Вскоре я куплю несколько ноутбуков под управлением Windows 7 для наших мобильных сотрудников. В связи с особенностями нашего бизнеса мне потребуется шифрование дисков. Windows BitLocker кажется очевидным выбором, но, похоже, мне нужно приобрести выпуск Windows 7 Enterprise или Ultimate, чтобы получить его. Может ли кто-нибудь предложить лучшие варианты действий:
а) Используйте BitLocker, прикусите пулю и заплатите за обновление до Enterprise / Ultimate
б) Оплатите другой продукт для шифрования дисков стороннего производителя, который дешевле (предложения приветствуются)
c) Используйте бесплатный продукт для шифрования дисков, например TrueCrypt.
В идеале меня также интересует «реальный» опыт людей, использующих программное обеспечение для шифрования дисков, и любые подводные камни, на которые следует обратить внимание.
Спасибо заранее...
ОБНОВИТЬ
Решили использовать TrueCrypt по следующим причинам:
а) Продукт имеет хорошую репутацию
б) Я не управляю большим количеством ноутбуков, поэтому интеграция с Active Directory, консолями управления и т. д. не является проблемой. огромный выгода
c) Несмотря на то, что eks действительно хорошо рассказал об атаках Evil Maid (EM), наши данные не который желательно считать это основным фактором
г) Стоимость (бесплатно) - большой плюс, но не главный мотиватор
Следующая проблема, с которой я сталкиваюсь, - это создание образа (Acronis / Ghost / ..) зашифрованных дисков, которые не будут работать, если я не выполню посекторное создание образа. Это означает, что зашифрованный раздел размером 80 ГБ создает файл изображения размером 80 ГБ :(
С инструментами атаки Evil Maid (EM), доступными для TrueCrypt, я бы выбрал BitLocker, если бы у меня был бюджет, потому что атаки типа EM намного сложнее, и, как заявил Оскар Дювеборн, они лучше интегрируются с AD и т.д.
Предлагаю вам прочитать статьи Джоанны Рутковской по обоим продуктам:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
Но если вы уверены, что ваши коллеги всегда будут хорошо заботиться о своих ноутбуках - с защитным чехлом и всем остальным, вы можете выбрать TrueCrypt.
Боковые примечания
помните, что шифрование всего диска не защитит ваши данные изнутри [ОС], например если ваш компьютер был поврежден вирусом во время работы.
помните, что технические решения - это просто часть цепочка безопасности (см. http://xkcd.com/538/ подробнее).
Изменить (20.01.2010)
Дополнительные сведения о BitLocker и EM-атаках:
Обратите внимание, что BitLocker будет более устойчивым, чем TrueCrypt, только при использовании на компьютере с поддержкой TPM.
Есть способы победить BitLocker + TPM (статья, бумага), но нет общедоступных инструментов AFAIK. Таким образом, хотя BitLocker более устойчив к оппортунистическим EM-атакам (для повторной разработки поддельного экрана взаимодействия с пользователем для BitLocker требуется больше, чем просто скопировать EM-инструмент для Trucrypt на USB-ключ), он не на 100% надежен (нет решения).
Truecrypt: http://www.truecrypt.org/
полностью зашифрует мобильные, внутренние диски, вы даже можете зашифровать весь системный раздел на лету, а затем установить пароль загрузчика - обеспечивает большую безопасность на ноутбуках.
и его открытый исходный код - бесплатно.
http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/
Bitlocker тоже хорош, но из-за бюджета я бы посоветовал использовать truecrypt.
Слово совета. Я только что узнал, что лицензия TrueCrypt содержит юридическую «ловушку», которая позволяет им подать в суд на любого пользователя программного обеспечения, даже если пользователь выполняет 100% условий лицензии.
http://lists.freedesktop.org/archives/distributions/2008-October/000276.html
Они были проинформированы об этом давным-давно в Fedora и не исправили это в текущей версии, так что мне кажется, что это на самом деле преднамеренная ловушка.
Хотя TrueCrypt подходит для сценария небольшого или домашнего офиса, есть много причин, чтобы выбрать платное решение в более крупном бизнесе:
В настоящее время я просматриваю пару сторонних решений, McAfee Total Protection for Data (ранее известный как SafeBoot) и Symantec Endpoint Encyrption.
Одна из причин, по которой я не изучал BitLocker, заключается в том, что у меня уже есть несколько компьютеров с Vista Business, и я не хотел их обновлять / повторно настраивать.
Я также изучил решение PGP, но для управления программным обеспечением требуется выделенный сервер или сертифицированный виртуальный сервер, и это было слишком сложно для моего сценария.
Нет проблем с truecrypt whatosever; если вы будете следовать инструкциям на этих веб-сайтах для разных уровней шифрования.
Что касается битлокера, как уже упоминал Оскар, им будет легче управлять, но если из-за стоимости вы не можете перейти на битлокер, вы всегда можете использовать truecrypt - очень хорошо.
PGP шифрование у меня есть хороший продукт для шифрования. Можешь попробовать. Он предоставляет несколько решений для шифрования и поддерживает все версии Windows 7.
Чтобы ответить на вторую часть вашего вопроса, Microsoft по-разному заявляла, что накладные расходы ЦП составляют 5-6% для Workstation \ Notebooks и 10-15% для серверов с Bitlocker. Влияние на производительность жесткого диска зависит от мощности вашего процессора, для большинства современных процессоров ноутбуков / настольных ПК и приводных систем это влияние не заметно. Я использовал похожие системы с Bitlocker и без него, и это определенно было моим опытом.
Однако это зависит от платформы - Александр Вайс в 4 Sysops провела несколько сравнений производительности и обнаружила снижение скорости последовательной передачи данных с жесткого диска на 29-50% для нетбука с процессором Atom, это полностью связано с недостатками ЦП нетбука с низким энергопотреблением. Подобные сокращения вероятны, если у вас безумно быстрый SSD - более высокие скорости передачи данных значительно увеличат нагрузку на ЦП.
Следующая проблема, с которой я сталкиваюсь, - это создание образа (Acronis / Ghost / ..) зашифрованных дисков, которые не будут работать, если я не выполню посекторное создание образа. Это означает, что зашифрованный раздел размером 80 ГБ создает файл изображения размером 80 ГБ :(
Просто запустите Backup с работающей машины, чтобы у вас был незашифрованный образ. Acronis должен уметь это делать, если я не ошибаюсь. Если вам все еще нужна безопасность для образа, вы можете поместить его в сейф или на зашифрованный диск сервера. Я бы выбрал незашифрованные резервные копии данных, потому что мне нравятся отказоустойчивые резервные копии.
Если требуется быстрое восстановление системы, вам, вероятно, не удастся создать образ зашифрованного диска.