Qu'est-ce que BitLocker chiffre réellement et quand?

34

J'ai besoin du chiffrement intégral du disque pour les ordinateurs portables professionnels exécutant une version actuelle de Windows 10 Pro. Les ordinateurs disposent d'un lecteur SSD NVMe de Samsung et d'un processeur Intel Core i5-8000.

D'après certaines recherches Web, il n'y a actuellement que deux options disponibles: Microsoft BitLocker et VeraCrypt. Je suis pleinement conscient de l'état des sources ouvertes et fermées et des implications en termes de sécurité qui en découlent.

Après avoir lu des informations sur BitLocker, que je n’avais jamais utilisées auparavant, j’ai l’impression que, à partir de Windows 10, BitLocker ne chiffre que les données nouvellement écrites sur le disque, mais pas tout ce qui existe déjà, pour des raisons de performances. (Cette documentation indique que j'ai le choix, mais ce n'est pas le cas. Ils ne m'ont pas demandé ce que je voulais après l'avoir activé.) J'ai déjà utilisé le chiffrement système TrueCrypt et je sais que le chiffrement des données existant est une tâche visible qui prend quelques heures. Je ne peux pas observer un tel comportement avec BitLocker. Aucune activité de processeur ou de disque en arrière-plan notable.

Activer BitLocker est vraiment facile. Cliquez sur un bouton, enregistrez la clé de récupération dans un endroit sûr et terminé. Le même processus avec VeraCrypt m'a fait abandonner l'idée. Je devais créer un dispositif de récupération pleinement opérationnel, même à des fins de test sur un système jetable.

J'ai également lu que VeraCrypt présentait actuellement un défaut de conception qui rendait certains SSD NVMe extrêmement lents avec le cryptage du système. Je ne peux pas le vérifier car la configuration est trop compliquée. Au moins après l'activation de BitLocker, je ne vois pas de changement significatif dans les performances du disque. De plus, l'équipe VeraCrypt ne dispose pas de ressources suffisantes pour résoudre ce "bug compliqué". De plus, les mises à niveau de Windows 10 ne peuvent pas fonctionner avec VeraCrypt en place , ce qui nécessite de fréquents dé-cryptages et disques complets. J'espère que BitLocker fonctionne mieux ici.

Donc, je suis presque décidé à utiliser BitLocker. Mais j'ai besoin de comprendre ce que ça fait. Malheureusement, il n’ya presque aucune information à ce sujet en ligne. La plupart sont des articles de blog qui donnent un aperçu mais pas d’informations concises et détaillées Donc je demande ici.

Après avoir activé BitLocker sur un système à lecteur unique, que deviennent les données existantes? Qu'advient-il des nouvelles données? Que signifie "suspendre BitLocker"? (Ce n'est pas la même chose que de le désactiver de manière permanente et de décrypter ainsi toutes les données sur le disque.) Comment puis-je vérifier l'état du cryptage ou forcer le cryptage de toutes les données existantes? (Je ne veux pas dire d'espace inutilisé, cela ne me dérange pas, et c'est nécessaire pour les SSD, voir TRIM.) Existe-t-il des données et des actions plus détaillées sur BitLocker autres que "suspendre" et "décrypter"?

Et peut-être, en passant, quel est le lien entre BitLocker et EFS (système de fichiers crypté)? Si seuls les fichiers nouvellement écrits sont chiffrés, EFS semble avoir un effet très similaire. Mais je sais comment utiliser EFS, c'est beaucoup plus compréhensible.

ygoe
la source

Réponses:

41

L'activation de BitLocker lancera un processus en arrière-plan qui crypte toutes les données existantes. (Sur les disques durs, ce processus est généralement long, car il doit lire et réécrire chaque secteur de partition. Sur les disques à chiffrement automatique, il peut être instantané.) Ainsi, lorsqu'il est dit que seules les données nouvellement écrites sont chiffrées, elles se réfèrent immédiatement à l'état après l' activation de BitLocker et n'est plus vraie une fois la tâche de chiffrement en arrière-plan terminée. L’état de ce processus est visible dans la même fenêtre du panneau de configuration BitLocker et suspendu si nécessaire.

L'article de Microsoft doit être lu attentivement: il parle en fait de chiffrer uniquement les zones utilisées du disque. Ils annoncent simplement cela comme ayant le plus grand impact sur les systèmes frais, où vous ne disposez pas de données encore en dehors du système d' exploitation de base (et donc toutes les données seront « nouvellement écrirait »). C'est, Windows 10 va crypter tous les fichiers existants après l' activation - il tout simplement pas perdre du temps chiffrer les secteurs du disque qui ne contiennent pas encore rien. (Vous pouvez désactiver cette optimisation via la stratégie de groupe.)

(L'article souligne également un inconvénient: les zones qui contenaient auparavant des fichiers supprimés seront également ignorées. "Si vous cryptez un système bien utilisé, effectuez un nettoyage à l'espace libre à l'aide d'un outil, puis laissez Windows exécuter TRIM si vous avez un SSD avant d’activer BitLocker ou utilisez la stratégie de groupe pour désactiver ce comportement.)

Dans le même article, il est également fait mention de versions récentes de Windows prenant en charge des disques SSD à chiffrement automatique utilisant le standard OPAL. La raison pour laquelle vous ne voyez aucune E / S en arrière-plan peut être parce que le SSD a été crypté en interne dès le premier jour, et BitLocker l'a reconnu et n'a pris en charge que la gestion de clé au niveau SSD au lieu de dupliquer l'effort de cryptage au niveau du système d'exploitation. En d'autres termes, le disque SSD ne se déverrouille plus à la mise sous tension, mais Windows doit le faire. Cela peut être désactivé via la stratégie de groupe, si vous préférez que le système d'exploitation gère le cryptage de manière indépendante.

Si vous suspendez BitLocker, une copie en texte brut de la clé "principale" sera écrite directement sur le disque. (En règle générale, cette clé principale est cryptée avec votre mot de passe ou un module TPM.) En suspension, le disque peut être déverrouillé de manière autonome - un état clairement non sécurisé, mais il permet également à Windows Update de reprogrammer le module TPM en fonction du système d'exploitation mis à niveau. , par exemple. La reprise de BitLocker efface simplement cette clé simple du disque.

BitLocker n'est pas lié à EFS - ce dernier fonctionne au niveau fichier, associant des clés à des comptes d'utilisateurs Windows (permettant une configuration fine mais rendant impossible le chiffrement des fichiers du système d'exploitation), tandis que le premier fonctionne au niveau du disque entier. Ils peuvent être utilisés ensemble, bien que BitLocker la plupart du temps fait redondant EFS.

(Notez que BitLocker et EFS disposent de mécanismes permettant aux administrateurs d'entreprise Active Directory de récupérer les données chiffrées, que ce soit en sauvegardant la clé principale de BitLocker dans AD ou en ajoutant un agent de récupération de données EFS à tous les fichiers.)

Grawity
la source
Belle vue d'ensemble, merci. Concernant la dernière phrase: je vois de nombreux cas d'utilisation - BitLocker chiffre mon disque dur contre des personnes extérieures à l'entreprise, mais mon groupe informatique peut accéder à toutes les données en mon absence, car il dispose de la clé principale. EFS fonctionne bien pour les documents auxquels je ne souhaite pas que mon service informatique ou mon responsable puisse accéder.
Aganju
6
@Aganju: Le même groupe informatique a probablement déjà déployé une stratégie désignant un agent de récupération de données EFS . Si vous ne souhaitez pas que les services informatiques accèdent à des documents, ne les stockez pas du tout sur un périphérique de l'entreprise.
Grawity
2
"Bitlocker (...) chiffre toutes les données existantes (...) fonctionne au niveau du disque entier" -> vous avez oublié de mentionner les partitions. Avec un disque dur avec 2 partitions, j'ai activé Bitlocker pour n'en chiffrer qu'une seule (celle contenant les données, pas le système d'exploitation). Lors du démarrage avec un système d'exploitation Linux, seules les données de la partition non chiffrée peuvent être lues.
CPHPython
@CPHPython: C'est vrai, et c'est là que ça devient probablement incohérent - en mode logiciel, il est capable de chiffrer seulement une partition, mais en mode SSD (OPAL2), je ne suis pas sûr que cette capacité existe. Je pense que cela verrouille tout le disque et (autant que j'ai réussi à comprendre OPAL), le 'PBA' le déverrouillera avant tout système d' exploitation.
grawity