Рекомендуемое решение для шифрования диска

С инструментами атаки Evil Maid (EM), которые теперь доступны для TrueCrypt, я бы выбрал BitLocker, если бы у меня был бюджет, потому что EM-подобные атаки гораздо сложнее, и они лучше интегрируются с AD и т. Д., Как сказал Оскар Дювеборн.

Я предлагаю вам прочитать статьи Джоанны Рутковской по обоим продуктам:

http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html

Но если вы уверены, что ваши коллеги всегда будут заботиться о своих ноутбуках - с защитным чехлом и всем остальным, вы можете выбрать TrueCrypt.

Примечания стороны

• Помните, что полное шифрование диска не защитит ваши данные изнутри [ОС], например, если ваш компьютер был поврежден вирусом во время работы.

• помните, что технические решения - это только часть цепочки безопасности (подробнее см. http://xkcd.com/538/).

Изменить (01-20-2010)

Дополнительные сведения о атаках BitLocker и EM:

• Обратите внимание, что BitLocker будет более устойчивым, чем TrueCrypt, только если он используется на компьютере с доверенным платформенным модулем.

• Есть способы победить BitLocker+TPM ( статья, статья), но нет доступных общедоступных инструментов AFAIK. Таким образом, хотя BitLocker более устойчив к оппортунистическим EM-атакам (для создания BitLocker требуется перестроить подделанный экран взаимодействия с пользователем, чем просто скопировать EM-инструмент для расшифровки на USB-ключ), он не является на 100% пуленепробиваемым (решение не существует).

Слово совета. Я только что узнал, что лицензия TrueCrypt содержит легальную "ловушку", которая позволяет им предъявлять иск любому пользователю программного обеспечения, даже если пользователь соблюдает 100% условий лицензии.

http://lists.freedesktop.org/archives/distributions/2008-October/000276.html

Они были проинформированы об этом давным-давно Fedora и не исправили это в текущей версии, поэтому мне кажется, что это на самом деле намеренная ловушка.

Хотя TrueCrypt подходит для сценария с небольшим офисом или домашним офисом, существует множество причин для платного решения в более крупном бизнесе:

1. Консоль управления
2. Интеграция с Active Directory, поэтому конечным пользователям необходимо войти в систему только один раз.
3. Удаленный пароль сбрасывается. Потребуется ли конечному пользователю позвонить вам для сброса пароля?
4. Дистанционный выключатель Некоторые предлагают это также.

В настоящее время я рассматриваю пару решений сторонних производителей, McAfee Total Protection for Data (ранее известную как SafeBoot) и Symantec Endpoint Encyrption.

Одна из причин, по которой я не изучал BitLocker, заключается в том, что у меня уже есть несколько машин в Vista Business, и я не хотел их обновлять / повторно предоставлять.

Я также изучил решение PGP, но для управления программным обеспечением требуется выделенный сервер или сертифицированный виртуальный сервер, и это было слишком сложно для моего сценария.

Чтобы ответить на вторую часть вашего вопроса, Microsoft по-разному заявляла, что загрузка процессора составляет 5-6% для рабочих станций \ ноутбуков и 10-15% для серверов с Bitlocker. Влияние производительности на жесткий диск зависит от того, насколько мощен ваш ЦП, для большинства современных процессоров и систем с жесткими дисками для ноутбуков и настольных ПК это влияние не заметно. Я запускал похожие системы с и без Bitlocker, и это определенно мой опыт.

Однако это зависит от платформы - Александр Вайс из 4-х Sysops провел несколько сравнений производительности и обнаружил снижение скорости последовательной передачи жестких дисков на 29-50 % для нетбуков с процессором Atom, что полностью связано с недостатками маломощного ЦП нетбука., Подобные сокращения вероятны, если у вас безумно быстрый твердотельный накопитель - более высокая скорость передачи данных приведет к гораздо более серьезной нагрузке на процессор.

Следующая проблема, с которой я сталкиваюсь, заключается в том, что зашифрованные диски с изображениями (Acronis/Ghost/..) не будут работать, если я не буду выполнять посекторное создание образа. Это означает, что зашифрованный раздел 80 ГБ создает файл изображения 80 ГБ:(

Просто запустите резервное копирование с работающей машины, чтобы получить незашифрованный образ. Acronis должен быть в состоянии сделать это, если я не ошибаюсь. Если вам по-прежнему нужна защита для образа, вы можете поместить его в сейф или на зашифрованный диск сервера. Я бы пошел с незашифрованными резервными копиями данных, потому что мне нравятся отказоустойчивые резервные копии.

Если требуется быстрое восстановление системы, вы, вероятно, не будете обходить образ зашифрованного диска.

Нет проблем с truecrypt до тех пор, пока вы выполняете действия на сайтах для разных уровней шифрования.

Что касается битлокера, то, как уже упоминал Оскар, им будет легче управлять, но если из-за стоимости вы не можете перейти на битлокер, вы всегда можете использовать truecrypt - очень хорошо.

PGP шифрование имеет хороший продукт для меня. Можешь попробовать. Он предоставляет несколько решений для шифрования и поддерживает все версии Windows 7.

Шифрование всего диска, вероятно, не то, что вам нужно. Если вы войдете в свой компьютер, шифрование всего диска просто расшифровает все... в этот момент. Это означает, что любое вредоносное ПО имеет доступ ко всему, как только вы входите в систему.

Может оказаться полезным более детальное и реактивное шифрование на уровне файлов.

Раскрытие информации: я работаю в компании, занимающейся шифрованием на уровне файлов, и не собираюсь рекомендовать конкретное решение, но советую поискать альтернативы шифрованию всего диска.