web-dev-qa-db-ja.com

ハードドライブ全体を暗号化するか、パーティションのみを暗号化する必要がありますか?

1TBのハードドライブを搭載したHP Pavilionノートブックを持っています。 Windows 10を実行しています。

ハードドライブを完全に暗号化したり、Windowsがインストールされているパーティションを暗号化したりする代わりに、機密情報を保存するパーティションを暗号化するだけで、(他の方法と比較して)データが盗まれる可能性が高くなりますデバイスが盗まれる?

ハードドライブ全体を暗号化したくないので、時間がかかります。 150GBを暗号化するには10時間かかります。

encryptiondisk-encryption
8
fboi

どちらのソリューションも受け入れ可能ですが、長所と短所が異なります。

  1. フルディスク暗号化:

    長所:暗号化されていないパーティションの機密データが漏洩するリスクはありません

    短所:問題が発生した場合、ディスク全体が読み取り不能になり、リムーバブルブータブルメディアからのリカバリ/再インストールを試行する必要があります。ビルドして安全に保管することを忘れないでください

  2. 暗号化されたパーティション:

    短所:データパーティションのみを暗号化する場合、機密データが一時ファイルで終了するか、暗号化されていないパーティションのスワップファイルになる可能性があります

    長所:問題が発生した場合、暗号化されていないパーティションの方が簡単に回復できます

以下は私の(主観的な)アドバイスです:

ディスクにリカバリパーティションがある場合、これを暗号化する必要はありませんが、システムまたはデータをすべて安全にしたい場合はすべてのWindowsパーティションを暗号化する必要があります。攻撃者を受け入れることができる場合は機密データパーティションのみを暗号化する必要があります。一時ファイルまたはスワップファイルでトレースを見つけることができます。

または、リムーバブルリカバリデータ(のセット)を作成し、フルディスク暗号化を使用することもできます。

最初の暗号化時間は、実際にはIMHOには関係ありません。それは一度だけ起こります。しかし、150 Gbで10時間というのはかなり奇妙に思えます。 SATAディスクのioスループットでは約100Mb/sが許容されるため、150Gbの暗号化は数時間を超えないようにする必要があります。

7
Serge Ballesta

ディスク全体を暗号化します。オーバーヘッドはごくわずかで、誰かがコンピューターを盗んですべてのデータを手に入れることを心配する必要はありません。また、コンピュータを修理に出さなければならない場合でも、ファイルの盗難やアプリケーションの侵害について心配する必要はありません。

もう1つの利点は、すべてのデータがデフォルトで暗号化されるため、機密データを保護されていないパーティションから保護されているパーティションにコピーするという精神的なプロセスを維持する必要がないことです。また、二重の保護が必要な場合は、VeraCryptボリュームを作成して使用します。

4
ThoriumBR

ドライブ全体に対してパーティションのみを暗号化する利点の1つは、他のタスクにシステムを使用しながらパーティションを暗号化/復号化できるため、いわば「オンデマンド」で暗号化できることですが、ディスク全体を暗号化すると復号化されますシステムを起動して認証するたびに。

セキュリティの点では、あなたが言うように、マシンが盗まれた場合、そのようなシナリオではFDEと暗号化されたパーティションの間に大きな違いはないと私は言います。パーティションで強力な暗号化を使用する場合、データが危険にさらされる可能性はほとんどありません。

機密情報にアクセスまたは保存する必要があるときにのみ暗号化を解除し、完了時に再度暗号化する場合は、FDEと比較して暗号化されたパーティション/フォルダーを使用することにはいくつかの利点があると思います。 FDEのみの場合と同様に、ログインしている間は常に暗号化されていない状態です。

3
cseder

これは物議を醸すトピックですが、あなたの場合、どのファイルが「機密情報」であるかを明確に定義できる場合は、部分的な暗号化を行います。

Veracrypt のようなツールを使用します。これにより、暗号化されたコンテナーを維持でき、オンデマンドでマウントできます。そして、

  • 必要な場合にのみデータを復号化してアクセスし、データへの露出を最小限に抑えます。
  • このコンテナだけを定期的にバックアップしてください。

これは、後でディスク全体の暗号化を選択した場合に備えて、ディスク全体の暗号化を除外するものではありません。

1
Marcel

問題は、Windowsパーティションを暗号化しないでおくと、暗号化されていないページファイル(WindowsがRAMを使い切ったときにアプリケーションメモリを保存する場所)と休止ファイル(WindowsがRAM暗号化されたハードドライブに保存されている機密データを使用している場合、その内容はこれらのファイルに保存される可能性があります。

システムドライブには、機密データが表示される可能性のある場所もあります(もちろん、機密と見なす情報によって異なります)。常に暗号化したいのは、C:\Usersディレクトリ。これは、あらゆる種類のアプリケーションが一時ファイル(それほど一時的なファイルではない)を格納するために使用するためです。機密ファイルを表示または編集するときはいつでも、表示に使用するソフトウェアがそのファイルに関する情報をユーザーディレクトリに保存する場合があります。プログラムを使用して機密ファイルを処理することが確実であり、機密ファイルを使用しないことがわかっている場合は、これは問題にはなりません。しかしあるこれについて確信がありますか?

ちなみに、私が知っているすべてのWebブラウザーは、Cookieと履歴をそこに保存しています。ただ言って。

暗号化されたボリュームの量を最小限にしたい場合は、3つのパーティションを使用することをお勧めします。

  • Windowsシステムパーティション(暗号化、起動時に復号化)
  • 機密データ(暗号化、必要なときに復号化)
  • 非機密データ(暗号化されていません)

しかし、長期的には、弾丸を噛んでディスク全体を暗号化する方が便利な場合があります。最初の暗号化プロセスを一晩実行するだけです。

0
Philipp

アプリケーションに関する詳細情報がなければ、FDEは常に最も安全な方法です。ただし、それほど重要ではないデータと単純な攻撃者にとっては、暗号化されたパーティションまたは仮想ハードドライブでおそらく十分です。

0
they