Quali sono le considerazioni da fare durante la migrazione da Bitlocker a Veracrypt?

Per cominciare, VeraCrypt è open source. Quindi, puoi assicurarti che il codice non contenga backdoor. Mentre BitLocker è closed source e quindi non aperto all'ispezione. Per questo motivo sono stati pubblicati messaggi come NSA Break Microsoft BitLocker . Mentre Microsoft apre il codice sorgente di Windows ai governi dell'UE è una buona notizia, mi permette comunque di rendere l'affermazione che BitLocker è affidabile come FileVault di Apple, perché il codice sorgente non è pubblico, fino a quella data, questa affermazione rimane vera.

A mio parere, le partizioni nascoste di VeraCrypt funzionano in modo simile a TrueCrypt, fuori produzione. Le partizioni nascoste funzionano molto bene,

It may happen that you are forced by somebody to reveal the password to an encrypted volume. There are many situations where you cannot refuse to reveal the password (for example, due to extortion). Using a so-called hidden volume allows you to solve such situations without revealing the password to your volume.

TheprincipleisthataVeraCryptvolumeiscreatedwithinanotherVeraCryptvolume(withinthefreespaceonthevolume).Evenwhentheoutervolumeismounted,itshouldbeimpossibletoprovewhetherthereisahiddenvolumewithinitornot*,becausefreespaceonanyVeraCryptvolumeisalwaysfilledwithrandomdatawhenthevolumeiscreated**andnopartofthe(dismounted)hiddenvolumecanbedistinguishedfromrandomdata.NotethatVeraCryptdoesnotmodifythefilesystem(informationaboutfreespace,etc.)withintheoutervolumeinanyway.

Thepasswordforthehiddenvolumemustbesubstantiallydifferentfromthepasswordfortheoutervolume.Totheoutervolume,(beforecreatingthehiddenvolumewithinit)youshouldcopysomesensitive-lookingfilesthatyouactuallydoNOTwanttohide.Thesefileswillbethereforanyonewhowouldforceyoutohandoverthepassword.Youwillrevealonlythepasswordfortheoutervolume,notforthehiddenone.Filesthatreallyaresensitivewillbestoredonthehiddenvolume.-Source

VeraCrypt ha un supporto multipiattaforma. In questo modo è possibile accedere ai volumi VeraCrypt su FreeBSD, Linux, Mac OS X e Windows. Tuttavia, i volumi BitLocker possono solo essere ufficialmente supportati, al momento della scrittura, su Microsoft Windows. Inoltre, Cryptsetup può decifrare e aprire VeraCrypt volumi cryptsetup --tcrypt-hidden open --type tcrypt [volume] [name] .

Se cerchi aspetti di BitLocker che sono meno sicuri, va notato che TPM non aiuta la sicurezza se confrontato con l'uso di una chiave USB rimovibile, in quanto può essere portato con te più facilmente, mentre il TPM non può. Inoltre, BitLocker supporta la decrittografia della password, simile a quella di LUKS. Quindi, BitLocker offre tre opzioni su dove memorizzare la chiave di decodifica: TPM, chiave USB o password (che ricordi).

Assuming that there is the ability to adopt Veracrypt, I imagine the natural progression would be to decrypt the devices currently using Bitlocker first. If yes, what risks does this present to the data on the disks?

La memorizzazione di dati sensibili su un'unità decrittografata presenta un rischio considerevole. Come una volta fatto, devi sovrascrivere correttamente i dati dopo, cosa che su SSD può diventare molto più noiosa.

Should the data first be migrated across to another alternative destination that is already encrypted prior to decryption and encryption again?

As the devices that currently use Bitlocker store sensitive information such as personally identifiable data, financial statements, etc, i would like to limit the risk of data leakage.

Copia i dati sensibili direttamente dal BitLocker crittografato direttamente sulla partizione crittografata VeraCrypt, ciò riduce la perdita di dati. In alternativa, se questo non è possibile, archiviare i dati in un archivio 7z e crittografarli utilizzando AES256 con una password casuale strong. Quindi estrai l'archivio sulla partizione VeraCrypt. Quindi scartare la password e sovrascrivere l'archivio 7z, la parte di sovrascrittura è facoltativa.

Da alcune esperienze che ho con Veracrypt, ci sono alcune considerazioni che ho. Sono d'accordo con tutti i vantaggi di Veracrypt su Bitlocker definiti da safesploit. Ma Veracrypt può dare qualche difficoltà al momento dell'introduzione. Il processo di crittografia / decrittografia - lo scopo di tutto ciò, sembra robusto e affidabile. Ma la cosa principale che vuoi con la crittografia del disco intero è che quando riavvii il computer per un disco rigido interno crittografato con Veracrypt, si avvia normalmente, richiede la password e sei pronto. Negli ultimi anni ci sono stati parecchi utenti che hanno avuto problemi con il processo di avvio, piuttosto che con la decrittazione.

I miei consigli:

• Segui le procedure documentate in modo approfondito. In particolare, non saltare alcun aspetto del pre-test e la creazione di un Rescue Disk. All'inizio potresti aver bisogno di questo per recuperare.

• I problemi con il (re) avvio sembrano essere abbastanza dipendenti dalla marca del computer. Soprattutto Acer ha dato problemi; ma li ho visti anche su HP e Toshiba. A seconda del numero di computer che ti occupi e della variazione dei produttori, eseguirò idealmente una corsa di prova con un computer di ogni marca individuale nei dispositivi di cui sei responsabile.

• Quando funziona correttamente, le attuali versioni di Veracrypt possono far fronte pienamente a UEFI e GPT. Secondo alcuni commenti del forum, i problemi di riavvio si sono originati negli standard UEFI non essendo stati così stabili, e alcuni produttori non aderivano agli standard in ogni dettaglio. A volte l'ordine di avvio viene mantenuto dopo un riavvio a caldo, ma non dopo un avvio a freddo. Quindi, il problema non è certamente completamente legato alla creazione di Veracrypt.

• Le persone che si occupano dei problemi e che rispondono principalmente al forum principale dedicato a Veracrypt, Mounir Idrassi e Alex, sono molto competenti, ben intenzionati, ma forse un po 'sovraccarichi. Oltre a seguire attentamente la documentazione, vale la pena leggere in anticipo sulle pagine del forum. Le principali risposte tecniche sono presenti nella serie su link .

• Sono pienamente d'accordo con il consiglio di safesploit di evitare di spostare qualsiasi dato su un disco che non ha la crittografia completa del disco. Sposta i dati solo da un volume Bitlocker aperto / decrittografato / montato a un nuovo volume crittografato con Veracrypt. Questo è l'unico processo sicuro; e significa che non hai rischi con il recupero dei dati.

• Se sei a conoscenza dei problemi di cui sopra, penso che tu possa fare affidamento su Veracrypt. Non ho mai sentito di alcuna perdita reale di dati, a parte gli errori degli utenti, come la perdita di passphrase. Ma è bene prepararsi per una certa curva di apprendimento e dedicare del tempo per assicurarsi che ogni singolo tipo di macchina che si ha, per il disco rigido interno, non dia problemi con l'avvio a caldo o a freddo. Per le unità esterne questo non è ovviamente un problema ...

Spero che questo aiuti e affronta le tue domande su considerazioni da valutare e rischi.