问：是否可以采用PKI来管理笔记本电脑的加密？ 还是应该采用独立的产品？

答：笔记本电脑或网络中的其他设备是否应该采用公共密钥体系（PKI），应当取决于你要保护的系统面临的风险程度以及PKI与该网络架构的兼容程度。根据要求不同，采用PKI有可能恰到好处，也有可能过于夸张。如果是后者，就应该考虑使用笔记本加密产品。

    PKI系统可能价格较贵，也很复杂。但在过去的两年里，随着其价格的降低、使用的简易化，PKI有卷土重来之势。虽然并不适用于简单的应用，但是PKI变得更为灵活，而且能纳入PDA和笔记本电脑等移动设备。

    首先，我们简单回顾一下PKI包括什么。PKI是一种使用非对称式加密，即公钥-私钥共同加密的方法存储公钥及其证书。这不同于对称式加密。对称式加密仅使用一种密码或私钥，而非对称式加密使用两种密码，即公钥和私钥。非对称式加密旨在解决通过Internet等公共网络安全传输密钥的问题。显然，私钥在Web传输过程中很容易造成泄露。

    非对称式加密中，公钥和私钥只具有数学上的关系，并不能由一个生成另外一个。所以，公钥如果被截获或者被破解，私钥还是无法由其生成。发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。公钥可以从公钥库，例如PKI中自由获得。私钥总是存于发送者和接收者的个人系统中，不能通过公共网络传输。

    通过存储公钥及用于验证公钥的数字证书，PKI提供了一种简洁明了的方式来管理整个流程。

    如果是为了保护数据免于因为笔记本电脑被盗而丢失，可以使用SateBoot 技术公司或者Entrust公司的全盘加密产品。这些产品对硬盘实行加密，需要用户在机器启动时输入帐号和密码。

    如果仅仅是为了保护笔记本电脑与办公室之间的通信，则可以使用思杰（Citrix）系统公司和思科（Cisco）系统公司提供的虚拟专用网络（VPN）。

    但是如果要使用笔记本电脑访问一些高风险系统，比方说系统中含有敏感的客户数据，就需要考虑将笔记本电脑接入整个PKI体系结构。

    微软Windows Server 2003 使用的是Windows PKI，它可以延用于接入网络的笔记本电脑。另外，还有一种有意思的产品是Aladdin Knowledge Systems公司生产的电子令牌（eToken）。电子令牌是一种USB客户端，能够安全生成并存储密钥及证书。它使用时插入笔记本电脑，使用完后取走，将密钥与可能遭到破坏的笔记本电脑保持远离。

    其他的PKI生产商还包括RSA信息安全公司（现在属于EMC公司），VeriSign 公司和冠群（CA）公司的eTrust。