Tengo un portátil HP Pavilion que tiene un disco duro de 1TB. Ejecuto Windows 10 en él.
Si en lugar de cifrar completamente el disco duro o la partición en la que está instalado Windows, simplemente cifro una partición donde almaceno mi información confidencial, ¿aumentará las posibilidades de que me roben mis datos (en comparación con las otras alternativas) ) si mi dispositivo es robado?
No quiero cifrar todo mi disco duro porque tomará mucho tiempo. Encriptar 150GB es tomar 10 horas.
Ambas soluciones son aceptables, pero tienen pros y contras diferentes.
Cifrado de disco completo:
Ventajas: no corre el riesgo de filtrar algunos datos confidenciales en una partición no cifrada
Contras: si las cosas van mal, el disco completo se volverá ilegible y tendrá que intentar recuperar / reinstalar desde un dispositivo de arranque extraíble: no olvide compilar y almacenarlo de forma segura
Partición (es) cifrada (s):
Contras: si solo cifra una partición de datos, los datos confidenciales pueden terminar en archivos temporales o intercambiar archivos en una partición no cifrada
Ventajas: si las cosas van mal, las particiones sin cifrar serán más fáciles de recuperar
El siguiente es mi consejo (subjetivo):
Si tiene una partición de recuperación en su disco, esta no debe estar cifrada, pero debe cifrar todas las particiones de Windows, ya sea el sistema o los datos, si desea estar muy seguro o solo la partición de datos confidenciales si puede aceptar que un atacante podría encontrar rastros en archivos temporales o de intercambio.
De forma alternativa, puede crear un (conjunto de) datos de recuperación extraíbles e ir con el cifrado completo del disco.
El tiempo de cifrado inicial realmente no importa IMHO. Sucede una sola vez. Pero 10 horas por 150 Gb parece bastante raro. El rendimiento del disco SATA de SATA debe permitir alrededor de 100Mb / s, por lo que el cifrado de 150Gb no debe exceder un par de horas.
Cifrar todo el disco. Los gastos generales son insignificantes, y no tiene que preocuparse por que alguien le robe su computadora y tenga todos sus datos. Y si tiene que enviar su computadora a reparaciones, no tiene que preocuparse por los archivos robados o las aplicaciones comprometidas.
Otro beneficio es que todos los datos están encriptados de manera predeterminada, por lo que no necesita mantener un proceso mental de copiar datos confidenciales de la partición no protegida a la protegida. Y si necesita doble protección, cree un volumen de VeraCrypt y utilícelo.
Uno de los beneficios de cifrar solo una partición frente a la unidad completa es que puede cifrar / descifrar la partición mientras usa el sistema para otras tareas, por lo que puede cifrarla "a pedido", por así decirlo, pero si cifra todo. el disco se descifra cada vez que inicia y autentica el sistema.
En términos de seguridad, como usted dice, si la máquina es robada, diría que no hay mucha diferencia entre FDE y una partición encriptada en tal escenario. Si utiliza un cifrado seguro en su partición, es muy poco probable que sus datos se vean comprometidos.
Diría que hay un beneficio en el uso de una partición / carpeta encriptada frente a FDE si solo lo descifra cuando necesita acceder o almacenar información confidencial y cifrarla nuevamente cuando haya terminado, para que no lo haga. deje el sistema de archivos en un estado sin cifrar todo el tiempo cuando inicie sesión, como sería el caso solo con FDE.
Este es un tema controvertido, pero en su caso, cuando pueda definir claramente qué archivos son "información confidencial", me gustaría utilizar el cifrado parcial.
Utilice una herramienta como Veracrypt , que permite mantener un contenedor encriptado, que se puede montar a pedido. Entonces,
Esto no descarta la inscripción adicional de todo el disco, en caso de que luego decidas tener esto también.
El problema es que cuando deja la partición de Windows sin cifrar, entonces también tendrá un archivo de paginación sin cifrar (donde Windows almacena la memoria de la aplicación cuando se está quedando sin RAM) y el archivo de hibernación (donde Windows descarga la RAM cuando hibernación). Cuando trabaja con datos confidenciales almacenados en su disco duro encriptado, su contenido podría terminar en estos archivos.
También hay otros lugares en la unidad del sistema donde pueden aparecer datos confidenciales (dependiendo de la información que consideres confidencial, por supuesto). Una cosa que siempre me gustaría cifrar es el directorio C:\Users , porque todo tipo de aplicaciones lo utilizan para almacenar archivos temporales (y no tan temporales). Cada vez que vea o edite un archivo confidencial, el software que utiliza para ver puede almacenar información sobre ese archivo en su directorio de usuarios. Cuando esté seguro de que solo usará programas para trabajar con archivos confidenciales en los que sabe que nunca lo harán, entonces esto podría no ser una preocupación. Pero estás ¿estás seguro de esto?
Y, por cierto, todos los navegadores web que conozco almacenan sus cookies e historial allí. Sólo digo.
Si desea minimizar la cantidad de volúmenes cifrados, le recomendaría utilizar 3 particiones:
Pero a la larga, podría ser más conveniente simplemente morder la bala y cifrar todo el disco. Simplemente ejecute el proceso de cifrado inicial durante la noche.
No puedo prever ninguna deficiencia con este método de cifrado de una partición. A menudo utilizo cifrado de disco completo con contenedores cifrados dentro de los archivos 7z AES256. Por lo tanto, capas de cifrado. Le aconsejaría que revise qué tamaño de bit AES-XTS se utiliza, y el intercambio a AES256-XTS, como más rondas, se utiliza. HowToGeek describe cómo usar el Editor de políticas de grupo local para cambiar el cifrado de cifrado utilizado.
Sin embargo, siempre me preocupa la seguridad de la contraseña y cómo almacenarlas. P.ej. ¿Descifro la unidad completamente encriptada a través de una contraseña, unidad flash USB o TPM?
Lea otras preguntas en las etiquetas encryption disk-encryption