BitLocker, nebo VeraCrypt - secure boot?

Oba ty systémy jsou kompromitované (=když dojde na lámání chleba, přísl. orgány se do nich dostanou = mají zadní vrátka). Takže záleží na tom , co chceš vlastně "schovávat".A pokud ti jde pouze o skrytí lechtivého obsahu před vlastní babičkou, není zase třeba šifrovat celé disky...----------------------------------------Takže spíše ve tvém případě se jedná o jakýsi pofiderní "pocit bezpečí" než o skutečné zabezpečení dat. Navíc je to ohroženo rizikem jejich nedostupnosti/ztráty i pro tebe samotného...

Jo a pro úplnost, data mám zálohována na několika místech.

osobně radši používám Veracrypt kontejnery než šifrovat celý disk - prostě tomu nevěřím.

Turingův test opravdu nepatří mezi moje oblíbená témata diskuze

Taky používám kontejner. Na datovém oddílu mám kontejner na dokumenty s citlivým obsahem. Pokud ale nemáš šifrovaný systém, je to k ničemu. Pokud by se zcizený notebook dostal do ruky někomu, kdo tomu rozumí, tak by se k něčemu mohl dostat třeba v tempu. Stačilo by nabootovat Linux z Live a můžeš si prohlížet (C) dle libosti.

ty si Temp neuklízíš? Jinak když budu paranoidní, tak můžu na citlivé dokumenty spouštět LibreOffice Portable z kontejneru. Pak i zálohy dokumentů ap. budou v konetejneru.

Turingův test opravdu nepatří mezi moje oblíbená témata diskuze

uklízet = prácezašifrovat = pohodaA hlavně já vůbec nepotřebuji s ničím radit. Mám v tom jasno. Chci šifrovat celý systémový oddíl. To s čím potřebuji poradit je, jestli BitLocker, nebo VeraCrypt a pokud VC, tak pomoci s tím postupem. Nic víc a nic míň.

tak ode mne doporučení Bitlockeru nečekej - já se proprietárním řešením Microsoftu vyhýbám a obzvláště když vidím, co dělá za psí kusy i jejich "profesionální" operační systém.

Turingův test opravdu nepatří mezi moje oblíbená témata diskuze

No, v tomto s tebou souhlasím. Jenže nějak nejsem schopen podle toho návodu nastavit Windows, abych mohl používat secure boot při použití VC.

aha, tak s tím fakt nepomůžu...

Turingův test opravdu nepatří mezi moje oblíbená témata diskuze

Nevadí. Jsi linuxák, vidím. Ale těší mě (tak nějak to tuším), že bys jinak pomohl. Vždycky mám radost, když potkám někoho ochotného a laskavého, než ty chytráky, kterých je právěže většina, no.

osobně radši používám Veracrypt kontejnery než šifrovat celý disk - prostě tomu nevěřím.Proč?

TrueCrypt byl kompromitovaný? A to kdy? O VeraCryptu lze mít pochybnosti, ale kódy jsou otevřené, takže...

Taky mi to nesedělo. Ale psal "systémy", tak jsem myslel OS.

VeraCrypt je kompromitovaný? Zdroj? IMHO blbosť, je to bezpečný soft, ak sa pouizje dostatočne silné heslo, dáta sú chránené.

Nehledám věštce, který věští špatně, ale někoho, kdo RÁD POMŮŽE.Nešifruji proto, abych něco skryl před NSA. Zadní vrátka jsou pro mne v pohodě. Nedělám nic zlého a kdyby bylo třeba, ať se vláda podívá. A stejně tomu zabránit nejde.Paranoidní taky nejsem.Budu mít v notebooku dokumenty s citlivými informacemi a kdybych jej třeba někde zapomněl a někdo jej zcizil, tak nechci, aby se k tomu dostal.A lechtivý obsah v žádném případě nemám.Prosím všechny podobné chytráky, ať si nechají svoje moudra pro sebe. Pokud mi někdo pomůže, budu velice rád.

Když jde o dokumenty, pak proč ne kontejner?

Vždyť jsem přece psal, že na dokumenty s citlivým obsahem používám kontejner na datovém oddílu. To tak zůstane.

Pretože napr. vo Windows nemáš plnú kontrolu nad tým, kde sa uložia rôzne dočasné súbory. V závislosti od softvéru alebo systému môže skončiť citlivý obsah v memory dumpoch, logoch, systémových indexoch, dočasných súboroch alebo v ukladacom priestore pre hibernáciu. Preto sa v prípade naozaj cistlivých dát používa kryptogrtafia na celý disk.

Odpověď je poměrně jednoduchá. Pokud chceš chránit své soubory před soukromými osobami, tak postačí BitLocker a pokud před orgány tak TC/VC. U BitLockeru je vysoký předpoklad zadních vrátek. Je jen otázkou, kdo s nimi disponuje. I přes to, že si myslím, že, České orgány nikoliv, nelze mu plně důvěřovat. Samozřejmě, že šifrování systému je základní předpoklad pro neprolomení šifrování. Postačí nějaký malware a ten kdo zadává hesla za běhu je nahranej.

Já bych taky raději VC. Pomohl bys mi s tím postupem (odkaz v dotazu)?

V práci ve veliké míře používáme TrueCrypt/Veracrypt, pomocí kterého šifrujeme celé disky. Problémy jsme s tím dosud díky bohu žádné neměli. Nutno podotknout, že většina počítačů jsou starší stroje, které běží v legacy módu (OS Windows 7 Professional). Na jednom stroji, který běží v testovacím provozu, máme Windows 10 Pro pod UEFI režimem a Veracrypt zatím běží stabilně. Výtku mám jen k tomu, že trvá cca 1-2 minuty, než systém po zadání hesla začne bootovat.Na počítačích s SSD diskem mám však obavu Veracrypt používat, protože dle některých diskuzí (i některých názorů uživatelů) není Veracrypt pro šifrování SSD připraven a nadměrně jej opotřebovává. Za zvážení by stál i zmíněný BitLocker, nicméně, protože to je nástroj přímo od Microsoftu, nebudí ve mě moc velkou důvěru, může obsahovat backdoor. Další věcí je, že BitLocker vyžaduje TPM čip (dá se v editoru zásad vynutit použití pouze hesla).

Opotřebení jsem tu řešil (SSD), ale tvrdili mi tu nedávno, že je to OK. Taky myslím, že u SSD by to mohl být problém.Já v notebooku TPM čip nemám, ale v tom editoru zásad jsem to heslo vynutil. Taky se mi líbí, že BitLocker umí šifrovat na oddílu jen obsazené místo, což je u úplně nového notebooku v pohodě. Tedy opotřebení je menší. Podle mě má ale BitLocker zadní vrátka.Raději bych ten VeraCrypt, ale se zapnutým secure bootem mi to nejede. Když jej vypnu, tak ano. Dle návodu z odkazu by to mělo jít pořešit, ale nerozumím tomu, co tam po mě chtějí. Osobně používám TrueCrypt a VeraCrypt dohromady už několik let a bez problémů, i když nutno podotknout, že šifruji jen kontejner.

Ano, BitLocker umí zašifrovat jen použité místo, tudíž nesahá na celou kapacitu SSD disku. Navenek se tváří jako fajn nástroj, nicméně, vzhledem k tomu, že se jedná o uzavřené proprietární řešení Microsoftu, u kterého nikdo nikdy neviděl zdrojový kód, jej za moc důvěryhodný nepovažuji, může mít backdoor. Jako základní ochrana před nenechavci a k zalepení tlamiček z EU (GDPR) bohatě postačí. Drtivá většina uživatelů bude mít problém se k datům dostat.TrueCrypt/VeraCrypt považuji za docela důvěryhodný nástroj, neboť samotný kód TrueCryptu prošel bezpečnostním auditem. Další věcí je, že se jedná o opensource nástroj se zveřejněným kódem a pokud by v něm byla nějaká levá, dávno by to vyplulo ven. Ovšem mi na něm vadí nedostatečná informovanost ohledně chování VeraCryptu s SSD diskem, zejména vliv na jeho životnost.Jinak co se týče VeraCryptu a securebootu, mám v práci šifrovaný notebook ThinkPad T430 s 1 TB diskem (WD Black) a problém s tím není. Stačilo pouze nainstalovat OS (Win10) a následně zašifrovat. Vše proběhlo v pořádku bez sebemenšího nastavování hned na první pokus.

Díky za takovou odpověď!Vše proběhlo v pořádku bez sebemenšího nastavování hned na první pokus.No, a já jsem udělal to samé na Dell Inspiron 7773 (SSD Intel 500 GB) a po restartu na mě vyskočilo okno s chybovou hláškou. Klikl jsem na OK a nic. Restartoval jsem, předpl jsem z UEFI secure boot na UEFI secure boot off a po restartu se objevil dialog na zadání hesla. Zadal jsem ho a systém naběhl. Ale se secure boot mi to prostě nefunguje. Tak nechápu.Jinak to všechno vidím tak jako ty.

Pokud je o šifrování systémového disku, raději bych zvolil BitLocker - u něj se dá předpokládat méně problémů. Obecně na šifrování celých disků bych použil raději BitLocker, VeraCrypt je vhodnější spíše na šifrované File Containery. A pokud jsem velký paranoik, vytvořil bych si ve VeraCrypt šifrovaný File Container a umístil ho na disk šifrovaný BitLockerem …

"Obecně na šifrování celých disků bych použil raději BitLocker, VeraCrypt je vhodnější spíše na šifrované File Containery" - mas pro tohle tvrzeni nejaky konkretni duvod? Nenapadam, jsem zvedavy...

Přiznám se, že u šifrovaných systémových disků mám zkušenost pouze s BitLockerem. Používáme, nejsou problémy. Občas se však dočtu o problému se systémovým diskem šifrovaným VeraCryptem. Navíc, kdo jiný má dostatek informací k tomu, aby vytvořil spolehlivý software na šifrování disků s nainstalovanými Windows, než Microsoft? A také zajistil včasnou aktualizaci tohoto sw v návaznosti na aktualizace samotných Windows?

OK, diky!

Zapomínáš ale, že budu mít dual boot Windows 10 / Linux Mint 18.3. A budu chtít z Linuxu přistupovat jak na (C), tak na (D). A to už s BitLockerem tak hladké být nemusí. Je na to sice driver - DisLocker, ale lidé, kteří mi ohledně tohoto radili a určitě IT rozumí, byli s BitLockerem spíše zdrženliví. VC frčí na obou systémech. Mám to osobně odzkoušeno. Tedy jen s kontejnerem, ale za tu dobu co to používám ani jeden problém.