Potrzebuję pełnego szyfrowania dysku dla laptopów biznesowych z aktualną wersją systemu Windows 10 Pro. Komputery mają dysk SSD NVMe firmy Samsung i procesor Intel Core i5-8000.
Z niektórych dzisiejszych badań internetowych są obecnie dostępne tylko dwie opcje: Microsoft BitLocker i VeraCrypt. Jestem w pełni świadomy stanu otwartego i zamkniętego źródła oraz związanych z tym konsekwencji bezpieczeństwa.
Po przeczytaniu informacji o funkcji BitLocker, z której nigdy wcześniej nie korzystałem, mam wrażenie, że począwszy od systemu Windows 10 funkcja BitLocker szyfruje tylko nowo zapisane dane na dysku, ale nie wszystko, co już istnieje, ze względu na wydajność. (Ta dokumentacja mówi, że mam wybór, ale nie mam. Nie pytali mnie, co chcę po aktywacji.) W przeszłości korzystałem z szyfrowania systemu TrueCrypt i wiem, że istniejące szyfrowanie danych jest widocznym zadaniem, które wymaga kilka godzin. Nie mogę zaobserwować takiego zachowania z funkcją BitLocker. Brak zauważalnej aktywności procesora lub dysku w tle.
Aktywacja funkcji BitLocker jest naprawdę łatwa. Kliknij przycisk, zapisz klucz odzyskiwania w bezpiecznym miejscu, gotowe. Ten sam proces z VeraCrypt sprawił, że porzuciłem ten pomysł. Musiałem stworzyć w pełni działające urządzenie do odzyskiwania, nawet do celów testowych w systemie wyrzucania.
Przeczytałem również, że VeraCrypt ma obecnie wadę projektową, która powoduje, że niektóre dyski SSD NVMe są wyjątkowo wolne z szyfrowaniem systemowym. Nie mogę tego zweryfikować, ponieważ konfiguracja jest zbyt skomplikowana. Przynajmniej po aktywacji funkcji BitLocker nie widzę znaczącej zmiany w wydajności dysku. Również zespół VeraCrypt nie ma wystarczających zasobów, aby naprawić ten „skomplikowany błąd”. Ponadto aktualizacje systemu Windows 10 nie mogą działać z zainstalowanym VeraCrypt , co wymaga częstego usuwania i szyfrowania całego dysku. Mam nadzieję, że funkcja BitLocker działa tutaj lepiej.
Więc prawie się zdecydowałem na użycie funkcji BitLocker. Ale muszę zrozumieć, co to robi. Niestety, prawie nie ma informacji na ten temat w Internecie. Większość składa się z postów na blogu, które zawierają przegląd, ale nie zawierają zwięzłych szczegółowych informacji. Więc pytam tutaj.
Po aktywacji funkcji BitLocker w systemie z jednym dyskiem co dzieje się z istniejącymi danymi? Co stanie się z nowymi danymi? Co to znaczy „zawiesić funkcję BitLocker”? (Nie to samo, co na stałe dezaktywację, a tym samym odszyfrowanie wszystkich danych na dysku.) Jak mogę sprawdzić status szyfrowania lub wymusić szyfrowanie wszystkich istniejących danych? (Nie mam na myśli nieużywanego miejsca, nie dbam o to, a jest to wymagane w przypadku dysków SSD, zobacz TRIM.) Czy są jakieś bardziej szczegółowe dane i działania dotyczące BitLocker inne niż „zawieszenie” i „odszyfrowanie”?
A może na marginesie, w jaki sposób BitLocker odnosi się do EFS (zaszyfrowanego systemu plików)? Jeśli tylko nowo zapisane pliki są szyfrowane, EFS wydaje się mieć bardzo podobny efekt. Ale wiem, jak obsługiwać EFS, jest to o wiele bardziej zrozumiałe.