È meglio usare Bitlocker o la crittografia integrata nell'unità che offre il mio SSD?


17

Il mio sistema:

  • Intel Core i7-4790, che supporta AES-NI
  • Mobo ASUS Z97-PRO
  • SSD EVO Samsung da 250 GB (con opzione di crittografia integrata)
  • Windows 7 a 64 bit

Se voglio solo crittografare la mia unità di avvio con AES256 o simili, quale sarebbe la differenza / prestazioni più veloci / più sicure? Attivare Bitlocker di Windows e non utilizzare la crittografia SSD o abilitare la crittografia dell'unità integrata offerta dall'SSD e non preoccuparti di Bitlocker?

Sto pensando che potrebbe essere meglio scaricare la crittografia sull'SSD utilizzando l'opzione di crittografia di Evo, in modo che il processore non debba eseguire alcuna crittografia, questo potrebbe essere migliore per le prestazioni di I / O e dare respiro alla CPU ? O dal momento che questa CPU ha AES-NI potrebbe non avere importanza?

Sono nuovo di Bitlocker e questa opzione di crittografia SSD, quindi qualsiasi aiuto è molto apprezzato.


1
potresti voler leggere questa risposta dettagliata
phuclv,

Forse dovresti provare a fare un benchmark di ogni opzione e pubblicarla qui per riferimento futuro, dato che non ci sono abbastanza informazioni su Internet per rispondere a questa domanda, AFAIK.
Edel Gerardo,

Risposte:


6

Vecchia domanda, ma da allora sono stati trovati diversi nuovi sviluppi riguardanti Bitlocker e la crittografia dell'unità (utilizzata da sola o in combinazione), quindi trasformerò un paio di miei commenti sulla pagina in una risposta. Forse è utile a qualcuno che fa una ricerca nel 2018 e in seguito.

Bitlocker (da solo):
ci sono stati diversi modi per violare Bitlocker nella sua storia, per fortuna la maggior parte di essi è già stata patchata / mitigata nel 2018. Ciò che rimane (noto) include, ad esempio, "Cold Boot Attack" - la versione più recente di cui in realtà non è specifico di Bitlocker (è necessario l'accesso fisico a un computer in esecuzione e rubare le chiavi di crittografia e qualsiasi altra cosa, direttamente dalla memoria).

Crittografia hardware dell'unità SSD e Bitlocker:
una nuova vulnerabilità è emersa nel 2018; se un disco SSD ha una crittografia hardware, che la maggior parte degli SSD ha, Bitlocker utilizza automaticamente solo quello. Ciò significa che se la stessa crittografia è stata decifrata, l'utente essenzialmente non ha alcuna protezione.
Le unità che sono note per essere affette da questa vulnerabilità includono (ma probabilmente non sono limitate a):
Crucial MX100, MX200, serie MX300 Samgung 840 EVO, 850 EVO, T3, T5

Maggiori informazioni sul problema di crittografia SSD qui:
https://twitter.com/matthew_d_green/status/1059435094421712896

E il documento attuale (in formato PDF) approfondisce il problema qui:
t.co/UGTsvnFv9Y?amp=1

Quindi la risposta è davvero; poiché Bitlocker utilizza la crittografia hardware dei dischi e ha le proprie vulnerabilità oltre a ciò, è meglio utilizzare la crittografia hardware se il proprio SSD non è nell'elenco degli SSD crackizzati.

Se il tuo disco è nell'elenco, stai meglio usando qualcos'altro interamente poiché Bitlocker userebbe comunque la crittografia dell'unità. Qual'è la domanda; su Linux consiglierei LUKS, per esempio.


1
È possibile impedire a Windows di utilizzare la crittografia hardware . cerca nella pagina "Come fare in modo che BitLocker usi la crittografia software".
Utente42

1

Ho fatto qualche ricerca su questo e ho una risposta mezza completa per te.

  1. È sempre meglio utilizzare la crittografia basata su hardware su un'unità con crittografia automatica, se si utilizza la crittografia basata su software su bitlocker o un altro programma di crittografia, causerà un rallentamento del 25% e del 45% nelle velocità di scrittura in lettura. potresti notare un calo minimo del 10% delle prestazioni. (nota che devi avere un SSD con un chip TMP)

  2. Bitlocker è compatibile con la crittografia basata su hardware, è possibile utilizzare Samsung Magic. v 4.9.6 (v5 non lo supporta più) per cancellare l'unità e abilitare la crittografia basata su hardware.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. è possibile abilitare la crittografia basata su hardware tramite il BIOS impostando la password principale. Dovrai seguire alcuni dei passaggi nell'articolo sopra, come disattivare CMS.

  2. Per rispondere alla tua domanda non so davvero quale sia più veloce. Ho contattato Samsung ma ho dato informazioni limitate su questo. A meno che non ottenga uno sviluppatore, dubito che otterrò una buona risposta a quale sia l'opzione migliore. Per ora ho intenzione di abilitare la crittografia basata su hardware nel mio BIOS.


Stai dicendo "è meglio" solo per motivi di prestazioni? Entrambi i metodi di crittografia offrono generalmente una sicurezza identica? Ho sentito parlare di dischi "auto-crittografati" che hanno una crittografia incredibilmente male - veloce, sì, ma in realtà non sicuro.
user1686

Bitlocker è stato violato e questo è stato dimostrato dagli esperti di sicurezza. In sostanza, se puoi falsificare annunci pubblicitari, ecc. Necessari per accedere al computer, puoi anche ignorare Bitlocker nel processo.
DocWeird,

Chiedo scusa, @DocWeird, ma affermare che Bitlocker è stato violato afferma che AES-256 è stato violato - e non lo è stato. Cosa intendi esattamente? Effettua il login, questo è irrilevante per Bitlocker! Puoi eseguire l'avvio da un'unità Bitlocker senza effettuare l'accesso! Non è intenzione di Bitlocker impedire ad altri utenti autorizzati sul tuo computer di leggere i tuoi file, ma piuttosto impedire l'accesso ai contenuti del disco rigido se qualcuno ruba il disco e lo collega a un altro computer (che consentirebbe loro di bypassare tutti i SID- controllo di accesso basato). Sei sicuro di non pensare a EFS?
Jamie Hanrahan,

Esistono diversi modi per violare Bitlocker, molti dei quali sono già stati corretti / mitigati (inclusa anche la versione più recente di Cold Boot Attack che in realtà non è specifica di Bitlocker), uno era semplicemente bypassare l'autenticazione di Windows sul computer (rubato) (riguardava falsificazione di un controller di dominio, cache delle password locali e modifica di una password, che portano tutti al TPM a produrre la chiave di non crittografia). Altro qui: itworld.com/article/3005181/…
DocWeird

E dal momento che siamo sulle vulnerabilità di Bitlocker, ne è appena emersa una nuova; se un disco SSD ha una crittografia hardware, per impostazione predefinita Bitlocker utilizza solo quello. Ciò significa che se tale crittografia è stata decifrata, l'utente essenzialmente non ha alcuna protezione. Altro qui: mobile.twitter.com/matthew_d_green/status/1059435094421712896 e il documento attuale (in formato PDF) qui: t.co/UGTsvnFv9Y?amp=1
DocWeird

0

Non ho familiarità con l'unità e le opzioni di crittografia che offre, tuttavia la crittografia hardware può essere utilizzata con più sistemi operativi (ad esempio quando si desidera eseguire il doppio avvio di Windows e Linux), mentre la crittografia software potrebbe essere più difficile da configurare. Inoltre, la sicurezza di entrambi i metodi dipende da come e dove archiviare le chiavi di crittografia.

Sto pensando che potrebbe essere meglio scaricare la crittografia sull'SSD utilizzando l'opzione di crittografia di Evo, in modo che il processore non debba eseguire alcuna crittografia, questo potrebbe essere migliore per le prestazioni di I / O e dare respiro alla CPU ?

Hai ragione, la crittografia basata su hardware non riduce la velocità di elaborazione del computer.

Non ho mai usato la crittografia su nessuno dei miei dispositivi, quindi mi dispiace non poterti aiutare con l'effettivo processo di abilitazione. Si noti che nella maggior parte dei casi l'abilitazione della crittografia provoca la cancellazione dell'unità (BitLocker NON cancella i dati, tuttavia ha una possibilità estremamente remota di corruzione, come avviene con tutti i software di crittografia live). Se si desidera disporre di un'unità crittografata compatibile con più sistemi operativi che rimane sbloccata fino allo spegnimento del computer, utilizzare la funzionalità di crittografia hardware offerta dal disco rigido. Ma, se vuoi qualcosa di un po 'più sicuro ma limitato a Windows, prova BitLocker. Spero di averti aiutato!


All'inizio affermi "So per certo che la crittografia hardware è più sicura", ma alla fine dici che è completamente opposto ("se vuoi compatibile, vai con la crittografia hardware, ma se vuoi qualcosa di più sicuro, prova BitLocker" ). Quale intendevi? Hai tenuto conto di cose come descritte in questo articolo ?
user1686

3
hardware-based encryption is generally more securenon è corretto. Potrebbe essere più veloce, ma la sicurezza dipende dallo standard di crittografia, non dall'hardware o dal software, perché indipendentemente da come si crittografa il file, l'output sarà lo stesso con la stessa chiave
phuclv

-2

Facciamo un po 'di Wikipédia.

BitLocker

BitLocker è una funzionalità di crittografia del disco completo. È progettato per proteggere i dati fornendo la crittografia per interi volumi.

BitLocker è un sistema di crittografia del volume logico. Un volume può essere o meno un'intera unità disco fisso oppure può comprendere una o più unità fisiche. Inoltre, quando abilitato, TPM e BitLocker possono garantire l'integrità del percorso di avvio affidabile (ad esempio BIOS, settore di avvio, ecc.), Al fine di prevenire la maggior parte degli attacchi fisici offline, malware del settore di avvio, ecc.

Secondo Microsoft, BitLocker non contiene una backdoor incorporata intenzionalmente; senza backdoor non è possibile per le forze dell'ordine avere un passaggio garantito ai dati sulle unità dell'utente fornite da Microsoft.

Unità con crittografia automatica

La crittografia basata su hardware quando integrata nell'unità o all'interno dell'involucro dell'unità è particolarmente trasparente per l'utente. L'unità, tranne per l'autenticazione di avvio, funziona esattamente come qualsiasi unità senza degrado delle prestazioni. Non vi è alcuna complicazione o sovraccarico di prestazioni, a differenza del software di crittografia del disco, poiché tutta la crittografia è invisibile al sistema operativo e al processore del computer host.

I due casi d'uso principali sono la protezione dei dati a riposo e la cancellazione del disco crittografico.

Nella protezione dei dati a riposo, un laptop viene semplicemente spento. Il disco ora auto-protegge tutti i dati su di esso. I dati sono al sicuro perché tutti, anche il sistema operativo, sono ora crittografati, con una modalità protetta di AES e bloccati dalla lettura e dalla scrittura. L'unità richiede un codice di autenticazione che può essere forte quanto 32 byte (2 ^ 256) per sbloccare.

Le tipiche unità con crittografia automatica, una volta sbloccate, rimarranno sbloccate fino a quando viene fornita l'alimentazione. I ricercatori dell'Universität Erlangen-Nürnberg hanno dimostrato una serie di attacchi basati sullo spostamento dell'unità su un altro computer senza ridurre la potenza. Inoltre, potrebbe essere possibile riavviare il computer in un sistema operativo controllato dall'aggressore senza interrompere l'alimentazione dell'unità.

Verdetto

Penso che le linee più importanti siano queste:

Non vi è alcuna complicazione o sovraccarico di prestazioni, a differenza del software di crittografia del disco, poiché tutta la crittografia è invisibile al sistema operativo e al processore del computer host.

Le tipiche unità con crittografia automatica, una volta sbloccate, rimarranno sbloccate fino a quando viene fornita l'alimentazione.

Poiché BitLocker è un software di crittografia del disco, è più lento della crittografia del disco completo basata su hardware. Tuttavia, l'unità con crittografia automatica rimane sbloccata finché è stata alimentata dall'ultima volta che è stata sbloccata. Lo spegnimento del computer proteggerà l'unità.

Quindi, o hai il BitLocker più sicuro o il disco con crittografia automatica più performante.


1
Credo che la domanda non si riferisca a EFS.
Scott,

@Scott Credo che tu abbia ragione, ma ho fatto del mio meglio per aiutare. Almeno ora abbiamo più informazioni su BitLocker, questo potrebbe aiutare una risposta futura se qualcuno sa cosa sia esattamente la crittografia SSD.
NatoBoram,

1
@NatoBoram - "Almeno ora abbiamo maggiori informazioni su BitLocker" - Ulteriori informazioni su una funzionalità ben documentata non rispondono alla domanda dell'autore. Modifica la tua risposta in modo da rispondere direttamente alla domanda dell'autore.
Ramhound

Bitlocker fornisce anche la crittografia hardware
NetwOrchestration il

2
Solo perché l'operazione di crittografia hardware sull'unità è invisibile al sistema operativo non significa che non stia rallentando il funzionamento dell'unità in modo che l'utilizzo della crittografia basata sulla CPU sia complessivamente più veloce.
simpleuser,

-4

Aggiornamento: credo che questa risposta sia corretta e un esempio di esperienza aziendale nella vita reale in operazioni hardware e di sicurezza. Forse non sono riuscito a fornire dettagli nella mia risposta iniziale che ha creato i voti negativi, ma ha anche fornito informazioni sul processo di pensiero per una risposta più conclusiva da parte della comunità nel suo insieme. Windows ma l'armadietto è stato compromesso dal lancio ed è stato un problema ben noto, e non incluso nel sistema operativo Windows aziendale ma disponibile per i pacchetti di livello consumer per un livello di sicurezza / aiuto di banda, NSA Backdoor.

La crittografia integrata di SSD Samsung EVO sarebbe la mia scelta in quanto è nativamente ottimizzata e uno dei migliori SSD disponibili per la sicurezza negli ambienti aziendali. Inoltre, se perdi la chiave, Samsung può sbloccarla a pagamento tramite il numero seriale sull'SSD.


2
Il fatto che Samsung possa sbloccare l'SSD tramite il numero seriale è un imho con bandiera rossa. Samsung utilizza un algoritmo per creare la chiave in base al numero seriale o ha un database con le chiavi.
RS Finance,

Accetto con @RSFinance. Se un'altra parte può ottenere i tuoi dati protetti senza la tua autorizzazione, non è sicuro.
UtahJarhead

1
@RSFinance Tranne questo non è un fatto ma una fantasia. Con l'unità conforme a Opal SSC questo non è possibile in base alla progettazione, supponendo che tu abbia inizializzato correttamente l'unità prima dell'uso, in modo che anche una possibilità teorica del venditore di conoscere la chiave di crittografia venga esclusa. Potresti non fidarti dell'effettiva conformità di Samsung SSD a Opal SSC, ma questa è una storia diversa.
UnclickableCharacter
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.