¿Cuáles son las consideraciones al migrar de Bitlocker a Veracrypt?

Para empezar, VeraCrypt es de código abierto. Por lo tanto, puede asegurarse de que el código no contenga puertas traseras. Mientras que BitLocker es fuente cerrada y por lo tanto no está abierto a inspección. Por este motivo, se han producido publicaciones como NSA Break Microsoft's BitLocker . Mientras Microsoft abre el código fuente de Windows a los gobiernos de la UE es una buena noticia, todavía me permite hacer que la declaración BitLocker sea tan confiable como FileVault de Apple, porque el código fuente no es público, hasta esa fecha, esta declaración sigue siendo verdadera.

A mi entender, las particiones ocultas de VeraCrypt funcionan de manera similar a la TrueCrypt descontinuada. Las particiones ocultas funcionan muy bien,

  

Puede suceder que alguien te obligue a revelar la contraseña a un volumen cifrado. Hay muchas situaciones en las que no puede negarse a revelar la contraseña (por ejemplo, debido a la extorsión). El uso del llamado volumen oculto le permite resolver tales situaciones sin revelar la contraseña a su volumen.

  

ElprincipioesqueunvolumenVeraCryptsecreadentrodeotro  VolumenVeraCrypt(dentrodelespaciolibreenelvolumen).Inclusocuandoel  Elvolumenexteriorestámontado,deberíaserimposibleprobarsi  hayunvolumenocultodentroono*,porqueelespaciolibreencualquier  ElvolumenVeraCryptsiempresellenacondatosaleatorioscuandoelvolumenes  creado**yningunapartedelvolumenoculto(desmontado)puedeser  Distinguidodelosdatosaleatorios.TengaencuentaqueVeraCryptnomodifica  Elsistemadearchivos(informaciónsobreelespaciolibre,etc.)dentrodelexterior.  volumendecualquiermanera.

    

Lacontraseñaparaelvolumenocultodebesersustancialmentediferente  delacontraseñaparaelvolumenexterior.Alvolumenexterior,(antes  creandoelvolumenocultodentrodeél)deberíascopiaralgo  archivosdeaspectosensiblequeenrealidadNOdeseaocultar.Estas  Losarchivosestarándisponiblesparacualquierpersonaqueloobligueaentregarel  contraseña.Solorevelarálacontraseñadelvolumenexterno,no  paraelescondido.Losarchivosquerealmentesonsensiblessealmacenaránen  Elvolumenoculto.- Source

VeraCrypt tiene soporte multiplataforma. De tal manera que puede acceder a los volúmenes VeraCrypt en FreeBSD, Linux, Mac OS X y Windows. Sin embargo, los volúmenes de BitLocker solo se pueden admitir oficialmente, a partir de la escritura, en Microsoft Windows. Además, Cryptsetup puede descifrar y abrir los volúmenes de VeraCrypt cryptsetup --tcrypt-hidden open --type tcrypt [volume] [name] .

Si busca aspectos de BitLocker que son menos seguros, se debe tener en cuenta que el TPM no ayuda a la seguridad en comparación con el uso de una memoria USB extraíble, ya que puede llevarse con usted más fácilmente, mientras que el TPM no puede. Además, BitLocker admite descifrado de contraseñas, similar al de LUKS. Por lo tanto, BitLocker proporciona tres opciones para dónde almacenar la clave de descifrado: TPM, clave USB o contraseña (que usted recuerda).

  

Suponiendo que existe la capacidad de adoptar Veracrypt, imagino que la progresión natural sería descifrar los dispositivos que actualmente utilizan Bitlocker primero. En caso afirmativo, ¿qué riesgos presenta esto para los datos en los discos?

El almacenamiento de datos confidenciales en una unidad descifrada presenta un riesgo considerable. Una vez hecho esto, debe sobrescribir correctamente los datos después, lo que en los SSD puede volverse considerablemente más tedioso.

  

¿Se deben migrar primero los datos a otro destino alternativo que ya esté encriptado antes del descifrado y el encriptado nuevamente?

     

Como los dispositivos que actualmente utilizan Bitlocker almacenan información confidencial, como datos de identificación personal, estados financieros, etc., me gustaría limitar el riesgo de fuga de datos.

Copie los datos confidenciales directamente de BitLocker encriptados directamente en la partición encriptada de VeraCrypt, esto mitiga la fuga de datos. Alternativamente, si esto no es viable, archive los datos en un archivo 7z y cifre eso utilizando AES256 con una contraseña aleatoria segura. Luego extraiga ese archivo en la partición de VeraCrypt. Luego descarte la contraseña y sobrescriba el archivo 7z, la parte de sobrescritura es opcional.

Por alguna experiencia que tengo con Veracrypt, hay algunas consideraciones que tengo. Estoy de acuerdo con todas las ventajas de Veracrypt sobre Bitlocker expuestas por safesploit. Pero Veracrypt puede dar algunas dificultades en el momento de la introducción. El proceso de cifrado / descifrado, el propósito de todo, parece robusto y confiable. Pero lo principal que desea con el cifrado de disco completo es que cuando reinicia la computadora para un disco duro interno cifrado con Veracrypt, este arranca normalmente, solicita la contraseña y está listo. En los últimos años ha habido bastantes usuarios que tuvieron problemas con el proceso de arranque, a diferencia del descifrado.

Mis recomendaciones:

• Siga los procedimientos documentados a fondo. En particular, no omita ningún aspecto de la prueba previa y la creación de un disco de rescate. Al principio, puede que necesites esto para recuperarte.

• Los problemas con el (re) arranque parecen ser bastante dependientes de la marca del equipo. Especialmente Acer ha dado problemas; pero también los he visto informados sobre HP y Toshiba. Dependiendo de la cantidad de computadoras que cuides y la variación en los fabricantes, lo ideal sería ejecutar una prueba con una computadora de cada marca individual en los dispositivos de los que eres responsable.

• Cuando funciona correctamente, las versiones actuales de Veracrypt pueden hacer frente a UEFI y GPT. Según algunos de los comentarios del foro, los problemas de reinicio se originan en los estándares UEFI que no han sido tan estables, y algunos fabricantes no se adhieren a los estándares en cada detalle. A veces, el orden de arranque se mantiene después de un reinicio en caliente, pero no después de un arranque en frío. Por lo tanto, el problema ciertamente no es del todo hecho por Veracrypt.

• Las personas que se ocupan de los problemas, y que responden principalmente en el foro principal dedicado a Veracrypt, Mounir Idrassi y Alex, son muy competentes, bien intencionadas, pero quizás algo sobrecargadas. Además de seguir cuidadosamente la documentación, vale la pena leer con anticipación en las páginas del foro. Las principales respuestas técnicas se encuentran en la serie en enlace .

• Estoy totalmente de acuerdo con el consejo de safesploit para evitar mover cualquier información a un disco que no tenga cifrado de disco completo. Mueva datos solo de un volumen de Bitlocker abierto / descifrado / montado a un nuevo volumen cifrado con Veracrypt. Ese es el único proceso seguro; y significa que no tiene riesgos con la recuperación de datos.

• Si está al tanto de los problemas anteriores, creo que puede confiar en Veracrypt. No he escuchado que se haya producido una pérdida real de datos, más que como resultado de errores del usuario, como la pérdida de la frase de contraseña. Pero es bueno prepararse para una cierta curva de aprendizaje y reservar un tiempo para asegurarse de que cada tipo de máquina que tenga, para el disco duro interno, no dé problemas con el arranque en caliente o en frío. Para unidades externas, esto no es un problema ...

Espero que esto ayude y aborde sus preguntas sobre consideraciones para evaluar y riesgos.