Jak poznám, jak mám zašifrovaný disk Bitlockerem?
Mám na PC tři disky (systémový SSD, datový SSD, úložiště HDD), operační systém je Windows 10.
Zapnul jsem Bitlocker postupně u všech tří disků, dal šifrování celého disku. Systémový disk C je nyní zaplněn jen z 10 %, zbylé dva disky jsou prázdné.
1. disk C: systémový SSD (jde o NVMe M.2 disk, kapacita 500 GB) se zašifroval celý okamžitě.
2. disk D: datový SSD (jde o Crucial MX500 s certifikací TCG/OPAL, kapacita 1 TB) se zašifroval celý za 1 vteřinu
3. disk E: úložiště pevný disk (Seagate Barracuda, kapacita 4 TB) se šifruje už 4. den a počítám do večera, že se šifrování dokončí
Že se 4 TB disk šifruje několik dní chápu, ale nechápu, jak se 1 TB mohl celý zašifrovat za 1 vteřinu? Nemůže to být nějaká chyba?
Měl bych otázky:
1. jak si mohu spolehlivě ověřit, že je opravdu disk C, D a E zašifrovaný celý? Je prostě divné, že by šifrování trvalo jen 1 vteřinu, přestože se jedná o rychlé SSD....
2. jak si mohu ověřit, jakou šifrou jsou šifrovány disky, jestli AES256 nebo AES128
v "Tento počítač" bude u ikony disku žlutý zámeček.
Jinak jsi velmi dobrý střelec. Bitlocker je znám svou děravostí, tudíž použití jakéhokoli šifrovacího algoritmu je víceméně jen snížení výkonu.
pro ilustraci několik různých průserů:
https://sensorstechforum.com/microsofts-bitlocker-disk-encryption-tool-is-vulnerable/
https://betanews.com/2016/11/30/windows-10-bypass-bitlocker/
https://www.softcat.com/news/tpm-vulnerability-bitlocker-full-disk-encryption-impacted/
všechny ukazují, že bitlocker OPAKOVANĚ NEOBSTOJÍ v případě, že útočník má ke stroji fyzický přístup, což je (většinou) důvod, proč se vůbec šifrování zavádí. Jinými slovy "mučidlo které nemučí." (TM Blaník/JDC)
Zistiť je spoľahlivé jedine tak, že nabútuješ mašinu nejakým distrom linux-ubuntu na fleške a skontroluješ uspatý OS, disky, prípadne individuálne zašifrované oddiely.
Ak sa k diskom cez Ubuntu naťahaný do RAM nedostaneš, sú cestou nástroja bitlocker zašifrované.
Šifra, metadáta, pre každý disk alebo logický oddiel sa ukladá individuálne do systémovej zložky: System Volume Information, pod ozn.: FVE2 / FVE. { GUID }
Viac hľadaj na nete: http://ix.sk/681ax
Vygooglil jsem, že mám zadat příkaz manage-bde -status, což jsem učinil a popravdě z výsledku nejsem moudrý. Uměl by někdo tyto informace přečíst?
Zjistil jsem, že kromě HDD Seagate Barracuda (E:), který se stále šifruje, jsou dva disky zašifrovány 100 % (což předpokládám značí, že je šifrovaný kompletně celý disk vč. prázdného místa, nikoli jen použité místo). Metoda je XTS-AES 256.
Zarazila mě ale informace u disku D, což je SSD Crucial MX500, kde je u metody napsáno nikoli XTS-AES 256, ale "hardwarové šifrování"!!!! Tomu nerozumím, já jsem nic takového nezapínal - ani nevím jak na to. Ve správě nástroje Bitlocker jsem pouze klikl na ikonku Zapnout nástroj Bitlocker a právě mě udivilo, že šifrování se provedlo za 1 vteřinu. A teď vidím, že disk není šifrovaný Bitlockerem. Uměl by někdo tuto záhadu vysvětlit? Vím, že tento disk Crucial má certifikát TCG/OPAL a měl by tedy rychleji šifrovat, ale rychlost je neskutečná. To je normální? Není někde chyba? Zrovna na tomto disku totiž budu mít data zákazníků, takže právě tento potřebuji šifrovat relativně spolehlivě. Jde mi jen o to, aby se k datům nedostal případný zloděj počítače kvůli GDPR a obchodnímu tajemství, kdy to mám nařízeno smluvně s odběrateli. Nejsem pedofil, abych schvovával data před policií.
HW šifrování je na úrovni firmware disku, což je optimální stav. A ano, je to "super rychlé"
https://en.wikipedia.org/wiki/Opal_Storage_Specification
https://security.stackexchange.com/questions/126174/how-to-enable-opal-ssd-encryption-on-windows-without-bitlocker
Osobně si myslím, že si tím jen přiděláváš problémy. Pokud šifrovat, tak jen kontejner a ověřeným (posledním plným) Truecryptem 7.1. A samozřejmě poctivě zálohovat.
Jeví se mi lepší šifrovat celý disk a to i systémový. Windows spoustu (dočasných) dat ukládá někam na disk C, kde jsou různě roztroušeny a není v silách člověka to mít pod kontrolou, co se kam uložilo. Předchozí počítač s Windows 7 jsem kompletně šifroval TrueCryptem, ale četl jsem, že VeraCrypt si nerozumí s Windows 10 a hrozí, že po aktualizaci Windows se přehraje bootovací mechanismus Veracryptu (TrueCryptu) a já se nedostanu na disk. Nerozumím tomu natolik, abych někam strkal linux na flešce a čaroval, s linuxy jsem nikdy nedělal a už se to ani na stará kolena učit nechci.
Původně jsem chtěl disky zašifrovat Veracryptem, ale nezjistil jsem, jak by se to chovalo, když mám 3 disky a zda bych mohl zadávat heslo při bootování. Předtím jsem totiž měl jen 1 disk, který byl Truecryptem šifrovaný a při startu jsem zadal heslo. Jenže v případě 3 disků by to tak asi nefungovalo, navíc není jasné, jak by se Veracrypt choval, když bych jím zašifroval systémový disk a došlo k aktualizaci Windows 10. Nechtěl jsem riskovat.
Bitlocker je používán i ve firmách a jestli má do něj přístup tajná služba mi nevadí. Pro mě je důležité, aby se k datům nedostal běžný zloděj, popř. pokud by ukradený počítač skončil v bazaru, tak nový majitel.
Na disku mám emaily, datovou schránku, údaje klientů. Přijde mi prostě bezpečnější zašifrovat všechny disky - a hlavně je to pohodlnější, nemusím přemýšlet, kam co ukládat, kde je kontejner a pořád kontejner zapínat a zadávat heslo.
Takhle při bootování počítače stačí zadat do Bitlockeru jedno PIN a start je rychlý, do 1 minuty.
Děkuji za odpověď, dozvěděl jsem se něco o hardwarovém šifrování, i jsem si něco mezitím vygooglil. Co jsem ale nepochopil, je ten disk D: (Crucial MX500) tedy šifrovaný Bitlockerem, nebo není a má nějakou svojí šifru? Mám tedy Bitlocker zase vypnout?
I.
Šifrovať systémový oddiel (prípadne celý systémový pevný disk) je holý nezmysel.
Dôvod:
OS W10 s obslužným SW a SW od tretích výrobcov neobsahuje tajné dáta, ktoré treba chrániť,
a) lebo obnova systémového oddielu z čistej, vyladenej Image zálohy (bitovej zálohy spravenej pod WinPE), či
b) čistá inštalácia z externého média z ISO W10, akou je či čistá inštalácia po nástroji Diskpart.exe - Clean na naformátovaný disk NTFS, je otázkou pár minút. Desinu netreba prácne záplatovať, ako bývalo u predošlých verzií Windows.
II.
Šifruj si výhradne svoje súkromné údaje a dáta na druhom disku alebo na logickom oddiele, trebárs tvojim obľúbeným molochom zn.:Bitlocker. Ak máš rýchly disk, tak ho zašifruj cugrunt komplet.
III.
Ak máš skutočne obavy, či je disk zašifrovaný a nedá sa do neho absolútne dostať, skontroluj ho cestou Ubuntu, live ISO nabútovaním mašiny z flešky do RAM.
Pod Linuxom ani iným OS by sa nemal forenznou metódou nikto na disk šifrovaný Bitlocker, dostať.
Ani ak disk vyberieš, a vrazíš ho do cudzieho HW, ako disk sekundárny. Presne takto postupujú z úradu Optoelektroniky v prípade, ak im dovlečú fízli zhabané PC mašiny. Nikdy nespustia PC s vlastnými pevnými diskami, aby nenaskočilo napríklad nastavené mazanie dát čím by sa znemožnilo dešifrovať údaje z diskov.
jediné, co Windows "rozstrkává" jsou tempsoubory. To lze řešit jinak..
Tak jsem chtěl místo Bitlockeru použít Veracrypt a po instalaci jsem zjistil, že jsou položky zašedlé (neaktivní). Dočetl jsem se, že Veracrypt neumí šifrovat disky GUID GPT. Čili, kdo chce šifrovat celý disk, musí zůstat u Bitlockeru.
Stále trvám na tom, že v běžných podmínkách (mezi které řadím i to pošahané GDPR) stačí šifrovat kontejner s citlivými daty. Ne disk, ne oddíl.
A bude něčemu vadit, když všechny 3 disky nechám zašifrované Bitlockerem a současně na tom zašifrovaném disku vytvořím kontejnery, do kterých budu ukládat citlivá data?
jen tím zvyšuješ pravděpodobnost průseru.