web-dev-qa-db-ja.com

SSDが提供するBitlockerまたは組み込みのドライブ暗号化を使用する方が良いですか?

私のシステム:

  • Intel Core i7-4790、AES-NIをサポート
  • ASUS Z97-PROモボ
  • Samsung 250GB EVO SSD(暗号化オプションを内蔵)
  • 64ビットWindows 7

ブートドライブをAES256などで暗号化したいだけの場合、違いは何ですか/パフォーマンスが高速/安全ですか? Windows BitlockerをフリップしてSSD暗号化を使用しないか、SSDが提供する組み込みドライブ暗号化を有効にして、Bitlockerについて心配しませんか?

Evoの暗号化オプションを使用して暗号化をSSDにオフロードする方が良いと思います。これにより、プロセッサーが暗号化を実行する必要がなくなり、I/Oパフォーマンスが向上し、CPUに余裕が生まれます。 ?または、このCPUにはAES-NIが搭載されているため、問題ではない可能性がありますか?

BitlockerとこのSSD暗号化オプションは初めてなので、どんな助けにも感謝します。

ssdbitlockerdisk-encryptionaesopal-ssc
18
Eddie

古い質問ですが、それ以来、Bitlockerとドライブの暗号化(単独または組み合わせて使用​​)に関するいくつかの新しい開発が見出されたので、ページ上のコメントのいくつかを回答に変えます。多分それは2018年以降に検索をしている誰かに役立つでしょう。

Bitlocker(単独):
その歴史の中でBitlockerに違反する方法はいくつかありましたが、幸いにもそれらのほとんどは2018年にすでにパッチが適用されているか、軽減されています。たとえば、「コールドブートアタック」-最新バージョンなどが残っています。実際にはBitlocker固有ではありません(実行中のコンピューターに物理的にアクセスし、暗号化キーなどをメモリから直接盗む必要があります)。

SSDドライブハードウェアの暗号化とBitlocker:
2018年に新しい脆弱性が表面化しました。 SSDディスクにハードウェア暗号化があり、ほとんどのSSDにある場合、Bitlockerはデフォルトでそれのみを使用します。つまり、暗号化自体が解読された場合、ユーザーは本質的にまったく保護されません。
この脆弱性の影響を受けていることがわかっているドライブには、次のものが含まれます(ただし、これらに限定されるわけではありません)。
重要なMX100、MX200、MX300シリーズSamgung 840 EVO、850 EVO、T3、T5

SSD暗号化問題の詳細については、次をご覧ください。
https://Twitter.com/matthew_d_green/status/1059435094421712896

そして実際の論文(PDF)はここで問題をより深く掘り下げています:
t.co/UGTsvnFv9Y?amp=1

だから答えは本当にです。 Bitlockerはディスクのハードウェア暗号化を使用し、その上に独自の脆弱性があるため、SSDがクラックされたSSDのリストにない場合は、ハードウェア暗号化を使用するほうがよいでしょう。

ディスクがリストにある場合は、Bitlockerがドライブの暗号化をとにかく使用するため、完全に別のものを使用することをお勧めします。質問は何ですか; Linuxでは、たとえばLUKSをお勧めします。

7
DocWeird

私はこれについていくつかの調査を行っており、あなたのために半分完全な答えを持っています。

  1. 自己暗号化ドライブではハードウェアベースの暗号化を使用することをお勧めします。ビットロッカーまたは別の暗号化プログラムでソフトウェアベースの暗号化を使用すると、読み取り/書き込み速度が25〜45%遅くなります。少なくともパフォーマンスが10%低下する可能性があります。 (TMPチップを搭載したSSDが必要です)

  2. Bitlockerはハードウェアベースの暗号化と互換性があり、サムスンマジックを使用できます。 v 4.9.6(v5はこれをサポートしなくなりました)。ドライブをワイプして、ハードウェアベースの暗号化を有効にします。

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. マスターパスワードを設定することにより、BIOSを介してハードウェアベースの暗号化を有効にすることができます。 CMSをオフにするなど、上記の記事の手順のいくつかに従う必要があります。

  2. あなたの質問に答えるために、どちらが速いのか本当にわかりません。サムスンに連絡を取りましたが、これに関する情報は限られています。私が開発者を取得しない限り、私はどちらがより良い選択肢であるかについて良い答えを得るとは思えません。今のところ、BIOSでハードウェアベースの暗号化を有効にする予定です。

1
colin

ドライブとそれが提供する暗号化オプションに精通していませんが、ハードウェア暗号化は複数のオペレーティングシステムで使用できます(たとえば、WindowsとLinuxのデュアルブートが必要な場合)が、ソフトウェア暗号化は設定が難しい場合があります。また、両方の方法の安全性は、暗号化キーを保存する方法と場所によって異なります。

Evoの暗号化オプションを使用して暗号化をSSDにオフロードする方が良いと思います。これにより、プロセッサーが暗号化を行う必要がなくなり、I/Oパフォーマンスが向上し、CPUに余裕が生まれます。 ?

そうです、ハードウェアベースの暗号化はコンピュータの処理速度を低下させません。

私はどのデバイスでも暗号化を使用したことがないので、暗号化を有効にする実際のプロセスをサポートできないのは残念です。ほとんどの場合、暗号化を有効にするとドライブが消去されることに注意してください(BitLockerはデータを消去しませんが、すべてのライブ暗号化ソフトウェアと同様に、破損の可能性は非常に低いです)。コンピューターがシャットダウンするまでロック解除されたままになるマルチOS互換の暗号化ドライブが必要な場合は、ハードドライブが提供するハードウェア暗号化機能を使用してください。ただし、Windowsに限定された、もう少し安全なものが必要な場合は、BitLockerを試してください。私が助けてくれたことを願っています!

0
wateroverflow9102