对于运行当前版本Windows 10 Pro的商务笔记本电脑,我需要全盘加密。这些计算机具有Samsung的NVMe SSD驱动器和Intel Core i5-8000 CPU。
从当今的一些网络研究来看,当前只有两个选项可用:Microsoft BitLocker和VeraCrypt。我完全了解开放源代码和封闭源代码的状态以及随之而来的安全隐患。
在阅读了一些我以前从未使用过的有关BitLocker的信息之后,给人的印象是,出于性能原因,从Windows 10开始,BitLocker仅加密磁盘上新写入的数据,而不加密已经存在的所有数据。(该文档说我有选择权,但我没有选择。激活它们后,他们没有问我想要什么。)过去我使用TrueCrypt系统加密,并且知道现有的数据加密是一项可见的任务,需要执行几个小时。我无法通过BitLocker观察到这种行为。没有明显的后台CPU或磁盘活动。
激活BitLocker确实很容易。单击一个按钮,将恢复密钥保存在安全的地方,完成。与VeraCrypt相同的过程使我放弃了这个想法。我实际上需要创建一个完全正常工作的恢复设备,甚至是在一次性系统上进行测试的目的。
我还读到VeraCrypt目前存在一个设计缺陷,这使得某些NVMe SSD的系统加密速度非常慢。我无法验证它,因为设置太复杂了。至少在激活BitLocker之后,我看不到磁盘性能的重大变化。另外,VeraCrypt团队的资源不足,无法修复该“复杂的错误”。此外,Windows 10升级无法在原位安装VeraCrypt进行操作,这使得需要频繁进行全磁盘解加密和加密。我希望BitLocker在这里能更好地工作。
因此,我几乎决定使用BitLocker。但是我需要了解它的作用。不幸的是,几乎没有关于它的在线信息。大多数内容由博客文章组成,这些文章仅提供概述,但没有简洁的深入信息。所以我在这里问。
在单驱动器系统上激活BitLocker后,现有数据会如何处理?新数据会怎样?“挂起BitLocker”是什么意思?(与永久停用它并从而解密磁盘上的所有数据不同。)如何检查加密状态或强制对所有现有数据进行加密?(我不是说未使用的空间,我不在乎,这是SSD所必需的,请参阅TRIM。)除了“挂起”和“解密”以外,还有关于BitLocker的一些更详细的数据和操作吗?
也许附带说明,BitLocker与EFS(加密文件系统)有何关系?如果仅对新写入的文件进行加密,则EFS似乎具有非常相似的效果。但是我知道如何操作EFS,这更容易理解。