web-dev-qa-db-fra.com

Est-il préférable d'utiliser Bitlocker ou le cryptage de lecteur intégré proposé par mon disque SSD?

Mon système:

  • Intel Core i7-4790, qui prend en charge AES-NI
  • Mobo ASUS Z97-PRO
  • Samsung SSD EVO 250 Go (avec option de cryptage intégrée)
  • Windows 7 64 bits

Si je veux juste chiffrer mon lecteur de démarrage avec AES256 ou similaire, quelle serait la différence/performance plus rapide/plus sécurisé? Activez Windows Bitlocker et n'utilisez pas le cryptage SSD, ou activez le cryptage de lecteur intégré offert par le SSD. Ne vous inquiétez pas pour Bitlocker?

Je pense qu'il serait peut-être préférable de décharger le cryptage sur le SSD en utilisant l'option de cryptage de l'Evo, afin que le processeur n'ait pas à crypter, cela pourrait être meilleur pour les performances d'E/S et donner un répit à la CPU ? Ou puisque ce processeur a AES-NI, cela n'a peut-être pas d'importance?

Bitlocker et cette option de cryptage SSD étant nouvelle pour moi, toute aide est la bienvenue.

ssdbitlockerdisk-encryptionaesopal-ssc
17
Eddie

Ancienne question, mais depuis lors, plusieurs nouveaux développements ont été découverts concernant le cryptage de Bitlocker et du lecteur (utilisé seul ou en combinaison), je vais donc donner quelques réponses à mes commentaires sur la page. Peut-être est-il utile pour quelqu'un de faire une recherche en 2018 et après.

Bitlocker (seul):
Il existe de nombreuses façons de briser Bitlocker dans son histoire. Heureusement, la plupart d’entre elles ont déjà été corrigées/atténuées en 2018. Ce qui reste (connu) comprend, par exemple, le "Cold Boot Attack" - la dernière version dont ce n’est vraiment pas spécifique à Bitlocker (vous devez avoir un accès physique à un ordinateur en marche et voler les clés de cryptage, et tout le reste, directement dans la mémoire).

Chiffrement matériel du lecteur SSD et Bitlocker:
Une nouvelle vulnérabilité est apparue en 2018; Si un disque SSD dispose d'un cryptage matériel, comme la plupart des SSD, Bitlocker utilise par défaut uniquement celui-ci. Ce qui signifie que si ce cryptage est lui-même fissuré, l'utilisateur ne dispose d'aucune protection.
Les lecteurs dont on sait qu’ils souffrent de cette vulnérabilité comprennent (mais ne se limitent probablement pas à):
Série Crucial MX100, MX200, MX300 Samgung 840 EVO, 850 EVO, T3, T5

Plus d'informations sur le problème de cryptage SSD ici:
https://Twitter.com/matthew_d_green/status/1059435094421712896

Et le document proprement dit (au format PDF) approfondit le problème ici:
t.co/UGTsvnFv9Y?amp=1

Donc, la réponse est vraiment; Étant donné que Bitlocker utilise le chiffrement matériel des disques et comporte ses propres vulnérabilités, il vaut mieux utiliser le chiffrement matériel si votre disque SSD ne figure pas dans la liste des disques SSD fissurés.

Si votre disque est dans la liste, il est préférable d’utiliser quelque chose d’autre, puisque Bitlocker utilisera le chiffrement de lecteur de toute façon. Quelle est la question; sur Linux, je recommanderais LUKS, par exemple.

3
DocWeird

J'ai fait des recherches à ce sujet et j'ai une réponse à moitié complète pour vous.

  1. Il est toujours préférable d'utiliser le cryptage matériel sur un lecteur à cryptage automatique. Si vous utilisez le cryptage logiciel sur bitlocker ou un autre programme de cryptage, cela ralentira de 25% à 45% les vitesses d'écriture en lecture. vous pouvez voir une baisse minimale de 10% de la performance. (notez que vous devez avoir un SSD avec une puce TMP)

  2. Bitlocker est compatible avec le cryptage matériel, vous pouvez utiliser samsung magic. v 4.9.6 (v5 ne le prend plus en charge) pour nettoyer le lecteur et activer le cryptage matériel.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. vous pouvez activer le cryptage matériel via le BIOS en définissant le mot de passe principal. Vous devrez suivre certaines des étapes décrites dans l'article ci-dessus, comme désactiver le CMS.

  2. Pour répondre à votre question, je ne sais pas vraiment lequel est le plus rapide. J'ai pris contact avec Samsung, mais compte tenu des informations limitées à ce sujet. À moins de trouver un développeur, je doute que j'aurai une bonne réponse, à savoir quelle est la meilleure option. Pour le moment, je prévois d’activer le cryptage matériel dans mon bios.

0
colin