Meu sistema:

• Intel Core i7-4790, que suporta AES-NI
• ASUS Z97-PRO mobo
• SSD Samsung EVO de 250 GB (com opção de criptografia integrada)
• Windows 7 de 64 bits

Se eu apenas quero criptografar minha unidade de inicialização com AES256 ou similar, qual seria a diferença / desempenho mais rápido / mais seguro? Ative o Windows Bitlocker e não use a criptografia SSD, ou ative a criptografia de unidade interna que o SSD oferece, e não se preocupe com o Bitlocker?

Estou achando que talvez seja melhor descarregar a criptografia para o SSD usando a opção de criptografia do Evo, para que o processador não precise fazer nenhuma criptografia, isso pode ser melhor para o desempenho de E / S e dar um tempo à CPU ? Ou já que esta CPU possui AES-NI, isso pode não importar?

Eu sou novo no Bitlocker e nesta opção de criptografia SSD, então qualquer ajuda é muito apreciada.

Pergunta antiga, mas desde então vários novos desenvolvimentos foram encontrados sobre o Bitlocker e a criptografia de unidade (usados ​​sozinhos ou em combinação), por isso vou transformar alguns dos meus comentários na página em uma resposta. Talvez seja útil para alguém que faz uma pesquisa em 2018 e depois.

Bitlocker (sozinho):
Existem várias maneiras de violar o Bitlocker em sua história, felizmente a maioria delas já foi corrigida / mitigada em 2018. O que resta (conhecido) inclui, por exemplo, o "Cold Boot Attack" - a versão mais recente dos quais realmente não são específicos do Bitlocker (você precisa de acesso físico a um computador em execução e rouba as chaves de criptografia e qualquer outra coisa, diretamente da memória).

Criptografia de hardware de unidade SSD e Bitlocker:
Uma nova vulnerabilidade surgiu em 2018; se um disco SSD tiver criptografia de hardware, como a maioria dos SSDs, o Bitlocker usará somente isso. O que significa que, se essa criptografia em si foi quebrada, o usuário não tem proteção.
As unidades conhecidas por sofrerem desta vulnerabilidade incluem (mas provavelmente não se limitam a):
Série crucial MX100, MX200, MX300 Samgung 840 EVO, 850 EVO, T3, T5

Mais informações sobre o problema de criptografia SSD aqui:
https://twitter.com/matthew_d_green/status/1059435094421712896

E o artigo real (em PDF) aprofundando o problema aqui:
t.co/UGTsvnFv9Y?amp=1

Então a resposta é realmente; como o Bitlocker usa a criptografia de hardware dos discos e possui suas próprias vulnerabilidades, é melhor usar a criptografia de hardware se o seu SSD não estiver na lista de SSDs rachados.

Se o seu disco estiver na lista, é melhor usar algo totalmente diferente, já que o Bitlocker usaria a criptografia da unidade de qualquer maneira. Qual é a pergunta; no Linux eu recomendaria o LUKS, por exemplo.

Eu estive pesquisando sobre isso e tenho uma resposta meia completa para você.

1. É sempre melhor usar criptografia baseada em hardware em uma unidade de criptografia automática, se você usar a criptografia baseada em software no bitlocker ou em outro programa de criptografia, isso causará uma desaceleração de 25% a 45% nas velocidades de gravação de leitura. você pode ver uma queda mínima de 10% no desempenho. (observe que você deve ter um SSD com um chip TMP)

2. Bitlocker é compatível com criptografia baseada em hardware, você pode usar o Samsung Magic. v 4.9.6 (a v5 não suporta mais isso) para limpar a unidade e ativar a criptografia baseada em hardware.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. você pode ativar a criptografia baseada em hardware através do BIOS, definindo a senha mestra. Você precisará seguir algumas das etapas do artigo acima, como desativar o CMS.

4. Para responder sua pergunta, eu realmente não sei o que é mais rápido. Entrei em contato com a Samsung, mas recebi as informações limitadas sobre isso. A menos que eu tenha um desenvolvedor, duvido que tenha uma boa resposta para qual é a melhor opção. Por enquanto, pretendo ativar a criptografia baseada em hardware na minha bios.

Não conheço sua unidade e as opções de criptografia que ela oferece, no entanto, a criptografia de hardware pode ser usada com vários sistemas operacionais (por exemplo, quando você deseja inicializar duas vezes o Windows e o Linux), enquanto a criptografia de software pode ser mais difícil de configurar. Além disso, a segurança de ambos os métodos depende de como e onde você armazena suas chaves de criptografia.

Eu acho que talvez seja melhor descarregar a criptografia para o SSD usando a opção de criptografia do Evo, para que o processador não precise fazer nenhuma criptografia, isso pode ser melhor para o desempenho de E / S e dar um tempo à CPU ?

Você está certo, a criptografia baseada em hardware não diminui a velocidade de processamento do computador.

Eu nunca usei criptografia em nenhum dos meus dispositivos, então, desculpe-me por não poder ajudá-lo com o processo real de habilitá-lo. Observe que, na maioria dos casos, a habilitação da criptografia faz com que a unidade seja apagada (o BitLocker NÃO apaga dados, no entanto, há uma chance extremamente remota de corrupção, como ocorre com todos os softwares de criptografia ao vivo). Se você deseja ter uma unidade criptografada compatível com vários sistemas operacionais que permanece desbloqueada até o computador desligar, vá com o recurso de criptografia de hardware que o seu disco rígido oferece. Mas, se você quiser algo um pouco mais seguro, mas limitado ao Windows, experimente o BitLocker. Espero ter ajudado!

Vamos fazer uma Wikipédia.

BitLocker

O BitLocker é um recurso de criptografia de disco completo. Ele foi projetado para proteger os dados, fornecendo criptografia para volumes inteiros.

O BitLocker é um sistema de criptografia de volume lógico. Um volume pode ou não ser uma unidade de disco rígido inteira ou pode abranger uma ou mais unidades físicas. Além disso, quando ativado, o TPM e o BitLocker podem garantir a integridade do caminho de inicialização confiável (por exemplo, BIOS, setor de inicialização, etc.), a fim de evitar a maioria dos ataques físicos offline, malware no setor de inicialização, etc.

Segundo a Microsoft, o BitLocker não contém um backdoor intencionalmente interno; sem backdoor, não há como a aplicação da lei ter uma passagem garantida para os dados nas unidades do usuário fornecidos pela Microsoft.

Unidade com criptografia automática

A criptografia baseada em hardware quando incorporada à unidade ou dentro do gabinete da unidade é notavelmente transparente para o usuário. A unidade, exceto a autenticação de inicialização, opera como qualquer unidade sem degradação no desempenho. Não há complicação ou sobrecarga de desempenho, diferentemente do software de criptografia de disco, pois toda a criptografia é invisível para o sistema operacional e o processador dos computadores host.

Os dois principais casos de uso são proteção de dados em repouso e exclusão de disco criptográfico.

Na proteção de dados em repouso, um laptop é simplesmente desligado. O disco agora protege automaticamente todos os dados nele. Os dados são seguros, porque agora todos eles, mesmo o sistema operacional, são criptografados, com um modo seguro de AES, e impedidos de ler e escrever. A unidade requer um código de autenticação que pode ser tão forte quanto 32 bytes (2 ^ 256) para desbloquear.

As unidades de criptografia automática, uma vez desbloqueadas, permanecerão desbloqueadas enquanto houver energia. Pesquisadores da Universität Erlangen-Nürnberg demonstraram uma série de ataques baseados em mover a unidade para outro computador sem cortar a energia. Além disso, pode ser possível reiniciar o computador em um sistema operacional controlado por invasor sem cortar a energia da unidade.

Veredito

Eu acho que as linhas mais importantes são estas:

Não há complicação ou sobrecarga de desempenho, diferentemente do software de criptografia de disco, pois toda a criptografia é invisível para o sistema operacional e o processador dos computadores host.

As unidades de criptografia automática, uma vez desbloqueadas, permanecerão desbloqueadas enquanto houver energia.

Como o BitLocker é um software de criptografia de disco, é mais lento que a criptografia de disco completo baseada em hardware. No entanto, a unidade de criptografia automática permanece desbloqueada desde que tenha energia desde a última vez que foi desbloqueada. Desligar o computador protegerá a unidade.

Portanto, você tem o BitLocker mais seguro ou a Unidade de auto-criptografia mais eficiente.

Atualização: acredito que esta resposta foi correta e um exemplo da experiência empresarial da vida real em operações de hardware e segurança. Talvez eu tenha falhado em fornecer detalhes em minha resposta inicial, que criou os votos negativos, mas também forneceu informações sobre o processo de pensamento para obter uma resposta mais conclusiva da comunidade como um todo. O Windows, mas o armário, está comprometido desde o lançamento e tem sido um problema conhecido, e não está incluído no sistema operacional Windows da empresa, mas está disponível para pacotes no nível do consumidor para uma camada de segurança / band band, NSA Backdoor.

A criptografia incorporada dos SSDs EVO da Samsung seria minha escolha, pois é nativamente otimizada e um dos melhores SSDs existentes para segurança em ambientes corporativos. Além disso, se você perder a chave, a Samsung poderá desbloqueá-la mediante taxa através do número de série no SSD.