Mi sistema:

• Intel Core i7-4790, que admite AES-NI
• ASUS Z97-PRO mobo
• Samsung SSD EVO de 250 GB (con opción de cifrado incorporada)
• Windows 7 de 64 bits

Si solo quiero cifrar mi unidad de arranque con AES256 o similar, ¿cuál sería la diferencia / rendimiento más rápido / más seguro? Encienda Windows Bitlocker y no use el cifrado SSD, ni habilite el cifrado de unidad incorporado que ofrece el SSD, y no se preocupe por Bitlocker.

Estoy pensando que podría ser mejor descargar el cifrado en el SSD utilizando la opción de cifrado de Evo, para que el procesador no tenga que cifrar nada, esto podría ser mejor para el rendimiento de E / S y darle un respiro a la CPU ? ¿O dado que esta CPU tiene AES-NI podría no importar?

Soy nuevo en Bitlocker y esta opción de cifrado SSD, por lo que cualquier ayuda es muy apreciada.

Antigua pregunta, pero desde entonces se han encontrado varios desarrollos nuevos relacionados con Bitlocker y el cifrado de unidades (utilizados solos o en combinación), por lo que convertiré algunos de mis comentarios en la página en una respuesta. Tal vez sea útil para alguien que realice una búsqueda en 2018 y más adelante.

Bitlocker (solo):
ha habido varias formas de violar Bitlocker en su historia, afortunadamente, la mayoría de ellas ya han sido parcheadas / mitigadas en 2018. Lo que queda (conocido) incluye, por ejemplo, el "Cold Boot Attack", la versión más nueva de los cuales realmente no es específico de Bitlocker (necesita acceso físico a una computadora en funcionamiento y robar las claves de cifrado, y cualquier otra cosa, directamente de la memoria).

Cifrado de hardware de la unidad SSD y Bitlocker:
una nueva vulnerabilidad ha surgido en 2018; Si un disco SSD tiene cifrado de hardware, que la mayoría de los SSD tienen, Bitlocker solo usa eso. Lo que significa que si ese cifrado se ha descifrado, el usuario esencialmente no tiene protección en absoluto.
Las unidades que se sabe que padecen esta vulnerabilidad incluyen (pero probablemente no se limitan a):
Crucial MX100, MX200, MX300 series Samgung 840 EVO, 850 EVO, T3, T5

Más información sobre el problema de cifrado SSD aquí:
https://twitter.com/matthew_d_green/status/1059435094421712896

Y el documento real (como PDF) profundiza en el problema aquí:
t.co/UGTsvnFv9Y?amp=1

Entonces la respuesta realmente es; dado que Bitlocker usa el cifrado de hardware de los discos y tiene sus propias vulnerabilidades además de eso, es mejor que use el cifrado de hardware si su SSD no está en la lista de SSD agrietados.

Si su disco está en la lista, es mejor que use algo completamente diferente, ya que Bitlocker usaría el cifrado de la unidad de todos modos. Cuál es la pregunta; en Linux recomendaría LUKS, por ejemplo.

He estado investigando sobre esto y tengo una respuesta medio completa para ti.

1. Siempre es mejor usar cifrado basado en hardware en una unidad de autocifrado, si usa el cifrado basado en software en bitlocker u otro programa de cifrado, provocará una ralentización de entre el 25% y el 45% en las velocidades de lectura y escritura. podrías ver un mínimo de una caída del 10% en el rendimiento. (tenga en cuenta que debe tener una SSD con un chip TMP)

2. Bitlocker es compatible con el cifrado basado en hardware, puede usar Samsung Magic. v 4.9.6 (v5 ya no es compatible con esto) para borrar la unidad y habilitar el cifrado basado en hardware.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. puede habilitar el cifrado basado en hardware a través del BIOS configurando la contraseña maestra. Tendrá que seguir algunos de los pasos del artículo anterior, como desactivar CMS.

4. Para responder a su pregunta, no sé cuál es más rápido. Me puse en contacto con Samsung, pero dada la información limitada sobre esto. A menos que obtenga un desarrollador, dudo que obtenga una buena respuesta para cuál es la mejor opción. Por ahora planeo habilitar el cifrado basado en hardware en mi BIOS.

No estoy familiarizado con su unidad y las opciones de cifrado que ofrece, sin embargo, el cifrado de hardware se puede utilizar con múltiples sistemas operativos (por ejemplo, cuando desea iniciar Windows y Linux de forma dual), mientras que el cifrado de software puede ser más difícil de configurar. Además, la seguridad de ambos métodos depende de cómo y dónde almacene sus claves de cifrado.

Estoy pensando que podría ser mejor descargar el cifrado en el SSD utilizando la opción de cifrado de Evo, para que el procesador no tenga que cifrar, esto podría ser mejor para el rendimiento de E / S y darle un respiro a la CPU ?

Tiene razón, el cifrado basado en hardware no reduce la velocidad de procesamiento de la computadora.

Nunca he usado cifrado en ninguno de mis dispositivos, así que lamento no poder ayudarlo con el proceso real de habilitarlo. Tenga en cuenta que, en la mayoría de los casos, habilitar el cifrado hace que el disco se borre (BitLocker NO borra los datos, sin embargo, tiene una posibilidad extremadamente remota de corrupción, como ocurre con todo el software de cifrado en vivo). Si desea tener una unidad cifrada compatible con múltiples sistemas operativos que permanezca desbloqueada hasta que se apague la computadora, vaya con la función de cifrado de hardware que ofrece su disco duro. Pero, si desea algo un poco más seguro pero limitado a Windows, pruebe BitLocker. Espero haber ayudado!

Hagamos un poco de Wikipédia.

BitLocker

BitLocker es una función de cifrado de disco completo. Está diseñado para proteger los datos al proporcionar cifrado para volúmenes completos.

BitLocker es un sistema de cifrado de volumen lógico. Un volumen puede o no ser una unidad de disco duro completa, o puede abarcar una o más unidades físicas. Además, cuando está habilitado, TPM y BitLocker pueden garantizar la integridad de la ruta de arranque confiable (por ejemplo, BIOS, sector de arranque, etc.), para evitar la mayoría de los ataques físicos fuera de línea, malware del sector de arranque, etc.

Según Microsoft, BitLocker no contiene una puerta trasera incorporada intencionalmente; sin una puerta trasera, no hay forma de que las fuerzas del orden tengan un paso garantizado a los datos en las unidades del usuario que proporciona Microsoft.

Unidad de autocifrado

El cifrado basado en hardware cuando está integrado en la unidad o dentro del receptáculo de la unidad es notablemente transparente para el usuario. La unidad, excepto la autenticación de arranque, funciona como cualquier unidad sin degradación en el rendimiento. No hay complicaciones ni sobrecarga de rendimiento, a diferencia del software de cifrado de disco, ya que todo el cifrado es invisible para el sistema operativo y el procesador de las computadoras host.

Los dos casos de uso principales son la protección de datos en reposo y el borrado de disco criptográfico.

En la protección de datos en reposo, una computadora portátil simplemente se apaga. El disco ahora autoprotege todos los datos que contiene. Los datos están seguros porque todos ellos, incluso el sistema operativo, ahora están encriptados, con un modo seguro de AES y bloqueados para leer y escribir. La unidad requiere un código de autenticación que puede ser tan fuerte como 32 bytes (2 ^ 256) para desbloquear.

Las unidades de autocifrado típicas, una vez desbloqueadas, permanecerán desbloqueadas mientras se suministre energía. Los investigadores de la Universität Erlangen-Nürnberg han demostrado una serie de ataques basados ​​en mover el disco a otra computadora sin cortar la energía. Además, es posible reiniciar la computadora en un sistema operativo controlado por el atacante sin cortar la alimentación de la unidad.

Veredicto

Creo que las líneas más importantes son estas:

No hay complicaciones ni sobrecarga de rendimiento, a diferencia del software de cifrado de disco, ya que todo el cifrado es invisible para el sistema operativo y el procesador de las computadoras host.

Las unidades de autocifrado típicas, una vez desbloqueadas, permanecerán desbloqueadas mientras se suministre energía.

Debido a que BitLocker es un software de cifrado de disco, es más lento que el cifrado de disco completo basado en hardware. Sin embargo, la unidad de autocifrado permanece desbloqueada mientras tenga energía desde la última vez que se desbloqueó. Apagar la computadora asegurará la unidad.

Por lo tanto, tiene el BitLocker más seguro o la Unidad de autocifrado más eficiente.

Actualización: creo que esta respuesta fue correcta y un ejemplo de experiencia empresarial de la vida real en hardware y operaciones de seguridad. Tal vez no proporcioné detalles en mi respuesta inicial que creó los votos negativos, pero también proporcionó información sobre el proceso de pensamiento para una respuesta más concluyente de la comunidad en general. Windows pero el casillero se ha visto comprometido desde el lanzamiento y ha sido un problema bien conocido, y no se incluye en el sistema operativo Windows de la empresa, pero está disponible para paquetes de nivel de consumidor para una capa de seguridad / ayuda de banda, NSA Backdoor.

El cifrado integrado de Samsung EVO SSD sería mi elección, ya que está optimizado de forma nativa y es uno de los mejores SSD para seguridad en entornos corporativos. Además, si alguna vez pierde la clave, Samsung puede desbloquearla por una tarifa a través del número de serie en el SSD.