Ist es besser, Bitlocker oder die integrierte Laufwerkverschlüsselung zu verwenden, die meine SSD bietet?

17

Mein System:

  • Intel Core i7-4790, der AES-NI unterstützt
  • ASUS Z97-PRO Mobo
  • Samsung 250 GB EVO SSD (mit integrierter Verschlüsselungsoption)
  • 64-Bit Windows 7

Wenn ich nur mein Boot-Laufwerk mit AES256 oder ähnlichem verschlüsseln möchte, was wäre der Unterschied / schnellere Leistung / sicherer? Schalten Sie Windows Bitlocker ein und verwenden Sie nicht die SSD-Verschlüsselung oder aktivieren Sie die integrierte Laufwerkverschlüsselung, die die SSD bietet, und sorgen Sie sich nicht um Bitlocker?

Ich denke, es ist möglicherweise besser, die Verschlüsselung mithilfe der Evo-Verschlüsselungsoption auf die SSD zu übertragen, damit der Prozessor keine Verschlüsselung durchführen muss. Dies ist möglicherweise besser für die E / A-Leistung und verschafft der CPU eine Verschnaufpause ? Oder da diese CPU AES-NI hat, ist es vielleicht egal?

Ich bin neu in Bitlocker und dieser SSD-Verschlüsselungsoption, daher wird jede Hilfe sehr geschätzt.

Eddie
quelle
1
Vielleicht möchten Sie diese ausführliche Antwort
phuclv
Vielleicht sollten Sie versuchen, ein Benchmarking für jede Option durchzuführen und es hier zu Referenzzwecken zu veröffentlichen, da im Internet nicht genügend Informationen zur Beantwortung dieser Frage zur Verfügung stehen, AFAIK.
Edel Gerardo

Antworten:

6

Alte Frage, aber seitdem wurden einige neue Entwicklungen in Bezug auf Bitlocker und Laufwerksverschlüsselung (einzeln oder in Kombination verwendet) gefunden. Daher werde ich einige meiner Kommentare auf der Seite in eine Antwort umwandeln. Vielleicht hilft es jemandem, der 2018 und später eine Suche durchführt.

Bitlocker (alleine):
Es gab verschiedene Möglichkeiten, Bitlocker in seiner Geschichte zu durchbrechen, zum Glück wurden die meisten bereits 2018 gepatcht / gemildert. Was (bekannt) bleibt, ist zum Beispiel der "Cold Boot Attack" - die neueste Version Davon ist Bitlocker wirklich nicht spezifisch (Sie benötigen physischen Zugriff auf einen laufenden Computer und stehlen die Verschlüsselungsschlüssel und alles andere direkt aus dem Speicher).

Hardware-Verschlüsselung für SSD-Laufwerke und Bitlocker:
2018 ist eine neue Sicherheitslücke aufgetaucht. Wenn eine SSD-Festplatte eine Hardwareverschlüsselung hat, die die meisten SSDs haben, verwendet Bitlocker standardmäßig nur diese. Das heißt, wenn diese Verschlüsselung selbst geknackt wurde, hat der Benutzer im Wesentlichen überhaupt keinen Schutz.
Zu den Laufwerken, von denen bekannt ist, dass sie unter dieser Sicherheitsanfälligkeit leiden, gehören (aber wahrscheinlich nicht ausschließlich):
Crucial MX100, MX200, MX300, Samgung 840 EVO, 850 EVO, T3, T5

Weitere Informationen zum SSD-Verschlüsselungsproblem finden Sie hier:
https://twitter.com/matthew_d_green/status/1059435094421712896

Und das eigentliche Paper (als PDF), das sich hier eingehender mit dem Problem befasst:
t.co/UGTsvnFv9Y?amp=1

Die Antwort lautet also wirklich: Da Bitlocker die Festplatten-Hardwareverschlüsselung verwendet und darüber hinaus seine eigenen Schwachstellen aufweist, ist es besser, die Hardwareverschlüsselung zu verwenden, wenn Ihre SSD nicht auf der Liste der geknackten SSDs steht.

Wenn Ihre Festplatte in der Liste aufgeführt ist, sollten Sie eine andere Option verwenden, da Bitlocker die Laufwerkverschlüsselung sowieso verwenden würde. Was ist die Frage; Unter Linux würde ich zum Beispiel LUKS empfehlen.

DocWeird
quelle
1
Sie können verhindern, dass Windows die Hardwareverschlüsselung verwendet . Durchsuchen Sie die Seite nach "So verwenden Sie die Softwareverschlüsselung in BitLocker".
User42
1

Ich habe einige Nachforschungen angestellt und eine halb vollständige Antwort für Sie.

  1. Es ist immer besser, eine hardwarebasierte Verschlüsselung auf einem selbstverschlüsselnden Laufwerk zu verwenden. Wenn Sie die softwarebasierte Verschlüsselung auf einem Bitlocker oder einem anderen Verschlüsselungsprogramm verwenden, führt dies zu einer Verringerung der Lese- und Schreibgeschwindigkeit um 25% bis 45%. Es konnte ein Leistungsabfall von mindestens 10% festgestellt werden. (Beachten Sie, dass Sie eine SSD mit einem TMP-Chip haben müssen.)

  2. Bitlocker ist mit hardwarebasierter Verschlüsselung kompatibel, Sie können Samsung Magic verwenden. v 4.9.6 (v5 unterstützt dies nicht mehr), um das Laufwerk zu löschen und die hardwarebasierte Verschlüsselung zu aktivieren.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. Sie können die hardwarebasierte Verschlüsselung über das BIOS aktivieren, indem Sie das Master-Passwort festlegen. Sie müssen einige der im obigen Artikel beschriebenen Schritte ausführen, beispielsweise das Deaktivieren von CMS.

  2. Um Ihre Frage zu beantworten, weiß ich nicht wirklich, was schneller ist. Ich habe mich an Samsung gewandt, aber die begrenzten Informationen dazu gegeben. Wenn ich keinen Entwickler bekomme, bezweifle ich, dass ich eine gute Antwort bekomme, die die bessere Option ist. Im Moment plane ich, die hardwarebasierte Verschlüsselung in meinem BIOS zu aktivieren.

colin
quelle
Sagst du "es ist besser" nur aus Performancegründen? Bieten beide Verschlüsselungsmethoden im Allgemeinen die gleiche Sicherheit? Ich habe von "selbstverschlüsselnden" Datenträgern mit schockierend schlechter Verschlüsselung gehört - schnell, ja, aber nicht wirklich sicher.
user1686
Bitlocker wurde verletzt und dies wurde von Sicherheitsexperten demostriert. Grundsätzlich können Sie Bitlocker auch umgehen, wenn Sie AD vortäuschen können, usw., die für die Anmeldung am Computer erforderlich sind.
DocWeird
Verzeihung, @DocWeird, aber die Behauptung, dass Bitlocker verletzt wurde, ist die Behauptung, dass AES-256 verletzt wurde - und das war es auch nicht. Was genau meinst du? Erneut einloggen, das ist für Bitlocker irrelevant! Sie können von einem Bitlocker-Laufwerk booten, ohne sich überhaupt anzumelden! Es ist nicht die Absicht von Bitlocker, andere autorisierte Benutzer auf Ihrem Computer daran zu hindern, Ihre Dateien zu lesen, sondern den Zugriff auf den Festplatteninhalt zu verhindern, wenn jemand das Laufwerk stiehlt und es mit einem anderen Computer verbindet (wodurch alle SID- Zugriffskontrolle). Sind Sie sicher, dass Sie nicht an EFS denken?
Jamie Hanrahan
Es gibt neen verschiedene Möglichkeiten, Bitlocker zu durchbrechen, die meisten davon bereits gepatcht / gemindert (einschließlich der neuesten Version von Cold Boot Attack, die wirklich nicht Bitlocker-spezifisch ist). Eine bestand darin, die Windows-Authentifizierung auf dem (gestohlenen) Computer einfach zu umgehen (es war damit verbunden) Manipulieren eines Domänencontrollers, lokaler Kennwort-Cache und Ändern eines Kennworts - all dies führt dazu, dass TPM den Entschlüsselungsschlüssel ausgibt. Mehr hier: itworld.com/article/3005181/…
DocWeird
Und da wir uns mit Bitlocker-Sicherheitslücken befassen, ist gerade eine neue aufgetaucht. Wenn eine SSD-Festplatte über eine Hardwareverschlüsselung verfügt, verwendet Bitlocker standardmäßig nur diese. Das heißt, wenn diese Verschlüsselung geknackt wurde, hat der Benutzer im Wesentlichen überhaupt keinen Schutz. Mehr hier: mobile.twitter.com/matthew_d_green/status/1059435094421712896 und das aktuelle Paper (als PDF) hier: t.co/UGTsvnFv9Y?amp=1
DocWeird
0

Ich bin mit Ihrem Laufwerk und den darin enthaltenen Verschlüsselungsoptionen nicht vertraut. Die Hardwareverschlüsselung kann jedoch mit mehreren Betriebssystemen verwendet werden (z. B. wenn Sie Windows und Linux dual booten möchten), während die Softwareverschlüsselung möglicherweise schwieriger zu konfigurieren ist. Die Sicherheit beider Methoden hängt auch davon ab, wie und wo Sie Ihre Verschlüsselungsschlüssel speichern.

Ich denke, es ist möglicherweise besser, die Verschlüsselung mithilfe der Evo-Verschlüsselungsoption auf die SSD zu übertragen, damit der Prozessor keine Verschlüsselung durchführen muss. Dies ist möglicherweise besser für die E / A-Leistung und verschafft der CPU eine Verschnaufpause ?

Sie haben Recht, die hardwarebasierte Verschlüsselung verringert nicht die Verarbeitungsgeschwindigkeit des Computers.

Ich habe auf keinem meiner Geräte eine Verschlüsselung verwendet. Es tut mir leid, dass ich Ihnen bei der tatsächlichen Aktivierung nicht weiterhelfen kann. Bitte beachten Sie, dass in den meisten Fällen durch das Aktivieren der Verschlüsselung das Laufwerk gelöscht wird (BitLocker löscht KEINE Daten, es besteht jedoch, wie bei jeder Live-Verschlüsselungssoftware, ein extrem hohes Risiko der Beschädigung). Wenn Sie ein mit mehreren Betriebssystemen kompatibles verschlüsseltes Laufwerk haben möchten, das bis zum Herunterfahren des Computers entsperrt bleibt, wählen Sie die Hardwareverschlüsselungsfunktion, die Ihre Festplatte bietet. Wenn Sie jedoch etwas sichereres, aber auf Windows beschränktes möchten, probieren Sie BitLocker aus. Hoffe ich habe geholfen!

Wasserüberlauf9102
quelle
Zuerst geben Sie an, dass "Ich weiß, dass die Hardwareverschlüsselung sicherer ist", aber am Ende sagen Sie, dass er das Gegenteil tut ("Wenn Sie kompatibel sein möchten, gehen Sie zur Hardwareverschlüsselung, aber wenn Sie etwas sichereres wollen, versuchen Sie es mit BitLocker". ). Welches hast du gemeint? Haben Sie Dinge wie in diesem Artikel beschrieben berücksichtigt ?
user1686
3
hardware-based encryption is generally more secureist falsch. Es ist möglicherweise schneller, aber die Sicherheit hängt vom Verschlüsselungsstandard ab, nicht von der Hardware oder Software. Unabhängig davon, wie Sie die Datei verschlüsseln, wird dieselbe Ausgabe mit demselben Schlüssel
ausgegeben
-2

Lass uns ein paar Wikipédia machen.

BitLocker

BitLocker ist eine vollständige Festplattenverschlüsselungsfunktion. Es wurde entwickelt, um Daten durch Verschlüsselung für ganze Volumes zu schützen.

BitLocker ist ein Verschlüsselungssystem für logische Volumes. Ein Volume kann ein gesamtes Festplattenlaufwerk sein oder nicht, oder es kann sich über ein oder mehrere physische Laufwerke erstrecken. Wenn diese Option aktiviert ist, können TPM und BitLocker die Integrität des vertrauenswürdigen Bootpfads (z. B. BIOS, Bootsektor usw.) sicherstellen, um die meisten physischen Offlineangriffe, Malware des Bootsektors usw. zu verhindern.

Laut Microsoft enthält BitLocker keine absichtlich eingebaute Hintertür. Ohne eine Hintertür gibt es keine Möglichkeit für die Strafverfolgungsbehörden, einen garantierten Zugang zu den Daten auf den Laufwerken des Benutzers zu erhalten, die von Microsoft bereitgestellt werden.

Selbstverschlüsselndes Laufwerk

Die hardwarebasierte Verschlüsselung ist beim Einbau in das Laufwerk oder innerhalb des Laufwerkgehäuses für den Benutzer besonders transparent. Das Laufwerk funktioniert mit Ausnahme der Startauthentifizierung wie jedes andere Laufwerk ohne Leistungseinbußen. Anders als bei der Festplattenverschlüsselungssoftware gibt es keine Komplikationen oder Leistungsverluste, da die gesamte Verschlüsselung für das Betriebssystem und den Prozessor des Hostcomputers unsichtbar ist.

Die beiden Hauptanwendungsfälle sind "Data at Rest" -Schutz und "Cryptographic Disk Erasure".

Beim Data at Rest-Schutz wird ein Laptop einfach ausgeschaltet. Die Festplatte schützt sich jetzt selbst mit allen darauf befindlichen Daten. Die Daten sind sicher, da alle Daten, auch das Betriebssystem, jetzt mit einem sicheren AES-Modus verschlüsselt und für Lese- und Schreibvorgänge gesperrt sind. Das Laufwerk benötigt einen Authentifizierungscode, der bis zu 32 Byte (2 ^ 256) groß sein kann, um entsperrt zu werden.

Übliche selbstverschlüsselnde Laufwerke bleiben nach dem Entsperren so lange entsperrt, wie Strom zur Verfügung steht. Forscher der Universität Erlangen-Nürnberg haben eine Reihe von Angriffen demonstriert, die darauf beruhten, das Laufwerk auf einen anderen Computer zu verschieben, ohne die Stromversorgung zu unterbrechen. Darüber hinaus ist es möglicherweise möglich, den Computer in einem angreifergesteuerten Betriebssystem neu zu starten, ohne die Stromversorgung des Laufwerks zu unterbrechen.

Urteil

Ich denke, dass die wichtigsten Zeilen diese sind:

Anders als bei der Festplattenverschlüsselungssoftware gibt es keine Komplikationen oder Leistungsverluste, da die gesamte Verschlüsselung für das Betriebssystem und den Prozessor des Hostcomputers unsichtbar ist.

Übliche selbstverschlüsselnde Laufwerke bleiben nach dem Entsperren so lange entsperrt, wie Strom zur Verfügung steht.

Da BitLocker eine Festplattenverschlüsselungssoftware ist, ist sie langsamer als die hardwarebasierte vollständige Festplattenverschlüsselung. Das selbstverschlüsselnde Laufwerk bleibt jedoch entsperrt, solange es seit dem letzten Entsperren mit Strom versorgt wurde. Durch Herunterfahren des Computers wird das Laufwerk gesichert.

Sie haben also entweder das sicherere BitLocker-Laufwerk oder das leistungsfähigere selbstverschlüsselnde Laufwerk.

NatoBoram
quelle
1
Ich glaube, dass sich die Frage nicht auf EFS bezieht.
Scott
@Scott Ich glaube, Sie haben Recht, aber ich habe mein Bestes versucht, um zu helfen. Zumindest haben wir jetzt mehr Informationen über BitLocker. Dies könnte eine zukünftige Antwort erleichtern, wenn jemand genau weiß, was die SSD-Verschlüsselung ist.
NatoBoram
1
@NatoBoram - "Zumindest haben wir jetzt mehr Informationen zu BitLocker" - Mehr Informationen zu einer gut dokumentierten Funktion beantworten die Frage des Autors nicht. Bitte bearbeiten Sie Ihre Antwort, damit sie die Frage des Autors direkt beantwortet.
Ramhound
Bitlocker bietet auch Hardware-Verschlüsselung
NetwOrchestration
2
Nur weil der Hardwareverschlüsselungsvorgang auf dem Laufwerk für das Betriebssystem nicht sichtbar ist, bedeutet dies nicht, dass der Laufwerksbetrieb nicht ausreichend verlangsamt wird, sodass die Verwendung der CPU-basierten Verschlüsselung insgesamt schneller wäre.
Simpleuser
-4

Update: Ich glaube, diese Antwort war richtig und ein Beispiel für echte Unternehmenserfahrung in Hardware- und Sicherheitsoperationen. Vielleicht habe ich in meiner anfänglichen Antwort keine Details angegeben, die die Abstimmungen hervorriefen, aber auch einen Einblick in den Denkprozess für eine schlüssigere Antwort der gesamten Community gegeben. Windows, aber Locker wurde seit dem Start kompromittiert und ist ein bekanntes Problem. Es ist nicht im Windows-Betriebssystem für Unternehmen enthalten, steht jedoch für Pakete auf Verbraucherebene zur Verfügung, um eine Sicherheits- / Band-Hilfe-Ebene, NSA Backdoor, bereitzustellen.

Samsung EVO-SSDs mit integrierter Verschlüsselung wären meine Wahl, da sie von Haus aus optimiert sind und eine der besten SSDs für die Sicherheit in Unternehmensumgebungen darstellen. Auch wenn Sie den Schlüssel jemals verlieren, kann Samsung ihn gegen eine Gebühr über die Seriennummer auf der SSD entsperren.

CymaTechs
quelle
2
Die Tatsache, dass Samsung die SSD über die Seriennummer entsperren kann, ist imho eine rote Fahne. Entweder verwendet Samsung einen Algorithmus, um den Schlüssel basierend auf der Seriennummer zu erstellen, oder es verfügt über eine Datenbank mit den Schlüsseln.
RS Finance
Stimmen Sie mit @RSFinance überein. Wenn eine andere Partei Ihre sicheren Daten ohne Ihre Erlaubnis erhalten kann, ist dies nicht sicher.
UtahJarhead
1
@RSFinance Nur dass dies keine Tatsache ist, sondern eine Fantasie. Bei Opal SSC-kompatiblen Laufwerken ist dies nicht möglich, vorausgesetzt, Sie haben das Laufwerk vor der Verwendung ordnungsgemäß initialisiert, sodass selbst die theoretische Wahrscheinlichkeit, dass der Anbieter den Verschlüsselungsschlüssel kennt, wegfällt. Möglicherweise vertrauen Sie nicht auf die Konformität der Samsung SSD mit Opal SSC, aber dies ist eine andere Geschichte.
UnclickableCharacter