16

Моя система:

  • Intel Core i7-4790, который поддерживает AES-NI
  • ASUS Z97-PRO mobo
  • Samsung 250GB EVO SSD (со встроенной опцией шифрования)
  • 64-битная Windows 7

Если я просто хочу зашифровать свой загрузочный диск с помощью AES256 или аналогичного устройства, какая разница / более высокая производительность / более безопасная? Включите Windows Bitlocker и не используйте шифрование SSD, или включите шифрование встроенного диска, которое предлагает SSD, и не беспокойтесь о Bitlocker?

Я думаю, что было бы лучше перенести шифрование на SSD с помощью опции шифрования Evo, чтобы процессор не выполнял никакого шифрования, это могло бы быть лучше для производительности ввода-вывода и дать ЦП передышку ? Или, поскольку этот процессор имеет AES-NI, это может не иметь значения?

Я новичок в Bitlocker и этот вариант шифрования SSD, поэтому любая помощь очень ценится.

5 ответов5

3

Старый вопрос, но с тех пор было найдено несколько новых разработок, касающихся Bitlocker и шифрования диска (используется отдельно или в комбинации), поэтому я переверну пару своих комментариев на странице к ответу. Может быть, это полезно кому-то, кто проводит поиск в 2018 году и позже.

Битлокер (один):
В его истории было несколько способов взломать Bitlocker, к счастью, большинство из них уже были исправлены / исправлены в 2018 году. То, что остается (известно), включает, например, "холодную загрузку" - новейшая версия, которая на самом деле не относится к битлокерам (вам нужен физический доступ к работающему компьютеру и кража ключей шифрования и все остальное, прямо из объем памяти).

Аппаратное шифрование дисковода SSD и Bitlocker:
Новая уязвимость появилась в 2018 году; если на SSD-диске установлено аппаратное шифрование, которое есть у большинства SSD, Bitlocker по умолчанию использует только это. Это означает, что если само это шифрование было взломано, пользователь по существу не имеет никакой защиты вообще.
Диски, которые, как известно, страдают от этой уязвимости, включают (но, вероятно, не ограничиваются):
Crucial MX100, MX200, MX300 серии Samgung 840 EVO, 850 EVO, T3, T5

Больше информации о проблеме шифрования SSD здесь:
https://twitter.com/matthew_d_green/status/1059435094421712896

А фактическая статья (в формате PDF) углубляется в проблему здесь:
t.co/UGTsvnFv9Y?амп = 1

Так что ответ на самом деле таков; Поскольку Bitlocker использует аппаратное шифрование дисков и имеет свои собственные уязвимости, лучше использовать аппаратное шифрование, если ваш SSD отсутствует в списке взломанных SSD.

Если ваш диск находится в списке, вам лучше использовать что-то другое, поскольку Bitlocker все равно будет использовать шифрование диска. В чем вопрос; в Linux я бы порекомендовал LUKS, например.

0

Я провел некоторое исследование по этому вопросу, и у меня для вас есть полный ответ.

  1. Всегда лучше использовать аппаратное шифрование на накопителе с самошифрованием, если вы используете программное шифрование на BitLocker или другой программе шифрования, это приведет к снижению скорости чтения между 25% и 45%. вы могли увидеть падение производительности минимум на 10%. (обратите внимание, у вас должен быть SSD с чипом TMP)

  2. Bitlocker совместим с аппаратным шифрованием, вы можете использовать магию samsung. v 4.9.6 (v5 больше не поддерживает это), чтобы стереть диск и включить аппаратное шифрование.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. Вы можете включить аппаратное шифрование через BIOS, установив мастер-пароль. Вам нужно будет выполнить некоторые из шагов, описанных в статье выше, например отключить CMS.

  2. Чтобы ответить на ваш вопрос, я не знаю, что быстрее. Я обратился к Samsung, но дал ограниченную информацию об этом. Если я не найду разработчика, я сомневаюсь, что получу хороший ответ, который является лучшим вариантом. На данный момент я планирую включить аппаратное шифрование в моем BIOS.

-1

Я не знаком с вашим диском и предлагаемыми им вариантами шифрования, однако аппаратное шифрование можно использовать с несколькими операционными системами (например, когда вы хотите выполнить двойную загрузку Windows и Linux), в то время как шифрование программного обеспечения может быть сложнее настроить. Кроме того, безопасность обоих методов зависит от того, как и где вы храните свои ключи шифрования.

Я думаю, что было бы лучше перенести шифрование на SSD с помощью опции шифрования Evo, чтобы процессор не выполнял никакого шифрования, это может быть лучше для производительности ввода-вывода и дать ЦП передышку ?

Вы правы, аппаратное шифрование не снижает скорость обработки компьютера.

Я никогда не использовал шифрование ни на одном из своих устройств, поэтому извините, что не могу помочь вам с фактическим процессом его включения. Обращаем ваше внимание, что в большинстве случаев включение шифрования приводит к удалению диска (BitLocker НЕ удаляет данные, однако он имеет крайне маловероятную вероятность повреждения, как и все программное обеспечение для шифрования в реальном времени). Если вы хотите иметь совместимый с несколькими ОС зашифрованный диск, который остается разблокированным до тех пор, пока компьютер не будет выключен, воспользуйтесь функцией аппаратного шифрования, которую предлагает ваш жесткий диск. Но если вы хотите что-то более безопасное, но ограниченное Windows, попробуйте BitLocker. Надеюсь, я помог!

-2

Давайте сделаем немного Википедии.

BitLocker

BitLocker - это функция полного шифрования диска. Он предназначен для защиты данных за счет шифрования целых томов.

BitLocker - это система шифрования логических томов. Том может быть или не быть целым жестким диском, или он может охватывать один или несколько физических дисков. Кроме того, при включении TPM и BitLocker могут обеспечить целостность доверенного загрузочного пути (например, BIOS, загрузочного сектора и т.д.), Чтобы предотвратить большинство физических атак в автономном режиме, вредоносных программ загрузочного сектора и т.д.

Согласно Microsoft, BitLocker не содержит намеренно встроенного бэкдора; без бэкдора у правоохранительных органов не будет гарантированного доступа к данным на дисках пользователя, предоставленных Microsoft.

Самошифрующийся диск

Аппаратное шифрование, встроенное в накопитель или в корпус накопителя, заметно прозрачно для пользователя. Диск, за исключением проверки подлинности при загрузке, работает так же, как и любой диск, без снижения производительности. В отличие от программного обеспечения для шифрования дисков, здесь нет никаких сложностей или проблем с производительностью, поскольку все шифрование невидимо для операционной системы и процессора хост-компьютеров.

Два основных варианта использования: защита данных в состоянии покоя и криптографическое стирание диска.

При защите данных в состоянии покоя ноутбук просто отключается. Диск теперь сам защищает все данные на нем. Данные в безопасности, потому что все они, даже ОС, теперь зашифрованы с безопасным режимом AES и защищены от чтения и записи. Диск требует код аутентификации, который может быть настолько сильным, как 32 байта (2 ^ 256) для разблокировки.

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание. Исследователи из Университета Эрланген-Нюрнберга продемонстрировали ряд атак, основанных на перемещении диска на другой компьютер без отключения питания. Кроме того, возможно перезагрузить компьютер в управляемую злоумышленником операционную систему без отключения питания накопителя.

решение суда

Я думаю, что самые важные строки это:

В отличие от программного обеспечения для шифрования дисков, здесь нет никаких сложностей или проблем с производительностью, поскольку все шифрование невидимо для операционной системы и процессора хост-компьютеров.

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание.

Поскольку BitLocker является программным обеспечением для шифрования диска, он медленнее, чем аппаратное полное шифрование диска. Тем не менее, диск с самошифрованием остается разблокированным, пока он имеет силу с момента последнего разблокирования. Выключение компьютера защитит диск.

Таким образом, у вас есть более безопасный BitLocker или более производительный диск с самошифрованием.

-4

Я бы выбрал встроенное в Samsung EVO SSD шифрование, поскольку оно изначально оптимизировано и является одним из лучших SSD для обеспечения безопасности в корпоративных средах. Также, если вы потеряете ключ, Samsung может разблокировать его за плату через серийный номер на SSD.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .