O que o BitLocker realmente criptografa e quando?

33

Eu preciso de criptografia de disco completo para computadores portáteis de negócios executando uma versão atual do Windows 10 Pro. Os computadores têm uma unidade SSD NVMe da Samsung e uma CPU Intel Core i5-8000.

A partir de algumas pesquisas na web hoje, existem atualmente apenas duas opções disponíveis: Microsoft BitLocker e VeraCrypt. Estou plenamente consciente do estado de origem aberta e fechada e das implicações de segurança que acompanham isso.

Depois de ler algumas informações sobre o BitLocker, que eu nunca tinha usado antes, tenho a impressão de que, começando com o Windows 10 O BitLocker criptografa apenas os dados recém-gravados no disco mas nem tudo que já existe, por motivos de desempenho. (Essa documentação diz que eu tenho uma escolha, mas não tenho. Eles não me perguntaram o que eu queria depois de ativá-la.) Eu usei a criptografia do sistema TrueCrypt no passado e sei que a criptografia de dados existente é uma tarefa visível. algumas horas. Não consigo observar esse comportamento com o BitLocker. Nenhuma atividade de CPU ou disco de fundo notável.

A ativação do BitLocker é realmente fácil. Clique em um botão, salve a chave de recuperação em algum lugar seguro, pronto. O mesmo processo com a VeraCrypt me fez abandonar a ideia. Eu precisava realmente criar um dispositivo de recuperação totalmente funcional, mesmo para fins de teste em um sistema descartável.

Eu também li que VeraCrypt tem atualmente um falha de design que faz com que alguns SSDs NVMe sejam extremamente lentos com criptografia do sistema. Eu não posso verificá-lo porque a configuração é muito complicada. Pelo menos depois de ativar o BitLocker, não consigo ver uma alteração significativa no desempenho do disco. Além disso, a equipe VeraCrypt não tem recursos suficientes para corrigir esse "bug complicado". Além disso, Atualizações do Windows 10 não podem operar com VeraCrypt no lugar , o que faz com que freqüentes de-disco e criptografias necessárias. Espero que o BitLocker funcione melhor aqui.

Então, estou quase decidido a usar o BitLocker. Mas preciso entender o que isso faz. Infelizmente, quase não há informações sobre isso online. A maioria consiste em posts de blog que fornecem uma visão geral, mas não informações detalhadas e concisas. Então estou perguntando aqui.

Depois de ativar o BitLocker em um sistema de unidade única, o que acontece com os dados existentes? O que acontece com novos dados? O que significa "suspender o BitLocker"? (Não é o mesmo que desativá-lo permanentemente e, assim, descriptografar todos os dados no disco.) Como posso verificar o status de criptografia ou forçar a criptografia de todos os dados existentes? (Não me refiro a espaço não utilizado, não me importo com isso e é necessário para SSDs, consulte TRIM.) Há dados e ações mais detalhados sobre o BitLocker além de "suspender" e "descriptografar"?

E talvez em uma nota lateral, como o BitLocker se relaciona com o EFS (sistema de arquivos criptografados)? Se apenas arquivos recém-gravados forem criptografados, o EFS parece ter um efeito muito semelhante. Mas eu sei operar o EFS, é muito mais compreensível.

windows-10 ssd encryption bitlocker ygoe
fonte

Respostas:

40

A ativação do BitLocker iniciará um processo de segundo plano que criptografa todos os dados existentes. (Nos HDDs isso é tradicionalmente um processo longo, pois ele precisa ler e reescrever cada setor de partição - em discos de autocriptografia, ele pode ser instantâneo.) Portanto, quando se diz que somente os dados recém-gravados são criptografados, isso se refere ao estado imediatamente depois Ativação do BitLocker e não é mais verdadeira depois que a tarefa de criptografia em segundo plano é concluída. O status desse processo pode ser visto na mesma janela do painel de controle do BitLocker e pausado, se necessário.

O artigo da Microsoft precisa ser lido com atenção: ele fala apenas sobre criptografia usava áreas do disco. Eles apenas anunciam isso como tendo o maior impacto em sistemas novos, onde você não tem dados ainda além do SO base (e, portanto, todos os dados serão "recém-escritos"). Isto é, o Windows 10 vai criptografar todos os seus arquivos existentes após a ativação - simplesmente não perderá tempo criptografando os setores de disco que ainda não contêm nada. (Você pode desativar essa otimização por meio da Diretiva de Grupo.)

(O artigo também aponta para uma desvantagem: áreas que anteriormente continham arquivos excluídos também serão ignoradas como "não usadas". Então, se criptografar um sistema bem usado, faça um apagamento de espaço livre usando uma ferramenta e deixe o Windows executar TRIM se você tem um SSD, tudo antes de ativar o BitLocker. Ou use a Diretiva de Grupo para desabilitar esse comportamento.)

No mesmo artigo, também há uma menção a versões recentes do Windows que suportam SSDs de autocriptografia usando o padrão OPAL. Portanto, a razão pela qual você não vê nenhuma E / S de segundo plano pode ser porque o SSD foi criptografado internamente desde o primeiro dia, e o BitLocker reconheceu isso e apenas assumiu o comando Gerenciamento de chave no nível SSD em vez de duplicar o esforço de criptografia no nível do sistema operacional. Ou seja, o SSD não se desbloqueia mais ao ligar, mas requer que o Windows faça isso. Isso pode ser desativado por meio da Política de Grupo, se você preferir que o sistema operacional manipule a criptografia independentemente.

Suspender o BitLocker faz com que uma cópia de texto simples da chave 'mestre' seja gravada diretamente no disco. (Normalmente, essa chave mestra é primeiro criptografada com sua senha ou com um TPM.) Enquanto estiver suspensa, isso permite que o disco seja desbloqueado por conta própria - claramente um estado inseguro, mas permite que o Windows Update reprograme o TPM para corresponder ao sistema operacional atualizado , por exemplo. A retomada do BitLocker simplesmente limpa essa chave simples do disco.

O BitLocker não está relacionado ao EFS - o último funciona no nível do arquivo, associando chaves a contas de usuário do Windows (permitindo configurações refinadas, mas tornando impossível criptografar os próprios arquivos do sistema operacional), enquanto o primeiro funciona no nível de disco inteiro. Eles podem ser usados ​​juntos, embora o BitLocker na maioria das vezes torna o EFS redundante.

(Observe que o BitLocker e O EFS possui mecanismos para que os administradores corporativos do Active Directory recuperem os dados criptografados - seja fazendo backup da chave mestra do BitLocker no AD ou adicionando um EFS agente de recuperação de dados para todos os arquivos.)

grawity
fonte
Visão geral agradável, obrigado. Em relação à última frase: vejo muitos casos de uso - o BitLocker criptografa meu disco rígido contra pessoas de fora da empresa, mas meu grupo de TI posso acessar todos os dados na minha ausência, como eles têm a chave mestra. O EFS funciona bem para documentos que eu não faça quero que meu departamento de TI ou meu gerente possam acessar.
Aganju
6
@ Organju: O mesmo grupo de TI provavelmente já implantou uma política que designa um Agente de recuperação de dados EFS . Se você tiver documentos que não deseja que seu departamento de TI acesse, não os armazene em um dispositivo da empresa.
grawity
2
"BitLocker (...) criptografa todos os dados existentes (...) funciona em todo o nível de disco" - & gt; você esqueceu de mencionar partições. Com um HDD com 2 partições, eu ativei o Bitlocker para criptografar apenas 1 deles (aquele com os dados, não o OS). Ao inicializar com um SO baseado em Linux, somente os dados da partição não criptografada podem ser lidos.
CPHPython
@CPHPython: É verdade, e é aí que provavelmente fica inconsistente - no modo de software ele é capaz de criptografar apenas uma partição, mas no modo SSD (OPAL2) eu não tenho certeza se essa habilidade existe. Eu acho que ele bloqueia a unidade inteira e (até onde consegui entender o OPAL) o 'PBA' irá desbloqueá-lo antes qualquer OS é executado.
grawity