Чи краще використовувати Bitlocker або вбудований привід-шифрування, який пропонує мій SSD?


17

Моя система:

  • Intel Core i7-4790, який підтримує AES-NI
  • ASUS Z97-PRO mobo
  • Samsung 250GB EVO SSD (із вбудованою опцією шифрування)
  • 64-розрядна Windows 7

Якщо я просто хочу зашифрувати завантажувальний диск за допомогою AES256 або подібного, яка буде різниця / швидша продуктивність / більш безпечна? Увімкніть Windows Bitlocker і не використовуйте шифрування SSD або ввімкніть вбудоване шифрування накопичувача, яке пропонує SSD, і не хвилюєтесь про Bitlocker?

Я думаю, що може бути краще завантажити шифрування на SSD, використовуючи параметр шифрування Evo, так що процесору не доведеться робити шифрування, це може бути кращим для продуктивності вводу / виводу і дати процесору передишку ? Або оскільки цей процесор має AES-NI, це може не мати значення?

Я новачок у Bitlocker і цьому варіанті шифрування SSD, тому будь-яка допомога дуже цінується.


1
ви можете прочитати цю детальну відповідь
phuclv

Можливо, вам слід спробувати зробити тестування кожного варіанту та опублікувати його для подальшого ознайомлення, враховуючи, що в Інтернеті недостатньо інформації для відповіді на це запитання, AFAIK.
Едель Герардо

Відповіді:


6

Старе питання, але відтоді було знайдено кілька нових розробок щодо шифрування Bitlocker та накопичувача (використовуються окремо або в комбінації), тому я перетворять пару моїх коментарів на сторінку до відповіді. Можливо, це корисне тому, хто здійснює пошук у 2018 році та пізніше.

Bitlocker (поодинці):
Існувало кілька способів зламати Bitlocker в його історії, на щастя, більшість з них вже зафіксовані / пом'якшені в 2018 році. До решти, що залишилося (відомо), належить, наприклад, "Cold Boot Attack" - найновіша версія з яких насправді не є специфічним для Bitlocker (вам потрібен фізичний доступ до працюючого комп'ютера та вкрасти ключі шифрування та все інше прямо з пам'яті).

Шифрування апаратного забезпечення SSD-накопичувача та Bitlocker:
у 2018 році з’явилася нова вразливість; якщо на диску SSD встановлено апаратне шифрування, яке має більшість SSD, Bitlocker за замовчуванням використовує лише це. Що означає, що якщо саме таке шифрування було зламано, користувач, по суті, взагалі не має захисту.
Диски, які, як відомо, страждають від цієї вразливості, включають (але, мабуть, не обмежуються ними):
вирішальні MX100, MX200, MX300 серії Samgung 840 EVO, 850 EVO, T3, T5

Більше інформації про проблему шифрування SSD тут:
https://twitter.com/matthew_d_green/status/1059435094421712896

А власне папір (як PDF) заглиблюється в проблему тут:
t.co/UGTsvnFv9Y?amp=1

Тож відповідь насправді є; оскільки Bitlocker використовує апаратне шифрування дисків і має власні уразливості, крім того, вам краще використовувати апаратне шифрування, якщо ваш SSD не входить до списку зламаних SSD.

Якщо ваш диск є в списку, вам краще скористатися чимось іншим, оскільки Bitlocker в будь-якому випадку використовує шифрування накопичувача. Яке питання; в Linux я б рекомендував LUKS, наприклад.


1
Ви можете заборонити Windows використовувати апаратне шифрування . шукайте на сторінці "Як зробити BitLocker за допомогою програмного шифрування".
Користувач42

1

Я робив деякі дослідження з цього питання і маю наполовину повну відповідь для вас.

  1. Завжди краще використовувати апаратне шифрування на самокодирувальному диску, якщо ви використовуєте програмне шифрування на бітлокері або іншій програмі шифрування, це спричинить десь між 25% і 45% уповільнення швидкості запису. ви могли побачити як мінімум 10% зниження продуктивності. (зауважте, у вас повинен бути SSD з чіпом TMP)

  2. Бітлокер сумісний з апаратним шифруванням, ви можете використовувати магію Samsung. v 4.9.6 (v5 більше не підтримує це), щоб стерти диск і включити апаратне шифрування.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. ви можете включити апаратне шифрування через BIOS, встановивши головний пароль. Вам потрібно буде виконати деякі кроки в статті вище, наприклад, вимкнення CMS.

  2. Щоб відповісти на ваше запитання, я не знаю, що швидше. Я звернувся до Samsung, але з огляду на обмежену інформацію про це. Якщо я не знайду розробника, я сумніваюся, що отримаю хорошу відповідь, який варіант є кращим. Поки що я планую ввімкнути апаратне шифрування в моїй біографії.


Ви говорите "краще" виключно з міркувань продуктивності? Чи взагалі обидва способи шифрування забезпечують однакову безпеку? Я чув про "самокодируючі" диски, які мають шокуюче погане шифрування - швидко, так, але насправді не захищено.
користувач1686

Бітлокер був порушений, і це знешкодили експерти з безпеки. По суті, якщо ви можете підробити AD та ін., Необхідні для входу в комп'ютер, ви також можете обійти Bitlocker в процесі.
DocWeird

Вибачте, @DocWeird, але заявляючи, що Bitlocker був порушений, це стверджує, що AES-256 був порушений - і цього не було. Що саме ти маєш на увазі? Повторний логін, це не має значення для Bitlocker! Ви можете завантажуватися з диска Bitlocker, не входячи в систему взагалі! Справа не в тому, що Bitlocker утримує інших авторизованих користувачів на вашій машині не читати ваші файли, а скоріше запобігати доступу до вмісту жорсткого диска, якщо хтось вкраде диск та підключить його до іншої машини (що дозволить їм обійти всі SID- на основі контролю доступу). Ви впевнені, що не думаєте про EFS?
Джеймі Ханрахан

Існує декілька способів зламати Bitlocker, більшість з них вже зафіксовано / пом'якшено (також, включаючи новітню версію Cold Boot Attack, яка насправді не є специфічною для Bitlocker), один - просто обійти автентифікацію Windows на (вкраденому) комп'ютері (це стосується підробка контролера домену, локального кешу паролів та зміни пароля - все це призводить до того, що TPM дає ключ нешифрування). Більше тут: itworld.com/article/3005181/…
DocWeird

А оскільки ми знаходимося вразливими для Бітлоклера, нова тільки що з’явилася; якщо SSD-диск має апаратне шифрування, Bitlocker за замовчуванням використовує лише це. Що означає, що якщо це шифрування було зламано, користувач, по суті, взагалі не має захисту. Більше тут: mobile.twitter.com/matthew_d_green/status/1059435094421712896 та власне папір (як PDF) тут: t.co/UGTsvnFv9Y?amp=1
DocWeird

0

Я не знайомий з вашим накопичувачем та параметрами шифрування, які він пропонує, проте апаратне шифрування можна використовувати в декількох операційних системах (наприклад, коли ви хочете подвійно завантажувати Windows та Linux), тоді як шифрування програмного забезпечення може бути складніше налаштувати. Також безпека обох методів залежить від того, як і де ви зберігаєте свої ключі шифрування.

Я думаю, що може бути краще вивантажити шифрування на SSD, використовуючи параметр шифрування Evo, так що процесору не доведеться робити шифрування, це може бути краще для продуктивності вводу / виводу і дати процесору передишку ?

Ви маєте рацію, апаратне шифрування не знижує швидкість обробки комп'ютера.

Я ніколи не використовував шифрування на жодному зі своїх пристроїв, тому мені шкода, що я не можу допомогти вам у реальному процесі його включення. Зверніть увагу, що в більшості випадків включення шифрування призводить до стирання накопичувача (BitLocker НЕ стирає дані, однак має надзвичайно віддалений шанс пошкодження, як це стосується всього програмного забезпечення для шифрування в реальному часі). Якщо ви хочете мати шифрований накопичувач, сумісний з кількома ОС, який залишається розблокованим, поки комп'ютер не вимкнеться, перейдіть до функції апаратного шифрування, яку пропонує ваш жорсткий диск. Але якщо ви хочете щось більш безпечне, але обмежене Windows, спробуйте BitLocker. Сподіваюся, я допоміг!


Спочатку ви заявляєте, що "я знаю, що апаратне шифрування є більш безпечним", але наприкінці ви говорите, що він повністю протилежний ("якщо ви хочете сумісно, ​​перейдіть до апаратного шифрування, але якщо ви хочете щось більш безпечне, спробуйте BitLocker" ). На кого ви мали на увазі? Чи враховували ви такі речі, як описано в цій статті ?
користувач1686

3
hardware-based encryption is generally more secureневірно. Це може бути швидше, але безпека залежить від стандарту шифрування, а не апаратного чи програмного забезпечення, тому що незалежно від того, як ви шифруєте файл, вихід буде однаковим із тим самим ключем
phuclv

-2

Давайте зробимо кілька Wikipédia.

BitLocker

BitLocker - це функція повного шифрування диска. Він призначений для захисту даних, забезпечуючи шифрування для цілих томів.

BitLocker - це логічна система шифрування томів. Об'єм може бути, а може бути, не весь жорсткий диск, або він може охоплювати один або кілька фізичних дисків. Крім того, якщо їх увімкнено, TPM та BitLocker можуть забезпечити цілісність довіреного шляху завантаження (наприклад, BIOS, сектор завантаження тощо), щоб запобігти більшості фізичних атак офлайн, зловмисного програмного забезпечення завантажувального сектора тощо.

На думку Microsoft, BitLocker не містить навмисно вбудованого заднього кузова; без задніх куточків правоохоронці не можуть забезпечити гарантований прохід до даних на накопичувачах користувачів, які надає Microsoft.

Диск самошифрування

Апаратне шифрування, вбудоване в накопичувач або в корпус диска, є чітко прозорим для користувача. Диск, за винятком автентифікації завантаження, працює так само, як і будь-який диск без погіршення продуктивності. На відміну від програмного забезпечення для шифрування диска, немає складних витрат або продуктивності, оскільки все шифрування невидиме для операційної системи та процесора хост-комп'ютерів.

Два основні випадки використання: Data at Rest protection та Cryptographic Disc Erasure.

У програмі Data at Rest захист ноутбука просто вимкнено. Диск тепер захищає всі дані на ньому. Дані є безпечними, оскільки всі вони, навіть ОС, тепер зашифровані, захищені режимом AES та заблоковані від читання та запису. Для розблокування приводу потрібен код автентифікації, який може бути до 32 байт (2 ^ 256).

Типові накопичувачі самокодування, щойно розблоковані, залишатимуться розблокованими до тих пір, поки забезпечується живлення. Дослідники з Університету Ерланген-Нюрнберг продемонстрували ряд нападів, заснованих на переміщенні накопичувача на інший комп'ютер без відключення сили. Крім того, можливо, перезавантажити комп’ютер в операційній системі, керованій зловмисником, без відключення живлення накопичувача.

Вирок

Я думаю, що найважливіші рядки:

На відміну від програмного забезпечення для шифрування диска, немає складних витрат або продуктивності, оскільки все шифрування невидиме для операційної системи та процесора хост-комп'ютерів.

Типові накопичувачі самокодування, щойно розблоковані, залишатимуться розблокованими до тих пір, поки забезпечується живлення.

Оскільки BitLocker - це програмне забезпечення для шифрування диска, воно відбувається повільніше, ніж повне шифрування на основі апаратних засобів. Однак Диск самошифрування залишається розблокованим, доки він не мав живлення з останнього разу, коли він був розблокований. Вимкнення комп'ютера забезпечить диск.

Таким чином, або у вас є більш захищений BitLocker, або більш ефективний диск самокодування.


1
Я вважаю, що питання не стосується EFS.
Скотт

@Scott Я вважаю, що ти маєш рацію, але я намагався допомогти. Принаймні зараз ми маємо додаткову інформацію про BitLocker, це може допомогти в майбутньому відповісти, якщо хтось знає, що саме таке шифрування SSD.
NatoBoram

1
@NatoBoram - "Принаймні зараз ми маємо додаткову інформацію про BitLocker" - Більше інформації про добре задокументовану функцію не відповідає на запитання автора. Будь ласка, відредагуйте свою відповідь, щоб вона безпосередньо стосувалася питання автора.
Ramhound

Бітлокер також забезпечує апаратне шифрування
NetwOrchestration

2
Тільки тому, що операційна система шифрування накопичувача для операційної системи невидима, це не означає, що вона не уповільнює роботу накопичувача достатньою мірою, що використання шифрування на базі процесора в цілому буде швидше.
simpleuser

-4

Оновлення: Я вважаю, що ця відповідь була правильною і є прикладом досвіду корпоративного життя в області апаратних засобів та систем безпеки. Можливо, я не зміг надати деталі у своїй початковій відповіді, яка створила голоси, але також дала розуміння думкового процесу для більш переконливої ​​відповіді від громади в цілому. Windows, але шафка була порушена з моменту запуску, і вона була добре відомою проблемою, і не включається в корпоративну ОС Windows, але доступна для споживачів пакетів рівня для захисту безпеки / смугової допомоги, NSA Backdoor.

Вбудований в шифрування Samsung EVO SSD був би моїм вибором, оскільки він оптимізований і є одним з найкращих SSD-дисків для безпеки в корпоративних умовах. Також якщо ви коли-небудь втратите ключ, Samsung може розблокувати його за певну плату через серійний номер # на SSD.


2
Те, що Samsung може розблокувати SSD через серійний номер #, є червоним прапором imho. Або Samsung використовує алгоритм для виготовлення ключа на основі серійного номера # або має базу даних з ключами.
RS Finance

Погодьтеся з @RSFinance. Якщо інша сторона може отримати ваші захищені дані без вашого дозволу, вона не захищена.
UtahJarhead

1
@RSFinance Окрім цього, це не факт, а фантазія. З приводом, сумісним з Opal SSC, це неможливо за допомогою дизайну - якщо припустити, що ви правильно ініціалізували привід перед використанням, так що навіть теоретичний шанс продавця, який знає ключ шифрування, залишається недоступним. Ви можете не довіряти фактичній відповідності Samsung SSD Opal SSC, але це вже інша історія.
UnclickableCharacter
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.