Có tốt hơn khi sử dụng Bitlocker hoặc mã hóa tích hợp trong ổ đĩa mà SSD của tôi cung cấp không?


17

Hệ thống của tôi:

  • Intel Core i7-4790, hỗ trợ AES-NI
  • Mobo ASUS Z97-PRO
  • Samsung 250GB EVO SSD (có tùy chọn mã hóa tích hợp)
  • Windows 7 64 bit

Nếu tôi chỉ muốn mã hóa ổ đĩa khởi động của mình bằng AES256 hoặc tương tự, điều gì sẽ là sự khác biệt / hiệu suất nhanh hơn / an toàn hơn? Bật Windows Bitlocker và không sử dụng mã hóa SSD hoặc bật mã hóa ổ đĩa tích hợp mà SSD cung cấp và bạn không lo lắng về Bitlocker?

Tôi nghĩ rằng có thể tốt hơn để giảm mã hóa cho SSD bằng cách sử dụng tùy chọn mã hóa của Evo, để bộ xử lý không phải thực hiện bất kỳ mã hóa nào, điều này có thể tốt hơn cho hiệu năng I / O và giúp CPU dễ thở hơn ? Hoặc vì CPU này có AES-NI nên nó có thể không quan trọng?

Tôi mới sử dụng Bitlocker và tùy chọn mã hóa SSD này, vì vậy mọi trợ giúp đều được đánh giá cao.


1
bạn có thể muốn đọc câu trả lời chi tiết này
phuclv

Có lẽ bạn nên thử tạo điểm chuẩn cho từng tùy chọn và đăng lên đây để tham khảo trong tương lai, với điều kiện là không có đủ thông tin trên internet để trả lời câu hỏi này, AFAIK.
Edel Gerardo

Câu trả lời:


6

Câu hỏi cũ, nhưng kể từ đó, một số phát triển mới đã được tìm thấy liên quan đến Bitlocker và mã hóa ổ đĩa (được sử dụng một mình hoặc kết hợp), vì vậy tôi sẽ chuyển một vài nhận xét của mình trên trang thành câu trả lời. Có thể nó được sử dụng cho ai đó thực hiện tìm kiếm vào năm 2018 và sau đó.

Bitlocker (một mình):
Đã có một số cách để vi phạm Bitlocker trong lịch sử của nó, may mắn là hầu hết chúng đã được vá / giảm nhẹ vào năm 2018. Ví dụ, những gì còn lại (được biết) bao gồm, "Cold Boot Attack" - phiên bản mới nhất trong đó thực sự không phải là Bitlocker cụ thể (bạn cần truy cập vật lý vào máy tính đang chạy và đánh cắp các khóa mã hóa, và bất cứ thứ gì khác, ngay từ bộ nhớ).

Mã hóa phần cứng ổ SSD và Bitlocker:
Một lỗ hổng mới đã xuất hiện vào năm 2018; nếu một ổ SSD có mã hóa phần cứng, mà hầu hết các ổ SSD đều có, Bitlocker mặc định chỉ sử dụng cái đó. Điều đó có nghĩa là nếu bản thân mã hóa đó đã bị bẻ khóa, về cơ bản người dùng không có sự bảo vệ nào.
Các ổ đĩa được biết là bị lỗ hổng này bao gồm (nhưng có lẽ không giới hạn ở):
Crucial MX100, MX200, MX300 sê-ri Samgung 840 EVO, 850 EVO, T3, T5

Thông tin thêm về vấn đề mã hóa SSD tại đây:
https://twitter.com/matthew_d_green/status/1059435094421712896

Và bài báo thực tế (dưới dạng PDF) đi sâu vào vấn đề ở đây:
t.co/UGTsvnFv9Y?amp=1

Vì vậy, câu trả lời thực sự là; do Bitlocker sử dụng mã hóa phần cứng đĩa và có lỗ hổng riêng của nó, bạn nên sử dụng mã hóa phần cứng nếu SSD của bạn không nằm trong danh sách SSD bị bẻ khóa.

Nếu đĩa của bạn nằm trong danh sách, tốt hơn hết bạn nên sử dụng thứ khác hoàn toàn vì Bitlocker sẽ sử dụng mã hóa ổ đĩa. Câu hỏi là gì; trên Linux tôi muốn giới thiệu LUKS, ví dụ.


1
Bạn có thể ngăn Windows sử dụng mã hóa phần cứng . tìm kiếm trang "Cách tạo BitLocker bằng mã hóa phần mềm".
Người dùng42

1

Tôi đã thực hiện một số nghiên cứu về điều này và có một nửa câu trả lời hoàn chỉnh cho bạn.

  1. Luôn luôn tốt hơn khi sử dụng mã hóa dựa trên phần cứng trên ổ đĩa tự mã hóa, nếu bạn sử dụng mã hóa dựa trên phần mềm trên bitlocker hoặc một chương trình mã hóa khác, nó sẽ gây ra tốc độ đọc chậm từ 25% đến 45%. bạn có thể thấy hiệu suất giảm tối thiểu 10%. (lưu ý bạn phải có ổ SSD có chip TMP)

  2. Bitlocker tương thích với mã hóa dựa trên phần cứng, bạn có thể sử dụng phép thuật samsung. v 4.9.6 (v5 không còn hỗ trợ này) để xóa ổ đĩa và kích hoạt mã hóa dựa trên phần cứng.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encoding-for-ssds/

  1. bạn có thể kích hoạt mã hóa dựa trên phần cứng thông qua BIOS bằng cách đặt mật khẩu chính. Bạn sẽ cần phải làm theo một số bước trong bài viết trên, như tắt CMS.

  2. Để trả lời câu hỏi của bạn, tôi không thực sự biết cái nào nhanh hơn. Tôi đã liên hệ với Samsung nhưng đưa ra thông tin hạn chế về điều này. Trừ khi tôi nhận được một nhà phát triển, tôi nghi ngờ tôi sẽ nhận được một câu trả lời tốt, đó là lựa chọn tốt hơn. Hiện tại tôi có kế hoạch kích hoạt mã hóa dựa trên phần cứng trong bios của mình.


Bạn đang nói "nó tốt hơn" hoàn toàn vì lý do hiệu suất? Cả hai phương pháp mã hóa thường cung cấp bảo mật giống hệt nhau? Tôi đã nghe nói về các đĩa "tự mã hóa" có mã hóa cực kỳ tệ - nhanh, có, nhưng không thực sự an toàn.
dùng1686

Bitlocker đã bị vi phạm và điều này đã bị các chuyên gia bảo mật phá hủy. Về cơ bản, nếu bạn có thể giả mạo AD, vv cần thiết để đăng nhập vào máy tính, bạn cũng có thể bỏ qua Bitlocker trong quy trình.
Docweird

Xin thứ lỗi, @Doc Weird, nhưng tuyên bố rằng Bitlocker đã bị vi phạm đang cho rằng AES-256 đã bị vi phạm - và nó đã không xảy ra. Chính xác ý của bạn là gì? Đăng nhập lại, điều đó không liên quan đến Bitlocker! Bạn có thể khởi động từ ổ đĩa của Bitlocker mà không cần đăng nhập! Bitlocker không có ý định giữ cho những người dùng được ủy quyền khác trên máy của bạn đọc các tệp của bạn, mà là để ngăn truy cập vào nội dung của ổ cứng nếu ai đó đánh cắp ổ đĩa và kết nối nó với một máy khác (điều này sẽ cho phép họ bỏ qua tất cả SID- kiểm soát truy cập dựa trên). Bạn có chắc là bạn không nghĩ về EFS?
Jamie Hanrahan

Có rất nhiều cách để vi phạm Bitlocker, hầu hết trong số chúng đã được vá / giảm nhẹ (bao gồm cả phiên bản mới nhất của Cold Boot Attack thực sự không phải là Bitlocker cụ thể), một cách đơn giản là bỏ qua xác thực Windows trên máy tính (bị đánh cắp) giả mạo bộ điều khiển miền, bộ đệm mật khẩu cục bộ và thay đổi mật khẩu - tất cả đều dẫn đến TPM mang lại khóa không mã hóa). Xem thêm tại đây: itworld.com/article/3005181/ Mạnh
Docweird

Và vì chúng tôi đang có các lỗ hổng Bitlocker, một cái mới đã xuất hiện; nếu một ổ SSD có mã hóa phần cứng, Bitlocker mặc định chỉ sử dụng cái đó. Điều đó có nghĩa là nếu mã hóa đó đã bị bẻ khóa, về cơ bản người dùng không có sự bảo vệ nào cả. Xem thêm tại đây: mobile.twitter.com/matthew_d_green/status/1059435094421712896 và giấy thực tế (dưới dạng PDF) tại đây: t.co/UGTsvnFv9Y?amp=1
Docweird

0

Tôi không quen với ổ đĩa của bạn và các tùy chọn mã hóa mà nó cung cấp, tuy nhiên mã hóa phần cứng có thể được sử dụng với nhiều hệ điều hành (ví dụ: khi bạn muốn khởi động kép Windows và Linux), trong khi mã hóa phần mềm có thể khó cấu hình hơn. Ngoài ra, sự an toàn của cả hai phương pháp phụ thuộc vào cách thức và nơi bạn lưu trữ khóa mã hóa của mình.

Tôi nghĩ rằng có thể tốt hơn để giảm mã hóa cho SSD bằng cách sử dụng tùy chọn mã hóa của Evo, để bộ xử lý không phải thực hiện bất kỳ mã hóa nào, điều này có thể tốt hơn cho hiệu năng của i / o và giúp CPU dễ thở hơn ?

Bạn đã đúng, mã hóa dựa trên phần cứng không làm giảm tốc độ xử lý của máy tính.

Tôi chưa bao giờ sử dụng mã hóa trên bất kỳ thiết bị nào của mình, vì vậy tôi xin lỗi vì tôi không thể giúp bạn trong quá trình kích hoạt thực tế. Xin lưu ý rằng trong hầu hết các trường hợp, việc kích hoạt mã hóa khiến ổ đĩa bị xóa (BitLocker KHÔNG xóa dữ liệu, tuy nhiên nó có khả năng tham nhũng cực kỳ xa, như với tất cả các phần mềm mã hóa trực tiếp). Nếu bạn muốn có ổ đĩa được mã hóa tương thích đa hệ điều hành, vẫn được mở khóa cho đến khi máy tính bị tắt, hãy sử dụng tính năng mã hóa phần cứng mà ổ cứng của bạn cung cấp. Nhưng, nếu bạn muốn một cái gì đó an toàn hơn một chút nhưng bị giới hạn trong Windows, hãy thử BitLocker. Hy vọng tôi đã giúp!


Lúc đầu, bạn nói "Tôi biết thực tế là mã hóa phần cứng an toàn hơn", nhưng cuối cùng bạn nói anh ấy hoàn toàn ngược lại ("nếu bạn muốn tương thích, hãy đi với mã hóa phần cứng, nhưng nếu bạn muốn thứ gì đó an toàn hơn, hãy thử BitLocker" ). Ý bạn là gì Bạn đã tính đến những thứ như được mô tả trong bài viết này ?
dùng1686

3
hardware-based encryption is generally more securekhông chính xác Nó có thể nhanh hơn, nhưng bảo mật phụ thuộc vào tiêu chuẩn mã hóa, không phải phần cứng hay phần mềm, bởi vì bất kể bạn mã hóa tệp như thế nào, đầu ra sẽ giống nhau với cùng một khóa
phuclv

-2

Hãy làm một số Wikipédia.

BitLocker

BitLocker là một tính năng mã hóa toàn bộ đĩa. Nó được thiết kế để bảo vệ dữ liệu bằng cách cung cấp mã hóa cho toàn bộ khối lượng.

BitLocker là một hệ thống mã hóa khối lượng logic. Một ổ đĩa có thể hoặc không thể là toàn bộ ổ đĩa cứng hoặc nó có thể kéo dài một hoặc nhiều ổ đĩa vật lý. Ngoài ra, khi được bật, TPM và BitLocker có thể đảm bảo tính toàn vẹn của đường dẫn khởi động đáng tin cậy (ví dụ: BIOS, boot sector, v.v.), để ngăn chặn hầu hết các cuộc tấn công vật lý ngoại tuyến, phần mềm độc hại của boot boot, v.v.

Theo Microsoft, BitLocker không chứa cửa hậu tích hợp có chủ ý; không có cửa hậu, không có cách nào để cơ quan thực thi pháp luật có một lối đi được đảm bảo cho dữ liệu trên các ổ đĩa của người dùng được cung cấp bởi Microsoft.

Ổ đĩa tự mã hóa

Mã hóa dựa trên phần cứng khi được tích hợp vào ổ đĩa hoặc trong vỏ ổ đĩa rõ ràng là trong suốt đối với người dùng. Ổ đĩa ngoại trừ xác thực khởi động hoạt động giống như bất kỳ ổ đĩa nào không có sự suy giảm hiệu suất. Không có sự phức tạp hay chi phí hiệu năng, không giống như phần mềm mã hóa ổ đĩa, vì tất cả mã hóa là vô hình đối với hệ điều hành và bộ xử lý máy tính chủ.

Hai trường hợp sử dụng chính là Bảo vệ dữ liệu tại phần còn lại và Xóa đĩa mã hóa.

Trong bảo vệ dữ liệu tại phần còn lại, máy tính xách tay chỉ đơn giản là tắt nguồn. Đĩa hiện tự bảo vệ tất cả dữ liệu trên đó. Dữ liệu an toàn vì tất cả dữ liệu, ngay cả HĐH, hiện đã được mã hóa, với chế độ bảo mật AES và bị khóa khỏi đọc và viết. Ổ đĩa yêu cầu mã xác thực có thể mạnh tới 32 byte (2 ^ 256) để mở khóa.

Các ổ đĩa tự mã hóa thông thường, một khi đã được mở khóa, sẽ vẫn được mở khóa miễn là nguồn điện được cung cấp. Các nhà nghiên cứu tại Đại học Erlangen-Nürnberg đã chứng minh một số cuộc tấn công dựa trên việc di chuyển ổ đĩa sang máy tính khác mà không cắt điện. Ngoài ra, có thể khởi động lại máy tính vào hệ điều hành do kẻ tấn công kiểm soát mà không cần cắt nguồn cho ổ đĩa.

Bản án

Tôi nghĩ rằng những dòng quan trọng nhất là:

Không có sự phức tạp hoặc chi phí hiệu năng, không giống như phần mềm mã hóa ổ đĩa, vì tất cả mã hóa là vô hình đối với hệ điều hành và bộ xử lý máy tính chủ.

Các ổ đĩa tự mã hóa thông thường, một khi đã được mở khóa, sẽ vẫn được mở khóa miễn là nguồn điện được cung cấp.

Vì BitLocker là một phần mềm mã hóa đĩa, nên nó chậm hơn so với mã hóa toàn bộ đĩa dựa trên phần cứng. Tuy nhiên, Ổ đĩa tự mã hóa vẫn được mở khóa miễn là nó có sức mạnh kể từ lần cuối cùng được mở khóa. Tắt máy tính sẽ bảo mật ổ đĩa.

Vì vậy, hoặc bạn có BitLocker an toàn hơn hoặc Ổ đĩa tự mã hóa hiệu quả hơn.


1
Tôi tin rằng câu hỏi không đề cập đến EFS.
Scott

@ Hủy bỏ Tôi tin rằng bạn đúng, nhưng tôi đã cố gắng hết sức để giúp đỡ. Ít nhất bây giờ chúng tôi có thêm thông tin về BitLocker, điều này có thể giúp trả lời trong tương lai nếu ai đó biết chính xác Mã hóa SSD là gì.
NatoBoram

1
@NatoBoram - 'Ít nhất bây giờ chúng tôi có thêm thông tin về BitLocker "- Thông tin thêm về tính năng được ghi chép tốt không trả lời câu hỏi của tác giả. Vui lòng chỉnh sửa câu trả lời của bạn để nó trực tiếp giải quyết câu hỏi của tác giả.
Ramhound

Bitlocker cũng cung cấp Mã hóa phần cứng
NetwOrchestration

2
Chỉ vì hoạt động mã hóa phần cứng trên ổ đĩa là vô hình đối với hệ điều hành không có nghĩa là nó không làm chậm hoạt động của ổ đĩa đủ để sử dụng mã hóa dựa trên CPU sẽ nhanh hơn về tổng thể.
đơn giản

-4

Cập nhật: Tôi tin rằng câu trả lời này là chính xác và là một ví dụ về trải nghiệm doanh nghiệp thực tế trong phần cứng và bảo mật. Có thể tôi đã thất bại trong việc cung cấp chi tiết trong câu trả lời ban đầu của mình, điều này đã tạo ra các downvote nhưng cũng cung cấp cái nhìn sâu sắc về quá trình suy nghĩ để có câu trả lời rõ ràng hơn từ cộng đồng nói chung. Windows nhưng locker đã bị xâm phạm kể từ khi ra mắt và là một vấn đề nổi tiếng và không được bao gồm trong hệ điều hành Windows dành cho doanh nghiệp nhưng có sẵn cho các gói cấp độ người tiêu dùng cho một lớp hỗ trợ bảo mật / băng tần, NSA Backdoor.

Samsung EVO SSD tích hợp mã hóa sẽ là lựa chọn của tôi vì nó được tối ưu hóa thực sự và là một trong những SSD tốt nhất hiện có để bảo mật trong môi trường công ty. Ngoài ra nếu bạn mất chìa khóa, Samsung có thể mở khóa với một khoản phí thông qua số sê-ri # trên SSD.


2
Thực tế là Samsung có thể mở khóa SSD thông qua serial # là một imho cờ đỏ. Samsung sử dụng thuật toán để tạo khóa dựa trên serial # hoặc có cơ sở dữ liệu với các phím.
RS Finance

Đồng ý với @RSFinance. Nếu một bên khác có thể lấy dữ liệu an toàn của bạn mà không có sự cho phép của bạn, thì nó không an toàn.
UtahJarhead

1
@RSFinance Ngoại trừ đây không phải là sự thật mà là ảo mộng. Với ổ đĩa tương thích với Opal SSC, điều này là không thể đối với thiết kế - giả sử bạn đã khởi tạo ổ đĩa đúng cách trước khi sử dụng, do đó ngay cả cơ hội lý thuyết của nhà cung cấp khi biết khóa mã hóa bị bỏ qua. Bạn có thể không tin tưởng vào sự tuân thủ thực tế của Samsung SSD đối với Opal SSC, nhưng đây là một câu chuyện khác.
UnclickableCharacter
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.