Моя система:

• Intel Core i7-4790, который поддерживает AES-NI
• ASUS Z97-PRO mobo
• Samsung 250GB EVO SSD (со встроенной опцией шифрования)
• 64-битная Windows 7

Если я просто хочу зашифровать свой загрузочный диск с помощью AES256 или аналогичного устройства, какая разница / более высокая производительность / более безопасная? Включите Windows Bitlocker и не используйте шифрование SSD, или включите шифрование встроенного диска, которое предлагает SSD, и не беспокойтесь о Bitlocker?

Я думаю, что было бы лучше разгрузить шифрование на SSD с помощью опции шифрования Evo, чтобы процессор не выполнял никакого шифрования, это могло бы быть лучше для производительности ввода-вывода и дать процессору передышку ? Или, поскольку этот процессор имеет AES-NI, это может не иметь значения?

Я новичок в Bitlocker и этой опции шифрования SSD, поэтому любая помощь очень ценится.

Старый вопрос, но с тех пор было найдено несколько новых разработок, касающихся Bitlocker и шифрования диска (используется отдельно или в комбинации), поэтому я переверну пару своих комментариев на странице к ответу. Может быть, это полезно кому-то, кто проводит поиск в 2018 году и позже.

Bitlocker (один):
в его истории было несколько способов взломать Bitlocker, к счастью, большинство из них уже были исправлены / исправлены в 2018 году. Что остается (известно), например, «Cold Boot Attack» - новейшая версия из которых действительно не является специфическим для Bitlocker (вам нужен физический доступ к работающему компьютеру и кража ключей шифрования и всего остального прямо из памяти).

Аппаратное шифрование дисковода SSD и Bitlocker:
новая уязвимость появилась в 2018 году; если диск SSD имеет аппаратное шифрование, которое есть у большинства SSD, Bitlocker по умолчанию использует только это. Это означает, что, если само это шифрование было взломано, пользователь по существу не имеет никакой защиты вообще.
Диски, которые, как известно, страдают от этой уязвимости, включают (но, вероятно, не ограничиваются):
Crucial MX100, MX200, MX300 серии Samgung 840 EVO, 850 EVO, T3, T5

Больше информации о проблеме шифрования SSD здесь:
https://twitter.com/matthew_d_green/status/1059435094421712896

А реальная статья (в формате PDF) углубляется в проблему здесь:
t.co/UGTsvnFv9Y?amp=1

Так что ответ на самом деле таков; Поскольку Bitlocker использует аппаратное шифрование дисков и имеет свои собственные уязвимости, лучше использовать аппаратное шифрование, если ваш SSD отсутствует в списке взломанных SSD.

Если ваш диск находится в списке, вам лучше использовать что-то другое, поскольку Bitlocker все равно будет использовать шифрование диска. В чем вопрос; в Linux я бы порекомендовал LUKS, например.

Я провел некоторое исследование по этому вопросу, и у меня для вас есть полный ответ.

1. Всегда лучше использовать аппаратное шифрование на диске с самошифрованием, если вы используете программное шифрование на битлокере или другой программе шифрования, это приведет к снижению скорости чтения между 25% и 45%. вы могли увидеть падение производительности минимум на 10%. (обратите внимание, у вас должен быть SSD с чипом TMP)

2. Bitlocker совместим с аппаратным шифрованием, вы можете использовать магию samsung. v 4.9.6 (v5 больше не поддерживает это), чтобы стереть диск и включить аппаратное шифрование.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. Вы можете включить аппаратное шифрование через BIOS, установив мастер-пароль. Вам нужно будет выполнить некоторые из шагов в статье выше, например, отключить CMS.

4. Чтобы ответить на ваш вопрос, я не знаю, что быстрее. Я обратился к Samsung, но дал ограниченную информацию об этом. Если я не найду разработчика, я сомневаюсь, что получу хороший ответ, который является лучшим вариантом. На данный момент я планирую включить аппаратное шифрование в моем BIOS.

Я не знаком с вашим диском и вариантами шифрования, которые он предлагает, однако аппаратное шифрование может использоваться с несколькими операционными системами (например, если вы хотите выполнить двойную загрузку Windows и Linux), тогда как шифрование программного обеспечения может быть сложнее настроить. Кроме того, безопасность обоих методов зависит от того, как и где вы храните свои ключи шифрования.

Я думаю, что было бы лучше разгрузить шифрование на SSD с помощью опции шифрования Evo, чтобы процессор не выполнял никакого шифрования, это могло бы быть лучше для производительности ввода-вывода и дать процессору передышку ?

Вы правы, аппаратное шифрование не снижает скорость обработки компьютера.

Я никогда не использовал шифрование ни на одном из своих устройств, поэтому извините, что не могу помочь вам с фактическим процессом его включения. Обращаем ваше внимание, что в большинстве случаев включение шифрования приводит к удалению диска (BitLocker НЕ удаляет данные, однако он имеет крайне отдаленную вероятность повреждения, как и для всех программ для шифрования в реальном времени). Если вы хотите иметь совместимый с несколькими ОС зашифрованный диск, который остается разблокированным до выключения компьютера, используйте функцию аппаратного шифрования, которую предлагает ваш жесткий диск. Но если вы хотите что-то более безопасное, но ограниченное Windows, попробуйте BitLocker. Надеюсь, я помог!

Давайте сделаем немного Википедии.

BitLocker

BitLocker - это функция полного шифрования диска. Он предназначен для защиты данных за счет шифрования целых томов.

BitLocker - это система шифрования логических томов. Том может быть или не быть целым жестким диском, или он может охватывать один или несколько физических дисков. Кроме того, при включении TPM и BitLocker могут обеспечить целостность доверенного загрузочного пути (например, BIOS, загрузочного сектора и т. Д.), Чтобы предотвратить большинство физических атак в автономном режиме, вредоносных программ загрузочного сектора и т. Д.

Согласно Microsoft, BitLocker не содержит намеренно встроенного бэкдора; без бэкдора у правоохранительных органов не будет гарантированного доступа к данным на дисках пользователя, предоставленных Microsoft.

Самошифрующийся диск

Аппаратное шифрование, встроенное в накопитель или в корпус накопителя, заметно прозрачно для пользователя. Диск, за исключением проверки подлинности при загрузке, работает так же, как и любой диск, без снижения производительности. В отличие от программного обеспечения для шифрования дисков, здесь нет никаких сложностей или проблем с производительностью, поскольку все шифрование невидимо для операционной системы и процессора хост-компьютеров.

Два основных варианта использования: защита данных в состоянии покоя и криптографическое стирание диска.

При защите данных в состоянии покоя ноутбук просто отключается. Диск теперь сам защищает все данные на нем. Данные в безопасности, потому что все они, даже ОС, теперь зашифрованы с безопасным режимом AES и защищены от чтения и записи. Диск требует код аутентификации, который может быть настолько сильным, как 32 байта (2 ^ 256) для разблокировки.

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание. Исследователи из Университета Эрланген-Нюрнберга продемонстрировали ряд атак, основанных на переносе диска на другой компьютер без отключения питания. Кроме того, может оказаться возможным перезагрузить компьютер в управляемую злоумышленником операционную систему без отключения питания накопителя.

решение суда

Я думаю, что самые важные строки это:

В отличие от программного обеспечения для шифрования дисков, здесь нет никаких сложностей или проблем с производительностью, поскольку все шифрование невидимо для операционной системы и процессора хост-компьютеров.

Типичные диски с самошифрованием после разблокировки остаются разблокированными до тех пор, пока подается питание.

Поскольку BitLocker является программным обеспечением для шифрования диска, он работает медленнее, чем аппаратное полное шифрование диска. Тем не менее, диск с самошифрованием остается разблокированным до тех пор, пока он имеет силу с момента последнего разблокирования. Выключение компьютера защитит диск.

Таким образом, у вас есть более безопасный BitLocker или более производительный диск с самошифрованием.

Обновление: я считаю, что этот ответ был правильным и является примером реального опыта работы предприятия в области аппаратного обеспечения и безопасности. Возможно, я не смог предоставить подробности в своем первоначальном ответе, который создал отрицательные голоса, но также дал представление о мыслительном процессе для более окончательного ответа от сообщества в целом. Windows, но блокировщик был взломан с момента запуска и был хорошо известной проблемой, и не включен в корпоративную ОС Windows, но доступен для пакетов уровня потребителя для уровня безопасности / поддержки диапазона, NSA Backdoor.

Я бы выбрал встроенное в Samsung EVO SSD шифрование, поскольку оно изначально оптимизировано и является одним из лучших SSD для обеспечения безопасности в корпоративных средах. Также, если вы потеряете ключ, Samsung может разблокировать его за плату через серийный номер на SSD.