磁盤加密技術(shù)

如上節(jié)所述，Disk Encryption磁盤加密，目標(biāo)是保護(hù)數(shù)據(jù)at Rest狀態(tài)下的機(jī)密性，加密對(duì)象是整個(gè)磁盤/分區(qū)、或者文件系統(tǒng)，采用實(shí)時(shí)加解密技術(shù)。

磁盤加密技術(shù)從加密對(duì)象，軟硬件實(shí)現(xiàn)、文件系統(tǒng)特征等維度，也可以有多種分類。首先，根據(jù)加密對(duì)像是整個(gè)磁盤，還是文件系統(tǒng)，可分為Full-Disk Encryption 和 Filesystem-Level Encryption（也稱為File-Based Encryption）兩大類。

3.1、FDE

Full-Disk Encryption全盤加密在實(shí)現(xiàn)上有硬件、軟件兩種方案。兩者核心原理類似，區(qū)別是加解密核心功能所在主體是軟件還是硬件，另外軟件方案一般不能真正加密整個(gè)硬盤（boot分區(qū)不加密），而硬件方案Hardware-based Full-Disk Encryption則具備整個(gè)硬盤加密能力。硬件FDE方案產(chǎn)品主要是Self Encryption Drive自加密硬盤，一般由存儲(chǔ)器件廠商、安全廠商提供。

硬件和軟件FDE方案核心原理及流程類似，統(tǒng)一抽象說明如下：

在初始化或創(chuàng)建FDE時(shí)，會(huì)隨機(jī)生成一個(gè)磁盤數(shù)據(jù)加密DEK（Disk Encryption Key，用戶無(wú)感知），同時(shí)要求用戶輸入一個(gè)AK（Authentication Key）用來加密保護(hù)DEK。在使用時(shí)，需用戶先輸入AK驗(yàn)證并解密DEK，之后操作系統(tǒng)才能使用DEK訪問加密磁盤上的數(shù)據(jù)。

由于需執(zhí)行特定程序展示UI提供用戶輸入AK并驗(yàn)證，故這部分啟動(dòng)代碼不能加密。因此引了入Pre-Boot Authentication 及PBA environment的概念。

在PBA實(shí)現(xiàn)上，硬件FDE方案（SED產(chǎn)品）一般出廠時(shí)內(nèi)嵌Pre-Boot environment（小的OS或bootloader），上電后先運(yùn)行Pre-Boot程序并驗(yàn)證AK，再進(jìn)行正常的加載引導(dǎo)等。

軟件FDE方案采用不加密boot分區(qū)的方式，一般在initial ramdisk集成PBA功能并完成驗(yàn)證。

軟件FDE方案發(fā)展歷史久，主流OS環(huán)境均有成熟方案，例如Windows下的BitLocker、Apple
OS/X下的FileVault、以及Linux/UNIX生態(tài)下的dm-crypt/LUKS。另外也有不依賴操作系統(tǒng)的三方FDE方案，如TrueCrypt、VeraCrypt等。

對(duì)Linux下dm-crypt/LUKS方案感興趣的同學(xué)可以在Ubuntu虛擬機(jī)上測(cè)試研究。