Cosa crittografa effettivamente BitLocker e quando?

Ho bisogno della crittografia completa del disco per i computer portatili aziendali che eseguono una versione corrente di Windows 10 Pro. I computer dispongono di un'unità SSD NVMe di Samsung e di una CPU Intel Core i5-8000.

Da alcune ricerche web oggi, ci sono attualmente solo due opzioni disponibili: Microsoft BitLocker e VeraCrypt. Sono pienamente consapevole dello stato di open e closed source e delle implicazioni di sicurezza che ne derivano.

Dopo aver letto alcune informazioni su BitLocker, che non avevo mai usato prima, ho l'impressione che a partire da Windows 10 BitLocker crittografa solo i dati appena scritti sul disco ma non tutto ciò che già esiste, per motivi di prestazioni. (Quella documentazione dice che ho una scelta, ma io no. Non mi hanno chiesto cosa voglio dopo averla attivata.) Ho usato la crittografia di sistema TrueCrypt in passato e so che la crittografia dei dati esistente è un'attività visibile che richiede qualche ora. Non riesco a osservare tale comportamento con BitLocker. Nessuna notevole attività in background della CPU o del disco.

Attivare BitLocker è davvero semplice. Fare clic su un pulsante, salvare la chiave di ripristino in un posto sicuro, fatto. Lo stesso processo con VeraCrypt mi ha fatto abbandonare l'idea. Avevo bisogno di creare effettivamente un dispositivo di recupero completamente funzionante, anche a scopo di test su un sistema a scomparsa.

Ho anche letto che VeraCrypt attualmente ha un difetto di progettazione che rende alcuni SSD NVMe estremamente lenti con la crittografia di sistema. Non riesco a verificarlo perché l'installazione è troppo complicata. Almeno dopo aver attivato BitLocker, non riesco a vedere un cambiamento significativo nelle prestazioni del disco. Anche il team di VeraCrypt ha risorse insufficienti per correggere quel "bug complicato". Inoltre, gli aggiornamenti di Windows 10 non possono funzionare con VeraCrypt sul posto , il che rende necessari frequenti de-cifrature e disc-disk completi. Spero che BitLocker funzioni meglio qui.

Quindi sono quasi deciso di usare BitLocker. Ma devo capire cosa fa. Sfortunatamente, non ci sono quasi informazioni al riguardo online. La maggior parte è costituita da post di blog che offrono una panoramica ma nessuna informazione concisa e approfondita. Quindi sto chiedendo qui.

Dopo aver attivato BitLocker su un sistema a unità singola, cosa succede ai dati esistenti? Cosa succede ai nuovi dati? Cosa significa "sospendere BitLocker"? (Non è come disattivarlo in modo permanente e quindi decrittografare tutti i dati sul disco.) Come posso controllare lo stato della crittografia o forzare la crittografia di tutti i dati esistenti? (Non intendo lo spazio inutilizzato, non mi interessa, ed è necessario per gli SSD, vedi TRIM.) Esistono dati e azioni più dettagliati su BitLocker oltre a "suspend" e "decrypt"?

E forse su una nota a margine, in che modo BitLocker si collega a EFS (file system crittografato)? Se vengono crittografati solo i file appena scritti, EFS sembra avere un effetto molto simile. Ma so come utilizzare EFS, è molto più comprensibile.

— ygoe
fonte

L'attivazione di BitLocker avvierà un processo in background che crittografa tutti i dati esistenti. (Negli HDD questo è tradizionalmente un lungo processo in quanto deve leggere e riscrivere tutti i settori della partizione - su dischi con crittografia automatica può essere istantaneo.) Quindi, quando si dice che solo i dati appena scritti vengono crittografati, ciò si riferisce immediatamente allo stato dopo l' attivazione di BitLocker e non è più vero al termine dell'attività di crittografia in background. Lo stato di questo processo può essere visualizzato nella stessa finestra del pannello di controllo di BitLocker e, se necessario, sospeso.

L'articolo di Microsoft deve essere letto attentamente: in realtà parla della crittografia solo delle aree utilizzate del disco. Semplicemente pubblicizzano questo come il più grande impatto sui nuovi sistemi, dove non hai ancora dati oltre al sistema operativo di base (e quindi tutti i dati saranno "appena scritti"). Cioè, di Windows 10 sarà crittografare tutti i file esistenti dopo l'attivazione - semplicemente non sprecare settori del disco in tempo la crittografia che non contengono nulla ancora. (Puoi disattivare questa ottimizzazione tramite Criteri di gruppo.)

(L'articolo sottolinea anche un aspetto negativo: le aree che in precedenza contenevano file eliminati verranno anche ignorate come "inutilizzate". Quindi, se si crittografa un sistema ben utilizzato, eseguire una pulizia dello spazio libero utilizzando uno strumento, quindi lasciare eseguire Windows TRIM se hai un SSD, tutto prima di attivare BitLocker. Oppure usa i Criteri di gruppo per disabilitare questo comportamento.)

Nello stesso articolo, si fa menzione delle recenti versioni di Windows che supportano SSD con crittografia automatica che utilizzano lo standard OPAL. Quindi il motivo per cui non vedi alcun I / O in background potrebbe essere perché l'SSD è stato crittografato internamente dal primo giorno, e BitLocker l'ha riconosciuto e ha assunto solo la gestione delle chiavi a livello di SSD invece di duplicare lo sforzo di crittografia a livello di sistema operativo. Cioè, l'SSD non si sblocca più all'accensione ma richiede che Windows lo faccia. Questo può essere disabilitato tramite Criteri di gruppo, se si preferisce che il sistema operativo gestisca la crittografia a prescindere.

La sospensione di BitLocker provoca la scrittura diretta su disco di una copia in testo semplice della chiave "master". (Di solito questa chiave principale viene prima crittografata con la tua password o con un TPM.) Mentre è sospeso, questo consente al disco di essere sbloccato da solo - chiaramente uno stato non sicuro, ma consente a Windows Update di riprogrammare il TPM in modo che corrisponda al sistema operativo aggiornato , per esempio. La ripresa di BitLocker cancella semplicemente questa chiave semplice dal disco.

BitLocker non è correlato a EFS: quest'ultimo funziona a livello di file, associando le chiavi agli account utente di Windows (consentendo una configurazione dettagliata ma rendendo impossibile la crittografia dei file del sistema operativo), mentre il primo funziona a livello di intero disco. Possono essere usati insieme, anche se BitLocker rende principalmente EFS ridondante.

(Si noti che sia BitLocker che EFS dispongono di meccanismi per gli amministratori aziendali di Active Directory per ripristinare i dati crittografati, sia eseguendo il backup della chiave master BitLocker in AD, sia aggiungendo un agente di recupero dati EFS a tutti i file.)

— grawity
fonte

Bella panoramica, grazie. Per quanto riguarda l'ultima frase: vedo molti casi d'uso: BitLocker crittografa il mio disco rigido contro persone esterne all'azienda, ma il mio gruppo IT può accedere a tutti i dati in mia assenza, poiché dispongono della chiave principale. EFS funziona bene per i documenti a cui non voglio che il mio reparto IT o il mio manager possano accedere.

— Aganju,

@Aganju: lo stesso gruppo IT probabilmente ha già implementato una politica che designa un agente di recupero dati EFS . Se si dispone di documenti a cui non si desidera accedere al reparto IT, non archiviarli su un dispositivo aziendale.

— Grawity,

"Bitlocker (...) crittografa tutti i dati esistenti (...) funziona a livello di intero disco" -> hai dimenticato di menzionare le partizioni. Con un HDD con 2 partizioni, ho attivato Bitlocker per crittografarne solo 1 (quello con i dati, non il sistema operativo). Quando si avvia con un sistema operativo basato su Linux, è possibile leggere solo i dati della partizione non crittografata.

— CPHPython,

@CPHPython: Vero, ed è qui che probabilmente diventa incoerente: in modalità software è in grado di crittografare solo una partizione, ma in modalità SSD (OPAL2) non sono sicuro che questa capacità esista. Penso che blocchi l'intero disco e (per quanto sono riuscito a capire OPAL) il 'PBA' lo sbloccherà prima che qualsiasi sistema operativo venga eseguito.

— Grawity,