Per cominciare, VeraCrypt è open source. Quindi, puoi assicurarti che il codice non contenga backdoor. Mentre BitLocker è closed source e quindi non aperto all'ispezione. Per questo motivo sono stati pubblicati messaggi come NSA Break Microsoft BitLocker . Mentre Microsoft apre il codice sorgente di Windows ai governi dell'UE è una buona notizia, mi permette comunque di rendere l'affermazione che BitLocker è affidabile come FileVault di Apple, perché il codice sorgente non è pubblico, fino a quella data, questa affermazione rimane vera.
A mio parere, le partizioni nascoste di VeraCrypt funzionano in modo simile a TrueCrypt, fuori produzione. Le partizioni nascoste funzionano molto bene,
It may happen that you are forced by somebody to reveal the password to an encrypted volume. There are many situations where you cannot refuse to reveal the password (for example, due to extortion). Using a so-called hidden volume allows you to solve such situations without revealing the password to your volume.
TheprincipleisthataVeraCryptvolumeiscreatedwithinanotherVeraCryptvolume(withinthefreespaceonthevolume).Evenwhentheoutervolumeismounted,itshouldbeimpossibletoprovewhetherthereisahiddenvolumewithinitornot*,becausefreespaceonanyVeraCryptvolumeisalwaysfilledwithrandomdatawhenthevolumeiscreated**andnopartofthe(dismounted)hiddenvolumecanbedistinguishedfromrandomdata.NotethatVeraCryptdoesnotmodifythefilesystem(informationaboutfreespace,etc.)withintheoutervolumeinanyway.
Thepasswordforthehiddenvolumemustbesubstantiallydifferentfromthepasswordfortheoutervolume.Totheoutervolume,(beforecreatingthehiddenvolumewithinit)youshouldcopysomesensitive-lookingfilesthatyouactuallydoNOTwanttohide.Thesefileswillbethereforanyonewhowouldforceyoutohandoverthepassword.Youwillrevealonlythepasswordfortheoutervolume,notforthehiddenone.Filesthatreallyaresensitivewillbestoredonthehiddenvolume.-Source
VeraCrypt ha un supporto multipiattaforma. In questo modo è possibile accedere ai volumi VeraCrypt su FreeBSD, Linux, Mac OS X e Windows. Tuttavia, i volumi BitLocker possono solo essere ufficialmente supportati, al momento della scrittura, su Microsoft Windows. Inoltre, Cryptsetup può decifrare e aprire VeraCrypt volumi cryptsetup --tcrypt-hidden open --type tcrypt [volume] [name]
.
Se cerchi aspetti di BitLocker che sono meno sicuri, va notato che TPM non aiuta la sicurezza se confrontato con l'uso di una chiave USB rimovibile, in quanto può essere portato con te più facilmente, mentre il TPM non può. Inoltre, BitLocker supporta la decrittografia della password, simile a quella di LUKS. Quindi, BitLocker offre tre opzioni su dove memorizzare la chiave di decodifica: TPM, chiave USB o password (che ricordi).
Assuming that there is the ability to adopt Veracrypt, I imagine the natural progression would be to decrypt the devices currently using Bitlocker first. If yes, what risks does this present to the data on the disks?
La memorizzazione di dati sensibili su un'unità decrittografata presenta un rischio considerevole. Come una volta fatto, devi sovrascrivere correttamente i dati dopo, cosa che su SSD può diventare molto più noiosa.
Should the data first be migrated across to another alternative destination that is already encrypted prior to decryption and encryption again?
As the devices that currently use Bitlocker store sensitive information such as personally identifiable data, financial statements, etc, i would like to limit the risk of data leakage.
Copia i dati sensibili direttamente dal BitLocker crittografato direttamente sulla partizione crittografata VeraCrypt, ciò riduce la perdita di dati. In alternativa, se questo non è possibile, archiviare i dati in un archivio 7z e crittografarli utilizzando AES256 con una password casuale strong. Quindi estrai l'archivio sulla partizione VeraCrypt. Quindi scartare la password e sovrascrivere l'archivio 7z, la parte di sovrascrittura è facoltativa.