|
安全芯片的优势
1. 硬件级的密钥保护
安全芯片对数据文件的加密是一个非常复杂的过程,它具有软件加密方法无法达到的安全性。简单来说,它将密钥保存在芯片内部,加密后的文件比传统软件加密更加可靠。在对数据的解密的过程中,芯片存储的密钥是解密的唯一入口,没有密钥无法还原成明文,安全芯片将密钥保存在自己的寄存器中,独立于计算机的传统存储系统(如硬盘),这样传统的攻击方法难以窃取密钥。由于密钥存储在硬件芯片中,加密后的数据只能在本机解密查看,复制到其他机器上便成为一堆乱码。
2.惟一的身份标识
安全芯片中存有代表该芯片的身份识别号,每块安全芯片的身份识别号是唯一的,这样安全PC就相当于有了“身份证”,可以以此来验证自己的身份,这一特性将增强在电子商务、网上交易过程中可信度,防止不法用户假借户主身份进行非法交易,普通PC在这方面比较薄弱。
3.完整性度量
安全芯片具备系统完整性测量的能力,即事先采用Hash算法对完整、安全状态下的硬件和软件环境进行一次特征运算,并保存这个值,下次当PC检测到系统因遭受破坏而计算所得的特征值不一致时,会给出警告。在软件方面可以利用这个特性开发出各种应用,如自动系统恢复,当操作系统核心文件被更改或删除时,进行自动修复,这样可以保证PC系统始终处于健康的、完整的状态。
图4:你的文件经安全芯片加密后将非常保险,图为安全芯片加解密工作的简要示意图(安全芯片参与了运算和密钥管理
安全芯片的应用
TPM安全芯片提供统一规范的编程接口,但最终功能的实现依赖软件完成,可以认为在安全功能的开发上,各个厂商可以根据不同的需要,能开发出不同的安全软件。我们试用的5款产品中,TPM安全芯片和安全软件来自多个厂商,从应用角度来看,各家的安全软件各有特色,比如兆日的软件倾向于通用性和独立性,安全功能之间是独立的、分离的,适合于提供给下游PC厂商采用,而联想的安全软件倾向整合性,把TPM安全功能和其他功能整合起来。不过这5款产品给我们的最大印象还是相似的:安全功能并没有我们想象中那样有很大差异,TPM安全软件的功能在5款产品上基本相同,只是操作上有些差别。为让读者快速了解,我们不去追究每款软件的操作细节,而把它们共同拥有的功能总结如下:
文件加密 在安全PC上,文件加解密是一个非常简单的操作,大部分产品都将这个功能放入到右键菜单中,你只需将鼠标对准想要加密的文件,选择右键中的加密功能即可,加密速度很快,Word、Excl等常用文件在瞬间完成,100MB的文件大部分产品都能在20s内完成,加密后文件的扩展名被改为加密软件自己的格式。TPM安全芯片在其中有2个作用,一是参与加解密计算,二是存储根密钥,前者能提高系统性能,后者提高了文件加密的安全性。文件在加密过程会对整个数据流进行运算,因而加密过后的文件(密文)会变得面目全非,需要注意的是我们平时在加解密时输入的口令并不是密钥,它只是一个许可口令。
口令管理 经常接触互连网的用户会有许多需要记住的用户名和口令,如邮箱登陆、BBS登陆、QQ登陆等,拥有多个邮箱和BBS帐户的用户也不在少数。为了记住这些用户名和口令,你或许会将它们抄写在你电脑里,但万一被网络黑客窃取怎么办?如果对方是你的竞争商家怎么办?口令管理软件的用途即在于此,它能帮你把这些口令保密起来,安全PC采用TPM安全芯片来保护这些数据,即使被他人窃取,也无法破译这些资料。此外口令管理软件的另一个优势是应用快捷,如你在打开已设定的邮箱登陆网页后,口令会自动填入进去,即使是坐身边的人也无法知道你刚才输入的是何口令。
安全虚拟分区 如果你有一堆机密文件需要保密存储怎么办?最方便的方法是使用安全PC提供的虚拟分区功能。其原理是从已存在分区划出一块空间虚拟成一个分区(拥有独立盘符),比如你现在拥有C、D、E、F 共4个分区,使用虚拟分区功能能获得G、H、I等更多的分区,它们不修改硬盘分区表,不破坏硬盘的物理分区结构,而且在不需要的时候可以随意删除。而安全PC的虚拟分区加入了保护功能,由TPM的安全芯片对虚拟分区的镜像文件进行加密,因此即使这些文件被窃取,也无法破解。
|
