DoSTOR專家觀點 什么方式的加密更安全？

DoSTOR存儲在線–現在人們使用許多數據安全方法和產品。

密碼是最常見的安全方法，但是對于有決心的竊賊來說，它們實際所能提供的安全性不大。數據加密通過打亂和替換代碼來保護數據。這種安全方式的有效性取決于加密算法的有效性，以及處理加密的方式。加密密鑰位數越高，所謂的“暴力破解”計算技術就越難發現加密密鑰。自從被加密的數據能夠成功地通過使用加密密鑰予以解碼以來，保護這個密鑰就成為數據安全的一個關鍵問題。

市場上有幾種產品是通過在主機系統上運行加密軟件來實施數據加密。這種軟件在主機系統處理器上加密數據并將加密后的數據存儲在一個存儲設備中。許多公司生產這種產品，包括BitLocker（使用Window Vista操作系統），FileVault（使用MacOS X操作系統）和dm-crypt（用于Linux）。

基于軟件的加密

這種基于軟件的加密包可能能保護數據不會被偶爾的恢復數據的嘗試所破壞，但是很久以前人們就知道只要使用正確的工具就可以破解這種數據加密。

例如，加密后的數據可以被存儲在一個存儲設備中的多個地方，但是被加密文件的一些部分可能會處于存儲設備中未被加密的地區。

今年初，普林斯頓大學的研究者們指出在基于主機的加密中，加密密鑰是處于主機的DRAM（動態隨機存儲器），而如果有人能夠將DRAM中的數據在消散之前便提取出來，那么密鑰就會被恢復從而失去數據安全性。在主機關機后，馬上就將DRAM冷卻，然后將其中的內容克隆到另一個存儲設備，就可以從DRAM中恢復數據。

基于軟件的加密方式可能易于被發現和滲透。比如在離開臺式機或筆記本的時候關閉電源或者讓它們處于休眠狀態，可以排除DRAM恢復方法，但是我們需要更多的技術來確保那些需要加密的碎片式文件能夠得到完全的保護。

基于硬件的加密

基于硬件的加密則更難以訪問和滲透。Trusted Computing Group（TCG）所推廣的一種方式是將加密密鑰放在存儲設備，而該存儲設備也包含一個特殊的能夠進行加密/解密的芯片。

這種設備不會把密鑰暴露給主機系統，因此諸如從DRAM中讀取密鑰的技術無法奏效。同時，硬盤驅動器上的所有的用戶數據都可以被加密。希捷、日立和富士通現在也提供帶板載加密的筆記本硬盤驅動器。

包含全驅動器加密的磁盤驅動器可以讓計算機用戶更加放心。而且，如果存儲設備中的密鑰在這些產品上被刪除，那么由于缺少密鑰信息，設備中的數據將無法重新構建或被前面所討論的“暴力破解”技術所重建。因此，支持TCG的磁盤驅動器可以提供快速的“安全刪除”。