锁住你的秘密——DriveTrust技术探秘

技术空间

重庆 刘琤 · 2007年10月22日 第42期

现代社会,随着数据的爆炸式增长,越来越多的人开始重视对自己硬盘数据的保护。人们都在寻找一种简单易行、低成本的加密方案。对于大多数有加密需求的人来说,使用软件加密的占了绝大部分,但这种加密有不少缺陷,如系统性能降低、不安全等问题……现在,出现了一种新的硬盘加密技术,它名叫DriveTrust。

相对于软件加密,DriveTrust优点是:

硬盘的加密可靠而方便——对用户来说是透明的。

在硬盘全速运转的情况下加密——性能不受影响。

硬盘将认证管理和基于硬件的加密整合在一起——可信赖的静态数据安全。

“脆弱”的硬盘,“脆弱”的数据

估计大家都知道商业数据很重要,但重要到什么程度估计大家都还没有一个清楚的认识。如果数据被盗的话,就意味着一些知识资产的丢失,包括交易的秘密、客户的地址簿、账户信息和社会保险号码等公司或私人的信息,而这些信息的失窃会导致企业或消费者面临巨大财产损失的威胁……

42-d10d11-2.jpg
在商业上的数据泄露,损失往往是巨大的

对于个人用户而言,他们对个人隐私也是越来越重视,家庭的私人照片、已经存储在硬盘上的音频和视频的价值往往已经超越了硬盘本身价值的许多倍,甚至有的价值是无法估量的,而且这些珍贵数据如果存储在移动设备上更是增加了潜在的风险,比如丢失和偷盗。因此,一般用户惯用的保护方法是设置登录密码。高端的笔记本电脑会提供单独的加密芯片或者指纹识别,这在一定程度上防止笔记本丢失后里面的数据失窃。但此类技术往往成本过高,作为普通用户也不可能人人都用得起。在2007年,Ponemon Institute公司进行的一项调查结果显示,每个数据泄露事件造成的损失高达182美元。

42-d10d11-3.jpg
采用登录密码保护数据是最幼稚的想法

以上谈到的还是有加密意识的用户,而对数据没有加以保护的用户更多,根据相关调查,用户不加密敏感信息或机密信息的主要原因包括:1.系统性能。加密、解密过程比较慢,因为这个因素而没为数据加密的用户占到了69%;2.操作复杂。普通终端用户既没有愿望也没有能力去了解加密算法以及40位、128位和 256位密钥长度之间的区别。此外,对如果密钥丢失数据将无法恢复的担心,也是妨碍许多机构采用加密技术的原因之一。这个比例达到了44%;3.成本因素。因为软件加密的昂贵费用而放弃加密的用户也占到了25%。

42-d10d11-4.jpg
指纹加密方案成本较高

因此,在数据量越来越大,资料越来越重要的今天,人们需要的是一种高性能、尽量简化配置和操作且低价格的数据保护方案。

DriveTrust:数据的保护者

硬件级的加密方式

DriveTrust是一种利用硬盘上的固件以及对写入硬盘和从硬盘读出的所有数据进行加密的技术。该技术最先由希捷公司推出。DriveTrust和以往软件加密的不同之处在于它是一种基于硬件的加密方法,可以提供非常快的加密和解密速度。而传统的软件加密的性能要比硬件加密的差很多,并有配置复杂以及首次启动软件需要花费大量的时间等缺点。

除了硬件级的加密,DriveTrust首次将加密/解密功能转移到硬盘内部,而非以前的在笔记本内部专门设计一块芯片来存储密码。这是一种比较新的存储数据加密方法。加密功能和密钥都被隔离在硬盘的子系统中,无法被操作系统访问,因此可以保护这部分不会被Rootkits病毒程序和恶意软件攻击。而硬盘中的专用硬件执行加密和解密功能,减轻了系统负担,使它的性能与未加密的硬盘相差无几。

在硬盘用于存储密钥的安全分区内,访问条件非常严格,必须拥有和硬盘匹配的证书才能使用这一安全区的存储应用代码、密码、系统日志或其他敏感信息。DriveTrust还包含了一个发行协议,确定哪些应用可以访问硬盘的安全分区。应用程序对存储在安全分区的敏感数据进行访问时,必须使用发行协议向DriveTrust的管理功能提出访问请求。管理功能在对应用进行识别后,激活安全分区,并授权应用程序使用可靠的发送/接收指令集对该分区进行访问。

对于加密的可靠性,采用了DriveTrust技术的硬盘——希捷Barracuda FDE硬盘提供了包括加密/解密、哈希算法、安全存储、数字签名和随机数产生等通用的加密功能。它们还提供一个可靠的指令集,为ATA和SCSI接口协议提供安全信息功能。

42-d10d11-5.jpg
DriveTrust架构的4个主要组件

简单的操作过程

虽然采用了DriveTrust技术的硬盘后台的实现过程比普通硬盘要复杂,但整个加密过程却是透明的,用户仅需要在开机时输入正确的密码或其他认证协议即可正常使用,否则能被访问的字节数就被控制在数兆以内。身份验证软件使用了安全和固化的Linux版本来执行预引导的身份验证。Windows操作系统分区是隐藏的,只有在验证通过后才能够被访问和引导。身份验证软件也支持双重验证,使用智能卡和USB钥匙盘作为补充验证工具。当认证通过后,DriveTrust就在后台运行,对硬盘上的数据进行加密和解密。对于加密的数据,可以快速而彻底地删除,无法用恢复工具恢复,以防某些别有用心的人获取数据。嵌入磁盘加密技术的硬盘在性能上与未加密的硬盘相差无几。因为加密与解密的过程都在拥有DriveTrust的硬盘内部进行,所以即使没有专门密码存储芯片的低端笔记本电脑丢失,只要该笔记本使用了有DriveTrust技术的硬盘,盗窃者想通过换个硬件环境来读出其中数据也是枉然的。

42-d10d11-6.jpg
拥有DriveTrust技术的希捷Barracuda FDE硬盘

应用:家用商用都需要

DriveTrust技术已经先被应用到了笔记本电脑上,而对于现在不少对自己桌面硬盘中数据有强烈的保护需求的用户,也有了相关的产品。也就是说,作为普通的PC用户也可以拥有笔记本用户才能拥有的安全感。而这种安全感并非以牺牲系统性能、过多的资金投入以及复杂的操作过程为代价的。家庭用户可以保证自己的照片、视频等信息在遇到偷盗等情况时不会泄露。

在商业领域,单位用的计算机常常会在雇员离职或更新换代时被转用,IT管理人员需要重复地、彻底地删除硬盘中的敏感数据,防止被挪用。这个过程一般需要数小时,且可靠性并不是100% 。如果使用的是有DriveTrust技术的硬盘,管理员只须删除加密密匙,便能够轻易地删除硬盘内所有数据,并将有关数据设为不可读取,也无法恢复,这样就可确保转用或淘汰硬盘中数据的安全。

总结

近年来,大家对数据价值的认识越来越深刻,对硬盘中的数据加密已经不再是以前那种“富人”或“商务”的专利,普通大众对数据保护的需求也越来越强烈。以前基于软件的加密方式在一定程度上满足了普通用户的保密需求,但付出的却是系统性能以及易用性方面的代价。

基于硬件加密的DriveTrust技术则成功地克服了软件加密的缺点,大大减少了用户安装和配置方面的障碍。DriveTrust技术将强大的、全自动的、基于硬件的安全保护与编程基础结合起来,增加基于安全的软件应用更为容易,实现了整个机构的加密密钥管理,而多重用户认证有助于锁定静态数据。而硬件加密的性能也与没加密时相差无几,几乎不影响用户的正常操作,使用起来与使用硬盘本身一样简单而经济。而现在已经有采用DriveTrust的台式机硬盘和笔记本硬盘问世。很显然,在数据继续以几何级数增加的未来,DriveTrust技术定会大有用武之地。