Полная настройка шифрования диска

-1

Я покупаю новый компьютер с Windows и хочу настроить его на безопасность. Я хочу использовать полное шифрование диска. Мой вопрос: будет ли мой SSD работать на другом компьютере в случае его поломки? Кроме того, должен ли я использовать TPM, есть ли в этом какие-то негативные моменты? Кроме того, насколько легко перехватить зашифрованный SSD, если кто-то попытается получить к нему доступ?

Шифрование не поможет мне, если мой компьютер будет украден во время сна, а не полностью выключен, верно? Так что мне делать, если я большую часть времени держу его в спящем режиме или даже просто заблокирую? Также как обезопасить себя от атак, скажем, USB-накопителей в режиме блокировки Windows?

Спасибо!

encryption bitlocker
источник
Какое шифрование вы используете, текущий вопрос немного широк и неясен - попробуйте перефразировать ваш вопрос, чтобы больше узнать о шифровании TPM и SSD - не все шифрование диска требует TPM. Второй набор вопросов должен быть в их собственном вопросе, но также должен быть более сфокусирован.
Эрик Г

Ответы:

1

Хорошая идея - разумно использовать FDE, если у вас есть мобильное устройство с какими-либо конфиденциальными данными. Если у вас нет особых требований, я бы сказал, что проще всего просто использовать FDE, который поставляется с вашей операционной системой, что для Windows означает Bitlocker.

Чтобы ответить на ваши вопросы по очереди:

Будет ли мой SSD работать на другом компьютере?

Это зависит от используемого вами метода FDE. Если вы используете TPM, то нет. Однако большинство систем FDE, в том числе основанных на TPM, имеют какой-то способ сделать резервную копию ключа, который можно использовать в такой чрезвычайной ситуации. Вы, вероятно, должны сделать это в любом случае. (Конечно, вы должны тщательно защитить резервную копию.)

Должен ли я использовать TPM?

Модуль TPM добавляет еще одну вещь, которой вы должны доверять, но это не идеально, но вы уже доверяете и ноутбуку, и производителю ОС, так что это обычно не так уж и сложно.

Кроме того, TPM означает, что вам не нужно запоминать еще один хороший пароль или PIN-код.

Может ли это быть грубой силой?

Опять же, это зависит от метода FDE, который вы используете, но любой поставщик FDE, который не совсем глуп, будет использовать алгоритм, который не может быть практически принудительным. Битлокер, например, основан на AES и поэтому очень безопасен.

Поможет ли это мне, если моя машина будет спать, а не выключаться?

Нет, но это не так. FDE предназначен для защиты от так называемой автономной атаки, когда злоумышленник подключает ваш диск к другому компьютеру (или загружает ваш компьютер с USB-накопителя, что тоже самое). Пока компьютер включен или находится в спящем режиме Задача ОС - защищать ваши данные, что современные ОС будут делать очень эффективно.

(Извлечение ключа из ОЗУ при включенном устройстве теоретически возможно, но на практике это очень сложно. Если вы беспокоитесь о злоумышленнике с такими ресурсами, у вас есть множество более насущных проблем, о которых нужно беспокоиться.)

Biglig
источник
Также как обезопасить себя от атак, скажем, USB-накопителей в режиме блокировки Windows? Я видел видео, где они просто помещают USB-накопители в окне выбора пользователя и берут на себя управление. Как быть в безопасности от этого? Одним из способов было бы просто отключить все USB при блокировке / выходе из системы. И единственное, что они могут сделать, это перезагрузить компьютер и увидеть, что он зашифрован паролем?
Вы должны убедиться, что ваша операционная система не настроена на автоматический запуск программ при подключении USB-накопителя. (эта функция отключена во всех современных операционных системах, поэтому с вашим новым компьютером все будет в порядке).
Biglig
1

будет ли мой SSD работать на другом компьютере, если он сломается.

Да. Все, что требуется для расшифровки диска и загрузки ОС, содержится на самом диске. Windows может работать некорректно, если вы меняете базовое оборудование, но с точки зрения шифрования это не имеет значения.

Насколько легко перехватить зашифрованный SSD, если кто-то попытается получить к нему доступ?

Это зависит от используемого алгоритма шифрования. AES потребовалось бы триллионы лет для грубой силы, потому что существует так много возможных комбинаций клавиш. Есть множество ресурсов, чтобы утверждать это. Если вы не хотите углубляться в это, то прагматичный взгляд на это таков: даже ФБР не может сломать AES.

Шифрование не поможет мне, если мой компьютер будет украден во время сна, а не полностью выключен, верно?

Ваш диск либо зашифрован и непригоден для использования, либо расшифрован и пригоден для использования. Когда ваш компьютер работает, диск должен быть дешифрован и поэтому находится в уязвимом положении. Если оставить машину включенной, то кто-нибудь может взять ключ шифрования из ОЗУ и позже расшифровать диск.

Так что мне делать, если я большую часть времени держу его в спящем режиме или даже просто заблокирую?

Это проблема безопасности против юзабилити. Вы должны решить для себя, насколько ценны ваши данные и в каких ситуациях лучше выключать питание, чем спать.

Один совет - использовать инструмент шифрования с открытым исходным кодом. Битлокер является примирительным, что означает, что только Microsoft имеет доступ к исходному коду. Если они намеренно установят черный ход или испортят реализацию шифрования, никто за пределами Microsoft не узнает и не сможет это исправить.

Инструмент с открытым исходным кодом, такой как Truecrypt, позволяет любому загружать и просматривать исходный код. Это означает, что независимые третьи стороны могут проверить, что нет никаких бэкдоров или серьезных ошибок.

user2675345
источник
Чтобы взломать AES потребуется триллионы лет, вам нужен надежный пароль. Вот хорошее руководство о том, как создать надежный