Полная настройка шифрования диска

Question

Я покупаю новый компьютер с Windows и хочу настроить его на безопасность. Я хочу использовать полное шифрование диска. Мой вопрос: будет ли мой SSD работать на другом компьютере в случае его поломки? Кроме того, должен ли я использовать TPM, есть ли в этом какие-то негативные моменты? Кроме того, насколько легко перехватить зашифрованный SSD, если кто-то попытается получить к нему доступ?

Шифрование не поможет мне, если мой компьютер будет украден во время сна, а не полностью выключен, не так ли? Так что мне делать, если я большую часть времени держу его в спящем режиме или даже просто заблокирую? Также как обезопасить себя от атак, скажем, USB-накопителей в режиме блокировки Windows?

Спасибо!

Answer 1

будет ли мой SSD работать на другом компьютере, если он сломается.

Да. Все, что требуется для расшифровки диска и загрузки ОС, содержится на самом диске. Windows может работать некорректно, если вы меняете базовое оборудование, но с точки зрения шифрования это не имеет значения.

Насколько легко перехватить зашифрованный SSD, если кто-то попытается получить к нему доступ?

Это зависит от используемого алгоритма шифрования. AES потребовалось бы триллионы лет для грубой силы, потому что существует так много возможных комбинаций клавиш. Есть много ресурсов, чтобы утверждать это. Если вы не хотите вдаваться в подробности, то прагматичный взгляд на это заключается в том, что даже ФБР не может сломать AES.

Шифрование не поможет мне, если мой компьютер будет украден во время сна, а не полностью выключен, не так ли?

Ваш диск либо зашифрован и непригоден для использования, либо расшифрован и пригоден для использования. Когда ваш компьютер работает, диск должен быть дешифрован и поэтому находится в уязвимом положении. Если оставить устройство включенным, то кто-нибудь может взять ключ шифрования из ОЗУ и позже расшифровать диск.

Так что мне делать, если я большую часть времени держу его в спящем режиме или даже просто заблокирую?

Это проблема безопасности против юзабилити. Вы должны решить для себя, насколько ценны ваши данные и в каких ситуациях лучше отключать питание, а не спать.

Один совет - использовать инструмент шифрования с открытым исходным кодом. Битлокер является примирительным, что означает, что только Microsoft имеет доступ к исходному коду. Если они намеренно установят черный ход или испортят реализацию шифрования, никто за пределами Microsoft не узнает и не сможет это исправить.

Инструмент с открытым исходным кодом, такой как Truecrypt, позволяет любому загружать и просматривать исходный код. Это означает, что независимые третьи стороны могут проверить, что нет никаких бэкдоров или серьезных ошибок.

Answer 2

Хорошая идея - разумно использовать FDE, если у вас есть мобильное устройство с какими-либо конфиденциальными данными. Если у вас нет особых требований, я бы сказал, что проще всего просто использовать FDE, поставляемый с вашей операционной системой, что для Windows означает Bitlocker.

Чтобы ответить на ваши вопросы по очереди:

Будет ли мой SSD работать на другом компьютере?

Это зависит от используемого вами метода FDE. Если вы используете TPM, то нет. Однако большинство систем FDE, в том числе основанные на TPM, имеют какой-то способ сделать резервную копию ключа, который можно использовать в такой чрезвычайной ситуации. Вы, вероятно, должны сделать это в любом случае. (Конечно, вы должны тщательно защитить резервную копию.)

Должен ли я использовать TPM?

Модуль TPM добавляет еще одну вещь, которой вы должны доверять, что не идеально, но вы уже доверяете и ноутбуку, и производителю ОС, так что это обычно не так уж и сложно.

Кроме того, TPM означает, что вам не нужно запоминать еще один хороший пароль или PIN-код.

Может ли это быть грубой силой?

Опять же, это зависит от метода FDE, который вы используете, но любой поставщик FDE, который не совсем глуп, будет использовать алгоритм, который не может быть практически принудительным. Битлокер, например, основан на AES и поэтому очень безопасен.

Поможет ли это мне, если моя машина будет спать, а не выключаться?

Нет, но это не так. FDE предназначен для защиты от так называемой автономной атаки, когда злоумышленник подключает ваш диск к другому компьютеру (или загружает ваш компьютер с USB-накопителя, что тоже самое). Пока компьютер включен или находится в спящем режиме, задача ОС - защитить ваши данные, что современные ОС будут делать очень эффективно.

(Извлечение ключа из ОЗУ при включенном устройстве теоретически возможно, но на практике очень сложно. Если вы обеспокоены тем, что злоумышленник использует такие ресурсы, у вас есть множество более насущных проблем, о которых стоит беспокоиться.)