在Windows系统中,我们熟悉的BitLocker驱动器加密,可以为磁盘进行加密,而它所使用的加密技术,就是我们今天文章的主角——FDE全磁盘加密技术。
全磁盘加密技术的原理
全磁盘加密英文名为Full Disk Encryption,简称FDE,是指通过动态加解密技术,对磁盘或分区进行动态加解密的技术。FDE的动态加解密算法位于操作系统底层,其所有磁盘操作均通过FDE进行。
当系统向磁盘上写入数据时,FDE首先加密要写入的数据,然后再写入磁盘;反之,当系统读取磁盘数据时,FDE会自动将读取到的数据进行解密,然后再提交给操作系统。
全磁盘加密技术的应用场景
全磁盘加密技术适用于磁盘上所有数据(包括操作系统)进行动态加解密的场景,但由于不能提供针对用户的增强权限控制,无法满足对内部超级用户泄露敏感数据的风险防范需求。
全磁盘加密技术的优势
- 性能优势突出
全磁盘加密技术通过操作系统内核层(或者存储设备自身的物理结构)实现,能够最大化减少加解密损耗,对上层业务服务提供性能最高的文件加解密服务。
- 部署、实施简单
全磁盘加密仅需对进入磁盘的数据进行加密,部署和实施简单高效。
全磁盘加密技术的不足
- 数据防护颗粒度粗
全磁盘加密因为缺少访问控制能力,因此,一旦磁盘挂载口令泄露,就有数据泄漏的风险,仅能防范“拔硬盘”攻击。
- 不支持防DBA
全磁盘加密无法阻止DBA(数据库管理员)泄密,数据库DBA拥有磁盘的全部权限,在实际使用中难以防范DBA风险。
- 国内起步较晚
该加密技术在国外发展已有十多年历史,技术相当成熟,基于FDE技术的许多产品也已经得到广泛应用,但国内的FDE技术起步相对比较晚,技术存在瑕疵。
免责声明:素材源于网络,如有侵权,请联系删稿。
