BitLocker เข้ารหัสอะไรจริง ๆ และเมื่อใด

ฉันต้องการการเข้ารหัสดิสก์เต็มรูปแบบสำหรับคอมพิวเตอร์แล็ปท็อปธุรกิจที่ใช้ Windows 10 Pro รุ่นปัจจุบัน คอมพิวเตอร์มีไดรฟ์ NVMe SSD จาก Samsung และ Intel Core i5-8000 CPU

จากการวิจัยทางเว็บในปัจจุบันมีเพียงสองตัวเลือกเท่านั้น: Microsoft BitLocker และ VeraCrypt ฉันตระหนักถึงสถานะของแหล่งเปิดและปิดและผลกระทบด้านความปลอดภัยที่มาพร้อมกับสิ่งนั้น

หลังจากอ่านข้อมูลเกี่ยวกับ BitLocker ซึ่งฉันไม่เคยใช้มาก่อนฉันมีความประทับใจที่เริ่มต้นด้วย Windows 10 BitLocker เข้ารหัสเฉพาะข้อมูลที่เขียนใหม่บนดิสก์แต่ไม่ใช่ทุกอย่างที่มีอยู่แล้วด้วยเหตุผลด้านประสิทธิภาพ (เอกสารนั้นบอกว่าฉันมีทางเลือก แต่ฉันไม่พวกเขาไม่ถามฉันว่าฉันต้องการอะไรหลังจากเปิดใช้งาน) ฉันเคยใช้การเข้ารหัสระบบ TrueCrypt ในอดีตและรู้ว่าการเข้ารหัสข้อมูลที่มีอยู่เป็นงานที่มองเห็นได้ ไม่กี่ชั่วโมง. ฉันไม่สามารถสังเกตเห็นพฤติกรรมดังกล่าวด้วย BitLocker ไม่มี CPU พื้นหลังหรือกิจกรรมดิสก์ที่เห็นได้ชัดเจน

การเปิดใช้งาน BitLocker นั้นง่ายมาก คลิกปุ่มบันทึกคีย์การกู้คืนที่ปลอดภัย กระบวนการเดียวกันกับ VeraCrypt ทำให้ฉันละทิ้งความคิด ฉันจำเป็นต้องสร้างอุปกรณ์การกู้คืนที่ใช้งานได้จริงแม้จะใช้เพื่อการทดสอบบนระบบทิ้ง

ฉันได้อ่านด้วยว่าในปัจจุบันเวราคริปต์มีข้อบกพร่องด้านการออกแบบที่ทำให้ NVMe SSDs บางตัวทำงานช้ามากด้วยการเข้ารหัสระบบ ฉันไม่สามารถตรวจสอบได้เนื่องจากการตั้งค่าซับซ้อนเกินไป อย่างน้อยหลังจากเปิดใช้งาน BitLocker ฉันไม่เห็นการเปลี่ยนแปลงที่สำคัญในประสิทธิภาพของดิสก์ ทีมเวราคริปต์ยังมีทรัพยากรไม่เพียงพอที่จะแก้ไขข้อผิดพลาดที่ซับซ้อน นอกจากนี้การอัปเกรด Windows 10 ไม่สามารถใช้งานได้กับ VeraCryptซึ่งทำให้จำเป็นต้องใช้การเข้ารหัสดิสก์แบบเต็มและบ่อยครั้ง ฉันหวังว่า BitLocker จะทำงานได้ดีขึ้นที่นี่

ดังนั้นฉันเกือบจะตัดสินใจใช้ BitLocker แต่ฉันต้องเข้าใจว่ามันทำอะไร น่าเสียดายที่แทบจะไม่มีข้อมูลเกี่ยวกับมันออนไลน์ ส่วนใหญ่ประกอบด้วยโพสต์บล็อกที่ให้ภาพรวม แต่ไม่มีข้อมูลเชิงลึกที่รัดกุม ดังนั้นฉันถามที่นี่

หลังจากเปิดใช้งาน BitLocker ในระบบไดรฟ์เดียวแล้วจะเกิดอะไรขึ้นกับข้อมูลที่มีอยู่ เกิดอะไรขึ้นกับข้อมูลใหม่ การ "ระงับ BitLocker" หมายความว่าอย่างไร (ไม่เหมือนกับการปิดใช้งานอย่างถาวรและถอดรหัสข้อมูลทั้งหมดบนดิสก์) ฉันจะตรวจสอบสถานะการเข้ารหัสหรือบังคับให้เข้ารหัสข้อมูลที่มีอยู่ทั้งหมดได้อย่างไร (ฉันไม่ได้หมายถึงพื้นที่ที่ไม่ได้ใช้ฉันไม่สนใจสิ่งนั้นและเป็นสิ่งที่จำเป็นสำหรับ SSD ดูที่ TRIM) มีข้อมูลรายละเอียดและการดำเนินการเกี่ยวกับ BitLocker นอกเหนือจาก "ระงับ" และ "ถอดรหัส" หรือไม่?

และอาจมีข้อความด้านข้าง BitLocker เกี่ยวข้องกับ EFS อย่างไร (ระบบไฟล์ที่เข้ารหัส) หากเข้ารหัสไฟล์ที่เพิ่งเขียนใหม่เท่านั้น EFS น่าจะมีผลคล้ายกันมาก แต่ฉันรู้วิธีการใช้ EFS มันเป็นที่เข้าใจได้มากกว่า

การเปิดใช้งาน BitLocker จะเริ่มกระบวนการพื้นหลังซึ่งเข้ารหัสข้อมูลที่มีอยู่ทั้งหมด (ในฮาร์ดดิสก์ไดรฟ์นี้เป็นประเพณีที่เป็นกระบวนการที่ยาวตามความต้องการในการอ่านและเขียนทุกภาคพาร์ทิชัน -. บนดิสก์ที่เข้ารหัสด้วยตนเองก็สามารถเป็นได้ทันที) ดังนั้นเมื่อได้มีการกล่าวว่ามีเพียงข้อมูลที่เขียนขึ้นใหม่มีการเข้ารหัสที่หมายถึงรัฐทันที หลังจากการเปิดใช้งาน BitLocker และจะไม่เป็นจริงอีกต่อไปเมื่องานการเข้ารหัสพื้นหลังเสร็จสิ้น สถานะของกระบวนการนี้สามารถเห็นได้ในหน้าต่างแผงควบคุม BitLocker เดียวกันและหยุดชั่วคราวหากจำเป็น

บทความ Microsoft ต้องอ่านอย่างละเอียด: จริง ๆ แล้วมันพูดถึงการเข้ารหัสเฉพาะพื้นที่ที่ใช้ของดิสก์ พวกเขาเพียงโฆษณานี้ว่ามีผลกระทบมากที่สุดในระบบสดที่คุณไม่ได้มีข้อมูลใดๆที่นอกเหนือจากฐานปฏิบัติการ (และทุกข้อมูลจะถูก "เขียนใหม่") นั่นคือ Windows 10 จะเข้ารหัสไฟล์ที่มีอยู่ทั้งหมดของคุณหลังจากเปิดใช้งาน - มันจะไม่เสียเวลาในการเข้ารหัสเซกเตอร์ของดิสก์ซึ่งยังไม่มีอะไรเลย (คุณสามารถเลือกไม่ใช้การเพิ่มประสิทธิภาพนี้ผ่านนโยบายกลุ่ม)

(บทความยังชี้ให้เห็นข้อเสีย: พื้นที่ที่ถูกลบไฟล์ก่อนหน้านี้จะถูกข้ามเป็น "ไม่ได้ใช้" ดังนั้นหากการเข้ารหัสระบบที่ใช้ดีแล้วให้ทำการเช็ดพื้นที่ว่างโดยใช้เครื่องมือแล้วปล่อยให้ Windows เรียกใช้ TRIM ถ้า คุณมี SSD ทั้งหมดก่อนเปิดใช้งาน BitLocker หรือใช้นโยบายกลุ่มเพื่อปิดการทำงานนี้)

ในบทความเดียวกันมีการพูดถึงรุ่นล่าสุดของ Windows ที่สนับสนุน SSD ที่เข้ารหัสตัวเองโดยใช้มาตรฐาน OPAL ดังนั้นเหตุผลที่คุณไม่เห็นพื้นหลัง I / O อาจเป็นเพราะ SSD ถูกเข้ารหัสภายในตั้งแต่วันแรกและ BitLocker รู้จักสิ่งนี้และรับการจัดการคีย์ระดับ SSDแทนการทำซ้ำความพยายามเข้ารหัสในระดับระบบปฏิบัติการเท่านั้น นั่นคือ SSD จะไม่ปลดล็อคตัวเองเมื่อเปิดเครื่อง แต่ต้องการให้ Windows ทำเช่นนั้น สิ่งนี้สามารถปิดการใช้งานผ่านนโยบายกลุ่มหากคุณต้องการให้ระบบปฏิบัติการจัดการการเข้ารหัสโดยไม่คำนึงถึง

BitLocker ที่ถูกระงับจะทำให้สำเนา plaintext ของคีย์ 'master' ถูกเขียนลงดิสก์โดยตรง (โดยปกติคีย์หลักนี้จะถูกเข้ารหัสด้วยรหัสผ่านของคุณหรือด้วย TPM) ในขณะที่ถูกระงับสิ่งนี้จะช่วยให้ดิสก์สามารถปลดล็อคได้ด้วยตนเอง - เป็นสถานะที่ไม่ปลอดภัยอย่างชัดเจน แต่จะอนุญาตให้ Windows Update ทำการ reprogram TPM เพื่อให้ตรงกับระบบปฏิบัติการ , ตัวอย่างเช่น. กลับมาทำงานกับ BitLocker เพียงแค่ทำการล้างคีย์ธรรมดานี้จากดิสก์

BitLocker ไม่เกี่ยวข้องกับ EFS - ทำงานหลังที่ระดับไฟล์เชื่อมโยงคีย์กับบัญชีผู้ใช้ Windows (อนุญาตการกำหนดค่าที่ละเอียด แต่ทำให้ไม่สามารถเข้ารหัสไฟล์ของระบบปฏิบัติการ) ในขณะที่อดีตทำงานในระดับดิสก์ทั้งหมด สามารถใช้ร่วมกันได้แม้ว่า BitLocker ส่วนใหญ่จะทำให้ EFS ซ้ำซ้อน

(โปรดทราบว่าทั้ง BitLocker และ EFS มีกลไกสำหรับผู้ดูแลระบบ Active Directory ขององค์กรเพื่อกู้คืนข้อมูลที่เข้ารหัสไม่ว่าจะโดยการสำรองข้อมูลคีย์หลักของ BitLocker ใน AD หรือโดยการเพิ่มตัวแทนการกู้คืนข้อมูล EFS ไปยังไฟล์ทั้งหมด)