O que o BitLocker realmente criptografa e quando?

33

Eu preciso de criptografia completa de disco para laptops corporativos que executam uma versão atual do Windows 10 Pro. Os computadores têm uma unidade SSD NVMe da Samsung e uma CPU Intel Core i5-8000.

A partir de algumas pesquisas na Web de hoje, existem atualmente apenas duas opções disponíveis: Microsoft BitLocker e VeraCrypt. Tenho plena consciência do estado de origem aberta e fechada e das implicações de segurança que acompanham isso.

Depois de ler algumas informações sobre o BitLocker, que eu nunca tinha usado antes, tenho a impressão de que, começando com o Windows 10 O BitLocker criptografa apenas os dados recém-gravados no disco , mas não tudo que já existe, para desempenho razões. (Essa documentação diz que eu tenho uma escolha, mas não tenho. Eles não me perguntaram o que eu queria depois de ativá-la.) Eu usei a criptografia do sistema TrueCrypt no passado e sei que a criptografia de dados existente é uma tarefa visível. algumas horas. Não consigo observar esse comportamento com o BitLocker. Nenhuma atividade de CPU ou disco de fundo notável.

A ativação do BitLocker é realmente fácil. Clique em um botão, salve a chave de recuperação em algum lugar seguro, pronto. O mesmo processo com a VeraCrypt me fez abandonar a ideia. Eu precisava realmente criar um dispositivo de recuperação totalmente funcional, mesmo para fins de teste em um sistema descartável.

Eu também li que o VeraCrypt tem atualmente uma falha de design que faz com que alguns SSDs NVMe sejam extremamente lentos com criptografia do sistema. Eu não posso verificá-lo porque a configuração é muito complicada. Pelo menos depois de ativar o BitLocker, não consigo ver uma alteração significativa no desempenho do disco. Além disso, a equipe VeraCrypt tem recursos insuficientes para corrigir esse "bug complicado". Além disso, as atualizações do Windows 10 não podem operar com o VeraCrypt em vigor , o que torna frequentes os e criptografias necessárias. Espero que o BitLocker funcione melhor aqui.

Estou quase decidido a usar o BitLocker. Mas preciso entender o que isso faz. Infelizmente, quase não há informações sobre isso on-line. A maioria consiste em postagens de blog que fornecem uma visão geral, mas não informações detalhadas e concisas. Então estou perguntando aqui.

Depois de ativar o BitLocker em um sistema de unidade única, o que acontece com os dados existentes? O que acontece com novos dados? O que significa "suspender o BitLocker"? (Não é o mesmo que desativá-lo permanentemente e, assim, descriptografar todos os dados no disco.) Como posso verificar o status de criptografia ou forçar a criptografia de todos os dados existentes? (Não quero dizer espaço não utilizado, não me importo com isso e é necessário para SSDs, consulte TRIM.) Há alguns dados e ações mais detalhados sobre o BitLocker além de "suspender" e "descriptografar"?

E talvez em uma nota lateral, como o BitLocker se relaciona com o EFS (sistema de arquivos criptografados)? Se apenas arquivos recém-gravados forem criptografados, o EFS parece ter um efeito muito semelhante. Mas eu sei operar o EFS, é muito mais compreensível.

    
por ygoe 15.09.2018 / 21:31

1 resposta

38

A ativação do BitLocker iniciará um processo em segundo plano que criptografa todos os dados existentes. (Nos HDDs isso é tradicionalmente um processo longo, pois ele precisa ler e reescrever cada setor de partição - em discos de autocriptografia, ele pode ser instantâneo.) Assim, quando se diz que somente os dados recém-gravados são criptografados, isso se refere ao estado < em> imediatamente após a ativação do BitLocker e não é mais verdadeira depois que a tarefa de criptografia em segundo plano é concluída. O status desse processo pode ser visto na mesma janela do painel de controle do BitLocker e pausado, se necessário.

O artigo da Microsoft precisa ser lido com atenção: ele realmente fala sobre criptografar somente as áreas usadas do disco. Eles meramente anunciam isso como tendo o maior impacto em sistemas novos, onde você não tem nenhum dado ainda além do SO base (e, portanto, todos dados serão "escritos recentemente" "). Ou seja, o Windows 10 irá criptografar todos os seus arquivos existentes após a ativação - simplesmente não perderá tempo criptografando os setores de disco que ainda não contêm nada. (Você pode desativar essa otimização por meio da Política de Grupo.)

(O artigo também aponta uma desvantagem: áreas que anteriormente continham arquivos apagados também serão ignoradas como "não usadas". Então, se criptografar um sistema bem usado, faça um apagamento de espaço livre usando uma ferramenta e deixe o Windows execute o TRIM se você tiver um SSD, tudo antes de ativar o BitLocker ou use a Diretiva de Grupo para desabilitar esse comportamento.

No mesmo artigo, há uma menção a versões recentes do Windows que suportam SSDs de autocriptografia usando o padrão OPAL. Portanto, a razão pela qual você não vê qualquer E / S de segundo plano pode ser porque o SSD foi criptografado internamente desde o primeiro dia, e o BitLocker reconheceu isso e só assumiu o Gerenciamento de chave no nível SSD em vez de duplicar o esforço de criptografia no nível do sistema operacional. Ou seja, o SSD não se desbloqueia mais ao ligar, mas requer que o Windows faça isso. Isso pode ser desativado por meio da Política de Grupo, se você preferir que o SO manipule a criptografia independentemente.

A suspensão do BitLocker faz com que uma cópia de texto simples da chave 'mestre' seja gravada diretamente no disco. (Geralmente, essa chave mestra é primeiro criptografada com sua senha ou com um TPM.) Enquanto estiver suspensa, isso permite que o disco seja desbloqueado sozinho - claramente um estado inseguro, mas permite que o Windows Update reprograme o TPM para corresponder ao sistema operacional atualizado , por exemplo. A retomada do BitLocker simplesmente limpa essa chave simples do disco.

O BitLocker não está relacionado ao EFS - o último funciona no nível do arquivo, associando chaves a contas de usuário do Windows (permitindo configurações refinadas, mas impossibilitando a criptografia dos próprios arquivos do SO), enquanto o primeiro funciona no nível de disco inteiro . Eles podem ser usados juntos, embora o BitLocker principalmente torne o EFS redundante.

(Observe que o BitLocker e EFS possuem mecanismos para que os administradores corporativos do Active Directory recuperem os dados criptografados - seja fazendo backup da chave mestra do BitLocker no AD ou adicionando um EFS data de recuperação de dados para todos os arquivos.)

    
por 15.09.2018 / 21:45