Що насправді шифрує BitLocker і коли?

Мені потрібно повне шифрування диска для бізнес-ноутбуків, що працюють в поточній версії Windows 10 Pro. Комп'ютери мають накопичувач NVMe SSD від Samsung та процесор Intel Core i5-8000.

На сьогоднішній день в деяких веб-дослідженнях доступні лише два варіанти: Microsoft BitLocker та VeraCrypt. Я цілком усвідомлюю стан відкритого та закритого джерела та наслідки для безпеки, які пов'язані з цим.

Прочитавши деяку інформацію про BitLocker, яку я ніколи раніше не використовував, у мене складається враження, що починаючи з Windows 10 BitLocker шифрує тільки щойно записані дані на диску, але не все, що вже існує, з міркувань продуктивності. (Ця документація говорить, що у мене є вибір, але я цього не роблю. Вони не запитували мене, що я хочу після активації.) Я раніше використовував шифрування системи TrueCrypt і знаю, що наявне шифрування даних - це видиме завдання, яке потребує кілька годин. Я не можу спостерігати за такою поведінкою з BitLocker. Немає помітної фонової процесорної чи дискової активності.

Активувати BitLocker - це дуже просто. Натисніть кнопку, збережіть ключ відновлення десь безпечно, готово. Той самий процес з VeraCrypt змусив мене відмовитися від ідеї. Мені потрібно було створити повністю працюючий пристрій відновлення, навіть для тестування на викидній системі.

Я також читав, що в даний час VeraCrypt має ваду дизайну, яка робить деякі NVMe SSD надзвичайно повільними з системним шифруванням. Я не можу це перевірити, оскільки налаштування занадто складна. Принаймні після активації BitLocker я не бачу значних змін у продуктивності диска. Також команда VeraCrypt не має достатньо ресурсів, щоб виправити цю "складну помилку". Крім того, оновлення Windows 10 не може працювати з програмою VeraCrypt на місці , що робить необхідними часті видалення та шифрування повного диска. Я сподіваюся, що BitLocker працює тут краще.

Тому я майже вирішив використовувати BitLocker. Але мені потрібно зрозуміти, що це робить. На жаль, в Інтернеті майже немає інформації про це. Більшість складається з публікацій блогу, які дають огляд, але не мають стислої поглибленої інформації. Тому я прошу тут.

Після активації BitLocker в системі з одним приводом, що відбувається з існуючими даними? Що відбувається з новими даними? Що означає "призупинити BitLocker"? (Не те саме, що постійно деактивувати його і тим самим розшифрувати всі дані на диску.) Як я можу перевірити стан шифрування або змусити шифрувати всі існуючі дані? (Я не маю на увазі невикористаний простір, мені це не байдуже, і це потрібно для SSD, див. TRIM.) Чи є більш детальні дані та дії щодо BitLocker, окрім "призупинити" та "розшифрувати"?

І, можливо, на стороні примітки, як BitLocker співвідноситься з EFS (зашифрованою файловою системою)? Якщо зашифровані лише нещодавно записані файли, схоже, що EFS має дуже подібний ефект. Але я знаю, як управляти EFS, це набагато зрозуміліше.

Активація BitLocker запустить фоновий процес, який шифрує всі існуючі дані. (На жорстких дисках це традиційно довгий процес, оскільки йому потрібно читати та переписувати кожен сектор розділів - на самокодируючих дисках це може бути моментально.) Тож, коли кажуть, що тільки щойно записані дані шифруються, це негайно посилається на стан після активації BitLocker і більше не відповідає дійсності після завершення завдання шифрування фону. Статус цього процесу можна побачити в тому ж вікні панелі управління BitLocker і при необхідності призупинити.

Статтю Microsoft потрібно уважно прочитати: вона фактично говорить про шифрування лише використаних областей диска. Вони просто рекламувати це як такі, що найбільший вплив на свіжі системи, де у вас немає яких - небудь даних ще крім базової ОС (і , отже , все дані будуть «знову написано»). Тобто, Windows 10 буде шифрувати всі існуючі файли після активації - він просто не буде витрачати час шифрування секторів диска , які не містять нічого ще. (Ви можете відмовитися від цієї оптимізації за допомогою групової політики.)

(Стаття також вказує на зворотний бік: області, в яких раніше зберігалися видалені файли, також будуть пропущені як "невикористані". Тому, якщо шифрувати добре використану систему, виконайте протирання вільного простору за допомогою інструмента, а потім дозвольте Windows запустити TRIM, якщо у вас SSD, перш ніж активувати BitLocker. Або скористайтеся груповою політикою, щоб відключити цю поведінку.)

У цій же статті також згадуються останні версії Windows, що підтримують самозашифровувані SSD, використовуючи стандарт OPAL. Отже, причина, по якій ви не бачите жодного фонового вводу-виводу, може бути в тому, що SSD був зашифрований внутрішньо з першого дня, і BitLocker розпізнав це і взяв на себе лише керування ключами на рівні SSD замість того, щоб дублювати зусилля шифрування на рівні ОС. Тобто SSD більше не відключається при включенні, але вимагає, щоб Windows зробила це. Це можна вимкнути за допомогою групової політики, якщо ви віддаєте перевагу ОС для керування шифруванням незалежно.

Призупинення роботи BitLocker призводить до того, що безпосередньо на диск записується проста копія головного ключа. (Зазвичай цей головний ключ спочатку шифрується вашим паролем або з TPM.) Якщо він підвішений, це дозволяє розблокувати диск самостійно - явно незахищений стан, але він дозволяє Windows Update перепрограмувати TPM на відповідність оновленій ОС , наприклад. Відновлення BitLocker просто витирає цей простий ключ з диска.

BitLocker не пов’язаний з EFS - останній працює на рівні файлів, пов'язуючи ключі з обліковими записами користувачів Windows (дозволяє дрібно конфігурувати конфігурацію, але унеможливлює шифрування власних файлів ОС), тоді як перший працює на цілому диску. Їх можна використовувати разом, хоча BitLocker здебільшого робить EFS зайвим.

(Зверніть увагу, що і BitLocker, і EFS мають механізми для корпоративних адміністраторів Active Directory для відновлення зашифрованих даних - будь то резервне копіювання головного ключа BitLocker в AD або додавання агента відновлення даних EFS до всіх файлів.)