2024年3月26日发(作者:)

文档密级:内部公开

全盘加密软件DiskSec简介

在计算机广泛使用的今天,计算机中存储资料的泄密已经成为一个潜在的

重要威胁,尤其是在计算机丢失或失窃后,数据资料的泄漏会给用户带来重大

隐患和无可挽回的损失,那么,如何保证在计算机丢失或失窃的情况下,计算

机中存储的资料不被泄密呢?全盘加密(full-disk encryption,FDE)是一个不错

的选择。全盘加密(full-disk encryption,FDE)可以自动将存储在硬盘上的数据

转化为另一种形式(即密文形式),除持密钥者外,其他人无法将密文数据转换

为可看懂的数据格式(即明文形式)。如果没有正确的验证密钥,即使将硬盘安

装到另一台电脑上,仍无法看到存储在硬盘上的数据明文。

1. 全盘加密的实现方式及特点

全盘加密的优点在于在保证计算机安全的同时,基本不改变用户对计算机

的使用习惯,一旦终端用户输入正确的密码解锁系统后,即可按常规使用计算

机系统。FDE会自动将写入硬盘的所有数据进行加密,而在系统读取硬盘数据

时,FDE会自动解密所读取的硬盘数据。全盘加密对可能发生物理丢失或被盗

的笔记本电脑及其它小型计算机设备尤为实用。

就目前的技术而言,全盘加密的实现有如下几种方式:

1) 纯软件实现方式

加密算法利用计算机的主CPU实现数据的变换,对硬盘的加密解密控制等

也由软件方式实现。

2) 软硬件结合方式

加密算法由硬件方式实现,如通过计算机中的加密芯片或安装的其它加密

设备(如加密卡等)进行数据变换,而对硬盘的加密、解密控制等则通过软件

方式实现。

- 1 -

文档密级:内部公开

3)纯硬件实现方式

这种方式一般通过在硬盘的控制器(或在计算机中增加具有类似功能的加

密卡)中增加加密芯片和加密固件(控制程序)实现对硬盘数据的加密变换和

控制。

上述三种全盘加密实现方式均有各自的特点,其中纯软件实现方式的最大

优点是成本低,灵活方便,既可对整个硬盘加密,也可只对某个分区(如C盘

或D盘等)进行加密,缺点是对计算机性能有一定影响(随着计算机主CPU速

度的提高,这种影响会越来越低),且与操作系统相关,需要针对不同的操作系

统进行开发,同时整体安全性也不如后两种方式。

纯硬件实现方式的最大优点是与软件系统无关,既可用于Windows操作系

统,也可用于其它各种操作系统(如Linux、Mac OS等),安全性比较好,缺点是

成本高,不够灵活方便,一般只能对整个硬盘进行加密,难以实现只对用户指

定分区进行加密等。软硬件结合的实现方式是介于纯软件、硬件实现方式之间

的一种实现方式,特别是在计算机本身具有安全芯片(TPM)的前提下,是一种理

想的实现方式,这种实现方式,不仅具有成本低,安全性高(与纯硬件实现方

式完全一样)的优点,而且对计算机系统的整体性能影响很小,与纯硬件实现

方式相比,其主要缺点是与系统软件相关,需要针对不同的操作系统开发不同

的控制程序。

对计算机系统整体性能的影响,表面看,纯硬件实现方式对计算机整体性

能无任何影响,但由于目前硬盘的读写速度比较快,而在实现时,出于成本和

技术的因素,很多纯硬件实现方式对计算机整体性能的影响远远超过了纯软件

实现方式。例如,目前一些FDE硬件实现方式的数据处理能力最大只有64M/s,

而目前主流硬盘的读写速度都超过了100M/s;同时,由于目前计算机主CPU的

处理能力大幅度提高,因此,将计算机主CPU的一部分负荷用来做数据的变换,

对计算机整体性能的影响非常有限。

- 2 -