क्या Bitlocker या बिल्ट-इन-ड्राइव-इनक्रिप्शन का उपयोग करना बेहतर है जो मेरे SSD प्रदान करता है?


16

मेरा सिस्टम:

  • इंटेल कोर i7-4790, जो एईएस-एनआई का समर्थन करता है
  • ASUS Z97-PRO मोबो
  • सैमसंग 250GB EVO SSD (अंतर्निहित एन्क्रिप्शन विकल्प के साथ)
  • 64-बिट विंडोज 7

अगर मैं अपने बूट ड्राइव को AES256 या समान के साथ एन्क्रिप्ट करना चाहता हूं, तो क्या अंतर / तेज प्रदर्शन / अधिक सुरक्षित होगा? SSD एन्क्रिप्शन का उपयोग न करें, या SSD ऑफ़र में अंतर्निहित ड्राइव एन्क्रिप्शन को सक्षम करें और Bitlocker के बारे में चिंता न करें?

मैं सोच रहा हूं कि Evo के एन्क्रिप्शन विकल्प का उपयोग करके SSD को एन्क्रिप्शन को लोड करना बेहतर हो सकता है, ताकि प्रोसेसर को कोई एन्क्रिप्शन न करना पड़े, यह I / O प्रदर्शन के लिए बेहतर हो सकता है और CPU को राहत दे सकता है ? या चूंकि इस सीपीयू में एईएस-एनआई है इसलिए यह कोई फर्क नहीं पड़ता?

मैं Bitlocker और इस SSD एन्क्रिप्शन विकल्प के लिए नया हूँ, इसलिए किसी भी मदद की बहुत सराहना की है


1
आप पढ़ना चाह सकते हैं यह विस्तृत जवाब
phuclv

हो सकता है कि आपको प्रत्येक विकल्प का एक बेंचमार्किंग बनाने और भविष्य के संदर्भ के लिए यहां पोस्ट करने का प्रयास करना चाहिए, यह देखते हुए कि इस सवाल का जवाब देने के लिए इंटरनेट पर पर्याप्त जानकारी नहीं है, AFAIK।
Edel Gerardo

जवाबों:


3

पुराना प्रश्न है, लेकिन तब से बिटकॉकर और ड्राइव एन्क्रिप्शन (अकेले या संयोजन में उपयोग किया जाता है) के विषय में कई नए विकास पाए गए हैं, इसलिए मैं पृष्ठ पर अपनी टिप्पणियों के कुछ जोड़े को एक उत्तर में बदल दूंगा। शायद यह 2018 और बाद में खोज करने वाले किसी व्यक्ति के लिए उपयोग हो।

बिटलॉकर (अकेले):
Bitlocker को इतिहास में शामिल करने के कई तरीके हैं, सौभाग्य से उनमें से ज्यादातर 2018 में पहले ही पैच / मिट चुके हैं। इसमें (ज्ञात) क्या शामिल हैं, उदाहरण के लिए, "कोल्ड बूट अटैक" - जिसका सबसे नया संस्करण वास्तव में है टी बिटलॉकर विशिष्ट (आपको एक चल रहे कंप्यूटर तक भौतिक पहुंच की आवश्यकता होती है और एन्क्रिप्शन कुंजियों को चुरा लेता है, और कुछ भी, सीधे मेमोरी से)।

SSD ड्राइव हार्डवेयर एन्क्रिप्शन और Bitlocker:
2018 में एक नई भेद्यता सामने आई है; अगर SSD डिस्क में हार्डवेयर एन्क्रिप्शन होता है, जो कि ज्यादातर SSD में होता है, तो Bitlocker केवल उसी का उपयोग करने के लिए चूक करता है। जिसका अर्थ है कि यदि उस एन्क्रिप्शन को स्वयं क्रैक किया गया है, तो उपयोगकर्ता को अनिवार्य रूप से कोई सुरक्षा नहीं है।
जिन ड्राइवों को इस भेद्यता से पीड़ित माना जाता है उनमें शामिल हैं (लेकिन शायद सीमित नहीं हैं):
महत्वपूर्ण MX100, MX200, MX300 श्रृंखला सैमसंग 840 EVO, 850 EVO, T3, T5

SSD एन्क्रिप्शन समस्या के बारे में अधिक जानकारी यहाँ:
https://twitter.com/matthew_d_green/status/1059435094421712896

और वास्तविक कागज (पीडीएफ के रूप में) यहां समस्या में गहरा रहा है:
t.co/UGTsvnFv9Y?amp=1

तो जवाब वास्तव में है; चूंकि Bitlocker डिस्क हार्डवेयर एन्क्रिप्शन का उपयोग करता है, और इसकी स्वयं की भेद्यताएं हैं, इसलिए आप हार्डवेयर एन्क्रिप्शन का उपयोग करना बेहतर समझते हैं यदि आपका एसएसडी क्रैक एसएसडी की सूची में नहीं है।

यदि आपकी डिस्क सूची में है, तो आप पूरी तरह से कुछ और का उपयोग कर रहे हैं क्योंकि Bitlocker वैसे भी ड्राइव एन्क्रिप्शन का उपयोग करेगा। प्रश्न क्या है; उदाहरण के लिए, लिनक्स पर मैं LUKS की सिफारिश करूंगा।


0

मैं इस पर कुछ शोध कर रहा हूं और आपके लिए इसका आधा पूर्ण उत्तर है।

  1. हार्डवेयर आधारित एन्क्रिप्शन का इस्तेमाल सेल्फ एनक्रिप्टिंग ड्राइव पर करना हमेशा बेहतर होता है, अगर आप बिटकॉइलर या किसी अन्य एन्क्रिप्शन प्रोग्राम पर सॉफ्टवेयर आधारित एन्क्रिप्शन का उपयोग करते हैं, तो यह 25% से 45% के बीच कहीं भी पढ़ने की गति में मंदी का कारण बनेगा। आप प्रदर्शन में 10% की गिरावट देख सकते हैं। (ध्यान दें कि आपके पास TMP चिप वाला SSD होना चाहिए)

  2. Bitlocker हार्डवेयर आधारित एन्क्रिप्शन के साथ संगत है, आप सैमसंग जादू का उपयोग कर सकते हैं। v 4.9.6 (v5 अब इसका समर्थन नहीं करता) ड्राइव को मिटा देने और हार्डवेयर आधारित एन्क्रिप्शन को सक्षम करने के लिए।

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. आप मास्टर पासवर्ड सेट करके BIOS के माध्यम से हार्डवेयर आधारित एन्क्रिप्शन को सक्षम कर सकते हैं। आपको ऊपर दिए गए लेख में कुछ चरणों का पालन करने की आवश्यकता होगी, जैसे सीएमएस बंद करना।

  2. आपके प्रश्न का उत्तर देने के लिए मुझे वास्तव में नहीं पता है कि यह कौन सा तेज़ है। मैं सैमसंग तक पहुंच गया हूं लेकिन इस पर सीमित जानकारी दी है। जब तक मुझे डेवलपर नहीं मिलेगा मुझे संदेह है कि मुझे एक अच्छा जवाब मिलेगा जो बेहतर विकल्प है। अभी के लिए मैंने अपने बायोस में हार्डवेयर आधारित एन्क्रिप्शन को सक्षम करने की योजना बनाई है।


क्या आप कह रहे हैं "यह बेहतर है" विशुद्ध रूप से प्रदर्शन कारणों से? क्या दोनों एन्क्रिप्शन विधियां आम तौर पर समान सुरक्षा प्रदान करती हैं? मैंने "सेल्फ-इनक्रिप्टिंग" डिस्क्स के बारे में सुना है जिसमें झटके से खराब एन्क्रिप्शन होता है - तेज़, हाँ, लेकिन वास्तव में सुरक्षित नहीं।
grawity

Bitlocker का उल्लंघन किया गया है और सुरक्षा विशेषज्ञों द्वारा इसका प्रदर्शन किया गया है। अनिवार्य रूप से, यदि आप कंप्यूटर पर लॉगिन करने के लिए आवश्यक AD, आदि नकली कर सकते हैं, तो आप इस प्रक्रिया में Bitlocker को भी बायपास कर सकते हैं।
DocWeird

बेग क्षमा, @DocWeird, लेकिन यह दावा करते हुए कि Bitlocker का उल्लंघन किया गया है, दावा कर रहा है कि AES-256 का उल्लंघन किया गया है - और यह नहीं किया गया है। वास्तव में आप का अर्थ क्या है? पुनः लॉगिन करें, जो कि Bitlocker के लिए अप्रासंगिक है! आप बिटकॉइलर से बूट कर सकते हैं बिना लॉग इन किए! यह आपकी फ़ाइलों को पढ़ने से अपने मशीन पर अन्य अधिकृत उपयोगकर्ताओं को रखने के लिए Bitlocker का इरादा नहीं है, बल्कि हार्ड ड्राइव की सामग्री तक पहुंच को रोकने के लिए अगर कोई ड्राइव चुराता है और इसे दूसरी मशीन से जोड़ता है (जो उन्हें सभी सिड को बायपास करने देगा आधारित अभिगम नियंत्रण)। क्या आप वाकई EFS के बारे में नहीं सोच रहे हैं?
Jamie Hanrahan

Bitlocker को भंग करने के कई तरीके हैं, उनमें से ज्यादातर पहले से ही पैच / मिटिगेटेड (कोल्ड बूट अटैक का नवीनतम संस्करण जिसमें वास्तव में Bitlocker विशिष्ट नहीं है) भी शामिल है, एक तो बस (चोरी) कंप्यूटर पर विंडोज प्रमाणीकरण को बायपास करना था (इसमें शामिल था) एक डोमेन कंट्रोलर, लोकल पासवर्ड कैश फेक करना और एक पासवर्ड बदलना - जो सभी को TPM की अगुवाई देता है। यहां अधिक: itworld.com/article/3005181/...
DocWeird

और जब से हम Bitlocker कमजोरियों पर हैं, एक नया अभी सामने आया है; अगर SSD डिस्क में हार्डवेयर एन्क्रिप्शन होता है, तो Bitlocker केवल उसी का उपयोग करने में चूक करता है। जिसका अर्थ है कि यदि उस एन्क्रिप्शन को क्रैक किया गया है, तो उपयोगकर्ता को अनिवार्य रूप से कोई सुरक्षा नहीं है। यहां अधिक: mobile.twitter.com/matthew_d_green/status/1059435094421712896 और वास्तविक कागज (पीडीएफ के रूप में) यहां: t.co/UGTsvnFv9Y?amp=1
DocWeird

-1

मैं आपके ड्राइव और इसके द्वारा प्रदान किए जाने वाले एन्क्रिप्शन विकल्पों से परिचित नहीं हूँ, हालाँकि हार्डवेयर एन्क्रिप्शन का उपयोग कई ऑपरेटिंग सिस्टमों के साथ किया जा सकता है (जैसे जब आप विंडोज और लिनक्स को डुअल-बूट करना चाहते हैं), जबकि सॉफ्टवेयर एन्क्रिप्शन को कॉन्फ़िगर करना कठिन हो सकता है। इसके अलावा, दोनों तरीकों की सुरक्षा इस बात पर निर्भर करती है कि आप अपनी एन्क्रिप्शन कुंजी कैसे और कहाँ संग्रहीत करते हैं।

मैं सोच रहा हूं कि Evo के एन्क्रिप्शन विकल्प का उपयोग करके SSD को एन्क्रिप्शन को लोड करना बेहतर हो सकता है, ताकि प्रोसेसर को कोई एन्क्रिप्शन न करना पड़े, यह i / o प्रदर्शन के लिए बेहतर हो सकता है और सीपीयू को एक राहत दे सकता है। ?

आप सही हैं, हार्डवेयर-आधारित एन्क्रिप्शन कंप्यूटर की प्रोसेसिंग स्पीड को कम नहीं करता है।

मैंने अपने किसी भी डिवाइस पर एन्क्रिप्शन का उपयोग कभी नहीं किया है, इसलिए मुझे खेद है कि मैं इसे सक्षम करने की वास्तविक प्रक्रिया में आपकी मदद नहीं कर सकता। कृपया ध्यान दें कि ज्यादातर मामलों में एन्क्रिप्शन को सक्षम करने से ड्राइव मिट जाता है (BitLocker डेटा को मिटाता नहीं है, हालांकि यह भ्रष्टाचार का एक अत्यंत दूरस्थ मौका है, क्योंकि यह सभी लाइव-एन्क्रिप्शन सॉफ़्टवेयर के साथ है) यदि आप मल्टी-ओएस संगत एन्क्रिप्टेड ड्राइव करना चाहते हैं जो कंप्यूटर बंद होने तक अनलॉक रहता है, तो हार्डवेयर एन्क्रिप्शन सुविधा के साथ अपने हार्ड ड्राइव ऑफ़र को जाएं। लेकिन, अगर आप कुछ अधिक सुरक्षित चाहते हैं, लेकिन विंडोज तक सीमित है, तो BitLocker को आज़माएं। आशा है कि मैंने मदद की!


पहले तो आप "मैं इस तथ्य के लिए जानता हूं कि हार्डवेयर एन्क्रिप्शन अधिक सुरक्षित है", लेकिन अंत में आप कहते हैं कि वह इसके विपरीत है ("यदि आप संगत चाहते हैं, तो हार्डवेयर एन्क्रिप्शन के साथ जाएं, लेकिन यदि आप कुछ अधिक सुरक्षित चाहते हैं, तो BitLocker आज़माएं" )। आपका कौन सा मतलब था? क्या आप जैसी चीजों के लिए जिम्मेदार हैं? इस लेख में वर्णित है ?
grawity

2
hardware-based encryption is generally more secure गलत है। यह तेज़ हो सकता है, लेकिन सुरक्षा एन्क्रिप्शन मानक पर निर्भर करती है, न कि हार्डवेयर या सॉफ़्टवेयर पर, क्योंकि आप फ़ाइल को एन्क्रिप्ट कैसे करते हैं, आउटपुट समान कुंजी के साथ होगा
phuclv

-2

चलिए कुछ विकिपीडिया।

BitLocker

BitLocker एक फुल डिस्क एन्क्रिप्शन फीचर है। यह संपूर्ण संस्करणों के लिए एन्क्रिप्शन प्रदान करके डेटा की सुरक्षा के लिए बनाया गया है।

BitLocker एक लॉजिकल वॉल्यूम एन्क्रिप्शन सिस्टम है। एक वॉल्यूम पूरी हार्ड डिस्क ड्राइव हो सकती है या नहीं भी हो सकती है, या यह एक या एक से अधिक भौतिक ड्राइव कर सकती है। इसके अलावा, जब सक्षम किया जाता है, तो TPM और BitLocker भरोसेमंद बूट पथ (जैसे BIOS, बूट सेक्टर, आदि) की अखंडता को सुनिश्चित कर सकते हैं, ताकि अधिकांश ऑफ़लाइन शारीरिक हमलों, बूट सेक्टर मैलवेयर, आदि को रोका जा सके।

Microsoft के अनुसार, BitLocker में जानबूझकर निर्मित बैकडोर नहीं होता है; बैकडोर के बिना Microsoft द्वारा प्रदान की जाने वाली उपयोगकर्ता की ड्राइव पर डेटा के लिए एक गारंटी पारित करने के लिए कानून प्रवर्तन का कोई तरीका नहीं है।

सेल्फ-एनक्रिप्टिंग ड्राइव

हार्डवेयर-आधारित एन्क्रिप्शन जब ड्राइव में या ड्राइव एनक्लोजर में बनाया जाता है, तो उपयोगकर्ता के लिए विशेष रूप से पारदर्शी होता है। बूटअप प्रमाणीकरण के अलावा ड्राइव प्रदर्शन में कोई गिरावट के साथ किसी भी ड्राइव की तरह काम करता है। डिस्क एन्क्रिप्शन सॉफ्टवेयर के विपरीत, कोई जटिलता या प्रदर्शन ओवरहेड नहीं है, क्योंकि सभी एन्क्रिप्शन ऑपरेटिंग सिस्टम और होस्ट कंप्यूटर प्रोसेसर के लिए अदृश्य है।

दो मुख्य उपयोग के मामले हैं, डेटा एट रेस्ट प्रोटेक्शन और क्रिप्टोग्राफिक डिस्क इरेज़र।

डेटा एट रेस्ट प्रोटेक्शन एक लैपटॉप बस संचालित होता है। डिस्क अब उस पर मौजूद सभी डेटा को सेल्फ प्रोटेक्ट करती है। डेटा सुरक्षित है क्योंकि यह सब, यहां तक ​​कि ओएस, अब एईएस के एक सुरक्षित मोड के साथ एन्क्रिप्टेड है, और पढ़ने और लिखने से बंद है। ड्राइव को एक प्रमाणीकरण कोड की आवश्यकता होती है जो अनलॉक करने के लिए 32 बाइट्स (2 ^ 256) के रूप में मजबूत हो सकता है।

जब तक बिजली प्रदान की जाती है, तब तक एक बार स्वयं-एन्क्रिप्टेड ड्राइव्स को अनलॉक किया जाएगा। यूनिवर्सिटेट एर्लांगेन-नूर्नबर्ग के शोधकर्ताओं ने ड्राइव को बिजली काटने के बिना दूसरे कंप्यूटर पर ले जाने के आधार पर कई हमलों का प्रदर्शन किया है। इसके अतिरिक्त, ड्राइव को शक्ति में कटौती किए बिना कंप्यूटर को एक हमलावर-नियंत्रित ऑपरेटिंग सिस्टम में रिबूट करना संभव हो सकता है।

निर्णय

मुझे लगता है कि सबसे महत्वपूर्ण लाइनें ये हैं:

डिस्क एन्क्रिप्शन सॉफ्टवेयर के विपरीत, कोई जटिलता या प्रदर्शन ओवरहेड नहीं है, क्योंकि सभी एन्क्रिप्शन ऑपरेटिंग सिस्टम और होस्ट कंप्यूटर प्रोसेसर के लिए अदृश्य है।

जब तक बिजली प्रदान की जाती है, तब तक एक बार स्वयं-एन्क्रिप्टेड ड्राइव्स को अनलॉक किया जाएगा।

क्योंकि BitLocker एक डिस्क एन्क्रिप्शन सॉफ्टवेयर है, यह हार्डवेयर-आधारित पूर्ण डिस्क एन्क्रिप्शन की तुलना में धीमा है। हालाँकि, सेल्फ-एनक्रिप्टिंग ड्राइव तब तक अनलॉक रहता है, जब तक कि पिछली बार इसे अनलॉक करने के बाद से इसमें पावर थी। कंप्यूटर बंद करने से ड्राइव सुरक्षित हो जाएगी।

तो, या तो आपके पास अधिक सुरक्षित BitLocker या अधिक प्रदर्शन करने वाला सेल्फ-एनक्रिप्टिंग ड्राइव है।


1
मेरा मानना ​​है कि सवाल यह है नहीं ईएफएस का जिक्र।
Scott

@ मुझे विश्वास है कि आप सही हैं, लेकिन मैंने मदद करने की पूरी कोशिश की। कम से कम अब हमारे पास BitLocker के बारे में अधिक जानकारी है, यह भविष्य के उत्तर में मदद कर सकता है यदि कोई जानता है कि वास्तव में SSD एन्क्रिप्शन क्या है
NatoBoram

1
@NatoBoram - 'कम से कम अब हमारे पास BitLocker के बारे में अधिक जानकारी है "- एक अच्छी तरह से प्रलेखित फीचर के बारे में अधिक जानकारी लेखक के प्रश्न का उत्तर नहीं देती है। कृपया अपना उत्तर संपादित करें ताकि यह सीधे लेखक के प्रश्न को संबोधित करे।
Ramhound

Bitlocker भी प्रदान करता है हार्डवेयर एन्क्रिप्शन
NetwOrchestration

2
सिर्फ इसलिए कि ड्राइव पर हार्डवेयर एन्क्रिप्शन ऑपरेशन ऑपरेटिंग सिस्टम के लिए अदृश्य है इसका मतलब यह नहीं है कि यह ड्राइव के ऑपरेशन को काफी धीमा नहीं कर रहा है कि सीपीयू आधारित एन्क्रिप्शन का उपयोग करना तेजी से समग्र होगा।
simpleuser

-4

सैमसंग ईवीओ एसएसडी के एन्क्रिप्शन में निर्मित मेरी पसंद होगी क्योंकि यह मूल रूप से अनुकूलित है और कॉर्पोरेट वातावरण में सुरक्षा के लिए सर्वश्रेष्ठ एसएसडी में से एक है। इसके अलावा यदि आप कभी भी चाबी खो देते हैं, तो सैमसंग इसे SSD पर धारावाहिक # के माध्यम से शुल्क के लिए अनलॉक कर सकता है।


2
तथ्य यह है कि सैमसंग धारावाहिक के माध्यम से SSD को अनलॉक कर सकता है # लाल झंडा imho है। या तो सैमसंग धारावाहिक के आधार पर कुंजी बनाने के लिए एक एल्गोरिथ्म का उपयोग करता है # या कुंजी के साथ एक डेटाबेस है।
RS Finance

@RSFinance से सहमत हैं। यदि कोई अन्य पार्टी आपकी अनुमति के बिना आपका सुरक्षित डेटा प्राप्त कर सकती है, तो यह सुरक्षित नहीं है।
UtahJarhead

@RSFinance को छोड़कर यह एक तथ्य नहीं है बल्कि एक कल्पना है। ओपल एसएससी-अनुरूप ड्राइव के साथ यह डिजाइन द्वारा संभव नहीं है - यह मानते हुए कि आपने उपयोग से पहले ड्राइव को ठीक से प्रारंभ किया है, ताकि एन्क्रिप्शन कुंजी जानने वाले विक्रेता का एक सैद्धांतिक मौका भी बचा रहे। आप वास्तविक सैमसंग एसएसडी के ओपल एसएससी के अनुपालन पर भरोसा नहीं कर सकते हैं, लेकिन यह एक अलग कहानी है।
͏͏͏
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.