SSD'imin sunduğu Bitlocker'ı veya dahili sürücü şifrelemesini kullanmak daha mı iyi?


17

Sistemim:

  • AES-NI'yi destekleyen Intel Core i7-4790
  • ASUS Z97-PRO Mobo
  • Samsung 250GB EVO SSD (dahili şifreleme seçeneği ile)
  • 64-bit Windows 7

Önyükleme sürücümü AES256 veya benzeri bir yöntemle şifrelemek istersem, fark / daha hızlı performans / daha güvenli ne olur? Windows Bitlocker'ı açın ve SSD şifrelemesini kullanmayın veya SSD'nin sunduğu dahili sürücü şifrelemesini etkinleştirin ve Bitlocker hakkında endişelenmeyin mi?

Evo'nun şifreleme seçeneğini kullanarak SSD'ye şifrelemeyi boşaltmanın daha iyi olabileceğini düşünüyorum, böylece işlemci herhangi bir şifreleme yapmak zorunda kalmıyor, bu G / Ç performansı için daha iyi olabilir ve CPU'ya bir nefes verebilir ? Veya bu CPU'da AES-NI olduğu için önemli olmayabilir?

Bitlocker ve bu SSD şifreleme seçeneğinde yeniyim, bu nedenle herhangi bir yardım çok takdir ediliyor.



Belki de internette bu soruyu cevaplamak için yeterli bilgi olmadığı düşünüldüğünde, AFAIK, her bir seçenek için bir kıyaslama yapmayı ve gelecekteki referans için buraya göndermeyi denemelisiniz.
Edel Gerardo

Yanıtlar:


6

Eski soru, ama o zamandan beri Bitlocker ve sürücü şifreleme (tek başına veya birlikte kullanılan) ile ilgili birkaç yeni gelişme bulundu, bu yüzden sayfadaki birkaç yorumumu bir cevaba çevireceğim. Belki 2018 ve sonrasında arama yapan biri için yararlıdır.

Bitlocker (yalnız):
Tarihinde Bitlocker'ı ihlal etmenin birkaç yolu vardı, neyse ki çoğu 2018'de yamalı / hafifletildi. Geriye kalan (bilinen) örneğin "Soğuk Önyükleme Saldırısı" Bitlocker'a özel değil (çalışan bir bilgisayara fiziksel erişime ihtiyacınız var ve şifreleme anahtarlarını ve doğrudan bellekten başka bir şeyi çalmanız gerekiyor).

SSD sürücü donanım şifrelemesi ve Bitlocker:
2018'de yeni bir güvenlik açığı ortaya çıktı; SSD diskinde çoğu SSD'nin sahip olduğu donanım şifrelemesi varsa, Bitlocker varsayılan olarak yalnızca bunu kullanır. Bu, eğer bu şifrelemenin kendisi kırılmışsa, kullanıcının esasen hiçbir koruması olmadığı anlamına gelir.
Bu güvenlik açığından muzdarip olduğu bilinen sürücüler şunlardır (ancak bunlarla sınırlı değildir):
Crucial MX100, MX200, MX300 serisi Samgung 840 EVO, 850 EVO, T3, T5

SSD şifreleme sorunu hakkında daha fazla bilgi burada:
https://twitter.com/matthew_d_green/status/1059435094421712896

Ve asıl kağıt (PDF olarak) buradaki soruna daha derinlemesine inceliyor:
t.co/UGTsvnFv9Y?amp=1

Yani cevap gerçekten; Bitlocker disklerin donanım şifrelemesini kullandığından ve bunun üzerinde kendi güvenlik açıklarına sahip olduğundan, SSD'niz kırık SSD'ler listesinde değilse donanım şifrelemesini kullanmaktan daha iyi olursunuz.

Diskiniz listede varsa, Bitlocker yine de sürücü şifrelemesini kullanacağı için tamamen başka bir şey kullanmanız daha iyi olur. Soru nedir; Linux'ta örneğin LUKS'u öneririm.


1
Windows'un donanım şifrelemesini kullanmasını engelleyebilirsiniz . "BitLocker Nasıl Yazılım Şifrelemesi Kullanılır" için arama yapın.
Kullanıcı42

1

Bu konuda biraz araştırma yapıyorum ve sizin için tam bir cevabım var.

  1. Kendi kendini şifreleyen bir sürücüde donanım tabanlı şifreleme kullanmak her zaman daha iyidir, bitlocker'da veya başka bir şifreleme programında yazılım tabanlı şifreleme kullanırsanız, okuma yazma hızlarında% 25 ila% 45 arasında bir yavaşlamaya neden olur. performansta minimum% 10'luk bir düşüş görebilirsiniz. (TMP yongalı bir SSD'nizin olması gerektiğini unutmayın)

  2. Bitlocker donanım tabanlı şifreleme ile uyumludur, samsung magic kullanabilirsiniz. v 4.9.6 (v5 artık desteklemiyor) sürücüyü silmek ve donanım tabanlı şifrelemeyi etkinleştirmek için.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. ana parolayı ayarlayarak BIOS üzerinden donanım tabanlı şifrelemeyi etkinleştirebilirsiniz. Yukarıdaki makalede CMS'yi kapatmak gibi bazı adımları izlemeniz gerekir.

  2. Sorunuzu cevaplamak için hangisinin daha hızlı olduğunu bilmiyorum. Samsung'a ulaştım ancak bu konuda sınırlı bilgi verdim. Bir geliştirici almazsam daha iyi bir seçenek olan iyi bir cevap alacağımdan şüpheliyim. Şimdilik bios'umda donanım tabanlı şifrelemeyi etkinleştirmeyi planlıyorum.


Sadece performans nedenleriyle "daha iyi" mi diyorsunuz? Her iki şifreleme yöntemi de genel olarak aynı güvenliği sağlıyor mu? Hızlı, evet, ama aslında güvenli değil - şok edici kötü şifreleme olan "kendini şifreleyen" diskler duydum.
user1686

Bitlocker ihlal edildi ve bu güvenlik uzmanları tarafından gösterildi. Temel olarak, bilgisayara giriş yapmak için gerekli olan AD vb.
DocWeird

Dilenmek affedin, @DocWeird, ama Bitlocker'ın ihlal edildiğini iddia etmek AES-256'nın ihlal edildiğini iddia ediyor - ve henüz gerçekleşmedi. Tam olarak ne demek istiyorsun? Tekrar giriş yapın, bu Bitlocker ile alakasız! Giriş yapmadan bir Bitlocker'd sürücüden önyükleme yapabilirsiniz! Bitlocker'ın amacı, makinenizdeki diğer yetkili kullanıcıların dosyalarınızı okumasını engellemek değil, biri sürücüyü çalar ve başka bir makineye bağlarsa (tüm SID- tabanlı erişim kontrolü). EFS'yi düşünmediğinizden emin misiniz?
Jamie Hanrahan

Bitlocker'ı ihlal etmenin birkaç yolu var, bunların çoğu zaten yamalı / hafifletildi (Cold Boot Attack'ın Bitlocker'a özgü olmayan en yeni sürümü de dahil), biri (çalınan) bilgisayarda Windows kimlik doğrulamasını atlamaktı (dahil oldu) bir etki alanı denetleyicisini takma, yerel parola önbelleği ve bir parola değiştirme - hepsi TPM'nin şifrelenmemiş anahtarı vermesine neden olur). Daha fazla burada: itworld.com/article/3005181/…
DocWeird

Ve Bitlocker güvenlik açıkları içinde olduğumuz için, yeni bir güvenlik açığı ortaya çıktı; SSD diskinde donanım şifrelemesi varsa, Bitlocker varsayılan olarak yalnızca bunu kullanır. Bu, eğer şifreleme kırılmışsa, kullanıcının esasen hiçbir koruması olmadığı anlamına gelir. Daha fazla burada: mobile.twitter.com/matthew_d_green/status/1059435094421712896 ve gerçek kağıt (PDF olarak) burada: t.co/UGTsvnFv9Y?amp=1
DocWeird

0

Sürücünüzü ve sunduğu şifreleme seçeneklerini bilmiyorum, ancak donanım şifrelemesi birden fazla işletim sistemiyle (örneğin Windows ve Linux'u çift önyüklemek istediğinizde) kullanılabilirken, yazılım şifrelemesinin yapılandırılması daha zor olabilir. Ayrıca, her iki yöntemin güvenliği de şifreleme anahtarlarınızı nasıl ve nerede sakladığınıza bağlıdır.

Evo'nun şifreleme seçeneğini kullanarak SSD'ye şifrelemeyi boşaltmanın daha iyi olabileceğini düşünüyorum, böylece işlemci herhangi bir şifreleme yapmak zorunda kalmaz, bu i / o performansı için daha iyi olabilir ve CPU'ya bir nefes verebilir ?

Haklısınız, donanım tabanlı şifreleme bilgisayarın işlem hızını düşürmez.

Cihazlarımda hiçbir zaman şifreleme kullanmadım, bu yüzden asıl etkinleştirme sürecinde size yardımcı olamadığım için üzgünüm. Çoğu durumda şifrelemeyi etkinleştirmenin sürücünün silinmesine neden olduğunu lütfen unutmayın (BitLocker verileri SİLMEZ, ancak tüm canlı şifreleme yazılımlarında olduğu gibi son derece uzak bir yolsuzluk şansına sahiptir). Bilgisayar kapatılana kadar kilidi açık kalan çoklu işletim sistemi uyumlu şifreli bir sürücüye sahip olmak istiyorsanız, sabit sürücünüzün sunduğu donanım şifreleme özelliği ile devam edin. Ancak, biraz daha güvenli ancak Windows ile sınırlı bir şey istiyorsanız, BitLocker'ı deneyin. Umarım yardımcı oldum!


İlk başta "Donanım şifrelemesinin daha güvenli olduğunu biliyorum", ama sonunda bunun tam tersini söylediğinizi söylüyorsunuz ("uyumlu istiyorsanız, donanım şifrelemesiyle gidin, ancak daha güvenli bir şey istiyorsanız, BitLocker'ı deneyin" ). Hangisini kastettin? Bu makalede açıklanan gibi şeyleri açıkladınız mı?
user1686

3
hardware-based encryption is generally more secureyanlış. Daha hızlı olabilir, ancak güvenlik donanım veya yazılıma değil, şifreleme standardına bağlıdır, çünkü dosyayı nasıl şifrelediğinize bakılmaksızın, çıktı aynı anahtarla aynı olacaktır
phuclv 9:18

-2

Biraz Wikipédia yapalım.

BitLocker

BitLocker bir tam disk şifreleme özelliğidir. Tüm birimler için şifreleme sağlayarak verileri korumak için tasarlanmıştır.

BitLocker mantıksal bir birim şifreleme sistemidir. Birim, tüm bir sabit disk sürücüsü olabilir veya olmayabilir veya bir veya daha fazla fiziksel sürücüye yayılabilir. Ayrıca, etkinleştirildiğinde, TPM ve BitLocker çoğu çevrimdışı fiziksel saldırıyı, önyükleme sektörü kötü amaçlı yazılımını vb. Önlemek için güvenilir önyükleme yolunun bütünlüğünü (ör. BIOS, önyükleme sektörü, vb.)

Microsoft'a göre, BitLocker kasıtlı olarak yerleşik bir arka kapı içermiyor; arka kapı olmadan, kolluk kuvvetlerinin Microsoft tarafından sağlanan kullanıcının disklerindeki verilere garantili bir geçiş yapmasının bir yolu yoktur.

Kendiliğinden Şifrelemeli Disk

Sürücüye veya sürücü muhafazasının içine yerleştirildiğinde donanım tabanlı şifreleme kullanıcı için oldukça şeffaftır. Önyükleme kimlik doğrulaması dışındaki sürücü, performansında bozulma olmayan tüm sürücüler gibi çalışır. Tüm şifreleme işletim sistemi ve ana bilgisayar işlemcisi tarafından görülmediğinden, disk şifreleme yazılımından farklı olarak herhangi bir komplikasyon veya performans yükü yoktur.

İki ana kullanım durumu Veri Beklemede koruma ve Şifreleme Disk Silme'dir.

Beklemedeki Veri korumasında bir dizüstü bilgisayar kolayca kapatılır. Disk artık üzerindeki tüm verileri kendi kendine koruyor. Veriler güvenlidir, çünkü hepsi, hatta işletim sistemi, artık güvenli bir AES modu ile şifrelenmiştir ve okuma ve yazmaya karşı kilitlenmiştir. Sürücünün kilidini açmak için 32 bayt (2 ^ 256) kadar güçlü olabilen bir kimlik doğrulama kodu gerekir.

Tipik kendinden şifrelemeli sürücüler, bir kez kilidi açıldığında, güç sağlandığı sürece kilidi açık kalacaktır. Universität Erlangen-Nürnberg'deki araştırmacılar, sürücüyü güç kesmeden başka bir bilgisayara taşımaya dayalı bir dizi saldırı gösterdi. Ayrıca, sürücüye güç kesmeden bilgisayarı saldırgan kontrollü bir işletim sistemine yeniden başlatmak da mümkün olabilir.

Karar

En önemli hatların bunlar olduğunu düşünüyorum:

Tüm şifreleme işletim sistemi ve ana bilgisayar işlemcisi tarafından görülmediğinden, disk şifreleme yazılımından farklı olarak herhangi bir komplikasyon veya performans yükü yoktur.

Tipik kendinden şifrelemeli sürücüler, bir kez kilidi açıldığında, güç sağlandığı sürece kilidi açık kalacaktır.

BitLocker bir disk şifreleme yazılımı olduğundan, donanım tabanlı tam disk şifrelemesinden daha yavaştır. Ancak, Kendiliğinden Şifrelemeli Disk, son kilidinden beri gücü olduğu sürece kilidi açık kalır. Bilgisayarın kapatılması sürücünün güvenliğini sağlar.

Yani, ya daha güvenli BitLocker'a ya da daha performanslı Kendiliğinden Şifrelemeli Disk'e sahipsiniz.


1
Ben soru olduğuna inanıyoruz değil EFS atıfta.
Scott

@Scott haklı olduğuna inanıyorum, ama yardım etmek için elimden geleni yaptım. En azından şimdi BitLocker hakkında daha fazla bilgimiz var, biri SSD Şifrelemesinin tam olarak ne olduğunu biliyorsa bu gelecekteki bir cevaba yardımcı olabilir.
NatoBoram

1
@NatoBoram - 'En azından şimdi BitLocker hakkında daha fazla bilgiye sahibiz' - İyi belgelenmiş bir özellik hakkında daha fazla bilgi yazarın sorusuna cevap vermiyor. Lütfen cevabınızı doğrudan yazarın sorusuna cevap verecek şekilde düzenleyin.
Ramhound


2
Sürücüdeki donanım şifreleme işleminin işletim sistemi tarafından görülememesi, sürücünün işletimini CPU tabanlı şifreleme kullanmanın genel olarak daha hızlı olacağı kadar yavaşlatmayacağı anlamına gelmez.
simpleuser

-4

Güncelleme: Bu cevabın doğru olduğuna ve donanım ve güvenlik operasyonlarında gerçek hayat kurumsal deneyimine bir örnek olduğuna inanıyorum. Belki de ilk cevaplarımda aşağı oyları oluşturan ama aynı zamanda toplumun bir bütün olarak daha kesin bir cevabı için düşünce sürecine ilişkin bilgi sağlayamadım. Windows ancak kilitli dolap başlatıldığından beri tehlikeye atılmış ve iyi bilinen bir sorundu ve kurumsal Windows işletim sistemine dahil edilmedi, ancak bir güvenlik / bant yardımı katmanı olan NSA Backdoor için tüketici düzeyinde paketler tarafından kullanılabilir.

Samsung EVO SSD'nin dahili şifreleme özelliği, yerel olarak optimize edilmiş olması ve şirket ortamlarında güvenlik için en iyi SSD'lerden biri olması nedeniyle benim tercihim olacaktır. Ayrıca anahtarı kaybederseniz, Samsung SSD'deki seri numarası ile bir ücret karşılığında kilidini açabilir.


2
Samsung'un seri # üzerinden SSD'nin kilidini açabilmesi kırmızı bayrak imho'dur. Ya Samsung, seri numarasına göre anahtarı yapmak için bir algoritma kullanır ya da anahtarları olan bir veritabanına sahiptir.
RS Finance

@RSFinance ile anlaşın. Başka bir taraf güvenli verilerinizi izniniz olmadan alabilirse, güvenli değildir.
UtahJarhead

1
@RSFinance Bu bir gerçek değil, bir hayal. Opal SSC uyumlu sürücü ile bu, tasarımla mümkün değildir - sürücüyü kullanımdan önce doğru şekilde başlattığınızı varsayarsak, şifreleme anahtarını bilen teorik bir şans bile dışarıda kalır. Gerçek Samsung SSD'nin Opal SSC'ye uygunluğuna güvenmeyebilirsiniz, ancak bu farklı bir hikaye.
UnclickableCharacter
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.