Windows 11, laptop, SSD, nem túl szenzitív adatok esetén hogyan érdemes titkosítani, hogy egy tolvajnak eléggé megnehezítse a dolgát, de adatmentés során ne okozzon túl nagy problémát?
Tudom, hogy kell backup, és van is, ennek tudatában nem akarom túlzásba vinni ezt a témát, de azért érdekelnek a vélemények.
NVMe jelszó: nem használtam még ilyet, de azt tippelem, hogy egy ilyen diszket könnyen át lehet tenni másik gépbe, ahol a jelszóval könnyen nyitható BIOS-ból, és onnan kezdve pont úgy látszik, mint egy titkosítatlan diszk. Baj akkor van, ha olyan hardverhiba áll be, amikor a kulcsot a jelszó ismeretében sem lehet előszedni.
Bitlocker: hátrány, hogy ehhez már Windows 11 pro verzió kell, előny, hogy recovery kulcsot is támogat, másik Windowsos gép alól elérhető, de vajon Linux alól is elérhető?
VeraCrypt: mivel open source, ezért biztosan hordozható megoldás, ugyanakkor a minőségében jobban kételkedek, összeakadhat a Windows-zal, és valszeg nem is tud olyan kényelmi dolgokat, mint a Bitlocker.
LUKS: a Windows miatt nem opció, egyébként gondolom, hogy hasonló a VeryCrypt-hez, csak nem "dobozos verzió".
Mit hagytam ki?
Hozzászólások
Bitlocker linuxon: https://www.baeldung.com/linux/bitlocker-encrypted-device
Aláírás _Franko_ miatt törölve.
RIP Jákub.
neut @
Azt az esetet, hogy clientet nem backupolunk, hanem olyan szoftvereket kell hasznalni, ami cloudba syncel:
Es akkor ugy titkositod a gepet, ahogy akarod. Szerintem.
Sose hagynék semmiből eredeti példányt a felhőben, ezért kell a helyi tárolás, amihez kell a backup.
A titkosításnál pedig azért érdekel a javíthatóság, mert az jó esetben még mindig könnyebb, mint backupból visszaállni.
Felho/fileshare esetben azt kell backupolni, nem a kliens oldali adatot.
Ha nincs veszendo adat a laptopon, akkor nem kell backupbol visszaallni, csak Win reinstall.
De most lehet hogy elbeszelunk egymas mellett. Ez ceges vagy personal use-case? Nyilvan mas lehet optimalis otthonra.
En otthonra is ugyanezt gondolom. Privatfelhoben az eredeti (ami auto backup-al mentve par honapra visszamenoleg - offline tarolva a mentest) es kliensek kereszeletuek. Ha kell, reinstall es mindenki boldog.
Nextcloud? Protondrive?
jelszóval könnyen nyitható - persze, ha megvan a jelszó/kucs akkor bárelyik titkosítás 'könnyen nyitható' :)
Ez véd a tolvajok ellen, akkik várhatóan nem tudják a jelszót/kulcsot.
A backup pedig a baj ellen véd, ami olvashatatlanná/elérhetetlenné teheti a diszket.
De tovább is mehetünk: a backup-ot is érdemes titkosítani, főleg ha felhőbe akarod tárolni.
zrubi.hu
Van amúgy egyáltalán olyan fícsör h. nvme jelszó? Mert ATA security-ről tudok, és pont nvme jelszót (annak nem-létét) hozták fel hiányosságnak vele szemben.
SED a kulcsszó. Self-encrypted-disk. Enterprise-ban alap, consumerben nem tudom mennyire terjedt el.
Az van (S)ATA-ban is, nem nvme password.
Lazán kapcsolódik: Breaking Bitlocker - Bypassing the Windows Disk Encryption
Ez kicsit túl van tolva, TPM+PIN már véd ez ellen, illetve kell hozzá külön TPM chip, ahogy említve is van a videóban.
https://iotguru.cloud
Ezt már annó kiveséztük.
Windows 11-et támogató gépnél egyre valószínűtlenebb, hogy ez működik, a TPM költözött.
Plussz PIN-el, vagy jelszóval (már évek óta dokumentált mindenfele) lehet ez ellen védekezni.
Oké, köszi! Mindig tanul az ember. :)
Nekem az a megoldásom, hogy alapból Bitlocker van, ami pedig Windows és Linux közös terület, az LUKS és WSL2-n keresztül használom.
Egyébként Home esetén is van Bitlocker, de csak a "C" drive esetén használható.
https://iotguru.cloud
A "device encryption" állítólag minden beépített meghajtón be lesz kapcsolva alapból, és akkor az nem csak C partíció. Meglátom, mi lesz, aztán lehet, hogy hagyom úgy, ahogy a Windows akarja.
Legjobb tudásom szerint csak az OS drive titkosítható Home esetén, de lehet, hogy ez változott már.
https://iotguru.cloud
https://support.microsoft.com/en-us/windows/device-encryption-in-window….
Ah, akkor ez megoldódik így.
https://iotguru.cloud
Windows-on Bitlocker, Linux-on szabadon választott több lehetőségből.
Ha a kliensen értékes adat eredeti példánya van, akkor mentés titkosítottan valahová (saját tárhely vagy felhős szolgáltatás), de még jobb, ha a kliensen csak felhős tárhelyen lévő adat helyi példánya van (ez lehet saját Nextcloud is, nem csak Onedrive vagy hasonló). A felhős tárhelyről meg titkosított mentés valahová (szintén teteszés szerint választott saját eszközre vagy felhő szolgáltatásba).
Az olyan dolgokat, amit több platformról is el kell érni, én saját Nextcloud-on tartom, nem használok OS-ek között "megosztott" diszket sehol.
Izé. Nekem Win11 Home van, és bitlockerrel jött a laptop.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Erre fentebb rájöttünk. Pár nap múlva jön a laptop, és ha ez tényleg működik (minden partíción), akkor jó lesz.
A VeraCrypt teljesen jó, használd azt. Nem fog a backupnak keresztbe tenni, mert miután feloldottad a rendszer futtatásával, onnantól transzparens, a backup megoldások úgy látják, hogy titkosítatlan lemezzel, partícióval van dolguk.
Akár a Bitlockert is használhatod, ahhoz sem kell Win11, elég a Win10 Pro is. Továbbá igen, Win11-en már a Home is támogatja a Bitlockert. A Bitlockerben nem bíznék, NSA, FBI ellen lehet nem véd, de átlag tolvaj ellen mégis érhet valamit, ha megkaparintja a laptopod, jó eséllyel nem fér az adatokhoz.
Attól is függ, hogy milyen SSD. Ha SATA, mSATA, M.2 SATA, és az alaplapod tud ATA titkosítást, akkor azt is használhatod, az OS, backup számára ez transzparens titkosítás. Ha NVMe SSD és tud OPAL-t, akkor meg a sedutil lehet a megoldás, ezt egy kicsit pain in the ass bekonfigolni.
“The world runs on Excel spreadsheets.” (Dylan Beattie)