■ 威海職業(yè)學(xué)院 趙永華
編者按:對(duì)SSD的加密是必不可少的,而且采用硬件加密的方式要比軟件加密形式更為有效,一般來(lái)說(shuō),Windows系統(tǒng)中并未對(duì)SSD進(jìn)行真正的加密工作,我們需要進(jìn)行設(shè)置。
有些SSDs廠商宣稱其產(chǎn)品支持“硬件加密”,但是在使用時(shí)能有多少用戶真的采取“硬加密”呢?
我們相信更多的用戶在Windows 10中會(huì)啟用BitLocker,這些用戶天真地認(rèn)為每當(dāng)他們將文件存放到SSD時(shí),BitLocker就會(huì)對(duì)其進(jìn)行加密。其實(shí)根本不是這樣。事實(shí)是,BitLocker對(duì)于自稱支持硬件加密的SSD就不會(huì)做任何加密工作!
不可否認(rèn),硬件加密方式要比軟件方式更快,SSD若真的采用了硬件加密當(dāng)然性能會(huì)更好。在新款Mac中專門植入了T2安全芯片,它對(duì)Mac自帶的SSD確實(shí)采用了硬件加密,所以對(duì)于它BitLocker之類的工具確實(shí)純屬多余無(wú)用之物。
可是Windows PC從來(lái)沒(méi)有提供類似技術(shù),廠商們的廣告僅僅是促銷用語(yǔ)而已。所以,為了讓BitLocker 對(duì)SSD真的進(jìn)行加密,需要進(jìn)行組策略設(shè)置。
具體方法是,運(yùn)行組策略編輯程序“gpedit.msc”,找到以下內(nèi)容:
Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive Encryption
然后雙擊右側(cè)面板選項(xiàng) “Configure use of hardware-based encryption for fixed data drives”,選擇“Disabled”后點(diǎn)擊“OK”,如此BitLocker便會(huì)真的對(duì)SSD加密了。
當(dāng)然也可棄用BitLocker,比如采用開(kāi)源的VeraCrypt,它不像BitLocker會(huì)對(duì)SSD廠商的廣告信以為真,它對(duì)SSD一律加密。
SSD下載地址為:https://archive.codeplex.com/ ?p=veracrypt
下載安裝之后,點(diǎn)擊菜 單“System”→“Encrypt System Partition/Drive啟用機(jī)密運(yùn)行”。
此時(shí),程序會(huì)詢問(wèn)您是要使用正常方式“Normal”還是隱藏系統(tǒng)的“Hidden”加密方式。此處“Normal”選項(xiàng)會(huì)正常加密系統(tǒng)分區(qū)或驅(qū)動(dòng)器,啟動(dòng)機(jī)器時(shí)用戶必須提供加密密碼才能訪問(wèn),若沒(méi)有密碼任何人都無(wú)法訪問(wèn)你的文件。
另一種“Hidden”選項(xiàng)則會(huì)在隱藏的VeraCrypt卷中創(chuàng)建操作系統(tǒng),此時(shí)用戶將擁有一個(gè)隱藏的“真實(shí)”操作系統(tǒng)和一個(gè)“替身”操作系統(tǒng)。當(dāng)啟動(dòng)PC時(shí),用戶可以輸入真實(shí)密碼來(lái)啟動(dòng)隱藏的操作系統(tǒng),或輸入替身操作系統(tǒng)的密碼來(lái)啟動(dòng)替身操作系統(tǒng)。如果某人強(qiáng)迫用戶提供對(duì)加密驅(qū)動(dòng)器的訪問(wèn)權(quán)限(例如敲詐勒索),用戶可以向他們提供替身操作系統(tǒng)的密碼,他們根本不應(yīng)該知道隱藏的操作系統(tǒng)。
用戶還可以進(jìn)一步選擇是“加密Windows系統(tǒng)分區(qū)”還是“加密整個(gè)驅(qū)動(dòng)器”。如果Windows系統(tǒng)分區(qū)是驅(qū)動(dòng)器上的唯一分區(qū),則兩種選項(xiàng)基本相同。如果我們只想加密Windows系統(tǒng)分區(qū)并單獨(dú)保留驅(qū)動(dòng)器的其余部分,則選擇“加密Windows系統(tǒng)分區(qū)”。如果你有多個(gè)具有敏感數(shù)據(jù)的分區(qū)——例如,C:處的系統(tǒng)分區(qū)和D處的文件分區(qū),那么就選擇“加密整個(gè)驅(qū)動(dòng)器”以確保所有Windows分區(qū)都已加密。
VeraCrypt會(huì)要求選擇加密類型,雖有多種選擇但建議使用默認(rèn)的AES加密。AES加密和SHA-256哈希算法都是可靠的加密方案,然后需要輸入密碼,要求至少20個(gè)以上的混合型字符(即大小寫(xiě)字母和數(shù)字及符號(hào))。
VeraCrypt向?qū)Чぞ咭笊梢粋€(gè)緊急救援盤,以防文件損壞時(shí)用它進(jìn)行引導(dǎo)。VeraCrypt在加密驅(qū)動(dòng)器之前會(huì)進(jìn)行驗(yàn)證工作,單擊“Test”,VeraCrypt將 在PC上安裝VeraCrypt引導(dǎo)程序并重新啟動(dòng)。用戶必須在引導(dǎo)時(shí)輸入加密密碼。