全盤加密(FDE)是一種存儲(chǔ)加密技術(shù)，用來(lái)啟勸系統(tǒng)的整個(gè)硬盤進(jìn)行了加密。它最常用于保護(hù)存儲(chǔ)在臺(tái)式機(jī)和筆記本電腦上的敏感數(shù)據(jù)的機(jī)密性。用不用FDE關(guān)系到丟失的筆記本電腦只是帶來(lái)不便，還是導(dǎo)致巨額經(jīng)濟(jì)損失的數(shù)據(jù)泄密事件。

現(xiàn)在市面上有好多軟件產(chǎn)品提供FDE功能，所以試圖評(píng)估FDE的合適使用場(chǎng)合、確定哪款FDE產(chǎn)品最適合某一家企業(yè)可能頗為棘手。想對(duì)FDE進(jìn)行一番評(píng)估，第一步就是確定一系列標(biāo)準(zhǔn)，將這些標(biāo)準(zhǔn)視作向廠商提出的問(wèn)題，或者確定全面測(cè)試產(chǎn)品的辦法。

FDE軟件如何部署到最終用戶設(shè)備上?

大多數(shù)FDE產(chǎn)品來(lái)自第三方，這意味著它們有軟件組件需要安裝到需要保護(hù)的每個(gè)設(shè)備上。不過(guò)，一些FDE產(chǎn)品內(nèi)置到操作系統(tǒng)中，或者作為現(xiàn)有安全產(chǎn)品套件的一部分來(lái)提供。這些情況下，客戶端安裝可能沒(méi)有必要。

不過(guò)，客戶端安裝只是FDE部署過(guò)程的一小部分。通常建議在激活FDE之前，對(duì)任何設(shè)備執(zhí)行全面?zhèn)浞?，那樣萬(wàn)一部署失敗，系統(tǒng)上的數(shù)據(jù)不至于丟失。

將硬盤從未加密狀態(tài)轉(zhuǎn)換成加密狀態(tài)可能需要幾個(gè)小時(shí);一些情況下，設(shè)備可能在進(jìn)行這種轉(zhuǎn)換的過(guò)程中不穩(wěn)定。由于軟件安裝和配置、設(shè)備備份以及硬盤轉(zhuǎn)換都需要耗費(fèi)時(shí)間，F(xiàn)DE部署可能意味著對(duì)用戶來(lái)說(shuō)面臨相當(dāng)長(zhǎng)的停機(jī)時(shí)間。

企業(yè)應(yīng)該評(píng)估FDE產(chǎn)品的硬盤轉(zhuǎn)換功能，以確定用戶會(huì)在多長(zhǎng)時(shí)間內(nèi)受到影響，看看這種轉(zhuǎn)換是不是可以在后臺(tái)進(jìn)行(如果是，性能會(huì)受到怎樣的影響)。

FDE產(chǎn)品的管理功能多實(shí)用、多可靠?

集中式管理是企業(yè)成功部署FDE的關(guān)鍵。

內(nèi)置到操作系統(tǒng)的FDE功能可能幾乎沒(méi)有什么集中式管理可言，限制了其優(yōu)點(diǎn)。對(duì)于那些真正提供集中式管理的FDE產(chǎn)品而言，可擴(kuò)展性至關(guān)重要，對(duì)大型企業(yè)來(lái)說(shuō)更是如此。同樣重要的還有管理員設(shè)置FDE配置選項(xiàng)的功能，確保用戶無(wú)法更改那些選項(xiàng)或者禁用或卸載FDE軟件。

證書管理是FDE管理方面另一個(gè)重要卻常常被忽視的環(huán)節(jié)。評(píng)估人員應(yīng)該測(cè)試一些功能特性，比如設(shè)備的密鑰輪換和密碼更改(針對(duì)用戶和管理員)、集中式補(bǔ)丁和升級(jí)功能，還要測(cè)試加密算法和密鑰大小的變化帶來(lái)的影響。

FDE產(chǎn)品與現(xiàn)有的操作系統(tǒng)和應(yīng)用程序兼容嗎?

在一些情況下，現(xiàn)有環(huán)境與FDE軟件可能會(huì)出現(xiàn)不兼容。不兼容造成的一個(gè)常見(jiàn)的副作用是，F(xiàn)DE無(wú)法保護(hù)處于休眠模式或待機(jī)模式的設(shè)備。另一個(gè)常見(jiàn)的例子是，F(xiàn)DE與直接訪問(wèn)硬盤的應(yīng)用程序發(fā)生沖突，比如磁盤實(shí)用工具和某些資產(chǎn)管理軟件。

FDE軟件可與現(xiàn)有的驗(yàn)證服務(wù)輕松整合嗎?

想為FDE執(zhí)行啟動(dòng)前驗(yàn)證(PBA)，常常需要充分利用現(xiàn)有的驗(yàn)證服務(wù)，比如活動(dòng)目錄或基于公鑰基礎(chǔ)設(shè)施(PKI)的產(chǎn)品。

管理員還需要用于FDE配置和管理的一種驗(yàn)證機(jī)制。通常建議為FDE使用多因子驗(yàn)證，所以FDE解決方案支持所需的多因子驗(yàn)證技術(shù)顯得很重要。無(wú)論選擇的哪種驗(yàn)證技術(shù)，F(xiàn)DE軟件可與它們輕松整合很重要。

密鑰恢復(fù)有什么辦法?

要是沒(méi)有可靠的密鑰恢復(fù)功能，許多用戶可能無(wú)法訪問(wèn)FDE保護(hù)的設(shè)備及設(shè)備上保存的數(shù)據(jù)。需要密鑰恢復(fù)，以防用戶忘記驗(yàn)證證書，用戶突然離開(kāi)公司，或者無(wú)法正常登錄進(jìn)去。

一些企業(yè)選擇讓管理員執(zhí)行所有的密鑰恢復(fù)活動(dòng)，而另一些企業(yè)更看重自助式恢復(fù)。不過(guò)要小心：自助式恢復(fù)可能會(huì)被濫用，讓攻擊者得以避開(kāi)FDE保護(hù)，因而在未經(jīng)授權(quán)的情況下獲得訪問(wèn)權(quán)。所以，F(xiàn)DE評(píng)估人員有必要不僅考慮有哪些密鑰恢復(fù)辦法，還考慮每一種辦法的相對(duì)安全性和易用性。

密鑰恢復(fù)方面要考慮的另一個(gè)重要因素是使用多因子驗(yàn)證。

假設(shè)某個(gè)出差辦事的用戶丟失了密碼令牌，因而無(wú)法啟動(dòng)其筆記本電腦。有一些FDE產(chǎn)品會(huì)允許用戶在這種情況下臨時(shí)使用由密碼保護(hù)的單因子驗(yàn)證;不過(guò)對(duì)許多企業(yè)來(lái)說(shuō)，此舉違反了安全政策。所以，管理員會(huì)希望禁用這項(xiàng)FDE功能。評(píng)估FDE軟件或產(chǎn)品的企業(yè)因而要特別關(guān)注單因子驗(yàn)證方面的可配置性。

FDE產(chǎn)品如何緩解蠻力密碼攻擊?

一些攻擊者會(huì)企圖猜出FDE密碼――比如說(shuō)，如果他們偷來(lái)了密碼令牌，卻不知道相應(yīng)的PIN。

在這種情況下，要是有人多次試圖登錄，有些(但并非所有)FDE產(chǎn)品就會(huì)作出適當(dāng)?shù)姆磻?yīng)――要么是在一段時(shí)間內(nèi)(比如15分鐘)暫停FDE驗(yàn)證，要么是延長(zhǎng)試圖驗(yàn)證的間隔時(shí)間。這些方法讓蠻力攻擊極難得逞，同時(shí)為驗(yàn)證時(shí)無(wú)意中犯了幾次錯(cuò)的用戶支持總體易用性。

另一個(gè)辦法通常用在安全性較高的環(huán)境中，那就是在連續(xù)試圖驗(yàn)證失敗達(dá)到一定次數(shù)(比如10次)后擦除設(shè)備上的內(nèi)容。這防止時(shí)間幾乎不受限制的攻擊者無(wú)法執(zhí)行蠻力攻擊。

然而，雖然這種方法保護(hù)數(shù)據(jù)避免曝露，但它也給牢記密碼有困難的用戶帶來(lái)了負(fù)面影響。此外，不懷好意的人只要進(jìn)行幾次失敗的驗(yàn)證，就能擦除設(shè)備上的內(nèi)容。所以，雖然黑客也許無(wú)法訪問(wèn)用戶的設(shè)備，但他們可能給這個(gè)用戶增添麻煩。

FDE產(chǎn)品的加密技術(shù)有多可靠?

FDE產(chǎn)品多強(qiáng)大完全取決于內(nèi)置的加密技術(shù)。任何FDE產(chǎn)品都應(yīng)該使用行業(yè)認(rèn)可的標(biāo)準(zhǔn)化加密算法，比如AES，最好是經(jīng)過(guò)測(cè)試和驗(yàn)證的采用這種算法的技術(shù)。此外，密鑰長(zhǎng)度起碼與行業(yè)目前建議的長(zhǎng)度相一致。

許多企業(yè)(比如聯(lián)邦政府部門)已從密碼層面，對(duì)加密及完整性檢查算法、密鑰長(zhǎng)度以及其他方面的要求作出了規(guī)定，所以在評(píng)估FDE產(chǎn)品時(shí)務(wù)必要問(wèn)清楚這類要求。

要是FDE的密鑰(私有密鑰或秘密密鑰)存儲(chǔ)在本地，確保它們得到了充分的保護(hù)，這點(diǎn)也很重要。方法包括本地硬盤、密碼令牌和可信平臺(tái)模塊(TPM)芯片。

對(duì)一些FDE產(chǎn)品而言，密鑰可以集中存儲(chǔ)，而不是本地存儲(chǔ)，一旦成功通過(guò)驗(yàn)證，密鑰就自動(dòng)從該集中存儲(chǔ)位置獲取。

做好功課

評(píng)估用于企業(yè)環(huán)境的FDE產(chǎn)品可能困難重重;不過(guò)有了可供借鑒的一些基本標(biāo)準(zhǔn)，很容易區(qū)別諸多產(chǎn)品的異同。每家企業(yè)都有不一樣的環(huán)境和不一樣的要求，更不用說(shuō)它面臨的不一樣的威脅，所以每家企業(yè)進(jìn)行各自的FDE評(píng)估、而不是單單依賴公共領(lǐng)域的現(xiàn)有評(píng)估，這點(diǎn)很要緊。

本文不是想列出全面的標(biāo)準(zhǔn)，而是為進(jìn)行FDE評(píng)估提供一個(gè)切實(shí)可行的出發(fā)點(diǎn)。需要考慮的其他重要需求還包括企業(yè)自身的政策、規(guī)程和一般實(shí)踐。

原文地址：http://searchsecurity.techtarget.com/feature/The-fundamentals-of-FDE-Procuring-full-disk-encryption-software