Mon système:
- Intel Core i7-4790, qui prend en charge AES-NI
- ASUS Z97-PRO mobo
- Samsung 250GB EVO SSD (avec option de cryptage intégrée)
- Windows 7 64 bits
Si je veux juste chiffrer mon disque de démarrage avec AES256 ou similaire, quelle serait la différence / des performances plus rapides / plus sécurisées? Activez Windows Bitlocker et n'utilisez pas le cryptage SSD, ou activez le cryptage de lecteur intégré proposé par le SSD, et ne vous inquiétez pas pour Bitlocker?
Je pense qu'il serait préférable de décharger le cryptage sur le SSD en utilisant l'option de cryptage d'Evo, afin que le processeur n'ait pas à effectuer de cryptage, cela pourrait être meilleur pour les performances d'E / S et donner une pause au CPU ? Ou puisque ce CPU a AES-NI, cela pourrait ne pas avoir d'importance?
Je suis nouveau sur Bitlocker et cette option de cryptage SSD, donc toute aide est très appréciée.
Réponses:
Vieille question, mais depuis lors, plusieurs nouveaux développements ont été trouvés concernant Bitlocker et le chiffrement de lecteur (utilisé seul ou en combinaison), je vais donc transformer quelques-uns de mes commentaires sur la page en réponse. Peut-être que cela est utile à quelqu'un qui effectue une recherche en 2018 et après.
Bitlocker (seul):
Il y a eu plusieurs façons de briser Bitlocker dans son histoire, heureusement, la plupart d'entre elles ont déjà été corrigées / atténuées en 2018. Ce qui reste (connu) comprend, par exemple, la "Cold Boot Attack" - la dernière version dont vraiment pas spécifique à Bitlocker (vous avez besoin d'un accès physique à un ordinateur en cours d'exécution et volez les clés de chiffrement, et tout le reste, directement dans la mémoire).
Chiffrement matériel des disques SSD et Bitlocker:
une nouvelle vulnérabilité est apparue en 2018; si un disque SSD a un cryptage matériel, comme la plupart des SSD, Bitlocker utilise par défaut uniquement cela. Ce qui signifie que si ce cryptage lui-même a été piraté, l'utilisateur n'a essentiellement aucune protection.
Les lecteurs connus pour souffrir de cette vulnérabilité incluent (mais ne sont probablement pas limités à):
les séries Crucial MX100, MX200, MX300 Samgung 840 EVO, 850 EVO, T3, T5
Plus d'informations sur le problème de cryptage SSD ici:
https://twitter.com/matthew_d_green/status/1059435094421712896
Et le papier réel (au format PDF) approfondissant le problème ici:
t.co/UGTsvnFv9Y?amp=1
Donc, la réponse est vraiment; étant donné que Bitlocker utilise le chiffrement matériel des disques et possède ses propres vulnérabilités en plus de cela, il vaut mieux utiliser le chiffrement matériel si votre SSD ne figure pas sur la liste des SSD fissurés.
Si votre disque est sur la liste, vous feriez mieux d'utiliser entièrement autre chose car Bitlocker utiliserait le cryptage du lecteur de toute façon. Quelle est la question; sous Linux, je recommanderais LUKS, par exemple.
la source
J'ai fait des recherches à ce sujet et j'ai une réponse à moitié complète pour vous.
Il est toujours préférable d'utiliser le chiffrement matériel sur un lecteur à chiffrement automatique, si vous utilisez le chiffrement logiciel sur bitlocker ou un autre programme de chiffrement, cela entraînera un ralentissement de 25% à 45% des vitesses d'écriture en lecture. vous pouvez constater une baisse d'au moins 10% des performances. (notez que vous devez avoir un SSD avec une puce TMP)
Bitlocker est compatible avec le cryptage matériel, vous pouvez utiliser Samsung Magic. v 4.9.6 (v5 ne le prend plus en charge) pour effacer le lecteur et activer le chiffrement matériel.
http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/
vous pouvez activer le chiffrement matériel via le BIOS en définissant le mot de passe principal. Vous devrez suivre certaines des étapes de l'article ci-dessus, comme désactiver le CMS.
Pour répondre à votre question, je ne sais pas vraiment laquelle est la plus rapide. J'ai contacté Samsung, mais étant donné les informations limitées à ce sujet. À moins d'avoir un développeur, je doute que j'obtienne une bonne réponse, quelle est la meilleure option. Pour l'instant, je prévois d'activer le cryptage matériel dans mon bios.
la source
Je ne connais pas votre disque et les options de cryptage qu'il propose, mais le cryptage matériel peut être utilisé avec plusieurs systèmes d'exploitation (par exemple, lorsque vous souhaitez double-boot Windows et Linux), tandis que le cryptage logiciel peut être plus difficile à configurer. De plus, la sécurité des deux méthodes dépend de la manière et de l'endroit où vous stockez vos clés de chiffrement.
Vous avez raison, le chiffrement matériel ne réduit pas la vitesse de traitement de l'ordinateur.
Je n'ai jamais utilisé de cryptage sur aucun de mes appareils, je suis donc désolé de ne pas pouvoir vous aider avec le processus d'activation. Veuillez noter que dans la plupart des cas, l'activation du cryptage entraîne l'effacement du lecteur (BitLocker n'efface PAS les données, mais il a un risque de corruption extrêmement faible, comme c'est le cas avec tous les logiciels de cryptage en direct). Si vous souhaitez avoir un lecteur chiffré compatible avec plusieurs systèmes d'exploitation qui reste déverrouillé jusqu'à ce que l'ordinateur soit éteint, utilisez la fonction de chiffrement matériel offerte par votre disque dur. Mais, si vous voulez quelque chose d'un peu plus sécurisé mais limité à Windows, essayez BitLocker. J'espère que j'ai aidé!
la source
hardware-based encryption is generally more secure
est incorrect. Cela pourrait être plus rapide, mais la sécurité dépend de la norme de cryptage, pas du matériel ou des logiciels, car quelle que soit la façon dont vous cryptez le fichier, la sortie sera la même avec la même cléFaisons un peu de Wikipédia.
BitLocker
Lecteur à chiffrement automatique
Verdict
Je pense que les lignes les plus importantes sont les suivantes:
Parce que BitLocker est un logiciel de chiffrement de disque, il est plus lent que le chiffrement de disque complet basé sur le matériel. Cependant, le lecteur à chiffrement automatique reste déverrouillé tant qu'il est alimenté depuis la dernière fois qu'il a été déverrouillé. L'arrêt de l'ordinateur sécurisera le lecteur.
Donc, soit vous disposez du BitLocker plus sécurisé, soit du lecteur à chiffrement automatique plus performant.
la source
Mise à jour: Je pense que cette réponse était correcte et un exemple d'expérience réelle de l'entreprise dans les opérations matérielles et de sécurité. Peut-être que je n'ai pas fourni de détails dans ma réponse initiale qui a créé les votes négatifs, mais aussi fourni un aperçu du processus de réflexion pour une réponse plus concluante de la communauté dans son ensemble. Windows, mais le casier a été compromis depuis le lancement et est un problème bien connu, non inclus dans le système d'exploitation Windows d'entreprise mais disponible pour les packages de niveau consommateur pour une couche de sécurité / aide de bande, NSA Backdoor.
Le cryptage intégré des SSD Samsung EVO serait mon choix car il est nativement optimisé et l'un des meilleurs SSD disponibles pour la sécurité dans les environnements d'entreprise. De plus, si vous perdez la clé, Samsung peut la déverrouiller moyennant des frais via le numéro de série sur le SSD.
la source