Mon système:

• Intel Core i7-4790, qui prend en charge AES-NI
• ASUS Z97-PRO mobo
• Samsung 250GB EVO SSD (avec option de cryptage intégrée)
• Windows 7 64 bits

Si je veux juste chiffrer mon disque de démarrage avec AES256 ou similaire, quelle serait la différence / des performances plus rapides / plus sécurisées? Activez Windows Bitlocker et n'utilisez pas le cryptage SSD, ou activez le cryptage de lecteur intégré proposé par le SSD, et ne vous inquiétez pas pour Bitlocker?

Je pense qu'il serait préférable de décharger le cryptage sur le SSD en utilisant l'option de cryptage d'Evo, afin que le processeur n'ait pas à effectuer de cryptage, cela pourrait être meilleur pour les performances d'E / S et donner une pause au CPU ? Ou puisque ce CPU a AES-NI, cela pourrait ne pas avoir d'importance?

Je suis nouveau sur Bitlocker et cette option de cryptage SSD, donc toute aide est très appréciée.

Vieille question, mais depuis lors, plusieurs nouveaux développements ont été trouvés concernant Bitlocker et le chiffrement de lecteur (utilisé seul ou en combinaison), je vais donc transformer quelques-uns de mes commentaires sur la page en réponse. Peut-être que cela est utile à quelqu'un qui effectue une recherche en 2018 et après.

Bitlocker (seul):
Il y a eu plusieurs façons de briser Bitlocker dans son histoire, heureusement, la plupart d'entre elles ont déjà été corrigées / atténuées en 2018. Ce qui reste (connu) comprend, par exemple, la "Cold Boot Attack" - la dernière version dont vraiment pas spécifique à Bitlocker (vous avez besoin d'un accès physique à un ordinateur en cours d'exécution et volez les clés de chiffrement, et tout le reste, directement dans la mémoire).

Chiffrement matériel des disques SSD et Bitlocker:
une nouvelle vulnérabilité est apparue en 2018; si un disque SSD a un cryptage matériel, comme la plupart des SSD, Bitlocker utilise par défaut uniquement cela. Ce qui signifie que si ce cryptage lui-même a été piraté, l'utilisateur n'a essentiellement aucune protection.
Les lecteurs connus pour souffrir de cette vulnérabilité incluent (mais ne sont probablement pas limités à):
les séries Crucial MX100, MX200, MX300 Samgung 840 EVO, 850 EVO, T3, T5

Plus d'informations sur le problème de cryptage SSD ici:
https://twitter.com/matthew_d_green/status/1059435094421712896

Et le papier réel (au format PDF) approfondissant le problème ici:
t.co/UGTsvnFv9Y?amp=1

Donc, la réponse est vraiment; étant donné que Bitlocker utilise le chiffrement matériel des disques et possède ses propres vulnérabilités en plus de cela, il vaut mieux utiliser le chiffrement matériel si votre SSD ne figure pas sur la liste des SSD fissurés.

Si votre disque est sur la liste, vous feriez mieux d'utiliser entièrement autre chose car Bitlocker utiliserait le cryptage du lecteur de toute façon. Quelle est la question; sous Linux, je recommanderais LUKS, par exemple.

J'ai fait des recherches à ce sujet et j'ai une réponse à moitié complète pour vous.

1. Il est toujours préférable d'utiliser le chiffrement matériel sur un lecteur à chiffrement automatique, si vous utilisez le chiffrement logiciel sur bitlocker ou un autre programme de chiffrement, cela entraînera un ralentissement de 25% à 45% des vitesses d'écriture en lecture. vous pouvez constater une baisse d'au moins 10% des performances. (notez que vous devez avoir un SSD avec une puce TMP)

2. Bitlocker est compatible avec le cryptage matériel, vous pouvez utiliser Samsung Magic. v 4.9.6 (v5 ne le prend plus en charge) pour effacer le lecteur et activer le chiffrement matériel.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

3. vous pouvez activer le chiffrement matériel via le BIOS en définissant le mot de passe principal. Vous devrez suivre certaines des étapes de l'article ci-dessus, comme désactiver le CMS.

4. Pour répondre à votre question, je ne sais pas vraiment laquelle est la plus rapide. J'ai contacté Samsung, mais étant donné les informations limitées à ce sujet. À moins d'avoir un développeur, je doute que j'obtienne une bonne réponse, quelle est la meilleure option. Pour l'instant, je prévois d'activer le cryptage matériel dans mon bios.

Je ne connais pas votre disque et les options de cryptage qu'il propose, mais le cryptage matériel peut être utilisé avec plusieurs systèmes d'exploitation (par exemple, lorsque vous souhaitez double-boot Windows et Linux), tandis que le cryptage logiciel peut être plus difficile à configurer. De plus, la sécurité des deux méthodes dépend de la manière et de l'endroit où vous stockez vos clés de chiffrement.

Je pense qu'il serait préférable de décharger le cryptage sur le SSD en utilisant l'option de cryptage d'Evo, afin que le processeur n'ait pas à effectuer de cryptage, cela pourrait être meilleur pour les performances d'E / S et donner au CPU une pause ?

Vous avez raison, le chiffrement matériel ne réduit pas la vitesse de traitement de l'ordinateur.

Je n'ai jamais utilisé de cryptage sur aucun de mes appareils, je suis donc désolé de ne pas pouvoir vous aider avec le processus d'activation. Veuillez noter que dans la plupart des cas, l'activation du cryptage entraîne l'effacement du lecteur (BitLocker n'efface PAS les données, mais il a un risque de corruption extrêmement faible, comme c'est le cas avec tous les logiciels de cryptage en direct). Si vous souhaitez avoir un lecteur chiffré compatible avec plusieurs systèmes d'exploitation qui reste déverrouillé jusqu'à ce que l'ordinateur soit éteint, utilisez la fonction de chiffrement matériel offerte par votre disque dur. Mais, si vous voulez quelque chose d'un peu plus sécurisé mais limité à Windows, essayez BitLocker. J'espère que j'ai aidé!

Faisons un peu de Wikipédia.

BitLocker

BitLocker est une fonction de chiffrement complet du disque. Il est conçu pour protéger les données en fournissant un chiffrement pour des volumes entiers.

BitLocker est un système de chiffrement de volume logique. Un volume peut ou non être un disque dur entier, ou il peut s'étendre sur un ou plusieurs disques physiques. De plus, lorsqu'ils sont activés, TPM et BitLocker peuvent garantir l'intégrité du chemin de démarrage approuvé (par exemple, BIOS, secteur de démarrage, etc.), afin d'empêcher la plupart des attaques physiques hors ligne, des logiciels malveillants du secteur de démarrage, etc.

Selon Microsoft, BitLocker ne contient pas de porte dérobée intentionnellement intégrée; sans porte dérobée, il n'y a aucun moyen pour les forces de l'ordre d'avoir un passage garanti vers les données sur les disques de l'utilisateur fournies par Microsoft.

Lecteur à chiffrement automatique

Le chiffrement basé sur le matériel lorsqu'il est intégré au lecteur ou à l'intérieur du boîtier du lecteur est notamment transparent pour l'utilisateur. Le lecteur, à l'exception de l'authentification au démarrage, fonctionne comme n'importe quel lecteur sans dégradation des performances. Il n'y a aucune complication ni surcharge de performances, contrairement au logiciel de chiffrement de disque, car tout le chiffrement est invisible pour le système d'exploitation et le processeur des ordinateurs hôtes.

Les deux principaux cas d'utilisation sont la protection des données au repos et l'effacement des disques cryptographiques.

Dans la protection des données au repos, un ordinateur portable est simplement éteint. Le disque protège désormais automatiquement toutes les données qu'il contient. Les données sont sécurisées car tout, même le système d'exploitation, est maintenant crypté, avec un mode sécurisé d'AES, et verrouillé contre la lecture et l'écriture. Le lecteur nécessite un code d'authentification qui peut être aussi puissant que 32 octets (2 ^ 256) pour le déverrouiller.

Les lecteurs à chiffrement automatique typiques, une fois déverrouillés, resteront déverrouillés tant que l'alimentation est fournie. Les chercheurs de l'Universität Erlangen-Nürnberg ont démontré un certain nombre d'attaques basées sur le déplacement du disque vers un autre ordinateur sans couper l'alimentation. De plus, il peut être possible de redémarrer l'ordinateur dans un système d'exploitation contrôlé par un attaquant sans couper l'alimentation du lecteur.

Verdict

Je pense que les lignes les plus importantes sont les suivantes:

Il n'y a aucune complication ni surcharge de performances, contrairement au logiciel de chiffrement de disque, car tout le chiffrement est invisible pour le système d'exploitation et le processeur des ordinateurs hôtes.

Les lecteurs à chiffrement automatique typiques, une fois déverrouillés, resteront déverrouillés tant que l'alimentation est fournie.

Parce que BitLocker est un logiciel de chiffrement de disque, il est plus lent que le chiffrement de disque complet basé sur le matériel. Cependant, le lecteur à chiffrement automatique reste déverrouillé tant qu'il est alimenté depuis la dernière fois qu'il a été déverrouillé. L'arrêt de l'ordinateur sécurisera le lecteur.

Donc, soit vous disposez du BitLocker plus sécurisé, soit du lecteur à chiffrement automatique plus performant.

Mise à jour: Je pense que cette réponse était correcte et un exemple d'expérience réelle de l'entreprise dans les opérations matérielles et de sécurité. Peut-être que je n'ai pas fourni de détails dans ma réponse initiale qui a créé les votes négatifs, mais aussi fourni un aperçu du processus de réflexion pour une réponse plus concluante de la communauté dans son ensemble. Windows, mais le casier a été compromis depuis le lancement et est un problème bien connu, non inclus dans le système d'exploitation Windows d'entreprise mais disponible pour les packages de niveau consommateur pour une couche de sécurité / aide de bande, NSA Backdoor.

Le cryptage intégré des SSD Samsung EVO serait mon choix car il est nativement optimisé et l'un des meilleurs SSD disponibles pour la sécurité dans les environnements d'entreprise. De plus, si vous perdez la clé, Samsung peut la déverrouiller moyennant des frais via le numéro de série sur le SSD.