Mein System:
- Intel Core i7-4790, der AES-NI unterstützt
- ASUS Z97-PRO Mobo
- Samsung 250 GB EVO SSD (mit integrierter Verschlüsselungsoption)
- 64-Bit Windows 7
Wenn ich nur mein Boot-Laufwerk mit AES256 oder ähnlichem verschlüsseln möchte, was wäre der Unterschied / schnellere Leistung / sicherer? Schalten Sie Windows Bitlocker ein und verwenden Sie nicht die SSD-Verschlüsselung oder aktivieren Sie die integrierte Laufwerkverschlüsselung, die die SSD bietet, und sorgen Sie sich nicht um Bitlocker?
Ich denke, es ist möglicherweise besser, die Verschlüsselung mithilfe der Evo-Verschlüsselungsoption auf die SSD zu übertragen, damit der Prozessor keine Verschlüsselung durchführen muss. Dies ist möglicherweise besser für die E / A-Leistung und verschafft der CPU eine Verschnaufpause ? Oder da diese CPU AES-NI hat, ist es vielleicht egal?
Ich bin neu in Bitlocker und dieser SSD-Verschlüsselungsoption, daher wird jede Hilfe sehr geschätzt.
Antworten:
Alte Frage, aber seitdem wurden einige neue Entwicklungen in Bezug auf Bitlocker und Laufwerksverschlüsselung (einzeln oder in Kombination verwendet) gefunden. Daher werde ich einige meiner Kommentare auf der Seite in eine Antwort umwandeln. Vielleicht hilft es jemandem, der 2018 und später eine Suche durchführt.
Bitlocker (alleine):
Es gab verschiedene Möglichkeiten, Bitlocker in seiner Geschichte zu durchbrechen, zum Glück wurden die meisten bereits 2018 gepatcht / gemildert. Was (bekannt) bleibt, ist zum Beispiel der "Cold Boot Attack" - die neueste Version Davon ist Bitlocker wirklich nicht spezifisch (Sie benötigen physischen Zugriff auf einen laufenden Computer und stehlen die Verschlüsselungsschlüssel und alles andere direkt aus dem Speicher).
Hardware-Verschlüsselung für SSD-Laufwerke und Bitlocker:
2018 ist eine neue Sicherheitslücke aufgetaucht. Wenn eine SSD-Festplatte eine Hardwareverschlüsselung hat, die die meisten SSDs haben, verwendet Bitlocker standardmäßig nur diese. Das heißt, wenn diese Verschlüsselung selbst geknackt wurde, hat der Benutzer im Wesentlichen überhaupt keinen Schutz.
Zu den Laufwerken, von denen bekannt ist, dass sie unter dieser Sicherheitsanfälligkeit leiden, gehören (aber wahrscheinlich nicht ausschließlich):
Crucial MX100, MX200, MX300, Samgung 840 EVO, 850 EVO, T3, T5
Weitere Informationen zum SSD-Verschlüsselungsproblem finden Sie hier:
https://twitter.com/matthew_d_green/status/1059435094421712896
Und das eigentliche Paper (als PDF), das sich hier eingehender mit dem Problem befasst:
t.co/UGTsvnFv9Y?amp=1
Die Antwort lautet also wirklich: Da Bitlocker die Festplatten-Hardwareverschlüsselung verwendet und darüber hinaus seine eigenen Schwachstellen aufweist, ist es besser, die Hardwareverschlüsselung zu verwenden, wenn Ihre SSD nicht auf der Liste der geknackten SSDs steht.
Wenn Ihre Festplatte in der Liste aufgeführt ist, sollten Sie eine andere Option verwenden, da Bitlocker die Laufwerkverschlüsselung sowieso verwenden würde. Was ist die Frage; Unter Linux würde ich zum Beispiel LUKS empfehlen.
quelle
Ich habe einige Nachforschungen angestellt und eine halb vollständige Antwort für Sie.
Es ist immer besser, eine hardwarebasierte Verschlüsselung auf einem selbstverschlüsselnden Laufwerk zu verwenden. Wenn Sie die softwarebasierte Verschlüsselung auf einem Bitlocker oder einem anderen Verschlüsselungsprogramm verwenden, führt dies zu einer Verringerung der Lese- und Schreibgeschwindigkeit um 25% bis 45%. Es konnte ein Leistungsabfall von mindestens 10% festgestellt werden. (Beachten Sie, dass Sie eine SSD mit einem TMP-Chip haben müssen.)
Bitlocker ist mit hardwarebasierter Verschlüsselung kompatibel, Sie können Samsung Magic verwenden. v 4.9.6 (v5 unterstützt dies nicht mehr), um das Laufwerk zu löschen und die hardwarebasierte Verschlüsselung zu aktivieren.
http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/
Sie können die hardwarebasierte Verschlüsselung über das BIOS aktivieren, indem Sie das Master-Passwort festlegen. Sie müssen einige der im obigen Artikel beschriebenen Schritte ausführen, beispielsweise das Deaktivieren von CMS.
Um Ihre Frage zu beantworten, weiß ich nicht wirklich, was schneller ist. Ich habe mich an Samsung gewandt, aber die begrenzten Informationen dazu gegeben. Wenn ich keinen Entwickler bekomme, bezweifle ich, dass ich eine gute Antwort bekomme, die die bessere Option ist. Im Moment plane ich, die hardwarebasierte Verschlüsselung in meinem BIOS zu aktivieren.
quelle
Ich bin mit Ihrem Laufwerk und den darin enthaltenen Verschlüsselungsoptionen nicht vertraut. Die Hardwareverschlüsselung kann jedoch mit mehreren Betriebssystemen verwendet werden (z. B. wenn Sie Windows und Linux dual booten möchten), während die Softwareverschlüsselung möglicherweise schwieriger zu konfigurieren ist. Die Sicherheit beider Methoden hängt auch davon ab, wie und wo Sie Ihre Verschlüsselungsschlüssel speichern.
Sie haben Recht, die hardwarebasierte Verschlüsselung verringert nicht die Verarbeitungsgeschwindigkeit des Computers.
Ich habe auf keinem meiner Geräte eine Verschlüsselung verwendet. Es tut mir leid, dass ich Ihnen bei der tatsächlichen Aktivierung nicht weiterhelfen kann. Bitte beachten Sie, dass in den meisten Fällen durch das Aktivieren der Verschlüsselung das Laufwerk gelöscht wird (BitLocker löscht KEINE Daten, es besteht jedoch, wie bei jeder Live-Verschlüsselungssoftware, ein extrem hohes Risiko der Beschädigung). Wenn Sie ein mit mehreren Betriebssystemen kompatibles verschlüsseltes Laufwerk haben möchten, das bis zum Herunterfahren des Computers entsperrt bleibt, wählen Sie die Hardwareverschlüsselungsfunktion, die Ihre Festplatte bietet. Wenn Sie jedoch etwas sichereres, aber auf Windows beschränktes möchten, probieren Sie BitLocker aus. Hoffe ich habe geholfen!
quelle
hardware-based encryption is generally more secure
ist falsch. Es ist möglicherweise schneller, aber die Sicherheit hängt vom Verschlüsselungsstandard ab, nicht von der Hardware oder Software. Unabhängig davon, wie Sie die Datei verschlüsseln, wird dieselbe Ausgabe mit demselben SchlüsselLass uns ein paar Wikipédia machen.
BitLocker
Selbstverschlüsselndes Laufwerk
Urteil
Ich denke, dass die wichtigsten Zeilen diese sind:
Da BitLocker eine Festplattenverschlüsselungssoftware ist, ist sie langsamer als die hardwarebasierte vollständige Festplattenverschlüsselung. Das selbstverschlüsselnde Laufwerk bleibt jedoch entsperrt, solange es seit dem letzten Entsperren mit Strom versorgt wurde. Durch Herunterfahren des Computers wird das Laufwerk gesichert.
Sie haben also entweder das sicherere BitLocker-Laufwerk oder das leistungsfähigere selbstverschlüsselnde Laufwerk.
quelle
Update: Ich glaube, diese Antwort war richtig und ein Beispiel für echte Unternehmenserfahrung in Hardware- und Sicherheitsoperationen. Vielleicht habe ich in meiner anfänglichen Antwort keine Details angegeben, die die Abstimmungen hervorriefen, aber auch einen Einblick in den Denkprozess für eine schlüssigere Antwort der gesamten Community gegeben. Windows, aber Locker wurde seit dem Start kompromittiert und ist ein bekanntes Problem. Es ist nicht im Windows-Betriebssystem für Unternehmen enthalten, steht jedoch für Pakete auf Verbraucherebene zur Verfügung, um eine Sicherheits- / Band-Hilfe-Ebene, NSA Backdoor, bereitzustellen.
Samsung EVO-SSDs mit integrierter Verschlüsselung wären meine Wahl, da sie von Haus aus optimiert sind und eine der besten SSDs für die Sicherheit in Unternehmensumgebungen darstellen. Auch wenn Sie den Schlüssel jemals verlieren, kann Samsung ihn gegen eine Gebühr über die Seriennummer auf der SSD entsperren.
quelle