現在有不少人用筆電取代桌機,但攜帶外出使用的資料儲存安全性你在意嗎?
可以攜帶外出使用的 3C 裝置,難免會一時大意忘記拿而弄丟了,個人隱私安全性問題多少存在。對於現代人不可或缺的智慧型手機,多數人已懂得利用圖案甚至是指紋辨識,來作為螢幕解鎖的安全性機制,要求高一點還能將記憶卡加密保護。
反觀筆電似乎並不怎麼被重視,舉如作業系統帳密機制、指紋辨識裝置等,大多只是限制了使用權。然而當筆電流落到外人手上,只要拆機將磁碟裝置取出來接到其他電腦上,有價值的商業資料、個人私密等檔案內容,通常就會輕易地被看光光。
對於廣大的 Windows 作業系統使用族群來說,Microsoft 從 Windows Vista 開始內建 BitLocker 磁碟加密功能(運用 AES 加密演算法),讓使用者能藉此來提升資料儲存安全性。隨著 Windows 版本演進,以往存在的磁碟支援範疇(如系統、資料碟、外接裝置、……)、有無 TPM 模組所衍伸設定繁複等限制,都已經逐步修改至算是簡單易用。
BitLocker 典型運作機制屬於軟體加密形式,得透過電腦端的處理器來進行 AES 加解密演算法,固然不挑磁碟裝置(硬碟、固態硬碟、內 / 外接、隨身碟、……)但處理效率變動較大,往往也會影響到筆電的電池續航力。Microsoft 在 Windows 8 推出時新導入了 eDrive 功能,差異在於將 AES 演算工作改交由磁碟裝置來負責,磁碟控制器會在資料存取時自動完成加、解密,因此具有較高的處理效率。
eDrive(Encrypted Drive)是植基於 TCG Opal 2.0,以及 IEEE 1667 等國際傳輸加密標準來構成,前者是針對固態硬碟這類快閃記憶體儲存裝置架構特性而生。符合 TCG Opal 2.0 條件要求的固態硬碟,一般稱為 SED(Self-Encrypting Drive,自加密硬碟)機種,運作上屬於全磁碟加密模式(Full Drive Encrypting Drive)形式,但是還得符合 IEEE 1667 標準才能滿足 eDrive 的要求。
TCG 等安全管理規範具有相當複雜度,通常是大企業才有能力導入獨立軟體廠商的安全性套件來搭配,這門檻並非中小型公司行號、普羅大眾所能跨越。反觀 BitLocker 所附加 eDrive,它是免費、相對來說簡單容易操作,可協助使用者在安全性、磁碟性能、處理器資源耗用量、筆電電池續航力等條件之間取得平衡點。以下系統要求就不贅述了,最近幾年的主機板、筆電應該都能符合條件,只需要確認 UEFI BIOS 設定值即可。
那麼有哪些 eDrive 相容的固態硬碟呢?在消費性機種裡,Crucial 最早響應導入應用,從多年前 M500 到當前最新的 MX500 等主力機種,都符合 eDrive 要求。由於這屬於 SATA 6Gb/s、2.5 吋規格形式機種,若想使用 PCIe 3.0 x4 NVMe 介面產品,像是 Kingston 新推出的 KC2000 系列,定位橫跨商、個人用不失為一個新選項。
取 MX500 在 Windows 10(1903)環境為例,由於 Windows 10 推出至今版本眾多,實際操作所遇到、提示內容敘述可能會有些許出入。簡單來說,完成前面「選擇您要解除鎖定這個磁碟機的方式」和「要如何備份您的修復金鑰」這兩個必要設定,如果 eDrive 正常作用只會出現「準備開始加密此磁碟機?」提示、確認訊息,像是在空間狀態下是轉眼之間就完成全碟硬體加密。
測試平台
- 處理器:Intel Core i5-6600K
- 主機板:ASUS ROG Maximus VIII Gene
- 系統碟:Kingston HyperX SSD 240GB
- 作業系統:Microsoft Windows 10 Pro 64bit
反之,設置完金鑰卻緊接著詢問「選擇要加密的磁碟大小」與「選擇要使用哪一種加密模式」,代表將以軟體的方式進行加密。如系統提示,乾淨(例如剛完成格式化)磁碟 / 區選用「只加密已使用的磁碟空間」,設定或解除 BitLocker 倒也是飛快,但如果已經有資料就得等上不等時間。至於「加密整個磁碟機」,我們曾以 128GB 容量固態硬碟小試,雖然這麼小卻也得等候十餘分鐘左右,硬、軟體加密的差異再明顯不過。
實際寫入約 12.3GB 容量、1057 個零散檔案到 MX500,簡單試驗硬體與軟體加密(只加密已使用的磁碟空間)的處理速度差異,eDrive 硬體加密近乎是在眨眼之間完成,反觀軟體加密模式得等候 62 秒。若先完成加密設定,而後將相同檔案寫入至 MX500,測得速度差異與耗時是小於預期,基於電腦架構特性這點尚屬合理。
- 未加密:傳輸速度 294.8MB/s、耗時 42.8 秒
- eDrive:傳輸速度 295.6MB/s、耗時 42.7 秒
- 軟體加密:傳輸速度 290.1MB/s、耗時 43.5 秒
另外試驗單一大檔案寫入,使用約莫 26.6GB 大小的 ISO 檔案,希望能從中找出 eDrive 有感效益。此組態下傳輸速度出現較為明顯差異,未加密與 eDrive 較軟體加密高出 34MB/s 左右,概略換算速度差異超過 7%。值得留意的是處理器運作狀態,儘管時脈多在 0.88~1.03GHz 之間跳動(軟體加密超過 1.0GHz 的機率略多),但使用率出現了倍數差異。
- 未加密:傳輸速度 442.2MB/s、處理器使用率 2~3%
- eDrive:傳輸速度 442.36MB/s、處理器使用率 2~3%
- 軟體加密:傳輸速度 408.9MB/s、處理器使用率 5~6%
另外以 KC2000 為例,使用常見 ATTO Disk Benchmark、CrystalDiskMark 等基準測試,來觀察當系統開機碟所可能存在差異。概觀來說未加密的各項數據,很合理稍好於 eDrive,而軟體加密最大罩門在於多線程 / 執行緒,落差多則達到 30% 之譜。最後以 PCMark 8 Storage 測試來搭配驗證之,總評價差異微乎其微,但未加密頻寬可達 708.45MB/s,eDrive 與軟體加密依序遞減 10% 左右。
由於 BitLocker、eDrive 並非 Windows 全新導入功能,我們也不是要驗證各組態對於性能的影響,因此以上僅簡單列出一些試驗結果。總和來說,eDrive 表現是有感優於軟體加密,其資料傳輸速度、當系統開機碟可得體驗,確實和未加密狀態下較為接近。此外是對於處理器的影響,軟體加密使用率明顯高出一截,這對筆電的電池續航力會有不等幅度影響。
當然了,BitLocker、eDrive 未必是萬無一失,但起碼可以做到「防君子,不防小人」。畢竟現在用筆電取代桌機的人不在少數,而且不時會攜帶筆電出門使用,哪怕是個人再為不足道的檔案,應該沒有人樂見私密被他人看光光。至於是否該特地挑選 eDrive 相容儲存裝置,這就視個人對於性能的要求了,如果相容那麼在安全性設置上是更有彈性。