Czy lepiej jest używać Bitlockera lub wbudowanego szyfrowania dysku, które oferuje mój dysk SSD?

17

Mój system:

  • Intel Core i7-4790, który obsługuje AES-NI
  • ASUS Z97-PRO mobo
  • Dysk SSD EVO Samsung 250 GB (z wbudowaną opcją szyfrowania)
  • 64-bitowy system Windows 7

Jeśli chcę po prostu zaszyfrować dysk rozruchowy za pomocą AES256 lub podobnego, jaka byłaby różnica / szybsza wydajność / bezpieczniejsza? Włącz Windows Bitlocker i nie używaj szyfrowania SSD, lub włącz wbudowane szyfrowanie dysku, które oferuje SSD, i nie martwisz się o Bitlocker?

Myślę, że lepiej byłoby odciążyć szyfrowanie na dysk SSD za pomocą opcji szyfrowania Evo, aby procesor nie musiał wykonywać żadnego szyfrowania, może to być lepsze dla wydajności I / O i dać procesorowi spokój ? Lub skoro ten procesor ma AES-NI, może nie mieć znaczenia?

Jestem nowy w Bitlocker i tej opcji szyfrowania SSD, więc każda pomoc jest bardzo ceniona.

ssd bitlocker disk-encryption aes opal-ssc Eddie
źródło
1
możesz przeczytać tę szczegółową odpowiedź
phuclv
Może powinieneś spróbować przeprowadzić analizę porównawczą każdej opcji i opublikować ją tutaj w celu odniesienia w przyszłości, biorąc pod uwagę, że w Internecie nie ma wystarczających informacji, aby odpowiedzieć na to pytanie, AFAIK.
Edel Gerardo,

Odpowiedzi:

6

Stare pytanie, ale od tego czasu odkryto kilka nowych zmian dotyczących Bitlockera i szyfrowania dysków (używanych samodzielnie lub w kombinacji), więc zamienię kilka moich komentarzy na stronie na odpowiedź. Może przyda się komuś, kto szuka w 2018 r. I później.

Bitlocker (sam):
Istnieje kilka sposobów na złamanie Bitlockera w jego historii, na szczęście większość z nich została już załatana / złagodzona w 2018 roku. Pozostał (znany) to na przykład „Cold Boot Attack” - najnowsza wersja z których tak naprawdę nie jest specyficzny dla Bitlockera (potrzebujesz fizycznego dostępu do działającego komputera i kradnij klucze szyfrowania i wszystko inne, prosto z pamięci).

Szyfrowanie sprzętowe dysków SSD i Bitlocker:
w 2018 r. Pojawiła się nowa luka; jeśli dysk SSD ma szyfrowanie sprzętowe, które ma większość dysków SSD, Bitlocker domyślnie używa tylko tego. Co oznacza, że ​​jeśli samo szyfrowanie zostało złamane, użytkownik zasadniczo nie ma żadnej ochrony.
Dyski, o których wiadomo, że są podatne na tę lukę, obejmują (ale prawdopodobnie nie wyłącznie):
Crucial MX100, MX200, MX300 series Samgung 840 EVO, 850 EVO, T3, T5

Więcej informacji o problemie z szyfrowaniem SSD tutaj:
https://twitter.com/matthew_d_green/status/1059435094421712896

A faktyczny papier (w formacie PDF) zagłębia się głębiej w problem tutaj:
t.co/UGTsvnFv9Y?amp=1

Tak więc odpowiedź naprawdę brzmi; ponieważ Bitlocker korzysta z szyfrowania sprzętowego dysków i ma swoje własne podatności, lepiej korzystać z szyfrowania sprzętowego, jeśli dysku SSD nie ma na liście pękniętych dysków SSD.

Jeśli twój dysk znajduje się na liście, lepiej jest użyć czegoś zupełnie innego, ponieważ Bitlocker i tak użyłby szyfrowania dysku. Jakie jest pytanie; w systemie Linux poleciłbym na przykład LUKS.

DocWeird
źródło
1
Możesz uniemożliwić systemowi Windows szyfrowanie sprzętowe . wyszukaj na stronie „Jak sprawić, by funkcja BitLocker używała szyfrowania programowego”.
User42
1

Prowadziłem badania w tej sprawie i mam dla ciebie w połowie pełną odpowiedź.

  1. Zawsze lepiej jest używać szyfrowania sprzętowego na dysku samoszyfrującym, jeśli użyjesz szyfrowania programowego w programie do blokowania bitów lub innym programie szyfrującym, spowoduje to między 25% a 45% spowolnienie prędkości odczytu. możesz zaobserwować spadek wydajności o co najmniej 10%. (pamiętaj, że musisz mieć dysk SSD z układem TMP)

  2. Bitlocker jest kompatybilny z szyfrowaniem sprzętowym, możesz użyć magii Samsunga. Wersja 4.9.6 (wersja 5 już tego nie obsługuje), aby wyczyścić dysk i włączyć szyfrowanie sprzętowe.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. można włączyć szyfrowanie sprzętowe za pomocą systemu BIOS, ustawiając hasło główne. Musisz wykonać niektóre czynności z powyższego artykułu, na przykład wyłączyć CMS.

  2. Aby odpowiedzieć na twoje pytanie, tak naprawdę nie wiem, co jest szybsze. Skontaktowałem się z firmą Samsung, ale podałem ograniczone informacje na ten temat. O ile nie dostanę programisty, wątpię, czy otrzymam dobrą odpowiedź na to, która opcja jest lepsza. Na razie planuję włączyć szyfrowanie sprzętowe w moim systemie BIOS.

Colin
źródło
Czy mówisz „lepiej” wyłącznie ze względu na wydajność? Czy obie metody szyfrowania ogólnie zapewniają identyczne bezpieczeństwo? Słyszałem, że dyski „samoszyfrujące” mają szokująco złe szyfrowanie - szybkie, tak, ale w rzeczywistości nie są bezpieczne.
user1686,
Bitlocker został naruszony, a eksperci ds. Bezpieczeństwa zdemoralizowali go. Zasadniczo, jeśli możesz sfałszować AD itp. Potrzebne do zalogowania się na komputerze, możesz również ominąć Bitlocker.
DocWeird,
Proszę o wybaczenie, @DocWeird, ale twierdzenie, że doszło do naruszenia Bitlockera, to twierdzenie, że doszło do naruszenia AES-256 - i tak nie było. Co dokładnie masz na myśli? Ponownie zaloguj się, to nie ma znaczenia dla Bitlocker! Możesz uruchomić komputer z dysku Bitlocker bez logowania! Bitlocker nie ma na celu powstrzymywania innych autoryzowanych użytkowników na twoim komputerze od czytania twoich plików, ale raczej uniemożliwia dostęp do zawartości dysku twardego, jeśli ktoś ukradnie dysk i połączy go z innym komputerem (co pozwoliłoby im ominąć wszystkie identyfikatory SID- oparta na kontroli dostępu). Czy na pewno nie myślisz o EFS?
Jamie Hanrahan
Istnieje dziewięć sposobów na przełamanie Bitlockera, większość z nich już została załatana / złagodzona (w tym także najnowsza wersja Cold Boot Attack, która tak naprawdę nie jest specyficzna dla Bitlockera), jednym z nich było po prostu ominięcie uwierzytelnienia Windows na (skradzionym) komputerze (dotyczyło to sfałszowanie kontrolera domeny, lokalna pamięć podręczna haseł i zmiana hasła - które prowadzą do tego, że moduł TPM uzyskuje klucz odszyfrowujący). Więcej tutaj: itworld.com/article/3005181/…
DocWeird,
A ponieważ mamy luki w zabezpieczeniach Bitlocker, właśnie pojawiła się nowa; jeśli dysk SSD ma szyfrowanie sprzętowe, Bitlocker domyślnie używa tylko tego. Co oznacza, że ​​jeśli to szyfrowanie zostało złamane, użytkownik zasadniczo nie ma żadnej ochrony. Więcej tutaj: mobile.twitter.com/matthew_d_green/status/1059435094421712896 i faktyczny artykuł (jako PDF) tutaj: t.co/UGTsvnFv9Y?amp=1
DocWeird
0

Nie znam twojego napędu i oferowanych przez niego opcji szyfrowania, jednak szyfrowania sprzętowego można używać z wieloma systemami operacyjnymi (np. Gdy chcesz uruchomić system Windows i Linux z podwójnym uruchomieniem), podczas gdy szyfrowanie oprogramowania może być trudniejsze do skonfigurowania. Ponadto bezpieczeństwo obu metod zależy od sposobu i miejsca przechowywania kluczy szyfrowania.

Myślę, że lepiej byłoby odciążyć szyfrowanie na dysk SSD za pomocą opcji szyfrowania Evo, aby procesor nie musiał wykonywać żadnego szyfrowania, może to być lepsze dla wydajności we / wy i dać procesorowi spokój ?

Masz rację, szyfrowanie sprzętowe nie obniża szybkości przetwarzania komputera.

Nigdy nie korzystałem z szyfrowania na żadnym z moich urządzeń, dlatego przykro mi, że nie mogę pomóc w rzeczywistym procesie jego włączania. Należy pamiętać, że w większości przypadków włączenie szyfrowania powoduje wymazanie dysku (funkcja BitLocker NIE kasuje danych, ale ma bardzo małą szansę na uszkodzenie, podobnie jak w przypadku wszystkich programów szyfrujących na żywo). Jeśli chcesz mieć szyfrowany dysk zgodny z wieloma systemami operacyjnymi, który pozostaje odblokowany do momentu wyłączenia komputera, skorzystaj z funkcji szyfrowania sprzętowego oferowanej przez dysk twardy. Ale jeśli chcesz czegoś nieco bardziej bezpiecznego, ale ograniczonego do systemu Windows, wypróbuj funkcję BitLocker. Mam nadzieję, że pomogłem!

wateroverflow9102
źródło
Na początku stwierdzasz „Wiem, że szyfrowanie sprzętowe jest bezpieczniejsze”, ale na koniec mówisz, że jest całkowicie przeciwny („jeśli chcesz kompatybilny, użyj szyfrowania sprzętowego, ale jeśli chcesz czegoś bardziej bezpiecznego, wypróbuj BitLocker”) ). Który miałeś na myśli? Czy bierzesz pod uwagę rzeczy opisane w tym artykule ?
user1686,
3
hardware-based encryption is generally more securejest nieprawidłowe. Może być szybszy, ale bezpieczeństwo zależy od standardu szyfrowania, a nie od sprzętu lub oprogramowania, ponieważ niezależnie od sposobu szyfrowania pliku, wyjście będzie takie samo z tym samym kluczem
phuclv
-2

Zróbmy trochę Wikipedii.

BitLocker

BitLocker to funkcja pełnego szyfrowania dysku. Jest przeznaczony do ochrony danych poprzez szyfrowanie całych woluminów.

BitLocker to system szyfrowania woluminów logicznych. Wolumin może, ale nie musi być całym dyskiem twardym, lub może obejmować jeden lub więcej dysków fizycznych. Po włączeniu TPM i BitLocker mogą zapewnić integralność zaufanej ścieżki rozruchowej (np. BIOS, sektor rozruchowy itp.), Aby zapobiec większości fizycznych ataków offline, złośliwego oprogramowania sektora rozruchowego itp.

Według Microsoftu funkcja BitLocker nie zawiera celowo wbudowanego backdoora; bez backdoora nie ma sposobu, aby organy ścigania miały zagwarantowane przejście do danych na dyskach użytkownika dostarczanych przez Microsoft.

Dysk samoszyfrujący

Szyfrowanie sprzętowe, gdy jest wbudowane w dysk lub w obudowę dysku, jest szczególnie przejrzyste dla użytkownika. Dysk oprócz uwierzytelniania rozruchowego działa tak samo jak każdy dysk bez obniżania wydajności. W przeciwieństwie do oprogramowania do szyfrowania dysku nie ma żadnych komplikacji ani obciążeń związanych z wydajnością, ponieważ całe szyfrowanie jest niewidoczne dla systemu operacyjnego i procesora komputera hosta.

Dwa główne przypadki użycia to ochrona danych w spoczynku i wymazywanie dysku kryptograficznego.

W ochronie danych w spoczynku laptop jest po prostu wyłączany. Dysk sam teraz chroni wszystkie dane na nim. Dane są bezpieczne, ponieważ wszystkie, nawet system operacyjny, są teraz szyfrowane, z bezpiecznym trybem AES i blokowane przed odczytem i zapisem. Dysk wymaga kodu uwierzytelniającego, który może mieć nawet 32 ​​bajty (2 ^ 256), aby odblokować.

Typowe dyski samoszyfrujące po odblokowaniu pozostaną odblokowane tak długo, jak długo będzie zapewnione zasilanie. Naukowcy z Universität Erlangen-Nürnberg zademonstrowali szereg ataków polegających na przeniesieniu napędu na inny komputer bez obniżania mocy. Ponadto może być możliwe ponowne uruchomienie komputera w systemie operacyjnym kontrolowanym przez osobę atakującą bez odłączania zasilania dysku.

Werdykt

Myślę, że najważniejsze są następujące linie:

W przeciwieństwie do oprogramowania do szyfrowania dysku nie ma żadnych komplikacji ani obciążeń związanych z wydajnością, ponieważ całe szyfrowanie jest niewidoczne dla systemu operacyjnego i procesora komputera hosta.

Typowe dyski samoszyfrujące po odblokowaniu pozostaną odblokowane tak długo, jak długo będzie zapewnione zasilanie.

Ponieważ BitLocker jest oprogramowaniem do szyfrowania dysku, działa wolniej niż sprzętowe szyfrowanie całego dysku. Jednak dysk samoszyfrujący pozostaje odblokowany, dopóki ma moc od ostatniego odblokowania. Wyłączenie komputera zabezpieczy dysk.

Więc masz bezpieczniejszą funkcję BitLocker lub bardziej wydajny dysk samoszyfrujący.

NatoBoram
źródło
1
Uważam, że pytanie nie dotyczy EFS.
Scott,
@Scott Uważam, że masz rację, ale starałem się jak najlepiej pomóc. Przynajmniej teraz mamy więcej informacji o funkcji BitLocker, może to pomóc w przyszłości, jeśli ktoś wie, co to dokładnie jest szyfrowanie SSD.
NatoBoram,
1
@NatoBoram - „Przynajmniej teraz mamy więcej informacji o funkcji BitLocker” - Więcej informacji na temat dobrze udokumentowanej funkcji nie odpowiada na pytanie autora. Edytuj swoją odpowiedź, aby bezpośrednio dotyczyła pytania autora.
Ramhound
Bitlocker zapewnia również szyfrowanie sprzętowe
NetwOrchestration
2
To, że operacja szyfrowania sprzętowego na dysku jest niewidoczna dla systemu operacyjnego, nie oznacza, że ​​nie spowalnia on działania dysku na tyle, że użycie szyfrowania na bazie procesora byłoby ogólnie szybsze.
simpleuser
-4

Aktualizacja: uważam, że ta odpowiedź była poprawna i stanowi przykład prawdziwego doświadczenia korporacyjnego w zakresie sprzętu i bezpieczeństwa. Być może w mojej wstępnej odpowiedzi nie przedstawiłem szczegółów, które wywołały głosy przegłosowane, ale zapewniłem także wgląd w proces myślowy w celu uzyskania bardziej rozstrzygającej odpowiedzi od całej społeczności. Windows, ale locker został naruszony od czasu premiery i jest dobrze znanym problemem i nie jest zawarty w korporacyjnym systemie operacyjnym Windows, ale jest dostępny dla pakietów na poziomie konsumenta dla warstwy zabezpieczeń / pomocy zespołu, NSA Backdoor.

Wbudowane szyfrowanie dysków SSD Samsung EVO byłoby moim wyborem, ponieważ jest natywnie zoptymalizowane i jest jednym z najlepszych dysków SSD dla bezpieczeństwa w środowiskach korporacyjnych. Również w przypadku zgubienia klucza Samsung może odblokować go za opłatą za pomocą numeru seryjnego na dysku SSD.

CymaTechs
źródło
2
Fakt, że Samsung może odblokować dysk SSD za pomocą numeru seryjnego, to imho z czerwoną flagą. Albo Samsung używa algorytmu do stworzenia klucza na podstawie numeru seryjnego lub ma bazę danych z kluczami.
RS Finance
Zgadzam się z @RSFinance. Jeśli inna strona może uzyskać Twoje bezpieczne dane bez Twojej zgody, nie jest to bezpieczne.
UtahJarhead,
1
@RSFinance Tyle że nie jest to faktem, ale fantazją. Z napędem Opal zgodnym z SSC nie jest to z założenia możliwe - zakładając, że poprawnie zainicjowałeś dysk przed użyciem, dzięki czemu nawet teoretyczna szansa na poznanie klucza szyfrowania jest wykluczona. Możesz nie ufać faktycznej zgodności Samsung SSD z Opal SSC, ale to inna historia.
UnclickableCharacter