Mój system:
- Intel Core i7-4790, który obsługuje AES-NI
- ASUS Z97-PRO mobo
- Dysk SSD EVO Samsung 250 GB (z wbudowaną opcją szyfrowania)
- 64-bitowy system Windows 7
Jeśli chcę po prostu zaszyfrować dysk rozruchowy za pomocą AES256 lub podobnego, jaka byłaby różnica / szybsza wydajność / bezpieczniejsza? Włącz Windows Bitlocker i nie używaj szyfrowania SSD, lub włącz wbudowane szyfrowanie dysku, które oferuje SSD, i nie martwisz się o Bitlocker?
Myślę, że lepiej byłoby odciążyć szyfrowanie na dysk SSD za pomocą opcji szyfrowania Evo, aby procesor nie musiał wykonywać żadnego szyfrowania, może to być lepsze dla wydajności I / O i dać procesorowi spokój ? Lub skoro ten procesor ma AES-NI, może nie mieć znaczenia?
Jestem nowy w Bitlocker i tej opcji szyfrowania SSD, więc każda pomoc jest bardzo ceniona.
Odpowiedzi:
Stare pytanie, ale od tego czasu odkryto kilka nowych zmian dotyczących Bitlockera i szyfrowania dysków (używanych samodzielnie lub w kombinacji), więc zamienię kilka moich komentarzy na stronie na odpowiedź. Może przyda się komuś, kto szuka w 2018 r. I później.
Bitlocker (sam):
Istnieje kilka sposobów na złamanie Bitlockera w jego historii, na szczęście większość z nich została już załatana / złagodzona w 2018 roku. Pozostał (znany) to na przykład „Cold Boot Attack” - najnowsza wersja z których tak naprawdę nie jest specyficzny dla Bitlockera (potrzebujesz fizycznego dostępu do działającego komputera i kradnij klucze szyfrowania i wszystko inne, prosto z pamięci).
Szyfrowanie sprzętowe dysków SSD i Bitlocker:
w 2018 r. Pojawiła się nowa luka; jeśli dysk SSD ma szyfrowanie sprzętowe, które ma większość dysków SSD, Bitlocker domyślnie używa tylko tego. Co oznacza, że jeśli samo szyfrowanie zostało złamane, użytkownik zasadniczo nie ma żadnej ochrony.
Dyski, o których wiadomo, że są podatne na tę lukę, obejmują (ale prawdopodobnie nie wyłącznie):
Crucial MX100, MX200, MX300 series Samgung 840 EVO, 850 EVO, T3, T5
Więcej informacji o problemie z szyfrowaniem SSD tutaj:
https://twitter.com/matthew_d_green/status/1059435094421712896
A faktyczny papier (w formacie PDF) zagłębia się głębiej w problem tutaj:
t.co/UGTsvnFv9Y?amp=1
Tak więc odpowiedź naprawdę brzmi; ponieważ Bitlocker korzysta z szyfrowania sprzętowego dysków i ma swoje własne podatności, lepiej korzystać z szyfrowania sprzętowego, jeśli dysku SSD nie ma na liście pękniętych dysków SSD.
Jeśli twój dysk znajduje się na liście, lepiej jest użyć czegoś zupełnie innego, ponieważ Bitlocker i tak użyłby szyfrowania dysku. Jakie jest pytanie; w systemie Linux poleciłbym na przykład LUKS.
źródło
Prowadziłem badania w tej sprawie i mam dla ciebie w połowie pełną odpowiedź.
Zawsze lepiej jest używać szyfrowania sprzętowego na dysku samoszyfrującym, jeśli użyjesz szyfrowania programowego w programie do blokowania bitów lub innym programie szyfrującym, spowoduje to między 25% a 45% spowolnienie prędkości odczytu. możesz zaobserwować spadek wydajności o co najmniej 10%. (pamiętaj, że musisz mieć dysk SSD z układem TMP)
Bitlocker jest kompatybilny z szyfrowaniem sprzętowym, możesz użyć magii Samsunga. Wersja 4.9.6 (wersja 5 już tego nie obsługuje), aby wyczyścić dysk i włączyć szyfrowanie sprzętowe.
http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/
można włączyć szyfrowanie sprzętowe za pomocą systemu BIOS, ustawiając hasło główne. Musisz wykonać niektóre czynności z powyższego artykułu, na przykład wyłączyć CMS.
Aby odpowiedzieć na twoje pytanie, tak naprawdę nie wiem, co jest szybsze. Skontaktowałem się z firmą Samsung, ale podałem ograniczone informacje na ten temat. O ile nie dostanę programisty, wątpię, czy otrzymam dobrą odpowiedź na to, która opcja jest lepsza. Na razie planuję włączyć szyfrowanie sprzętowe w moim systemie BIOS.
źródło
Nie znam twojego napędu i oferowanych przez niego opcji szyfrowania, jednak szyfrowania sprzętowego można używać z wieloma systemami operacyjnymi (np. Gdy chcesz uruchomić system Windows i Linux z podwójnym uruchomieniem), podczas gdy szyfrowanie oprogramowania może być trudniejsze do skonfigurowania. Ponadto bezpieczeństwo obu metod zależy od sposobu i miejsca przechowywania kluczy szyfrowania.
Masz rację, szyfrowanie sprzętowe nie obniża szybkości przetwarzania komputera.
Nigdy nie korzystałem z szyfrowania na żadnym z moich urządzeń, dlatego przykro mi, że nie mogę pomóc w rzeczywistym procesie jego włączania. Należy pamiętać, że w większości przypadków włączenie szyfrowania powoduje wymazanie dysku (funkcja BitLocker NIE kasuje danych, ale ma bardzo małą szansę na uszkodzenie, podobnie jak w przypadku wszystkich programów szyfrujących na żywo). Jeśli chcesz mieć szyfrowany dysk zgodny z wieloma systemami operacyjnymi, który pozostaje odblokowany do momentu wyłączenia komputera, skorzystaj z funkcji szyfrowania sprzętowego oferowanej przez dysk twardy. Ale jeśli chcesz czegoś nieco bardziej bezpiecznego, ale ograniczonego do systemu Windows, wypróbuj funkcję BitLocker. Mam nadzieję, że pomogłem!
źródło
hardware-based encryption is generally more secure
jest nieprawidłowe. Może być szybszy, ale bezpieczeństwo zależy od standardu szyfrowania, a nie od sprzętu lub oprogramowania, ponieważ niezależnie od sposobu szyfrowania pliku, wyjście będzie takie samo z tym samym kluczemZróbmy trochę Wikipedii.
BitLocker
Dysk samoszyfrujący
Werdykt
Myślę, że najważniejsze są następujące linie:
Ponieważ BitLocker jest oprogramowaniem do szyfrowania dysku, działa wolniej niż sprzętowe szyfrowanie całego dysku. Jednak dysk samoszyfrujący pozostaje odblokowany, dopóki ma moc od ostatniego odblokowania. Wyłączenie komputera zabezpieczy dysk.
Więc masz bezpieczniejszą funkcję BitLocker lub bardziej wydajny dysk samoszyfrujący.
źródło
Aktualizacja: uważam, że ta odpowiedź była poprawna i stanowi przykład prawdziwego doświadczenia korporacyjnego w zakresie sprzętu i bezpieczeństwa. Być może w mojej wstępnej odpowiedzi nie przedstawiłem szczegółów, które wywołały głosy przegłosowane, ale zapewniłem także wgląd w proces myślowy w celu uzyskania bardziej rozstrzygającej odpowiedzi od całej społeczności. Windows, ale locker został naruszony od czasu premiery i jest dobrze znanym problemem i nie jest zawarty w korporacyjnym systemie operacyjnym Windows, ale jest dostępny dla pakietów na poziomie konsumenta dla warstwy zabezpieczeń / pomocy zespołu, NSA Backdoor.
Wbudowane szyfrowanie dysków SSD Samsung EVO byłoby moim wyborem, ponieważ jest natywnie zoptymalizowane i jest jednym z najlepszych dysków SSD dla bezpieczeństwa w środowiskach korporacyjnych. Również w przypadku zgubienia klucza Samsung może odblokować go za opłatą za pomocą numeru seryjnego na dysku SSD.
źródło