我正在加密 U 盘上的数据。我计划经常从该驱动器添加和删除数据。它是否始终受到保护以防止外部访问,还是每次以任何方式更改驱动器上的内容时都需要重新加密?
答案1
关键在于这种加密总是在磁盘上加密,但它从未真正解密到磁盘,并且仅根据读取的需要一次在 RAM 中解密几个块。
archlinux 有一个不错的 wiki 页面磁盘加密具有良好的概述信息,例如:
-
所有磁盘加密方法的运行方式如下:即使磁盘上确实有加密数据只要加密容器(即保存加密数据的磁盘逻辑部分)已经“解锁”并挂载,操作系统和应用程序就“看”不到它就是对应的正常可读数据。
-
堆叠文件系统加密解决方案被实现为在现有文件系统之上堆叠的一层,使得写入启用加密的文件夹的所有文件在底层文件系统将其写入磁盘之前被即时加密,并且在文件系统从磁盘读取它们时被解密。
-
另一方面,块设备加密方法在文件系统层之下运行,并确保写入某个块设备的所有内容(即整个磁盘、分区或充当虚拟环回设备的文件)都经过加密。这意味着当块设备处于离线状态时,其整个内容看起来就像一大块随机数据,无法确定它包含哪种文件系统和数据。再次,访问数据是通过以特殊方式将受保护的容器(在本例中为块设备)安装到任意位置来实现的。
-
... 高级介绍常见磁盘加密设置的核心概念和流程。
它不涉及技术或数学细节(有关这方面请查阅相关文献),但应让系统管理员大致了解不同的设置选择(尤其是关于密钥管理)如何影响可用性和安全性。
答案2
Bitlocker 加密整个文件系统,因此任何新文件/修改文件都将即时加密写入。同样,当操作系统访问时,它们也将即时解密。
但是,在操作系统安装文件系统之前,需要解锁包含文件系统的卷。根据您的具体要求,如果需要,可以将此配置为对用户透明地进行。