全磁盘加密（FDE）软件性能大揭秘

目前，全磁盘加密（FDE）技术深得推崇，基于全磁盘加密（FDE）技术开发的产品也在全球广泛使用。不论是名满天下的Safeboot、Pointsec，还是国内唯一的FDE软件DiskSec，以及DriveCrypt、Dekart Private Disk、PGP Desktop和免费开源的TrueCrypt 、FreeOTFE 3.00、7-Zip，都逐渐为用户熟知，并安装在笔记本电脑上，用以防止笔记本电脑丢失、被盗、维修或报废后的数据泄露。

所谓全磁盘加密技术（FDE，Full Disk Encryption），顾名思义，是对整个磁盘上的数据进行加解密，但是这个解释并不完全准确，更为准确的解释是：通过动态加解密技术，对磁盘（硬盘）上所有数据（包括操作系统）进行动态加解密的技术。FDE在国外发展有十多年历史，技术相当成熟，基于FDE技术的许多产品也已经得到广泛应用。国内FDE技术起步比较晚，但北京亿赛通公司提供的DiskSec目前已经非常成熟，在军队和企业级用户中大量使用。

下文中，主要关于FDE软件的性能做一些简单的介绍。笔者主要想以FDE产品与其他用以保护笔记本电脑数据的软件相比较，对FDE的一些性能做一个简单的评比。笔者以中国国内唯一的这一款全磁盘加密（FDE）软件产品DiskSec作为FDE的代表性产品，与其他产品比较一下，

一、FDE软件与隐藏空间类软件比较

当前市面上有一类产品，是在磁盘上创建隐藏空间，之后把标的文件放到隐藏空间中，使非法操作者找不到该文件，达到数据防泄露的目的。不过经过笔者测试和比较，这一类隐藏空间的软件，实际上安全性很低，很容易被破解并找出文件。即使隐藏做得很好，但是由于文件本身没有被加密，所以还是很容易被抓出明文，导致泄露。

相比而言，DiskSec，不留后门，不可破解。而且磁盘上的数据经过高强度加密，安全性能高，综合评估性能远高于隐藏文件类软件产品。

二、FDE软件与虚拟磁盘加密软件比较

虚拟磁盘加密，显而易见，是在硬盘上创建一个虚拟空间，并把文件放入此虚拟空间中加密保存，从而防止数据泄露。从原理上即可知，虚拟磁盘加密软件是不能加密C盘和操作系统的，留下巨大的漏洞。

虚拟磁盘加密和全磁盘加密虽然都是对磁盘进行加密。但是，全磁盘加密能对磁盘上所有数据进行加密，包括C盘和操作系统，所以不会留下任何漏网之鱼。而且，FDE软件的启动流程是先于操作系统启动，非法操作者无法通过破解开机密码的方式来破解FDE软件。

从整体上看，FDE软件的访问控制手段非常严密，它的安全性远高于虚拟磁盘加密产品。

三、FDE软件与硬盘芯片级FDE比较

所谓硬盘芯片级FDE，也是就是把FDE功能植入硬盘中，硬盘本身就具备全磁盘加密功能，不再是通过后期安装软件来实现加密。现在主流的硬盘厂商，均有支持FDE的硬盘。硬件加密的特点在于其完全脱离操作系统，而且对操作系统而言是透明的。硬件加密的过程通常由一 颗独立的加密控制芯片来完成对数据的加密/解密运算，全程基本上不需要CPU支持，其原理是将需要保护的数据转换成不可识别的数据模块，因此在加密/解密 速度上以及安全性上比软件的方式要好。

硬件加密的安全级别要比软件加密高很多，从原理上来说杜绝了黑客尝试“暴力破解”的途径，所以更加安全。不过硬件加密的局限性在于过分依赖加密卡，如果加密卡损坏或者USB加密盘丢失，即使是用户自己也无法再进入那台被加密过的机器，而加密卡的生产厂商也没有办法复制新的钥匙出来。不过，硬件加密过高的实现成本也阻止了其更大范围的应用，对于对数据安全性要求不高的普通用户，更倾向于采用软件加密的方式。

四、DiskSec与国外全磁盘加密软件比较

大家看到这里，可能对FDE的性能有了一个大概的了解。有好事者一定想知道，国内的FDE和国外FDE软件PK一下，究竟会怎么样，到底是国产的FDE软件比较牛，还是国外的FDE比较先进？

本人很负责任地告诉你，国内外FDE软件采用的技术原理是一样的，功能基本相同，但是性能方面，本人也做了测试。为了满足你的好奇心，我也愿意把相关的结果简单列表出来。

手机扫描二维码访问