Jak poznám, jak mám zašifrovaný disk Bitlockerem?
Mám na PC tři disky (systémový SSD, datový SSD, úložiště HDD), operační systém je Windows 10.
Zapnul jsem Bitlocker postupně u všech tří disků, dal šifrování celého disku. Systémový disk C je nyní zaplněn jen z 10 %, zbylé dva disky jsou prázdné.
1. disk C: systémový SSD (jde o NVMe M.2 disk, kapacita 500 GB) se zašifroval celý okamžitě.
2. disk D: datový SSD (jde o Crucial MX500 s certifikací TCG/OPAL, kapacita 1 TB) se zašifroval celý za 1 vteřinu
3. disk E: úložiště pevný disk (Seagate Barracuda, kapacita 4 TB) se šifruje už 4. den a počítám do večera, že se šifrování dokončí
Že se 4 TB disk šifruje několik dní chápu, ale nechápu, jak se 1 TB mohl celý zašifrovat za 1 vteřinu? Nemůže to být nějaká chyba?
Měl bych otázky:
1. jak si mohu spolehlivě ověřit, že je opravdu disk C, D a E zašifrovaný celý? Je prostě divné, že by šifrování trvalo jen 1 vteřinu, přestože se jedná o rychlé SSD....
2. jak si mohu ověřit, jakou šifrou jsou šifrovány disky, jestli AES256 nebo AES128
Vygooglil jsem, že mám zadat příkaz manage-bde -status, což jsem učinil a popravdě z výsledku nejsem moudrý. Uměl by někdo tyto informace přečíst?
Zjistil jsem, že kromě HDD Seagate Barracuda (E:), který se stále šifruje, jsou dva disky zašifrovány 100 % (což předpokládám značí, že je šifrovaný kompletně celý disk vč. prázdného místa, nikoli jen použité místo). Metoda je XTS-AES 256.
Zarazila mě ale informace u disku D, což je SSD Crucial MX500, kde je u metody napsáno nikoli XTS-AES 256, ale "hardwarové šifrování"!!!! Tomu nerozumím, já jsem nic takového nezapínal - ani nevím jak na to. Ve správě nástroje Bitlocker jsem pouze klikl na ikonku Zapnout nástroj Bitlocker a právě mě udivilo, že šifrování se provedlo za 1 vteřinu. A teď vidím, že disk není šifrovaný Bitlockerem. Uměl by někdo tuto záhadu vysvětlit? Vím, že tento disk Crucial má certifikát TCG/OPAL a měl by tedy rychleji šifrovat, ale rychlost je neskutečná. To je normální? Není někde chyba? Zrovna na tomto disku totiž budu mít data zákazníků, takže právě tento potřebuji šifrovat relativně spolehlivě. Jde mi jen o to, aby se k datům nedostal případný zloděj počítače kvůli GDPR a obchodnímu tajemství, kdy to mám nařízeno smluvně s odběrateli. Nejsem pedofil, abych schvovával data před policií.
HW šifrování je na úrovni firmware disku, což je optimální stav. A ano, je to "super rychlé"
https://en.wikipedia.org/wiki/Opal_Storage_Specification
https://security.stackexchange.com/questions/126174/how-to-enable-opal-ssd-encryption-on-windows-without-bitlocker
Osobně si myslím, že si tím jen přiděláváš problémy. Pokud šifrovat, tak jen kontejner a ověřeným (posledním plným) Truecryptem 7.1. A samozřejmě poctivě zálohovat.
Jeví se mi lepší šifrovat celý disk a to i systémový. Windows spoustu (dočasných) dat ukládá někam na disk C, kde jsou různě roztroušeny a není v silách člověka to mít pod kontrolou, co se kam uložilo. Předchozí počítač s Windows 7 jsem kompletně šifroval TrueCryptem, ale četl jsem, že VeraCrypt si nerozumí s Windows 10 a hrozí, že po aktualizaci Windows se přehraje bootovací mechanismus Veracryptu (TrueCryptu) a já se nedostanu na disk. Nerozumím tomu natolik, abych někam strkal linux na flešce a čaroval, s linuxy jsem nikdy nedělal a už se to ani na stará kolena učit nechci.
Původně jsem chtěl disky zašifrovat Veracryptem, ale nezjistil jsem, jak by se to chovalo, když mám 3 disky a zda bych mohl zadávat heslo při bootování. Předtím jsem totiž měl jen 1 disk, který byl Truecryptem šifrovaný a při startu jsem zadal heslo. Jenže v případě 3 disků by to tak asi nefungovalo, navíc není jasné, jak by se Veracrypt choval, když bych jím zašifroval systémový disk a došlo k aktualizaci Windows 10. Nechtěl jsem riskovat.
Bitlocker je používán i ve firmách a jestli má do něj přístup tajná služba mi nevadí. Pro mě je důležité, aby se k datům nedostal běžný zloděj, popř. pokud by ukradený počítač skončil v bazaru, tak nový majitel.
Na disku mám emaily, datovou schránku, údaje klientů. Přijde mi prostě bezpečnější zašifrovat všechny disky - a hlavně je to pohodlnější, nemusím přemýšlet, kam co ukládat, kde je kontejner a pořád kontejner zapínat a zadávat heslo.
Takhle při bootování počítače stačí zadat do Bitlockeru jedno PIN a start je rychlý, do 1 minuty.
Děkuji za odpověď, dozvěděl jsem se něco o hardwarovém šifrování, i jsem si něco mezitím vygooglil. Co jsem ale nepochopil, je ten disk D: (Crucial MX500) tedy šifrovaný Bitlockerem, nebo není a má nějakou svojí šifru? Mám tedy Bitlocker zase vypnout?
jediné, co Windows "rozstrkává" jsou tempsoubory. To lze řešit jinak..
Tak jsem chtěl místo Bitlockeru použít Veracrypt a po instalaci jsem zjistil, že jsou položky zašedlé (neaktivní). Dočetl jsem se, že Veracrypt neumí šifrovat disky GUID GPT. Čili, kdo chce šifrovat celý disk, musí zůstat u Bitlockeru.
Stále trvám na tom, že v běžných podmínkách (mezi které řadím i to pošahané GDPR) stačí šifrovat kontejner s citlivými daty. Ne disk, ne oddíl.
A bude něčemu vadit, když všechny 3 disky nechám zašifrované Bitlockerem a současně na tom zašifrovaném disku vytvořím kontejnery, do kterých budu ukládat citlivá data?
jen tím zvyšuješ pravděpodobnost průseru.