你的好奇心,我也愿意把相关的结果简单列表出来。
 |
| 图4 |
