Apa yang sebenarnya dienkripsi BitLocker dan kapan?

34

Saya memerlukan enkripsi disk penuh untuk komputer laptop bisnis yang menjalankan versi Windows 10 Pro saat ini. Komputer memiliki drive NVMe SSD dari Samsung dan Intel Core i5-8000 CPU.

Dari beberapa penelitian web hari ini, saat ini hanya ada dua opsi yang tersedia: Microsoft BitLocker dan VeraCrypt. Saya sepenuhnya menyadari keadaan sumber terbuka dan tertutup dan implikasi keamanan yang menyertainya.

Setelah membaca beberapa informasi tentang BitLocker, yang belum pernah saya gunakan sebelumnya, saya mendapat kesan bahwa mulai dengan Windows 10 BitLocker hanya mengenkripsi data yang baru ditulis pada disk tetapi tidak semua yang sudah ada, karena alasan kinerja. (Dokumentasi itu mengatakan saya punya pilihan, tetapi saya tidak punya. Mereka tidak bertanya kepada saya apa yang saya inginkan setelah mengaktifkannya.) Saya telah menggunakan enkripsi sistem TrueCrypt di masa lalu dan tahu bahwa enkripsi data yang ada adalah tugas yang terlihat yang membutuhkan beberapa jam. Saya tidak bisa mengamati perilaku seperti itu dengan BitLocker. Tidak ada latar belakang CPU atau aktivitas disk yang nyata.

Mengaktifkan BitLocker sangat mudah. Klik sebuah tombol, simpan kunci pemulihan di tempat yang aman, selesai. Proses yang sama dengan VeraCrypt membuat saya meninggalkan ide itu. Saya harus benar-benar membuat perangkat pemulihan yang berfungsi penuh, bahkan untuk tujuan pengujian pada sistem yang dibuang.

Saya juga membaca bahwa VeraCrypt saat ini memiliki cacat desain yang membuat beberapa SSD NVMe sangat lambat dengan enkripsi sistem. Saya tidak dapat memverifikasi karena pengaturannya terlalu rumit. Setidaknya setelah mengaktifkan BitLocker, saya tidak bisa melihat perubahan signifikan dalam kinerja disk. Juga tim VeraCrypt memiliki sumber daya yang tidak cukup untuk memperbaiki "bug yang rumit" itu. Selain itu, pemutakhiran Windows 10 tidak dapat beroperasi dengan VeraCrypt di tempat , yang membuat disk dan enkripsi penuh sering diperlukan. Saya harap BitLocker bekerja lebih baik di sini.

Jadi saya hampir memutuskan untuk menggunakan BitLocker. Tetapi saya perlu memahami apa fungsinya. Sayangnya, hampir tidak ada informasi tentang itu secara online. Sebagian besar terdiri dari posting blog yang memberikan ikhtisar tetapi tidak ada informasi mendalam yang singkat. Jadi saya bertanya di sini.

Setelah mengaktifkan BitLocker pada sistem drive tunggal, apa yang terjadi pada data yang ada? Apa yang terjadi pada data baru? Apa artinya "menangguhkan BitLocker"? (Tidak sama dengan menonaktifkannya secara permanen dan karenanya mendekripsi semua data pada disk.) Bagaimana saya bisa memeriksa status enkripsi atau memaksa enkripsi semua data yang ada? (Maksud saya bukan ruang yang tidak digunakan, saya tidak peduli tentang itu, dan itu diperlukan untuk SSD, lihat TRIM.) Apakah ada beberapa data dan tindakan yang lebih detail tentang BitLocker selain "menangguhkan" dan "mendekripsi"?

Dan mungkin di sisi catatan, bagaimana BitLocker berhubungan dengan EFS (sistem file terenkripsi)? Jika hanya file yang baru ditulis yang dienkripsi, EFS tampaknya memiliki efek yang sangat mirip. Tapi saya tahu cara mengoperasikan EFS, itu jauh lebih dimengerti.

ygoe
sumber

Jawaban:

41

Mengaktifkan BitLocker akan memulai proses latar belakang yang mengenkripsi semua data yang ada. (Pada HDD, ini secara tradisional adalah proses yang panjang karena perlu membaca dan menulis ulang setiap sektor partisi - pada disk yang dapat dienkripsi sendiri dapat instan). Jadi ketika dikatakan bahwa hanya data yang baru dituliskan yang dienkripsi, yang merujuk pada keadaan segera setelah aktivasi BitLocker dan tidak lagi benar setelah tugas enkripsi latar belakang selesai. Status proses ini dapat dilihat di jendela panel kontrol BitLocker yang sama, dan dijeda jika perlu.

Artikel Microsoft perlu dibaca dengan hati-hati: sebenarnya berbicara tentang mengenkripsi hanya area yang digunakan pada disk. Mereka hanya mengiklankan ini sebagai memiliki dampak terbesar pada sistem segar, di mana Anda tidak memiliki data belum selain dasar OS (dan karena itu semua data akan "baru ditulis"). Artinya, Windows 10 akan mengenkripsi semua file Anda yang sudah ada setelah aktivasi - itu hanya tidak akan membuang waktu mengenkripsi sektor disk yang belum mengandung apa pun. (Anda dapat menyisih dari optimasi ini melalui Kebijakan Grup.)

(Artikel ini juga menunjukkan kelemahan: area yang sebelumnya menyimpan file yang dihapus juga akan dilewati sebagai "tidak digunakan". Jadi jika mengenkripsi sistem yang digunakan dengan baik, lakukan penghapusan ruang kosong menggunakan alat, dan kemudian biarkan Windows menjalankan TRIM jika Anda memiliki SSD, semuanya sebelum mengaktifkan BitLocker. Atau gunakan Kebijakan Grup untuk menonaktifkan perilaku ini.)

Dalam artikel yang sama, juga disebutkan versi Windows terbaru yang mendukung SSD yang mengenkripsi sendiri menggunakan standar OPAL. Jadi alasan mengapa Anda tidak melihat latar belakang I / O mungkin karena SSD dienkripsi secara internal sejak hari pertama, dan BitLocker mengenali ini dan hanya mengambil alih manajemen kunci tingkat SSD alih-alih menduplikasi upaya enkripsi pada tingkat OS. Artinya, SSD tidak lagi membuka sendiri daya, tetapi mengharuskan Windows melakukannya. Ini dapat dinonaktifkan melalui Kebijakan Grup, jika Anda lebih suka OS untuk menangani enkripsi apa pun.

BitLocker yang ditangguhkan menyebabkan salinan plaintext dari kunci 'master' yang akan ditulis langsung ke disk. (Biasanya kunci master ini pertama kali dienkripsi dengan kata sandi Anda atau dengan TPM.) Saat diskors, ini memungkinkan disk untuk dibuka sendiri - jelas keadaan tidak aman, tetapi memungkinkan Pembaruan Windows untuk memprogram ulang TPM agar sesuai dengan OS yang ditingkatkan. , sebagai contoh. Melanjutkan BitLocker cukup menghapus kunci biasa ini dari disk.

BitLocker tidak terkait dengan EFS - yang terakhir bekerja pada level file, mengaitkan kunci ke akun pengguna Windows (memungkinkan konfigurasi berbutir halus tetapi membuatnya mustahil untuk mengenkripsi file OS sendiri), sedangkan yang terdahulu bekerja pada level seluruh disk. Mereka dapat digunakan bersama, meskipun BitLocker sebagian besar membuat EFS berlebihan.

(Perhatikan bahwa baik BitLocker dan EFS memiliki mekanisme untuk administrator Active Directory perusahaan untuk memulihkan data yang dienkripsi - apakah dengan membuat cadangan kunci utama BitLocker di AD, atau dengan menambahkan agen pemulihan data EFS ke semua file.)

grawity
sumber
Gambaran yang bagus, terima kasih. Mengenai kalimat terakhir: Saya melihat banyak kasus penggunaan - BitLocker mengenkripsi hard disk saya terhadap orang-orang di luar perusahaan, tetapi grup IT saya dapat mengakses semua data jika saya tidak ada, karena mereka memiliki kunci utama. EFS berfungsi dengan baik untuk dokumen yang saya tidak ingin dapat diakses oleh departemen TI atau manajer saya.
Aganju
6
@ Agganju: Grup IT yang sama mungkin telah menerapkan kebijakan yang menunjuk agen pemulihan data EFS . Jika Anda memiliki dokumen yang tidak ingin diakses departemen TI Anda, jangan menyimpannya di perangkat perusahaan sama sekali.
grawity
2
"Bitlocker (...) mengenkripsi semua data yang ada (...) bekerja pada level seluruh disk" -> Anda lupa menyebutkan partisi. Dengan HDD dengan 2 partisi, saya mengaktifkan Bitlocker untuk mengenkripsi hanya 1 di antaranya (satu dengan data, bukan OS). Saat boot dengan OS berbasis linux, hanya data dari partisi yang tidak terenkripsi yang dapat dibaca.
CPHPython
@ CPHPython: Benar, dan di sinilah ia mungkin menjadi tidak konsisten - dalam mode perangkat lunak hanya dapat mengenkripsi partisi, tetapi dalam mode SSD (OPAL2) saya tidak yakin apakah kemampuan itu ada. Saya pikir itu mengunci seluruh drive dan (sejauh yang saya berhasil memahami OPAL) yang 'PBA' akan membuka sebelum setiap OS berjalan.
grawity