最近有人頗讓人震驚的消息，曾經(jīng)號(hào)稱(chēng)為FBI也搞不定的著名加密軟件---TrueCrypt，突然在其官網(wǎng)發(fā)出聲明說(shuō)TrueCrypt已經(jīng)不再安全，存在一些安全問(wèn)題，并引導(dǎo)用戶使用微軟的BitLocker加密程序，小道消息稱(chēng)這一舉動(dòng)是因?yàn)樵赥rueCrypt在一次的安全審計(jì)中發(fā)現(xiàn)問(wèn)題的，也有消息稱(chēng)TrueCrypt將停止研發(fā)。

　　在繼續(xù)閱讀之前，請(qǐng)大家先參加一個(gè)小調(diào)查。

圖1 TrueCrypt

　　TrueCrypt這個(gè)高強(qiáng)度加密軟件一直是被認(rèn)為比較可靠的一個(gè)加密軟件，只是是個(gè)軟件就有漏洞，只是看看啥時(shí)候發(fā)現(xiàn)而已，這次TrueCrypt出問(wèn)題了，代表著由它加密的文件不再安全，用戶需要重新選擇另一款靠譜的加密軟件來(lái)保護(hù)機(jī)密資料。而另一方面，對(duì)于普通用戶來(lái)說(shuō)，TrueCrypt的加密還是神一樣的存在，不懂其中奧妙的依然還是無(wú)法進(jìn)行破解的，除非以后有個(gè)大蝦推出一個(gè)專(zhuān)門(mén)的破解工具出來(lái)。

　　詳見(jiàn)《FBI也沒(méi)轍？超強(qiáng)加密軟件TrueCrypt全教程》。

圖2 你用它保存了什么資料沒(méi)？

　　加密軟件本來(lái)就難找，所以用戶也很煩惱。用壓縮加密方式的話，調(diào)用加密的資料來(lái)比較麻煩，而有些所謂的加密軟件只是一個(gè)改改名稱(chēng)、隱藏一下文件的偽加密軟件，好不容易出來(lái)一個(gè)TrueCrypt卻又倒下了，PGP Desktop被收購(gòu)后也渺無(wú)聲息，加密用啥軟件好呢？

　　好吧，這里有個(gè)不用白不用的微軟出品的Windows BitLocker，說(shuō)起Windows BitLocker，有許多用戶都將它忽略了甚至不知道有它的存在，它存在于Windows Vista以上版本的Windows中，那個(gè)啥，家庭版的Windows就不要找了。至少到目前為止還沒(méi)看到有 BitLocker被破解的真正消息出來(lái)。

　　關(guān)于Windows BitLocker：Windows BitLocker驅(qū)動(dòng)器加密通過(guò)加密Windows操作系統(tǒng)卷上存儲(chǔ)的所有數(shù)據(jù)可以更好地保護(hù)計(jì)算機(jī)中的數(shù)據(jù)。BitLocker使用TPM（TPM實(shí)際上是一個(gè)含有密碼運(yùn)算部件和存儲(chǔ)部件的小芯片上的系統(tǒng)）幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計(jì)算機(jī)即使在無(wú)人參與、丟失或被盜的情況下也不會(huì)被篡改。 當(dāng)然BitLocker也可以在沒(méi)有TPM的情況下使用，只是有TPM的話更加安全一些。至少目前還沒(méi)有BitLocker加密方式還沒(méi)有被破解。

圖3 用BitLocker鎖住你的資料

　　那么BitLocker如何使用呢？它有何限制？啟用后對(duì)系統(tǒng)的性能有沒(méi)有影響呢？一起往下看吧。

　　本文以Windows 8.1 Update 1里的BitLocker為例。

　　BitLocker的使用限制：

　　上邊說(shuō)了，Windows Vista 以上版本的Windows中可用BitLocker，而Windows XP中則需要借助BitLocker To Go來(lái)讀取加密文件，不過(guò)無(wú)法進(jìn)行修改或添加刪除文件。BitLocker可以加密磁盤(pán)分區(qū)，可以加密移動(dòng)存儲(chǔ)器，但是無(wú)法單獨(dú)加密某個(gè)文件夾或文件。

　　BitLocker如何使用：

　　在需要加密的磁盤(pán)分區(qū)所在盤(pán)符的右鍵菜單中選擇“啟用BitLocker”，就可以進(jìn)入BitLocker加密向?qū)А?/p>

　　首先是選擇加鎖方式，普通用戶選擇密碼解鎖方式就可以了，記得設(shè)置的密碼須為強(qiáng)密碼方式以杜絕暴力破解的可能。而智能卡解鎖方式只適用于擁有智能卡的用戶。　　(智能卡是一張含有計(jì)算機(jī)芯片的小型塑料卡。智能卡通常由大型公司的信息技術(shù) (IT) 部門(mén)頒發(fā)。若要使用智能卡，您還需要一個(gè)智能卡讀卡器，該設(shè)備安裝或連接到計(jì)算機(jī)并能讀取存儲(chǔ)在智能卡上的信息。)

圖4 解鎖方式

　　接下來(lái)是保存恢復(fù)密匙的選項(xiàng)，所謂恢復(fù)密匙，其實(shí)就是一個(gè)文本文件，里邊是一串解密字符，在用戶忘記密碼時(shí)可以用這串字符來(lái)來(lái)解密磁盤(pán)，所以這個(gè)文件需要妥善的保管，如果你確認(rèn)不會(huì)忘記你設(shè)置的加密密碼，完全可以將恢復(fù)密匙刪除。在Windows 8中用戶可以直接將它保存到你的微軟帳戶中，也可以保存到其它存儲(chǔ)器中。

　　（在計(jì)算機(jī)啟動(dòng)時(shí)，如果 BitLocker 檢測(cè)到某個(gè)系統(tǒng)條件可能表示存在安全風(fēng)險(xiǎn)。如磁盤(pán)錯(cuò)誤、對(duì) BIOS 的更改或?qū)θ魏螁��?dòng)文件的更改，則 BitLocker 將鎖定驅(qū)動(dòng)器并且需要使用特定的 BitLocker 恢復(fù)密碼才能進(jìn)行解鎖。請(qǐng)確保在第一次打開(kāi) BitLocker 時(shí)創(chuàng)建此恢復(fù)密碼；否則，您可能會(huì)永久失去對(duì)文件的訪問(wèn)權(quán)限。）

圖5 恢復(fù)密匙保存選項(xiàng)

　　接下來(lái)是選擇《選擇要加密的驅(qū)動(dòng)器空間大小》選項(xiàng)，這里強(qiáng)烈建議使用BitLocker加密一個(gè)空白分區(qū)，然后選擇“僅加密已用磁盤(pán)空間”這樣就可以瞬間完成加密過(guò)程，選擇另一個(gè)“加密整個(gè)驅(qū)動(dòng)器”則需要花費(fèi)多一點(diǎn)時(shí)間，不過(guò)依然很快。之后新加入到這個(gè)分區(qū)的文件都會(huì)自動(dòng)進(jìn)行加密。

　　如果你需要加密的分區(qū)里已經(jīng)有需要保密文件了，那就選擇那就依據(jù)文件多少大小及磁盤(pán)分區(qū)大小及傳輸速率，花費(fèi)時(shí)間不一，不過(guò)都會(huì)有一個(gè)較長(zhǎng)時(shí)間的加密過(guò)程，甚至可能超過(guò)12小時(shí)。

圖6 選擇要加密的驅(qū)動(dòng)器空間大小

　　接下來(lái)就是一段時(shí)間的等待時(shí)間。別擔(dān)心，就是這個(gè)開(kāi)啟加密的時(shí)間需要這么長(zhǎng)而已，開(kāi)啟加密后的磁盤(pán)分區(qū)使用與未加密前的使用是一樣的。用戶將文件存儲(chǔ)到該加密分區(qū)時(shí)就會(huì)自動(dòng)完成加密過(guò)程，這個(gè)過(guò)程只是一瞬間而已，你幾乎察覺(jué)不到加密過(guò)程，相反亦然。

圖7 等待加密完成

　　那么，BitLocker加密后的磁盤(pán)分區(qū)如何使用呢？在Windows vista以上的系統(tǒng)，用戶只需要接入加密后的磁盤(pán)，就會(huì)在資源管理器中看到一個(gè)加密圖標(biāo)，點(diǎn)擊后就會(huì)彈出一個(gè)解密對(duì)話框，輸入密碼后就可以解鎖該磁盤(pán)，隨后就可以像平時(shí)那樣使用該磁盤(pán)分區(qū)了。這只是在當(dāng)前計(jì)算機(jī)中進(jìn)行的解鎖操作，而不是解密操作，也就是說(shuō)，解鎖后自動(dòng)在后臺(tái)完成文件的加密（文件存儲(chǔ)入磁盤(pán)）及解密（文件從磁盤(pán)復(fù)制到本地）操作。

　　如果不想每次都輸入密碼，那就可以勾選“從現(xiàn)在開(kāi)始在此計(jì)算機(jī)上自動(dòng)解鎖”選項(xiàng)，以后在本臺(tái)計(jì)算機(jī)中接入該加密磁盤(pán)后就會(huì)自動(dòng)解鎖。

圖8 解鎖操作

　　使用BitLocker加密的磁盤(pán)沒(méi)有解密是無(wú)法使用的，就算給別人拿到，沒(méi)有密碼也只能望磁盤(pán)興嘆，對(duì)方能做的只是格式化磁盤(pán)操作。當(dāng)然被格式化后你加密的數(shù)據(jù)也就灰飛煙滅了，這也是BitLocker加密的一大缺陷，無(wú)法阻止格式化操作。

　　此外，還能選擇BitLocker的加密方法，默認(rèn)為128位加密，你可以選擇更加可靠的256位加密方法。方法是進(jìn)入組策略（gpedit.msc）--計(jì)算機(jī)配置--管理模版--Windows組件--BitLocker驅(qū)動(dòng)器加密--選擇驅(qū)動(dòng)器加密方法和密碼長(zhǎng)度--已啟用--選擇加密方法。

圖9 設(shè)置加密方法和密碼長(zhǎng)度

　　雖然說(shuō)BitLocker的加密和解密過(guò)程用戶無(wú)需干預(yù)，但是畢竟還是需要耗費(fèi)一定的資源的，那么開(kāi)啟BitLocker加密后的磁盤(pán)分區(qū)，性能會(huì)損失多少呢？接下來(lái)我們來(lái)個(gè)小測(cè)試。測(cè)試工具為ATTO Disk Benchmark，測(cè)試在同一磁盤(pán)分區(qū)下，三種情況。一為未啟用BitLocker時(shí)的狀態(tài)，一為啟動(dòng)BitLocker加密時(shí)狀態(tài)（AES128位加密），還有一種也是啟動(dòng)BitLocker加密時(shí)的狀態(tài)（AES256位加密）。

圖10 測(cè)試結(jié)果截圖

圖11 寫(xiě)入速度對(duì)比

圖12 讀取速度對(duì)比

　　從結(jié)果中可以看出，對(duì)于寫(xiě)入速度，BitLocker的影響還是有的，特別是在AES256位加密時(shí)，雖然考慮測(cè)試時(shí)會(huì)有誤差或其他因素影響，不過(guò)應(yīng)該能夠說(shuō)明問(wèn)題了，BitLocker對(duì)寫(xiě)入速度確實(shí)有一定的影響，而在讀取速度中的影響相對(duì)較小，幾乎可以忽略不計(jì)。

　　總結(jié)：

　　對(duì)于使用Windows的用戶來(lái)說(shuō)，BitLocker不失為一個(gè)較為簡(jiǎn)單又靠譜的加密工具，如果你有啥資料需要加密，有需要方便的調(diào)用，那么選擇它沒(méi)錯(cuò)。根據(jù)測(cè)試而言，用戶建議盡量不要用BitLocker加密常用磁盤(pán)分區(qū)比如系統(tǒng)盤(pán)，對(duì)于資料盤(pán)則可以放心大膽的加密，影響是有，相對(duì)較小。最后還是那句話，資料無(wú)價(jià)，操作需謹(jǐn)慎，加密過(guò)程中切勿斷點(diǎn)，最好就是加密分區(qū)再將需要保密的文件放進(jìn)去，這樣省時(shí)又安全一些。