Apakah lebih baik menggunakan Bitlocker atau enkripsi bawaan yang ditawarkan SSD saya?


17

Sistem saya:

  • Intel Core i7-4790, yang mendukung AES-NI
  • ASUS Z97-PRO mobo
  • Samsung 250GB EVO SSD (dengan opsi enkripsi bawaan)
  • 64-bit Windows 7

Jika saya hanya ingin mengenkripsi boot drive saya dengan AES256 atau yang serupa, apa bedanya / kinerja lebih cepat / lebih aman? Aktifkan Windows Bitlocker dan jangan gunakan enkripsi SSD, atau aktifkan enkripsi drive bawaan yang ditawarkan SSD, dan jangan khawatir tentang Bitlocker?

Saya pikir mungkin lebih baik untuk membongkar enkripsi ke SSD dengan menggunakan opsi enkripsi Evo, sehingga prosesor tidak harus melakukan enkripsi apa pun, ini mungkin lebih baik untuk kinerja I / O dan memberikan CPU nafas. ? Atau karena CPU ini memiliki AES-NI, itu mungkin tidak masalah?

Saya baru mengenal Bitlocker dan opsi enkripsi SSD ini, jadi bantuan apa pun sangat kami hargai.


1
Anda mungkin ingin membaca jawaban terperinci ini
phuclv

Mungkin Anda harus mencoba membuat tolok ukur untuk setiap opsi dan mempostingnya di sini untuk referensi di masa mendatang, mengingat tidak ada informasi yang cukup di internet untuk menjawab pertanyaan ini, AFAIK.
Edel Gerardo

Jawaban:


6

Pertanyaan lama, tetapi sejak itu beberapa perkembangan baru telah ditemukan mengenai Bitlocker dan enkripsi drive (digunakan baik sendiri atau dalam kombinasi), jadi saya akan mengubah beberapa komentar saya di halaman menjadi sebuah jawaban. Mungkin ini berguna bagi seseorang yang melakukan pencarian pada tahun 2018 dan yang lebih baru.

Bitlocker (sendiri):
Ada beberapa cara untuk menembus Bitlocker dalam sejarahnya, untungnya sebagian besar dari mereka telah ditambal / dimitigasi pada tahun 2018. Yang tersisa (diketahui) termasuk, misalnya, "Cold Boot Attack" - versi terbaru yang sebenarnya bukan Bitlocker spesifik (Anda memerlukan akses fisik ke komputer yang sedang berjalan dan mencuri kunci enkripsi, dan apa pun, langsung dari memori).

Enkripsi perangkat keras drive SSD dan Bitlocker:
Kerentanan baru telah muncul pada tahun 2018; jika disk SSD memiliki enkripsi perangkat keras, yang dimiliki sebagian besar SSD, Bitlocker secara default hanya menggunakan itu. Yang berarti bahwa jika enkripsi itu sendiri telah dipecahkan, pengguna pada dasarnya tidak memiliki perlindungan sama sekali.
Drive yang diketahui menderita kerentanan ini termasuk (tetapi mungkin tidak terbatas pada):
Seri MX100, MX200, MX300 Krusial Samgung 840 EVO, 850 EVO, T3, T5

Informasi lebih lanjut tentang masalah enkripsi SSD di sini:
https://twitter.com/matthew_d_green/status/1059435094421712896

Dan makalah yang sebenarnya (sebagai PDF) menggali lebih dalam masalah di sini:
t.co/UGTsvnFv9Y?amp=1

Jadi jawabannya adalah; karena Bitlocker menggunakan enkripsi perangkat keras disk, dan selain itu memiliki kerentanan sendiri, Anda lebih baik menggunakan enkripsi perangkat keras jika SSD Anda tidak ada dalam daftar SSD yang retak.

Jika disk Anda ada dalam daftar, Anda sebaiknya menggunakan sesuatu yang lain karena Bitlocker akan tetap menggunakan enkripsi drive. Apa pertanyaannya; di Linux saya akan merekomendasikan LUKS, misalnya.


1
Anda dapat mencegah Windows menggunakan enkripsi perangkat keras . cari halaman "Cara Membuat BitLocker Menggunakan Enkripsi Perangkat Lunak".
User42

1

Saya sudah melakukan riset tentang ini dan memiliki jawaban setengah lengkap untuk Anda.

  1. Itu selalu lebih baik untuk menggunakan enkripsi berbasis perangkat keras pada drive enkripsi diri, jika Anda menggunakan enkripsi berbasis perangkat lunak pada bitlocker atau program enkripsi lain, itu akan menyebabkan di mana saja antara 25% dan 45% penurunan kecepatan baca tulis. Anda bisa melihat penurunan kinerja minimal 10%. (perhatikan Anda harus memiliki SSD dengan chip TMP)

  2. Bitlocker kompatibel dengan enkripsi berbasis perangkat keras, Anda dapat menggunakan samsung magic. v 4.9.6 (v5 tidak lagi mendukung ini) untuk menghapus drive dan mengaktifkan enkripsi berbasis perangkat keras.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. Anda dapat mengaktifkan enkripsi berbasis perangkat keras melalui BIOS dengan menetapkan kata sandi utama. Anda harus mengikuti beberapa langkah dalam artikel di atas, seperti mematikan CMS.

  2. Untuk menjawab pertanyaan Anda, saya tidak tahu mana yang lebih cepat. Saya telah menghubungi Samsung tetapi memberikan info terbatas tentang ini. Kecuali jika saya mendapatkan pengembang, saya ragu saya akan mendapatkan jawaban yang bagus untuk opsi yang lebih baik. Untuk saat ini saya berencana untuk mengaktifkan enkripsi berbasis perangkat keras di bios saya.


Apakah Anda mengatakan "lebih baik" semata-mata karena alasan kinerja? Apakah kedua metode enkripsi umumnya menyediakan keamanan yang identik? Saya telah mendengar tentang disk "enkripsi diri" yang memiliki enkripsi yang sangat buruk - cepat, ya, tetapi sebenarnya tidak aman.
user1686

Bitlocker telah dilanggar dan ini telah didemostrasi oleh para pakar keamanan. Intinya, jika Anda dapat memalsukan AD, dll yang diperlukan untuk masuk ke komputer, Anda juga dapat mem-bypass Bitlocker dalam prosesnya.
DocWeird

Maaf, @DocWeird, tetapi mengklaim bahwa Bitlocker telah dilanggar mengklaim bahwa AES-256 telah dilanggar - dan belum. Apa sebenarnya maksud Anda? Login ulang, itu tidak relevan dengan Bitlocker! Anda dapat boot dari drive Bitlocker tanpa masuk sama sekali! Bukan maksud Bitlocker untuk mencegah pengguna lain di komputer Anda membaca file Anda, tetapi untuk mencegah akses ke konten hard drive jika seseorang mencuri drive dan menghubungkannya ke komputer lain (yang akan membuat mereka mem-bypass semua SID- kontrol akses berbasis). Apakah Anda yakin tidak memikirkan EFS?
Jamie Hanrahan

Ada beberapa cara untuk melanggar Bitlocker, kebanyakan dari mereka sudah ditambal / dimitigasi (juga termasuk versi terbaru Cold Boot Attack yang sebenarnya bukan Bitlocker spesifik), salah satunya adalah dengan memotong otentikasi Windows pada komputer (dicuri) (itu melibatkan memalsukan pengontrol domain, cache kata sandi lokal dan mengubah kata sandi - yang semuanya mengarah ke TPM menghasilkan kunci tidak enkripsi). Lebih lanjut di sini: itworld.com/article/3005181/…
DocWeird

Dan karena kita berada dalam kerentanan Bitlocker, yang baru muncul; jika disk SSD memiliki enkripsi perangkat keras, Bitlocker secara default hanya menggunakan itu. Yang berarti bahwa jika enkripsi itu telah dipecahkan, pengguna pada dasarnya tidak memiliki perlindungan sama sekali. Lebih lanjut di sini: mobile.twitter.com/matthew_d_green/status/1059435094421712896 dan makalah yang sebenarnya (sebagai PDF) di sini: t.co/UGTsvnFv9Y?amp=1
DocWeird

0

Saya tidak terbiasa dengan drive Anda dan opsi enkripsi yang ditawarkannya, namun enkripsi perangkat keras dapat digunakan dengan beberapa sistem operasi (misalnya ketika Anda ingin dual-boot Windows dan Linux), sedangkan enkripsi perangkat lunak mungkin lebih sulit untuk dikonfigurasi. Juga, keamanan kedua metode tergantung pada bagaimana dan di mana Anda menyimpan kunci enkripsi Anda.

Saya pikir mungkin lebih baik untuk membongkar enkripsi ke SSD dengan menggunakan opsi enkripsi Evo, sehingga prosesor tidak harus melakukan enkripsi apa pun, ini mungkin lebih baik untuk kinerja i / o dan memberikan CPU nafas. ?

Anda benar, enkripsi berbasis perangkat keras tidak menurunkan kecepatan pemrosesan komputer.

Saya belum pernah menggunakan enkripsi pada salah satu perangkat saya, jadi saya minta maaf karena saya tidak dapat membantu Anda dengan proses mengaktifkannya yang sebenarnya. Harap perhatikan bahwa dalam sebagian besar kasus, mengaktifkan enkripsi menyebabkan drive terhapus (BitLocker TIDAK menghapus data, tetapi memiliki peluang korupsi yang sangat jauh, seperti halnya dengan semua peranti lunak enkripsi langsung). Jika Anda ingin memiliki drive terenkripsi yang kompatibel dengan multi-OS yang tetap tidak terkunci sampai komputer dimatikan, gunakan fitur enkripsi perangkat keras yang ditawarkan oleh hard drive Anda. Tetapi, jika Anda menginginkan sesuatu yang sedikit lebih aman tetapi terbatas pada Windows, cobalah BitLocker. Semoga saya bisa membantu!


Pada awalnya Anda menyatakan "Saya tahu pasti bahwa enkripsi perangkat keras lebih aman", tetapi pada akhirnya Anda mengatakan dia benar-benar bertolak belakang ("jika Anda ingin kompatibel, gunakan enkripsi perangkat keras, tetapi jika Anda menginginkan sesuatu yang lebih aman, coba BitLocker" ). Yang mana yang kamu maksud? Apakah Anda memperhitungkan hal-hal seperti yang dijelaskan dalam artikel ini ?
user1686

3
hardware-based encryption is generally more securesalah. Mungkin lebih cepat, tetapi keamanan tergantung pada standar enkripsi, bukan perangkat keras atau perangkat lunak, karena terlepas dari bagaimana Anda mengenkripsi file, output akan sama dengan kunci yang sama
phuclv

-2

Mari kita lakukan beberapa Wikipédia.

BitLocker

BitLocker adalah fitur enkripsi disk lengkap. Ini dirancang untuk melindungi data dengan menyediakan enkripsi untuk seluruh volume.

BitLocker adalah sistem enkripsi volume logis. Volume mungkin atau mungkin bukan seluruh hard disk drive, atau dapat menjangkau satu atau lebih drive fisik. Juga, ketika diaktifkan, TPM dan BitLocker dapat memastikan integritas jalur boot tepercaya (mis. BIOS, sektor boot, dll.), Untuk mencegah sebagian besar serangan fisik offline, malware boot sector, dll.

Menurut Microsoft, BitLocker tidak mengandung backdoor yang sengaja dibangun; tanpa backdoor tidak ada cara bagi penegak hukum untuk memiliki jaminan bagian ke data pada drive pengguna yang disediakan oleh Microsoft.

Drive Pengenkripsi Otomatis

Enkripsi berbasis perangkat keras ketika dimasukkan ke dalam drive atau di dalam enclosure drive sangat transparan bagi pengguna. Drive kecuali untuk otentikasi bootup beroperasi seperti halnya drive apa pun tanpa penurunan kinerja. Tidak ada komplikasi atau overhead kinerja, tidak seperti perangkat lunak enkripsi disk, karena semua enkripsi tidak terlihat oleh sistem operasi dan prosesor komputer host.

Dua kasus penggunaan utama adalah Data at Rest protection, dan Cryptographic Disk Erasure.

Dalam perlindungan Data at Rest laptop hanya dimatikan. Disk sekarang melindungi semua data di dalamnya. Data aman karena semuanya, bahkan OS, sekarang dienkripsi, dengan mode aman AES, dan dikunci dari membaca dan menulis. Drive ini memerlukan kode otentikasi yang bisa sekuat 32 byte (2 ^ 256) untuk membuka kunci.

Hard disk yang mengenkripsi sendiri, setelah tidak terkunci, akan tetap tidak terkunci selama daya tersedia. Para peneliti di Universität Erlangen-Nürnberg telah menunjukkan sejumlah serangan berdasarkan pemindahan drive ke komputer lain tanpa memotong daya. Selain itu, dimungkinkan untuk me-reboot komputer ke sistem operasi yang dikendalikan penyerang tanpa memutus daya ke drive.

Putusan

Saya pikir kalimat yang paling penting adalah:

Tidak ada komplikasi atau overhead kinerja, tidak seperti perangkat lunak enkripsi disk, karena semua enkripsi tidak terlihat oleh sistem operasi dan prosesor komputer host.

Hard disk yang mengenkripsi sendiri, setelah tidak terkunci, akan tetap tidak terkunci selama daya tersedia.

Karena BitLocker adalah perangkat lunak enkripsi disk, BitLocker lebih lambat daripada enkripsi disk penuh berbasis perangkat keras. Namun, Self-Encrypting Drive tetap tidak terkunci selama masih memiliki daya sejak terakhir kali tidak terkunci. Mematikan komputer akan mengamankan drive.

Jadi, Anda memiliki BitLocker yang lebih aman atau Self-Encrypting Drive yang lebih performan.


1
Saya percaya bahwa pertanyaannya tidak mengacu pada EFS.
Scott

@Scott Saya yakin Anda benar, tetapi saya mencoba yang terbaik untuk membantu. Setidaknya sekarang kami memiliki lebih banyak info tentang BitLocker, ini mungkin membantu jawaban di masa depan jika seseorang tahu apa sebenarnya Enkripsi SSD.
NatoBoram

1
@NatoBoram - 'Setidaknya sekarang kami memiliki info lebih lanjut tentang BitLocker "- Informasi lebih lanjut tentang fitur yang terdokumentasi dengan baik tidak menjawab pertanyaan penulis. Harap edit jawaban Anda sehingga langsung menjawab pertanyaan penulis.
Ramhound

Bitlocker juga menyediakan Enkripsi Perangkat Keras
NetwOrchestration

2
Hanya karena operasi enkripsi perangkat keras pada drive tidak terlihat oleh sistem operasi tidak berarti itu tidak memperlambat operasi drive dengan cukup sehingga menggunakan enkripsi berbasis CPU akan lebih cepat secara keseluruhan.
simpleuser

-4

Pembaruan: Saya yakin jawaban ini benar dan merupakan contoh pengalaman perusahaan dalam kehidupan nyata di bidang perangkat keras dan keamanan. Mungkin saya gagal memberikan perincian dalam jawaban awal saya yang menciptakan downvotes tetapi juga memberikan wawasan ke dalam proses pemikiran untuk jawaban yang lebih konklusif dari masyarakat secara keseluruhan. Windows tetapi loker telah dikompromikan sejak diluncurkan dan telah menjadi masalah yang terkenal, dan tidak termasuk dalam OS Windows perusahaan tetapi tersedia untuk paket tingkat konsumen untuk lapisan bantuan keamanan / band, NSA Backdoor.

Enkripsi bawaan Samsung EVO SSD akan menjadi pilihan saya karena dioptimalkan secara asli dan salah satu SSD terbaik di luar sana untuk keamanan di lingkungan perusahaan. Juga jika Anda kehilangan kunci, Samsung dapat membukanya dengan bayaran melalui seri # pada SSD.


2
Fakta bahwa Samsung dapat membuka kunci SSD melalui serial # adalah bendera merah imho. Baik Samsung menggunakan algoritma untuk membuat kunci berdasarkan # seri atau memiliki basis data dengan kunci.
RS Finance

Setuju dengan @RSFinance. Jika pihak lain bisa mendapatkan data aman Anda tanpa izin Anda, itu tidak aman.
UtahJarhead

1
@RSFinance Kecuali ini bukan fakta tapi fantasi. Dengan drive yang sesuai dengan Opal SSC, ini tidak dapat dilakukan dengan desain - dengan asumsi Anda menginisialisasi drive dengan benar sebelum digunakan, sehingga bahkan secara teoritis peluang vendor mengetahui kunci enkripsi diabaikan. Anda mungkin tidak percaya pada kepatuhan Samsung SSD aktual terhadap Opal SSC, tetapi ini adalah cerita yang berbeda.
UnclickableCharacter
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.