Кэш SSD с FDE (TrueCrypt, BitLocker и т. Д.) В Windows

Question

Я хотел вернуть старый вопрос, но с изюминкой. Отвечено, как SSD может использоваться в качестве кеширующего диска для большего механического привода. Я ищу то же самое, но для диска, который зашифрован с помощью TrueCrypt или BitLocker.

Этот вопрос касается окон. Мне известны решения Linux, такие как flashcacne и bcache. Все они работают на уровне блоков, поэтому могут прозрачно использоваться поверх зашифрованного тома. Когда SSD умирает, базовая файловая система на блочном устройстве не повреждена и может быть смонтирована сама. Очень элегантное решение, и работает очень хорошо, но вопрос о Windows.

Я не уверен в том, как работают решения для кэширования Windows (ExpressCache, DataPlex и т.д.). Если SSD используется для кэширования поверх уже смонтированного диска, шифрование так же хорошо, как и его отсутствие, поскольку все файлы, с которыми вы работаете, кэшируются на SSD в незашифрованном виде. Проводились ли какие-либо исследования возможных решений, в которых было подтверждено, что Windows не записывает данные в виде открытого текста на SSD?

Может быть, аппаратное решение?..

Answer 1

Я не знаю, как на это ответить, поскольку у меня мало опыта работы с внешним SSD-кешем. OTOH, если вы ищете более быстрый привод с ценой / ГБ механического привода, я бы посоветовал искать гибридный диск, как у Seagate SSHD. Эти диски оснащены встроенным SSD-кешем, который можно использовать для кэширования записи и, возможно, чтения. Поскольку он работает непосредственно с диском и управляется встроенным программным обеспечением диска, он отображается как обычный диск, и все данные, хранящиеся в кеше SSD, шифруются так же, как и данные, поступающие на шпиндели.

С другой стороны, вы должны учитывать, что до тех пор, пока ваш компьютер включен (когда он включен, находится в режиме ожидания, приостановить до оперативной памяти), ключ шифрования хранится в оперативной памяти и может быть легко получен с помощью специализированных инструментов. Данные даже хранятся в течение полного цикла питания, и, охлаждая модули оперативной памяти, можно сохранять данные без изменений в течение нескольких минут без какого-либо питания. Это означает, что даже если ваша машина защищена безопасной загрузкой, злоумышленник может переместить модули DIMM на другой компьютер и загрузить инструмент для восстановления ключа шифрования.

Имея это в виду, даже незашифрованный ssd-кеш можно считать нормальным, если он будет очищен во время выключения компьютера, и в этом случае единственное место, которое не будет закрыто, это оставить компьютер выключенным после сбоя / сбоя питания.