Sistem saya:
- Intel Core i7-4790, yang mendukung AES-NI
- ASUS Z97-PRO mobo
- Samsung 250GB EVO SSD (dengan opsi enkripsi bawaan)
- 64-bit Windows 7
Jika saya hanya ingin mengenkripsi boot drive saya dengan AES256 atau yang serupa, apa bedanya / kinerja lebih cepat / lebih aman? Aktifkan Windows Bitlocker dan jangan gunakan enkripsi SSD, atau aktifkan enkripsi drive bawaan yang ditawarkan SSD, dan jangan khawatir tentang Bitlocker?
Saya pikir mungkin lebih baik untuk membongkar enkripsi ke SSD dengan menggunakan opsi enkripsi Evo, sehingga prosesor tidak harus melakukan enkripsi apa pun, ini mungkin lebih baik untuk kinerja I / O dan memberikan CPU nafas. ? Atau karena CPU ini memiliki AES-NI, itu mungkin tidak masalah?
Saya baru mengenal Bitlocker dan opsi enkripsi SSD ini, jadi bantuan apa pun sangat kami hargai.
Jawaban:
Pertanyaan lama, tetapi sejak itu beberapa perkembangan baru telah ditemukan mengenai Bitlocker dan enkripsi drive (digunakan baik sendiri atau dalam kombinasi), jadi saya akan mengubah beberapa komentar saya di halaman menjadi sebuah jawaban. Mungkin ini berguna bagi seseorang yang melakukan pencarian pada tahun 2018 dan yang lebih baru.
Bitlocker (sendiri):
Ada beberapa cara untuk menembus Bitlocker dalam sejarahnya, untungnya sebagian besar dari mereka telah ditambal / dimitigasi pada tahun 2018. Yang tersisa (diketahui) termasuk, misalnya, "Cold Boot Attack" - versi terbaru yang sebenarnya bukan Bitlocker spesifik (Anda memerlukan akses fisik ke komputer yang sedang berjalan dan mencuri kunci enkripsi, dan apa pun, langsung dari memori).
Enkripsi perangkat keras drive SSD dan Bitlocker:
Kerentanan baru telah muncul pada tahun 2018; jika disk SSD memiliki enkripsi perangkat keras, yang dimiliki sebagian besar SSD, Bitlocker secara default hanya menggunakan itu. Yang berarti bahwa jika enkripsi itu sendiri telah dipecahkan, pengguna pada dasarnya tidak memiliki perlindungan sama sekali.
Drive yang diketahui menderita kerentanan ini termasuk (tetapi mungkin tidak terbatas pada):
Seri MX100, MX200, MX300 Krusial Samgung 840 EVO, 850 EVO, T3, T5
Informasi lebih lanjut tentang masalah enkripsi SSD di sini:
https://twitter.com/matthew_d_green/status/1059435094421712896
Dan makalah yang sebenarnya (sebagai PDF) menggali lebih dalam masalah di sini:
t.co/UGTsvnFv9Y?amp=1
Jadi jawabannya adalah; karena Bitlocker menggunakan enkripsi perangkat keras disk, dan selain itu memiliki kerentanan sendiri, Anda lebih baik menggunakan enkripsi perangkat keras jika SSD Anda tidak ada dalam daftar SSD yang retak.
Jika disk Anda ada dalam daftar, Anda sebaiknya menggunakan sesuatu yang lain karena Bitlocker akan tetap menggunakan enkripsi drive. Apa pertanyaannya; di Linux saya akan merekomendasikan LUKS, misalnya.
sumber
Saya sudah melakukan riset tentang ini dan memiliki jawaban setengah lengkap untuk Anda.
Itu selalu lebih baik untuk menggunakan enkripsi berbasis perangkat keras pada drive enkripsi diri, jika Anda menggunakan enkripsi berbasis perangkat lunak pada bitlocker atau program enkripsi lain, itu akan menyebabkan di mana saja antara 25% dan 45% penurunan kecepatan baca tulis. Anda bisa melihat penurunan kinerja minimal 10%. (perhatikan Anda harus memiliki SSD dengan chip TMP)
Bitlocker kompatibel dengan enkripsi berbasis perangkat keras, Anda dapat menggunakan samsung magic. v 4.9.6 (v5 tidak lagi mendukung ini) untuk menghapus drive dan mengaktifkan enkripsi berbasis perangkat keras.
http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/
Anda dapat mengaktifkan enkripsi berbasis perangkat keras melalui BIOS dengan menetapkan kata sandi utama. Anda harus mengikuti beberapa langkah dalam artikel di atas, seperti mematikan CMS.
Untuk menjawab pertanyaan Anda, saya tidak tahu mana yang lebih cepat. Saya telah menghubungi Samsung tetapi memberikan info terbatas tentang ini. Kecuali jika saya mendapatkan pengembang, saya ragu saya akan mendapatkan jawaban yang bagus untuk opsi yang lebih baik. Untuk saat ini saya berencana untuk mengaktifkan enkripsi berbasis perangkat keras di bios saya.
sumber
Saya tidak terbiasa dengan drive Anda dan opsi enkripsi yang ditawarkannya, namun enkripsi perangkat keras dapat digunakan dengan beberapa sistem operasi (misalnya ketika Anda ingin dual-boot Windows dan Linux), sedangkan enkripsi perangkat lunak mungkin lebih sulit untuk dikonfigurasi. Juga, keamanan kedua metode tergantung pada bagaimana dan di mana Anda menyimpan kunci enkripsi Anda.
Anda benar, enkripsi berbasis perangkat keras tidak menurunkan kecepatan pemrosesan komputer.
Saya belum pernah menggunakan enkripsi pada salah satu perangkat saya, jadi saya minta maaf karena saya tidak dapat membantu Anda dengan proses mengaktifkannya yang sebenarnya. Harap perhatikan bahwa dalam sebagian besar kasus, mengaktifkan enkripsi menyebabkan drive terhapus (BitLocker TIDAK menghapus data, tetapi memiliki peluang korupsi yang sangat jauh, seperti halnya dengan semua peranti lunak enkripsi langsung). Jika Anda ingin memiliki drive terenkripsi yang kompatibel dengan multi-OS yang tetap tidak terkunci sampai komputer dimatikan, gunakan fitur enkripsi perangkat keras yang ditawarkan oleh hard drive Anda. Tetapi, jika Anda menginginkan sesuatu yang sedikit lebih aman tetapi terbatas pada Windows, cobalah BitLocker. Semoga saya bisa membantu!
sumber
hardware-based encryption is generally more secure
salah. Mungkin lebih cepat, tetapi keamanan tergantung pada standar enkripsi, bukan perangkat keras atau perangkat lunak, karena terlepas dari bagaimana Anda mengenkripsi file, output akan sama dengan kunci yang samaMari kita lakukan beberapa Wikipédia.
BitLocker
Drive Pengenkripsi Otomatis
Putusan
Saya pikir kalimat yang paling penting adalah:
Karena BitLocker adalah perangkat lunak enkripsi disk, BitLocker lebih lambat daripada enkripsi disk penuh berbasis perangkat keras. Namun, Self-Encrypting Drive tetap tidak terkunci selama masih memiliki daya sejak terakhir kali tidak terkunci. Mematikan komputer akan mengamankan drive.
Jadi, Anda memiliki BitLocker yang lebih aman atau Self-Encrypting Drive yang lebih performan.
sumber
Pembaruan: Saya yakin jawaban ini benar dan merupakan contoh pengalaman perusahaan dalam kehidupan nyata di bidang perangkat keras dan keamanan. Mungkin saya gagal memberikan perincian dalam jawaban awal saya yang menciptakan downvotes tetapi juga memberikan wawasan ke dalam proses pemikiran untuk jawaban yang lebih konklusif dari masyarakat secara keseluruhan. Windows tetapi loker telah dikompromikan sejak diluncurkan dan telah menjadi masalah yang terkenal, dan tidak termasuk dalam OS Windows perusahaan tetapi tersedia untuk paket tingkat konsumen untuk lapisan bantuan keamanan / band, NSA Backdoor.
Enkripsi bawaan Samsung EVO SSD akan menjadi pilihan saya karena dioptimalkan secara asli dan salah satu SSD terbaik di luar sana untuk keamanan di lingkungan perusahaan. Juga jika Anda kehilangan kunci, Samsung dapat membukanya dengan bayaran melalui seri # pada SSD.
sumber