Насколько эффективно использование BitLocker для полного шифрования диска? Нужен ли сложный пароль?
Система
Ноутбук с установленной Windows 7 Ultimate и, соответственно, возможностью включить полное шифрование диска. При этом, как известно, создается (если по какой-либо причине не был создан при установке) новый раздел объемом примерно 200 Mb, на котором система хранит некоторый набор системных файлов, необходимых для запуска Windows — данный раздел не шифруется.
Ключ шифрования хранится в TPM-чипе. Если в ноутбуке отсутствует TPM-чип, используется метод загрузки со вставленным usb-flash, на котором хранится ключ шифрования.
Способ загрузки ключа шифрования с флэшки кажется даже безопаснее, т.к. без флэшки Windows откажется загружаться в принципе.
Вопрос: Необходимо ли ставить сложный пароль на вход в Windows?
Как я понимаю, все данные шифруются с использованием файла-ключа и пароля на вход в систему. Что будет, если загрузится с одного из многочисленных дисков для сброса пароля и сбросить пароль? Как я понимаю, данные будут безвозвратно утеряны, ну или как минимум недоступны с новым паролем.
Соответственно, при условии что пароль не настолько легкий, чтобы его можно было вручную подобрать в log on screen, то вроде бы можно не заботиться о его сложности и длине.
Однако, как я понимаю, т.к. Windows не расшифровывает зашифрованные данные до ввода пароля, то очевидно файл с хэшем пароля хранится на незашифрованном разделе. Соответственно его можно скопировать и дальше уже как обычно взламывать пароль подбором. В таком случае, к сложности пароля стоит относится как обычно — с должным вниманием.
Не смог найти документацию о том, как же технически работает BitLocker, поэтому спрашиваю, не знает ли кто, прав ли я в своих рассуждения и догадках.
Спасет ли относительно легкий, но поддающийся брут форсу пароль при использовании BitLocker для полного шифрования всех дисков, включая системный?
Любое шифрование легко декриптуется методами ректотермального криптоанализа. А если серъёзно, зачем шифровать все и вся?? больше проблем ИМХО, если система слетит вероятность все потерять != 0. Тот же truecrypt содержит шифрованый раздел в файловом контейнере, можно все нужное хранить там, да и потерять его сложнее, да и скрытый контейнер внутри контейнера можно сделать, т.е. если ректотермальный криптоанализ сработал, отдаете основной пароль, а там например просто порно, а важные данные так и не видны.
Да в том то и дело, что все и вся не хочется шифровать. Ведь глупо шифровать гигабайты dll'ок и исполняемых и конфигурационных файлов. Из того, что на системном диске, хочется зашифровать cookies и историю браузера, но может еще конфиг мессенджера, т.к. в нем пароли сохранены.
Вопрос в том, как это сделать. Можно было бы перенести профиль пользователя на отдельный диск, и сделать symlink, но ведь если я зашифрую профиль после такого переноса, я же не войду в систему.
Какая-то странная штука, если используется пароль на вход в систему… Возникает вопрос: а если пользователей много? :)
На сколько я понял по вики, в Вашем случае ключ хранится в TPM от куда и берется. То есть пароль не причем. Согласно вики, если хотите пароль, то используется еще так называемый PIN-код. То есть, на сколько я понял, пароль от пользователя в Windows тут не причем.
Рекомендую обратить внимание на www.truecrypt.org
Лучше всего шифровать весь диск, что-бы кто-то умный не загрулся с флешки и не слил/залил инфу на хард.
Для этого ИМХО лучшая программа DiskCryptor(Автор из РФ), у нее есть плюс по сравнению с труекриптом в том, что она может шифровать не размеченный хард, и свиду он как чистый.
Да я как раз подумываю перейти на DiskCryptor, давным давно проводил с ним опыты в виртуальной машине, но BitLocker конечно превосходит его по удобству — впрочем пока так и непонятно, насколько он реально защищает )
Самый безопасный способ — ТРМ и USB брелок :)
Насколько я помню — ключ лежит шифрованный в нешифрованной бутовой области, а ключ к нему это PIN, TMP или USB, или же вариация этих вариантов.
При сбросе пароля дела не будет — данные останутся зашифрованы, и система уйдёт в режим восстановления.
В общем прихожу к выводу, что имеет смысл завести, как линуксоиды, отельный раздел а-ля home, сделать на него симлинк профиля пользователя и уже этот раздел шифровать BitLocker'ом, т.к. повторюсь, это глупо тратить процессорное время на шифрование/дешифрование исполняемых файлов и библиотек.
Не так уж его много тратиться этого процессорного времени, а если проц Core i3, то при использовании его аппаратного шифрования AES затраты процессорного времени вообще не стоит учитывать. Это при условии использования «правильного софта»
Шифровать данные можно на всех флешках без исключения?
А то при покупке флешок в и-нет магазинах пишет в описание, что можно шифровать данные на флешке, а выбираю другую - ничего неупоминается о шифровании.
Шифровать можно любую флешку. То, что пишут на флешках, что можно шифровать это больше маркетинговый ход. Это как если бы вы покупали молоток и на нём было бы написано, что им можно забивать гвозди.
Мое мнение,
- Полное шифрование диска не имеет смысла, т.к. не спасает в некоторых случаях.
- Более удобно защищать и шифровать именно важные данные с помощью криптоконтейнеров таких кк VeraCrypt, Rohos Mini Drive. И сразу же настроить постоянный бакап контейнера в Облако путем размещения файла контейнера в папке Google Drive на ПК.
- пароль на Windows не имеет смысла делать сложным, НО Главное чтобы он не был "12345", т.е. подойдет что-то 8ми символьное типа Mihail51!
- В случе с BitLocker работает принцип "Шифрование Не Достаточно" - нет открытого исходного кода всего протокола и сообщество не может изучить его. Я лично не доверяю им.
