web-dev-qa-db-ja.com

BitlockerからVeracryptに移行する際の考慮事項は何ですか?

現在、BitLockerからVeraCryptへの移行を評価しています。 VeraCryptの最新の pdate に基づいて、UEFI/GPTのサポートがあるようです。さらに、Windows 10を更新するときに decryption は必要ないようです。

BitLockerからVeraCryptに移行する理由は次のとおりです。

  • すべてのデバイスがTPMをサポートしているわけではありません
  • Windows 10 Homeで多数のデバイスが展開されているため、BitLockerのサポートは限定的

VeraCryptを採用する能力があると仮定すると、自然な進歩は、現在BitLockerを使用しているデバイスを最初に復号化することだと思います。はいの場合、これはディスク上のデータにどのようなリスクをもたらしますか?

たとえば、ドライブがVeraCryptで暗号化された後にデータリカバリを実行しようとすると、これらが検出される可能性がありますか?

復号化と暗号化の前に、すでに暗号化されている別の代替宛先にデータを最初に移行する必要がありますか?

現在BitLockerを使用しているデバイスには、個人を特定できるデータや財務諸表などの機密情報が格納されているため、データ漏洩のリスクを制限したいと思います。

1
Motivated

まず、VeraCryptはオープンソースです。したがって、コードにバックドアが含まれていないことを確認できます。 BitLockerはクローズドソースであるため、検査は行われません。このため、次のような投稿 Can theNSABreak Microsoft's BitLocker ができました。 MicrosoftがWindowsのソースコードをEU政府に公開 は朗報ですが、ソースコードはその日付まで公開されていないため、BitLockerはAppleのFileVaultと同じくらい信頼できるという声明を出すことができます。本当のまま。

私の理解では、VeraCryptの隠しパーティションは、廃止されたTrueCryptと同様に機能します。隠しパーティションは非常にうまく機能し、

暗号化されたボリュームのパスワードを誰かに明かすよう強制される場合があります。パスワードを明かすことを拒否できない状況が多くあります(たとえば、恐喝のため)。いわゆる隠しボリュームを使用すると、ボリュームのパスワードを明かさずにこのような状況を解決できます。

Hidden VeraCrypt volume

原則は、VeraCryptボリュームが別のVeraCryptボリューム内(ボリュームの空き領域内)に作成されることです。外部ボリュームがマウントされている場合でも、その中に隠しボリュームがあるかどうかを証明することは不可能であるはずです。これは、VeraCryptボリュームの空き領域は、ボリュームの作成時に常にランダムデータで満たされるため**、 (マウント解除された)非表示のボリュームは、ランダムデータと区別できます。 VeraCryptは、アウターボリューム内のファイルシステム(空き領域などの情報)を変更することはありません。

非表示のボリュームのパスワードは、外部ボリュームのパスワードとは実質的に異なっている必要があります。外のボリュームに(その中に隠しボリュームを作成する前に)、実際には隠したくない機密に見えるファイルをコピーする必要があります。これらのファイルは、パスワードの引き渡しを強制する人のために存在します。非表示のボリュームではなく、外部ボリュームのパスワードのみを公開します。本当に機密性の高いファイルは隠しボリュームに保存されます。 - ソース

VeraCryptは、クロスプラットフォームをサポートしています。 FreeBSD、Linux、Mac OS X、WindowsでVeraCryptボリュームにアクセスできるようにします。ただし、BitLockerボリュームは、Microsoft Windowsでは、現時点で公式にのみサポートされています。さらに、CryptsetupはVeraCryptボリュームを復号化して開くことができますcryptsetup --tcrypt-hidden open --type tcrypt [volume] [name]

安全性の低いBitLockerの側面を探す場合、TPMは持ち運びが容易ですが、リムーバブルUSBキーを使用する場合と比べて、TPMはセキュリティを支援しないことに注意してください。さらに、BitLockerはLUKSと同様にパスワードの復号化をサポートしています。そのため、BitLockerには、復号化キーを格納する場所として、TPM、USBキー、またはパスワード(覚えている)の3つのオプションがあります。

Veracryptを採用する能力があると仮定すると、自然な進歩は、現在Bitlockerを使用しているデバイスを最初に復号化することになると思います。はいの場合、これはディスク上のデータにどのようなリスクをもたらしますか?

復号化されたドライブに機密データを保存すると、かなりのリスクが生じます。一度行ったように、その後のデータを適切に上書きする必要がありますが、SSDではかなり面倒になります。

復号化と暗号化の前に、すでに暗号化されている別の代替宛先にデータを最初に移行する必要がありますか?

現在Bitlockerを使用しているデバイスには、個人を特定できるデータ、財務諸表などの機密情報が格納されているため、データ漏洩のリスクを制限したいと思います。

機密データを直接暗号化されたBitLockerからVeraCrypt暗号化パーティションに直接コピーします。これにより、データ漏洩が軽減されます。または、これが実行できない場合は、データを7zアーカイブにアーカイブし、強力なランダムパスワードを使用してAES256を使用して暗号化します。次に、そのアーカイブをVeraCryptパーティションに抽出します。次に、パスワードを破棄して7zアーカイブを上書きします。上書き部分はオプションです。

1
safesploit

Veracryptでの経験から、いくつかの考慮事項があります。 safesploitによって提示されたBitlockerに対するVeracryptのすべての利点に同意します。しかし、Veracryptは導入時にいくつかの困難を与える可能性があります。暗号化/復号化プロセス-そのすべての目的は、堅牢で信頼できるようです。しかし、フルディスク暗号化で必要な主なことは、Veracryptで暗号化された内蔵ハードドライブ用にコンピューターを再起動すると、通常どおり起動し、パスワードを要求し、準備ができていることです。過去数年間で、復号化ではなく、起動プロセスで問題が発生したユーザーがかなりいます。

私のおすすめ:

  • 文書化された手順に非常に完全に従ってください。特に、事前テスト、およびレスキューディスクの作成は一切スキップしないでください。最初は回復する必要があるかもしれません。

  • (再)起動に関する問題は、コンピュータの種類に大きく依存しているようです。特にエイサーは問題を与えています。しかし、HPと東芝について報告されているのを見たこともあります。世話をするコンピューターの数、および製造元のバリエーションに応じて、担当するデバイスで製造するすべての個人の1台のコンピューターで試運転を実行するのが理想的です。

  • それが適切に機能する場合、現在のVeracryptバージョンはUEFIおよびGPTに完全に対応できます。フォーラムのコメントの一部によると、再起動の問題はUEFI規格がそれほど安定していないことに起因しており、一部のメーカーは規格を細部まで順守していません。ウォームリブート後にブート順序が維持されることがありますが、コールドブート後は維持されません。したがって、問題は確かにVeracryptの完全な問題ではありません。

  • 問題の世話をし、主にVeracrypt専用のメインフォーラムであるMounir IdrassiとAlexに返信する人々は、非常に有能で意図的ですが、おそらく多少負荷がかかります。ドキュメントを注意深く順守することは別として、フォーラムのページを先に読むことは価値があります。主な技術的回答は https://sourceforge.net/p/veracrypt/discussion/technical/ のシリーズにあります。

  • フルディスク暗号化のないディスクにデータを移動しないようにするためのsafesploitのアドバイスに完全に同意します。開いた、復号化された、マウントされたBitlockerボリュームから新しいVeracrypt暗号化ボリュームにのみデータを移動します。これが唯一の安全なプロセスです。データ復旧のリスクがないことを意味します。

  • 上記の問題を認識している場合は、Veracryptを信頼できると思います。パスフレーズの紛失などのユーザーのミスの結果以外に、実際のデータ損失が発生することは聞いたことがありません。ただし、特定の学習曲線に備えて準備し、内蔵ハードドライブについて、使用するすべての種類のマシンがホットブートまたはコールドブートで問題を発生させないように時間を確保しておくことをお勧めします。外付けドライブの場合、これはもちろん問題ではありません...

これがお役に立てば幸いです。また、評価する際の考慮事項やリスクについてのご質問にお答えします。

1
henrystrick