关于Bitlocker
Posted
简单说就是一种傻瓜式(相比较其他各类加密软件)的数据加密方案,一次加密,受用终生。
不幸的是,从原理上来讲,这种加密(这里指对系统盘的加密)是必须依赖一个三方模块(一般是独立硬件)来存放密钥的(钥匙放门上,门再结实也不安全)。
一般使用的模块叫TPM,这个模块国内的笔记本(台式机更稀缺了)是没有的(这个就要看TPM和TCM的差异了,这种涉及加密的标准,国家限制是很严格的)。
当然,要可以用其他硬件来代替TPM,如U盘,对,就是一个普通的U盘,里面塞满片儿都无所谓的那种。
如果有TPM,那么加密解密都很方便,设置后用密码登录系统就够了,和平时使用没什么差别(无非就是密码要强壮一些,不然门是够结实,但是锁一碰就坏掉了,那也谈不上安全)
但如果是用U盘,那么每次开机都需要插上U盘,确保系统可以访问到U盘来获取解密密钥。稍微麻烦点,但换个角度,带TPM的机器(笔记本)一般动辄就上万(例如thinkpad的T/X/W系部分型号),普通笔记本+U盘可就便宜多了去了。
但使用U盘有个小问题,就是U盘不能轻易格式化。
因为密钥以一种特殊的隐藏文件形式放在U盘上,如果格式化了,这密钥就丢了。唯一的办法,就是使用recoverykey — 在第一次加密的时候,会提示你保存下来,非常重要!我相信肯定有不明真相群众放在加密后的系统目录下的(钥匙落在屋里了,有木有)。
(BTW,如果用的是win8/8.1,且使用微软账号登录的话,是可以把recoverykey直接保存在onedrive上的,相当方便。)
那U盘格式化了以后就都要用recoverykey了么?那一长串数字真是让人呵呵呵呵啊。
当然不是,翻看一下recoverykey的文档(不是闲的蛋疼,就是遇到了这个情况 T_T),在进入系统后,是可以重新制作一个key U盘的。
以管理员身份运行cmd(假设目标U盘的盘符是G):
manage-bde.exe -protectors -add c: -rp -rk g:
运行一下~
Tada~ (写这么久就为了show这最后一个命令也是醉了。。。)