内嵌TPM加密加码数据安全

新的消费数据安全法规层出不穷。现在美国有大约40个州已经发生了某种数据丢失案件，需要相关企业机构通知那些可确认身份的个人信息——例如银行账户、信用卡号或者社会保障号码——可能丢失的用户。最新的是Massachusetts Office of Consumer Affairs and Business Regulation在今年一月出台的Standards for The Protection of Personal Information of Residents of the Commonwealth法规。

这一系列新法规首次要求企业对保存在可移动驱动器（例如笔记本电脑以及闪存驱动器）的数据实施适当保护措施。与类似的数据丢失州立法律一样，它也适用于关于马萨诸塞州用户的数据——即使他们的用户保存在其他州。

一家位于马萨诸塞州Dedham的Papa Gino's and D'Angelo Sandwich Shops公司已经为此做好了准备。

就在前段时间，这家连锁餐馆的员工开始使用特殊的工具来保护敏感信息。Papa Gino's网络经理Chris Cahalin表示：“我们有不少员工使用口令来保护个人文件，或者从因特网上下载第三方加密应用来保护数据。最终他们可能会忘记口令或者丢失密钥。”

这种现象普遍存储，不过这并不是一种管理超过170台台式机和笔记本电脑加密的适当方法。他说：“我们知道应该制订一套更具可管理性的数据保护策略。”在文件和硬盘加密方面，许多企业尝试使用TrueCrypt以及PGP Pretty Good Privacy这样的开源工具，或者Windows XP、Vista以及OS X等操作系统中内嵌的加密功能。但是很快他们发现，多系统的管理的确是一项艰巨的任务。

Chalin几年前停止使用这种方法，并开始采用配置了信任可信任平台模组（Trusted Platform Module）的戴尔系统。TPM是一项针对加密处理器的规范，它可以生成和保存加密密钥，同时还具有例如远程验证等功能来检验一台设备是否已经经过加密。

虽然内嵌TPM加密功能意味着所有新系统可能采用自带的加密功能，但是这并不能解决管理个桌面安全设置所带来的巨大挑战。Cahalin表示，最近几年TPM成为硬盘驱动器上的一项标准配置，例如希捷的Momentus 5400.2 FDE驱动器。

使用TPM还可以让每位用户创建他们自己的加密数据池，安全地将数据传送到驱动器或者磁盘、或者MP3、智能手机和闪存驱动器等移动存储设备上的数据传入传出。他说：“第一次我们可以证明桌面是加密的，而且我们具有证明它已经被加密的能力。”

Cahalin的单向认证架构中采用了Wave System的Embassy Trust Suite，其中包括可以管理加密设置的客户应用、基于TPNM的口令库、密钥和口令管理以及远程管理功能。他说：“我不用分别访问每个系统就可以远程地管理所有这一切。”

这种单向认证架构不仅仅在安全性方面有所增强，它还大幅节省了成本。Cahalin表示：“每年我们在支持呼叫方面可以节省大约10000美元。而且我们不会再遇到密钥丢失、分别应用特殊的安全解决方案以及相关操作引起的宕机时间等问题。这在过去可能会导致数万美元的成本。”