Bitlocker

[wing11]

Salve a tutti. Non so se è questo il tread per porre la domanda e quindi me ne scuso in anticipo, se così fosse.
Se dovessi installare windows 10 o 11 su una partizione del mio ssd con bitlocker. Potrei stare tranquillo?
Se dovessero impossessarsi di tale drive, avrebbero qualche possibilità di accedere ai dati?
Grazie in anticipo

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da wing11

Salve a tutti. Non so se è questo il tread per porre la domanda e quindi me ne scuso in anticipo, se così fosse.
Se dovessi installare windows 10 o 11 su una partizione del mio ssd con bitlocker. Potrei stare tranquillo?
Se dovessero impossessarsi di tale drive, avrebbero qualche possibilità di accedere ai dati?
Grazie in anticipo

Niente o quasi niente è impossibile, in questo caso è decisamente difficile. Quindi dipende dal contesto, se è di quelli che può valere la pena impegnare risorse per farlo o non ne vale la pena. Voglio dire, se è un normale PC di un normale utilizzatore di PC è facile che non interessa nessuno farlo, se è un PC di una agenzia di spionaggio internazionale o di una azienda importante con i progetti e segreti industriali lì contenuti e cade nelle mani di chi ha interesse e capacità allora il modo per forzarlo possono trovarlo.

[SysLack]

Sulla scia di quanto già detto da Nicodemo: nel mondo dei comuni mortali BitLocker è garanzia di inviolabilità. Tuttavia, credo sia importante blindare soprattutto i dati (con cartelle cifrate o altro), più che l'intero sistema operativo, e se sono coinvolte password fare in modo che non siano in chiaro o autocompilate in programmi o browser. Questo approccio incentrato sui dati, più che sul sistema operativo, ha il vantaggio di rimanere difensivamente efficace anche quando si naviga o quando la protezione di BitLocker non è attiva perché il drive è stato sbloccato (dai buoni o dai cattivi, non fa differenza).

[wing11]

Quindi sarebbe opportuno usare, oltre che bitlocker per il sistema operativo windows, crittografare anche le cartelle dei dati, che so, con veracrypt. Giusto per essere sicuri.

[Perseverance]

Bitlocker dall'ultima versione di windows 11 24h2 è attivo di default, ciò significa che pc e notebook con questa versione di sistema operativo a bordo sono già crittografati in fase di installazione. Gli alti organi di sicurezza degli USA impedirebbero a microsoft la vendita o l'installazione di default se non fosse possibile in qualche modo recuperare i dati crittati, a maggior ragione se tutti i dispositivi sul mercato lo sono di default, allora è lecito pensare che esista una backdoor o un bug che microsoft "offre" a taluni in caso di richiesta di accesso ad un supporto crittografato con bitlocker. È closed-source perciò se non te lo vogliono far vedere ti devi solo fidare.

Inoltre bitlocker per funzionare si appoggia al tpm, le cui implementazioni sono spesso bucate come un colabrodo ed aggredibili, come in certi casi, in maniera davvero semplice. Sfruttando le vulnerabilità del tpm si può ottenere l'accesso al disco crittato, ad esempio https://hackaday.com/2024/02/06/beat...in-43-seconds/

Perciò se vuoi usarlo nessuno ti vieta di farlo e non posso nemmeno sconsigliartelo. Quello che si prefigge di fare lo fà, se poi fà anche altro e non ci è dato sapere, forse mai lo sapremo. Vedi te. L'impatto sulle prestazioni c'è ma è minimo in presenza di una cpu dotata set di istruzioni simd specifico ed oggi quasi tutte lo sono.

Quote:

Quindi sarebbe opportuno usare, oltre che bitlocker per il sistema operativo windows, crittografare anche le cartelle dei dati, che so, con veracrypt. Giusto per essere sicuri.

Veracrypt e LUKS sono il riferimento attualmente. Per una questione di performance ti sconsiglio di usare bitlocker insieme a veracrypt, o uno o l'altro.

[SysLack]

Quote:

Originariamente inviato da wing11

Quindi sarebbe opportuno usare, oltre che bitlocker per il sistema operativo windows, crittografare anche le cartelle dei dati, che so, con veracrypt. Giusto per essere sicuri.

Intendevo esattamente questo; chiaramente bisogna valutare quanto frequentemente quei dati debbano essere letti e usati da programmi o dall'utente. Lasciare un drive VeraCrypt sempre montato, dopo averlo sbloccato all'avvio, è comunque un livello aggiuntivo di sicurezza, nel senso che, partendo dal dispositivo spento, oltre a BitLocker andrebbe poi violato anche VeraCrypt o Cryptomator, o chi per loro; ciò inizia ad essere una fatica piuttosto titanica per lo smanettone di turno (che dovrebbe sottrarti o decifrare due chiavi).
Suppongo che il consiglio di Perseverance sulla coesistenza di BitLocker e VeraCrypt si riferisca (giustamente) all'uso di entrambi per la cifratura dell'intero drive.