安全開機,充分保護硬碟資料的新技術
**作者:**賴榮樞
http://www.goodman-lai.idv.tw
還記得前一陣子,名模手機中的私密照片外洩事件嗎?如果您的筆記型電腦存放了機密或私人資料檔案,一定非常不願意發生類似的檔案外洩事件。根據統計,電腦失竊的案件數量相當高,而對許多使用者來說,因為電腦被偷而造成的嚴重損失,往往不是電腦本身的價值,而是硬碟裡重要的資料可能已經外流;如果機密資料流到競爭者手上,那更是大麻煩。
本頁內容
安全開機功能概述
安全開機的軟硬體要求
可信賴平台模組
使用安全開機
安全開機的優點
評估安全開機
參考資料
安全開機功能概述
為了防止上述情事發生,微軟準備將發展多時的『安全開機』(Secure Startup)功能,加入新一代的 Windows 作業系統 Longhorn,這將能充分保護硬碟裡的所有資料。安全開機是一種同時整合了軟硬體技術的資料防護功能,使用了『可信賴平台模組』(Trusted Platform Module,TPM)1.2 的技術,而且不論是筆記型電腦或桌上型電腦,安全開機都可以保護硬碟裡的所有檔案。
.gif "圖 1:安全開機的架構圖(來源:微軟)")
圖 1:安全開機的架構圖(來源:微軟)
可信賴平台模組將會實作成內建於電腦主機板的微晶片,除了可以更安全的方式儲存金鑰、密碼和數位憑證等資料,有效防止外部軟體侵入竊取這些重要的機密資料,也可以配合軟體,發揮保護硬碟資料的功效。此外,安全開機會對 Longhorn 系統內所有的磁碟區(volume)進行加密處理,防止攻擊者以侵入 Windows 系統的方式存取電腦裡的資料;如果電腦遭竊,安全開機就能防止硬碟裡的資料外洩。安全開機並不會影響合法使用者操作電腦內的檔案,並且易於 IT 人員部署與管理。
為了防止攻擊者在不進入 Windows 的情況下(例如將硬碟換裝到別部電腦),利用復原工具或駭客工具侵入磁碟取得檔案,安全開機將以確保系統開機完整性的方式,使用者都必須經過完整而正確的開機程序,並且搭配存放在可信賴平台模組晶片中的金鑰、密碼、數位憑證,才能存取硬碟裡的檔案;如果開機的過程不完整、不正確,或者硬碟內受保護的檔案遭到更改,都將無法啟動 Longhorn 作業系統,也就無法使用硬碟裡的檔案。
也因為安全開機會對 Longhorn 系統內所有的磁碟區(volume)進行加密處理(對稱加密金鑰是存放在可信賴平台模組晶片裡),因此磁碟區裡的所有檔案都會被加密,包括使用者的資料檔案、使用者所安裝的應用程式檔案、Longhorn 的系統檔案,甚至 Longhorn 系統的休眠檔案、分頁檔案、暫存檔案、當機所產生的記憶體傾印檔案也都會被保護。
此外,安全開機還具備了資料快速銷毀功能,只要刪除可信賴平台模組晶片裡的金鑰,就會無法存取安全開機加密磁碟區裡的檔案。這項功能可以用來快速刪除資料,也等於是以寧為玉碎不為瓦全的方式,防止資料落入敵方陣營手中(反之,使用者也必須小心謹慎保存金鑰)。
雖然微軟的 NTFS 檔案系統原本就提供了資料加密的功能,而安全開機也提供了資料加密功能,但是安全開機並非是要取代 NTFS 檔案系統的加密功能,這兩項加密功能反而會相輔相成:NTFS 檔案系統的加密功能是針對特定檔案或資料夾提供加密保護,而安全開機是對 Longhorn 系統的磁碟區進行加密保護。
安全開機的軟硬體要求
安全開機是內建於 Longhorn 的功能,而微軟預計將從 Longhorn beta 1開始提供安全開機的功能。至於硬體方面的要求,如前所述,安全開機採用了『可信賴平台模組』(Trusted Platform Module,TPM)1.2 的技術,而可信賴平台模組則會實作成內建於主機板的硬體晶片。這使得電腦廠商必須調整目前主機板、BIOS 韌體,以生產與可信賴平台模組相容的主機板或電腦,才能與 Longhorn 作業系統的安全開機技術相互配合。
其次,安全開機除了要求 Longhorn 系統的分割區必須使用 NTFS,也要求硬碟的 MBR(Master Boot Record)必須由 Longhorn 更新到適當的版本,才能與可信賴平台模組相容的 BIOS 韌體搭配,並啟動 Longhorn 系統。此外,電腦也必須具備可信賴平台模組專用的系統分割區:
如果是使用傳統 BIOS(且支援可信賴平台模組)的電腦,這個系統分割區必須格式化成 NTFS,分割區裡面會有 Longhorn 所提供的可信賴平台模組專用啟動磁區,讓 MBR 在開機時啟動。
微軟也和 BIOS、主機板廠商共同制訂了『延伸韌體介面』(Extensible Firmware Interface)規格,可以取代傳統的 BIOS;採用這種新式 BIOS 的電腦,硬碟就會內建『延伸韌體介面系統分割區』。
上述兩種系統分割區的大小約略 50 MB,是以不加密的方式存放可信賴平台模組開機管理程式。
可信賴平台模組
安全開機的技術是根據可信賴平台模組而來,而可信賴平台模組則是由『信賴運算組織』(Trusted Computing Group)所制訂,這個組織的主要成員包括了微軟、新力、昇陽、IBM、惠普、超微、英特爾等資訊業界大廠。信賴運算組織是個以發展、推廣信賴運算和安全技術的非營利組織。『信賴運算平台聯盟』(Trusted Computing Platform Alliance)是信賴運算組織的前身,在 2003 年四月改組成信賴運算組織。
而微軟早在 1998 年的時候,也啟動了一項稱為 Palladium 的專案計畫(Palladium 名稱的由來是取自希臘神話當中,保護文明的智慧女神),目的就是要加強 Windows 系統的安全防禦能力。這項計畫在 2003 年演變成『次世代安全運算基礎』(Next-Generation Secure Computing Base),計畫的內容是與 Windows 相關的安全新技術,並且會成為新世代 Longhorn 的一部份,而 Longhorn 的安全開機功能,就是『次世代安全運算基礎』的具體成果。
雖然目前已經有廠商推出了內建可信賴平台模組晶片的筆記型電腦,但由於缺乏作業系統層級的直接支援,因此大多只能對特定的檔案或資料夾進行加密保護,少數筆記型電腦則以虛擬分割區加密保護檔案。
.gif "圖 2:可信賴平台模組架構圖(來源:微軟)")
圖 2:可信賴平台模組架構圖(來源:微軟)
使用安全開機
安全開機的相關設定是透過 Longhorn 的『Windows 安全中心』,而且必須具備本機管理者權限的使用者才能進行包括啟用和關閉在內的相關設定。此外,Windows 安全中心也會列出系統使用安全開機功能的相關訊息,包括支援安全開機功能的應用程式,以及檔案加密或解密的相關資訊。
IT 人員也可以透過事先設定好的作業系統映象檔,來啟用大量 Longhorn 用戶端的安全開機功能。啟用安全開機之後,系統會在重新開機之後,開始加密磁碟區裡的檔案,而使用者可以隨時暫停或繼續檔案加密的動作。
當使用者啟用安全開機之後,必須隨即選擇復原系統的方法,以備系統能夠因為可信賴平台模組硬體故障,或無法通過開機完整性檢查之類的狀況,而導致系統無法開機的時候,能夠開機進入系統。使用者可以將復原所需的資料,存放在卸除式媒體(包括記憶卡或 USB Flash 裝置),或者是以密碼來復原系統。這些復原用的資料和密碼也可以儲存在 AD,IT 人員應該妥善管理、管制這些復原系統用的資料、卸除式媒體或密碼。
.gif "圖 3:安全開機還原示意圖(來源:微軟)")
圖 3:安全開機還原示意圖(來源:微軟)
具備本機管理者權限的使用者可以關閉 Longhorn 系統的安全開機功能,並且可以選擇保持加密,或者進行解密。不稐哪一種,都會關閉可信賴平台模組晶片執行安全開機的功能,但如果選擇保持加密,使用者可以選擇要將原本存放在晶片的加密金鑰改存到磁片或硬碟,並且要選擇系統開機的認證方式。如果使用者關閉安全開機功能,並且選擇解密,就會完全移除安全開機和檔案加密的保護。
安全開機的優點
Longhorn 安全開機最大的優點當然就是提高系統的安全性;以下是安全開機所有優點的總結。
易於部署:IT 人員可以使用現成的工具來部署和管理 Longhorn 的安全開機功能。
易於使用:根據經驗,太過於影響使用者的資安措施,往往都無法收到成效,因為都被使用者以「上有政策、下有對策」的方式蒙混過去。而安全開機在啟用之後,並不會影響一般使用者日常的電腦操作,甚至不需要對使用者進行相關的教育訓練。
易於復原:復原系統所需的資料,可以存放在卸除式媒體(包括記憶卡或 USB Flash 裝置),或者是以密碼來復原系統。所有復原用的資料和密碼也可以儲存在 Active Directory,只要 IT 人員妥善管理、管制這些復原系統用的資料,就能很快速的復原系統。
易於銷毀資料:只要刪除可信賴平台模組晶片裡的金鑰,就會無法存取安全開機加密磁碟區裡的檔案,這項功能可以用來快速刪除敏感性機密資料。
全磁碟區的加密保護:安全開機會對 Longhorn 系統的磁碟區進行加密處理,因此磁碟區裡的所有檔案都會被加密,包括使用者的資料檔案、使用者所安裝的應用程式檔案、Longhorn 的系統檔案,甚至 Longhorn 系統的休眠檔案、分頁檔案、暫存檔案、當機所產生的記憶體傾印檔案也都會被保護。
整合硬體防護:安全開機整合了軟硬體技術的資料防護功能,使用了『可信賴平台模組』(Trusted Platform Module,TPM)1.2 的硬體技術,以更安全的方式儲存加密的對稱金鑰、密碼和數位憑證等資料。
檢查開機完整性:為了防止攻擊者在不進入 Windows 的情況下(例如將硬碟換裝到別部電腦),利用復原工具或駭客工具侵入磁碟取得檔案,安全開機將以確保系統開機完整性的方式,使用者都必須經過完整而正確的開機程序,並且搭配存放在可信賴平台模組晶片中的金鑰、密碼、數位憑證,才能完成開機、進入 Longhorn 系統。如果開機的過程不完整、不正確,或者硬碟內受保護的檔案遭到更改,都將無法啟動 Longhorn 作業系統,也就無法使用硬碟裡的檔案。
評估安全開機
根據可信賴平台模組技術所實作的安全開機,的確能提供優於目前 Windows 系統的資安防禦能力,但是安全開機也有其特定防禦目的,而非資安萬靈丹。安全開機的主要目的包括:
確保 Longhorn 電腦系統的開機完整性。如果開機完整性有問題,很可能是因為系統遭入侵而更改了系統檔案,所以就以拒絕進入系統來延緩再次入侵或警示使用者。
為了防止攻擊者在不進入 Windows 的情況下侵入磁碟取得檔案,安全開機會加密磁碟區裡的檔案,並將金鑰存放在可信賴平台模組晶片。如果電腦沒有正常啟動,或者沒有使用相同的金鑰,就無法存取磁碟裡的檔案。
『安全開機』顧名思義是確保開機過程的正確與安全,因此成功開機並能正常登入 Longhorn 之後的系統安全(例如透過網路侵入系統),就不在安全開機負責的範圍。此外,安全開機也無法阻擋合法使用者的非法越矩行為。
其實可信賴平台模組(包括其前身)技術及硬體晶片早在 2000 年左右就已經推出,目前甚至有幾款筆記型電腦是以可信賴平台模組晶片搭配指紋辨識裝置,以指紋取代密碼。現在微軟已經決定讓 Longhorn 內建能與可信賴平台模組完全搭配的安全開機,就能完全發揮可信賴平台模組硬體的功能。
不同的使用者在面對電腦遺失或資料遺失的時候,會有不同的擔憂:如果擔憂的是該如何重建遺失的資料,應該從資料備份著手;如果擔憂敏感的機密資料外流,安全開機就是最好的解決之道。