BitLocker는 실제로 언제 무엇을 암호화합니까?

최신 버전의 Windows 10 Pro를 실행하는 업무용 랩톱 컴퓨터에는 전체 디스크 암호화가 필요합니다. 이 컴퓨터에는 삼성의 NVMe SSD 드라이브와 Intel Core i5-8000 CPU가 있습니다.

오늘날 일부 웹 연구에서 현재 사용 가능한 옵션은 Microsoft BitLocker와 VeraCrypt입니다. 저는 공개 소스와 비공개 소스의 상태와 그에 따른 보안 영향을 완전히 알고 있습니다.

이전에 사용하지 않은 BitLocker에 대한 정보를 읽은 후 Windows 10부터 BitLocker는 디스크에 새로 작성된 데이터 만 암호화 하지만 성능상의 이유로 이미 존재하는 모든 데이터는 암호화 하지 않는다는 인상을 받았습니다 . (이 문서는 선택의 여지가 있지만 그렇지 않다고 말합니다. 활성화 후 원하는 것을 묻지 않았습니다.) 과거에 TrueCrypt 시스템 암호화를 사용했으며 기존 데이터 암호화가 눈에 띄는 작업임을 알고 있습니다 몇 시간. BitLocker에서는 이러한 동작을 관찰 할 수 없습니다. 백그라운드 CPU 또는 디스크 활동이 눈에 띄지 않습니다.

BitLocker 활성화는 정말 쉽습니다. 버튼을 클릭하고 복구 키를 안전한 곳에 저장하십시오. VeraCrypt와 동일한 프로세스를 통해 아이디어를 포기했습니다. 실제로 폐기 시스템에서 테스트 할 때에도 완전히 작동하는 복구 장치를 만들어야했습니다.

또한 VeraCrypt는 현재 시스템 암호화로 일부 NVMe SSD를 매우 느리게 만드는 설계 결함이 있음을 읽었습니다 . 설정이 너무 복잡해서 확인할 수 없습니다. 적어도 BitLocker를 활성화 한 후에는 디스크 성능에 큰 변화가 없습니다. 또한 VeraCrypt 팀은 해당 "복잡한 버그"를 해결하기위한 리소스가 부족합니다. 또한 Windows 10 업그레이드는 VeraCrypt와 함께 작동 할 수 없으므로 잦은 전체 디스크 디스크립션 및 암호화가 필요합니다. BitLocker가 더 잘 작동하기를 바랍니다.

그래서 BitLocker 사용에 거의 정식했습니다. 그러나 나는 그것이 무엇을 이해해야합니다. 불행히도 온라인에 대한 정보는 거의 없습니다. 대부분의 블로그 게시물은 개요는 제공하지만 간결한 정보는 제공하지 않습니다. 그래서 여기에 묻습니다.

단일 드라이브 시스템에서 BitLocker를 활성화 한 후 기존 데이터는 어떻게됩니까? 새로운 데이터는 어떻게 되나요? "BitLocker 일시 중단"이란 무엇입니까? 영구적으로 비활성화하여 디스크의 모든 데이터를 해독하는 것과는 다릅니다. 암호화 상태를 확인하거나 기존의 모든 데이터를 강제로 암호화하려면 어떻게해야합니까? (사용하지 않는 공간을 의미하는 것은 아니며, 신경 쓰지 않으며 SSD에 필요합니다. TRIM을 참조하십시오.) "일시 중단"및 "암호 해독"이외의 BitLocker에 대한 자세한 데이터 및 작업이 있습니까?

참고로 BitLocker는 EFS (암호화 된 파일 시스템)와 어떤 관련이 있습니까? 새로 작성된 파일 만 암호화 된 경우 EFS는 매우 유사한 효과가있는 것으로 보입니다. 그러나 EFS 작동 방법을 알고 있습니다. 훨씬 이해하기 쉽습니다.

BitLocker를 활성화하면 기존의 모든 데이터를 암호화하는 백그라운드 프로세스가 시작됩니다. (HDD에서는 전통적으로 모든 파티션 섹터를 읽고 다시 작성해야하므로 오랜 시간이 걸리는 프로세스입니다. 자체 암호화 디스크에서는 즉시 사용할 수 있습니다.) 새로 작성된 데이터 만 암호화된다고 말하면 즉시 상태를 나타냅니다. BitLocker 활성화 후 백그라운드 암호화 작업이 완료되면 더 이상 적용되지 않습니다. 이 프로세스의 상태는 동일한 BitLocker 제어판 창에서 볼 수 있으며 필요한 경우 일시 중지됩니다.

Microsoft 기사는주의 깊게 읽어야합니다. 실제로 디스크의 사용 된 영역 만 암호화하는 방법에 대해 설명 합니다. 그들은 단지 기본 OS 외에는 아직 데이터가 없으므로 모든 데이터가 "새로 작성"될 수 있는 새로운 시스템에 가장 큰 영향을 미치는 것으로이를 광고합니다 . 즉, Windows 10 은 정품 인증 후 기존의 모든 파일을 암호화하므로 아직 아무것도 포함하지 않은 디스크 섹터를 암호화하는 데 시간을 낭비하지 않습니다. 그룹 정책을 통해이 최적화를 선택 해제 할 수 있습니다.

(이 기사는 또한 단점을 지적합니다. 이전에 삭제 된 파일을 보유한 영역도 "미사용"으로 건너 뜁니다. 따라서 잘 사용 된 시스템을 암호화하는 경우 도구를 사용하여 여유 공간을 지우고 Windows가 TRIM을 실행하도록하십시오. BitLocker를 활성화하기 전에 SSD가 있거나 그룹 정책을 사용하여이 동작을 비활성화하십시오.)

같은 기사에서도 OPAL 표준을 사용하여 자체 암호화 SSD를 지원하는 최신 Windows 버전에 대한 언급이 있습니다. 따라서 백그라운드 I / O가 표시되지 않는 이유는 SSD가 처음부터 내부적으로 암호화되어 있기 때문에 BitLocker가이를 인식 하고 OS 수준에서 암호화 노력을 복제하는 대신 SSD 수준 키 관리 만을 인수했기 때문 입니다. 즉, SSD는 더 이상 전원을 켰을 때 자체 잠금을 해제하지 않지만 Windows는 그렇게해야합니다. OS가 암호화를 처리하는 것을 선호하는 경우 그룹 정책을 통해 비활성화 할 수 있습니다.

BitLocker를 일시 중단하면 '마스터'키의 일반 텍스트 사본이 디스크에 직접 기록됩니다. (일반적으로이 마스터 키는 먼저 암호 또는 TPM으로 암호화됩니다.) 일시 중지 된 상태에서는 디스크를 자체적으로 잠금 해제 할 수 있습니다. 확실히 안전하지 않은 상태이지만 Windows Update에서 업그레이드 된 OS와 일치하도록 TPM을 다시 프로그래밍 할 수 있습니다. 예를 들어. BitLocker를 다시 시작하면 디스크에서이 일반 키가 삭제됩니다.

BitLocker는 EFS와 관련이 없습니다. 후자는 파일 수준에서 작동하여 키를 Windows 사용자 계정에 연결하고 (세분화 된 구성은 허용하지만 OS 자체 파일을 암호화 할 수는 없습니다) 전자는 전체 디스크 수준에서 작동합니다. BitLocker는 대부분 EFS를 중복으로 만들지 만 함께 사용할 수 있습니다 .

BitLocker 와 EFS에는 AD의 BitLocker 마스터 키를 백업하거나 모든 파일에 EFS 데이터 복구 에이전트 를 추가하여 회사 Active Directory 관리자가 암호화 된 데이터를 복구 할 수있는 메커니즘이 있습니다.