デバイス暗号化の完全ガイド - スマホ・PC のデータを守る

本文约需 15 分钟阅读

如果智能手机或笔记本电脑丢失，设备内的数据会怎样？如果设备加密有效，即使设备落入他人之手，保存的数据也会以无法解读的状态受到保护。相反，如果没有加密，只需取出存储器连接到其他设备，照片、邮件、密码、金融信息等所有数据都可以被查看。本文介绍 iOS/Android 的存储加密、Windows 的 BitLocker、macOS 的 FileVault 各自的机制和设置方法，提供在设备丢失时确实保护数据的实践指南。

智能手机的存储加密

iOS 的加密架构

从 iOS 8 开始，所有 iPhone 和 iPad 的存储加密默认启用。Apple 的硬件安全模块 (Secure Enclave) 生成和管理设备唯一的加密密钥，使用 AES-256 加密整个存储。用户设置的密码（或 Face ID / Touch ID）作为加密密钥的一部分发挥作用，因此没有密码就无法解密数据。这种设计意味着即使是 Apple 自身也无法访问锁定 iPhone 上的数据。

最大限度利用 iOS 加密的关键是密码强度。4 位数字密码对暴力攻击的抵抗力较低，请至少设置 6 位，理想情况下设置包含字母数字的自定义密码。此外，启用"抹掉数据"选项（设置 → 面容 ID 与密码），密码输错 10 次时设备数据会自动清除。务必启用通过"查找我的 iPhone"进行的远程擦除功能。

Android 的加密设置

在 Android 上，Android 10 及以后的设备默认启用基于文件的加密 (FBE)。与 iOS 的方法不同，FBE 使用不同的密钥加密每个文件。这使得设备锁定状态下闹钟和来电通知等部分功能仍可工作，同时个人数据受到保护。但是，Android 9 以前的设备和部分低价机型可能未启用加密。请在设置 → 安全 → 加密中确认当前状态，如果未启用请启用。

PC 的磁盘加密

Windows BitLocker 的设置与运用

Windows 的 BitLocker 是 Pro、Enterprise、Education 版本可用的全盘加密功能。与 TPM（可信平台模块）芯片协作，启动时自动解密驱动器，因此不影响日常使用体验。可以从"设置"→"隐私和安全"→"设备加密"启用。即使启用了 BitLocker 的笔记本电脑丢失，没有正确的登录凭证也几乎不可能读取驱动器内容。

启用 BitLocker 时最重要的是安全保管恢复密钥。恢复密钥是 48 位数字，在 TPM 检测到异常或硬件变更时需要使用。自动保存到 Microsoft 账户是最简便的方法，但如果 Microsoft 账户本身被入侵则存在风险。建议通过多种方式进行冗余 - 保存到 USB 存储器放入保险箱、打印在纸上保管在安全的地方等。请注意，如果丢失恢复密钥，连自己也无法访问数据。

macOS FileVault 的设置

macOS 的 FileVault 使用 XTS-AES-128 加密 Mac 的整个存储。搭载 Apple Silicon（M1 及以后）的 Mac 硬件级加密始终有效，FileVault 的作用是将该加密与用户的登录密码绑定。FileVault 的启用从"系统设置"→"隐私与安全性"→"FileVault"进行。首次启用时会执行整个存储的加密处理，但在后台进行，可以继续正常工作。

FileVault 有两种恢复方式：通过 iCloud 账户恢复和通过恢复密钥（24 位字母数字）恢复。选择 iCloud 恢复时可以用 Apple ID 密码解锁磁盘，但如果 Apple ID 被入侵则存在风险。选择恢复密钥时需要安全保管该密钥。无论哪种方式，作为静态加密的密钥管理适当运用都很重要。

加密的机制与丢失时的保护效果

为什么加密能保护数据

加密的存储在没有正确密钥（密码、口令、生物认证）的情况下只能看到无意义的数据排列。即使攻击者物理取出存储器连接到其他计算机，也无法解密加密数据。用当前的超级计算机暴力破解现代 AES-256 加密需要超过宇宙年龄的时间。也就是说，适当加密的设备即使被物理盗窃，数据安全性也能得到保持。

但是，加密仅在设备锁定状态下有效。如果设备在解锁状态下被盗（例如在咖啡厅离开时笔记本电脑被拿走），加密不能起到保护作用。因此，设置较短的自动锁定时间（1-2 分钟）、养成离开时手动锁定的习惯（Windows: Win+L、macOS: Ctrl+Cmd+Q）以及设置强登录密码与加密同等重要。加密是"最后的堡垒"，只有与日常安全习惯结合才能实现完整保护。

外置驱动器和备份的加密

不仅要加密设备本体，外置 HDD/SSD 和备份数据的加密也不能忘记。Time Machine 备份请启用加密选项创建，Windows 的备份驱动器请应用 BitLocker To Go。如果将备份保存到未加密的外置驱动器，无论本体加密得多好，数据都可能通过备份泄露。使用云备份时，也请确认服务是否提供静态加密。

对于便携式加密存储解决方案，加密外置 SSD (Amazon)为移动中的数据提供硬件级保护。