Лучше использовать Bitlocker или встроенное шифрование диска, которое предлагает мой SSD?

16615
Eddie

Моя система:

  • Intel Core i7-4790, который поддерживает AES-NI
  • ASUS Z97-PRO mobo
  • Samsung 250GB EVO SSD (со встроенной опцией шифрования)
  • 64-битная Windows 7

Если я просто хочу зашифровать свой загрузочный диск с помощью AES256 или аналогичного устройства, какая разница / более высокая производительность / более безопасная? Включите Windows Bitlocker и не используйте шифрование SSD, или включите шифрование встроенного диска, которое предлагает SSD, и не беспокойтесь о Bitlocker?

Я думаю, что было бы лучше перенести шифрование на SSD с помощью опции шифрования Evo, чтобы процессор не выполнял никакого шифрования, это могло бы быть лучше для производительности ввода-вывода и дать ЦП передышку ? Или, поскольку этот процессор имеет AES-NI, это может не иметь значения?

Я новичок в Bitlocker и этот вариант шифрования SSD, поэтому любая помощь очень ценится.

14
Вы можете прочитать [этот подробный ответ] (https://superuser.com/a/1358498/241386) phuclv 5 лет назад 1
Возможно, вам следует попробовать сделать сравнительный анализ каждого варианта и опубликовать его здесь для дальнейшего использования, учитывая, что в Интернете недостаточно информации, чтобы ответить на этот вопрос, AFAIK. Edel Gerardo 5 лет назад 0

5 ответов на вопрос

1
DocWeird

Старый вопрос, но с тех пор было найдено несколько новых разработок, касающихся Bitlocker и шифрования диска (используется отдельно или в комбинации), поэтому я переверну пару своих комментариев на странице к ответу. Может быть, это полезно кому-то, кто проводит поиск в 2018 году и позже.

Bitlocker (один):
в его истории было несколько способов взломать Bitlocker, к счастью, большинство из них уже были исправлены / исправлены в 2018 году. Что остается (известно), например, «Cold Boot Attack» - новейшая версия из которых на самом деле не специфичен для Bitlocker (вам нужен физический доступ к работающему компьютеру и кража ключей шифрования и всего остального прямо из памяти).

Аппаратное шифрование дисковода SSD и Bitlocker:
новая уязвимость появилась в 2018 году; если на SSD-диске установлено аппаратное шифрование, которое есть у большинства SSD, Bitlocker по умолчанию использует только это. Это означает, что если само это шифрование было взломано, пользователь по существу не имеет никакой защиты вообще.
Диски, которые, как известно, страдают от этой уязвимости, включают (но, вероятно, не ограничиваются):
Crucial MX100, MX200, MX300 серии Samgung 840 EVO, 850 EVO, T3, T5

Больше информации о проблеме шифрования SSD здесь:
https://twitter.com/matthew_d_green/status/1059435094421712896

А реальная статья (в формате PDF) углубляется в проблему здесь:
t.co/UGTsvnFv9Y?amp=1

Так что ответ на самом деле таков; Поскольку Bitlocker использует аппаратное шифрование дисков и имеет свои собственные уязвимости, лучше использовать аппаратное шифрование, если ваш SSD отсутствует в списке взломанных SSD.

Если ваш диск находится в списке, вам лучше использовать что-то другое, поскольку Bitlocker все равно будет использовать шифрование диска. В чем вопрос; в Linux я бы порекомендовал LUKS, например.

0
colin

Я провел некоторое исследование по этому вопросу, и у меня для вас есть полный ответ.

  1. Всегда лучше использовать аппаратное шифрование на накопителе с самошифрованием, если вы используете программное шифрование на BitLocker или другой программе шифрования, это приведет к снижению скорости чтения между 25% и 45%. вы могли увидеть падение производительности минимум на 10%. (обратите внимание, у вас должен быть SSD с чипом TMP)

  2. Bitlocker совместим с аппаратным шифрованием, вы можете использовать магию samsung. v 4.9.6 (v5 больше не поддерживает это), чтобы стереть диск и включить аппаратное шифрование.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. Вы можете включить аппаратное шифрование через BIOS, установив мастер-пароль. Вам нужно будет выполнить некоторые из шагов, описанных в статье выше, например отключить CMS.

  2. Чтобы ответить на ваш вопрос, я не знаю, что быстрее. Я обратился к Samsung, но дал ограниченную информацию об этом. Если я не найду разработчика, я сомневаюсь, что получу хороший ответ, который является лучшим вариантом. На данный момент я планирую включить аппаратное шифрование в моем BIOS.

Вы говорите "это лучше" просто из соображений производительности? Оба метода шифрования обеспечивают одинаковую безопасность? Я слышал о «самошифрующихся» дисках с шокирующе плохим шифрованием - быстро, да, но на самом деле не безопасно. grawity 6 лет назад 0
Битлокер был взломан, и это было доказано экспертами по безопасности. По сути, если вы можете подделать AD и т. Д., Необходимые для входа на компьютер, вы также можете обойти Bitlocker в этом процессе. DocWeird 6 лет назад 0
Прошу прощения, @DocWeird, но утверждение о том, что Bitlocker был взломан, означает, что AES-256 был взломан - и не было. Что именно ты имеешь ввиду? Повторный вход в систему, который не имеет отношения к Bitlocker! Вы можете загрузиться с диска Bitlocker без входа в систему вообще! Битлокер не предназначен для того, чтобы другие авторизованные пользователи на вашем компьютере не могли читать ваши файлы, а должен препятствовать доступу к содержимому жесткого диска, если кто-то украдет диск и подключит его к другому компьютеру (что позволит им обойти все SID- контроль доступа на основе). Вы уверены, что не думаете об EFS? Jamie Hanrahan 5 лет назад 0
Существует несколько способов взлома Bitlocker, большинство из которых уже исправлены / устранены (включая последнюю версию Cold Boot Attack, которая на самом деле не относится к Bitlocker), один из них - просто обойти проверку подлинности Windows на (украденном) компьютере (это связано с подделка контроллера домена, локальный кеш паролей и смена пароля - все это приводит к TPM, дающему ключ дешифрования). Подробнее здесь: https://www.itworld.com/article/3005181/bitlocker-encryption-can-be-defeated-with-trivial-windows-authentication-bypass.html DocWeird 5 лет назад 0
И поскольку мы находимся в уязвимостях Bitlocker, только что появилась новая; если на SSD-диске установлено аппаратное шифрование, по умолчанию Bitlocker использует только это. Это означает, что если это шифрование было взломано, пользователь по существу не имеет никакой защиты вообще. Подробнее здесь: https://mobile.twitter.com/matthew_d_green/status/1059435094421712896 и фактическая статья (в формате PDF) здесь: https://t.co/UGTsvnFv9Y?amp=1 DocWeird 5 лет назад 0
-1
anthony_

I am not familiar with your drive and the encryption options it offers, however hardware encryption can be used with multiple operating systems (e.g. when you want to dual-boot Windows and Linux), while software encryption might be harder to configure. Also, the safety of both methods depends on how and where you store your encryption keys.

I'm thinking it might be better to offload the encryption to the SSD by using the Evo's encryption option, so that the processor doesn't have to do any encryption, this might be better for i/o performance and give the CPU a breather?

You are right, hardware-based encryption does not lower the computer's processing speed.

I have never used encryption on any of my devices, so I'm sorry that I can't help you with the actual process of enabling it. Please do note that in most cases enabling encryption causes the drive to get erased (BitLocker does NOT erase data, however it has an extremely remote chance of corruption, as it is with all live-encryption software). If you want to have multi-OS compatible encrypted drive which stays unlocked until the computer is shut down, go with the hardware encryption feature your hard drive offers. But, if you want something a little more secure but limited to Windows, try out BitLocker. Hope I helped!

Сначала вы заявляете: «Я точно знаю, что аппаратное шифрование является более безопасным», но в конце вы говорите, что он полностью противоположен («Если вы хотите совместимость, используйте аппаратное шифрование, но если вы хотите что-то более безопасное, попробуйте BitLocker»). ). Какой ты имел ввиду? Учитывали ли вы такие вещи, как [описано в этой статье] (https://arstechnica.com/security/2015/10/western-digital-self-encrypting-hard-drives-riddled-with-security-flaws/)? grawity 6 лет назад 0
«Аппаратное шифрование, как правило, более безопасно» - неверно. Это может быть быстрее, но безопасность зависит от стандарта шифрования, а не от аппаратного или программного обеспечения, потому что независимо от того, как вы зашифруете файл, выходные данные будут одинаковыми с тем же ключом phuclv 5 лет назад 1
-2
NatoBoram

Давайте сделаем немного Википедии.

BitLocker

BitLocker - это функция полного шифрования диска. Он предназначен для защиты данных за счет шифрования целых томов.

BitLocker - это система шифрования логических томов. Том может быть или не быть целым жестким диском, или он может охватывать один или несколько физических дисков. Кроме того, при включении TPM и BitLocker могут обеспечить целостность доверенного загрузочного пути (например, BIOS, загрузочного сектора и т. Д.), Чтобы предотвратить большинство физических атак в автономном режиме, вредоносных программ загрузочного сектора и т. Д.

Согласно Microsoft, BitLocker не содержит намеренно встроенного бэкдора; без бэкдора у правоохранительных органов не будет гарантированного доступа к данным на дисках пользователя, предоставленных Microsoft.

Самошифрующийся диск

Аппаратное шифрование, встроенное в накопитель или в корпус накопителя, заметно прозрачно для пользователя. Диск, за исключением проверки подлинности при загрузке, работает так же, как и любой диск, без снижения производительности. В отличие от программного обеспечения для шифрования дисков, здесь нет никаких сложностей или проблем с производительностью, поскольку все шифрование невидимо для операционной системы и процессора хост-компьютеров.

Два основных варианта использования: защита данных в состоянии покоя и криптографическое стирание диска.

При защите данных в состоянии покоя ноутбук просто отключается. Диск теперь сам защищает все данные на нем. Данные в безопасности, потому что все они, даже ОС, теперь зашифрованы с безопасным режимом AES и защищены от чтения и записи. Диск требует код аутентификации, который может быть настолько сильным, как 32 байта (2 ^ 256) для разблокировки.

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание. Исследователи из Университета Эрланген-Нюрнберга продемонстрировали ряд атак, основанных на перемещении диска на другой компьютер без отключения питания. Кроме того, возможно перезагрузить компьютер в управляемую злоумышленником операционную систему без отключения питания накопителя.

решение суда

Я думаю, что самые важные строки это:

В отличие от программного обеспечения для шифрования дисков, здесь нет никаких сложностей или проблем с производительностью, поскольку все шифрование невидимо для операционной системы и процессора хост-компьютеров.

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание.

Поскольку BitLocker является программным обеспечением для шифрования диска, он медленнее, чем аппаратное полное шифрование диска. Тем не менее, диск с самошифрованием остается разблокированным до тех пор, пока он имеет силу с момента последнего разблокирования. Выключение компьютера защитит диск.

Таким образом, у вас есть более безопасный BitLocker или более производительный диск с самошифрованием.

Я считаю, что вопрос *** не *** относится к EFS. Scott 7 лет назад 1
@ Скотт Я верю, что ты прав, но я старался изо всех сил, чтобы помочь. По крайней мере, теперь у нас есть больше информации о BitLocker, это может помочь в будущем, если кто-то знает, что такое SSD-шифрование. NatoBoram 7 лет назад 0
@NatoBoram - «По крайней мере, теперь у нас есть больше информации о BitLocker» - Больше информации о хорошо документированной функции не отвечает на вопрос автора. Пожалуйста, отредактируйте свой ответ так, чтобы он напрямую отвечал на вопрос автора. Ramhound 7 лет назад 1
Bitlocker также предоставляет [Аппаратное шифрование] (https://helgeklein.com/blog/2015/01/how-to-enable-bitlocker-hardware-encryption-with-ssd/) NetwOrchestration 7 лет назад 0
Тот факт, что операция аппаратного шифрования на диске невидима для операционной системы, не означает, что она не замедляет работу диска настолько, что использование шифрования на базе процессора будет быстрее в целом. simpleuser 6 лет назад 2
@simpleuser Это утверждение не имеет смысла. Выделенное оборудование будет почти быстрее, чем инструкция AES ЦП, даже если ЦП имеет выделенную схему для указанной операции. Ramhound 6 лет назад 0
@Ramhound. В целом система может работать медленнее из-за использования ЦП или использования диска, или в этом случае снижения производительности диска / использования ЦП для шифрования. Возможно, производительность, потерянная из-за аппаратного шифрования, более заметна, чем использование ЦП программным аналогом, в зависимости от используемого диска. Edel Gerardo 5 лет назад 0
-3
CymaTechs

Я бы выбрал встроенное в Samsung EVO SSD шифрование, поскольку оно изначально оптимизировано и является одним из лучших SSD для обеспечения безопасности в корпоративных средах. Также, если вы потеряете ключ, Samsung может разблокировать его за плату через серийный номер на SSD.

Тот факт, что Samsung может разблокировать твердотельный накопитель через серийный номер, - это красный флаг imho. Либо Samsung использует алгоритм для создания ключа на основе серийного номера, либо имеет базу данных с ключами. RS Finance 5 лет назад 2
Согласитесь с @RSFinance. Если другая сторона может получить ваши защищенные данные без вашего разрешения, это небезопасно. UtahJarhead 5 лет назад 0

Похожие вопросы