如果没有加密技术安全技术就无从谈起当然自从微软年发布了OS/ 以来这个软件业的巨人推出的每一款操作系统(除了MSDOS以外)都采用了某种形式的加密技术但多年以来微软内嵌在其操作系统中的加密加密技术的种类以及它们的工作方式都在发生变化下面就简要介绍一下微软新一代操作系统Windows Vista 中新增的几个加密功能
Windows Vista中包含新的加密服务
每一个软件供应商在软件开发过程中都要面临这样一个决策是尝试创建自己的加密算法还是使用标准的加密算法乍看之下对于一个软件供应商来说最好还是自己编写加密算法并且对于它的内部运行机制严格保密但是安全领域的权威专家Bruce Schneier却不这么认为Schneier指出最好不要使用那些自己编写的加密算法因为这些算法只是被少数业内人员研究和交叉检查可靠性和正确性都没有保障相反最好使用那些被无数数学家检验过的标准加密算法Schneier在他的书中还拿微软作例子声称每次微软创造了一个专有的加密算法短短的几个月后该算法就被破解了
我不知道这种情况是否一直发生但可以肯定地是它发生的次数已经很频繁了也许这 就是为什么微软越来越多的使用标准加密算法的原因目前两个最常用的加密算法是安全散列算法(Secure Hashing Algorithm SHA)和高级加密系统(Advanced Encryption System AES)这两种加密技术都是在美国政府的标准和技术国家研究所(NIST)的支持下开发出来的目的就是提供一套深思熟虑的散列和加密的算法AES在加密社区中反映良好不过SHA却在一些特殊的情况下被成功破解了SHA最新的版本SHA到目前为止还没有被成功破解的报道
Windows XP SP以后的任何XP操作系统以及Windows Sever 的任何版本中都采用了AES技术不过使用很有限据我所知Windows XP只在加密文件系统EFS(Encrypting File System )中使用了AES而对于Vista微软表示它的IPsec功能使用了AES加密坦白地说这不是什么惊天动地的大事虽然先前只采用Triple DES数据加密标准而破解这个加密算法也是不太实际的但在IPsec中使用AES也算是提前了一步把SHAj加入到IPSec中也是一个不错的想法但我要指出的是微软的组策略接口Group Policy interface并没有包含这两者的选项不过我可以证实另一个Windows技术BitLocker Full Volume Encryption确实使用了位和位的AES加密
对分页加密
在Vista中用户可以对分页进行加密不过这只对于妄想狂来说是个好消息而我建议用户不要使用这个功能因为每次在你启动计算机的时候要解密GB的分页需要一小时或更长的时间
为每个用户的脱机文件夹加密
脱机文件Offline Files是一项伟大的技术它可让用户从经常使用的本地共享文件中缓存数据这项技术最早出现在Windows 中虽然它并不适合每一个人但有很多人喜欢它但是Offline Files的工作细节被公布以后用户很快就意识到这项技术有一个安全漏洞进一步来说在Windows 中所有的缓存文件被存放在一个能被任何用户轻而易举就能查看的目录中因此如果我与你共享一台计算机而你使用了Offline Files那么我也可以浏览存放缓存文件的文件夹使用同一台机器的所有用户共享同一个文件夹这未必是件好事
而在Windows XP中微软也对存放缓存脱机文件数据的文件夹进行加密但是这一加密过程被作为运行在为LocalSystem帐户中的一个服务这意味着每一个运行在LocalSystem账户上的用户很容易地就能使用EFS脱机文件数据加密密钥不幸地是用户很容易就能使用LocalSystem账户登陆系统只需使用atexe调度程序启动了一个命令提示界面由于调度程序默认是在LocalSystem账户上运行的那么你完全可以在命令提示界面进行文件操作因而进入Offline Files并查看共享这台计算机的用户所使用的脱机文件变得相当容易
而Vista对此进行了改进主要包括两个方面首先每个用户的缓存文件都使用自己的密钥而不是LocalSystem的EFS密钥进行缓存第二即使微软没有作出上述改变在Vista中要使用LocalSystem账户进行登陆也是相当困难的过去操作系统中使用的登陆LocalSystem账户的伎俩在Vista中都不再生效了