在Windows系统中,我们熟悉的BitLocker驱动器加密,可以为磁盘进行加密,而它所使用的加密技术,就是我们今天文章的主角——FDE全磁盘加密技术。

全磁盘加密技术的原理

全磁盘加密英文名为Full Disk Encryption,简称FDE,是指通过动态加解密技术,对磁盘或分区进行动态加解密的技术。FDE的动态加解密算法位于操作系统底层,其所有磁盘操作均通过FDE进行。

当系统向磁盘上写入数据时,FDE首先加密要写入的数据,然后再写入磁盘;反之,当系统读取磁盘数据时,FDE会自动将读取到的数据进行解密,然后再提交给操作系统。

FDE全磁盘加密技术

全磁盘加密技术的应用场景

全磁盘加密技术适用于磁盘上所有数据(包括操作系统)进行动态加解密的场景,但由于不能提供针对用户的增强权限控制,无法满足对内部超级用户泄露敏感数据的风险防范需求。

FDE全磁盘加密技术

全磁盘加密技术的优势

  • 性能优势突出

全磁盘加密技术通过操作系统内核层(或者存储设备自身的物理结构)实现,能够最大化减少加解密损耗,对上层业务服务提供性能最高的文件加解密服务。

  • 部署、实施简单

全磁盘加密仅需对进入磁盘的数据进行加密,部署和实施简单高效。

FDE全磁盘加密技术

全磁盘加密技术的不足

  • 数据防护颗粒度粗

全磁盘加密因为缺少访问控制能力,因此,一旦磁盘挂载口令泄露,就有数据泄漏的风险,仅能防范“拔硬盘”攻击。

  • 不支持防DBA

全磁盘加密无法阻止DBA(数据库管理员)泄密,数据库DBA拥有磁盘的全部权限,在实际使用中难以防范DBA风险。

  • 国内起步较晚

该加密技术在国外发展已有十多年历史,技术相当成熟,基于FDE技术的许多产品也已经得到广泛应用,但国内的FDE技术起步相对比较晚,技术存在瑕疵。

免责声明:素材源于网络,如有侵权,请联系删稿。