Microsoft BitLocker na notebooku (versus HP SafeBoot)
Na hlavním PC s ultrarychlým diskovým polem s Adaptec SAS/SATA-3405 řadičem jsem přešel na BitLocker. BitLocker zde šifruje zhruba 3.5TB dat pomocí AES-256 s difuzorem, a po více než měsíci používání je zde mimořádná spokojenost s rychlostí i spolehlivostí.
Dříve jsem používal PGP Whole Disk Encryption 9.x a TrueCrypt 6.0a, to jsou jednoznačně horší řešení.
BitLocker na HP 6710b notebooku
Protože jsem s BitLockerem spokojen, chtěl jsem jej nasadit i na notebook. Je to HP 6710b s T7300 CPU (2.0GHz), 4GB RAM a rychlým 200GB Seagate 7200rpm diskem. Jako operační systém používám Vista Business x64 SP1 CZ (OEM).
HP k tomuto notebooku dodává šifrování bootovacího disku, dokonce využívající pro uložení šifrovacího klíče vestavěný TPM chipset, a to pod názvem HP SafeBoot. Veškeré potřebné drivery a instalační sady si můžete v nejnovější verzi stáhnout z webu HP Support.
HP je mimochodem jedna z nemnoha společností, které od počátku podporují 64bitovou verzi Windows Vista, ostatní výrobci se teprve nyní pomalu přidávají.
Předpokládal jsem, že upgrade Business x64 (OEM) SP1 CZ -> Ultimate x64 SP1 CZ bude triviální, zadám nové licenční číslo, systém se přes internet aktivuje, doinstaluje pár komponent, které tvoří rozdíl mezi Business a Ultimate edicí, a bude hotovo.
Bohužel, tak jednoduché to není.
Po zadání licenčního čísla Ultimate edice (retail balení) systém nahlásí, že toto číslo nejde použít. To samé nastane, když spustím setup.exe z instalačního DVD z Windows, a to samé pokud z tohoto DVD nabootuji. Možná je pouze čistá instalace. Bohužel jediná možnost jak provést upgrade Business -> Ultimate je za pomoci speciálního Anytime Upgrade DVD.
Pokud nemáte k dispozici toto speciální DVD, není možné provést upgrade, jen čistou instalaci Windows a následně všech programů :-(
Zprovoznění BitLockeru
HP 6710b obsahuje TPM chipset, takže klíče pro šifrování je možné ukládat do tohoto chipsetu, nikoliv na externí USB klíč (i když i tuto možnost si můžete pomocí gpedit.msc
vynutit).
Před vlastním šifrováním musíte TPM chipset inicializovat pomocí HP ProtectTools Embedded Security, nikoliv pomocí Microsoftího appletu pro TPM chipset. Šifrování jinak nebude fungovat!
Následně je vhodné spustit gpedit.msc
a v nastavení si zapnout AES-256 namísto defaultního (a méně bezpečného) AES-128.
Po tomto nastavení již můžete použít Microsoftí BitLocker applet pro vytvoření nešifrované partition disku o velikosti 1.5GB a zašifrování hlavního disku.
Při startu počítače budete muset zadat heslo do TPM (Embedded Security) a až poté je klíč pro šifrování předán operačnímu systému a nabootuje se běžným způsobem.
Rychlost BitLockeru
Rychlost BitLockeru na HP 6710b je opět fantastická při minimální zátěži CPU. Celý systém je i po zašifrování velice svižný, nejsou znát (kromě extrémních operací s diskem u několika aplikací zároveň) latence, probouzení počítače je okamžité.
Takto vypadá test zašifrovaného disku pomocí HD Tune, povšimněte si jen minimálních rozdílů v zátěži CPU a rychlosti mezi nezašifrovaným diskem a při použití BitLockeru, zatímco HP SafeBoot je výrazně pomalejší a řádově více zatěžuje CPU.
Závěr
Z uvedených grafů je jasně vidět, že Microsoft BitLocker je výrazně lepší řešení než HP SafeBoot (a také než TrueCrypt 6.0a, který vytěžuje podobně brutálně CPU a navíc nepodporuje TPM, takže je z těchto možností nejméně bezpečný).
Pokud kupujete nový notebook, soustředil bych se na modely s Windows Vista Ultimate, která jako jediná BitLocker obsahuje (plus Enterprise verze, ale ta není běžně dostupná).
Pokud používáte nyní Vista Business či Home Premium verzi, nejlepší bude použít Windows Anytime Upgrade, protože pak nebudete muset reinstalovat celý systém.
Podle jakého parametru poznám, že daný notebook podporuje TPM?
V jednotlivých datasheetech výrobců není faktická poznámka, která by potvrzovala onu vlastnost.
[1] TPM je chipset navíc, takže pokud se s ním výrobce nechlubí, podle mého názoru tam nebude.. HP 6710b je business řada notebooků, ty mají dobré zabezpečení (tedy i TPM), naopak "domácí řady" často TPM chipset (a čtečku otisků prstů) postrádají.
Většinou se to člověk dozví až z recenzí, ale pokud si bude procházet i specifikace výrobku přímo z datasheetů na stránkách výrobců, tak ti podobnou informaci téměř vždy podávají (pokud tam TPM je, jinak samozřejmě ani slovo).
TPM dnes má velké množství notebooků - z business řad to je všechno mimo nejlevnějších SMB modelů. Občas to lze najít ovšem i na multimediálních modelech (tam je to většinou vázáno s biometrickým senzorem, zatímco u business třídy může být TPM, i když není biometrický senzor přítomen).
Pokud jde o to nutné CDčko, tak to někteří výrobci dávají k notebooku, ale je to tak 5% ze všech recenzovaných.
Mimochodem, je až neuvěřitelné, že to šifrování od MS negeneruje žádné zpomalení. Do problematiky vidím jen málo, ale podle grafů bych si snad i myslel, že to nic nešifruje :-). Jestli je to ale takhle dobré, tak to vidim konečně jako nějakou výhodu, proč u Visty koupit verzi Ultimate.
[4] disk je šifrovaný, také mě to nedalo o ověřoval jsem to pomocí Live CD a disk editoru :) Hlavní výhoda je ale jinde - u každého jiného šifrování jsem měl občas problém s "tuhnutím", kdy zjevně nebyl procesorový čas na dešifrování, viditelně špatná priorita threadů / aplikací. BitLocker je napsaný lépe v tom, že s tímto problémem jsem se prostě nesetkal, nejsou tam takové ty chvilkové "záseky" jako u PGP, TrueCryptu či SafeBootu. Skvěle je to vidět na velkých souborech, třeba když chci otevřít Outlook s 1GB mailboxem, tam je to mnohem lépe optimalizované. Je to logické, Microsoft zná svůj OS nejlépe...
Opravdu zajímavý článek, jen tak dál :-)
Jinak BitLocker používám na datovém disku a jsem s ním spokojený, nicméně by mě zajímala jedna věc: pokud mi disk nahlásí chybu a nepůjde nastartovat windows (ale data lze přečíst z jiného OS - z live CD) tak pokud budu mít šifrovaný disk pomocí BitLockeru tak je asi jedinou šancí vrazit to do jiného PC s Vista ultimate, že ano?
PS: V úvodu článku píšete že vám BitLocker šifruje asi 3,5GB dat, jak jste této kapacity (pokud to není překlep) dosáhl na diskovém poli s 4 disky?
Zatížení procesoru na disku šifrovaném bitlockerem vypadá opravdu velmi dobře, skoro bych řekl až moc dobře. Před nejakou dobou jsem četl zajímavý článek o algoritmech, který bitlocker používá. AES256 s difuzérem si autoři bitlockeru vybrali právě kvůli slušné rychlosti algoritmu, implementace AES256 na Pentiu 4 šifruje rychlostí cca 20 cyklů CPU na bajt, difuzér pracuje rychlostí cca 10 cyklů na bajt. Když si to přepočtete na MB/s a vynásobíte koeficientem 1.4, který zohlední, že archtektura Core 2 zpracuje více instrukcí za 1 takt, zjistíte, že je blbost aby bitlocker zvládal šifrovat 50 MB/s při zatížení procesoru 4%. Při měření s HDTune zřejmě bitlocker nic nedešifruje, tj. měřite pouze rychlost samotného disku. Mohl byste vyzkoušet nějaký jiný benchmark, který pracuje se souborovým systémem, např. IOMeter?
Mohl by prosím někdo poradit? Zajímalo by mě, jak velký je rozdíl v rychlosti AES128 a AES256.