安全芯片 + 指纹识别,看起来很完美得组合
今天,指纹识别已经不算新鲜功能了,我们过去做过多次的试用和报道,但那些设备多半只是为提高方便性而生,用户不能互指望靠它们来提高数据的安全性。
像Thinkpad笔记本电脑上那样,把指纹特征存储在硬件里的系统,在目前的台式机上是罕见的。后者的实现方式一般非常简单,一个USB接口的识别器和一个通用的软件就解决了所有问题,如果软件不设施绊脚石,它们可以通用在所有台式机上,和硬件无关。
不过,安全芯片的加入,听起来能给这种“与硬件无关”的系统增加活力。同方最新发布的TST安全方案采用了这种做法。
安全芯片目前还像黄牛拉犁一样慢慢吞吞地前进,虽然配备它的台式机在慢慢多起来,但实现的功能一直没有什么变化,和这块芯片本身具有的无限魔力相比,这些应用水平都很原始和初级。
我们不能认同同方的TST安全方案是一个革命性的产品,把它看作是一些成熟安全技术的整合更合适一些。不过安全芯片和纹识别功能的联合应用,是这个解决方案的一个亮点,这种联合是捆绑的,用安全芯片去加强后者在安全性方面的不足。
我们不妨来回忆一下指纹设备在解密文件过程中所起的作用。在我们刷入指纹后,系统会计算指纹的特征,形成指纹的特征码(一串2进制数),如果这个特征码和加密时的输入匹配,就启动密钥去解密文件(目前文件加密普遍采用128位、256位或更高位密钥的AES加密)。加密原理同样如此,只是反向进行。
在这个过程中,我们可以看到,指纹相当于一个口令的作用,它并不是直接的加密密钥,加密密钥存储在硬盘上,如果硬盘被偷走,对手仍然可以取得这个密钥,从而破解文件。
安全芯片引入的目的在于保护这个密钥,它的作用机理已在我们过去的专题中多次介绍。形象地说,安全芯片对“密钥”再进行一层加密,然后自己保管“根密钥”——存储在芯片的硬件存储器中。这样,即使用户偷取了硬盘,由于找不到密钥或不能破解密钥,对加密数据无能为力。
图2>现在岌岌可危的不是硬盘上的数据,而是数据强盗们的手段,可能是嫌软件的指纹识别系统不够可靠,台式机采用安全芯片来巩固它,这块芯片有存储、保护密钥的能力,这是同方TST安全方案的一个重要部分。
幸好,在我们试用的同方TST解决方案中,安全芯片所起的作用是透明的,用户只管刷指纹,而看不见(也不需要看见)安全芯片的存在。为了验证这套系统是否存在作弊行为,我们在用指纹加密后,关机拔除了安全芯片,开机后指纹系统就失效了,这说明安全芯片接管了这个过程。
指纹方便但不安全,安全芯片安全但不方便,两者结合在一起,取长补短,就是我们上面看到的技术。不过这套系统仍然不能在Windows加载前使用,还不够彻底和完美。我们希望今后能看到在低成本上实现这个目标。 |
