Sistem saya:

• Intel Core i7-4790, yang mendukung AES-NI
• ASUS Z97-PRO mobo
• Samsung 250GB EVO SSD (dengan opsi enkripsi bawaan)
• 64-bit Windows 7

Jika saya hanya ingin mengenkripsi boot drive saya dengan AES256 atau yang serupa, apa bedanya / kinerja lebih cepat / lebih aman? Aktifkan Windows Bitlocker dan jangan gunakan enkripsi SSD, atau aktifkan enkripsi drive bawaan yang ditawarkan SSD, dan jangan khawatir tentang Bitlocker?

Saya pikir mungkin lebih baik untuk membongkar enkripsi ke SSD dengan menggunakan opsi enkripsi Evo, sehingga prosesor tidak harus melakukan enkripsi apa pun, ini mungkin lebih baik untuk kinerja I / O dan memberikan CPU nafas. ? Atau karena CPU ini memiliki AES-NI, itu mungkin tidak masalah?

Saya baru mengenal Bitlocker dan opsi enkripsi SSD ini, jadi bantuan apa pun sangat kami hargai.

Pertanyaan lama, tetapi sejak itu beberapa perkembangan baru telah ditemukan mengenai Bitlocker dan enkripsi drive (digunakan baik sendiri atau dalam kombinasi), jadi saya akan mengubah beberapa komentar saya di halaman menjadi sebuah jawaban. Mungkin ini berguna bagi seseorang yang melakukan pencarian pada tahun 2018 dan yang lebih baru.

Bitlocker (sendiri):
Ada beberapa cara untuk menembus Bitlocker dalam sejarahnya, untungnya sebagian besar dari mereka telah ditambal / dimitigasi pada tahun 2018. Yang tersisa (diketahui) termasuk, misalnya, "Cold Boot Attack" - versi terbaru yang sebenarnya bukan Bitlocker spesifik (Anda memerlukan akses fisik ke komputer yang sedang berjalan dan mencuri kunci enkripsi, dan apa pun, langsung dari memori).

Enkripsi perangkat keras drive SSD dan Bitlocker:
Kerentanan baru telah muncul pada tahun 2018; jika disk SSD memiliki enkripsi perangkat keras, yang dimiliki sebagian besar SSD, Bitlocker secara default hanya menggunakan itu. Yang berarti bahwa jika enkripsi itu sendiri telah dipecahkan, pengguna pada dasarnya tidak memiliki perlindungan sama sekali.
Drive yang diketahui menderita kerentanan ini termasuk (tetapi mungkin tidak terbatas pada):
Seri MX100, MX200, MX300 Krusial Samgung 840 EVO, 850 EVO, T3, T5

Informasi lebih lanjut tentang masalah enkripsi SSD di sini:
https://twitter.com/matthew_d_green/status/1059435094421712896

Dan makalah yang sebenarnya (sebagai PDF) menggali lebih dalam masalah di sini:
t.co/UGTsvnFv9Y?amp=1

Jadi jawabannya adalah; karena Bitlocker menggunakan enkripsi perangkat keras disk, dan selain itu memiliki kerentanan sendiri, Anda lebih baik menggunakan enkripsi perangkat keras jika SSD Anda tidak ada dalam daftar SSD yang retak.

Jika disk Anda ada dalam daftar, Anda sebaiknya menggunakan sesuatu yang lain karena Bitlocker akan tetap menggunakan enkripsi drive. Apa pertanyaannya; di Linux saya akan merekomendasikan LUKS, misalnya.

Saya sudah melakukan riset tentang ini dan memiliki jawaban setengah lengkap untuk Anda.

1. Itu selalu lebih baik untuk menggunakan enkripsi berbasis perangkat keras pada drive enkripsi diri, jika Anda menggunakan enkripsi berbasis perangkat lunak pada bitlocker atau program enkripsi lain, itu akan menyebabkan di mana saja antara 25% dan 45% penurunan kecepatan baca tulis. Anda bisa melihat penurunan kinerja minimal 10%. (perhatikan Anda harus memiliki SSD dengan chip TMP)

2. Bitlocker kompatibel dengan enkripsi berbasis perangkat keras, Anda dapat menggunakan samsung magic. v 4.9.6 (v5 tidak lagi mendukung ini) untuk menghapus drive dan mengaktifkan enkripsi berbasis perangkat keras.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. Anda dapat mengaktifkan enkripsi berbasis perangkat keras melalui BIOS dengan menetapkan kata sandi utama. Anda harus mengikuti beberapa langkah dalam artikel di atas, seperti mematikan CMS.

4. Untuk menjawab pertanyaan Anda, saya tidak tahu mana yang lebih cepat. Saya telah menghubungi Samsung tetapi memberikan info terbatas tentang ini. Kecuali jika saya mendapatkan pengembang, saya ragu saya akan mendapatkan jawaban yang bagus untuk opsi yang lebih baik. Untuk saat ini saya berencana untuk mengaktifkan enkripsi berbasis perangkat keras di bios saya.

Saya tidak terbiasa dengan drive Anda dan opsi enkripsi yang ditawarkannya, namun enkripsi perangkat keras dapat digunakan dengan beberapa sistem operasi (misalnya ketika Anda ingin dual-boot Windows dan Linux), sedangkan enkripsi perangkat lunak mungkin lebih sulit untuk dikonfigurasi. Juga, keamanan kedua metode tergantung pada bagaimana dan di mana Anda menyimpan kunci enkripsi Anda.

Saya pikir mungkin lebih baik untuk membongkar enkripsi ke SSD dengan menggunakan opsi enkripsi Evo, sehingga prosesor tidak harus melakukan enkripsi apa pun, ini mungkin lebih baik untuk kinerja i / o dan memberikan CPU nafas. ?

Anda benar, enkripsi berbasis perangkat keras tidak menurunkan kecepatan pemrosesan komputer.

Saya belum pernah menggunakan enkripsi pada salah satu perangkat saya, jadi saya minta maaf karena saya tidak dapat membantu Anda dengan proses mengaktifkannya yang sebenarnya. Harap perhatikan bahwa dalam sebagian besar kasus, mengaktifkan enkripsi menyebabkan drive terhapus (BitLocker TIDAK menghapus data, tetapi memiliki peluang korupsi yang sangat jauh, seperti halnya dengan semua peranti lunak enkripsi langsung). Jika Anda ingin memiliki drive terenkripsi yang kompatibel dengan multi-OS yang tetap tidak terkunci sampai komputer dimatikan, gunakan fitur enkripsi perangkat keras yang ditawarkan oleh hard drive Anda. Tetapi, jika Anda menginginkan sesuatu yang sedikit lebih aman tetapi terbatas pada Windows, cobalah BitLocker. Semoga saya bisa membantu!

Mari kita lakukan beberapa Wikipédia.

BitLocker

BitLocker adalah fitur enkripsi disk lengkap. Ini dirancang untuk melindungi data dengan menyediakan enkripsi untuk seluruh volume.

BitLocker adalah sistem enkripsi volume logis. Volume mungkin atau mungkin bukan seluruh hard disk drive, atau dapat menjangkau satu atau lebih drive fisik. Juga, ketika diaktifkan, TPM dan BitLocker dapat memastikan integritas jalur boot tepercaya (mis. BIOS, sektor boot, dll.), Untuk mencegah sebagian besar serangan fisik offline, malware boot sector, dll.

Menurut Microsoft, BitLocker tidak mengandung backdoor yang sengaja dibangun; tanpa backdoor tidak ada cara bagi penegak hukum untuk memiliki jaminan bagian ke data pada drive pengguna yang disediakan oleh Microsoft.

Drive Pengenkripsi Otomatis

Enkripsi berbasis perangkat keras ketika dimasukkan ke dalam drive atau di dalam enclosure drive sangat transparan bagi pengguna. Drive kecuali untuk otentikasi bootup beroperasi seperti halnya drive apa pun tanpa penurunan kinerja. Tidak ada komplikasi atau overhead kinerja, tidak seperti perangkat lunak enkripsi disk, karena semua enkripsi tidak terlihat oleh sistem operasi dan prosesor komputer host.

Dua kasus penggunaan utama adalah Data at Rest protection, dan Cryptographic Disk Erasure.

Dalam perlindungan Data at Rest laptop hanya dimatikan. Disk sekarang melindungi semua data di dalamnya. Data aman karena semuanya, bahkan OS, sekarang dienkripsi, dengan mode aman AES, dan dikunci dari membaca dan menulis. Drive ini memerlukan kode otentikasi yang bisa sekuat 32 byte (2 ^ 256) untuk membuka kunci.

Hard disk yang mengenkripsi sendiri, setelah tidak terkunci, akan tetap tidak terkunci selama daya tersedia. Para peneliti di Universität Erlangen-Nürnberg telah menunjukkan sejumlah serangan berdasarkan pemindahan drive ke komputer lain tanpa memotong daya. Selain itu, dimungkinkan untuk me-reboot komputer ke sistem operasi yang dikendalikan penyerang tanpa memutus daya ke drive.

Putusan

Saya pikir kalimat yang paling penting adalah:

Tidak ada komplikasi atau overhead kinerja, tidak seperti perangkat lunak enkripsi disk, karena semua enkripsi tidak terlihat oleh sistem operasi dan prosesor komputer host.

Hard disk yang mengenkripsi sendiri, setelah tidak terkunci, akan tetap tidak terkunci selama daya tersedia.

Karena BitLocker adalah perangkat lunak enkripsi disk, BitLocker lebih lambat daripada enkripsi disk penuh berbasis perangkat keras. Namun, Self-Encrypting Drive tetap tidak terkunci selama masih memiliki daya sejak terakhir kali tidak terkunci. Mematikan komputer akan mengamankan drive.

Jadi, Anda memiliki BitLocker yang lebih aman atau Self-Encrypting Drive yang lebih performan.

Pembaruan: Saya yakin jawaban ini benar dan merupakan contoh pengalaman perusahaan dalam kehidupan nyata di bidang perangkat keras dan keamanan. Mungkin saya gagal memberikan perincian dalam jawaban awal saya yang menciptakan downvotes tetapi juga memberikan wawasan ke dalam proses pemikiran untuk jawaban yang lebih konklusif dari masyarakat secara keseluruhan. Windows tetapi loker telah dikompromikan sejak diluncurkan dan telah menjadi masalah yang terkenal, dan tidak termasuk dalam OS Windows perusahaan tetapi tersedia untuk paket tingkat konsumen untuk lapisan bantuan keamanan / band, NSA Backdoor.

Enkripsi bawaan Samsung EVO SSD akan menjadi pilihan saya karena dioptimalkan secara asli dan salah satu SSD terbaik di luar sana untuk keamanan di lingkungan perusahaan. Juga jika Anda kehilangan kunci, Samsung dapat membukanya dengan bayaran melalui seri # pada SSD.