มันจะดีกว่าถ้าใช้ Bitlocker หรือการเข้ารหัสในตัวไดรฟ์ที่ SSD มอบให้?


17

ระบบของฉัน:

  • Intel Core i7-4790 ซึ่งรองรับ AES-NI
  • ASUS Z97-PRO mobo
  • Samsung 250GB EVO SSD (พร้อมตัวเลือกการเข้ารหัสในตัว)
  • Windows 7 บิต 64

หากฉันต้องการเข้ารหัสไดรฟ์สำหรับเริ่มระบบของฉันด้วย AES256 หรือที่คล้ายกันอะไรคือความแตกต่าง / ประสิทธิภาพที่เร็วขึ้น / ปลอดภัยยิ่งขึ้น พลิก Windows Bitlocker และไม่ใช้การเข้ารหัส SSD หรือเปิดใช้งานการเข้ารหัสไดรฟ์ในตัวที่ SSD นำเสนอและไม่ต้องกังวลกับ Bitlocker

ฉันคิดว่ามันน่าจะดีกว่าที่จะลดการเข้ารหัสลงใน SSD โดยใช้ตัวเลือกการเข้ารหัสของ Evo เพื่อให้โปรเซสเซอร์ไม่ต้องทำการเข้ารหัสใด ๆ นี่อาจจะดีกว่าสำหรับประสิทธิภาพของ I / O และให้ CPU ที่มีชีวิตอยู่ ? หรือตั้งแต่ CPU นี้มี AES-NI มันอาจไม่สำคัญ?

ฉันใหม่กับ Bitlocker และตัวเลือกการเข้ารหัส SSD นี้ดังนั้นความช่วยเหลือใด ๆ ที่ชื่นชมมาก


1
คุณอาจต้องการที่จะอ่านนี้รายละเอียดคำตอบ
phuclv

บางทีคุณควรลองสร้างการเปรียบเทียบของแต่ละตัวเลือกและโพสต์ไว้ที่นี่เพื่ออ้างอิงในอนาคตเนื่องจากมีข้อมูลบนอินเทอร์เน็ตไม่เพียงพอที่จะตอบคำถามนี้ AFAIK
Edel Gerardo

คำตอบ:


6

คำถามเก่า แต่ตั้งแต่นั้นมามีการพัฒนาใหม่ ๆ เกี่ยวกับ Bitlocker และการเข้ารหัสไดรฟ์ (ใช้อย่างเดียวหรือรวมกัน) ดังนั้นฉันจะเปลี่ยนความคิดเห็นของฉันสองสามหน้าให้เป็นคำตอบ อาจเป็นประโยชน์กับคนที่ค้นหาในปี 2018 และหลังจากนั้น

Bitlocker (คนเดียว):
มีหลายวิธีในการฝ่าฝืน Bitlocker ในประวัติศาสตร์มันโชคดีที่พวกเขาส่วนใหญ่ได้รับการแก้ไข / บรรเทาในปี 2018 แล้วสิ่งที่ยังคงมีอยู่ (เช่นที่รู้จักกัน) รวมถึง "Cold Boot Attack" - รุ่นใหม่ล่าสุด ซึ่งจริงๆแล้วไม่ใช่เฉพาะ Bitlocker (คุณต้องมีการเข้าถึงทางกายภาพไปยังคอมพิวเตอร์ที่ใช้งานอยู่และขโมยคีย์เข้ารหัสและสิ่งอื่น ๆ ที่อยู่ตรงจากหน่วยความจำ)

การเข้ารหัสฮาร์ดแวร์ไดรฟ์ SSD และ Bitlocker:
ช่องโหว่ใหม่ได้เปิดตัวในปี 2561 หากดิสก์ SSD มีการเข้ารหัสฮาร์ดแวร์ซึ่ง SSD ส่วนใหญ่มี Bitlocker จะใช้ค่าเริ่มต้นนั้นเท่านั้น ซึ่งหมายความว่าหากการเข้ารหัสนั้นแตกตัวผู้ใช้นั้นไม่มีการป้องกันเลย
ไดรฟ์ที่ทราบว่ามีความเสี่ยงจากช่องโหว่นี้ ได้แก่ (แต่อาจไม่ จำกัด เฉพาะ):
Crucial MX100, MX200, MX300 series Samgung 840 EVO, 850 EVO, T3, T5

ข้อมูลเพิ่มเติมเกี่ยวกับปัญหาการเข้ารหัส SSD ที่นี่:
https://twitter.com/matthew_d_green/status/1059435094421712896

และกระดาษจริง (เป็น PDF) จะเจาะลึกปัญหาที่นี่:
t.co/UGTsvnFv9Y?amp=1

ดังนั้นคำตอบคือจริงๆ; เนื่องจาก Bitlocker ใช้การเข้ารหัสฮาร์ดแวร์ดิสก์และมีช่องโหว่ของตัวเองด้านบนคุณจึงควรใช้การเข้ารหัสฮาร์ดแวร์ถ้า SSD ของคุณไม่อยู่ในรายการ SSD ที่ถอดรหัส

หากดิสก์ของคุณอยู่ในรายการคุณควรใช้สิ่งอื่นทั้งหมดเพราะ Bitlocker จะใช้การเข้ารหัสของไดรฟ์อยู่ดี คำถามคืออะไร; บน Linux ฉันจะแนะนำ LUKS เช่น


1
คุณสามารถป้องกันไม่ให้ Windows โดยใช้การเข้ารหัสฮาร์ดแวร์ ค้นหาหน้า "วิธีสร้าง BitLocker ใช้การเข้ารหัสซอฟต์แวร์"
42

1

ฉันได้ทำการค้นคว้าเกี่ยวกับเรื่องนี้และมีคำตอบที่สมบูรณ์สำหรับคุณ

  1. เป็นการดีกว่าเสมอที่จะใช้การเข้ารหัสแบบฮาร์ดแวร์บนไดรฟ์แบบเข้ารหัสด้วยตนเองหากคุณใช้การเข้ารหัสแบบซอฟต์แวร์บน bitlocker หรือโปรแกรมการเข้ารหัสอื่นมันจะทำให้เกิดการใดก็ได้ระหว่างการลดความเร็วในการอ่าน 25% ถึง 45% คุณสามารถเห็นประสิทธิภาพลดลงอย่างน้อย 10% (โปรดทราบว่าคุณต้องมี SSD ที่มีชิป TMP)

  2. Bitlocker เข้ากันได้กับการเข้ารหัสฮาร์ดแวร์ที่ใช้คุณสามารถใช้มายากลซัมซุง v 4.9.6 (v5 ไม่สนับสนุนสิ่งนี้อีกต่อไป) เพื่อล้างไดรฟ์และเปิดใช้งานการเข้ารหัสตามฮาร์ดแวร์

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. คุณสามารถเปิดใช้งานการเข้ารหัสตามฮาร์ดแวร์ผ่าน BIOS โดยการตั้งรหัสผ่านหลัก คุณจะต้องทำตามขั้นตอนบางส่วนในบทความด้านบนเช่นการปิด CMS

  2. เพื่อตอบคำถามของคุณฉันไม่รู้จริงๆว่าเร็วกว่าไหน ฉันได้ติดต่อกับ Samsung แต่ได้รับข้อมูลที่ จำกัด เกี่ยวกับเรื่องนี้ หากฉันไม่ได้รับนักพัฒนาฉันสงสัยว่าฉันจะได้รับคำตอบที่ดีซึ่งเป็นตัวเลือกที่ดีกว่า ตอนนี้ฉันวางแผนที่จะเปิดใช้งานการเข้ารหัสฮาร์ดแวร์ตามใน BIOS ของฉัน


คุณกำลังพูดว่า "ดีกว่า" เพื่อเหตุผลด้านประสิทธิภาพหรือไม่? โดยทั่วไปวิธีการเข้ารหัสทั้งสองนั้นมีความปลอดภัยเหมือนกันหรือไม่? ฉันเคยได้ยินว่า "การเข้ารหัสด้วยตนเอง" ดิสก์มีการเข้ารหัสที่ไม่ดีอย่างน่าตกใจ - เร็วใช่ แต่ไม่ปลอดภัยจริง ๆ
user1686

Bitlocker ถูกละเมิดและสิ่งนี้ได้รับการเผยแพร่โดยผู้เชี่ยวชาญด้านความปลอดภัย โดยพื้นฐานแล้วหากคุณสามารถปลอม AD และอื่น ๆ ที่จำเป็นในการเข้าสู่ระบบคอมพิวเตอร์คุณยังสามารถข้าม Bitlocker ในกระบวนการ
DocWeird

ขอให้อภัย @DocWeird แต่อ้างว่า Bitlocker ถูกละเมิดนั้นอ้างว่า AES-256 นั้นถูกละเมิด - และมันก็ยังไม่เป็นเช่นนั้น คุณหมายถึงอะไรกันแน่? ล็อกอินอีกครั้งนั่นไม่เกี่ยวข้องกับ Bitlocker! คุณสามารถบูตจากไดรฟ์ Bitlocker โดยไม่ต้องลงชื่อเข้าใช้เลย! ไม่ใช่ความตั้งใจของ Bitlocker ที่จะป้องกันไม่ให้ผู้ใช้ที่ได้รับอนุญาตบนเครื่องของคุณอ่านไฟล์ แต่เพื่อป้องกันการเข้าถึงเนื้อหาของฮาร์ดไดรฟ์หากมีคนขโมยไดรฟ์และเชื่อมต่อกับเครื่องอื่น (ซึ่งจะทำให้พวกเขาผ่าน SID ทั้งหมด การควบคุมการเข้าถึง คุณแน่ใจหรือว่าคุณไม่ได้นึกถึง EFS
เจมี่ Hanrahan

มีหลายวิธีในการฝ่าฝืน Bitlocker ซึ่งส่วนใหญ่แล้วแพทช์ / บรรเทาแล้ว (รวมถึงเวอร์ชันล่าสุดของ Cold Boot Attack ซึ่งไม่ใช่ Bitlocker ที่เจาะจงจริงๆ) วิธีหนึ่งคือการข้ามการพิสูจน์ตัวจริงของ Windows บนคอมพิวเตอร์ที่ถูกขโมย แกล้งทำตัวควบคุมโดเมนแคชรหัสผ่านท้องถิ่นและการเปลี่ยนรหัสผ่านซึ่งนำไปสู่ ​​TPM ที่ให้คีย์การเข้ารหัส) เพิ่มเติมได้ที่นี่: itworld.com/article/3005181/…
DocWeird

และเนื่องจากเราอยู่ในช่องโหว่ของ Bitlocker จึงมีช่องโหว่ใหม่โผล่ขึ้นมา ถ้าดิสก์ SSD มีการเข้ารหัสฮาร์ดแวร์ Bitlocker จะใช้ค่าเริ่มต้นนั้นเท่านั้น ซึ่งหมายความว่าหากการเข้ารหัสนั้นได้รับการถอดรหัสผู้ใช้จะไม่มีการป้องกันเลย เพิ่มเติมได้ที่นี่: mobile.twitter.com/matthew_d_green/status/1059435094421712896และเอกสารจริง (ในรูปแบบ PDF) ที่นี่: t.co/UGTsvnFv9Y?amp=1
DocWeird

0

ฉันไม่คุ้นเคยกับไดรฟ์ของคุณและตัวเลือกการเข้ารหัสที่มีให้ แต่การเข้ารหัสฮาร์ดแวร์สามารถใช้กับระบบปฏิบัติการหลายระบบ (เช่นเมื่อคุณต้องการดูอัลบูท Windows และ Linux) ในขณะที่การเข้ารหัสซอฟต์แวร์อาจยากกว่าในการกำหนดค่า นอกจากนี้ความปลอดภัยของทั้งสองวิธียังขึ้นอยู่กับว่าคุณเก็บคีย์เข้ารหัสของคุณอย่างไรและที่ไหน

ฉันคิดว่ามันน่าจะดีกว่าที่จะลดการเข้ารหัสลงใน SSD โดยใช้ตัวเลือกการเข้ารหัสของ Evo เพื่อให้โปรเซสเซอร์ไม่ต้องทำการเข้ารหัสใด ๆ นี่อาจจะดีกว่าสำหรับประสิทธิภาพของ i / o และให้ CPU ที่มีชีวิตอยู่ ?

คุณถูกต้องการเข้ารหัสโดยใช้ฮาร์ดแวร์จะไม่ลดความเร็วในการประมวลผลของคอมพิวเตอร์

ฉันไม่เคยใช้การเข้ารหัสบนอุปกรณ์ใด ๆ ของฉันดังนั้นฉันขอโทษที่ฉันไม่สามารถช่วยคุณในกระบวนการเปิดใช้งานจริง โปรดทราบว่าในกรณีส่วนใหญ่การเปิดใช้งานการเข้ารหัสทำให้ไดรฟ์ถูกลบ (BitLocker ไม่ได้ลบข้อมูล แต่มีโอกาสที่จะเกิดความเสียหายจากระยะไกลได้อย่างมากเช่นเดียวกับซอฟต์แวร์เข้ารหัสสดทั้งหมด) หากคุณต้องการมีไดรฟ์เข้ารหัสที่ใช้งานได้กับระบบปฏิบัติการหลายระบบซึ่งยังคงถูกปลดล็อกจนกว่าคอมพิวเตอร์จะปิดตัวลงให้ใช้คุณสมบัติการเข้ารหัสฮาร์ดแวร์ที่ฮาร์ดไดรฟ์ของคุณนำเสนอ แต่ถ้าคุณต้องการสิ่งที่ปลอดภัยกว่าเล็กน้อย แต่ จำกัด อยู่ที่ Windows ลองใช้ BitLocker หวังว่าฉันช่วย!


ในตอนแรกคุณระบุว่า "ฉันรู้ว่าการเข้ารหัสฮาร์ดแวร์มีความปลอดภัยมากกว่า" แต่ท้ายที่สุดคุณบอกว่าเขาทำตรงกันข้าม ("ถ้าคุณต้องการความเข้ากันได้ให้ไปกับการเข้ารหัสฮาร์ดแวร์ แต่ถ้าคุณต้องการความปลอดภัยมากกว่านี้ลอง BitLocker" ) คุณหมายถึงอันไหน คุณอธิบายถึงสิ่งต่าง ๆ ที่อธิบายไว้ในบทความนี้หรือไม่?
user1686

3
hardware-based encryption is generally more secureไม่ถูกต้อง มันอาจจะเร็วขึ้น แต่การรักษาความปลอดภัยขึ้นอยู่กับมาตรฐานการเข้ารหัสฮาร์ดแวร์หรือซอฟต์แวร์ไม่เพราะไม่คำนึงถึงวิธีการที่คุณเข้ารหัสไฟล์ที่ส่งออกจะเป็นเช่นเดียวกับคีย์เดียวกัน
phuclv

-2

มาทำWikipédiaกันบ้าง

BitLocker

BitLocker เป็นคุณสมบัติการเข้ารหัสดิสก์แบบเต็ม มันถูกออกแบบมาเพื่อปกป้องข้อมูลโดยการให้การเข้ารหัสสำหรับปริมาณทั้งหมด

BitLocker เป็นระบบเข้ารหัสลับแบบลอจิคัลวอลุ่ม ไดรฟ์ข้อมูลอาจเป็นไดรฟ์ฮาร์ดดิสก์ทั้งหมดหรืออาจเป็นไดรฟ์ฟิสิคัลตั้งแต่หนึ่งตัวขึ้นไป นอกจากนี้เมื่อเปิดใช้งาน TPM และ BitLocker สามารถรับรองความถูกต้องของเส้นทางการบูตที่เชื่อถือได้ (เช่น BIOS, บูตเซกเตอร์ ฯลฯ ) เพื่อป้องกันการโจมตีทางกายภาพออฟไลน์มัลแวร์บูตส่วนใหญ่เป็นต้น

ตามที่ Microsoft ระบุว่า BitLocker ไม่มีแบ็คดอร์ติดตั้งในตัว หากไม่มีแบ็คดอร์จะไม่มีทางที่กฎหมายบังคับให้มีการรับประกันข้อมูลของไดรฟ์ของผู้ใช้ที่ Microsoft จัดเตรียมไว้ให้

ไดรฟ์เข้ารหัสตัวเอง

การเข้ารหัสตามฮาร์ดแวร์เมื่อติดตั้งภายในไดรฟ์หรือภายในกล่องหุ้มไดรฟ์นั้นมีความโปร่งใสสำหรับผู้ใช้ ไดรฟ์ยกเว้นการรับรองความถูกต้อง bootup ทำงานเช่นเดียวกับไดรฟ์ที่ไม่มีการเสื่อมประสิทธิภาพ ไม่มีความซับซ้อนหรือค่าใช้จ่ายด้านประสิทธิภาพซึ่งต่างจากซอฟต์แวร์เข้ารหัสดิสก์เนื่องจากการเข้ารหัสทั้งหมดไม่สามารถมองเห็นได้ในระบบปฏิบัติการและตัวประมวลผลของโฮสต์คอมพิวเตอร์

กรณีใช้งานหลักสองกรณีคือ Data at Rest protection และ Cryptographic Disk Erasure

ในการป้องกันข้อมูลในส่วนที่เหลือแล็ปท็อปจะถูกปิด ขณะนี้ดิสก์ปกป้องข้อมูลทั้งหมดด้วยตนเอง ข้อมูลมีความปลอดภัยเพราะทุกอย่างแม้กระทั่ง OS ก็ถูกเข้ารหัสด้วยโหมดความปลอดภัยของ AES และถูกล็อกไม่ให้อ่านและเขียน ไดรฟ์ต้องใช้รหัสการรับรองความถูกต้องซึ่งสามารถแข็งแกร่งถึง 32 ไบต์ (2 ^ 256) เพื่อปลดล็อก

ไดรฟ์ที่เข้ารหัสด้วยตนเองโดยทั่วไปเมื่อปลดล็อคจะยังคงถูกปลดล็อคตราบเท่าที่ยังมีพลังงานอยู่ นักวิจัยที่Universität Erlangen-Nürnbergได้แสดงให้เห็นถึงการโจมตีจำนวนมากจากการเคลื่อนย้ายไดรฟ์ไปยังคอมพิวเตอร์เครื่องอื่นโดยไม่ต้องตัดไฟ นอกจากนี้อาจเป็นไปได้ที่จะรีบูทคอมพิวเตอร์เข้าสู่ระบบปฏิบัติการที่ควบคุมโดยผู้โจมตีโดยไม่ต้องตัดไฟลงไดรฟ์

คำตัดสิน

ฉันคิดว่าสิ่งที่สำคัญที่สุดคือ:

ไม่มีความซับซ้อนหรือค่าใช้จ่ายด้านประสิทธิภาพซึ่งต่างจากซอฟต์แวร์เข้ารหัสดิสก์เนื่องจากการเข้ารหัสทั้งหมดไม่สามารถมองเห็นได้ในระบบปฏิบัติการและตัวประมวลผลของโฮสต์คอมพิวเตอร์

ไดรฟ์ที่เข้ารหัสด้วยตนเองโดยทั่วไปเมื่อปลดล็อคจะยังคงถูกปลดล็อคตราบเท่าที่ยังมีพลังงานอยู่

เนื่องจาก BitLocker เป็นซอฟต์แวร์เข้ารหัสดิสก์จึงช้ากว่าการเข้ารหัสดิสก์เต็มรูปแบบที่ใช้ฮาร์ดแวร์ อย่างไรก็ตาม Self-Encrypting Drive จะยังคงถูกปลดล็อคตราบใดที่ยังมีพลังงานอยู่นับตั้งแต่ครั้งสุดท้ายที่มันถูกปลดล็อค การปิดคอมพิวเตอร์จะทำให้ไดรฟ์ปลอดภัย

ดังนั้นไม่ว่าคุณจะมี BitLocker ที่ปลอดภัยกว่าหรือ Self-Encrypting Drive ที่มีประสิทธิภาพมากขึ้น


1
ฉันเชื่อว่าคำถามไม่ได้หมายถึง EFS
สกอตต์

@Scott ฉันเชื่อว่าคุณพูดถูก แต่ฉันพยายามอย่างดีที่สุดเพื่อช่วย อย่างน้อยตอนนี้เรามีข้อมูลเพิ่มเติมเกี่ยวกับ BitLocker นี่อาจช่วยคำตอบในอนาคตถ้ามีคนรู้ว่าการเข้ารหัส SSD คืออะไร
NatoBoram

1
@NatoBoram - 'อย่างน้อยตอนนี้เรามีข้อมูลเพิ่มเติมเกี่ยวกับ BitLocker "- ข้อมูลเพิ่มเติมเกี่ยวกับคุณสมบัติที่มีเอกสารที่ดีไม่ตอบคำถามของผู้เขียนกรุณาแก้ไขคำตอบของคุณเพื่อให้ตรงกับคำถามของผู้เขียน
Ramhound


2
เพียงเพราะการดำเนินการเข้ารหัสฮาร์ดแวร์บนไดรฟ์นั้นมองไม่เห็นต่อระบบปฏิบัติการไม่ได้หมายความว่ามันจะไม่ทำให้การทำงานของไดรฟ์ช้าลงพอที่การใช้การเข้ารหัสโดยใช้ CPU จะทำให้ภาพรวมเร็วขึ้น
simpleuser

-4

อัปเดต: ฉันเชื่อว่าคำตอบนี้ถูกต้องและเป็นตัวอย่างของประสบการณ์การใช้งานจริงขององค์กรในด้านฮาร์ดแวร์และความปลอดภัย บางทีฉันอาจล้มเหลวในการให้รายละเอียดในคำตอบเริ่มต้นของฉันซึ่งสร้าง downvotes แต่ยังให้ข้อมูลเชิงลึกเกี่ยวกับกระบวนการคิดสำหรับคำตอบที่เป็นข้อสรุปจากชุมชนโดยรวม Windows แต่ตัวล็อกเกอร์ถูกโจมตีตั้งแต่เปิดตัวและเป็นปัญหาที่รู้จักกันดีและไม่รวมอยู่ในระบบปฏิบัติการ Windows OS ขององค์กร แต่มีให้สำหรับแพ็คเกจระดับผู้บริโภคสำหรับการรักษาความปลอดภัย / แบนด์ NSA Backdoor

การเข้ารหัสในตัวของ Samsung EVO SSD จะเป็นทางเลือกของฉันเนื่องจากได้รับการปรับปรุงให้เหมาะสมที่สุดและหนึ่งใน SSD ที่ดีที่สุดสำหรับความปลอดภัยในสภาพแวดล้อมขององค์กร นอกจากนี้หากคุณทำกุญแจหาย Samsung ก็สามารถปลดล็อคได้โดยเสียค่าธรรมเนียมผ่านอนุกรม # บน SSD


2
ความจริงที่ว่า Samsung สามารถปลดล็อค SSD ผ่านซีเรียล # นั้นเป็นสถานะที่เป็นสีแดง Samsung ใช้อัลกอริทึมในการสร้างคีย์โดยใช้อนุกรม # หรือมีฐานข้อมูลพร้อมกับคีย์
RS Finance

เห็นด้วยกับ @RSFinance หากบุคคลอื่นสามารถรับข้อมูลที่ปลอดภัยของคุณโดยไม่ได้รับอนุญาตก็จะไม่ปลอดภัย
UtahJarhead

1
@RSFinance ยกเว้นนี่ไม่ใช่ความจริง แต่เป็นแฟนตาซี ด้วยไดรฟ์ที่เข้ากันได้กับโอปอล SSC นี้ไม่สามารถทำได้โดยการออกแบบ - สมมติว่าคุณเริ่มต้นไดรฟ์อย่างถูกต้องก่อนใช้งานเพื่อให้แม้แต่โอกาสทางทฤษฎีของผู้ขายที่รู้ว่าคีย์การเข้ารหัสนั้นถูกทิ้งไว้ คุณอาจไม่เชื่อมั่นในความสอดคล้องกับ Samsung SSD จริงกับ Opal SSC แต่นี่เป็นเรื่องราวที่แตกต่าง
UnclickableCharacter
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.