¿Es mejor usar Bitlocker o el cifrado de unidad incorporado que ofrece mi SSD?

17

Mi sistema:

  • Intel Core i7-4790, que admite AES-NI
  • ASUS Z97-PRO mobo
  • Samsung SSD EVO de 250 GB (con opción de cifrado incorporada)
  • Windows 7 de 64 bits

Si solo quiero cifrar mi unidad de arranque con AES256 o similar, ¿cuál sería la diferencia / rendimiento más rápido / más seguro? Encienda Windows Bitlocker y no use el cifrado SSD, ni habilite el cifrado de unidad incorporado que ofrece el SSD, y no se preocupe por Bitlocker.

Estoy pensando que podría ser mejor descargar el cifrado en el SSD utilizando la opción de cifrado de Evo, para que el procesador no tenga que cifrar nada, esto podría ser mejor para el rendimiento de E / S y darle un respiro a la CPU ? ¿O dado que esta CPU tiene AES-NI podría no importar?

Soy nuevo en Bitlocker y esta opción de cifrado SSD, por lo que cualquier ayuda es muy apreciada.

ssd bitlocker disk-encryption aes opal-ssc Eddie
fuente
1
es posible que desee leer esta respuesta detallada
phuclv
Tal vez debería intentar hacer una evaluación comparativa de cada opción y publicarla aquí para referencia futura, dado que no hay suficiente información en Internet para responder esta pregunta, AFAIK.
Edel Gerardo

Respuestas:

6

Antigua pregunta, pero desde entonces se han encontrado varios desarrollos nuevos relacionados con Bitlocker y el cifrado de unidades (utilizados solos o en combinación), por lo que convertiré algunos de mis comentarios en la página en una respuesta. Tal vez sea útil para alguien que realice una búsqueda en 2018 y más adelante.

Bitlocker (solo):
ha habido varias formas de violar Bitlocker en su historia, afortunadamente, la mayoría de ellas ya han sido parcheadas / mitigadas en 2018. Lo que queda (conocido) incluye, por ejemplo, el "Cold Boot Attack", la versión más nueva de los cuales realmente no es específico de Bitlocker (necesita acceso físico a una computadora en funcionamiento y robar las claves de cifrado, y cualquier otra cosa, directamente de la memoria).

Cifrado de hardware de la unidad SSD y Bitlocker:
una nueva vulnerabilidad ha surgido en 2018; Si un disco SSD tiene cifrado de hardware, que la mayoría de los SSD tienen, Bitlocker solo usa eso. Lo que significa que si ese cifrado se ha descifrado, el usuario esencialmente no tiene protección en absoluto.
Las unidades que se sabe que padecen esta vulnerabilidad incluyen (pero probablemente no se limitan a):
Crucial MX100, MX200, MX300 series Samgung 840 EVO, 850 EVO, T3, T5

Más información sobre el problema de cifrado SSD aquí:
https://twitter.com/matthew_d_green/status/1059435094421712896

Y el documento real (como PDF) profundiza en el problema aquí:
t.co/UGTsvnFv9Y?amp=1

Entonces la respuesta realmente es; dado que Bitlocker usa el cifrado de hardware de los discos y tiene sus propias vulnerabilidades además de eso, es mejor que use el cifrado de hardware si su SSD no está en la lista de SSD agrietados.

Si su disco está en la lista, es mejor que use algo completamente diferente, ya que Bitlocker usaría el cifrado de la unidad de todos modos. Cuál es la pregunta; en Linux recomendaría LUKS, por ejemplo.

DocWeird
fuente
1
Puede evitar que Windows use cifrado de hardware . busque en la página "Cómo hacer que BitLocker use el cifrado de software".
Usuario42
1

He estado investigando sobre esto y tengo una respuesta medio completa para ti.

  1. Siempre es mejor usar cifrado basado en hardware en una unidad de autocifrado, si usa el cifrado basado en software en bitlocker u otro programa de cifrado, provocará una ralentización de entre el 25% y el 45% en las velocidades de lectura y escritura. podrías ver un mínimo de una caída del 10% en el rendimiento. (tenga en cuenta que debe tener una SSD con un chip TMP)

  2. Bitlocker es compatible con el cifrado basado en hardware, puede usar Samsung Magic. v 4.9.6 (v5 ya no es compatible con esto) para borrar la unidad y habilitar el cifrado basado en hardware.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. puede habilitar el cifrado basado en hardware a través del BIOS configurando la contraseña maestra. Tendrá que seguir algunos de los pasos del artículo anterior, como desactivar CMS.

  2. Para responder a su pregunta, no sé cuál es más rápido. Me puse en contacto con Samsung, pero dada la información limitada sobre esto. A menos que obtenga un desarrollador, dudo que obtenga una buena respuesta para cuál es la mejor opción. Por ahora planeo habilitar el cifrado basado en hardware en mi BIOS.

colin
fuente
¿Estás diciendo "es mejor" simplemente por razones de rendimiento? ¿Ambos métodos de cifrado generalmente proporcionan una seguridad idéntica? He oído hablar de discos de "autocifrado" que tienen un cifrado sorprendentemente malo, rápido, sí, pero en realidad no es seguro.
user1686
Bitlocker ha sido violado y esto ha sido demostrado por expertos en seguridad. Esencialmente, si puede falsificar AD, etc., necesario para iniciar sesión en la computadora, también puede omitir Bitlocker en el proceso.
DocWeird
Perdón, @DocWeird, pero afirmar que se ha infringido Bitlocker es alegar que se ha infringido AES-256, y no lo ha sido. Qué quieres decir exactamente? ¡Vuelva a iniciar sesión, eso no es relevante para Bitlocker! ¡Puede arrancar desde una unidad Bitlocker'd sin iniciar sesión en absoluto! Bitlocker no tiene la intención de evitar que otros usuarios autorizados en su máquina lean sus archivos, sino más bien evitar el acceso al contenido del disco duro si alguien roba la unidad y la conecta a otra máquina (lo que les permitiría omitir todos los SID- control de acceso basado). ¿Estás seguro de que no estás pensando en EFS?
Jamie Hanrahan
Hay varias formas de violar Bitlocker, la mayoría de ellas ya parcheadas / mitigadas (también incluye la versión más reciente de Cold Boot Attack que realmente no es específica de Bitlocker), una fue simplemente omitir la autenticación de Windows en la computadora (robada) falsificando un controlador de dominio, caché de contraseña local y cambiando una contraseña, lo que lleva a que TPM produzca la clave de descifrado). Más aquí: itworld.com/article/3005181/…
DocWeird
Y dado que estamos en las vulnerabilidades de Bitlocker, acaba de aparecer una nueva; Si un disco SSD tiene cifrado de hardware, Bitlocker solo usa eso. Lo que significa que si ese cifrado se ha descifrado, el usuario esencialmente no tiene protección en absoluto. Más aquí: mobile.twitter.com/matthew_d_green/status/1059435094421712896 y el documento real (como PDF) aquí: t.co/UGTsvnFv9Y?amp=1
DocWeird
0

No estoy familiarizado con su unidad y las opciones de cifrado que ofrece, sin embargo, el cifrado de hardware se puede utilizar con múltiples sistemas operativos (por ejemplo, cuando desea iniciar Windows y Linux de forma dual), mientras que el cifrado de software puede ser más difícil de configurar. Además, la seguridad de ambos métodos depende de cómo y dónde almacene sus claves de cifrado.

Estoy pensando que podría ser mejor descargar el cifrado en el SSD utilizando la opción de cifrado de Evo, para que el procesador no tenga que cifrar, esto podría ser mejor para el rendimiento de E / S y darle un respiro a la CPU ?

Tiene razón, el cifrado basado en hardware no reduce la velocidad de procesamiento de la computadora.

Nunca he usado cifrado en ninguno de mis dispositivos, así que lamento no poder ayudarlo con el proceso real de habilitarlo. Tenga en cuenta que, en la mayoría de los casos, habilitar el cifrado hace que el disco se borre (BitLocker NO borra los datos, sin embargo, tiene una posibilidad extremadamente remota de corrupción, como ocurre con todo el software de cifrado en vivo). Si desea tener una unidad cifrada compatible con múltiples sistemas operativos que permanezca desbloqueada hasta que se apague la computadora, vaya con la función de cifrado de hardware que ofrece su disco duro. Pero, si desea algo un poco más seguro pero limitado a Windows, pruebe BitLocker. Espero haber ayudado!

wateroverflow9102
fuente
Al principio declaras "Sé con certeza que el cifrado de hardware es más seguro", pero al final dices que es completamente opuesto ("si quieres compatibilidad, ve con cifrado de hardware, pero si quieres algo más seguro, prueba BitLocker" ) ¿A cuál te refieres? ¿Explicaste cosas como las descritas en este artículo ?
user1686
3
hardware-based encryption is generally more secureEs incorrecto. Puede ser más rápido, pero la seguridad depende del estándar de cifrado, no del hardware o software, porque independientemente de cómo cifre el archivo, la salida será la misma con la misma clave
phuclv
-2

Hagamos un poco de Wikipédia.

BitLocker

BitLocker es una función de cifrado de disco completo. Está diseñado para proteger los datos al proporcionar cifrado para volúmenes completos.

BitLocker es un sistema de cifrado de volumen lógico. Un volumen puede o no ser una unidad de disco duro completa, o puede abarcar una o más unidades físicas. Además, cuando está habilitado, TPM y BitLocker pueden garantizar la integridad de la ruta de arranque confiable (por ejemplo, BIOS, sector de arranque, etc.), para evitar la mayoría de los ataques físicos fuera de línea, malware del sector de arranque, etc.

Según Microsoft, BitLocker no contiene una puerta trasera incorporada intencionalmente; sin una puerta trasera, no hay forma de que las fuerzas del orden tengan un paso garantizado a los datos en las unidades del usuario que proporciona Microsoft.

Unidad de autocifrado

El cifrado basado en hardware cuando está integrado en la unidad o dentro del receptáculo de la unidad es notablemente transparente para el usuario. La unidad, excepto la autenticación de arranque, funciona como cualquier unidad sin degradación en el rendimiento. No hay complicaciones ni sobrecarga de rendimiento, a diferencia del software de cifrado de disco, ya que todo el cifrado es invisible para el sistema operativo y el procesador de las computadoras host.

Los dos casos de uso principales son la protección de datos en reposo y el borrado de disco criptográfico.

En la protección de datos en reposo, una computadora portátil simplemente se apaga. El disco ahora autoprotege todos los datos que contiene. Los datos están seguros porque todos ellos, incluso el sistema operativo, ahora están encriptados, con un modo seguro de AES y bloqueados para leer y escribir. La unidad requiere un código de autenticación que puede ser tan fuerte como 32 bytes (2 ^ 256) para desbloquear.

Las unidades de autocifrado típicas, una vez desbloqueadas, permanecerán desbloqueadas mientras se suministre energía. Los investigadores de la Universität Erlangen-Nürnberg han demostrado una serie de ataques basados ​​en mover el disco a otra computadora sin cortar la energía. Además, es posible reiniciar la computadora en un sistema operativo controlado por el atacante sin cortar la alimentación de la unidad.

Veredicto

Creo que las líneas más importantes son estas:

No hay complicaciones ni sobrecarga de rendimiento, a diferencia del software de cifrado de disco, ya que todo el cifrado es invisible para el sistema operativo y el procesador de las computadoras host.

Las unidades de autocifrado típicas, una vez desbloqueadas, permanecerán desbloqueadas mientras se suministre energía.

Debido a que BitLocker es un software de cifrado de disco, es más lento que el cifrado de disco completo basado en hardware. Sin embargo, la unidad de autocifrado permanece desbloqueada mientras tenga energía desde la última vez que se desbloqueó. Apagar la computadora asegurará la unidad.

Por lo tanto, tiene el BitLocker más seguro o la Unidad de autocifrado más eficiente.

NatoBoram
fuente
1
Creo que la pregunta no se refiere a EFS.
Scott
@ Scott Creo que tienes razón, pero hice todo lo posible para ayudar. Al menos ahora tenemos más información sobre BitLocker, esto podría ayudar a una respuesta futura si alguien sabe qué es exactamente el cifrado SSD.
NatoBoram
1
@NatoBoram - "Al menos ahora tenemos más información sobre BitLocker" - Más información sobre una característica bien documentada no responde a la pregunta del autor. Edite su respuesta para que aborde directamente la pregunta del autor.
Ramhound
Bitlocker también proporciona cifrado de hardware
NetwOrchestration
2
El hecho de que la operación de cifrado de hardware en el disco sea invisible para el sistema operativo no significa que no esté ralentizando el funcionamiento del disco lo suficiente como para que el uso del cifrado basado en CPU sea más rápido en general.
simpleuser
-4

Actualización: creo que esta respuesta fue correcta y un ejemplo de experiencia empresarial de la vida real en hardware y operaciones de seguridad. Tal vez no proporcioné detalles en mi respuesta inicial que creó los votos negativos, pero también proporcionó información sobre el proceso de pensamiento para una respuesta más concluyente de la comunidad en general. Windows pero el casillero se ha visto comprometido desde el lanzamiento y ha sido un problema bien conocido, y no se incluye en el sistema operativo Windows de la empresa, pero está disponible para paquetes de nivel de consumidor para una capa de seguridad / ayuda de banda, NSA Backdoor.

El cifrado integrado de Samsung EVO SSD sería mi elección, ya que está optimizado de forma nativa y es uno de los mejores SSD para seguridad en entornos corporativos. Además, si alguna vez pierde la clave, Samsung puede desbloquearla por una tarifa a través del número de serie en el SSD.

CymaTechs
fuente
2
El hecho de que Samsung pueda desbloquear el SSD a través del número de serie es una señal de alerta roja. Samsung utiliza un algoritmo para hacer que la clave se base en el número de serie o tiene una base de datos con las claves.
RS Finance
De acuerdo con @RSFinance. Si otra parte puede obtener sus datos seguros sin su permiso, no es seguro.
UtahJarhead
1
@RSFinance Excepto que esto no es un hecho sino una fantasía. Con el disco compatible con Opal SSC, esto no es posible por diseño, suponiendo que haya inicializado el disco correctamente antes de usarlo, de modo que incluso una posibilidad teórica de que el proveedor conozca la clave de cifrado se omita. Es posible que no confíe en el cumplimiento real de Samsung SSD con Opal SSC, pero esta es una historia diferente.
UnclickableCharacter