Kingston KC600 1 TB a HW šifrování téměř v praxi
6.1.2020, Jan Vítek, recenze
Už i zákazník se spíše malým rozpočtem na pořízení nového PC může uvažovat o tom, že o bude vybaveno pouze elektronickou pamětí. Pak vyvstává mimo jiné také otázka, zda by měl či neměl využít hardwarové šifrování dat, třeba na 1TB Kingstonu KC600.
Kapitoly článku:
- Kingston KC600 1 TB a HW šifrování téměř v praxi
- Doporučení Microsoftu
- Kingston KC600
- Nastavení softwarově zašifrovaného oddílu
- (Ne)zprovoznění hardwarového šifrování
- Výkonnostní testy - ATTO a SLC cache
- Výkonnostní testy - Crystal Disk Mark, AS SSD a HD Tune
- Výkonnostní testy - PCMark Vantage
- Závěrečné hodnocení
Co se týče doporučení Microsoftu v první kapitole, to se týká právě BitLockeru a aktivace softwarového šifrování dat, které je tak dle této firmy z hlediska zabezpečení vhodnější než hardwarové v SED (Self-Encrypting Drive). SED jsou úložná zařízení automaticky šifrující veškerá data a běžně se tak označují prostě takové disky, které disponují hardwarovým šifrováním, které je dnes již zcela běžné.
BitLocker Drive Encryption zase známe jako zabudovanou funkci v systémech Windows, která může využívat právě hardwarové, nebo své vlastní softwarové zabezpečení. Donedávna ještě platilo, že pokud si někdo šifrování v BitLockeru zapne, ve výchozím stavu bylo aktivováno právě to hardwarové, pokud pochopitelně bylo k dispozici.
Pokud se chceme rychle přesvědčit o tom, zda a jak jsou naše úložiště šifrována, můžeme si v příkazovém řádku zadat ‘manage-bde.exe -status’. Výsledek může vypadat třeba takto:
|
Volume E: [Data]
[Data Volume] Size: 833,85 GB
BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0,0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Automatic Unlock: Disabled Key Protectors: None Found |
Vypíší se informace o disku a oddílu a také o použité verzi BitLockeru, stavu šifrování, jeho metodě, atd. Microsoftu jde především o to, abychom preventivně nevyužívali hardwarové šifrování a v nastavení nástroje BitLocker si zvolili softwarový způsob, což se označí vždy v řádku Encryption Method. Pokud tam najdeme například XTS-AES 128, znamená to, že je využito softwarové šifrování. V případě hardwarového je tu napsáno přímo Hardware Encryption s podrobnostmi verze, apod.
Pochopitelně to ale nebude hned, neboť změna z hardwarového na softwarové šifrování (či naopak) vyžaduje nejdříve dešifrování dat a pak jejich následovné zašifrování, což si zabere jistý čas dle objemu dat, propustnosti úložiště a výkonu systému. Přenášet data z disku pryč a formátovat jej však nutné není.
Vůbec se zde neřeší výkon, ale dalo by se říci, že ten je v tomto případě vedlejší. Pokud se někdo rozhodne mít data na disku šifrovaná, pak by jejich zabezpečení mělo mít přednost i před tím, že vypnutím hardwarového šifrování ztratí část výkonu nebo více zatíží hlavní procesor počítače. Nicméně právě i na to, jak se projeví z hlediska výkonu a času procesoru hardwarové a softwarové šifrování, se budeme snažit najít odpověď.
