BitLocker vs. VeraCrypt
Cílem tohoto příspěvku je rychlé srovnání řešení BitLocker a VeraCrypt, která jsou obě použitelná k zašifrování disku pod Windows.
BitLocker je nativní součást nejnovějších verzí MS Windows a je možné jím šifrovat jak datový, tak i systémový disk, na kterém se nachází samotný OS. Multiplatformní VeraCrypt, který je k dispozici zdarma, umožňuje po instalaci to samé, plus něco navíc.
Rozdíly mezi těmito dvěma řešeními jsou zachyceny v následující tabulce.
Parametr | BitLocker | VeraCrypt |
zprovoznění | součást Windows | musí se nainstalovat |
podpora produktu* | Microsoft | vývojáři a komunita |
kvalita šifrování** | dostatečná | více jak dostatečná |
používá TPM | ANO | NE |
multiplatformní | NE | ANO |
popiratelné šifrování | NE | ANO |
vytváření a šifrování virtuálních oddílů | NE | ANO |
šifrování disků | ANO | ANO |
šifrování logických oddílů | ANO | ANO |
autentizační metoda | PIN, heslo, USB | PIN, heslo |
zadní vrátka*** | může obsahovat | nejspíš neobsahuje |
vhodné pro jednotlivce | ANO | ANO |
vhodné pro firmy | ANO | ANO |
*Vzhledem k tomu, že VeraCrypt není nativní součástí Windows, jste vystaveni většímu riziku, že narazíte na nějaký problém, se kterým vám nikdo neporadí.
*VeraCrypt nabízí možnost volby šifrovacích a hashovacích funkcí a dalších parametrů, což asi běžný uživatel nevyužije, ale pokročilý uživatel to jistě ocení.
***Vzhledem k tomu, že BitLocker je uzavřený kód, tak nelze vyloučit, že obsahuje zadní vrátka. U VeraCryptu, ke kterému jsou k dispozici zdrojové kódy je pak toto riziko výrazně nižší.
Poznámka: Toto je živý příspěvek a může se ještě změnit na základě vašich podnětů, za které předem děkuji.
ČERMÁK, Miroslav, 2018. BitLocker vs. VeraCrypt. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/bitlocker-vs-veracrypt/. [citováno 07.12.2024].
Štítky: kryptografie
K článku “BitLocker vs. VeraCrypt” se zde nachází 4 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Výhoda VeraCryptu by měla být, že při bootování lze napsat vlastní hlášku, případně zcela skrýt výzvu na heslo, což může zmást neznalého útočníka (zloděje notebooku).
Výhoda VeraCryptu (oproti Bitlockeru) by měla být, že můžu zašifrovat celý disk, pak ho vytáhnout z počítače a přenést jinam, klidně do počítače s Linuxem a tam ho přečíst. Což by asi v případě používání Bitlockeru nefungovalo. Proto se osobně více přikláním k používání VeraCryptu.
Otázka je, co by se stalo, kdyby se poškodil disk. Předpokládám, že větší šance obnovy dat by byla s Bitlockerem, asi spíše najdu servis s někým, kdo je proškolen v používání software od Microsoftu. Tyto problémy vyřeší zálohování, ale mají se šifrovat zálohy? Četl jsem článek, kde autor důrazně odrazoval od šifrování zálohovaných dat, právě kvůli dostupnosti, protože při poškození externího disku, který se někde válel rok a bůhví, co se s ním mezitím stalo, je probém a záloha pak nesplní svůj účel okamžité dostupnosti.
V první verzi VeraCrypt prý neuměl šifrovat GPT oddíl a neporadil si s UEFI, nyní s obojím již nemá být problém, co jsem se dočetl. Zrovna jsem objednal nový PC a přejdu na Win 10 Pro, tak jsem zvědavý, jak dopadnu po instalaci, zprvu se asi trochu zapotím, bude tam i komplikovaný vztah se SecureBoot, dopusud mám zkušenost s TrueCryptem na Win s 7.
Dávám tedy námět na samostatný článek o instalaci a nastavení VeraCryptu pod Windows 10, šifrování systémového a datového disku, resp. více disků v RAID1, plus disků na NASu, se zadáváním jednoho hesla při bootování :-)
S tím SecureBoot jsem zvědavý, jak to poběží, asi bude třeba někam nahrát certifikát, který VeraCrypt vytvoří, ale není mi jasné, co se stane po první aktualizaci Windows, jestli mi ho nesmažou a já pak nenabootuju (nerozšifruji disk).
Objednal jsem Intel Core i3-8100, který má vlastnost AES-NI, ale jsem zvědavý, jak se šifrování odrazí na výkonu SSD a HDD. V současnosti subjektivně TrueCrypt dost výkon počítače zpomaluje, ale mám hodně starý PC, takže nelze srovnávat se současnými možnostmi hardware.
Možná bych se ještě zeptal, jestli je bezpečnější používat ve VeraCryptu hash SHA-256, SHA-512 nebo Whirlpool.
Je to už jiné téma, ale dlouho jsem přemýšlel nad kombinací hardwarového šifrování disků, jak např. umí v eshopech běžně dostupné Samsung 960 Pro a 960 Evo (ten jsem si právě koupil) + druhé softwarové šiforvání VeraCryptem. Rychlost čtení a zápisu asi poklesne a jde už o dost paranoidní opatření.
No a podobná otázka, zda má význam zapnout ve Win šifrování celého disku Bitlockerem (s uložením klíče do TPM, ale bez zadávání hesla při bootování) + šifrování VeraCryptem se zadáváním hesla při bootování. Fungovalo by to spolu?
A nakonec bych se zeptal, jak je to s defragmentací zašifrovaného disku, má se dělat, nebo ne? Použije se na zašifrovaném disku TRIM?
VeraCrypt prý má jakýsi SSD mód (SIM Trim Enabled) pro systémový disk, který nechá prázdné místo na disku, což má zvýšit jeho životnost. Nevýhoda prý je, že útočník (zloděj) uvidí, co je zašifrované.
Používám Windows 10 Home a důsledně se snažím oddělit od sebe systém a data. Na disku, kde se nachází systém, neukládám žádná citlivá data.
V nastavení – systém – úložiště – změnit místo pro ukládání obsahu jsem změnil ukládání dokumentů, obrázků, hudby, videa a map na datový disk a sám své dokumenty ukládám jedině na datový disk. Riziko, že by ve stránkovacím souboru nebo v dumpu paměti vytvářeném při neočekávaném pádu systému mohla zůstat nějaká citlivá data, jsem akceptoval.
Počítač vypínám přes zástupce na ploše, který před vypnutím vysype koš a smaže obsah adresářů s dočasnými soubory. Vzhledem k tomu, že systém se nachází na SSD disku a smazání souborů je realizováno přepsáním obsahu souborů nulami, tak mi toto řešení stačí.
Systémový disk jsem se rozhodl šifrovat BitLockerem a klíčem uloženým v TPM, protože nechci řešit problémy, ke kterým by mohlo v budoucnu dojít při aktualizaci systému. Preboot autentizaci nevyužívám kvůli aktualizacím a nuceným restartům.
Citlivá data mám uložená na jiném fyzickém disku, který je šifrován za použití VeraCrypt. Po přihlášení do Windows pak musím, pokud se chci dostat na datový disk, zadat ještě jedno heslo, ale to mi nevadí. Diskové pole neprovozuji, zálohy provádím po síti na jiný, rovněž šifrovaný disk, který připojuji jen v okamžiku, kdy potřebuji provést zálohu.
Pokud jde o zmiňované algoritmy, tak SHA 2 i 3 je od 256 bitů v pohodě, stejně jako 512 bitový Whirpool. Spíš než obavu před fyzickým průnikem a prolomení hesla nebo zneužití nějaké zranitelnosti v použité kryptografii vidím větší riziko v zavlečení malware ze sítě, protože pak by malware získal přístup k datům pod účtem právě přihlášeného uživatele.
Aha, tak jestli jsem správně pochopil, systémový disk šifrujete Bitlockerem, ale nepoužíváte přihlášení heslem, abyste se vyhnul možným komplikacím, ale i pro jednoduchost.
Používáte pouze přihlášení heslem do svého účtu Windows a ještě zadáváte heslo do VeraCryptu, kterým šifrujete datový disk.
Můžu se k tomu ještě zeptat – po přihlášení do Windows vám samo vyskočí okno Veracryptu, abyste si odemkl datový disk, nebo ještě klikáte někde na ikonu VC?
Zajímalo by mě, jak jde co nejlépe tyto kroky automatizovat (urychlit) při zachování vysoké bezpečnosti.
Nějak takto jsem to plánoval také dělat, mají mi do konce ledna sestavit a přivézt nové PC, tak dám pak vědět praxi s Windows 10 Pro :)
Děkuji za vaše články, hodně jsem se zde dozvěděl a mnoho tipů používám pro zabezpečení svého PC.
Klikám na ikonku. Určitě dejte vědět, jak jste dopadl. Myslím, že to bude i ostatní čtenáře zajímat.