¿Qué cifra realmente BitLocker y cuándo?

Necesito cifrado de disco completo para las computadoras portátiles comerciales que ejecutan una versión actual de Windows 10 Pro. Las computadoras tienen una unidad SSD NVMe de Samsung y una CPU Intel Core i5-8000.

Según algunas investigaciones web de la actualidad, actualmente solo hay dos opciones disponibles: Microsoft BitLocker y VeraCrypt. Soy plenamente consciente del estado del código abierto y cerrado y de las implicaciones de seguridad que conlleva.

Después de leer alguna información sobre BitLocker, que nunca antes había usado, tengo la impresión de que comenzar con Windows 10 BitLocker solo cifra los datos recién escritos en el disco, pero no todo lo que ya existe, por razones de rendimiento. (Esa documentación dice que tengo una opción, pero no la tengo. No me preguntaron qué quería después de activarla). He usado el cifrado del sistema TrueCrypt en el pasado y sé que el cifrado de datos existente es una tarea visible que requiere unas pocas horas. No puedo observar ese comportamiento con BitLocker. No hay actividad de disco o CPU de fondo notable.

Activar BitLocker es realmente fácil. Haga clic en un botón, guarde la clave de recuperación en un lugar seguro, listo. El mismo proceso con VeraCrypt me hizo abandonar la idea. Necesitaba crear un dispositivo de recuperación totalmente funcional, incluso con fines de prueba en un sistema desechable.

También he leído que VeraCrypt actualmente tiene una falla de diseño que hace que algunos SSD NVMe sean extremadamente lentos con el cifrado del sistema. No puedo verificarlo porque la configuración es demasiado complicada. Al menos después de activar BitLocker, no puedo ver un cambio significativo en el rendimiento del disco. Además, el equipo de VeraCrypt no tiene recursos suficientes para corregir ese "error complicado". Además, las actualizaciones de Windows 10 no pueden funcionar con VeraCrypt en su lugar , lo que hace que sea necesario eliminar y cifrar el disco completo con frecuencia. Espero que BitLocker funcione mejor aquí.

Así que estoy casi decidido a usar BitLocker. Pero necesito entender lo que hace. Desafortunadamente, casi no hay información al respecto en línea. La mayoría consiste en publicaciones de blog que ofrecen una visión general pero no información concisa en profundidad. Entonces estoy preguntando aquí.

Después de activar BitLocker en un sistema de unidad única, ¿qué sucede con los datos existentes? ¿Qué pasa con los nuevos datos? ¿Qué significa "suspender BitLocker"? (No es lo mismo que desactivarlo permanentemente y descifrar todos los datos en el disco). ¿Cómo puedo verificar el estado de cifrado o forzar el cifrado de todos los datos existentes? (No me refiero al espacio no utilizado, no me importa eso, y es necesario para los SSD, vea TRIM). ¿Hay algunos datos y acciones más detallados sobre BitLocker además de "suspender" y "descifrar"?

Y tal vez en una nota al margen, ¿cómo se relaciona BitLocker con EFS (sistema de archivos cifrados)? Si solo se cifran los archivos recién escritos, EFS parece tener un efecto muy similar. Pero sé cómo operar EFS, es mucho más comprensible.

— ygoe
fuente

La activación de BitLocker iniciará un proceso en segundo plano que cifra todos los datos existentes. (En los discos duros, esto tradicionalmente es un proceso largo, ya que necesita leer y reescribir cada sector de partición; en discos de autocifrado puede ser instantáneo). Entonces, cuando se dice que solo los datos recién escritos se cifran, eso se refiere al estado de inmediato después de la activación de BitLocker y ya no es cierto una vez que finaliza la tarea de cifrado en segundo plano. El estado de este proceso se puede ver en la misma ventana del panel de control de BitLocker y se puede detener si es necesario.

El artículo de Microsoft debe leerse con cuidado: en realidad se trata de cifrar solo las áreas usadas del disco. Se limitan a anunciar esto como tener el mayor impacto en los sistemas frescos, en los que no tiene ningún dato sin embargo , además de la base del sistema operativo (y por lo tanto, todos los datos serán "recién escritos"). Es decir, Windows 10 se encripta todos los archivos existentes después de la activación - que simplemente no será un desperdicio de sectores de disco tiempo cifrar que no contienen nada todavía. (Puede optar por esta optimización a través de la Política de grupo).

(El artículo también señala un inconveniente: las áreas que anteriormente contenían archivos eliminados también se omitirán como "no utilizadas". Por lo tanto, si encripta un sistema bien utilizado, limpie el espacio libre con una herramienta y luego deje que Windows ejecute TRIM si tiene un SSD, todo antes de activar BitLocker. O use la Política de grupo para deshabilitar este comportamiento).

También en el mismo artículo, se mencionan versiones recientes de Windows que admiten SSD de autocifrado que utilizan el estándar OPAL. Entonces, la razón por la que no ve ninguna E / S en segundo plano puede ser porque el SSD se cifró internamente desde el primer día, y BitLocker lo reconoció y solo se hizo cargo de la administración de claves a nivel de SSD en lugar de duplicar el esfuerzo de cifrado a nivel del sistema operativo. Es decir, el SSD ya no se desbloquea al encenderse, pero requiere que Windows lo haga. Esto se puede deshabilitar a través de la Política de grupo, si prefiere que el sistema operativo maneje el cifrado independientemente.

Al suspender BitLocker, se escribe una copia de texto sin formato de la clave 'maestra' directamente en el disco. (Por lo general, esta clave maestra se cifra primero con su contraseña o con un TPM). Mientras está suspendida, esto permite que el disco se desbloquee por sí solo, claramente un estado inseguro, pero permite que Windows Update reprograme el TPM para que coincida con el sistema operativo actualizado , por ejemplo. Reanudar BitLocker simplemente borra esta clave simple del disco.

BitLocker no está relacionado con EFS: este último funciona a nivel de archivo, asociando claves a cuentas de usuario de Windows (lo que permite una configuración detallada pero hace que sea imposible cifrar los propios archivos del sistema operativo), mientras que el primero funciona a nivel de disco completo. Se pueden usar juntos, aunque BitLocker en su mayoría hace que EFS sea redundante.

(Tenga en cuenta que tanto BitLocker como EFS tienen mecanismos para que los administradores corporativos de Active Directory recuperen los datos cifrados, ya sea haciendo una copia de seguridad de la clave maestra de BitLocker en AD o agregando un agente de recuperación de datos EFS a todos los archivos).

— Gravedad
fuente

Buena descripción, gracias. Con respecto a la última oración: veo muchos casos de uso: BitLocker cifra mi disco duro contra personas ajenas a la empresa, pero mi grupo de TI puede acceder a todos los datos en mi ausencia, ya que tienen la clave maestra. EFS funciona bien para documentos a los que no quiero que mi departamento de TI o mi gerente puedan acceder.

— Aganju

@Aganju: El mismo grupo de TI probablemente ya ha implementado una política que designa un agente de recuperación de datos EFS . Si tiene documentos a los que no desea que acceda su departamento de TI, no los almacene en ningún dispositivo de la empresa.

— Grawity

"Bitlocker (...) encripta todos los datos existentes (...) funciona a nivel de disco completo" -> olvidó mencionar las particiones. Con un HDD con 2 particiones, activé Bitlocker para encriptar solo 1 de ellas (la que tiene los datos, no el sistema operativo). Al arrancar con un sistema operativo basado en Linux, solo se pueden leer los datos de la partición no cifrada.

— CPHPython

@CPHPython: Verdadero, y aquí es donde probablemente se vuelve inconsistente: en el modo de software puede cifrar solo una partición, pero en el modo SSD (OPAL2) no estoy seguro de si esa capacidad existe. Creo que bloquea todo el disco y (por lo que pude entender OPAL) el 'PBA' lo desbloqueará antes de que se ejecute cualquier sistema operativo.

— Grawity