用好笔记本PadLock加密技术
NB应用
为了确保数据的安全,高端商务笔记本大多数会内置TPM安全芯片或指纹识别芯片,但由于成本较高,普通笔记本无法享受到这些安全技术。对于采用VIA(威盛) C7-M处理器的笔记本而言,由于处理器内置了PadLock安全引擎,就使得笔记本拥有硬件级加密技术。
PadLock加密原理
与TPM安全芯片、指纹识别芯片及BIOS等加密技术不同,PadLock安全引擎被集成在处理器的核心中。它实现了硬件加密功能,加密数据在任何情况下,只要没有密钥都无法获得(图1)。凡是采用VIA C7-M处理器的笔记本都可以享用这一功能,而其他没采用的高端商务笔记本则不得不借助第三方安全芯片、芯片驱动及加密软件,其加密级别、加密速度都无法与PadLock安全引擎相媲美。
PadLock的加密原理是:内置处理器核心作为一组随机数值产生器,加密时利用芯片上无规律的电子杂讯,计算出对应资料本身的随机数值作为加密编码之用,并以每秒1200万个的速率产生大量不可预测的随机数字信号(图2)。由于处理器核心内部集成了完整的AES加密技术、安全混编 SHA以及蒙哥马利乘法器,所以随机数值不仅可以由硬件直接提取,而且还不用通过软件驱动。PadLock安全引擎在承担运算任务的同时,也降低了处理器的负荷,提升了加密速度。
创建虚拟加密分区
要实现PadLock数据加密,需要配合VIA自主开发的《StrongBox安全软件》(以下简称StrongBox),用户可以从随机光盘或VIA官方网站获得。该软件无需安装,也不用任何驱动,但在加密数据之前,需要利用它来创建虚拟加密分区。运行StrongBox软件后,首先会弹出“欢迎使用”的窗口,点击“开始”按钮启用加密软件,然后选择“创建一个新的StrongBox”,点击“下一步”后,分配一个分区盘符及分区容量(图3)。最后设置好虚拟加密分区密码,点击“完成”后提示创建完毕。如果希望在硬盘上存放不同的重要数据,可以按照同样的方法创建多个虚拟加密分区。值得注意的是,对于FAT/FAT32分区,虚拟加密分区的容量只能在32MB~4GB之间调整,而NTFS分区则没有这个限制,虚拟加密分区创建完毕后,在“我的电脑”中会显示带有一个芯片锁的虚拟加密分区盘符(图4)。
数据安全守护者
如果你希望对重要数据进行加密保护,只需双击“我的电脑”中的虚拟加密分区,然后会提示输入登录密码(图5),输入正确的密码后点“确定”按钮,这样就可以成功登录虚拟加密分区,此时只要将重要数据拷贝到其中,关闭虚拟加密分区窗口后,鼠标右键点击虚拟加密分区盘符,选择“锁定”即可完成数据加密。以后只有输入正确的密码才能访问加密数据,否则即便是拆了硬盘到别的笔记本上使用,也无法访问加密分区,或者加密数据只是显示为IMG镜像文件,无法正常打开,也无法查看。
在使用过程中如果忘记了密码,可以运行StrongBox,进入“取回StrongBox的密码提示”界面找回密码,但必须在设置密码的时候,也设置了相应的提示问题、答案和密码暗示。而“管理StrongBoxes”主要针对删除分区和分区开锁进行管理。另外为了避免因疏忽导致数据处于无防护状态,譬如在宿舍或办公室等公共场所暂时离开笔记本时,可以进入“配置StrongBoxes”界面,选择“一旦屏幕保护程序启动,所有StrongBox分区将自动上锁”选项(图6),这样只要启动屏幕保护程序即自动锁定加密分区。
使用者感受:
经笔者使用后发现,PadLock安全引擎最大的特点是安全级别较高,而且占用资源比较少,使用也比较简单,初级用户很容易上手。相对其他加密方式,PadLock的加密速度快了好几倍,这都要归功于硬件安全引擎承担了运算任务。遗憾的是,目前Windows系统还不能直接支持PadLock,使StrongBox软件就显得不够通用化,而TPM安全芯片、指纹芯片已经可以利用Windows内置模块实现加密操作。