Il mio sistema:

• Intel Core i7-4790, che supporta AES-NI
• Mobo ASUS Z97-PRO
• SSD EVO Samsung da 250 GB (con opzione di crittografia integrata)
• Windows 7 a 64 bit

Se voglio solo crittografare la mia unità di avvio con AES256 o simili, quale sarebbe la differenza / prestazioni più veloci / più sicure? Attivare Bitlocker di Windows e non utilizzare la crittografia SSD o abilitare la crittografia dell'unità integrata offerta dall'SSD e non preoccuparti di Bitlocker?

Sto pensando che potrebbe essere meglio scaricare la crittografia sull'SSD utilizzando l'opzione di crittografia di Evo, in modo che il processore non debba eseguire alcuna crittografia, questo potrebbe essere migliore per le prestazioni di I / O e dare respiro alla CPU ? O dal momento che questa CPU ha AES-NI potrebbe non avere importanza?

Sono nuovo di Bitlocker e questa opzione di crittografia SSD, quindi qualsiasi aiuto è molto apprezzato.

Vecchia domanda, ma da allora sono stati trovati diversi nuovi sviluppi riguardanti Bitlocker e la crittografia dell'unità (utilizzata da sola o in combinazione), quindi trasformerò un paio di miei commenti sulla pagina in una risposta. Forse è utile a qualcuno che fa una ricerca nel 2018 e in seguito.

Bitlocker (da solo):
ci sono stati diversi modi per violare Bitlocker nella sua storia, per fortuna la maggior parte di essi è già stata patchata / mitigata nel 2018. Ciò che rimane (noto) include, ad esempio, "Cold Boot Attack" - la versione più recente di cui in realtà non è specifico di Bitlocker (è necessario l'accesso fisico a un computer in esecuzione e rubare le chiavi di crittografia e qualsiasi altra cosa, direttamente dalla memoria).

Crittografia hardware dell'unità SSD e Bitlocker:
una nuova vulnerabilità è emersa nel 2018; se un disco SSD ha una crittografia hardware, che la maggior parte degli SSD ha, Bitlocker utilizza automaticamente solo quello. Ciò significa che se la stessa crittografia è stata decifrata, l'utente essenzialmente non ha alcuna protezione.
Le unità che sono note per essere affette da questa vulnerabilità includono (ma probabilmente non sono limitate a):
Crucial MX100, MX200, serie MX300 Samgung 840 EVO, 850 EVO, T3, T5

Maggiori informazioni sul problema di crittografia SSD qui:
https://twitter.com/matthew_d_green/status/1059435094421712896

E il documento attuale (in formato PDF) approfondisce il problema qui:
t.co/UGTsvnFv9Y?amp=1

Quindi la risposta è davvero; poiché Bitlocker utilizza la crittografia hardware dei dischi e ha le proprie vulnerabilità oltre a ciò, è meglio utilizzare la crittografia hardware se il proprio SSD non è nell'elenco degli SSD crackizzati.

Se il tuo disco è nell'elenco, stai meglio usando qualcos'altro interamente poiché Bitlocker userebbe comunque la crittografia dell'unità. Qual'è la domanda; su Linux consiglierei LUKS, per esempio.

Ho fatto qualche ricerca su questo e ho una risposta mezza completa per te.

1. È sempre meglio utilizzare la crittografia basata su hardware su un'unità con crittografia automatica, se si utilizza la crittografia basata su software su bitlocker o un altro programma di crittografia, causerà un rallentamento del 25% e del 45% nelle velocità di scrittura in lettura. potresti notare un calo minimo del 10% delle prestazioni. (nota che devi avere un SSD con un chip TMP)

2. Bitlocker è compatibile con la crittografia basata su hardware, è possibile utilizzare Samsung Magic. v 4.9.6 (v5 non lo supporta più) per cancellare l'unità e abilitare la crittografia basata su hardware.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. è possibile abilitare la crittografia basata su hardware tramite il BIOS impostando la password principale. Dovrai seguire alcuni dei passaggi nell'articolo sopra, come disattivare CMS.

4. Per rispondere alla tua domanda non so davvero quale sia più veloce. Ho contattato Samsung ma ho dato informazioni limitate su questo. A meno che non ottenga uno sviluppatore, dubito che otterrò una buona risposta a quale sia l'opzione migliore. Per ora ho intenzione di abilitare la crittografia basata su hardware nel mio BIOS.

Non ho familiarità con l'unità e le opzioni di crittografia che offre, tuttavia la crittografia hardware può essere utilizzata con più sistemi operativi (ad esempio quando si desidera eseguire il doppio avvio di Windows e Linux), mentre la crittografia software potrebbe essere più difficile da configurare. Inoltre, la sicurezza di entrambi i metodi dipende da come e dove archiviare le chiavi di crittografia.

Sto pensando che potrebbe essere meglio scaricare la crittografia sull'SSD utilizzando l'opzione di crittografia di Evo, in modo che il processore non debba eseguire alcuna crittografia, questo potrebbe essere migliore per le prestazioni di I / O e dare respiro alla CPU ?

Hai ragione, la crittografia basata su hardware non riduce la velocità di elaborazione del computer.

Non ho mai usato la crittografia su nessuno dei miei dispositivi, quindi mi dispiace non poterti aiutare con l'effettivo processo di abilitazione. Si noti che nella maggior parte dei casi l'abilitazione della crittografia provoca la cancellazione dell'unità (BitLocker NON cancella i dati, tuttavia ha una possibilità estremamente remota di corruzione, come avviene con tutti i software di crittografia live). Se si desidera disporre di un'unità crittografata compatibile con più sistemi operativi che rimane sbloccata fino allo spegnimento del computer, utilizzare la funzionalità di crittografia hardware offerta dal disco rigido. Ma, se vuoi qualcosa di un po 'più sicuro ma limitato a Windows, prova BitLocker. Spero di averti aiutato!

Facciamo un po 'di Wikipédia.

BitLocker

BitLocker è una funzionalità di crittografia del disco completo. È progettato per proteggere i dati fornendo la crittografia per interi volumi.

BitLocker è un sistema di crittografia del volume logico. Un volume può essere o meno un'intera unità disco fisso oppure può comprendere una o più unità fisiche. Inoltre, quando abilitato, TPM e BitLocker possono garantire l'integrità del percorso di avvio affidabile (ad esempio BIOS, settore di avvio, ecc.), Al fine di prevenire la maggior parte degli attacchi fisici offline, malware del settore di avvio, ecc.

Secondo Microsoft, BitLocker non contiene una backdoor incorporata intenzionalmente; senza backdoor non è possibile per le forze dell'ordine avere un passaggio garantito ai dati sulle unità dell'utente fornite da Microsoft.

Unità con crittografia automatica

La crittografia basata su hardware quando integrata nell'unità o all'interno dell'involucro dell'unità è particolarmente trasparente per l'utente. L'unità, tranne per l'autenticazione di avvio, funziona esattamente come qualsiasi unità senza degrado delle prestazioni. Non vi è alcuna complicazione o sovraccarico di prestazioni, a differenza del software di crittografia del disco, poiché tutta la crittografia è invisibile al sistema operativo e al processore del computer host.

I due casi d'uso principali sono la protezione dei dati a riposo e la cancellazione del disco crittografico.

Nella protezione dei dati a riposo, un laptop viene semplicemente spento. Il disco ora auto-protegge tutti i dati su di esso. I dati sono al sicuro perché tutti, anche il sistema operativo, sono ora crittografati, con una modalità protetta di AES e bloccati dalla lettura e dalla scrittura. L'unità richiede un codice di autenticazione che può essere forte quanto 32 byte (2 ^ 256) per sbloccare.

Le tipiche unità con crittografia automatica, una volta sbloccate, rimarranno sbloccate fino a quando viene fornita l'alimentazione. I ricercatori dell'Universität Erlangen-Nürnberg hanno dimostrato una serie di attacchi basati sullo spostamento dell'unità su un altro computer senza ridurre la potenza. Inoltre, potrebbe essere possibile riavviare il computer in un sistema operativo controllato dall'aggressore senza interrompere l'alimentazione dell'unità.

Verdetto

Penso che le linee più importanti siano queste:

Non vi è alcuna complicazione o sovraccarico di prestazioni, a differenza del software di crittografia del disco, poiché tutta la crittografia è invisibile al sistema operativo e al processore del computer host.

Le tipiche unità con crittografia automatica, una volta sbloccate, rimarranno sbloccate fino a quando viene fornita l'alimentazione.

Poiché BitLocker è un software di crittografia del disco, è più lento della crittografia del disco completo basata su hardware. Tuttavia, l'unità con crittografia automatica rimane sbloccata finché è stata alimentata dall'ultima volta che è stata sbloccata. Lo spegnimento del computer proteggerà l'unità.

Quindi, o hai il BitLocker più sicuro o il disco con crittografia automatica più performante.

Aggiornamento: credo che questa risposta sia corretta e un esempio di esperienza aziendale nella vita reale in operazioni hardware e di sicurezza. Forse non sono riuscito a fornire dettagli nella mia risposta iniziale che ha creato i voti negativi, ma ha anche fornito informazioni sul processo di pensiero per una risposta più conclusiva da parte della comunità nel suo insieme. Windows ma l'armadietto è stato compromesso dal lancio ed è stato un problema ben noto, e non incluso nel sistema operativo Windows aziendale ma disponibile per i pacchetti di livello consumer per un livello di sicurezza / aiuto di banda, NSA Backdoor.

La crittografia integrata di SSD Samsung EVO sarebbe la mia scelta in quanto è nativamente ottimizzata e uno dei migliori SSD disponibili per la sicurezza negli ambienti aziendali. Inoltre, se perdi la chiave, Samsung può sbloccarla a pagamento tramite il numero seriale sull'SSD.