“自我加密欺骗”

“自我加密欺骗”

我已经在使用 BitLocker,并且已经加密了我的 PC SSD 和 HDD,甚至考虑用 BitLocker 加密我所有的外部驱动器。但今天我读到这篇文章文章磁盘加密器我对它指出的事情感到困惑。例如,

  1. BitLocker 并不真正关心安全性。
  2. 自我加密欺骗。
  3. TPM 不值得信任。
  4. 操作系统无法感知 SSD 中的操作磨损均衡。
  5. 与其他操作系统的兼容性较差。(来自另一篇文章)

这些是真的吗?现在已经是 2023 年了,这些问题现在不是已经解决了吗?这会对 SSD 造成损坏或问题吗?我应该转向另一种替代磁盘加密解决方案吗?

答案1

没有 TL;DR。安全是一个复杂的话题,没有一刀切的解决方案。没有什么是简单的安全的- 你必须指定确保免受什么影响

安全有三个方面——“CIA”三角:C保密性,诚信,A可用性。全盘加密将使每个人都更难从您的驱动器中提取数据,包括主板坏了时的数据恢复专家。这意味着机密性提高了,但完整性和可用性降低了。(除非您有良好的备份 - 您应该有,而且由于您需要对硬盘进行加密,因此这些备份也必须加密。)

现在,针对您所链接的文章的要点进行评论:

“自我加密欺骗”

论点摘要:如果旧版 Windows 中有自加密功能,Bitlocker 会默认使用此功能。有些驱动器的内置加密功能很弱,因此 Bitlocker 很容易受到攻击。

这是事实,但不一定是问题。

假设您的显示屏被砸坏了,您将笔记本电脑丢到最近的 Questionable Laptop Repairs 店进行更换。您已使用基于自加密的 Bitlocker 设置了它,而驱动器的加密很弱。Questionable Laptop Repairs 的技术人员要花多少时间和金钱才能看到您的私人照片?

如果您是爱德华·斯诺登,而您的对手更加坚定,那么这就是一个问题。但这只是默认设置 - 您可以将其关闭,让 Bitlocker 依靠自己的加密,即 AES-XTS,这是全盘加密的行业标准。过去,Bitlocker 也使用过微软自己的“Elephant”扩散器,但后来被移除了。我不知道 Bitlocker 的 AES-XTS 实现是否曾被审核过,如果是,是否发出了任何危险信号。我也没有听到任何来自 Linux、dislocker 和 cryptsetup 开源 Bitlocker 重新实现的实施者的抱怨。但我不是专业人士,我也不会花时间研究全盘加密。而且,无论如何,您不应该依赖匿名互联网陌生人的意见,斯诺登先生。

“TPM 不值得信任”

论点总结:Bitlocker 默认使用 TPM 来方便存储密钥,而实现 TPM 的 PC 平台组件过去曾存在漏洞。

这本质上是相同的论点,但针对的是 TPM。再次强调:这是事实,但不一定是个问题。这种 TPM 漏洞可能价值数百万美元,如果有人拥有它,那可能是某个政府,他们不想烧毁它,除非他们真的对你生气。

再次强调,这只是默认设置。您始终可以选择更改它并在启动时手动输入加密密码。

“操作系统无法感知 SSD 中的磨损均衡操作”

论点总结:默认情况下,Windows 有时会暂停加密并将加密密码以明文形式转储到磁盘。即使事后被擦除,由于磨损均衡,它也可以恢复到 SSD 上。

第三次也是一样。事实准确。可能没什么可担心的。

恢复明文密码需要专门的设备、知识和技能。设备并不贵得离谱,但如果你不是数据恢复专家,你就买不到。Questionable Laptop Repairs 和在停车场找到你丢失的笔记本电脑的随机人员也买不到。技能和知识也一样。

如果您根本不希望它在磁盘上,请禁用它。

“BitLocker 无需询问即可将您的恢复密钥上传到云端”

我是否需要再次输入相同的内容?只需将其关闭即可。

“与其他操作系统兼容性差”

它现在已集成到 Linux 上的标准磁盘加密实用程序 cryptsetup 中。

相关内容