WindowsVista帶來驚喜:加密服務(wù)

字號:

如果沒有加密技術(shù),安全技術(shù)就無從談起。當(dāng)然,自從微軟1987年發(fā)布了OS/2 1.0以來,這個軟件業(yè)的巨人推出的每一款操作系統(tǒng)(除了MS-DOS以外)都采用了某種形式的加密技術(shù)。但多年以來,微軟內(nèi)嵌在其操作系統(tǒng)中的加密加密技術(shù)的種類以及它們的工作方式都在發(fā)生變化。下面就簡要介紹一下微軟新一代操作系統(tǒng)Windows Vista 中新增的幾個加密功能。
    Windows Vista中包含新的加密服務(wù)
    每一個軟件供應(yīng)商在軟件開發(fā)過程中都要面臨這樣一個決策:是嘗試創(chuàng)建自己的加密算法還是使用標(biāo)準(zhǔn)的加密算法。乍看之下,對于一個軟件供應(yīng)商來說,還是自己編寫加密算法并且對于它的內(nèi)部運行機制嚴(yán)格保密。但是,安全領(lǐng)域的權(quán)威專家Bruce Schneier卻不這么認(rèn)為,Schneier指出,不要使用那些自己編寫的加密算法,因為這些算法只是被少數(shù)業(yè)內(nèi)人員研究和交叉檢查,可靠性和正確性都沒有保障,相反,使用那些被無數(shù)數(shù)學(xué)家檢驗過的標(biāo)準(zhǔn)加密算法。Schneier在他的書中還拿微軟作例子,聲稱每次微軟創(chuàng)造了一個專有的加密算法,短短的幾個月后該算法就被*了。
    我不知道這種情況是否一直發(fā)生,但可以肯定地是,它發(fā)生的次數(shù)已經(jīng)很頻繁了。也許這 就是為什么微軟越來越多的使用標(biāo)準(zhǔn)加密算法的原因。目前,兩個最常用的加密算法是安全散列算法(Secure Hashing Algorithm 、SHA)和高級加密系統(tǒng)(Advanced Encryption System ,AES)。這兩種加密技術(shù)都是在美國政府的標(biāo)準(zhǔn)和技術(shù)國家研究所(NIST)的支持下開發(fā)出來的,目的就是提供一套深思熟慮的散列和加密的算法。AES在加密社區(qū)中反映良好,不過SHA卻在一些特殊的情況下被成功*了。SHA最新的版本---SHA-2到目前為止還沒有被成功*的報道。
    Windows XP SP1以后的任何XP操作系統(tǒng)以及Windows Sever 2003的任何版本中都采用了AES技術(shù),不過使用很有限。據(jù)我所知,Windows XP只在加密文件系統(tǒng)EFS(Encrypting File System )中使用了AES。而對于Vista,微軟表示,它的IPsec功能使用了AES加密。坦白地說,這不是什么驚天動地的大事,雖然先前只采用Triple DES數(shù)據(jù)加密標(biāo)準(zhǔn),而*這個加密算法也是不太實際的,但在IPsec中使用AES也算是提前了一步。把SHA-2j加入到IPSec中也是一個不錯的想法,但我要指出的是,微軟的組策略接口Group Policy interface并沒有包含這兩者的選項。不過,,我可以證實,另一個Windows技術(shù),BitLocker Full Volume Encryption確實使用了128位和256位的AES加密。
    對分頁加密
    在Vista中,用戶可以對分頁進行加密,不過,這只對于妄想狂來說是個好消息。而我建議用戶不要使用這個功能。因為每次在你啟動計算機的時候,要解密1GB的分頁需要一小時或更長的時間。
    為每個用戶的脫機文件夾加密
    脫機文件Offline Files是一項偉大的技術(shù),它可讓用戶從經(jīng)常使用的本地共享文件中緩存數(shù)據(jù)。這項技術(shù)最早出現(xiàn)在Windows 2000中,雖然它并不適合每一個人,但有很多人喜歡它。但是,Offline Files的工作細(xì)節(jié)被公布以后,用戶很快就意識到這項技術(shù)有一個安全漏洞。進一步來說,在Windows 2000中,所有的緩存文件被存放在一個能被任何用戶輕而易舉就能查看的目錄中。因此,如果我與你共享一臺計算機,而你使用了Offline Files,那么我也可以瀏覽存放緩存文件的文件夾---使用同一臺機器的所有用戶共享同一個文件夾-這未必是件好事。
    而在Windows XP中,微軟也對存放緩存脫機文件數(shù)據(jù)的文件夾進行加密。但是這一加密過程被作為運行在為LocalSystem帳戶中的一個服務(wù),這意味著每一個運行在LocalSystem賬戶上的用戶很容易地就能使用EFS脫機文件數(shù)據(jù)加密密鑰。不幸地是,用戶很容易就能使用LocalSystem賬戶登陸系統(tǒng)---只需使用at.exe調(diào)度程序啟動了一個命令提示界面,由于調(diào)度程序默認(rèn)是在LocalSystem賬戶上運行的,那么你完全可以在命令提示界面進行文件操作,因而,進入Offline Files并查看共享這臺計算機的用戶所使用的脫機文件變得相當(dāng)容易。
    而Vista對此進行了改進,主要包括兩個方面。首先,每個用戶的緩存文件都使用自己的密鑰而不是LocalSystem的EFS密鑰進行緩存。第二,即使微軟沒有作出上述改變,在Vista中,要使用LocalSystem賬戶進行登陸也是相當(dāng)困難的。過去操作系統(tǒng)中使用的登陸LocalSystem賬戶的伎倆在Vista中都不再生效了。