Est-il préférable d'utiliser Bitlocker ou le cryptage intégré du lecteur que propose mon SSD?

17

Mon système:

  • Intel Core i7-4790, qui prend en charge AES-NI
  • ASUS Z97-PRO mobo
  • Samsung 250GB EVO SSD (avec option de cryptage intégrée)
  • Windows 7 64 bits

Si je veux juste chiffrer mon disque de démarrage avec AES256 ou similaire, quelle serait la différence / des performances plus rapides / plus sécurisées? Activez Windows Bitlocker et n'utilisez pas le cryptage SSD, ou activez le cryptage de lecteur intégré proposé par le SSD, et ne vous inquiétez pas pour Bitlocker?

Je pense qu'il serait préférable de décharger le cryptage sur le SSD en utilisant l'option de cryptage d'Evo, afin que le processeur n'ait pas à effectuer de cryptage, cela pourrait être meilleur pour les performances d'E / S et donner une pause au CPU ? Ou puisque ce CPU a AES-NI, cela pourrait ne pas avoir d'importance?

Je suis nouveau sur Bitlocker et cette option de cryptage SSD, donc toute aide est très appréciée.

Eddie
la source
1
vous voudrez peut-être lire cette réponse détaillée
phuclv
Vous devriez peut-être essayer de faire une analyse comparative de chaque option et de la publier ici pour référence future, étant donné qu'il n'y a pas suffisamment d'informations sur Internet pour répondre à cette question, AFAIK.
Edel Gerardo

Réponses:

6

Vieille question, mais depuis lors, plusieurs nouveaux développements ont été trouvés concernant Bitlocker et le chiffrement de lecteur (utilisé seul ou en combinaison), je vais donc transformer quelques-uns de mes commentaires sur la page en réponse. Peut-être que cela est utile à quelqu'un qui effectue une recherche en 2018 et après.

Bitlocker (seul):
Il y a eu plusieurs façons de briser Bitlocker dans son histoire, heureusement, la plupart d'entre elles ont déjà été corrigées / atténuées en 2018. Ce qui reste (connu) comprend, par exemple, la "Cold Boot Attack" - la dernière version dont vraiment pas spécifique à Bitlocker (vous avez besoin d'un accès physique à un ordinateur en cours d'exécution et volez les clés de chiffrement, et tout le reste, directement dans la mémoire).

Chiffrement matériel des disques SSD et Bitlocker:
une nouvelle vulnérabilité est apparue en 2018; si un disque SSD a un cryptage matériel, comme la plupart des SSD, Bitlocker utilise par défaut uniquement cela. Ce qui signifie que si ce cryptage lui-même a été piraté, l'utilisateur n'a essentiellement aucune protection.
Les lecteurs connus pour souffrir de cette vulnérabilité incluent (mais ne sont probablement pas limités à):
les séries Crucial MX100, MX200, MX300 Samgung 840 EVO, 850 EVO, T3, T5

Plus d'informations sur le problème de cryptage SSD ici:
https://twitter.com/matthew_d_green/status/1059435094421712896

Et le papier réel (au format PDF) approfondissant le problème ici:
t.co/UGTsvnFv9Y?amp=1

Donc, la réponse est vraiment; étant donné que Bitlocker utilise le chiffrement matériel des disques et possède ses propres vulnérabilités en plus de cela, il vaut mieux utiliser le chiffrement matériel si votre SSD ne figure pas sur la liste des SSD fissurés.

Si votre disque est sur la liste, vous feriez mieux d'utiliser entièrement autre chose car Bitlocker utiliserait le cryptage du lecteur de toute façon. Quelle est la question; sous Linux, je recommanderais LUKS, par exemple.

DocWeird
la source
1
Vous pouvez empêcher Windows d'utiliser le chiffrement matériel . recherchez la page «Comment faire en sorte que BitLocker utilise le chiffrement logiciel».
User42
1

J'ai fait des recherches à ce sujet et j'ai une réponse à moitié complète pour vous.

  1. Il est toujours préférable d'utiliser le chiffrement matériel sur un lecteur à chiffrement automatique, si vous utilisez le chiffrement logiciel sur bitlocker ou un autre programme de chiffrement, cela entraînera un ralentissement de 25% à 45% des vitesses d'écriture en lecture. vous pouvez constater une baisse d'au moins 10% des performances. (notez que vous devez avoir un SSD avec une puce TMP)

  2. Bitlocker est compatible avec le cryptage matériel, vous pouvez utiliser Samsung Magic. v 4.9.6 (v5 ne le prend plus en charge) pour effacer le lecteur et activer le chiffrement matériel.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. vous pouvez activer le chiffrement matériel via le BIOS en définissant le mot de passe principal. Vous devrez suivre certaines des étapes de l'article ci-dessus, comme désactiver le CMS.

  2. Pour répondre à votre question, je ne sais pas vraiment laquelle est la plus rapide. J'ai contacté Samsung, mais étant donné les informations limitées à ce sujet. À moins d'avoir un développeur, je doute que j'obtienne une bonne réponse, quelle est la meilleure option. Pour l'instant, je prévois d'activer le cryptage matériel dans mon bios.

colin
la source
Voulez-vous dire "c'est mieux" uniquement pour des raisons de performances? Les deux méthodes de chiffrement offrent-elles généralement une sécurité identique? J'ai entendu parler de disques "auto-cryptés" ayant un cryptage choquant - rapide, oui, mais pas vraiment sécurisé.
user1686
Bitlocker a été violé et cela a été démontré par des experts en sécurité. Essentiellement, si vous pouvez simuler AD, etc. nécessaire pour vous connecter à l'ordinateur, vous pouvez également contourner Bitlocker dans le processus.
DocWeird
Je vous demande pardon, @DocWeird, mais affirmer que Bitlocker a été violé revient à affirmer que AES-256 a été violé - et ce ne l'a pas été. Que veux-tu dire exactement? Connectez-vous à nouveau, ce n'est pas pertinent pour Bitlocker! Vous pouvez démarrer à partir d'un lecteur Bitlocker sans vous connecter du tout! Ce n'est pas l'intention de Bitlocker d'empêcher d'autres utilisateurs autorisés sur votre machine de lire vos fichiers, mais plutôt d'empêcher l'accès au contenu du disque dur si quelqu'un vole le lecteur et le connecte à une autre machine (ce qui leur permettrait de contourner tous les SID- contrôle d'accès basé). Êtes-vous sûr de ne pas penser à l'EFS?
Jamie Hanrahan
Il existe plusieurs façons de briser Bitlocker, la plupart d'entre elles déjà corrigées / atténuées (y compris également la dernière version de Cold Boot Attack qui n'est vraiment pas spécifique à Bitlocker), l'une consistait simplement à contourner l'authentification Windows sur l'ordinateur (volé) (cela impliquait truquer un contrôleur de domaine, un cache de mot de passe local et changer un mot de passe - ce qui conduit au TPM à fournir la clé de décryptage). Plus ici: itworld.com/article/3005181/…
DocWeird
Et puisque nous sommes sur les vulnérabilités Bitlocker, une nouvelle vient d'apparaître; si un disque SSD a un chiffrement matériel, Bitlocker utilise par défaut uniquement cela. Ce qui signifie que si ce cryptage a été piraté, l'utilisateur n'a essentiellement aucune protection. Plus ici: mobile.twitter.com/matthew_d_green/status/1059435094421712896 et le papier réel (en PDF) ici: t.co/UGTsvnFv9Y?amp=1
DocWeird
0

Je ne connais pas votre disque et les options de cryptage qu'il propose, mais le cryptage matériel peut être utilisé avec plusieurs systèmes d'exploitation (par exemple, lorsque vous souhaitez double-boot Windows et Linux), tandis que le cryptage logiciel peut être plus difficile à configurer. De plus, la sécurité des deux méthodes dépend de la manière et de l'endroit où vous stockez vos clés de chiffrement.

Je pense qu'il serait préférable de décharger le cryptage sur le SSD en utilisant l'option de cryptage d'Evo, afin que le processeur n'ait pas à effectuer de cryptage, cela pourrait être meilleur pour les performances d'E / S et donner au CPU une pause ?

Vous avez raison, le chiffrement matériel ne réduit pas la vitesse de traitement de l'ordinateur.

Je n'ai jamais utilisé de cryptage sur aucun de mes appareils, je suis donc désolé de ne pas pouvoir vous aider avec le processus d'activation. Veuillez noter que dans la plupart des cas, l'activation du cryptage entraîne l'effacement du lecteur (BitLocker n'efface PAS les données, mais il a un risque de corruption extrêmement faible, comme c'est le cas avec tous les logiciels de cryptage en direct). Si vous souhaitez avoir un lecteur chiffré compatible avec plusieurs systèmes d'exploitation qui reste déverrouillé jusqu'à ce que l'ordinateur soit éteint, utilisez la fonction de chiffrement matériel offerte par votre disque dur. Mais, si vous voulez quelque chose d'un peu plus sécurisé mais limité à Windows, essayez BitLocker. J'espère que j'ai aidé!

wateroverflow9102
la source
Au début, vous dites "Je sais pertinemment que le chiffrement matériel est plus sécurisé", mais à la fin vous dites qu'il est complètement opposé ("si vous voulez compatible, optez pour le chiffrement matériel, mais si vous voulez quelque chose de plus sûr, essayez BitLocker" ). Lequel vouliez-vous dire? Avez-vous expliqué des choses comme celles décrites dans cet article ?
user1686
3
hardware-based encryption is generally more secureest incorrect. Cela pourrait être plus rapide, mais la sécurité dépend de la norme de cryptage, pas du matériel ou des logiciels, car quelle que soit la façon dont vous cryptez le fichier, la sortie sera la même avec la même clé
phuclv
-2

Faisons un peu de Wikipédia.

BitLocker

BitLocker est une fonction de chiffrement complet du disque. Il est conçu pour protéger les données en fournissant un chiffrement pour des volumes entiers.

BitLocker est un système de chiffrement de volume logique. Un volume peut ou non être un disque dur entier, ou il peut s'étendre sur un ou plusieurs disques physiques. De plus, lorsqu'ils sont activés, TPM et BitLocker peuvent garantir l'intégrité du chemin de démarrage approuvé (par exemple, BIOS, secteur de démarrage, etc.), afin d'empêcher la plupart des attaques physiques hors ligne, des logiciels malveillants du secteur de démarrage, etc.

Selon Microsoft, BitLocker ne contient pas de porte dérobée intentionnellement intégrée; sans porte dérobée, il n'y a aucun moyen pour les forces de l'ordre d'avoir un passage garanti vers les données sur les disques de l'utilisateur fournies par Microsoft.

Lecteur à chiffrement automatique

Le chiffrement basé sur le matériel lorsqu'il est intégré au lecteur ou à l'intérieur du boîtier du lecteur est notamment transparent pour l'utilisateur. Le lecteur, à l'exception de l'authentification au démarrage, fonctionne comme n'importe quel lecteur sans dégradation des performances. Il n'y a aucune complication ni surcharge de performances, contrairement au logiciel de chiffrement de disque, car tout le chiffrement est invisible pour le système d'exploitation et le processeur des ordinateurs hôtes.

Les deux principaux cas d'utilisation sont la protection des données au repos et l'effacement des disques cryptographiques.

Dans la protection des données au repos, un ordinateur portable est simplement éteint. Le disque protège désormais automatiquement toutes les données qu'il contient. Les données sont sécurisées car tout, même le système d'exploitation, est maintenant crypté, avec un mode sécurisé d'AES, et verrouillé contre la lecture et l'écriture. Le lecteur nécessite un code d'authentification qui peut être aussi puissant que 32 octets (2 ^ 256) pour le déverrouiller.

Les lecteurs à chiffrement automatique typiques, une fois déverrouillés, resteront déverrouillés tant que l'alimentation est fournie. Les chercheurs de l'Universität Erlangen-Nürnberg ont démontré un certain nombre d'attaques basées sur le déplacement du disque vers un autre ordinateur sans couper l'alimentation. De plus, il peut être possible de redémarrer l'ordinateur dans un système d'exploitation contrôlé par un attaquant sans couper l'alimentation du lecteur.

Verdict

Je pense que les lignes les plus importantes sont les suivantes:

Il n'y a aucune complication ni surcharge de performances, contrairement au logiciel de chiffrement de disque, car tout le chiffrement est invisible pour le système d'exploitation et le processeur des ordinateurs hôtes.

Les lecteurs à chiffrement automatique typiques, une fois déverrouillés, resteront déverrouillés tant que l'alimentation est fournie.

Parce que BitLocker est un logiciel de chiffrement de disque, il est plus lent que le chiffrement de disque complet basé sur le matériel. Cependant, le lecteur à chiffrement automatique reste déverrouillé tant qu'il est alimenté depuis la dernière fois qu'il a été déverrouillé. L'arrêt de l'ordinateur sécurisera le lecteur.

Donc, soit vous disposez du BitLocker plus sécurisé, soit du lecteur à chiffrement automatique plus performant.

NatoBoram
la source
1
Je pense que la question ne fait pas référence à l'EFS.
Scott
@Scott Je pense que vous avez raison, mais j'ai fait de mon mieux pour vous aider. Au moins maintenant, nous avons plus d'informations sur BitLocker, cela pourrait aider une future réponse si quelqu'un sait exactement ce qu'est le cryptage SSD.
NatoBoram
1
@NatoBoram - 'Au moins maintenant, nous avons plus d'informations sur BitLocker "- Plus d'informations sur une fonctionnalité bien documentée ne répondent pas à la question de l'auteur. Veuillez modifier votre réponse afin qu'elle réponde directement à la question de l'auteur.
Ramhound
Bitlocker fournit également le chiffrement matériel
NetwOrchestration
2
Ce n'est pas parce que le chiffrement matériel du lecteur est invisible pour le système d'exploitation qu'il ne ralentit pas suffisamment le fonctionnement du lecteur que l'utilisation du chiffrement basé sur le processeur serait globalement plus rapide.
simpleuser
-4

Mise à jour: Je pense que cette réponse était correcte et un exemple d'expérience réelle de l'entreprise dans les opérations matérielles et de sécurité. Peut-être que je n'ai pas fourni de détails dans ma réponse initiale qui a créé les votes négatifs, mais aussi fourni un aperçu du processus de réflexion pour une réponse plus concluante de la communauté dans son ensemble. Windows, mais le casier a été compromis depuis le lancement et est un problème bien connu, non inclus dans le système d'exploitation Windows d'entreprise mais disponible pour les packages de niveau consommateur pour une couche de sécurité / aide de bande, NSA Backdoor.

Le cryptage intégré des SSD Samsung EVO serait mon choix car il est nativement optimisé et l'un des meilleurs SSD disponibles pour la sécurité dans les environnements d'entreprise. De plus, si vous perdez la clé, Samsung peut la déverrouiller moyennant des frais via le numéro de série sur le SSD.

CymaTechs
la source
2
Le fait que Samsung puisse déverrouiller le SSD via le numéro de série est un imho de drapeau rouge. Soit Samsung utilise un algorithme pour créer la clé en fonction du numéro de série, soit possède une base de données avec les clés.
RS Finance
D'accord avec @RSFinance. Si une autre partie peut obtenir vos données sécurisées sans votre autorisation, elles ne le sont pas.
UtahJarhead
1
@RSFinance Sauf que ce n'est pas un fait mais un fantasme. Avec un disque compatible Opal SSC, cela n'est pas possible par conception - en supposant que vous avez correctement initialisé le disque avant utilisation, de sorte que même une chance théorique du fournisseur de connaître la clé de chiffrement est laissée de côté. Vous pourriez ne pas faire confiance à la conformité réelle du SSD Samsung à Opal SSC, mais c'est une autre histoire.
UnclickableCharacter