내 SSD가 제공하는 Bitlocker 또는 내장 드라이브 암호화를 사용하는 것이 더 낫습니까?

17

내 시스템 :

  • AES-NI를 지원하는 Intel Core i7-4790
  • ASUS Z97-PRO mobo
  • 삼성 250GB EVO SSD (내장 암호화 옵션 포함)
  • 64 비트 Windows 7

부팅 드라이브를 AES256 또는 이와 유사한 것으로 암호화하려면 차이 / 빠른 성능 /보다 안전한 것은 무엇입니까? Windows Bitlocker를 켜고 SSD 암호화를 사용하지 않거나 SSD가 제공하는 내장 드라이브 암호화를 활성화하고 Bitlocker에 대해 걱정하지 않습니까?

Evo의 암호화 옵션을 사용하여 SSD로 암호화를 오프로드하는 것이 더 좋을 것으로 생각하므로 프로세서가 암호화를 수행 할 필요가 없습니다. ? 또는이 CPU에 AES-NI가 있으므로 중요하지 않을 수 있습니까?

Bitlocker와이 SSD 암호화 옵션을 처음 사용하므로 도움을 주시면 감사하겠습니다.

ssd  bitlocker  disk-encryption  aes  opal-ssc 
에디
소스
1
phuclv
인터넷 에이 질문에 대답하기에 충분한 정보가 없기 때문에 각 옵션의 벤치마킹을하고 여기에 게시해야 할 수도 있습니다.
Edel Gerardo

답변:

6

오래된 질문이지만 그 이후 Bitlocker 및 드라이브 암호화 (독립 또는 조합으로 사용)와 관련하여 몇 가지 새로운 개발이 발견되었으므로 페이지에 대한 내 의견 몇 가지를 답변으로 바꾸겠습니다. 2018 년 이후에 검색을하는 사람에게 유용 할 수 있습니다.

Bitlocker (단독) :
Bitlocker의 역사에서 여러 가지 방법이 있었지만 다행히도 대부분은 2018 년에 이미 패치 / 완화되었습니다. 예를 들어 최신 버전 인 "Cold Boot Attack"이 있습니다. 실제로 Bitlocker와 관련이 없습니다 (실행중인 컴퓨터에 물리적으로 액세스하고 암호화 키 등을 메모리에서 직접 도용해야 함).

SSD 드라이브 하드웨어 암호화 및 Bitlocker :
2018 년에 새로운 취약점이 나타났습니다. SSD 디스크에 대부분의 SSD에있는 하드웨어 암호화가있는 경우 Bitlocker는 기본적으로이 하드웨어 만 사용합니다. 즉, 암호화 자체가 해독 된 경우 사용자는 기본적으로 전혀 보호 기능이 없습니다. Crucial MX100, MX200, MX300 시리즈 Samgung 840 EVO, 850 EVO, T3, T5
는이 취약점으로 고통받는 것으로 알려진 드라이브입니다 (그러나 이에 국한되지는 않음).

SSD 암호화 문제에 대한 자세한 내용은
https://twitter.com/matthew_d_green/status/1059435094421712896

그리고 실제 논문 (PDF)은 여기에서 문제에 대해 더 깊이 파고 들고 있습니다 :
t.co/UGTsvnFv9Y?amp=1

답은 정말입니다. Bitlocker는 디스크 하드웨어 암호화를 사용하고 그 위에 자체 취약점이 있으므로 SSD가 손상된 SSD 목록에 없으면 하드웨어 암호화를 사용하는 것이 좋습니다.

디스크가 목록에 있으면 Bitlocker가 어쨌든 드라이브 암호화를 사용하기 때문에 다른 것을 완전히 사용하는 것이 좋습니다. 질문은 무엇입니까? 리눅스에서는 LUKS를 추천합니다.

DocWeird
소스
1
Windows가 하드웨어 암호화를 사용하지 못하게 할 수 있습니다 . "BitLocker에서 소프트웨어 암호화를 사용하는 방법"페이지를 검색하십시오.
42
1

나는 이것에 대해 약간의 연구를 해왔고 반은 완전한 답을 가지고 있습니다.

  1. 비트 로커 또는 다른 암호화 프로그램에서 소프트웨어 기반 암호화를 사용하는 경우 읽기 쓰기 속도가 25 % ~ 45 % 느려질 수 있습니다. 최소 10 %의 성능 저하를 볼 수 있습니다. (TMP 칩이 장착 된 SSD가 있어야 함)

  2. Bitlocker는 하드웨어 기반 암호화와 호환되므로 삼성 매직을 사용할 수 있습니다. v 4.9.6 (v5는 더 이상이를 지원하지 않음) 드라이브를 지우고 하드웨어 기반 암호화를 사용 가능하게합니다.

http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/

  1. 마스터 암호를 설정하여 BIOS를 통해 하드웨어 기반 암호화를 활성화 할 수 있습니다. CMS 끄기와 같은 위 기사의 일부 단계를 수행해야합니다.

  2. 귀하의 질문에 대답하기 위해 실제로 어느 것이 더 빠른지 잘 모르겠습니다. 나는 삼성에 연락했지만 이것에 대한 제한된 정보를 주었다. 개발자를 얻지 않으면 더 나은 옵션에 대한 좋은 답변을 얻을 것입니다. 지금은 바이오스에서 하드웨어 기반 암호화를 활성화 할 계획입니다.

콜린
소스
성능상의 이유로 "더 좋다"고 말하는가? 두 암호화 방법 모두 일반적으로 동일한 보안을 제공합니까? 나는 "자체 암호화"디스크가 놀랍도록 암호화가 빠르다는 소식을 들었습니다. 예, 그러나 실제로는 안전하지 않습니다.
user1686
Bitlocker가 위반되었으며 보안 전문가가이 문제를 해결했습니다. 기본적으로 컴퓨터에 로그인하는 데 필요한 AD 등을 위조 할 수있는 경우 프로세스에서 Bitlocker를 무시할 수도 있습니다.
DocWeird
Beg 사면, @DocWeird, Bitlocker가 위반되었다고 주장하는 것은 AES-256이 위반되었다고 주장하는 것입니다. 정확히 무엇을 의미합니까? 다시 로그인하면 Bitlocker와 관련이 없습니다! 전혀 로그인하지 않고도 Bitlocker 드라이브에서 부팅 할 수 있습니다! Bitlocker는 컴퓨터의 다른 승인 된 사용자가 파일을 읽지 못하도록하는 것이 아니라 누군가가 드라이브를 훔쳐 다른 컴퓨터에 연결하는 경우 하드 드라이브의 내용에 액세스하지 못하도록합니다 (모든 SID를 무시할 수 있음) 기반 액세스 제어). EFS를 생각하지 않습니까?
Jamie Hanrahan
Bitlocker를 위반하는 몇 가지 방법이 있습니다. 대부분이 이미 패치 / 완화되었습니다 (실제 Bitlocker가 아닌 Cold Boot Attack의 최신 버전 포함). 도메인 컨트롤러, 로컬 암호 캐시를 가짜로 만들고 암호를 변경하면 TPM이 암호 해독 키를 생성합니다. 자세한 내용은 여기를보십시오 : itworld.com/article/3005181/…
DocWeird 8:29에
그리고 우리가 Bitlocker 취약점에 있으므로 새로운 취약점이 나타났습니다. SSD 디스크에 하드웨어 암호화가있는 경우 Bitlocker는 기본적으로이 하드웨어 만 사용합니다. 즉, 해당 암호화가 해독 된 경우 사용자는 기본적으로 전혀 보호 기능이 없습니다. 자세한 내용은 다음을 참조 하십시오. mobile.twitter.com/matthew_d_green/status/1059435094421712896 및 실제 용지 (PDF) : t.co/UGTsvnFv9Y?amp=1
DocWeird
0

드라이브 및 드라이브에서 제공하는 암호화 옵션에 익숙하지 않지만 하드웨어 암호화는 여러 운영 체제 (예 : Windows 및 Linux를 이중 부팅하려는 경우)에서 사용할 수 있지만 소프트웨어 암호화는 구성하기가 더 어려울 수 있습니다. 또한 두 방법의 안전성은 암호화 키를 저장하는 방법과 위치에 따라 다릅니다.

Evo의 암호화 옵션을 사용하여 SSD로 암호화를 오프로드하는 것이 더 좋을 것이므로 프로세서가 암호화를 수행 할 필요가 없습니다. 이는 I / O 성능에 더 좋으며 CPU에 숨을 쉬게합니다 ?

하드웨어 기반 암호화는 컴퓨터의 처리 속도를 낮추지 않습니다.

장치에서 암호화를 사용한 적이 없으므로 실제 활성화 프로세스를 도와 드릴 수 없습니다. 대부분의 경우 암호화를 활성화하면 드라이브가 지워집니다 (BitLocker는 데이터를 지우지 않지만 모든 라이브 암호화 소프트웨어와 마찬가지로 원격으로 손상 될 가능성이 큽니다). 컴퓨터가 종료 될 때까지 잠금 해제 된 다중 OS 호환 암호화 드라이브를 사용하려면 하드 드라이브가 제공하는 하드웨어 암호화 기능을 사용하십시오. 그러나 좀 더 안전하지만 Windows로 제한된 것을 원하면 BitLocker를 사용해보십시오. 내가 도와줬으면 좋겠다!


소스
처음에는 "하드웨어 암호화가 더 안전하다는 사실을 알고 있습니다"라고 말하지만 결국에는 반대라고 말합니다 ( "호환이 필요하면 하드웨어 암호화를 사용하지만 더 안전한 것을 원하면 BitLocker를 사용해보십시오"). ). 무슨 뜻 이세요? 이 기사에서 설명한 것과 같은 것들을 설명했습니까 ?
user1686
3
hardware-based encryption is generally more secure부정확하다. 속도는 더 빠를 수 있지만 보안은 하드웨어 나 소프트웨어가 아닌 암호화 표준에 따라 달라집니다. 파일을 암호화하는 방법에 관계없이 동일한 키를 사용하여 출력이 동일하기 때문에
phuclv
-2

Wikipédia를 해보자.

BitLocker

BitLocker는 전체 디스크 암호화 기능입니다. 전체 볼륨에 대한 암호화를 제공하여 데이터를 보호하도록 설계되었습니다.

BitLocker는 논리적 볼륨 암호화 시스템입니다. 볼륨은 전체 하드 디스크 드라이브 일 수도 있고 아닐 수도 있으며 하나 이상의 물리적 드라이브에 걸쳐있을 수도 있습니다. 또한 활성화 된 경우 TPM 및 BitLocker는 대부분의 오프라인 물리적 공격, 부팅 섹터 맬웨어 등을 방지하기 위해 신뢰할 수있는 부팅 경로 (예 : BIOS, 부팅 섹터 등)의 무결성을 보장 할 수 있습니다.

Microsoft에 따르면 BitLocker에는 의도적으로 내장 된 백도어가 포함되어 있지 않습니다. 백도어가 없으면 법 집행 기관이 Microsoft에서 제공하는 사용자 드라이브의 데이터를 확실하게 전달할 수있는 방법이 없습니다.

자체 암호화 드라이브

드라이브 또는 드라이브 인클로저 내에 내장 된 하드웨어 기반 암호화는 사용자에게 특히 투명합니다. 부팅 인증을 제외한 드라이브는 성능 저하없이 다른 드라이브와 동일하게 작동합니다. 모든 암호화가 운영 체제 및 호스트 컴퓨터 프로세서에 표시되지 않기 때문에 디스크 암호화 소프트웨어와 달리 복잡성 또는 성능 오버 헤드가 없습니다.

두 가지 주요 사용 사례는 미사용 데이터 보호 및 암호화 디스크 삭제입니다.

Data at Rest 보호에서 랩탑의 전원은 간단히 꺼집니다. 디스크는 이제 디스크의 모든 데이터를 자체 보호합니다. 데이터는 심지어 OS까지 모든 데이터가 이제 AES의 보안 모드로 암호화되어 읽기 및 쓰기가 잠겨 있기 때문에 안전합니다. 드라이브의 잠금을 해제하려면 32 바이트 (2 ^ 256)의 강력한 인증 코드가 필요합니다.

일단 잠금이 해제되면 일반적인 자체 암호화 드라이브는 전원이 공급되는 한 잠금 상태를 유지합니다. Erlangen-Nürnberg Universität의 연구원들은 전력을 차단하지 않고 드라이브를 다른 컴퓨터로 옮기는 것에 근거하여 여러 가지 공격을 시연했습니다. 또한 드라이브 전원을 차단하지 않고 컴퓨터를 공격자 제어 운영 체제로 재부팅 할 수 있습니다.

평결

가장 중요한 라인은 다음과 같습니다.

모든 암호화가 운영 체제 및 호스트 컴퓨터 프로세서에 표시되지 않기 때문에 디스크 암호화 소프트웨어와 달리 복잡성 또는 성능 오버 헤드가 없습니다.

일단 잠금이 해제되면 일반적인 자체 암호화 드라이브는 전원이 공급되는 한 잠금 상태를 유지합니다.

BitLocker는 디스크 암호화 소프트웨어이므로 하드웨어 기반 전체 디스크 암호화보다 속도가 느립니다. 그러나 자체 암호화 드라이브는 마지막으로 잠금 해제 한 이후 전원이 공급되는 한 잠금 해제 상태를 유지합니다. 컴퓨터를 종료하면 드라이브가 고정됩니다.

따라서보다 안전한 BitLocker 또는 성능이 뛰어난 자체 암호화 드라이브가 있습니다.

나토 보람
소스
1
나는 그 질문이 EFS를 언급하고 있지 않다고 믿는다 .
Scott
@Scott 나는 당신이 옳다고 생각하지만 최선을 다해 도와 드리겠습니다. 적어도 지금 우리는 BitLocker에 대한 더 많은 정보를 가지고 있습니다. 이것은 누군가가 SSD 암호화가 정확히 무엇인지 안다면 미래의 대답에 도움이 될 수 있습니다.
NatoBoram
1
@NatoBoram- '적어도 지금은 BitLocker에 대한 추가 정보가 있습니다.'-잘 문서화 된 기능에 대한 자세한 정보는 저자의 질문에 대한 답변이 아닙니다. 답변을 편집하여 저자의 질문을 직접 해결하십시오.
Ramhound
비트 록커도 제공 하드웨어 암호화
NetwOrchestration
2
드라이브의 하드웨어 암호화 작업이 운영 체제에 보이지 않는다고해서 CPU 기반 암호화를 사용하는 것이 전체적으로 더 빠를 정도로 드라이브 작동 속도가 느려지지 않는다는 의미는 아닙니다.
simpleuser
-4

업데이트 : 나는이 대답이 정확하고 하드웨어 및 보안 운영에 대한 실제 엔터프라이즈 경험의 예라고 생각합니다. 어쩌면 나는 초기 답변에 세부 사항을 제공하지 못하여 다운 투표자를 만들었지 만 공동체 전체의보다 결정적인 답변에 대한 사고 과정에 대한 통찰력을 제공했습니다. Windows는 시작 이후 로커가 손상되었으며 잘 알려진 문제로 엔터프라이즈 Windows OS에는 포함되어 있지 않지만 NSA Backdoor의 보안 / 대역 지원 계층을 위해 소비자 수준 패키지에서 사용할 수 있습니다.

삼성 EVO SSD의 기본 제공 암호화 기능은 기본적으로 최적화되어 있으며 회사 환경의 보안을 위해 최고의 SSD 중 하나이기 때문에 선택했습니다. 또한 키를 분실 한 경우 삼성은 SSD의 일련 번호를 통해 유료로 잠금을 해제 할 수 있습니다.

CymaTechs
소스
2
삼성이 일련 번호를 통해 SSD를 잠금 해제 할 수 있다는 사실은 적기입니다. 삼성은 알고리즘을 사용하여 일련 번호를 기반으로 키를 만들거나 키가있는 데이터베이스를 가지고 있습니다.
RS Finance
@RSFinance에 동의하십시오. 다른 사람이 귀하의 허락없이 귀하의 안전한 데이터를 얻을 수있는 경우에는 안전하지 않습니다.
UtahJarhead
1
@RSFinance 이것은 사실이 아니라 판타지입니다. Opal SSC 호환 드라이브를 사용하면 설계 상으로는 불가능합니다. 사용하기 전에 드라이브를 올바르게 초기화했다고 가정하면 이론적으로 벤더가 암호화 키를 알고있을 가능성이 없어집니다. 실제 삼성 SSD의 Opal SSC 준수 여부를 신뢰할 수는 없지만 이것은 다른 이야기입니다.
UnclickableCharacter
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.