BitLocker gerçekte ne zaman şifreliyor?


34

Geçerli bir Windows 10 Pro sürümü çalıştıran iş dizüstü bilgisayarları için tam disk şifrelemeye ihtiyacım var. Bilgisayarlarda Samsung'tan bir NVMe SSD sürücü ve bir Intel Core i5-8000 CPU var.

Günümüzde yapılan bazı araştırmalardan, şu anda yalnızca iki seçenek bulunmaktadır: Microsoft BitLocker ve VeraCrypt. Açık ve kapalı kaynağın durumunu ve bununla birlikte gelen güvenlik etkilerini tamamen biliyorum.

Daha önce hiç kullanmadığım BitLocker ile ilgili bazı bilgileri okuduktan sonra, Windows 10 BitLocker ile başlamanın yalnızca diskteki yeni yazılmış verileri şifrelemekle birlikte , performans nedenleriyle zaten var olan her şeyi şifrelememesi izlenimini edindim . (Bu belgede bir seçeneğim olduğunu söylüyor, ancak yapmadım. Etkinleştirdikten sonra ne istediğimi sormadılar.) Geçmişte TrueCrypt sistem şifrelemesini kullandım ve mevcut veri şifrelemenin gereken bir iş olduğunu biliyorum. birkaç saat. BitLocker ile böyle bir davranış gözlemleyemiyorum. Belirgin bir arka plan CPU veya disk etkinliği yok.

BitLocker'ı etkinleştirmek gerçekten kolaydır. Bir düğmeyi tıklayın, kurtarma anahtarını güvenli bir yere kaydedin, tamamlayın. VeraCrypt ile aynı süreç beni terk etti. Gerçekte tam bir çalışan kurtarma cihazı oluşturmam gerekiyordu, hatta bir atılma sistemindeki testler için bile.

Ayrıca VeraCrypt’in şu anda bazı NVMe SSD’leri sistem şifrelemesinde aşırı yavaş kılan bir tasarım hatası olduğunu okudum . Kurulumu çok karmaşık olduğu için doğrulayamıyorum. En azından BitLocker'ı etkinleştirdikten sonra, disk performansında önemli bir değişiklik göremiyorum. Ayrıca VeraCrypt ekibi bu "karmaşık hatayı" düzeltmek için yeterli kaynağa sahip değil. Ek olarak, Windows 10 güncellemeleri VeraCrypt ile de çalışamaz ; bu da sık sık tam disk şifresini çözer ve gerekli şifrelemeleri yapar. Umarım BitLocker burada daha iyi çalışır.

Yani neredeyse BitLocker'ı kullanmaya karar verdim. Ama ne yaptığını anlamam gerekiyor. Ne yazık ki, çevrimiçi hakkında neredeyse hiçbir bilgi yok. Çoğu, genel bir bakış açısı sağlayan ancak kısa bir bilgi içermeyen blog yayınlarından oluşur. Bu yüzden burada soruyorum.

BitLocker'ı tek sürücülü bir sistemde etkinleştirdikten sonra, mevcut verilere ne olacak? Yeni verilere ne olacak? "BitLocker'ı askıya almak" ne anlama geliyor? (Kalıcı olarak devre dışı bırakmak ve böylece diskteki tüm verilerin şifresini çözmekle aynı değildir.) Şifreleme durumunu nasıl kontrol edebilirim veya mevcut tüm verilerin şifrelemesini nasıl zorlayabilirim? (Kullanılmayan alanı kastetmiyorum, umrumda değil ve SSD'ler için gerekli, bakınız TRIM.) BitLocker hakkında "askıya alma" ve "şifre çözme" dışında daha ayrıntılı veriler ve eylemler var mı?

Belki bir yan notta, BitLocker'ın EFS (şifreli dosya sistemi) ile ilişkisi nedir? Sadece yeni yazılmış dosyalar şifrelenmişse, EFS'nin de benzer bir etkisi olduğu görülüyor. Ama EFS'nin nasıl çalıştırılacağını biliyorum, bu çok daha anlaşılabilir.

Yanıtlar:


41

BitLocker'ı etkinleştirmek, mevcut tüm verileri şifreleyen bir arka plan işlemi başlatır. (HDD'lerde bu, geleneksel olarak her bölüm sektörünü okumak ve yeniden yazmak için ihtiyaç duyduğu için uzun bir süreçtir - kendi kendini şifreleyen disklerde anında olabilir.) Bu nedenle, yalnızca yeni yazılmış verilerin şifreli olduğu söylendiğinde, durumu hemen ifade eder. sonra BitLocker aktivasyonu ve artık arka plan şifreleme görev tamamlandıktan sonra geçerlidir. Bu işlemin durumu aynı BitLocker kontrol paneli penceresinde görülebilir ve gerekirse duraklatılabilir.

Microsoft makalesinin dikkatlice okunması gerekiyor: aslında diskin yalnızca kullanılan alanlarının şifrelenmesi hakkında konuşuyor . Bunu yalnızca , temel işletim sistemi dışında henüz hiçbir bilginizin olmadığı yeni sistemler üzerinde en büyük etkiye sahip olarak ilan ediyorlar (ve bu nedenle tüm veriler "yeni yazılmış" olacak). Olduğunu, Windows 10 olacak aktivasyon sonrasında tüm mevcut dosyaları şifrelemek - basitçe henüz bir şey içermeyen zaman şifreleyerek disk sektörü israf olmaz. (Bu optimizasyondan Grup İlkesi ile çıkabilirsiniz.)

(Makale ayrıca bir dezavantaja işaret ediyor: önceden silinmiş dosyaların bulunduğu alanlar da "kullanılmamış" olarak atlanacak. Öyleyse iyi kullanılmış bir sistemi şifreliyorsa, bir araç kullanarak boş alan silme yapın ve ardından Windows'un TRIM çalıştırmasına izin verin. BitLocker'ı etkinleştirmeden önce bir SSD'niz var veya bu davranışı devre dışı bırakmak için Grup İlkesini kullanın.)

Aynı makalede, OPAL standardını kullanarak kendi kendini şifreleyen SSD'leri destekleyen son Windows sürümlerinden de bahsedilmektedir. Bu nedenle, herhangi bir arka plan I / O görmemenizin nedeni SSD'nin ilk günden itibaren dahili olarak şifrelenmiş olması olabilir ve BitLocker bunu tanıdı ve şifreleme çabasını işletim sistemi düzeyinde çoğaltmak yerine yalnızca SSD düzeyinde anahtar yönetimi devraldı . Diğer bir deyişle, SSD açılışta artık kilidini açmıyor, ancak Windows'un yapmasını gerektiriyor. İşletim sistemi ne olursa olsun şifrelemeyi işlemesini tercih ederseniz, bu, Grup İlkesi aracılığıyla devre dışı bırakılabilir.

BitLocker'ın askıya alınması, 'master' anahtarının düz metin kopyasının doğrudan diske yazılmasına neden olur. (Genellikle bu ana anahtar ilk önce şifrenizle veya bir TPM ile şifrelenir.) Asılı iken, bu diskin tek başına açılmasını sağlar - açıkça güvensiz bir durumdur, ancak Windows Update'in yükseltilmiş işletim sistemi ile eşleşmesi için Windows Update'in yeniden yapılandırılmasını sağlar , Örneğin. BitLocker'ı yeniden başlatmak yalnızca bu düz anahtarı diskten siler.

BitLocker, EFS ile ilişkili değildir - ikincisi, dosya düzeyinde çalışır, anahtarları Windows kullanıcı hesaplarıyla ilişkilendirir (ince ayarlı yapılandırmaya izin verir, ancak işletim sisteminin kendi dosyalarını şifrelemeyi imkansız kılar), eski tüm disk düzeyinde çalışır. BitLocker çoğunlukla EFS'yi gereksiz kılsa da birlikte kullanılabilirler .

(Not BitLocker de o ve EFS şifreli verileri kurtarmak için kurumsal Active Directory yöneticileri için mekanizmalar var - MS BitLocker ana anahtarı yedekleyerek olsun veya bir EFS ekleyerek veri kurtarma ajanı . Tüm dosyalara)


Güzel genel bakış, teşekkürler. Geçen cümle ilgili olarak: Birçok kullanım örnekleri - BitLocker şirket dışından kişilere karşı benim sabit disk şifreler, ama benim BT grubu olabilir onlar maymuncuk var, benim yokluğunda tüm verilere erişmek. EFS O belgeler için iyi çalışıyor yok benim BT departmanı ya da benim yöneticisi erişebileceğini olmak istiyorum.
Aganju,

6
@Aganju: Aynı IT grubu muhtemelen zaten bir EFS veri kurtarma aracısını belirleyen bir politika kullandı . BT departmanınızın erişmesini istemediğiniz belgeler varsa, bunları bir şirket cihazında saklamayın.
yerçekimi,

2
"Bitlocker (...) mevcut tüm verileri şifreler (...) tüm disk seviyesinde çalışır" -> bölümleri belirtmeyi unuttun. 2 bölmeli bir HDD ile, sadece 1 tanesini (işletim sistemi değil veri içeren) şifrelemek için Bitlocker'ı etkinleştirdim. Linux tabanlı bir işletim sistemi ile önyükleme yaparken, yalnızca şifrelenmemiş bölümdeki veriler okunabilir.
CPHPython

@ CPHPython: Doğru ve bu durum muhtemelen tutarsızlaştığı yer burasıdır - yazılım kipinde yalnızca bir bölümü şifreleyebilir, ancak SSD (OPAL2) kipinde bu yeteneğin var olup olmadığından emin değilim. Tüm sürücüyü kilitlediğini ve (OPAL'ı anlayabildiğim kadarıyla) 'PBA' herhangi bir işletim sistemi çalışmadan önce kilidini açacağını düşünüyorum .
yerçekimi
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.