作為一個(gè)從 Windows Vista 開始就內(nèi)置在系統(tǒng)里的功能，很多人應(yīng)該都在控制面板或是硬盤圖標(biāo)上見過 BitLocker 這把「小鎖」。從某種程度上來說，它陪伴 Windows 用戶多年，但一般用戶卻很少去關(guān)注過它的實(shí)際作用。

Windows 用戶應(yīng)該都見過 BitLocker 了吧?

因此今天這篇文章我們就來聊聊 BitLocker —— 這個(gè)對大多數(shù) Windows 用戶而言「熟悉而又陌生」的加密功能。

BitLocker 是什么?

BitLocker 的核心作用是對 Windows 系統(tǒng)的數(shù)據(jù)進(jìn)行全盤加密，和大多數(shù)加密手段的目的一樣，它的存在主要是為了阻止別人在未經(jīng)許可的情況下訪問被加密的硬盤數(shù)據(jù)。不管是系統(tǒng)被入侵、筆記本失竊、送去電腦城維修……即便你的硬盤被人「連根拔走」，不法分子都無法解密、恢復(fù)或訪問其中原屬于你的數(shù)據(jù)。

如果你有過嘗試給買來的筆記本設(shè)備重裝系統(tǒng)的經(jīng)歷，應(yīng)該也會碰到進(jìn)入重裝步驟前的 BitLocker 解鎖密碼驗(yàn)證，解鎖了 SSD 以后才能正式進(jìn)入重裝的步驟。

那 BitLocker 具體而言是如何工作的?

在了解 BitLocker 工作原理之前，我們還需要認(rèn)識一個(gè)很少有人提到的模塊：TPM(Trusted Platform Module，可信平臺模塊)，在 Windows 操作系統(tǒng)中，TPM 扮演著 BitLocker 鑰匙「管理者」的身份。

為了避免各種軟件、硬件工具通過偽造這把「鑰匙」的方式進(jìn)行解鎖，TPM 會采用非對稱加密的方法來保證安全。你可以從字面意義上理解「非對稱加密」：傳統(tǒng)的對稱加密在加密和解密時(shí)共用同一把「鑰匙」，而非對稱加密將鑰匙一分為二，一個(gè)叫公鑰、一個(gè)叫私鑰。公鑰可以暴露給任何人，任何人都可以用這個(gè)公鑰來加密數(shù)據(jù)，但只有持有私鑰的人才能解密。

BitLocker 便采用了這種「把雞蛋放在不同籃子里」的加密方式。為了便于理解，我們打個(gè)形象點(diǎn)的比方：公鑰可以理解成信箱，每個(gè)人想聯(lián)系到你都可以給你的信箱投信;而私鑰則是信箱鑰匙，只有你才會持有，因此除了你其他人都無法打得開這個(gè)信箱收取信件。

雖然大多數(shù) Windows 用戶甚至都不知道自己手里有這么一把「鑰匙」，在對啟用了 BitLocker 的驅(qū)動器進(jìn)行修改時(shí)，系統(tǒng)還是會提示你該到哪里找 —— 在上面的重裝系統(tǒng)案例中，你可以在微軟賬戶管理頁面的設(shè)備管理部分查看 BitLocker 提供給你的那把「鑰匙」：

需要用到的時(shí)候可以在這里找

最后，BitLocker 也并非是一種萬全的加密手段。

和 SSD 主控或 Mac T2 這類加密工具所攜帶的 AES 加密(有時(shí)也被稱為透明加密)不同，BitLocker 的加密在系統(tǒng)開機(jī)、解鎖登錄以后，對于系統(tǒng)內(nèi)應(yīng)用來說是「透明的」，惡意軟件可以很輕松地訪問、修改和刪除全盤數(shù)據(jù)。

換句話說，盡管 BitLocker 能夠在上面提到的「極端情況」中保護(hù)硬盤數(shù)據(jù)，它們也只能保障電腦在解鎖登錄之前的數(shù)據(jù)安全。所以 BitLocker 的存在并不能成為我們放棄其它加密手段的理由。

BitLocker 怎么用?

如何開啟 BitLocker

BitLocker 打開方式也很簡單，一共有兩種方法：直接在對應(yīng)的磁盤上進(jìn)行右鍵，你就能看到「打開 BitLocker」;或者在任務(wù)欄上的搜索中輸入「BitLocker」直接跳轉(zhuǎn)到 BitLocker 的控制面板，接著你就可以對你想保護(hù)的驅(qū)動器打開 BitLocker 了。

最常見的做法就是右鍵

BitLocker 的控制面板界面

選擇「啟用 BitLocker」后還需要經(jīng)過幾個(gè)設(shè)置流程，跟隨流程設(shè)置完畢后，系統(tǒng)會給出一個(gè)保存密鑰的界面。請注意密鑰是唯一的，丟失密鑰會導(dǎo)致你無法正常解密數(shù)據(jù)，所以一定要好好保存。

一定要多處保存

保存到 Microsoft 肯定最優(yōu)選擇，即使你文件和打印件不見了，你也可以在上文提到的設(shè)備管理界面找到密鑰。如果你沒有在 Windows 系統(tǒng)中登錄微軟賬戶，將密鑰文件存放在安全的云盤或 1Password 這類管理工具中也是不錯的選擇。

保存完成以后，點(diǎn)擊下一步，BitLocker 設(shè)置向?qū)柲阈璨恍枰用苋P數(shù)據(jù)。加密全盤數(shù)據(jù)會耗費(fèi)的時(shí)間更久但是更安全;僅加密已用的空間則會更快，但每次寫入的時(shí)候都需要對寫入的數(shù)據(jù)做一次加密。

加密全盤最保險(xiǎn)

接下來 BitLocker 設(shè)置向?qū)柲阈璨恍枰褂眯碌募用芊绞?。如果加密對象是長期插在電腦上的，比如自帶的光驅(qū)，那就選擇新加密模式;如果是經(jīng)常需要連接不同設(shè)備的移動硬盤，則建議選擇兼容模式來保證正常使用。

新的加密方式更安全

最后重啟系統(tǒng)，BitLocker 加密過程就開始了。加密時(shí)長受需要加密的數(shù)據(jù)量和存儲介質(zhì)決定。

特殊情況

使用 BitLocker 有個(gè)前提：需要 Windows 專業(yè)版及以上，而一般情況下出售給個(gè)人的電腦都會預(yù)裝的是 Windows 家庭版。

微軟考慮到了這點(diǎn)，會在支持的設(shè)備上提供一個(gè)基于 BitLocker 的「設(shè)備加密」功能?！冈O(shè)備加密」可以理解成特殊版本的 BitLocker，家庭版用戶也能使用，你可以進(jìn)入「設(shè)置 > 更新與安全 > 設(shè)備加密」中打開它，密鑰也會默認(rèn)和你的微軟賬戶相關(guān)聯(lián)，你同樣可以在 這里 找到密鑰。

設(shè)備加密

一些常見問題

關(guān)于 BitLocker 的基本原理介紹和使用方法就介紹到這里了，針對具體使用過程中可能會出現(xiàn)的問題，這里用 Q&A 的方式補(bǔ)充說明：

我的電腦沒有 TPM 模塊，可以使用 BitLocker 嗎?

可以，但需要我們手動輸入密碼，BitLocker 會通過這串密碼生成恢復(fù)密鑰;另外，沒有 TPM 時(shí)無法對系統(tǒng)盤進(jìn)行加密。

BitLocker 加密時(shí)性能開銷大嗎?

對 CPU、內(nèi)存等設(shè)備的性能開銷不大，對硬盤性能開銷較大，加密時(shí)可以根據(jù)實(shí)際情況使用電腦。

加密時(shí)的資源開銷

BitLocker 加密后的硬盤性能會下降嗎?

對 SSD 幾乎無影響，但是會影響 HDD 的隨機(jī)讀取和隨機(jī)寫入性能。所以在 HDD 上開啟 BitLocker 時(shí)要謹(jǐn)慎考慮，安全與性能自然是不能兩全的。

另外，在長時(shí)間持續(xù)讀取被加密內(nèi)容時(shí)，可能需要 CPU 持續(xù)解密，這個(gè)時(shí)候 CPU 占用也會比平時(shí)高一點(diǎn)。

那么 BitLocker 適合誰使用?

我推薦所有人都打開。如果真的非常擔(dān)心它會影響性能的話，經(jīng)常帶出門的電腦一定需要開，因?yàn)?BitLocker 可以阻止惡意入侵，保障數(shù)據(jù)的安全。

BitLocker 密鑰丟失了能找回?cái)?shù)據(jù)嗎?

不能。建議用文中提到的方法好好保存。

BitLocker 控制面板里的「暫停」是干什么用的?

維護(hù)系統(tǒng)、尤其是在更新 BIOS 時(shí)建議使用。如果更新 BIOS 之前你沒關(guān)閉 BitLocker，TPM 里的 BitLocker 密鑰會被清空，開機(jī)時(shí)需要你手動輸入密鑰來進(jìn)行解鎖;所以如果你不希望這么麻煩的話，更新 BIOS 前別忘了暫停 BitLocker。