专家观点 什么方式的加密更安全？

来源：碟科数据恢复    发布时间：2009.10.21

      市场上有几种产品是通过在主机系统上运行加密软件来实施数据加密。这种软件在主机系统处理器上加密数据并将加密后的数据存储在一个存储设备中。许多公司生产这种产品，包括BitLocker（使用Window Vista操作系统），FileVault（使用MacOS X操作系统）和dm-crypt（用于Linux）。

基于软件的加密

      这种基于软件的加密包可能能保护数据不会被偶尔的恢复数据的尝试所破坏，但是很久以前人们就知道只要使用正确的工具就可以破解这种数据加密。

      例如，加密后的数据可以被存储在一个存储设备中的多个地方，但是被加密文件的一些部分可能会处于存储设备中未被加密的地区。

      今年初，普林斯顿大学的研究者们指出在基于主机的加密中，加密密钥是处于主机的DRAM（动态随机存储器），而如果有人能够将DRAM中的数据在消散之前便提取出来，那么密钥就会被恢复从而失去数据安全性。在主机关机后，马上就将DRAM冷却，然后将其中的内容克隆到另一个存储设备，就可以从DRAM中恢复数据。

      基于软件的加密方式可能易于被发现和渗透。比如在离开台式机或笔记本的时候关闭电源或者让它们处于休眠状态，可以排除DRAM恢复方法，但是我们需要更多的技术来确保那些需要加密的碎片式文件能够得到完全的保护。

基于硬件的加密

      基于硬件的加密则更难以访问和渗透。Trusted Computing Group（TCG）所推广的一种方式是将加密密钥放在存储设备，而该存储设备也包含一个特殊的能够进行加密/解密的芯片。

      这种设备不会把密钥暴露给主机系统，因此诸如从DRAM中读取密钥的技术无法奏效。同时，硬盘驱动器上的所有的用户数据都可以被加密。希捷、日立和富士通现在也提供带板载加密的笔记本硬盘驱动器。

      包含全驱动器加密的磁盘驱动器可以让计算机用户更加放心。而且，如果存储设备中的密钥在这些产品上被删除，那么由于缺少密钥信息，设备中的数据将无法重新构建或被前面所讨论的“暴力破解”技术所重建。因此，支持TCG的磁盘驱动器可以提供快速的“安全删除”。