WindowsVista帶來驚喜:加密服務(wù)

字號(hào):

如果沒有加密技術(shù),安全技術(shù)就無從談起。當(dāng)然,自從微軟1987年發(fā)布了OS/2 1.0以來,這個(gè)軟件業(yè)的巨人推出的每一款操作系統(tǒng)(除了MS-DOS以外)都采用了某種形式的加密技術(shù)。但多年以來,微軟內(nèi)嵌在其操作系統(tǒng)中的加密加密技術(shù)的種類以及它們的工作方式都在發(fā)生變化。下面就簡(jiǎn)要介紹一下微軟新一代操作系統(tǒng)Windows Vista 中新增的幾個(gè)加密功能。
    Windows Vista中包含新的加密服務(wù)
    每一個(gè)軟件供應(yīng)商在軟件開發(fā)過程中都要面臨這樣一個(gè)決策:是嘗試創(chuàng)建自己的加密算法還是使用標(biāo)準(zhǔn)的加密算法。乍看之下,對(duì)于一個(gè)軟件供應(yīng)商來說,還是自己編寫加密算法并且對(duì)于它的內(nèi)部運(yùn)行機(jī)制嚴(yán)格保密。但是,安全領(lǐng)域的權(quán)威專家Bruce Schneier卻不這么認(rèn)為,Schneier指出,不要使用那些自己編寫的加密算法,因?yàn)檫@些算法只是被少數(shù)業(yè)內(nèi)人員研究和交叉檢查,可靠性和正確性都沒有保障,相反,使用那些被無數(shù)數(shù)學(xué)家檢驗(yàn)過的標(biāo)準(zhǔn)加密算法。Schneier在他的書中還拿微軟作例子,聲稱每次微軟創(chuàng)造了一個(gè)專有的加密算法,短短的幾個(gè)月后該算法就被*了。
    我不知道這種情況是否一直發(fā)生,但可以肯定地是,它發(fā)生的次數(shù)已經(jīng)很頻繁了。也許這 就是為什么微軟越來越多的使用標(biāo)準(zhǔn)加密算法的原因。目前,兩個(gè)最常用的加密算法是安全散列算法(Secure Hashing Algorithm 、SHA)和高級(jí)加密系統(tǒng)(Advanced Encryption System ,AES)。這兩種加密技術(shù)都是在美國(guó)政府的標(biāo)準(zhǔn)和技術(shù)國(guó)家研究所(NIST)的支持下開發(fā)出來的,目的就是提供一套深思熟慮的散列和加密的算法。AES在加密社區(qū)中反映良好,不過SHA卻在一些特殊的情況下被成功*了。SHA最新的版本---SHA-2到目前為止還沒有被成功*的報(bào)道。
    Windows XP SP1以后的任何XP操作系統(tǒng)以及Windows Sever 2003的任何版本中都采用了AES技術(shù),不過使用很有限。據(jù)我所知,Windows XP只在加密文件系統(tǒng)EFS(Encrypting File System )中使用了AES。而對(duì)于Vista,微軟表示,它的IPsec功能使用了AES加密。坦白地說,這不是什么驚天動(dòng)地的大事,雖然先前只采用Triple DES數(shù)據(jù)加密標(biāo)準(zhǔn),而*這個(gè)加密算法也是不太實(shí)際的,但在IPsec中使用AES也算是提前了一步。把SHA-2j加入到IPSec中也是一個(gè)不錯(cuò)的想法,但我要指出的是,微軟的組策略接口Group Policy interface并沒有包含這兩者的選項(xiàng)。不過,,我可以證實(shí),另一個(gè)Windows技術(shù),BitLocker Full Volume Encryption確實(shí)使用了128位和256位的AES加密。
    對(duì)分頁加密
    在Vista中,用戶可以對(duì)分頁進(jìn)行加密,不過,這只對(duì)于妄想狂來說是個(gè)好消息。而我建議用戶不要使用這個(gè)功能。因?yàn)槊看卧谀銌?dòng)計(jì)算機(jī)的時(shí)候,要解密1GB的分頁需要一小時(shí)或更長(zhǎng)的時(shí)間。
    為每個(gè)用戶的脫機(jī)文件夾加密
    脫機(jī)文件Offline Files是一項(xiàng)偉大的技術(shù),它可讓用戶從經(jīng)常使用的本地共享文件中緩存數(shù)據(jù)。這項(xiàng)技術(shù)最早出現(xiàn)在Windows 2000中,雖然它并不適合每一個(gè)人,但有很多人喜歡它。但是,Offline Files的工作細(xì)節(jié)被公布以后,用戶很快就意識(shí)到這項(xiàng)技術(shù)有一個(gè)安全漏洞。進(jìn)一步來說,在Windows 2000中,所有的緩存文件被存放在一個(gè)能被任何用戶輕而易舉就能查看的目錄中。因此,如果我與你共享一臺(tái)計(jì)算機(jī),而你使用了Offline Files,那么我也可以瀏覽存放緩存文件的文件夾---使用同一臺(tái)機(jī)器的所有用戶共享同一個(gè)文件夾-這未必是件好事。
    而在Windows XP中,微軟也對(duì)存放緩存脫機(jī)文件數(shù)據(jù)的文件夾進(jìn)行加密。但是這一加密過程被作為運(yùn)行在為L(zhǎng)ocalSystem帳戶中的一個(gè)服務(wù),這意味著每一個(gè)運(yùn)行在LocalSystem賬戶上的用戶很容易地就能使用EFS脫機(jī)文件數(shù)據(jù)加密密鑰。不幸地是,用戶很容易就能使用LocalSystem賬戶登陸系統(tǒng)---只需使用at.exe調(diào)度程序啟動(dòng)了一個(gè)命令提示界面,由于調(diào)度程序默認(rèn)是在LocalSystem賬戶上運(yùn)行的,那么你完全可以在命令提示界面進(jìn)行文件操作,因而,進(jìn)入Offline Files并查看共享這臺(tái)計(jì)算機(jī)的用戶所使用的脫機(jī)文件變得相當(dāng)容易。
    而Vista對(duì)此進(jìn)行了改進(jìn),主要包括兩個(gè)方面。首先,每個(gè)用戶的緩存文件都使用自己的密鑰而不是LocalSystem的EFS密鑰進(jìn)行緩存。第二,即使微軟沒有作出上述改變,在Vista中,要使用LocalSystem賬戶進(jìn)行登陸也是相當(dāng)困難的。過去操作系統(tǒng)中使用的登陸LocalSystem賬戶的伎倆在Vista中都不再生效了。