BitlockerまたはSSDが提供する組み込みドライブ暗号化を使用する方が良いでしょうか?


17

私のシステム:

  • AES-NIをサポートするIntel Core i7-4790
  • ASUS Z97-PROモボ
  • Samsung 250GB EVO SSD(暗号化オプションを内蔵)
  • 64ビットWindows 7

ブートドライブをAES256などで暗号化するだけの場合、違い/パフォーマンスの向上/安全性はどうなりますか?Windows BitlockerをオンにしてSSD暗号化を使用しないか、SSDが提供する内蔵ドライブ暗号化を有効にして、Bitlockerを心配しませんか?

Evoの暗号化オプションを使用して、SSDに暗号化をオフロードする方がよいと考えています。これにより、プロセッサが暗号化を実行する必要がなくなります。これにより、I / Oパフォーマンスが向上し、CPUに息を吹き込むことができます?または、このCPUにAES-NIが搭載されているので、問題ではないでしょうか?

私はBitlockerとこのSSD暗号化オプションは初めてなので、どんな助けも大歓迎です。



この質問に答えるのに十分な情報がインターネット上にないので、各オプションのベンチマークを作成し、今後の参考のためにここに投稿してみてください。
エデルヘラルド

回答:


6

古い質問ですが、それ以来、Bitlockerとドライブの暗号化(単独または組み合わせて使用​​)に関するいくつかの新しい開発が発見されたため、ページ上の私のコメントのいくつかを答えにします。たぶん、2018年以降に検索を行う人に役立つでしょう。

Bitlocker(単独):
Bitlockerを破る方法はいくつかありますが、幸運なことに、それらのほとんどは既に2018年にパッチ適用/緩和されています。そのうちBitlocker固有のものではありません(実行中のコンピューターに物理的にアクセスし、暗号化キーなどをメモリから直接盗む必要があります)。

SSDドライブのハードウェア暗号化とBitlocker:
2018年に新たな脆弱性が表面化しました。SSDディスクにハードウェア暗号化があり、ほとんどのSSDが持っている場合、Bitlockerはデフォルトでそれのみを使用します。つまり、暗号化自体が解読された場合、ユーザーは本質的にまったく保護されません。
この脆弱性の影響を受けることが知られているドライブには次のものがあります(ただし、これらに限定されない可能性があります):
Crucial MX100、MX200、MX300シリーズSamgung 840 EVO、850 EVO、T3、T5

SSD暗号化の問題に関する詳細はこちら:https :
//twitter.com/matthew_d_green/status/1059435094421712896

そして、実際の論文(PDFとして)は、ここで問題をより深く掘り下げています:
t.co/UGTsvnFv9Y?amp=1

答えは本当にです。Bitlockerはディスクハードウェア暗号化を使用し、その上に独自の脆弱性があるため、SSDがクラックされたSSDのリストにない場合は、ハードウェア暗号化を使用する方が良いでしょう。

ディスクがリストにある場合は、Bitlockerがドライブ暗号化を使用するため、まったく別のものを使用する方が良いでしょう。質問は何ですか; Linuxでは、たとえばLUKSをお勧めします。


1
Windowsがハードウェア暗号化を使用しないようにすることができます。「BitLockerでソフトウェア暗号化を使用する方法」のページを検索してください。
ユーザー42

1

私はこれについていくつかの研究を行ってきましたが、あなたには半分完全な答えがあります。

  1. 自己暗号化ドライブでハードウェアベースの暗号化を使用することをお勧めします。bitlockerまたは別の暗号化プログラムでソフトウェアベースの暗号化を使用する場合、読み取り書き込み速度が25%〜45%遅くなります。パフォーマンスが最低でも10%低下する可能性があります。(TMPチップを搭載したSSDが必要です)

  2. Bitlockerはハードウェアベースの暗号化と互換性があり、サムスンマジックを使用できます。v 4.9.6(v5はこれをサポートしなくなりました)。ドライブを消去し、ハードウェアベースの暗号化を有効にします。

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. マスターパスワードを設定することにより、BIOS経由でハードウェアベースの暗号化を有効にできます。CMSをオフにするなど、上記の記事のいくつかの手順に従う必要があります。

  2. あなたの質問に答えるために、私はどちらが速いか本当にわかりません。私はサムスンに連絡しましたが、これに関する限られた情報を与えました。開発者がいない限り、どちらがより良い選択肢であるかについて良い答えが得られるとは思わない。今のところ、BIOSでハードウェアベースの暗号化を有効にする予定です。


単にパフォーマンス上の理由で「良い」と言っていますか?一般に、両方の暗号化方法は同じセキュリティを提供しますか?私は「自己暗号化」ディスクが驚くほど悪い暗号化を持っていることを聞いたことがあります。
user1686

Bitlockerは侵害されており、これはセキュリティの専門家によって実証されています。基本的に、コンピューターへのログインに必要なADなどを偽造できる場合は、プロセスでBitlockerをバイパスすることもできます。
DocWeird

@DocWeirdをご容赦ください。ただし、Bitlockerが侵害されたと主張することは、AES-256が侵害されたと主張することです。正確にはどういう意味ですか?再ログイン、それはBitlockerとは無関係です!ログインせずにBitlocker'dドライブから起動できます!Bitlockerの目的は、マシン上の他の許可されたユーザーがファイルを読み取れないようにすることではなく、誰かがドライブを盗んで別のマシンに接続した場合(すべてのSID-ベースのアクセス制御)。EFSを考えていませんか?
ジェイミーハンラハン

Bitlockerを突破する方法はいくつかありますが、それらのほとんどは既にパッチが適用され、軽減されています(実際にはBitlocker固有ではないコールドブート攻撃の最新バージョンも含まれます)。ドメインコントローラーの偽造、ローカルパスワードキャッシュ、パスワードの変更-これらはすべて、TPMが暗号化解除キーを生成することにつながります。もっとここに:itworld.com/article/3005181/...
DocWeird

また、Bitlockerの脆弱性に取り組んでいるので、新しい脆弱性が表面化しました。SSDディスクにハードウェア暗号化がある場合、Bitlockerはデフォルトでそれのみを使用します。つまり、その暗号化が解読された場合、ユーザーは基本的にまったく保護されません。詳細:mobile.twitter.com/matthew_d_green/status/1059435094421712896および実際のペーパー(PDF)ここ:t.co/UGTsvnFv9Y
amp

0

私はあなたのドライブとそれが提供する暗号化オプションに精通していませんが、ハードウェア暗号化は複数のオペレーティングシステムで使用できます(例えば、WindowsとLinuxをデュアルブートしたい場合)、ソフトウェア暗号化は設定が難しいかもしれません。また、両方の方法の安全性は、暗号化キーを保存する方法と場所によって異なります。

私は、Evoの暗号化オプションを使用してSSDに暗号化をオフロードする方が良いと考えています。これにより、プロセッサが暗号化を行う必要がなくなります。これは、I / Oパフォーマンスに優れ、CPUに息抜きを与えます?

ハードウェアベースの暗号化は、コンピューターの処理速度を低下させません。

どのデバイスでも暗号化を使用したことがないので、実際に有効化するプロセスをサポートできないのは残念です。ほとんどの場合、暗号化を有効にするとドライブが消去されることに注意してください(BitLockerはデータを消去しませんが、すべてのライブ暗号化ソフトウェアと同様に、破損の可能性は非常にわずかです)。コンピューターがシャットダウンされるまでロックされないマルチOS互換の暗号化ドライブが必要な場合は、ハードドライブが提供するハードウェア暗号化機能を使用してください。ただし、Windowsに限定された、もう少し安全なものが必要な場合は、BitLockerを試してください。私が助けたことを願っています!


最初は「ハードウェア暗号化の方が安全であるという事実は知っている」と言いますが、最後に彼は完全に反対だと言います)。あなたはどちらを意味しましたか?この記事で説明したようなことを説明しましたか?
user1686

3
hardware-based encryption is generally more secure間違っている。それは速いかもしれませんが、関係なく、あなたは、ファイルを暗号化する方法の、出力は同じキーを持つ同じになるため、セキュリティは、暗号化標準ではなく、ハードウェアやソフトウェアによって異なり
phuclv

-2

ウィキペディアをいくつかやってみましょう。

BitLocker

BitLockerはディスク全体の暗号化機能です。ボリューム全体を暗号化することでデータを保護するように設計されています。

BitLockerは論理ボリューム暗号化システムです。ボリュームは、ハードディスクドライブ全体である場合とそうでない場合があります。また、1つ以上の物理ドライブにまたがることもあります。また、TPMとBitLockerを有効にすると、ほとんどのオフライン物理攻撃、ブートセクターマルウェアなどを防ぐために、信頼されたブートパス(BIOS、ブートセクターなど)の整合性を確保できます。

Microsoftによると、BitLockerには意図的に組み込まれたバックドアは含まれていません。バックドアがなければ、Microsoftが提供するユーザーのドライブ上のデータへの確実な通過を法執行機関が行うことはできません。

自己暗号化ドライブ

ドライブまたはドライブエンクロージャ内に組み込まれたハードウェアベースの暗号化は、特にユーザーに対して透過的です。起動認証を除くドライブは、パフォーマンスを低下させることなく、他のドライブと同様に動作します。すべての暗号化はオペレーティングシステムとホストコンピューターのプロセッサには見えないため、ディスク暗号化ソフトウェアとは異なり、複雑さやパフォーマンスのオーバーヘッドはありません。

2つの主な使用例は、保存データ保護と暗号化ディスク消去です。

Data at Rest保護では、ラップトップの電源がオフになります。これで、ディスクはその上のすべてのデータを自己保護します。データはすべて、OSでさえもAESのセキュアモードで暗号化され、読み取りと書き込みがロックされているため、安全です。ドライブには、ロックを解除するために32バイト(2 ^ 256)の強力な認証コードが必要です。

通常の自己暗号化ドライブは、ロックが解除されると、電源が供給されている限りロック解除されたままになります。UniversitätErlangen-Nürnbergの研究者は、電源を切ることなくドライブを別のコンピューターに移動することに基づいた多くの攻撃を実証しています。さらに、ドライブの電源を切らずに、コンピューターを再起動して攻撃者が制御するオペレーティングシステムを起動できる場合があります。

評決

最も重要な行はこれらだと思います:

すべての暗号化はオペレーティングシステムとホストコンピューターのプロセッサには見えないため、ディスク暗号化ソフトウェアとは異なり、複雑さやパフォーマンスのオーバーヘッドはありません。

通常の自己暗号化ドライブは、ロックが解除されると、電源が供給されている限りロック解除されたままになります。

BitLockerはディスク暗号化ソフトウェアであるため、ハードウェアベースのフルディスク暗号化よりも低速です。ただし、自己暗号化ドライブは、前回ロック解除されてから電力が供給されている限り、ロック解除されたままになります。コンピューターをシャットダウンすると、ドライブが保護されます。

そのため、より安全なBitLockerまたはより高性能な自己暗号化ドライブを使用できます。


1
私は質問がEFSに言及していないと信じています。
スコット

@Scottあなたが正しいと信じていますが、私は最善を尽くして助けました。少なくとも現在、BitLockerに関する詳細情報があります。これは、SSD暗号化とは何かを誰かが正確に知っている場合、将来の回答に役立つ可能性があります。
NatoBoram 16

1
@NatoBoram - 「少なくとも、今私たちは、「BitLockerの詳細情報を持っている-十分に文書化機能の詳細については、著者の質問に答えていないしてください編集あなたの答え、それが直接、著者の疑問を解決するようにします。。
Ramhound

BitLockerはまた、提供してハードウェア暗号化を
NetwOrchestration

2
ドライブでのハードウェア暗号化操作がオペレーティングシステムから見えないからといって、CPUベースの暗号化を使用した方が全体的に高速になるほど、ドライブの動作が遅くならないわけではありません。
-simpleuser

-4

更新:この答えは正解であり、ハードウェアおよびセキュリティ運用における実際のエンタープライズエクスペリエンスの例だと思います。おそらく、私の最初の回答では詳細を提供できなかったため、ダウンボットが作成されましたが、コミュニティ全体からより決定的な回答を得るための思考プロセスについての洞察も得られました。Windowsのロッカーは発売以来侵害されており、よく知られた問題であり、エンタープライズWindows OSには含まれていませんが、セキュリティ/バンドエイドのレイヤーであるNSAバックドアのコンシューマーレベルパッケージで利用可能です。

Samsung EVO SSDの組み込み暗号化は、ネイティブに最適化されており、企業環境のセキュリティに最適なSSDの1つであるため、私の選択です。また、キーを紛失した場合、SamsungはSSDのシリアル番号を介して有料でロックを解除できます。


2
サムスンがシリアル番号を介してSSDのロックを解除できるという事実は、赤い旗です。Samsungは、シリアル番号に基づいてキーを作成するアルゴリズムを使用するか、キーを含むデータベースを使用します。
RSファイナンス

@RSFinanceに同意します。他の当事者が許可なく安全なデータを取得できる場合、安全ではありません。
ユタジャーヘッド

1
@RSFinanceこれは事実ではなく、ファンタジーです。Opal SSC準拠のドライブでは、これは設計上不可能です。使用前にドライブを適切に初期化したため、ベンダーが暗号化キーを知っているという理論的な可能性さえありません。実際のSamsung SSDのOpal SSCへの準拠を信頼していないかもしれませんが、これは別の話です。
UnclickableCharacter
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.