游戏公司解散负债数百万只因为不懂“全磁盘加密” ?
首页>>企业存储>>正文

目录

    1月20日,深圳市螃蟹网络科技有限公司创始人尹柏霖发文控诉,前员工燕某在游戏上线测试当天(2017年12月15日),锁死服务器与电脑,并恶意失踪,致公司损失惨重。尹柏霖称,“我们上线不了也测试不了,等新员工到职后熟悉新代码又是几个月过去了。”他表示,时隔这么久才曝光燕某是觉得项目败了无所谓了,正准备走法律程序。现在公司已解散,自己背了几百万债在打工。


    一时间消息被扩散到各大媒体平台,大家众说纷纭




    事情后续进一步发酵



    事情起因大家大致应该有了一个了解。一家游戏公司做了两年的游戏,在上线测试当天,被一个员工锁死服务器和电脑,最终项目失败,600万投入付之东流,创始人负债数百万。技术群里大家探讨出了一个重点,锁死服务器和电脑的逻辑是啥?是磁盘底层加密吗?



    回到本文的重点,什么是磁盘加密技术?磁盘加密之后能破解吗?本文将给简单给大家科普一下。


    一、磁盘级加密分类


    磁盘加密技术目前主要有两种类型:一种是磁盘分区加密技术,另一种是全磁盘加密技术(FDE,Full Disk Encryption)。


    所谓磁盘分区加密技术,是采用加密技术对磁盘上某一个扇区(或者分区)进行加解密。磁盘分区加密技术目前已经有广泛应用,虚拟磁盘加密技术(VDE,Vertual Disk Encryption)就是磁盘分区加密技术的代表之一,其他的还包括移动存储设备加密技术。后者的代表性产品主要有安全U盘(UDiskSec)、安全移动硬盘(EDiskSec)等。


    所谓全磁盘加密技术(FDE,Full Disk Encryption),顾名思义,是对整个磁盘上的数据进行加解密,但是这个解释并不完全准确。FDE更为准确的解释是:通过动态加解密技术,对磁盘(硬盘)上所有数据(包括操作系统)进行动态加解密的技术。FDE在国外发展有十多年历史,技术相当成熟,基于FDE技术的许多产品也已经得到广泛应用。国内FDE技术起步比较晚,但目前已经有成熟产品在军队和企业级用户中使用。


    二、全磁盘加密技术实现原理


    全磁盘加密技术(FDE,Full Disk Encryption)是动态加密技术的一种。动态加密技术(Encrypt on-the-fly),是相对于静态加密技术而言的一种透明加解密技术,此处不作介绍,读者可以参照清华大学梁金千先生的著作《动态加解密技术综述》。


    可参考:http://safe.it168.com/a2008/0926/206/000000206753.shtml


    下图是市面上一种全磁盘加密技术的产品的实现原理:在开机时,先启动DiskSec解密C盘上的操作系统;系统启动后,动态加解密系统直接在内存中解密数据,然后将解密后的数据提交给操作系统;在存盘时,在内存中将数据加密为密文,再写入硬盘。从图中可以看出,DiskSec的动态加解密算法位于操作系统的底层,操作系统的所有磁盘操作均通过DiskSec进行,当系统向磁盘上写入数据时,DiskSec首先加密要写入的数据,然后再写入磁盘;反之,当系统读取磁盘数据时,DiskSec会自动将读取到的数据进行解密,然后再提交给操作系统,因此,加密的磁盘数据对操作者来说是透明的,对操作系统看来,磁盘上的加密数据和未加密的状态完全一样。


    DiskSec的功能实现原理图


    FDE的主要优点是加密强度高,安全性高。这种加密方式直接对磁盘物理扇区进行加密,不考虑文件等存储数据的逻辑概念,任何存储在磁盘上的数据均为密文。对系统性能的影响仅与采用的加解密算法有关。FDE对系统性能的影响非常有限,一般不超过10%(取目前市场上同类产品性能指标的最大值)。


    三、FDE软件产品通览


    正因为全磁盘加密技术具备多项优点,基于FDE技术研发的产品,能够很好地保护机密信息。所以FDE软件很受推崇。这些软件中,有Windows Vista自带的BitLocker加密程序,免费开源的TruCrypt,用于加密电子邮件和即时消息的性能成熟的PGP桌面套件,全球著名的Pointsec和Safeboot,还有国内唯一的FDE软件DiskSec。


    一般用户会出于费用的考虑,选择免费开源的TruCrypt。但是,企业级用户在选择加密软件的时候,应该慎之又慎。众所周知,天下没有免费的午餐。免费的加密软件在可用性,易管理性和安全性等多方面都存在许多问题。免费软件甚至可能导致大量文件损坏,致使重要资料丢失。


    1.Windows 自带的Vista BitLocker


    首先要谈到Windows Vista企业版和终极版自带的BitLocker。Vista通过集中管理、活动目录和组策略来实现管理。BitLocker需要目标系统中至少有两个卷:一个卷用来存放引导装入程序,另一个卷用来存放加密的系统文件。现有系统可使用BitLocker驱动器准备工具(如今微软为支持BitLocker的系统提供了这个额外工具)重新进行分区;也可以手动设置分区。


    用BitLocker对卷进行加密时,如果电脑有可信计算模块(TPM),可以结合个人身份识别号(PIN)代码一起使用;第二个选择是创建一个可移动USB驱动器,含有授权数据,该数据与PIN结合使用;第三个选择是用户输入PIN,不过这个PIN会相当长(25个字符以上),而且只能由操作系统来分配。


    Windows Vista BitLocker可以自动设置对操作系统进行加密,也能手动操作对其他硬盘全盘加密。从技术上讲,这种软件是非常成熟的。只是有两个问题:一个是密钥容易在活动目录中找到,这是软件设计之初就预留的“后门”,其安全性本身就值得怀疑。另外一个问题是:Vista BitLocker的启动流程是:开电源——身份认证——进入操作系统——启动Vista BitLocker。这个流程存在的问题在于第二个环节身份认证。一般来说,电脑的身份认证系统都是很容易被破解的。由于存在这个环节,所以Vista BitLocker虽然能对数据加密,但是一旦身份认证被破解,后面的数据加密也容易被破解。还有一个看起来不是问题的问题,Windows Vista BitLocker本身是微软开发,自然不会支持Windows之外的其他操作系统。


    费用:不是免费,具体费用含在Vista终极版和Vista企业版内。


    2.免费开源的FDE软件


    目前市面上免费开源的FDE有TrueCrypt 、FreeOTFE 3.00、7-Zip。以下分别简单介绍这三种FDE软件。


    1)TrueCrypt 5.1a


    TrueCrypt 5.1a能对整个磁盘加密,也可进行虚拟卷加密。该软件除了免费和开源外,还有程序编写巧妙,易用性高,还有丰富的数据保护功能;没有明显的卷头、所需文件扩展名或者其他识别标记;唯一的例外就是加密的引导卷,引导卷里面有TrueCrypt引导装入程序。TrueCrypt还包括了所谓的“似是而非的否认”(plausible deniability)特性,能够把一个卷隐藏在另一个卷里面。隐藏卷有自己的密码,没有办法确定某个TrueCrypt卷里面是不是隐藏了另一个卷。如果用户在使用系统磁盘加密,实际的加密过程需要一段时间,不过这个过程可以暂停,需要时恢复加密(你可能在晚上需要对上锁房间里面的PC进行这种操作)。TrueCrypt要求用户创建急救光盘。


    2)FreeOTFE 3.00


    FreeOTFE(OTFE的意思是“实时加密”)在许多方面与TrueCrypt很相似——它提供了许多同样的特性,只是实施时有些地方略有不同;它还有一个版本使用条件非常宽松的软件许可证。由于FreeOTFE的功能特点与TrueCrypt基本相似,所以也不作详述。


    3)7-Zip 


    7-Zip只是临时应急的方法,用来创建经过加密、密码保护的存档, 7-Zip也能创建自解压存档,所以接收方不需要有7-Zip——只要你们事先约定好,任何密码都可以。不过,它本身并不支持任何一种双因子验证。为了提高安全性,创建存档时,一定要选择“加密文件名”选项。


    前两种(TrueCrypt 5.1a和FreeOTFE 3.00)的安全性和稳定性稍强于7-Zip。喜欢开源免费软件的用户可能倾向于采用前两种FDE软件。不过,经过本人测试,由于是免费软件,其稳定性和安全性这两个最重要的指标,并不能让用户放心。对企业级用户来说,大量的核心资料,一旦被这种免费软件套牢,很可能招来严重的后果。如果企业所有重要信息被一套免费软件“销毁”,那对IT部门的主管人员来说,将会是一个极为悲惨的消息。


    3.企业级FDE软件


    1)DriveCrypt

     

    SecureStar公司的DriveCrypt其主要功能类似TrueCrypt和FreeOTFE。至于比较先进的功能,比如整个磁盘加密,需要添加DriveCrypt PlusPack(185美元)。

     

    标准版DriveCrypt可以在文件或者分区中创建虚拟加密磁盘。在一段时间没有使用后,系统自动锁住磁盘,还能在磁盘里面创建隐藏磁盘。它具有免费产品没有的一些功能,包括能够对现有加密磁盘随意调整容量大小以及管理员密钥代管服务(不过后者在TrueCrypt和FreeOTFE中也能实现,只需手动备份卷头)。可以创建“DKF访问文件”,该文件允许第三方不需要卷密码,就可以访问加密卷。DKF密钥可以附加各种限制——它可以使用自己的密码(与你自有磁盘上的密码无关)、X天后到期失效,或者只能在某个时间段有效。这样,就有可能为访问加密驱动器提供一定的控制权。


    费用:每个用户59.95欧元(88.73美元)


    2)Dekart Private Disk


    Dekart Private Disk功能类似于其他加密程序,用户可以创建虚拟加密卷、备份加密磁盘的卷头、根据用户活动来控制磁盘的安装及卸载,等等。惟一真正重要、而其他产品没有的特性就是“磁盘防火墙”(Disk Firewall),你可以用来授予或拒绝某些程序访问加密卷。


    Private Disk在开发当 “恢复选项”(recovery option),它试图通过对密码实施蛮力(brute-force attack)攻击来确定私密磁盘的密码。这带来巨大的安全隐患,很可能成为破解者一个撬锁的工具。


    费用:每个用户45美元


    3)PGP Desktop专业版


    PGP Desktop提供了一整套加密工具,能完美地与Windows系统集成。该程序的主界面有五个基本部分:密钥管理、邮件、压缩、磁盘管理和网络共享(NetShare)。


    PGP Desktop的个性功能在于邮件管理部分,控制着如何处理电子邮件。在默认状态下,PGP Desktop能够对标准的SMTP/POP电子邮件、Exchange/MAPI邮件以及Lotus Notes邮件进行加密。PGP Zip选项卡让你可以创建加密存档,这些存档可以在另一头用PGP来解压,或者封装成自解压存档。PGP Disk是套件中的整个磁盘或者虚拟卷加密解决方案。如果使用了整个磁盘加密,可以在加密过程中选择几个选项:最大CPU占用率,目的是节省时间;电源故障安全选项,以便加密过程中万一出现断电,防止系统受到破坏。


    加密磁盘可以使用TPM硬件(如果你有这种硬件)或者USB闪存盘来存储密钥文件,也可以两者结合使用。PGP Disk另外有一个出色的特性:数据粉碎工具,类似自由软件Eraser产品。它可以清除文件,也可以只清除现有磁盘上的空余空间。网络共享特性让你可以共享便携式驱动器或者网络连接驱动器上的加密文件。所有解密在用户端进行,所以任何敏感信息绝对不会以明文格式传送,也用不着在文件服务器上安装特殊软件。网络共享还能与活动目录集成,以便对谁可以访问哪些信息实行细粒度管理。还可以对指定受保护文件夹外面的单个文件进行加密。PGP Desktop还可以由企业环境下的PGP中央服务器程序(PGP Universal)来管理。


    费用:每个用户199美元


    4)Pointsec


    Checkpoint花费5.8亿美元收购Protect Data公司所获得了终端和移动设备数据安全产品Pointsec,其实在此之前已在全球得到应用。Pointsec与下文介绍的Safeboot是知名度最高的FDE产品,个人用户可以采用单机版,企业用户可以采用C/S架构的企业版。其解决方案已经被全球的公司、政府所验证。适用于PC、笔记本电脑、移动设备等多种磁盘加密,而且支持多种操作系统。具有预引导的一次性全盘加密功能,集中策略管理和关键恢复和远程协助功能,强加密和单点登录功能等都为用户熟知。


    费用:单机版每点120美元左右。


    5)Safeboot


    虽然Safeboot已经被麦咖啡公司收购,集成到麦咖啡的数据泄露防护(DLP)系统中,但是本人还是比较喜欢Safeboot这个名字。这并不是因为本人有怀旧情结,而是因为Safeboot本身的含义比较有意思:从源头上保证安全。


    Safeboot与Pointsec在功能,价格等多方面类似,故不赘述。


    四、国内能够采用的最佳FDE产品——DiskSec


    个人用户看到有这么多FDE软件可供任意选择,一定会心花怒放。但是政府、军队和企事业单位,一定会感到非常遗憾。因为,这些产品在中国根本不能用。


    国家法律规定,凡涉及到商用密码的软件产品,都必须由具备国家商用密码生产定点单位资格和国家商用密码销售许可单位资格的企业生产和销售。而且,还必须具备国家保密局、军队和公安部的相关销售资质才可以在国内销售。信息安全软件产品,关系到国家机密、军事机密和商业机密的保护,外国加密软件不得在中国政府、军队和企事业单位使用。虽然介绍了这么多FDE软件,但是政府、军队和企事业单位用户,只能从技术、功能上参考对照一下,不能采购和使用。



    五、总结


    BitLocker可通过活动目录来进行集中管理。个人用户可能会试一试TrueCrypt(或者功能最接近于它的FreeOTFE)。PGP Desktop添加其他许多工具,对不仅需要加密磁盘上的内容、还希望加密电子邮件和即时消息的用户来说,这是个不错的选择。而DriveCrypt也有一些可能有用的隐匿和访问管理功能。7-Zip是创建经过加密、密码保护的存档的一种简单方法。遗憾的是,Dekart Private Disk很难称得上是专业的加密解决方案,因为它可能导致蛮力攻击。国外的企业级用户一般会采用Pointsec和Safeboot。至于本例当中作者使用的是哪种加密技术小编就不得而知了,毕竟时隔一年多了,有能力可以解密估计也为时已晚。


    欢迎读者留言说出你的看法!!


    本文由存储社区www.storage.top提供(如有侵权,请联系作者删除)

    原文参考于:

    1.  https://blog.csdn.net/xCnhYKoHj3eK/article/details/81741068

    2. http://blog.nsfocus.net/dynamic-encryption-technology-review/


    扩展阅读

    内存内计算,下一代计算的新范式?

    “离婚了”,15 亿美元分手费,美光获“IMFT”抚养权

    Gartner:2018年全球半导体市场收入总额4767亿美元

    CES2019大会上不容错过的SSD新品

    2019全年闪存价格预计下滑50%,中国存储雪上加霜

    必看的全球存储行业合并趋势

    2018年企业固态硬盘和闪存TOP 10

    从全球超算大会看高性能应用的固态存储

    全盘加密的固态硬盘SSD竟然被秒破 (附论文)


    给TA打赏
    共{{data.count}}人
    人已打赏

    相关文章

    到 2026 年,中国将消耗 21% 的国内芯片产量

    到 2026 年,中国将消耗 21% 的国内芯片产量

    IC Insights报道称,中国距离半导体自给自足还有很长的路要走。虽然到 2026 年中国的芯片产量将占其国内 IC 市场的 21.2%,但三星、SK 海力士和台积电等外国公司预计将在此期间占中国 IC 产量的 50% 以上。 中国政府在“十四五”规划中将发展半导体产业列为国家优先事项,并计划到 2025 年将 70% 的芯片在中国制造。 IC Insights 将中国的 IC 市场与中国本土的 IC 生产区分开来。尽管中国自 2005 年以来一直是世界上最大的芯片消费国,但这并不一定意味着中国的 IC 产量会

    芯片光刻领导者ASML在中国扩展业务,销售额增长至34%

    芯片光刻领导者ASML在中国扩展业务,销售额增长至34%

    据中国新闻媒体澎湃新闻报道,荷兰芯片光刻领导者ASML周一表示,其在中国的所有项目都在按计划进行,并计划今年招聘200多名员工以扩大市场业务。 在美国千方百计阻止ASML将其最尖端的光刻系统运往中国的背景下,该公司加大对市场的投资充分表明,无论美国多么不愿看到,全球巨头在像 ASML 这样的半导体行业正在中国这个全球最大的半导体消费国进行业务扩张。 生意就是生意。从投资回报率来看,ASML在中国拓展业务是完全合理的选择。据媒体报道,今年第一季度,ASML 在中国大陆的销售额占其光刻系统总销售额的 34%。 中美确实

    英特尔进军比特币挖矿设备市场

    英特尔进军比特币挖矿设备市场

    本文由半导体产业纵横综合   英特尔总部位于加利福尼亚州圣克拉拉   英特尔公司的新比特币挖矿芯片可能会成为多年来主导市场的中国挖矿设备制造商的第一个主要挑战者。   这家总部位于加利福尼亚州圣克拉拉的芯片制造巨头本月早些时候公布了其加密挖矿计划,并于1月份推出了第一代Bonanza Mine芯片。Jack Dorsey 的数字支付公司Block Inc.以及两家矿业公司Griid Infrastructure 和Argo Blockchain将在今年晚些时候收到第一批芯片。 &nbs

    浅谈铁电存储器:如何实现下一代内存计算?

    浅谈铁电存储器:如何实现下一代内存计算?

    本文由半导体产业纵横编译自technews 因应人工智能、物联网、5G、车载等新兴科技所迎来的巨量资讯分析需求,近年来各国政府及国际知名大厂皆积极地投注大量资源,加速开发兼具提升运算速度以及降低耗能的下世代存储器。而新兴存储器技术选项中,当属铁电存储器最被看好,其原理、技术挑战与未来机会为何?(本文出自中国台湾清华大学工程与系统科学系巫勇贤教授,于闳康科技“科技新航道合作专栏”介绍《铁电存储器的原理、挑战与展望》文稿,经科技新报修编为上下两篇,此篇为上篇。)    Memory-Centric
    企业存储后端开发

    长江存储的 3D NAND将成为中国制造2025的试金石

    2019-1-22 5:21:41

    企业存储后端开发

    首款UFS3.0产品:96层 3D NAND,速度高达2.9GB/S

    2019-1-24 4:41:59

    0 条回复 A文章作者 M管理员
      暂无讨论,说说你的看法吧
    个人中心
    购物车
    优惠劵
    今日签到
    有新私信 私信列表
    搜索