Co i kiedy faktycznie szyfruje funkcja BitLocker?

34

Potrzebuję pełnego szyfrowania dysku dla laptopów biznesowych z aktualną wersją systemu Windows 10 Pro. Komputery mają dysk SSD NVMe firmy Samsung i procesor Intel Core i5-8000.

Z niektórych dzisiejszych badań internetowych są obecnie dostępne tylko dwie opcje: Microsoft BitLocker i VeraCrypt. Jestem w pełni świadomy stanu otwartego i zamkniętego źródła oraz związanych z tym konsekwencji bezpieczeństwa.

Po przeczytaniu informacji o funkcji BitLocker, z której nigdy wcześniej nie korzystałem, mam wrażenie, że począwszy od systemu Windows 10 funkcja BitLocker szyfruje tylko nowo zapisane dane na dysku, ale nie wszystko, co już istnieje, ze względu na wydajność. (Ta dokumentacja mówi, że mam wybór, ale nie mam. Nie pytali mnie, co chcę po aktywacji.) W przeszłości korzystałem z szyfrowania systemu TrueCrypt i wiem, że istniejące szyfrowanie danych jest widocznym zadaniem, które wymaga kilka godzin. Nie mogę zaobserwować takiego zachowania z funkcją BitLocker. Brak zauważalnej aktywności procesora lub dysku w tle.

Aktywacja funkcji BitLocker jest naprawdę łatwa. Kliknij przycisk, zapisz klucz odzyskiwania w bezpiecznym miejscu, gotowe. Ten sam proces z VeraCrypt sprawił, że porzuciłem ten pomysł. Musiałem stworzyć w pełni działające urządzenie do odzyskiwania, nawet do celów testowych w systemie wyrzucania.

Przeczytałem również, że VeraCrypt ma obecnie wadę projektową, która powoduje, że niektóre dyski SSD NVMe są wyjątkowo wolne z szyfrowaniem systemowym. Nie mogę tego zweryfikować, ponieważ konfiguracja jest zbyt skomplikowana. Przynajmniej po aktywacji funkcji BitLocker nie widzę znaczącej zmiany w wydajności dysku. Również zespół VeraCrypt nie ma wystarczających zasobów, aby naprawić ten „skomplikowany błąd”. Ponadto aktualizacje systemu Windows 10 nie mogą działać z zainstalowanym VeraCrypt , co wymaga częstego usuwania i szyfrowania całego dysku. Mam nadzieję, że funkcja BitLocker działa tutaj lepiej.

Więc prawie się zdecydowałem na użycie funkcji BitLocker. Ale muszę zrozumieć, co to robi. Niestety, prawie nie ma informacji na ten temat w Internecie. Większość składa się z postów na blogu, które zawierają przegląd, ale nie zawierają zwięzłych szczegółowych informacji. Więc pytam tutaj.

Po aktywacji funkcji BitLocker w systemie z jednym dyskiem co dzieje się z istniejącymi danymi? Co stanie się z nowymi danymi? Co to znaczy „zawiesić funkcję BitLocker”? (Nie to samo, co na stałe dezaktywację, a tym samym odszyfrowanie wszystkich danych na dysku.) Jak mogę sprawdzić status szyfrowania lub wymusić szyfrowanie wszystkich istniejących danych? (Nie mam na myśli nieużywanego miejsca, nie dbam o to, a jest to wymagane w przypadku dysków SSD, zobacz TRIM.) Czy są jakieś bardziej szczegółowe dane i działania dotyczące BitLocker inne niż „zawieszenie” i „odszyfrowanie”?

A może na marginesie, w jaki sposób BitLocker odnosi się do EFS (zaszyfrowanego systemu plików)? Jeśli tylko nowo zapisane pliki są szyfrowane, EFS wydaje się mieć bardzo podobny efekt. Ale wiem, jak obsługiwać EFS, jest to o wiele bardziej zrozumiałe.

ygoe
źródło

Odpowiedzi:

41

Aktywacja funkcji BitLocker uruchomi proces w tle, który szyfruje wszystkie istniejące dane. (Na dyskach HDD jest to tradycyjnie długi proces, ponieważ musi odczytać i przepisać każdy sektor partycji - na dyskach samoszyfrujących może być natychmiastowy.) Więc kiedy mówi się, że tylko nowo zapisane dane są szyfrowane, odnosi się to natychmiast do stanu po aktywacji funkcją BitLocker i nie jest już prawdą po zakończeniu zadania szyfrowania w tle. Status tego procesu można zobaczyć w tym samym oknie panelu sterowania funkcją BitLocker i w razie potrzeby zatrzymać.

Artykuł Microsoft należy przeczytać uważnie: w rzeczywistości mówi on o szyfrowaniu tylko używanych obszarów dysku. Po prostu reklamują to jako mające największy wpływ na świeże systemy, w których nie masz jeszcze żadnych danych poza podstawowym systemem operacyjnym (a zatem wszystkie dane zostaną „nowo zapisane”). Oznacza to, że system Windows 10 będzie szyfrować wszystkie istniejące pliki po aktywacji - to po prostu nie będzie tracić czasu szyfrowanie sektorów dysku, które nie zawierają jeszcze nic. (Możesz zrezygnować z tej optymalizacji za pomocą zasad grupy.)

(W artykule wskazano również na wadę: obszary, w których wcześniej znajdowały się usunięte pliki, zostaną również pominięte jako „nieużywane”. Jeśli więc szyfrujesz dobrze używany system, wyczyść wolne miejsce za pomocą narzędzia, a następnie pozwól systemowi Windows uruchomić TRIM, jeśli masz dysk SSD, wszystko przed aktywacją funkcji BitLocker. Lub użyj zasad grupy, aby wyłączyć to zachowanie).

W tym samym artykule wspomniano również o najnowszych wersjach systemu Windows obsługujących samoszyfrujące dyski SSD wykorzystujące standard OPAL. Powodem, dla którego nie widzisz żadnych operacji we / wy w tle, może być to, że dysk SSD był szyfrowany wewnętrznie od pierwszego dnia, a funkcja BitLocker rozpoznała to i przejęła zarządzanie kluczami na poziomie dysku SSD zamiast powielać wysiłek szyfrowania na poziomie systemu operacyjnego. Oznacza to, że dysk SSD nie odblokowuje się już po włączeniu, ale wymaga tego system Windows. Można to wyłączyć za pomocą zasad grupy, jeśli wolisz, aby system operacyjny obsługiwał szyfrowanie niezależnie.

Zawieszenie funkcji BitLocker powoduje zapisanie zwykłego tekstu klucza „master” bezpośrednio na dysku. (Zwykle ten klucz główny jest najpierw szyfrowany za pomocą hasła lub modułu TPM.) Po zawieszeniu umożliwia odblokowanie dysku we własnym zakresie - wyraźnie niepewny stan, ale umożliwia programowi Windows Update przeprogramowanie modułu TPM w celu dopasowania do zaktualizowanego systemu operacyjnego , na przykład. Wznowienie funkcji BitLocker po prostu usuwa ten zwykły klucz z dysku.

Funkcja BitLocker nie jest powiązana z EFS - ten ostatni działa na poziomie plików, kojarząc klucze z kontami użytkowników Windows (umożliwiając precyzyjną konfigurację, ale uniemożliwiając szyfrowanie własnych plików systemu operacyjnego), podczas gdy ten pierwszy działa na poziomie całego dysku. Mogą być używane razem, chociaż BitLocker przeważnie sprawia EFS zbędny.

(Należy pamiętać, że zarówno funkcja BitLocker, jak i EFS mają mechanizmy dla korporacyjnych administratorów usługi Active Directory w celu odzyskania zaszyfrowanych danych - czy to przez wykonanie kopii zapasowej klucza głównego BitLocker w AD, czy poprzez dodanie agenta odzyskiwania danych EFS do wszystkich plików).

grawitacja
źródło
Niezły przegląd, dziękuję. W odniesieniu do ostatniego zdania: Widzę wiele przypadków użycia - BitLocker szyfruje mój dysk twardy przed osobami spoza firmy, ale moja grupa IT może uzyskać dostęp do wszystkich danych pod moją nieobecność, ponieważ mają klucz główny. EFS działa dobrze w przypadku dokumentów, do których nie chcę, aby mój dział IT lub mój kierownik miał dostęp.
Aganju
6
@Aganju: Ta sama grupa IT prawdopodobnie wdrożyła już zasadę, która wyznacza agenta odzyskiwania danych EFS . Jeśli masz dokumenty, do których nie chcesz, aby dział IT miał dostęp, nie przechowuj ich w ogóle na urządzeniu firmowym.
grawity
2
„Bitlocker (...) szyfruje wszystkie istniejące dane (...) działa na poziomie całego dysku” -> zapomniałeś wspomnieć o partycjach. W przypadku dysku twardego z 2 partycjami aktywowałem Bitlocker, aby zaszyfrować tylko 1 z nich (ten z danymi, a nie systemem operacyjnym). Podczas uruchamiania systemu operacyjnego opartego na systemie Linux można odczytać tylko dane z niezaszyfrowanej partycji.
CPHPython
@CPHPython: Prawda i tutaj prawdopodobnie staje się niespójna - w trybie oprogramowania jest w stanie zaszyfrować tylko partycję, ale w trybie SSD (OPAL2) nie jestem pewien, czy ta zdolność istnieje. Myślę, że blokuje cały dysk i (o ile udało mi się zrozumieć OPAL) „PBA” odblokuje go przed uruchomieniem jakiegokolwiek systemu operacyjnego.
grawity