WindowsVista帶來(lái)驚喜：加密服務(wù)

如果沒(méi)有加密技術(shù)，安全技術(shù)就無(wú)從談起。當(dāng)然，自從微軟1987年發(fā)布了OS/2 1.0以來(lái)，這個(gè)軟件業(yè)的巨人推出的每一款操作系統(tǒng)(除了MS-DOS以外)都采用了某種形式的加密技術(shù)。但多年以來(lái)，微軟內(nèi)嵌在其操作系統(tǒng)中的加密加密技術(shù)的種類(lèi)以及它們的工作方式都在發(fā)生變化。下面就簡(jiǎn)要介紹一下微軟新一代操作系統(tǒng)Windows Vista 中新增的幾個(gè)加密功能。
    Windows Vista中包含新的加密服務(wù)
    每一個(gè)軟件供應(yīng)商在軟件開(kāi)發(fā)過(guò)程中都要面臨這樣一個(gè)決策：是嘗試創(chuàng)建自己的加密算法還是使用標(biāo)準(zhǔn)的加密算法。乍看之下，對(duì)于一個(gè)軟件供應(yīng)商來(lái)說(shuō)，還是自己編寫(xiě)加密算法并且對(duì)于它的內(nèi)部運(yùn)行機(jī)制嚴(yán)格保密。但是，安全領(lǐng)域的權(quán)威專(zhuān)家Bruce Schneier卻不這么認(rèn)為，Schneier指出，不要使用那些自己編寫(xiě)的加密算法，因?yàn)檫@些算法只是被少數(shù)業(yè)內(nèi)人員研究和交叉檢查，可靠性和正確性都沒(méi)有保障，相反，使用那些被無(wú)數(shù)數(shù)學(xué)家檢驗(yàn)過(guò)的標(biāo)準(zhǔn)加密算法。Schneier在他的書(shū)中還拿微軟作例子，聲稱(chēng)每次微軟創(chuàng)造了一個(gè)專(zhuān)有的加密算法，短短的幾個(gè)月后該算法就被*了。
    我不知道這種情況是否一直發(fā)生，但可以肯定地是，它發(fā)生的次數(shù)已經(jīng)很頻繁了。也許這 就是為什么微軟越來(lái)越多的使用標(biāo)準(zhǔn)加密算法的原因。目前，兩個(gè)最常用的加密算法是安全散列算法(Secure Hashing Algorithm 、SHA)和高級(jí)加密系統(tǒng)(Advanced Encryption System ，AES)。這兩種加密技術(shù)都是在美國(guó)政府的標(biāo)準(zhǔn)和技術(shù)國(guó)家研究所(NIST)的支持下開(kāi)發(fā)出來(lái)的，目的就是提供一套深思熟慮的散列和加密的算法。AES在加密社區(qū)中反映良好，不過(guò)SHA卻在一些特殊的情況下被成功*了。SHA最新的版本---SHA-2到目前為止還沒(méi)有被成功*的報(bào)道。
    Windows XP SP1以后的任何XP操作系統(tǒng)以及Windows Sever 2003的任何版本中都采用了AES技術(shù)，不過(guò)使用很有限。據(jù)我所知，Windows XP只在加密文件系統(tǒng)EFS(Encrypting File System )中使用了AES。而對(duì)于Vista，微軟表示，它的IPsec功能使用了AES加密。坦白地說(shuō)，這不是什么驚天動(dòng)地的大事，雖然先前只采用Triple DES數(shù)據(jù)加密標(biāo)準(zhǔn)，而*這個(gè)加密算法也是不太實(shí)際的，但在IPsec中使用AES也算是提前了一步。把SHA-2j加入到IPSec中也是一個(gè)不錯(cuò)的想法，但我要指出的是，微軟的組策略接口Group Policy interface并沒(méi)有包含這兩者的選項(xiàng)。不過(guò)，，我可以證實(shí)，另一個(gè)Windows技術(shù)，BitLocker Full Volume Encryption確實(shí)使用了128位和256位的AES加密。
    對(duì)分頁(yè)加密
    在Vista中，用戶(hù)可以對(duì)分頁(yè)進(jìn)行加密，不過(guò)，這只對(duì)于妄想狂來(lái)說(shuō)是個(gè)好消息。而我建議用戶(hù)不要使用這個(gè)功能。因?yàn)槊看卧谀銌?dòng)計(jì)算機(jī)的時(shí)候，要解密1GB的分頁(yè)需要一小時(shí)或更長(zhǎng)的時(shí)間。
    為每個(gè)用戶(hù)的脫機(jī)文件夾加密
    脫機(jī)文件Offline Files是一項(xiàng)偉大的技術(shù)，它可讓用戶(hù)從經(jīng)常使用的本地共享文件中緩存數(shù)據(jù)。這項(xiàng)技術(shù)最早出現(xiàn)在Windows 2000中，雖然它并不適合每一個(gè)人，但有很多人喜歡它。但是，Offline Files的工作細(xì)節(jié)被公布以后，用戶(hù)很快就意識(shí)到這項(xiàng)技術(shù)有一個(gè)安全漏洞。進(jìn)一步來(lái)說(shuō)，在Windows 2000中，所有的緩存文件被存放在一個(gè)能被任何用戶(hù)輕而易舉就能查看的目錄中。因此，如果我與你共享一臺(tái)計(jì)算機(jī)，而你使用了Offline Files，那么我也可以瀏覽存放緩存文件的文件夾---使用同一臺(tái)機(jī)器的所有用戶(hù)共享同一個(gè)文件夾-這未必是件好事。
    而在Windows XP中，微軟也對(duì)存放緩存脫機(jī)文件數(shù)據(jù)的文件夾進(jìn)行加密。但是這一加密過(guò)程被作為運(yùn)行在為L(zhǎng)ocalSystem帳戶(hù)中的一個(gè)服務(wù)，這意味著每一個(gè)運(yùn)行在LocalSystem賬戶(hù)上的用戶(hù)很容易地就能使用EFS脫機(jī)文件數(shù)據(jù)加密密鑰。不幸地是，用戶(hù)很容易就能使用LocalSystem賬戶(hù)登陸系統(tǒng)---只需使用at.exe調(diào)度程序啟動(dòng)了一個(gè)命令提示界面，由于調(diào)度程序默認(rèn)是在LocalSystem賬戶(hù)上運(yùn)行的，那么你完全可以在命令提示界面進(jìn)行文件操作，因而，進(jìn)入Offline Files并查看共享這臺(tái)計(jì)算機(jī)的用戶(hù)所使用的脫機(jī)文件變得相當(dāng)容易。
    而Vista對(duì)此進(jìn)行了改進(jìn)，主要包括兩個(gè)方面。首先，每個(gè)用戶(hù)的緩存文件都使用自己的密鑰而不是LocalSystem的EFS密鑰進(jìn)行緩存。第二，即使微軟沒(méi)有作出上述改變，在Vista中，要使用LocalSystem賬戶(hù)進(jìn)行登陸也是相當(dāng)困難的。過(guò)去操作系統(tǒng)中使用的登陸LocalSystem賬戶(hù)的伎倆在Vista中都不再生效了。