Моя система:

• Intel Core i7-4790, який підтримує AES-NI
• ASUS Z97-PRO mobo
• Samsung 250GB EVO SSD (із вбудованою опцією шифрування)
• 64-розрядна Windows 7

Якщо я просто хочу зашифрувати завантажувальний диск за допомогою AES256 або подібного, яка буде різниця / швидша продуктивність / більш безпечна? Увімкніть Windows Bitlocker і не використовуйте шифрування SSD або ввімкніть вбудоване шифрування накопичувача, яке пропонує SSD, і не хвилюєтесь про Bitlocker?

Я думаю, що може бути краще завантажити шифрування на SSD, використовуючи параметр шифрування Evo, так що процесору не доведеться робити шифрування, це може бути кращим для продуктивності вводу / виводу і дати процесору передишку ? Або оскільки цей процесор має AES-NI, це може не мати значення?

Я новачок у Bitlocker і цьому варіанті шифрування SSD, тому будь-яка допомога дуже цінується.

Старе питання, але відтоді було знайдено кілька нових розробок щодо шифрування Bitlocker та накопичувача (використовуються окремо або в комбінації), тому я перетворять пару моїх коментарів на сторінку до відповіді. Можливо, це корисне тому, хто здійснює пошук у 2018 році та пізніше.

Bitlocker (поодинці):
Існувало кілька способів зламати Bitlocker в його історії, на щастя, більшість з них вже зафіксовані / пом'якшені в 2018 році. До решти, що залишилося (відомо), належить, наприклад, "Cold Boot Attack" - найновіша версія з яких насправді не є специфічним для Bitlocker (вам потрібен фізичний доступ до працюючого комп'ютера та вкрасти ключі шифрування та все інше прямо з пам'яті).

Шифрування апаратного забезпечення SSD-накопичувача та Bitlocker:
у 2018 році з’явилася нова вразливість; якщо на диску SSD встановлено апаратне шифрування, яке має більшість SSD, Bitlocker за замовчуванням використовує лише це. Що означає, що якщо саме таке шифрування було зламано, користувач, по суті, взагалі не має захисту.
Диски, які, як відомо, страждають від цієї вразливості, включають (але, мабуть, не обмежуються ними):
вирішальні MX100, MX200, MX300 серії Samgung 840 EVO, 850 EVO, T3, T5

Більше інформації про проблему шифрування SSD тут:
https://twitter.com/matthew_d_green/status/1059435094421712896

А власне папір (як PDF) заглиблюється в проблему тут:
t.co/UGTsvnFv9Y?amp=1

Тож відповідь насправді є; оскільки Bitlocker використовує апаратне шифрування дисків і має власні уразливості, крім того, вам краще використовувати апаратне шифрування, якщо ваш SSD не входить до списку зламаних SSD.

Якщо ваш диск є в списку, вам краще скористатися чимось іншим, оскільки Bitlocker в будь-якому випадку використовує шифрування накопичувача. Яке питання; в Linux я б рекомендував LUKS, наприклад.

Я робив деякі дослідження з цього питання і маю наполовину повну відповідь для вас.

1. Завжди краще використовувати апаратне шифрування на самокодирувальному диску, якщо ви використовуєте програмне шифрування на бітлокері або іншій програмі шифрування, це спричинить десь між 25% і 45% уповільнення швидкості запису. ви могли побачити як мінімум 10% зниження продуктивності. (зауважте, у вас повинен бути SSD з чіпом TMP)

2. Бітлокер сумісний з апаратним шифруванням, ви можете використовувати магію Samsung. v 4.9.6 (v5 більше не підтримує це), щоб стерти диск і включити апаратне шифрування.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. ви можете включити апаратне шифрування через BIOS, встановивши головний пароль. Вам потрібно буде виконати деякі кроки в статті вище, наприклад, вимкнення CMS.

4. Щоб відповісти на ваше запитання, я не знаю, що швидше. Я звернувся до Samsung, але з огляду на обмежену інформацію про це. Якщо я не знайду розробника, я сумніваюся, що отримаю хорошу відповідь, який варіант є кращим. Поки що я планую ввімкнути апаратне шифрування в моїй біографії.

Я не знайомий з вашим накопичувачем та параметрами шифрування, які він пропонує, проте апаратне шифрування можна використовувати в декількох операційних системах (наприклад, коли ви хочете подвійно завантажувати Windows та Linux), тоді як шифрування програмного забезпечення може бути складніше налаштувати. Також безпека обох методів залежить від того, як і де ви зберігаєте свої ключі шифрування.

Я думаю, що може бути краще вивантажити шифрування на SSD, використовуючи параметр шифрування Evo, так що процесору не доведеться робити шифрування, це може бути краще для продуктивності вводу / виводу і дати процесору передишку ?

Ви маєте рацію, апаратне шифрування не знижує швидкість обробки комп'ютера.

Я ніколи не використовував шифрування на жодному зі своїх пристроїв, тому мені шкода, що я не можу допомогти вам у реальному процесі його включення. Зверніть увагу, що в більшості випадків включення шифрування призводить до стирання накопичувача (BitLocker НЕ стирає дані, однак має надзвичайно віддалений шанс пошкодження, як це стосується всього програмного забезпечення для шифрування в реальному часі). Якщо ви хочете мати шифрований накопичувач, сумісний з кількома ОС, який залишається розблокованим, поки комп'ютер не вимкнеться, перейдіть до функції апаратного шифрування, яку пропонує ваш жорсткий диск. Але якщо ви хочете щось більш безпечне, але обмежене Windows, спробуйте BitLocker. Сподіваюся, я допоміг!

Давайте зробимо кілька Wikipédia.

BitLocker

BitLocker - це функція повного шифрування диска. Він призначений для захисту даних, забезпечуючи шифрування для цілих томів.

BitLocker - це логічна система шифрування томів. Об'єм може бути, а може бути, не весь жорсткий диск, або він може охоплювати один або кілька фізичних дисків. Крім того, якщо їх увімкнено, TPM та BitLocker можуть забезпечити цілісність довіреного шляху завантаження (наприклад, BIOS, сектор завантаження тощо), щоб запобігти більшості фізичних атак офлайн, зловмисного програмного забезпечення завантажувального сектора тощо.

На думку Microsoft, BitLocker не містить навмисно вбудованого заднього кузова; без задніх куточків правоохоронці не можуть забезпечити гарантований прохід до даних на накопичувачах користувачів, які надає Microsoft.

Диск самошифрування

Апаратне шифрування, вбудоване в накопичувач або в корпус диска, є чітко прозорим для користувача. Диск, за винятком автентифікації завантаження, працює так само, як і будь-який диск без погіршення продуктивності. На відміну від програмного забезпечення для шифрування диска, немає складних витрат або продуктивності, оскільки все шифрування невидиме для операційної системи та процесора хост-комп'ютерів.

Два основні випадки використання: Data at Rest protection та Cryptographic Disc Erasure.

У програмі Data at Rest захист ноутбука просто вимкнено. Диск тепер захищає всі дані на ньому. Дані є безпечними, оскільки всі вони, навіть ОС, тепер зашифровані, захищені режимом AES та заблоковані від читання та запису. Для розблокування приводу потрібен код автентифікації, який може бути до 32 байт (2 ^ 256).

Типові накопичувачі самокодування, щойно розблоковані, залишатимуться розблокованими до тих пір, поки забезпечується живлення. Дослідники з Університету Ерланген-Нюрнберг продемонстрували ряд нападів, заснованих на переміщенні накопичувача на інший комп'ютер без відключення сили. Крім того, можливо, перезавантажити комп’ютер в операційній системі, керованій зловмисником, без відключення живлення накопичувача.

Вирок

Я думаю, що найважливіші рядки:

На відміну від програмного забезпечення для шифрування диска, немає складних витрат або продуктивності, оскільки все шифрування невидиме для операційної системи та процесора хост-комп'ютерів.

Типові накопичувачі самокодування, щойно розблоковані, залишатимуться розблокованими до тих пір, поки забезпечується живлення.

Оскільки BitLocker - це програмне забезпечення для шифрування диска, воно відбувається повільніше, ніж повне шифрування на основі апаратних засобів. Однак Диск самошифрування залишається розблокованим, доки він не мав живлення з останнього разу, коли він був розблокований. Вимкнення комп'ютера забезпечить диск.

Таким чином, або у вас є більш захищений BitLocker, або більш ефективний диск самокодування.

Оновлення: Я вважаю, що ця відповідь була правильною і є прикладом досвіду корпоративного життя в області апаратних засобів та систем безпеки. Можливо, я не зміг надати деталі у своїй початковій відповіді, яка створила голоси, але також дала розуміння думкового процесу для більш переконливої ​​відповіді від громади в цілому. Windows, але шафка була порушена з моменту запуску, і вона була добре відомою проблемою, і не включається в корпоративну ОС Windows, але доступна для споживачів пакетів рівня для захисту безпеки / смугової допомоги, NSA Backdoor.

Вбудований в шифрування Samsung EVO SSD був би моїм вибором, оскільки він оптимізований і є одним з найкращих SSD-дисків для безпеки в корпоративних умовах. Також якщо ви коли-небудь втратите ключ, Samsung може розблокувати його за певну плату через серійний номер # на SSD.