BitLocker使用建议

　　BitLocker是最早在WindowsVista中包含的一项硬盘加密功能，可对系统盘与非系统盘(对非系统盘进行加密是从VistaSP1才开始实现的)进行加密，保护系统完整性，预防脱机攻击，并确保数据安全。和传统的加密技术相比，BitLocker最大的特点在于可以借助额外的硬件TPM(可信平台模块)芯片进行加密，因此安全性更高，适用范围也 中国论文网 http://www.xzbu.com/8/view-44781.htm　　更广。 　　本刊曾经介绍过使用BitLocker的前提条件，以及具体的用法。最近一直有读者咨询相关问题，因此我们准备了这篇文章，准备更深地介绍有关BitLocker的技术细节，以及使用方面的建议。 　　BitLocker所支持的不同加密算法 　　根据微软的介绍，BitLocker支持128位与256位两种强度的AES加密算法。密钥越长，安全性越高，被攻破的难度也就越大；同时密钥越长，数据加密和解密所需的时间也就越长。除此之外，BitLocker还可以使用一种额外的Diffuser算法防范通过Ciphertext进行的攻击。 　　默认情况下，Windows中的BitLocker使用128位AES加密，同时使用Diffuser。不过具体使用哪种算法，以及是否使用Diffuser，都可以通过组策略进行调整。一般从性能的角度考虑，128位加密强度足矣，同时最好启用Dilfuser，也就是说，默认设置完全可以满足需要。但如果是企业用户，如果由于合规性要求需要遵守美国联邦信息处理标准(FIPS)，则就不能使用Dilfuser。 　　具体来说，这些策略位于“管理模板”｜“windows组件”｜“BitLocker驱动器加密”节点下，通过“选择驱动器加密方法和密钥长度”策略进行配置。另外在这个节点下还有更多可以对BitLocker进行配置的策略，具体用途和使用方法请参阅说明信息。 　　典型的BitLocker环境对数据的解密可通过三种途径进行： 　　●TPM芯片：这是一种专用芯片，需要固话或额外安装在主板上，用于存储加解密过程中所需的全部密钥和其他信息。Windows的BitLocker功能必须使用1.2版以上TPM芯片。 　　●PIN码：如果没有TPM芯片，则可以使用PIN码。简单来说这就是一个密码，需要用户手工输入，以解密数据。 　　●启动密钥：这实际上是一个文件，需要保存在可移动存储设备中，该密钥需要配合TPM芯片或者PIN码才能使用，不能单独使用。 　　因此取决于具体的硬件配置及安全需求，可以将上述三种解锁方式进行排列组合。 　　加解密对性能的影响 　　任何加密技术都会对性能产生影响，BitLocker也不例外。更重要的是，普通的加密技术主要加密特定文件或文件夹，而只要不访问这些内容，就不会影响性能。可BitLocker加密的是整个硬盘分区，甚至系统盘，因此对性能的影响就不能忽略。那么对性能到底有多少影响? 　　为此我们进行了测试。测试用的电脑是一台8GB内存的笔记本电脑，安装一块320GB容量，7200rpm的日立硬盘，具体型号为HTS723232A7A364，缓存16MB。电脑的CPU为San：dyBridge架构的IntelCorei7-2620M，双核心四线程，4MB缓存，主频2.7GHz，通过睿频功能最多可自动超频到3.4GHz。CPU的规格中列出了支持AESNewInstructions技术，简单来说，这个技术等于是给CPU中添置了专门负责AES相关操作的指令集，因此可以加速有关AES操作的运算速度。 　　为了尽量模仿真实测试环境，我们没有使用干净的系统，而是在系统中安装操作系统和所有常用软件，随后针对所有硬盘分区启用纯TPM模式的BitLocker(默认设置，128位AES算法，带Diffuser)。然后用软件测试非系统盘的读写速度，并确保在测试过程中没有其他程序需要读写该分区。测试环境使用64位旗舰版Windows7SP1系统，系统和驱动都升级到官方最新版。测试软件则使用了2.47版ATTODiskBenchmark。 　　结论 　　在开启BitLocker，并保持分区为加密状态下测试的参数和测试结果如下左图。随后用了将近三小时对该分区进行解密，禁用BitLocker，解密完成后重启动系统，然后用相同参数测试获得了下列右图的结果。 　　观察发现，无论是加密或是解密状态下，数据的读取速度影响并不是很大，但在写入数据时却有比较明显的差异。根据一般情况下的使用特点，选取2MB、4MB、8MB、16MB、64MB，以及512MB这几个区块的写入速度进行一个简单的对比。 　　从结果中可以看出，对于写入速度，BitLocker的影响还是很大的，对于512MB大小的区块，降速高达27％!除了8MB大小区块的结果异常，估计可能是误差或其他因素影响，毕竟这不是在干净环境中进行的测试，而且取的关键点也太少。这样的结果应该能够说明问题了：BitLocker对写入速度确实有不容忽视的影响，不过对读取速度的影响基本可以忽略不计。 　　考虑到一般应用都以读操作为多，写操作相对较少，因此可以近似理解BitLocker对性能的整体影响基本不那么让人纠结。尤其是需要考虑到以牺牲性能为代价所获得的其他好处。

　　BitLocker是最早在WindowsVista中包含的一项硬盘加密功能，可对系统盘与非系统盘(对非系统盘进行加密是从VistaSP1才开始实现的)进行加密，保护系统完整性，预防脱机攻击，并确保数据安全。和传统的加密技术相比，BitLocker最大的特点在于可以借助额外的硬件TPM(可信平台模块)芯片进行加密，因此安全性更高，适用范围也 中国论文网 http://www.xzbu.com/8/view-44781.htm　　更广。 　　本刊曾经介绍过使用BitLocker的前提条件，以及具体的用法。最近一直有读者咨询相关问题，因此我们准备了这篇文章，准备更深地介绍有关BitLocker的技术细节，以及使用方面的建议。 　　BitLocker所支持的不同加密算法 　　根据微软的介绍，BitLocker支持128位与256位两种强度的AES加密算法。密钥越长，安全性越高，被攻破的难度也就越大；同时密钥越长，数据加密和解密所需的时间也就越长。除此之外，BitLocker还可以使用一种额外的Diffuser算法防范通过Ciphertext进行的攻击。 　　默认情况下，Windows中的BitLocker使用128位AES加密，同时使用Diffuser。不过具体使用哪种算法，以及是否使用Diffuser，都可以通过组策略进行调整。一般从性能的角度考虑，128位加密强度足矣，同时最好启用Dilfuser，也就是说，默认设置完全可以满足需要。但如果是企业用户，如果由于合规性要求需要遵守美国联邦信息处理标准(FIPS)，则就不能使用Dilfuser。 　　具体来说，这些策略位于“管理模板”｜“windows组件”｜“BitLocker驱动器加密”节点下，通过“选择驱动器加密方法和密钥长度”策略进行配置。另外在这个节点下还有更多可以对BitLocker进行配置的策略，具体用途和使用方法请参阅说明信息。 　　典型的BitLocker环境对数据的解密可通过三种途径进行： 　　●TPM芯片：这是一种专用芯片，需要固话或额外安装在主板上，用于存储加解密过程中所需的全部密钥和其他信息。Windows的BitLocker功能必须使用1.2版以上TPM芯片。 　　●PIN码：如果没有TPM芯片，则可以使用PIN码。简单来说这就是一个密码，需要用户手工输入，以解密数据。 　　●启动密钥：这实际上是一个文件，需要保存在可移动存储设备中，该密钥需要配合TPM芯片或者PIN码才能使用，不能单独使用。 　　因此取决于具体的硬件配置及安全需求，可以将上述三种解锁方式进行排列组合。 　　加解密对性能的影响 　　任何加密技术都会对性能产生影响，BitLocker也不例外。更重要的是，普通的加密技术主要加密特定文件或文件夹，而只要不访问这些内容，就不会影响性能。可BitLocker加密的是整个硬盘分区，甚至系统盘，因此对性能的影响就不能忽略。那么对性能到底有多少影响? 　　为此我们进行了测试。测试用的电脑是一台8GB内存的笔记本电脑，安装一块320GB容量，7200rpm的日立硬盘，具体型号为HTS723232A7A364，缓存16MB。电脑的CPU为San：dyBridge架构的IntelCorei7-2620M，双核心四线程，4MB缓存，主频2.7GHz，通过睿频功能最多可自动超频到3.4GHz。CPU的规格中列出了支持AESNewInstructions技术，简单来说，这个技术等于是给CPU中添置了专门负责AES相关操作的指令集，因此可以加速有关AES操作的运算速度。 　　为了尽量模仿真实测试环境，我们没有使用干净的系统，而是在系统中安装操作系统和所有常用软件，随后针对所有硬盘分区启用纯TPM模式的BitLocker(默认设置，128位AES算法，带Diffuser)。然后用软件测试非系统盘的读写速度，并确保在测试过程中没有其他程序需要读写该分区。测试环境使用64位旗舰版Windows7SP1系统，系统和驱动都升级到官方最新版。测试软件则使用了2.47版ATTODiskBenchmark。 　　结论 　　在开启BitLocker，并保持分区为加密状态下测试的参数和测试结果如下左图。随后用了将近三小时对该分区进行解密，禁用BitLocker，解密完成后重启动系统，然后用相同参数测试获得了下列右图的结果。 　　观察发现，无论是加密或是解密状态下，数据的读取速度影响并不是很大，但在写入数据时却有比较明显的差异。根据一般情况下的使用特点，选取2MB、4MB、8MB、16MB、64MB，以及512MB这几个区块的写入速度进行一个简单的对比。 　　从结果中可以看出，对于写入速度，BitLocker的影响还是很大的，对于512MB大小的区块，降速高达27％!除了8MB大小区块的结果异常，估计可能是误差或其他因素影响，毕竟这不是在干净环境中进行的测试，而且取的关键点也太少。这样的结果应该能够说明问题了：BitLocker对写入速度确实有不容忽视的影响，不过对读取速度的影响基本可以忽略不计。 　　考虑到一般应用都以读操作为多，写操作相对较少，因此可以近似理解BitLocker对性能的整体影响基本不那么让人纠结。尤其是需要考虑到以牺牲性能为代价所获得的其他好处。