no estoy seguro de si esta es la "mejor respuesta" o si es práctico en su situación, pero para los extremadamente paranoicos, puede usar tanto el cifrado de disco basado en hardware (en donde el material criptográfico nunca sale del gabinete de la unidad) + s / basado en w El primero mitiga el arranque en frío (o cualquier otro ataque basado en memoria, como a través de un puerto FireWire), mientras que el último resuelve el problema molesto con FDE basado en h / w en el que un reinicio en caliente no (¿alguna vez?) Requiere una nueva autenticación .
Entonces, por ejemplo, una unidad Seagate Momentus FDE + BitLocker w / TPM.
Esto es probablemente un poco extremo para la mayoría de las personas, ya que la mayoría de los ladrones de computadoras portátiles no realizan el ataque de arranque en frío en sus computadoras portátiles robadas (pero con pantalla bloqueada), para que no dañen el hardware y amp; reducir el valor de reventa de sus warez.
alternativamente, puede implementar FDE basado en s / w (BitLocker + TPM + PIN, por ejemplo) junto con una capa secundaria de encriptación (EFS, o un volumen TrueCrypt que no sea del sistema, o lo que sea). Si bien una computadora portátil con pantalla bloqueada puede contener toda la información criptográfica en la memoria (si el volumen cifrado se montó en el momento del robo y el ladrón hizo un ataque de arranque en frío a tiempo), me parece poco probable que el ladrón de la computadora portátil tenga suficientes recursos de conocimiento para realice el ataque en ambas "capas" de seguridad, o probablemente incluso en la primera capa.
Las personas que saben cómo hacer el ataque de arranque en frío probablemente estén trabajando en algún lugar & tiene mucho que perder para entrar en una vida delictiva, así que evite construir un modelo de seguridad "ideal" para los datos en reposo mientras ignora otras amenazas (vulnerabilidades cuando la máquina está en uso, como explotaciones de desbordamiento de búfer).