Ist es besser, Bitlocker oder die integrierte Laufwerksverschlüsselung zu verwenden, die meine SSD bietet?

16424
Eddie

Mein System:

  • Intel Core i7-4790, der AES-NI unterstützt
  • ASUS Z97-PRO Mobo
  • Samsung 250 GB EVO SSD (mit integrierter Verschlüsselungsoption)
  • 64-Bit Windows 7

Wenn ich mein Startlaufwerk nur mit AES256 oder ähnlichem verschlüsseln möchte, was wäre dann der Unterschied / schnellere Leistung / sicherer? Schalten Sie Windows Bitlocker ein und verwenden Sie nicht die SSD-Verschlüsselung, oder aktivieren Sie die integrierte Laufwerksverschlüsselung, die die SSD bietet, und machen Sie sich keine Sorgen um Bitlocker.

Ich denke, es könnte besser sein, die Verschlüsselung mit der Verschlüsselungsoption von Evo auf die SSD zu übertragen, damit der Prozessor keine Verschlüsselung durchführen muss. Dies kann für die E / A-Leistung besser sein und der CPU eine Verschnaufpause verschaffen ? Oder, da diese CPU AES-NI hat, spielt es keine Rolle?

Ich bin neu bei Bitlocker und dieser SSD-Verschlüsselungsoption, daher wird jede Hilfe sehr geschätzt.

14
Vielleicht möchten Sie [diese ausführliche Antwort] lesen (https://superuser.com/a/1358498/241386). phuclv vor 2 Jahren 1
Vielleicht sollten Sie versuchen, für jede Option ein Benchmarking durchzuführen und sie hier als Referenz zu veröffentlichen, da es im Internet nicht genügend Informationen gibt, um diese Frage zu beantworten, AFAIK. Edel Gerardo vor 2 Jahren 0

5 Antworten auf die Frage

1
DocWeird

Alte Frage, aber seitdem wurden einige neue Entwicklungen in Bezug auf die Bitlocker- und Laufwerkverschlüsselung gefunden (entweder alleine oder in Kombination verwendet), daher werde ich einige meiner Kommentare auf der Seite zu einer Antwort machen. Vielleicht ist es nützlich für jemanden, der 2018 und später eine Suche durchführt.

Bitlocker (alleine):
Bitlocker hat in der Geschichte mehrere Möglichkeiten, die zum Brechen gekommen sind. Glücklicherweise wurden die meisten bereits 2018 gepatcht / gemimiert. Was (bekannt) bleibt, ist beispielsweise der "Cold Boot Attack" - die neueste Version Davon ist Bitlocker eigentlich nicht spezifisch (Sie benötigen physischen Zugriff auf einen laufenden Computer und stehlen die Verschlüsselungsschlüssel und alles andere direkt aus dem Speicher).

Hardwareverschlüsselung für SSD-Laufwerke und Bitlocker:
2018 wurde eine neue Sicherheitslücke gefunden; Wenn ein SSD-Datenträger über eine Hardwareverschlüsselung verfügt, über die die meisten SSDs verfügen, verwendet Bitlocker standardmäßig nur diese. Das heißt, wenn die Verschlüsselung selbst geknackt wurde, hat der Benutzer im Wesentlichen keinen Schutz.
Zu den Laufwerken, von denen bekannt ist, dass sie unter dieser Sicherheitsanfälligkeit leiden, gehören unter anderem:
Crucial MX100, MX200, MX300-Serie Samgung 840 EVO, 850 EVO, T3, T5

Weitere Informationen zum SSD-Verschlüsselungsproblem finden Sie hier:
https://twitter.com/matthew_d_green/status/1059435094421712896

Und die eigentliche Arbeit (als PDF) befasst sich tiefer mit dem Problem:
t.co/UGTsvnFv9Y?amp=1

Die Antwort lautet also wirklich: Da Bitlocker die Festplatten-Hardwareverschlüsselung verwendet und außerdem seine eigenen Schwachstellen hat, sollten Sie die Hardware-Verschlüsselung besser verwenden, wenn Ihre SSD nicht auf der Liste der geknackten SSDs steht.

Wenn sich Ihre Festplatte auf der Liste befindet, sollten Sie lieber etwas anderes verwenden, da Bitlocker die Laufwerksverschlüsselung trotzdem verwenden würde. Was ist die Frage; unter Linux würde ich zum Beispiel LUKS empfehlen.

0
colin

Ich habe einige Nachforschungen angestellt und habe eine halbe vollständige Antwort für Sie.

  1. Es ist immer besser, die hardwarebasierte Verschlüsselung auf einem selbstverschlüsselnden Laufwerk zu verwenden. Wenn Sie die softwarebasierte Verschlüsselung für Bitlocker oder ein anderes Verschlüsselungsprogramm verwenden, führt dies zu einer Verlangsamung der Lesegeschwindigkeiten um 25% bis 45%. Sie könnten einen Leistungsabfall von mindestens 10% feststellen. (Beachten Sie, dass Sie eine SSD mit einem TMP-Chip besitzen müssen.)

  2. Bitlocker ist kompatibel mit hardwarebasierter Verschlüsselung, Sie können Samsung Magic verwenden. v 4.9.6 (v5 unterstützt dies nicht mehr), um das Laufwerk zu löschen und die hardwarebasierte Verschlüsselung zu aktivieren.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-drive-encryption-for-ssds/

  1. Sie können die hardwarebasierte Verschlüsselung über das BIOS aktivieren, indem Sie das Hauptkennwort festlegen. Sie müssen einige der oben genannten Schritte ausführen, beispielsweise das Deaktivieren von CMS.

  2. Um Ihre Frage zu beantworten, weiß ich nicht wirklich, welche schneller ist. Ich habe mich mit Samsung in Verbindung gesetzt, aber die begrenzten Informationen dazu gegeben. Wenn ich keinen Entwickler bekomme, bezweifle ich, dass ich eine gute Antwort bekomme, welche die bessere Option ist. Im Moment plane ich, die hardwarebasierte Verschlüsselung in meinem BIOS zu aktivieren.

Sagen Sie aus Leistungsgründen "es ist besser"? Bieten beide Verschlüsselungsmethoden im Allgemeinen die gleiche Sicherheit? Ich habe gehört, dass "selbstverschlüsselnde" Festplatten eine schockierend schlechte Verschlüsselung haben - schnell, ja, aber nicht wirklich sicher. grawity vor 3 Jahren 0
Bitlocker wurde verletzt, und dies wurde von Sicherheitsexperten demonstriert. Wenn Sie AD usw. usw. fälschen können, um sich am Computer anzumelden, können Sie Bitlocker dabei auch umgehen. DocWeird vor 3 Jahren 0
Bitte um Verzeihung, @DocWeird, aber wenn behauptet wird, dass Bitlocker verletzt wurde, wird behauptet, dass AES-256 verletzt wurde - und das nicht. Was genau meinst du? Erneut anmelden, das ist für Bitlocker irrelevant! Sie können von einem Bitlocker-Laufwerk aus booten, ohne sich überhaupt anmelden zu müssen! Es ist nicht die Absicht von Bitlocker, andere autorisierte Benutzer auf Ihrem Computer daran zu hindern, Ihre Dateien zu lesen, sondern den Zugriff auf den Inhalt der Festplatte zu verhindern, wenn jemand das Laufwerk stiehlt und es mit einem anderen Computer verbindet (der dazu führen würde, dass alle SID- basierte Zugriffskontrolle). Bist du sicher, dass du nicht an EFS denkst? Jamie Hanrahan vor 2 Jahren 0
Es gibt mehrere Möglichkeiten, gegen Bitlocker vorzugehen. Die meisten von ihnen sind bereits gepatcht / gemildert (einschließlich der neuesten Version des Cold Boot Attacks, die nicht wirklich Bitlocker-spezifisch ist). Eine Möglichkeit bestand darin, die Windows-Authentifizierung auf dem (gestohlenen) Computer (der beteiligt war) einfach zu umgehen wenn Sie einen Domänencontroller fälschen, einen lokalen Kennwortcache verwenden und ein Kennwort ändern - was alle dazu führt, dass TPM den Entschlüsselungsschlüssel liefert. Mehr hier: https://www.itworld.com/article/3005181/bitlocker-encryption-can-be-defeated-with-trivial-windows-authentication-bypass.html DocWeird vor 2 Jahren 0
Und da wir uns auf Bitlocker-Schwachstellen befinden, ist gerade eine neue aufgetaucht. Wenn eine SSD-Festplatte über eine Hardware-Verschlüsselung verfügt, verwendet Bitlocker standardmäßig nur diese. Das bedeutet, dass der Benutzer, wenn diese Verschlüsselung geknackt wurde, im Wesentlichen überhaupt keinen Schutz hat. Mehr hier: https://mobile.twitter.com/matthew_d_green/status/1059435094421712896 und das aktuelle Papier (als PDF) hier: https://t.co/UGTsvnFv9Y?amp=1 DocWeird vor 2 Jahren 0
-1
anthony_

I am not familiar with your drive and the encryption options it offers, however hardware encryption can be used with multiple operating systems (e.g. when you want to dual-boot Windows and Linux), while software encryption might be harder to configure. Also, the safety of both methods depends on how and where you store your encryption keys.

I'm thinking it might be better to offload the encryption to the SSD by using the Evo's encryption option, so that the processor doesn't have to do any encryption, this might be better for i/o performance and give the CPU a breather?

You are right, hardware-based encryption does not lower the computer's processing speed.

I have never used encryption on any of my devices, so I'm sorry that I can't help you with the actual process of enabling it. Please do note that in most cases enabling encryption causes the drive to get erased (BitLocker does NOT erase data, however it has an extremely remote chance of corruption, as it is with all live-encryption software). If you want to have multi-OS compatible encrypted drive which stays unlocked until the computer is shut down, go with the hardware encryption feature your hard drive offers. But, if you want something a little more secure but limited to Windows, try out BitLocker. Hope I helped!

Zuerst geben Sie an, "Ich weiß sicher, dass die Hardwareverschlüsselung sicherer ist", aber am Ende sagen Sie, dass er vollständig umgekehrt ist ("Wenn Sie kompatibel sind, gehen Sie mit der Hardwareverschlüsselung vor, aber wenn Sie etwas sichereres wollen, versuchen Sie BitLocker"). ). Welche hast du gemeint? Haben Sie für Dinge wie [beschrieben in diesem Artikel] (https://arstechnica.com/security/2015/10/western-digital-self-encrypting-hard-drives-riddled-mit-security-flaws/) etwas beachtet? grawity vor 3 Jahren 0
"hardwarebasierte Verschlüsselung ist in der Regel sicherer" ist falsch. Es ist möglicherweise schneller, aber die Sicherheit hängt vom Verschlüsselungsstandard ab, nicht von Hardware oder Software, da unabhängig davon, wie Sie die Datei verschlüsseln, die Ausgabe mit demselben Schlüssel identisch ist phuclv vor 2 Jahren 1
-2
NatoBoram

Lassen Sie uns ein paar Wikipédia machen.

BitLocker

BitLocker ist eine vollständige Festplattenverschlüsselungsfunktion. Es soll Daten schützen, indem es ganze Datenträger verschlüsselt.

BitLocker ist ein Verschlüsselungssystem für logische Datenträger. Ein Volume kann ein gesamtes Festplattenlaufwerk sein oder nicht, oder es kann sich auf ein oder mehrere physische Laufwerke erstrecken. Wenn diese Option aktiviert ist, können TPM und BitLocker die Integrität des vertrauenswürdigen Startpfads (z. B. BIOS, Bootsektor usw.) sicherstellen, um die meisten physischen Offline-Angriffe, Bootsektor-Malware usw. zu verhindern.

Laut Microsoft enthält BitLocker keine absichtlich eingebaute Hintertür. Ohne eine Hintertür gibt es keine Möglichkeit für die Strafverfolgung, eine garantierte Weitergabe der von Microsoft bereitgestellten Daten auf den Laufwerken des Benutzers zu gewährleisten.

Selbstverschlüsselndes Laufwerk

Die hardwarebasierte Verschlüsselung, die in das Laufwerk oder in das Laufwerkgehäuse integriert ist, ist für den Benutzer besonders transparent. Das Laufwerk mit Ausnahme der Boot-Authentifizierung funktioniert wie jedes andere Laufwerk ohne Leistungseinbußen. Im Gegensatz zu Festplattenverschlüsselungssoftware gibt es keinen Komplikations- oder Performance-Overhead, da die gesamte Verschlüsselung für das Betriebssystem und den Prozessor des Host-Computers nicht sichtbar ist.

Die zwei Hauptanwendungsfälle sind der Schutz vor Daten in Ruhe und das Löschen von verschlüsselten Datenträgern.

Beim Data at Rest-Schutz wird ein Laptop einfach ausgeschaltet. Die Festplatte schützt nun alle Daten selbst. Die Daten sind sicher, da alle Daten, auch das Betriebssystem, jetzt verschlüsselt sind, mit einem sicheren AES-Modus und vom Lesen und Schreiben gesperrt sind. Das Laufwerk erfordert einen Authentifizierungscode, der bis zu 32 Byte groß sein kann (2 ^ 256).

Typische selbstverschlüsselnde Laufwerke bleiben nach dem Entsperren entsperrt, solange Strom zur Verfügung steht. Forscher der Universität Erlangen-Nürnberg haben eine Reihe von Angriffen demonstriert, die darauf zurückzuführen sind, dass das Laufwerk ohne Unterbrechung der Stromversorgung auf einen anderen Computer verschoben wird. Darüber hinaus kann es möglich sein, den Computer mit einem von einem Angreifer gesteuerten Betriebssystem neu zu starten, ohne die Stromversorgung des Laufwerks zu beeinträchtigen.

Urteil

Ich denke, dass die wichtigsten Zeilen diese sind:

Im Gegensatz zu Festplattenverschlüsselungssoftware gibt es keinen Komplikations- oder Performance-Overhead, da die gesamte Verschlüsselung für das Betriebssystem und den Prozessor des Host-Computers nicht sichtbar ist.

Typische selbstverschlüsselnde Laufwerke bleiben nach dem Entsperren entsperrt, solange Strom zur Verfügung steht.

Da BitLocker eine Festplattenverschlüsselungssoftware ist, ist es langsamer als die hardwarebasierte vollständige Festplattenverschlüsselung. Das selbstverschlüsselnde Laufwerk bleibt jedoch so lange nicht gesperrt, wie es seit dem letzten Entsperren Strom hatte. Das Herunterfahren des Computers sichert das Laufwerk.

Entweder haben Sie das sicherere BitLocker oder das leistungsfähigere selbstverschlüsselnde Laufwerk.

Ich glaube, die Frage bezieht sich nicht auf EFS. Scott vor 4 Jahren 1
@Scott Ich glaube, du hast recht, aber ich habe mein Bestes gegeben, um zu helfen. Zumindest haben wir jetzt mehr Informationen zu BitLocker. Dies könnte eine zukünftige Antwort sein, wenn jemand weiß, was genau die SSD-Verschlüsselung ist. NatoBoram vor 4 Jahren 0
@NatoBoram - "Zumindest haben wir jetzt mehr Informationen zu BitLocker" - Weitere Informationen zu einer gut dokumentierten Funktion beantworten die Frage des Autors nicht. Bitte bearbeiten Sie Ihre Antwort so, dass sie direkt die Frage des Autors anspricht. Ramhound vor 4 Jahren 1
Bitlocker bietet auch [Hardware-Verschlüsselung] an (https://helgeklein.com/blog/2015/01/how-to-enable-bitlocker-hardware-encryption-with-ssd/). NetwOrchestration vor 4 Jahren 0
Nur weil die Hardwareverschlüsselung auf dem Laufwerk für das Betriebssystem nicht sichtbar ist, bedeutet dies nicht, dass die Operation des Laufwerks nicht so stark abgebremst wird, dass die Verwendung einer CPU-basierten Verschlüsselung insgesamt schneller ist. simpleuser vor 3 Jahren 2
@simpleuser Diese Aussage macht keinen Sinn. Dedizierte Hardware ist fast schneller als ein CPU-AES-Befehl, auch wenn die CPU für diese Operation eine eigene Schaltung hat Ramhound vor 3 Jahren 0
@ Ramhound. Ein System kann insgesamt langsamer sein, je nach CPU-Auslastung oder Festplattenauslastung oder in diesem Fall durch Reduzierung der Festplattenleistung / CPU-Auslastung für die Verschlüsselung. Je nach verwendetem Laufwerk ist die durch die Hardwareverschlüsselung verlorene Leistung möglicherweise auffälliger als die CPU-Auslastung eines Software-Gegenstücks. Edel Gerardo vor 2 Jahren 0
-3
CymaTechs

Die integrierte Verschlüsselung von Samsung EVO SSD wäre meine Wahl, da sie nativ optimiert ist und eine der besten SSDs ist, die es für die Sicherheit in Unternehmensumgebungen gibt. Auch wenn Sie den Schlüssel verlieren, kann Samsung ihn gegen Entgelt über die Seriennummer auf der SSD entsperren.

Die Tatsache, dass Samsung die SSD über die Seriennummer freischalten kann, ist imho eine rote Flagge. Entweder verwendet Samsung einen Algorithmus, um den Schlüssel anhand der Seriennummer zu erstellen, oder er verfügt über eine Datenbank mit den Schlüsseln. RS Finance vor 2 Jahren 2
Stimmen Sie der @RSFinance zu. Wenn eine andere Partei Ihre gesicherten Daten ohne Ihre Erlaubnis erhalten kann, ist dies nicht sicher. UtahJarhead vor 2 Jahren 0