J'ai besoin du chiffrement intégral du disque pour les ordinateurs portables professionnels exécutant une version actuelle de Windows 10 Pro. Les ordinateurs disposent d'un lecteur SSD NVMe de Samsung et d'un processeur Intel Core i5-8000.
D'après certaines recherches Web, il n'y a actuellement que deux options disponibles: Microsoft BitLocker et VeraCrypt. Je suis pleinement conscient de l'état des sources ouvertes et fermées et des implications en termes de sécurité qui en découlent.
Après avoir lu des informations sur BitLocker, que je n’avais jamais utilisées auparavant, j’ai l’impression que, à partir de Windows 10 BitLocker ne chiffre que les données récemment écrites sur le disque } mais pas tout ce qui existe déjà, pour des raisons de performances. (Cette documentation indique que j'ai le choix, mais ce n'est pas le cas. Ils ne m'ont pas demandé ce que je voulais après l'avoir activé.) J'ai déjà utilisé le chiffrement système TrueCrypt et je sais que le chiffrement des données existantes est une tâche visible qui prend quelques heures. Je ne peux pas observer un tel comportement avec BitLocker. Aucune activité de processeur ou de disque en arrière-plan notable.
Activer BitLocker est vraiment facile. Cliquez sur un bouton, enregistrez la clé de récupération dans un endroit sûr et terminé. Le même processus avec VeraCrypt m'a fait abandonner l'idée. Je devais créer un dispositif de récupération pleinement opérationnel, même à des fins de test sur un système jetable.
J'ai également lu que VeraCrypt présentait actuellement un défaut de conception rendant certains SSD NVMe extrêmement lents } avec chiffrement du système. Je ne peux pas le vérifier car la configuration est trop compliquée. Au moins après l'activation de BitLocker, je ne vois pas de changement significatif dans les performances du disque. De plus, l'équipe VeraCrypt ne dispose pas de ressources suffisantes pour résoudre ce "bug compliqué". De plus, les mises à niveau de Windows 10 ne peuvent pas fonctionner avec VeraCrypt in place }, ce qui rend nécessaires le dé-cryptage et le cryptage intégral du disque complet. J'espère que BitLocker fonctionne mieux ici.
Donc, je suis presque décidé à utiliser BitLocker. Mais j'ai besoin de comprendre ce que ça fait. Malheureusement, il n’ya presque aucune information à ce sujet en ligne. La plupart sont des articles de blog qui donnent un aperçu mais pas d’informations concises et détaillées. Donc je demande ici.
Après avoir activé BitLocker sur un système à lecteur unique, que deviennent les données existantes? Qu'advient-il des nouvelles données? Que signifie "suspendre BitLocker"? (Ce n'est pas la même chose que de le désactiver de manière permanente et de décrypter ainsi toutes les données sur le disque.) Comment puis-je vérifier l'état du cryptage ou forcer le cryptage de toutes les données existantes? (Je ne veux pas dire d'espace inutilisé, cela ne m'intéresse pas et cela est nécessaire pour les SSD, voir TRIM.) Existe-t-il des données et des actions plus détaillées sur BitLocker autres que "suspendre" et "décrypter"?
Et peut-être, en passant, quel est le lien entre BitLocker et EFS (système de fichiers crypté)? Si seuls les fichiers nouvellement écrits sont chiffrés, EFS semble avoir un effet très similaire. Mais je sais comment utiliser EFS, c'est beaucoup plus compréhensible.
L'activation de BitLocker lancera un processus en arrière-plan qui crypte toutes les données existantes. (Sur les disques durs, ce processus est généralement long, car il doit lire et réécrire chaque secteur de partition. Sur les disques à chiffrement automatique, il peut être instantané.) Ainsi, lorsqu'il est dit que seules les données nouvellement écrites sont cryptées, elles font référence à l'état immédiatement après l'activation de BitLocker et n'est plus vrai une fois la tâche de chiffrement en arrière-plan terminée. L’état de ce processus est visible dans la même fenêtre du panneau de configuration BitLocker et suspendu si nécessaire.
L'article de Microsoft doit être lu attentivement: il ne parle en fait que de chiffrer uniquement les zones used du disque. Ils annoncent simplement que cela a le plus gros impact sur les nouveaux systèmes, où vous n'avez aucune donnée pourtant en plus du système d'exploitation de base (et donc all les données seront "nouvellement écrites") . C'est-à-dire que Windows 10 va / crypter tous vos fichiers existants après l'activation - il ne perdra tout simplement pas de temps à crypter des secteurs de disque qui ne contiennent encore rien. (Vous pouvez désactiver cette optimisation via la stratégie de groupe.)
(L'article souligne également un inconvénient: les zones contenant précédemment des fichiers supprimés seront également ignorées. "Si vous cryptez un système bien utilisé, effectuez un nettoyage à blanc à l'aide d'un outil, puis laissez Windows exécuter TRIM si vous avez un SSD avant d’activer BitLocker ou utilisez la stratégie de groupe pour désactiver ce comportement.)
Dans le même article, il est également fait mention de versions récentes de Windows prenant en charge des disques SSD à chiffrement automatique utilisant le standard OPAL. La raison pour laquelle vous ne voyez aucune E/S en arrière-plan peut être parce que le SSD a été chiffré en interne dès le premier jour, et BitLocker l'a reconnu et n'a pris en charge que le gestion de clé de niveau SSD au lieu de le dupliquer. effort de cryptage au niveau du système d'exploitation. En d'autres termes, le disque SSD ne se déverrouille plus à la mise sous tension, mais Windows doit le faire. Cela peut être désactivé via la stratégie de groupe, si vous préférez que le système d'exploitation gère le cryptage de manière indépendante.
Si vous suspendez BitLocker, une copie en texte brut de la clé "principale" sera écrite directement sur le disque. (En règle générale, cette clé principale est d'abord chiffrée avec votre mot de passe ou un module TPM.) Cette suspension permet de déverrouiller le disque. Un état clairement non sécurisé, mais permet également à Windows Update de reprogrammer le module TPM en fonction du système d'exploitation mis à niveau. , par exemple. La reprise de BitLocker efface simplement cette clé simple du disque.
BitLocker n'est pas lié à EFS - ce dernier fonctionne au niveau fichier, associant des clés à des comptes d'utilisateurs Windows (permettant une configuration fine mais rendant impossible le chiffrement des fichiers du système d'exploitation), tandis que le premier fonctionne au niveau du disque entier. Ils peuvent être utilisés ensemble, bien que BitLocker généralement rend EFS redondant.
(Notez que les méthodes BitLocker et EFS disposent de mécanismes permettant aux administrateurs d'entreprise Active Directory de récupérer les données chiffrées, que ce soit en sauvegardant la clé principale de BitLocker dans AD ou en ajoutant un EFS agent de récupération de données . _ à tous les fichiers.)