随着信息化、办公电子化和业务流程化的不断推进,数据已成为企业和政府机构的重要资产。一旦数据泄露或被篡改,将可能引发严重的后果,包括财产损失、信誉受损甚至法律责任。因此,保护数据安全已成为企业和政府机构的首要任务。
政企客户对于数据加密有更为综合的需求:
- 加密技术形式多种多样,用户难以选择;
- 已有加密技术需要繁琐配置,具有技术门槛;
- 非专业用户自己配置缺乏安全性,数据风险高;
- 加密技术涉及内核支持,由于Linux生态内多架构的现状,会出现部分机型不支持的情况;
- 政企领域通常需要加密和设备绑定的保护方案,防止磁盘被离线解锁,需要多种技术的集成支持。
Windows提出了 BitLocker这一解决方案,其驱动器加密功能可以加密卷上存储的数据,同时结合TPM(可信平台模块),可以为用户提供较高的数据加密操作体验。然而在Linux领域,主流Linux桌面发行版系统只集成了安装时全盘加密(截止本文发布时),对于“小白”用户来讲,具有一定技术门槛且不够灵活。为应对以上痛点,统信软件重磅推出了安全易用的自研解决方案——UOS分区加密。
高效安全的加密策略
UOS分区加密方案通过采用LUKS格式和cryptsetup工具,结合dm-crypt模块和Crypto API的支持,实现了一种高效且安全的分区加密策略。该方案不仅满足了大多数用户的加密需求,还通过多密码支持、防暴力破解等特性,进一步增强了系统的安全性和灵活性。
加密分区格式与工具
- LUKS格式:作为加密分区格式,LUKS(Linux Unified Key Setup)提供了一套标准化的加密数据结构,确保了密钥管理的安全性和灵活性。LUKS不仅支持多种加密算法和密钥长度,还允许存储多个用户密码,增强了系统的可用性和安全性。
- cryptsetup工具:作为加密工具,cryptsetup与LUKS紧密配合,提供了用户友好的命令行界面,用于加密分区的创建、管理以及密钥的导入和导出。
加密与解密流程
- 读取操作:当应用读取加密分区上的文件时,文件系统发出的读请求会经过dm-crypt(设备映射器加密模块)的处理。dm-crypt从块设备和驱动获取密文数据,然后使用内核的Crypto API进行解密,最终将明文数据返回给文件系统。
- 写入操作:写入操作与读取操作类似,但方向相反。文件系统向加密分区写入文件时,dm-crypt将明文数据通过Crypto API加密成密文,然后依次通过块设备和驱动写入设备。
密钥管理
- 主密钥(Master Key):是加密数据的直接密钥,具有高随机性,确保数据的加密强度。主密钥使用对称加密算法(如AES、SM4等)进行数据加密。
- 用户密码:用户通过输入密码来解锁加密分区。密码通过PBKDF2(基于密码的密钥导出函数)处理得到导出密钥,再用导出密钥解锁主密钥。PBKDF2算法的特性使得即使密码较弱,也能通过增加计算成本来对抗暴力破解。
安全特性
- 多密码支持:LUKS格式支持存储多达32个用户密码,提高了系统的灵活性和可用性。
- 防暴力破解:PBKDF2算法的“慢哈希”特性以及加盐操作,使得暴力破解变得极为困难。即使加密后的磁盘被安装到性能更强的设备上,单次尝试破解的时间也会大大延长。
- 加密算法与密钥长度:通过选择合适的加密算法和密钥长度,用户可以根据需要调整加密强度,确保数据的机密性。
用户友好的操作体验
支持系统挂载分区的加密/取消加密
在使用传统的cryptsetup命令行工具加密分区时,必须先卸载分区,运行加密命令,再重新挂载。但这种方法对于系统启动时自动挂载的分区(如/etc/fstab中的分区)并不适用,因为卸载这些分区会导致系统无法正常运行。
UOS分区加密方案则更为智能,不仅支持普通可卸载分区的图形化加密,还能加密系统挂载的重要分区,如_dde_data、/home、/opt、/var等。无需复杂的命令行操作,只需简单几步,即可轻松保护数据安全。
UOS分区加密也支持上述已加密分区的取消操作,在文件管理器右键已加密分区选择“取消分区加密”,重启按提示确认操作即可。在文件管理器中,还可以在对应加密分区点击“修改加密密码/PIN”来修改对应的密码/PIN码。
支持多种解锁方式
UOS分区加密根据使用密码验证方式不同,支持多种解锁方式。用户在设置密码时即可选择下列解锁方式:
- 口令解锁:最基本的模式,用户只需要输入用户密码即可解锁分区。
- TPM自动解锁(透明加密):设备启动后,加密分区自动解锁,用户全程无感知。该方案实际上是一种“磁盘+设备”的绑定模式,磁盘拆下后无法在其他设备上自动解锁,有效防止数据泄露。
- TPM+PIN码解锁(多因子加密模式):结合TPM验证和用户密码,形成“磁盘+用户+设备”三重绑定模式。在TPM自动解锁的基础上,增加用户PIN码验证。只有磁盘在原设备安装且用户输入正确PIN码时,才允许解锁分区。
UOS分区加密还可以同其他因子结合起来,形成多层次保障,满足不同领域不同等级的客户需求。
支持多架构、免打扰
UOS分区加密支持AMD64、ARM64、SW64、LoongArch架构,由安装器、文件管理器、修复工具等多个系统组件支持。用户在操作安装时加密、文件管理器在线加密、取消加密等功能时都有系统级的引导。
用户触发加密后,除必要的重启和设置流程外,在数据加密时用户仍然可以正常使用设备工作,即使中途意外(断点等)导致系统退出,加密上下文依然保存,重启后加密仍然可以从断点继续进行。
UOS分区加密支持安装后用户通过文件管理器,按照自身需求的解锁方式进行分区加密,或者取消对应的加密分区。
这在大规模存量设备的场景尤其有意义:不需要用户繁琐地先备份所有用户数据然后全盘加密,而是直接升级系统版本、触发加密一气呵成。对于企业用户,根据需求可以结合UOS的域管理功能,让大规模存量设备数据分区加密可以统一管理和实施。
后续,UOS分区加密会与统信UOS其他安全产品进一步集成,打造全方位立体化的安全保障。在数据安全这条路上,统信UOS一直在努力!
©统信软件技术有限公司。访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。除此以外,将本网站任何内容或服务进行转载,须备注:该文档出自【faq.uniontech.com】统信软件知识分享平台。否则统信软件将追究相关版权责任。