Лучше использовать Bitlocker или встроенное шифрование диска, которое предлагает мой SSD?

17

Моя система:

  • Intel Core i7-4790, который поддерживает AES-NI
  • ASUS Z97-PRO mobo
  • Samsung 250GB EVO SSD (со встроенной опцией шифрования)
  • 64-битная Windows 7

Если я просто хочу зашифровать свой загрузочный диск с помощью AES256 или аналогичного устройства, какая разница / более высокая производительность / более безопасная? Включите Windows Bitlocker и не используйте шифрование SSD, или включите шифрование встроенного диска, которое предлагает SSD, и не беспокойтесь о Bitlocker?

Я думаю, что было бы лучше разгрузить шифрование на SSD с помощью опции шифрования Evo, чтобы процессор не выполнял никакого шифрования, это могло бы быть лучше для производительности ввода-вывода и дать процессору передышку ? Или, поскольку этот процессор имеет AES-NI, это может не иметь значения?

Я новичок в Bitlocker и этой опции шифрования SSD, поэтому любая помощь очень ценится.

Эдди
источник
1
вы можете прочитать этот подробный ответ
phuclv
Может быть, вам стоит попробовать сделать сравнительный анализ каждого варианта и опубликовать его здесь для дальнейшего использования, учитывая, что в Интернете недостаточно информации, чтобы ответить на этот вопрос, AFAIK.
Эдель Херардо,

Ответы:

6

Старый вопрос, но с тех пор было найдено несколько новых разработок, касающихся Bitlocker и шифрования диска (используется отдельно или в комбинации), поэтому я переверну пару своих комментариев на странице к ответу. Может быть, это полезно кому-то, кто проводит поиск в 2018 году и позже.

Bitlocker (один):
в его истории было несколько способов взломать Bitlocker, к счастью, большинство из них уже были исправлены / исправлены в 2018 году. Что остается (известно), например, «Cold Boot Attack» - новейшая версия из которых действительно не является специфическим для Bitlocker (вам нужен физический доступ к работающему компьютеру и кража ключей шифрования и всего остального прямо из памяти).

Аппаратное шифрование дисковода SSD и Bitlocker:
новая уязвимость появилась в 2018 году; если диск SSD имеет аппаратное шифрование, которое есть у большинства SSD, Bitlocker по умолчанию использует только это. Это означает, что, если само это шифрование было взломано, пользователь по существу не имеет никакой защиты вообще.
Диски, которые, как известно, страдают от этой уязвимости, включают (но, вероятно, не ограничиваются):
Crucial MX100, MX200, MX300 серии Samgung 840 EVO, 850 EVO, T3, T5

Больше информации о проблеме шифрования SSD здесь:
https://twitter.com/matthew_d_green/status/1059435094421712896

А реальная статья (в формате PDF) углубляется в проблему здесь:
t.co/UGTsvnFv9Y?amp=1

Так что ответ на самом деле таков; Поскольку Bitlocker использует аппаратное шифрование дисков и имеет свои собственные уязвимости, лучше использовать аппаратное шифрование, если ваш SSD отсутствует в списке взломанных SSD.

Если ваш диск находится в списке, вам лучше использовать что-то другое, поскольку Bitlocker все равно будет использовать шифрование диска. В чем вопрос; в Linux я бы порекомендовал LUKS, например.

DocWeird
источник
1
Вы можете запретить Windows использовать аппаратное шифрование . найдите на странице «Как заставить BitLocker использовать программное шифрование».
User42
1

Я провел некоторое исследование по этому вопросу, и у меня для вас есть полный ответ.

  1. Всегда лучше использовать аппаратное шифрование на диске с самошифрованием, если вы используете программное шифрование на битлокере или другой программе шифрования, это приведет к снижению скорости чтения между 25% и 45%. вы могли увидеть падение производительности минимум на 10%. (обратите внимание, у вас должен быть SSD с чипом TMP)

  2. Bitlocker совместим с аппаратным шифрованием, вы можете использовать магию samsung. v 4.9.6 (v5 больше не поддерживает это), чтобы стереть диск и включить аппаратное шифрование.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. Вы можете включить аппаратное шифрование через BIOS, установив мастер-пароль. Вам нужно будет выполнить некоторые из шагов в статье выше, например, отключить CMS.

  2. Чтобы ответить на ваш вопрос, я не знаю, что быстрее. Я обратился к Samsung, но дал ограниченную информацию об этом. Если я не найду разработчика, я сомневаюсь, что получу хороший ответ, который является лучшим вариантом. На данный момент я планирую включить аппаратное шифрование в моем BIOS.

Colin
источник
Вы говорите "это лучше" просто из соображений производительности? Оба метода шифрования обычно обеспечивают одинаковую безопасность? Я слышал о «самошифрующихся» дисках с потрясающе плохим шифрованием - быстро, да, но на самом деле не безопасно.
user1686
Битлокер был взломан, и это было подтверждено экспертами по безопасности. По сути, если вы можете подделать AD и т. Д., Необходимые для входа на компьютер, вы также можете обойти Bitlocker в этом процессе.
DocWeird
Прошу прощения, @DocWeird, но утверждение о том, что Bitlocker был взломан, означает, что AES-256 был взломан - и не было. Что именно ты имеешь ввиду? Повторный вход в систему, который не имеет отношения к Bitlocker! Вы можете загрузиться с диска Bitlocker без входа в систему вообще! Битлокер не намерен удерживать другие авторизованные пользователи на вашем компьютере от чтения ваших файлов, а скорее препятствует доступу к содержимому жесткого диска, если кто-то украдет диск и подключит его к другому компьютеру (что позволит им обойти все SID- контроль доступа на основе). Вы уверены, что не думаете об EFS?
Джейми Ханрахан
Существует несколько способов взлома Bitlocker, большинство из которых уже исправлены / устранены (в том числе и новейшая версия Cold Boot Attack, которая на самом деле не относится к Bitlocker), один из них - просто обойти проверку подлинности Windows на (украденном) компьютере (это связано с подделка контроллера домена, локальный кеш паролей и смена пароля - все это приводит к TPM, дающему ключ дешифрования). Больше здесь: itworld.com/article/3005181/…
DocWeird
И поскольку мы находимся в уязвимостях Bitlocker, только что появилась новая; если на SSD-диске установлено аппаратное шифрование, по умолчанию Bitlocker использует только это. Это означает, что если это шифрование было взломано, пользователь по существу не имеет никакой защиты вообще. Больше здесь: mobile.twitter.com/matthew_d_green/status/1059435094421712896 и реальная статья (в формате PDF) здесь: t.co/UGTsvnFv9Y?amp=1
DocWeird
0

Я не знаком с вашим диском и вариантами шифрования, которые он предлагает, однако аппаратное шифрование может использоваться с несколькими операционными системами (например, если вы хотите выполнить двойную загрузку Windows и Linux), тогда как шифрование программного обеспечения может быть сложнее настроить. Кроме того, безопасность обоих методов зависит от того, как и где вы храните свои ключи шифрования.

Я думаю, что было бы лучше разгрузить шифрование на SSD с помощью опции шифрования Evo, чтобы процессор не выполнял никакого шифрования, это могло бы быть лучше для производительности ввода-вывода и дать процессору передышку ?

Вы правы, аппаратное шифрование не снижает скорость обработки компьютера.

Я никогда не использовал шифрование ни на одном из своих устройств, поэтому извините, что не могу помочь вам с фактическим процессом его включения. Обращаем ваше внимание, что в большинстве случаев включение шифрования приводит к удалению диска (BitLocker НЕ удаляет данные, однако он имеет крайне отдаленную вероятность повреждения, как и для всех программ для шифрования в реальном времени). Если вы хотите иметь совместимый с несколькими ОС зашифрованный диск, который остается разблокированным до выключения компьютера, используйте функцию аппаратного шифрования, которую предлагает ваш жесткий диск. Но если вы хотите что-то более безопасное, но ограниченное Windows, попробуйте BitLocker. Надеюсь, я помог!

wateroverflow9102
источник
Сначала вы говорите: «Я точно знаю, что аппаратное шифрование является более безопасным», но в конце вы говорите, что он полностью противоположен («если вы хотите совместимость, используйте аппаратное шифрование, но если вы хотите что-то более безопасное, попробуйте BitLocker»). ). Какой ты имел ввиду? Вы учитывали такие вещи, как описано в этой статье ?
user1686
3
hardware-based encryption is generally more secureэто неверно. Это может быть быстрее, но безопасность зависит от стандарта шифрования, а не от аппаратного или программного обеспечения, потому что независимо от того, как вы зашифруете файл, выходные данные будут одинаковыми с тем же ключом
phuclv
-2

Давайте сделаем немного Википедии.

BitLocker

BitLocker - это функция полного шифрования диска. Он предназначен для защиты данных за счет шифрования целых томов.

BitLocker - это система шифрования логических томов. Том может быть или не быть целым жестким диском, или он может охватывать один или несколько физических дисков. Кроме того, при включении TPM и BitLocker могут обеспечить целостность доверенного загрузочного пути (например, BIOS, загрузочного сектора и т. Д.), Чтобы предотвратить большинство физических атак в автономном режиме, вредоносных программ загрузочного сектора и т. Д.

Согласно Microsoft, BitLocker не содержит намеренно встроенного бэкдора; без бэкдора у правоохранительных органов не будет гарантированного доступа к данным на дисках пользователя, предоставленных Microsoft.

Самошифрующийся диск

Аппаратное шифрование, встроенное в накопитель или в корпус накопителя, заметно прозрачно для пользователя. Диск, за исключением проверки подлинности при загрузке, работает так же, как и любой диск, без снижения производительности. В отличие от программного обеспечения для шифрования дисков, здесь нет никаких сложностей или проблем с производительностью, поскольку все шифрование невидимо для операционной системы и процессора хост-компьютеров.

Два основных варианта использования: защита данных в состоянии покоя и криптографическое стирание диска.

При защите данных в состоянии покоя ноутбук просто отключается. Диск теперь сам защищает все данные на нем. Данные в безопасности, потому что все они, даже ОС, теперь зашифрованы с безопасным режимом AES и защищены от чтения и записи. Диск требует код аутентификации, который может быть настолько сильным, как 32 байта (2 ^ 256) для разблокировки.

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание. Исследователи из Университета Эрланген-Нюрнберга продемонстрировали ряд атак, основанных на переносе диска на другой компьютер без отключения питания. Кроме того, может оказаться возможным перезагрузить компьютер в управляемую злоумышленником операционную систему без отключения питания накопителя.

решение суда

Я думаю, что самые важные строки это:

В отличие от программного обеспечения для шифрования дисков, здесь нет никаких сложностей или проблем с производительностью, поскольку все шифрование невидимо для операционной системы и процессора хост-компьютеров.

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание.

Поскольку BitLocker является программным обеспечением для шифрования диска, он работает медленнее, чем аппаратное полное шифрование диска. Тем не менее, диск с самошифрованием остается разблокированным до тех пор, пока он имеет силу с момента последнего разблокирования. Выключение компьютера защитит диск.

Таким образом, у вас есть более безопасный BitLocker или более производительный диск с самошифрованием.

NatoBoram
источник
1
Я считаю, что вопрос не относится к EFS.
Скотт
@ Скотт Я верю, что ты прав, но я старался изо всех сил, чтобы помочь. По крайней мере, теперь у нас есть больше информации о BitLocker, это может помочь будущему ответу, если кто-то знает, что такое SSD-шифрование.
NatoBoram
1
@NatoBoram - «По крайней мере, теперь у нас есть больше информации о BitLocker» - Больше информации о хорошо документированной функции не отвечает на вопрос автора. Пожалуйста, отредактируйте свой ответ так, чтобы он непосредственно отвечал на вопрос автора.
Ramhound
Bitlocker также обеспечивает аппаратное шифрование
NetwOrchestration
2
Тот факт, что операция аппаратного шифрования на диске невидима для операционной системы, не означает, что она не замедляет работу диска настолько, что использование шифрования на базе процессора будет быстрее в целом.
simpleuser
-4

Обновление: я считаю, что этот ответ был правильным и является примером реального опыта работы предприятия в области аппаратного обеспечения и безопасности. Возможно, я не смог предоставить подробности в своем первоначальном ответе, который создал отрицательные голоса, но также дал представление о мыслительном процессе для более окончательного ответа от сообщества в целом. Windows, но блокировщик был взломан с момента запуска и был хорошо известной проблемой, и не включен в корпоративную ОС Windows, но доступен для пакетов уровня потребителя для уровня безопасности / поддержки диапазона, NSA Backdoor.

Я бы выбрал встроенное в Samsung EVO SSD шифрование, поскольку оно изначально оптимизировано и является одним из лучших SSD для обеспечения безопасности в корпоративных средах. Также, если вы потеряете ключ, Samsung может разблокировать его за плату через серийный номер на SSD.

CymaTechs
источник
2
Тот факт, что Samsung может разблокировать твердотельный накопитель через серийный номер, - это красный флаг imho. Либо Samsung использует алгоритм для создания ключа на основе серийного номера, либо имеет базу данных с ключами.
RS Finance
Согласитесь с @RSFinance. Если другая сторона может получить ваши защищенные данные без вашего разрешения, это небезопасно.
UtahJarhead
1
@RSFinance За исключением того, что это не факт, а фантазия. При использовании Opal SSC-совместимого диска это невозможно по конструкции - при условии, что вы правильно инициализировали диск перед использованием, так что даже теоретическая возможность производителя знать ключ шифрования не учитывается. Вы можете не доверять фактическому соответствию твердотельных накопителей Samsung Opal SSC, но это другая история.
UnclickableCharacter