答案1
没有 TL;DR。安全是一个复杂的话题,没有一刀切的解决方案。没有什么是简单的安全的- 你必须指定确保免受什么影响。
安全有三个方面——“CIA”三角:C保密性,我诚信,A可用性。全盘加密将使每个人都更难从您的驱动器中提取数据,包括主板坏了时的数据恢复专家。这意味着机密性提高了,但完整性和可用性降低了。(除非您有良好的备份 - 您应该有,而且由于您需要对硬盘进行加密,因此这些备份也必须加密。)
现在,针对您所链接的文章的要点进行评论:
“自我加密欺骗”
论点摘要:如果旧版 Windows 中有自加密功能,Bitlocker 会默认使用此功能。有些驱动器的内置加密功能很弱,因此 Bitlocker 很容易受到攻击。
这是事实,但不一定是问题。
假设您的显示屏被砸坏了,您将笔记本电脑丢到最近的 Questionable Laptop Repairs 店进行更换。您已使用基于自加密的 Bitlocker 设置了它,而驱动器的加密很弱。Questionable Laptop Repairs 的技术人员要花多少时间和金钱才能看到您的私人照片?
如果您是爱德华·斯诺登,而您的对手更加坚定,那么这就是一个问题。但这只是默认设置 - 您可以将其关闭,让 Bitlocker 依靠自己的加密,即 AES-XTS,这是全盘加密的行业标准。过去,Bitlocker 也使用过微软自己的“Elephant”扩散器,但后来被移除了。我不知道 Bitlocker 的 AES-XTS 实现是否曾被审核过,如果是,是否发出了任何危险信号。我也没有听到任何来自 Linux、dislocker 和 cryptsetup 开源 Bitlocker 重新实现的实施者的抱怨。但我不是专业人士,我也不会花时间研究全盘加密。而且,无论如何,您不应该依赖匿名互联网陌生人的意见,斯诺登先生。
“TPM 不值得信任”
论点总结:Bitlocker 默认使用 TPM 来方便存储密钥,而实现 TPM 的 PC 平台组件过去曾存在漏洞。
这本质上是相同的论点,但针对的是 TPM。再次强调:这是事实,但不一定是个问题。这种 TPM 漏洞可能价值数百万美元,如果有人拥有它,那可能是某个政府,他们不想烧毁它,除非他们真的对你生气。
再次强调,这只是默认设置。您始终可以选择更改它并在启动时手动输入加密密码。
“操作系统无法感知 SSD 中的磨损均衡操作”
论点总结:默认情况下,Windows 有时会暂停加密并将加密密码以明文形式转储到磁盘。即使事后被擦除,由于磨损均衡,它也可以恢复到 SSD 上。
第三次也是一样。事实准确。可能没什么可担心的。
恢复明文密码需要专门的设备、知识和技能。设备并不贵得离谱,但如果你不是数据恢复专家,你就买不到。Questionable Laptop Repairs 和在停车场找到你丢失的笔记本电脑的随机人员也买不到。技能和知识也一样。
如果您根本不希望它在磁盘上,请禁用它。
“BitLocker 无需询问即可将您的恢复密钥上传到云端”
我是否需要再次输入相同的内容?只需将其关闭即可。
“与其他操作系统兼容性差”
它现在已集成到 Linux 上的标准磁盘加密实用程序 cryptsetup 中。