磁盤加密

磁盤加密描述了對整個硬盤驅動器或單個分區進行加密，以防止對敏感數據進行未經授權的訪問。

可以對整個硬盤驅動器或單個分區執行磁盤加密。 但是，啟動所需的數據必須在硬盤上未加密或由專門的啟動管理器解密。 要使用這些數據，用戶需要獲得授權（預引導身份驗證），這通常使用密碼進行。 備選地或附加地，使用安全令牌、指紋、PIN輸入或芯片卡的硬件支持的認證也是可能的。

硬件也可以執行或支持加密（例如，通過 TPM 或具有特殊固件的硬盤驅動器）。 加密方法的選擇對實現的保護程度具有決定性影響。 根據聯邦信息安全辦公室的說法，XTS-AES 為磁盤加密提供了“相對良好的安全性能和良好的效率”。

想要窺探加密硬盤的攻擊者通常會嘗試通過多種方式獲取密碼。

為此可以使用以下方法：

• 從磁盤交換文件中恢復密碼（僅適用于部分加密的磁盤）
• 使用記錄擊鍵的特洛伊木馬破解密碼
• 通過 DMA 讀取主內存（例如使用火線）
• 利用 DRAM 的物理特性讀取主內存
• 使用字典或暴力攻擊猜測弱密碼
• 利用漏洞繞過加密機制
• 通過社會工程學獲取密碼
• 通過 bootkit 感染主引導記錄

磁盤加密的另一個弱點是它在計算機啟動并連接到網絡時不提供任何保護。 原則上，硬盤的內容可以通過網絡或本地計算機訪問，盡管后者可以通過使用激活的屏幕保護程序變得更加困難，并在結束時需要密碼。 磁盤加密僅在丟失或被盜時提供保護，但在操作期間不提供保護。 因此，磁盤加密的使用在這種情況下的用途有限（例如保護文件服務器）。 磁盤加密也不適合保證工作組范圍內對加密數據的訪問。 此處推薦文件和文件夾加密等替代方案。

幾乎每個操作系統都有用于磁盤加密的程序。 其中一些已經集成。 從 Windows 2000 開始，Windows 有了針對 NTFS 驅動器的加密 EFS 文件系統，可以用來加密目錄和文件。 它內置于 Microsoft Windows 2000（所有服務器版和專業版）、XP（僅限專業版）、Server 2003 和 2003 R2、Windows Vista（商業版、旗艦版）和 Windows 7 中。 自 Vista 以來，還有來自 Microsoft 的 BitLocker 程序，它僅集成在某些版本的 Windows Vista、Windows 7 和 Windows 10 以及 Windows Server 2008 中。 雖然 EFS 在每個用戶級別進行加密并且并非設計用于加密操作系統本身，但 BitLocker 也能夠使用 TPM 芯片中的密鑰或USB存儲器的形式。

Loop-AES 和 dm-crypt 在 Linux 上被廣泛使用，macOS 自帶 FileVault。

還有用于其他操作系統（如 OS/2）的磁盤加密程序。

還有一些解決方案，其中一些還可以互操作，用于基于容器文件的虛擬驅動器透明加密，用于非系統分區的加密，或用于操作系統內文件的透明加密。

除了這些加密程序，還有一些可以跨操作系統使用并且是免費軟件。 CrossCrypt 和 FreeOTFE 使得在 Windows 下使用加密的 Linux 分區成為可能。 TrueCrypt 和 2012 版 VeraCrypt 使用他們自己的方法，Linux、Windows 和 Mac OS X 都支持這種方法。 DiskCryptor 是另一個僅限于 Windows 操作系統的免費軟件。

各種附加軟件提供了通過集成設備驅動程序來加密數據的可能性。 對于用戶r 使用單點登錄時加密的使用是透明的。

由于讀取訪問還需要對相應文件進行解密，因此如果主處理器沒有 AES 命令集擴展，則會導致速度明顯下降。 這主要是系統無法在主內存中長期保存較大文件的問題。

根據各種加密方法(XOR、AES & Co)的加密也可以由加密模塊執行。 這些用于外部存儲介質（USB 記憶棒、USB 硬盤驅動器）。 硬件必須配備相應的加密模塊。 使用當前的高性能模塊，數據（例如 256 位 AES）幾乎可以實時加密。 xxx型號的性能損失幾乎不明顯。 基于硬件的加密也提高了安全性。