Em breve, comprarei vários laptops com o Windows 7 para nossa equipe móvel. Devido à natureza de nossos negócios, precisarei de criptografia de unidade. Windows BitLocker parece a escolha óbvia, mas parece que eu preciso comprar o Windows 7 Enterprise ou Ultimate para obtê-lo. Alguém pode oferecer sugestões sobre o melhor curso de ação:
a) Use o BitLocker, use o marcador e pague para atualizar para o Enterprise / Ultimate
b) Pagar por outro produto de criptografia de unidade de terceiros que seja mais barato (sugestões bem-vindas)
c) Use um produto de criptografia de unidade livre, como TrueCrypt
O ideal é que eu também esteja interessado na experiência do "mundo real" de pessoas que estão usando software de criptografia de unidade e quaisquer armadilhas que você possa ter em mente.
Muito obrigado antecipadamente ...
UPDATE
Decidi seguir o TrueCrypt pelas seguintes razões:
a) O produto tem um bom histórico
b) Eu não estou gerenciando uma grande quantidade de laptops, então a integração com o Active Directory, consoles de gerenciamento, etc. não é um benefício enorme
c) Embora eks tenham feito um bom comentário sobre os ataques do Evil Maid (EM), nossos dados não são desejáveis de considerá-lo um fator importante
d) O custo (grátis) é uma grande vantagem, mas não o principal motivador
O próximo problema a ser enfrentado é que as unidades criptografadas de geração de imagens (Acronis / Ghost / ..) não funcionarão, a menos que eu realize uma geração de imagens setor a setor. Isso significa que uma partição criptografada de 80 Gb cria um arquivo de imagem de 80 Gb: (
Truecrypt: link
criptografa completamente as unidades internas móveis, você pode até mesmo criptografar a partição inteira do sistema e, em seguida, definir uma senha do carregador de inicialização - dando-lhe mais segurança em laptops.
e seu opensource - livre.
O Bitlocker é bom também, mas devido ao orçamento eu sugeriria usar o truecrypt.
Com as ferramentas de ataque do Evil Maid (EM) agora disponíveis para o TrueCrypt, eu optaria pelo BitLocker se eu tivesse o orçamento, porque os ataques do tipo EM são bem mais complicados e se integram melhor com o AD, etc, como declarou Oskar Duveborn.
Eu sugiro que você leia os artigos de Joanna Rutkowska em ambos os produtos:
Mas se você tem certeza de que seus colegas de trabalho sempre cuidarão bem de seus laptops - com o case de segurança e tudo mais, você pode optar pelo TrueCrypt.
Notas laterais
lembre-se de que a criptografia de disco completo não protegerá seus dados de dentro [o SO], por ex. se o seu computador ficar corrompido por um vírus durante a execução.
lembre-se de que as soluções técnicas são apenas uma parte da cadeia de segurança (veja link para detalhes).
Editar (01-20-2010)
Detalhes adicionais sobre os ataques do BitLocker e do EM:
Observe que o BitLocker será mais resiliente que TrueCrypt somente se usado em um computador habilitado para TPM.
Existem maneiras de derrotar o BitLocker + TPM ( artigo , paper ) mas não há ferramentas públicas disponíveis AFAIK. Portanto, embora o BitLocker seja mais resiliente a ataques EM oportunos (é preciso mais para desenvolver novamente uma tela de interação do usuário falsificada para o BitLocker do que copiar a ferramenta EM para trucrypt em uma chave USB), ela não é 100% à prova de balas (não há solução).
Embora o TrueCrypt seja apropriado para um cenário de pequeno escritório / home office, há muitas razões para optar por uma solução paga em um negócio maior:
No momento, estou analisando algumas soluções de terceiros, McAfee Total Protection for Data (anteriormente conhecido como SafeBoot) e Symantec Endpoint Encyrption .
Um dos motivos pelos quais não procurei no BitLocker é que já tenho várias máquinas no Vista Business e não queria atualizá-las / provisioná-las novamente.
Também procurei a solução PGP, mas ela requer um servidor dedicado ou uma solução de servidor virtual certificada para gerenciar o software, e isso era muito complexo para o meu cenário.
Palavra de conselho. Acabei de descobrir que a licença TrueCrypt contém uma "armadilha" legal que permite processar qualquer usuário do software, mesmo que o usuário esteja seguindo 100% dos termos da licença.
Eles foram informados sobre isso há muito tempo pelo Fedora e não o corrigiram na versão atual, então parece-me que é de fato uma armadilha deliberada.
Nenhum problema com TrueCrypt whatosever; contanto que você siga os passos em sites para diferentes níveis de criptografia.
No que diz respeito ao bitlocker, como Oskar já mencionou que será mais fácil de gerenciar - mas se, devido ao custo, você não puder ir até o bitlocker, você sempre poderá usar o truecrypt - muito bom.
A criptografia PGP tem um bom produto de criptografia para mim. Você pode experimentá-lo. Ele fornece soluções de criptografia múltiplas e suporta todas as versões do Windows 7.
Para responder à segunda parte da sua pergunta, a Microsoft já alegou uma sobrecarga de CPU de 5-6% para Workstation \ Notebooks e 10-15% para servidores com o Bitlocker. O impacto no desempenho do HDD depende de quão poderoso é o seu CPU; para a maioria dos atuais CPUs e desktops de gen notebooks e sistemas de drives, o impacto não é perceptível. Eu corri sistemas similares com e sem Bitlocker e esta definitivamente tem sido minha experiência.
No entanto, isso depende da plataforma - Alexander Weiss at 4 Sysops fez algumas comparações de desempenho e encontrou uma redução de 29% a 50% na taxa de transferência de HDD sequencial para um netbook com tecnologia Atom, isso é inteiramente devido às fraquezas da CPU netbook de baixa potência. Reduções semelhantes são prováveis se você tiver um SSD insanamente rápido - as taxas de dados mais altas colocarão uma carga muito mais severa na CPU.
The next problem I face is imaging (Acronis/Ghost/..) encrypted drives will not work unless I perform sector-by-sector imaging. That means an 80Gb encrypted partition creates an 80Gb image file :(
Basta executar o Backup do computador em execução para que você tenha uma imagem não criptografada. Acronis deve ser capaz de fazer isso se eu não estiver errado. Se você ainda precisar de segurança para a imagem, poderá colocá-la no cofre ou em um disco do servidor criptografado. Eu iria com backups não criptografados para os dados porque eu gosto de backups à prova de falhas.
Se a restauração rápida do sistema for necessária, você provavelmente não ficará por perto imaginando a unidade criptografada.