设备加密

什么是设备加密

设备加密 (Device Encryption) 是一种技术，对智能手机、PC、平板电脑等设备上存储的数据进行加密，使其在没有正当认证 (密码、PIN、生物识别) 的情况下无法读取。

如果设备丢失或被盗且未加密，只需取出存储设备连接到另一台设备就能读取数据。启用设备加密后，存储上的数据以加密状态保存，没有认证信息就无法解读。

数据加密广泛涵盖传输中和存储中的数据，而设备加密特指针对设备整个存储的「全盘加密」或「基于文件的加密」。

各操作系统的加密机制

• iOS：iPhone 从初始设置起就自动启用基于硬件的加密。使用 AES-256 加密，仅通过设置密码就能保护加密密钥。曾有即使是 FBI 也无法在没有密码的情况下访问数据的案例 (2016 年圣贝纳迪诺事件)。
• Android：Android 10 以后的设备默认启用基于文件的加密 (FBE)。支持「Direct Boot」，设备启动后即使未解锁也能使用部分功能 (闹钟、来电)。旧版 Android 设备使用全盘加密 (FDE)。
• Windows：BitLocker 在 Windows Pro / Enterprise 版本中可用。与 TPM (可信平台模块) 芯片配合安全保管加密密钥。Windows Home 版提供简化版「设备加密」，但需要 TPM 2.0 和 UEFI 安全启动。
• macOS：FileVault 2 提供全盘加密。Apple Silicon (M1 以后) 的 Mac 始终启用硬件级加密，FileVault 提供恢复密钥管理和额外的保护层。

设备加密的保护范围与局限性

设备加密提供强大的保护，但并非万能。准确理解其能保护和不能保护的范围非常重要。

可以保护的情况

• 设备丢失或被盗时，防止第三方直接从存储读取数据
• 处置或出售设备时，仅销毁加密密钥就能使数据无法恢复 (与安全数据擦除结合更可靠)
• 执法机构或攻击者物理获取设备时的数据保护

无法保护的情况

• 设备解锁状态下的攻击 (恶意软件、恶意应用)
• 通过用户授权的应用权限访问数据
• 备份到云端的数据 (iCloud、Google Drive 备份需要另行加密设置)
• 传输中的数据 (需要通过 TLS/SSL 或 E2EE 另行保护)

云端备份是容易被忽视的要点。即使设备上的数据已加密，如果备份未加密，数据可能从云端被访问。请启用 iOS 的「高级数据保护」或 Android 的加密备份功能。

最大化加密效果的设置

请确认以下设置以最大化设备加密的效果。

• 强密码 / 密码：加密强度取决于密码强度。4 位数字 PIN 容易被暴力破解。请设置 6 位以上的 PIN 或字母数字密码。配合使用生物识别 (指纹、面部识别) 可保持便利性。
• 自动锁定设置：设置设备在一段时间不操作后自动锁定。解锁状态下加密保护不起作用，因此建议将自动锁定时间设置得较短 (1-2 分钟)。
• 启用远程擦除：启用 iOS 的「查找我的 iPhone」或 Android 的「查找我的设备」，丢失时可远程擦除设备数据。与加密结合提供双重保护。
• 安全保管恢复密钥：BitLocker 和 FileVault 的恢复密钥是忘记密码时的最后手段。打印出来保存在保险箱中，或保存在密码管理器中。丢失恢复密钥意味着永久无法访问数据。

常见误解

启用设备加密会大幅降低性能

现代设备配备了硬件加速加密处理，性能影响几乎感觉不到。iPhone 和最近的 Android 设备默认启用加密，但几乎没有用户感觉到速度下降。

设置了屏幕锁定就不需要设备加密

屏幕锁定只能防止设备操作，无法防止物理取出存储读取数据的攻击。设备加密对存储上的数据本身进行加密，即使面对物理访问也能提供保护。

全盘加密与基于文件加密的比较

相关术语