Шифрование системы:
BitLocker против TrueCrypt

Введение

Microsoft поставляет систему шифрования BitLocker в операционных системах Windows Vista и Windows 7, но она доступна только в high-end версиях Enterprise и Ultimate. В то же время существует мощная альтернатива BitLocker: программа TrueCrypt с открытым исходным кодом и с лучшей гибкостью. Мы решили сравнить функции и производительность обоих решений.

Введение

Больше года назад мы опубликовали довольно подробную статью об утилите TrueCrypt 6.1. В ней мы рассмотрели то, как можно зашифровать системный раздел Windows, после чего провели тесты и измерили время автономной работы на ноутбуке. Заключение было вполне многообещающим: TrueCrypt 6 позволяет шифровать и защищать паролем вашу систему целиком "на лету", при этом утилита незначительно сказывается на производительности и на времени автономной работы.

Мы считаем, что вряд ли имеет смысл обсуждать причины, по которым многие пользователи переходят на шифрование данных или системы целиком. Потеря данных - это одна проблема, но её можно предусмотреть (пусть даже иногда это весьма накладно), но если ваши данные попадут в руки злоумышленника, то это может представлять серьёзную угрозу для бизнеса или для вашей безопасности.

На этот раз мы решили узнать, верны ли данные результаты только для TrueCrypt, или внедрение Microsoft BitLocker даёт такие же преимущества - эта система шифрования поставляется с версиями Enterprise и Ultimate операционных систем Windows Vista и Windows 7. Имеет ли смысл доплачивать за версии Windows, поддерживающие BitLocker? Или можно использовать утилиту TrueCrypt, которое сделает то же самое, но совершенно бесплатно?

Ещё одной причиной для тестов решений шифрования можно считать появление дополнительных новых инструкций AES (AES-NI) в двуядерных процессорах Intel Core i5 для массового рынка (Clarkdale). Могут ли функции шифрования BitLocker и TrueCrypt выигрывать от этих инструкций? Это мы тоже исследуем в нашей статье.

BitLocker на Windows 7 Ultimate x64

Функция BitLocker является вполне логичным решением для шифрования томов, при этом вы можете использовать эту функцию для разных томов, которые как включают в себя несколько жёстких дисков, так и занимают только часть пространства винчестера. BitLocker для своей работы требует двух разделов NTFS. Один из разделов - загрузочный, который нельзя шифровать; второй раздел предназначен для вашей операционной системы.

Данное решение использует 128-битное шифрование AES, при этом доступны разные способы аутентификации. Microsoft поддерживает аутентификацию через модуль Trusted Platform Module (TPM), TPM с PIN-кодом, TPM с ключом на USB-брелоке и комбинацию TPM, PIN-кода и ключа на USB-брелоке. В зависимости от функциональности каждого решения, вы можете выбирать разные опции. Например, простая поддержка модуля TPM приведёт к потере работоспособности системы, если вы установите жёсткий диск на другой компьютер, а другие решения требуют активной аутентификации.

Bitlocker против TrueCrypt

Аппаратные требования для активации BitLocker. Нажмите на картинку для увеличения.

Существуют определённые аппаратные требования, которым следует соответствовать перед активацией BitLocker. Они приведены на иллюстрации выше.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Вы можете вывести панель управления BitLocker, введя соответствующее слово в панели поиска меню программ или ручным запуском соответствующего ярлыка.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

В нашем случае использование BitLocker без дополнительных мер было невозможно, поскольку у тестовой системы не было модуля TPM. Поэтому мы выбрали опцию проверки ключа запуска при каждой загрузке системы. Ключ, как правило, находится на USB-брелоке.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Вы также можете выбрать, куда копировать ключ восстановления, который потребуется, если вы забудете PIN-код или потеряете USB-брелок, содержащий ключ.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Можно приступать к шифрованию!

BitLocker на Windows 7 Ultimate x64

BitLocker на Windows 7 Ultimate x64

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

TrueCrypt 6.3a на Windows 7 Ultimate x64

По информации на сайте TrueCrypt, утилиту скачали больше 13 миллионов раз. Следует понимать это число правильно: если утилиты для массового пользователя, такие как WinZip, скачиваются намного чаще, TrueCrypt и схожие утилиты вряд ли относятся к массовым приложениям. Поэтому подобное количество скачиваний потрясает.

Утилита TrueCrypt намного более гибкая, чем BitLocker, при этом она также позволяет создавать и зашифрованные файлы-контейнеры. Эти контейнеры можно будет монтировать как отдельные диски под операционной системой. Система при этом может быть не только Vista или Windows 7, как того требует BitLocker, но также Windows XP, Mac OS X или Linux. TrueCrypt на самом деле и начиналась с файлов-контейнеров, поскольку прозрачное шифрование дисков в реальном времени появилось только в последних версиях. Всегда скачивайте последнюю версию (6.3a на момент публикации), если вы хотите зашифровать всю текущую установку Windows.

Есть также несколько факторов, которые необходимо принять во внимание перед установкой TrueCrypt. Первое: вы не получите способа восстановления зашифрованного раздела, если потеряете пароль. Единственное, что останется - это атака методом "грубой силы", но если используется шифрование AES 256 или каскадное шифрование (несколько алгоритмов одновременно), то шансы практически равны нулю. Кроме того, TrueCrypt позволяет создавать так называемые скрытые разделы, даже не определяя их в обычных условиях. Вы можете создавать два зашифрованных системных раздела и скрыть один из них. Второй будет работать в качестве отвлекающего следа, который вы тоже должны использовать регулярно, чтобы злоумышленник принимал его за вашу рабочую систему. А загрузка скрытого раздела или отвлекающего следа определяется по тому, какую фразу-пароль вы введёте при старте. На сайте TrueCrypt есть довольно подробная информация о скрытых операционных системах.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Нужно указать, хотите ли вы создать обычную зашифрованную систему, либо скрытую установку.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

TrueCrypt также поддерживает окружения multi boot, в которых параллельно установлено несколько операционных систем.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Вы можете выбирать разные алгоритмы шифрования и хэширования.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Этот раздел очень важен, поскольку не существует бэкдора или лазейки для восстановления забытых паролей!

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

TrueCrypt также создаёт диск восстановления, который можно использовать для расшифровки зашифрованного раздела в случае сбоя загрузчика TrueCrypt, Windows или первой дорожки винчестера.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Имеет смысл сразу же прожечь диск восстановления, поскольку на это уходит минимальное время.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Тестовая конфигурация

Системное аппаратное обеспечение
Материнская плата (Socket LGA1156) Gigabyte P55A-UD7 (Rev. 1.0), чипсет: P55, BIOS: F3 (01/26/2010)
CPU Intel Intel Core i5-750 (45 нм, 2,66 ГГц, 4x 256 кбайт кэша L2 и 8 Мбайт кэша L3, TDP 95 Вт)
Память DDR3 (два канала) 2x 2 Гбайт DDR3-1600 (OCZ OCZ3G2000LV4GK), DDR3-1333 8-8-8-24 1T
Жёсткий диск Western Digital VelociRaptor, 300 Гбайт (WD3000HLFS), 10 000 об/мин, SATA/300, кэш 16 Мбайт
Видеокарта Sapphire Radeon HD 5850, GPU: Cypress (725 МГц), память: 1024 Мбайт GDDR5 (2000 МГц), число потоковых процессоров: 1440
Блок питания PC Power & Cooling, Silencer 750EPS12V 750W
Системное ПО и драйверы
Операционная система Windows 7 Ultimate X64, Updated 2010-02-11
Драйверы и настройки
Драйверы чипсета Intel Chipset Installation Utility Ver. 9.1.1.1025
Графические драйверы ATI Radeon Version 10.1

Bitlocker против TrueCrypt

Нажмите на картинку для увеличения.

Для тестов мы использовали материнскую плату Gigabyte P55A-UD7, процессор Core i5-750 и видеокарту Sapphire Radeon HD 5850.

Тесты и настройки

Тесты приложений
7-zip Version 9.1 beta
LZMA2
Syntax "a -t7z -r -m0=LZMA2 -mx=5"
Benchmark: 2010-THG-Workload
PCMark Vantage Version 1.0.1.0
Sysmark Preview 2007 Version 1.06
WinRAR Version 3.92 Beta 1
RAR
Syntax "a -r -m3"
Benchmark: 2010-THG-Workload
WinZip 14 Version 14.0 Pro (8652)
WinZIP Commandline Version 3
ZIPX
Syntax "-a -ez -p -r"
Benchmark: 2010-THG-Workload

Результаты тестов

Архиваторы

Мы запустили несколько утилит сжатия файлов, чтобы посмотреть, окажет ли какое-либо влияние использование зашифрованных разделов, однако вычислительная нагрузка сжатия оказалась намного более существенной, чем нагрузка на шифрование/расшифровку данных. Процесс архивации оказался чуть медленнее на зашифрованных разделах, но разница очень мала.

Архиваторы

Архиваторы

Архиваторы

PCMark Vantage

PCMark Vantage

Мы получили самый высокий результат продуктивности без шифрования системного раздела, но технология BitLocker, по всей видимости, выигрывает от новых инструкций Intel AES (AES-NI) в случае двуядерного Core i5-661, поскольку результаты производительности оказались такими же высокими, как и в случае незашифрованного раздела.

PCMark Vantage

Тест Memories дал более высокие результаты на четырёхъядерном Core i5-750; BitLocker на двуядерном процессоре даёт не такой ощутимый провал, что можно, опять же, связать с аппаратной поддержкой ускорения AES на этом CPU.

PCMark Vantage

PCMark Vantage

PCMark Vantage

PCMark Vantage

SYSmark 2007 Preview

SYSmark 2007 Preview

Тест 3D-моделирования SYSmark выполняется быстрее на незашифрованном разделе.

SYSmark 2007 Preview

SYSmark 2007 Preview

Тест создания видео использует Sony Vegas 7.0 и Adobe After Effects, при этом мы наблюдаем преимущество четырёхъядерного процессора Core i5-750, но мы видим неплохие результаты и на двух ядрах - в частности, из-за аппаратной поддержки шифрования AES в случае BitLocker. Но на разделе TrueCrypt результаты в этом тесте всё же не такие высокие.

SYSmark 2007 Preview

Мы наблюдаем небольшую разницу в тесте продуктивности. Опять же, незашифрованный системный раздел даёт лучшую производительность, но разница невелика.

SYSmark 2007 Preview

Заключение

Два ядра, четыре ядра, средние тактовые частоты, высокие тактовые частоты, поддержка AES: все эти факторы влияют не так сильно. Работа шифрования в реальном времени на системном жёстком диске оказывает влияние на производительность, будь то BitLocker от Microsoft или TrueCrypt 6.3a. Однако с падением производительности зашифрованных систем вполне можно смириться, да и оно оказывается практически одинаковым независимо от того, тестируем ли мы двуядерный Core i5-600 или четырёхъядерный Core i5-700. Впрочем, мы всё же рекомендуем быть очень осторожным со старыми и, особенно, одноядерными системами, где шифрование в реальном времени может более существенно снижать производительность.

У Microsoft BitLocker всё же есть некоторые преимущества благодаря новым инструкциям Intel AES. Они присутствуют на всех двуядерных настольных процессорах Core i5 (и на большинстве мобильных моделей), да и также будут интегрированы на всех грядущих процессорах Intel для массового рынка или для более высокого сегмента. Но, опять же: преимущества не такие существенные, так что не стоит принимать решение о покупке только на основе этого фактора.

Итак, влияние на производительность незначительное, поэтому мы получаем, в основном, битву разных наборов функций. И эту битву Microsoft уже не может выиграть с текущей версией BitLocker. И дело не в том, что данная функция потенциально менее мощная; просто она нацелена на корпоративный рынок. Шифрование BitLocker поддерживает TPM и множественные способы аутентификации, но гибкость в реальной жизни весьма существенно ограничена.

Утилита TrueCrypt намного более гибкая благодаря поддержке нескольких операционных систем, возможности выбора алгоритмов шифрования и нескольких способов защиты системы. Вы даже можете создавать скрытые разделы, а также защищать системы на основе скрытого основного и обманного вторичного разделов, которые добавляют ещё один психологический уровень защиты - атакующие даже не знают, что они имеют дело не с основной операционной системой. Наконец, нам понравился тот факт, что утилита TrueCrypt прекрасно работает на любой системе, то есть она действительно аппаратно независима. Поскольку раздел будет легко превратить обратно в незашифрованный, эту утилиту можно без проблем попробовать в работе.