移动硬盘加密软件大揭秘-续集

                             ------各类评测、对比、内幕

第一部分 加密概述

1. 加密的由来

公元前400年，古希腊人发明了置换密码。

1881年世界上的第一个电话保密专利出现。

在第二次世界大战期间，德国军方启用“恩尼格玛”密码机，密码学在战争中起着非常重要的作用。

1997年，美国国家标准局公布实施了“美国数据加密标准（DES）”。

目前民间力量采用的加密算法有DES、RSA、SHA等。随着对加密强度需求的不断提高，又出现了AES、ECC等。

我们国家商密委要求执行的SM加密算法系列。详细包括：祖冲之序列密码算法、SM2椭圆曲线公钥密码算法、SM3密码杂凑算法、SM4分组密码算法等。

使用加密可以达到以下目的：

l      保密性：防止用户的标识或数据被读取。

l      数据完整性：防止数据被更改。

l      防抵赖：确保数据发自特定的一方。

2. 加密的概念

数据加密的基本过程就是对原来为明文的文件或数据按某种算法、采用某种密钥进行处理，使其成为正常情况下不可识别的数据，通常称为“密文”，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息采用对应密钥、对应算法转化为其原来数据的过程。

可见：密钥、算法是加密的俩个关键因素。

注意：密钥不是密码。

3. 加密技术

加密技术包括两个元素：算法和密钥。算法是将指定文本（或者可以理解的信息），产生为另外不同文本的步骤，密钥是影响这个步骤幅度的参数。

在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。

相应地，根据密钥类型不同将现代密码技术分为两类：对称加密算法（秘密钥匙加密）和非对称加密算法（公开密钥加密）。

对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。

非对称密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。

4. 加密算法

在计算机的硬盘加密技术中，以对称加密算法为主，因此下面主要介绍一下对称加密算法的情况。

4.1  概述

对称加密算法用来对敏感数据等信息进行加密，常用的算法包括：

DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。

3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高。

AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高；

AES

2000年10月，NIST（美国国家标准和技术协会）宣布通过从15种侯选算法中选出的一项新的密匙加密标准。Rijndael被选中成为将来的AES。 Rijndael是在 1999 年下半年，由研究员 Joan Daemen 和 Vincent Rijmen 创建的。AES 正日益成为加密各种形式的电子数据的实际标准。

美国标准与技术研究院 (NIST) 于 2002 年 5 月 26 日制定了新的高级加密标准 (AES) 规范。

4.2  AES算法原理

AES 算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES 使用几种不同的方法来执行排列和置换运算。

AES 是一个迭代的、对称密钥分组的密码，它可以使用128、192 和 256 位密钥，并且用 128 位（16字节）分组加密和解密数据。与公共密钥密码使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。

4.3  AES与3DES比较

4.4  最新加密算法

最新的加密算法是量子加密算法，其利用量子物理中的测不准原理研发出来的量子密码是不可破解的。

第二部分 移动硬盘加密产品

1. 产品分类

1.1  微软操作系统自带的加密功能

微软自windows 2000到现在的win8，就已经能支持针对文件夹的加密，通过微软自带的EFS服务或者Bitlock，电脑用户可以对指定的文件夹进行加密。

需要强调的是，微软还是不会偷工减料的，该加密执行的是对称加密和非对称加密的结合，加密密钥也是一文一密钥。这个技术不难，但国内的厂家大多数是偷工减料，目前仅发现了山丽网安的防水墙也是对称加密和非对称加密的结合，也是一文一密钥的。

EFS服务具体设置步骤如下：

1)    找到本地硬盘需要加密的文件夹，点击右键—>属性—>常规—>高级—>选择“加密内容以便保护数据”

1)    点“确定”退出即可。

该加密文件夹只能被加密的windows登录用户打开，其他用户无法打开。如果重装操作系统，千万先解开该加密功能，不然与其捆绑的用户信息丢失之后，将无法再打开该文件夹，届时就悲剧了。

由于微软这个自带的加密功能，与操作系统捆绑非常紧密，只适合于加密本机的硬盘资料，不适合加密移动硬盘，而且需要保障系统不能崩溃，不然也无法取回加密资料。

更换用户名登录后，被加密文件无法打开、移动、复制。

1.2  硬件厂商自带型

真正是国外包装生产的移动硬盘不多，而且国外厂家自带的加密软件，都只会认自家品牌的硬盘，不兼容其他品牌硬盘，界面也是英文界面居多，设置较为复杂，因此该类自带型加密软件应用不多。

值得一提的是，目前的笔记本电脑厂商的均提供笔记本硬盘的加密技术，但这种加密技术是连操作操作系统一起加密的，因此，这种技术主要是防止笔记本在寄送中防止丢失的手法。

这种系统，因为是连操作系统都加密了，因此，整个系统会非常的慢。

1.3  基于系统驱动型的多模加密技术

基于驱动型的加密又称作透明加密，

透明加密分为加密1.0环境加密(引导区加密)、加密2.0文件格式加密、加密3.0多模透明加密。

其中，山丽网安推出的山丽防水墙5.0采用的透明加密技术是目前多模加密的代表。

环境加密(引导区加密)区别在于仅仅加密引导区，不进行数据本身的加密，引导区加密仅仅采用唯一一个密钥进行。

格式加密只能实现特定格式的加密，如word加密，excel加密，无法实现对目前未出现的软件进行加密，无法实现对应用软件升级后的版本进行加密，如果要满足这种需求，格式加密技术就需要进行二次开发，常此以往，将给用户带来无法承受的运维管理灾难；同时，不管格式加密如何升级，总是在绿色软件加密、应用程序加壳后需要的加密面前束手无策。

另外，对格式加密而言，只有一种策略：要么格式加密，要么格式不加密，而格式不加密就无法看格式加密的数据，最后往往是实施格式加密的产品存在管理上的死角或者给高层使用数据加密软件带来极其的不便。

多模加密技术是包含格式加密技术在内的一种加密技术。格式加密技术可以实现的，多模加密技术均可实现，多模加密技术能实现的，格式加密技术却不能实现。因为，格式加密就是数据格式一种加密技术，而多模加密却是包含格式加密在内的多种加密的集合。

多模加密的特点体现在：可以支持满足多种场景（至少得包括这样的一些场景满足：特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式（但需要可以修改和查看别人的密文即高级别模式）、特定用户不加密模式（可以查看别人但不能修改别人密文即阅读者模式）、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等；这些加密模式可以赋予不同的用户或者用户组。）

1.4  一文一密钥中的密钥和主密钥之间的关系

加密产品中，密钥的产生是一个关键的问题。

在有的加密厂商公司的售出的产品中，系统的主密钥是该加密厂商公司来发放的，用户所有的文件加密均采用这个加密密钥来进行，一旦售出公司泄密了该密钥，就将给用户代理灾难性的影响。

因为，如何加密算法公开了，加密的密钥再公开还能有什么安全性可言。

（注：数据加密产品，根据国家的要求，采用的加密算法是公开的SM系列算法。一旦密钥没有安全性，则加密真的是如同虚设。）

随着技术的进步，采用这种方式的公司也变得非常少了，但还有个别公司这样进行。

在目前采用格式加密的公司中，大多采用了另外一种方式，预先为用户保存好一些密钥，或者为用户在产品上做一个密钥生成器，这样，管理人员在部署产品的时候，会选择采取一个密钥给全公司使用，或者是某个部门采用一个密钥。但因为，采用了不同密钥的部门在进行数据交互的时候，将面临着需要先采用原来的密钥将数据解密，然后再使用本部门密钥进行加密的复杂事项。因此，采用格式加密的公司往往会建议用户全公司采用一个密钥进行加密。

 采用对称密钥和非对称密钥相结合的技术在国际上早就是一项成熟技术了，该技术普遍为国际上的一些大公司采用，如前文提到的Windows的EFS产品，Adobe公司的PDF产品。因此这些公司提供的安全产品会为国际上其他安全公司所关注，同时也会为形形色色的黑客所关注。

国内大多数数据加密公司因为关注度比较低，因此在产品的出品上也采取了投机取巧或者实用主义路线，目前基本上均采用的是唯一的对称加密算法。

 一文一密钥的技术是国内采用对称算法和非对称算法相结合的数据加密实现后的结果体现，即：每个文档被加密的时候，采用的密钥都是完全不一样的。自然，全公司每个用户、每个部门采用的密钥也是不一样的。即：文档的加密密钥是随机的。

第三部分 移动硬盘加密产品总结对比