ben al enige maanden aan 't filosoferen over de meest optimale beveiligingsmethode voor mijn desktop pc. Vooraleer ik verder ga, ziehier de specifics:
- Operating System: Windows 10 Pro 64-bit
- CPU: Intel Core i5 6500 @ 3.20GHz, Skylake 14nm Technology
- RAM: 16.0 GB Dual-Channel Unknown @ 1064 MHz (14-14-14-35)
- Motherboard: MSI H170 GAMING M3 (MS-7978) (U3E1)
- Graphics: ATI AMD Radeon R9 390 Series (MSI)
- Disk drives:
- C: Samsung SSD 850 EVO, 250GiB (233 GB)
- D: WDC WD2003FZEX-00SRLA0, 1.82 TB
- E: SAMSUNG HD103UJ, 932 GB
- Users: één admin (ikzelf), één standaard gebruiker; allen local accounts
Ik heb al geëxperimenteerd met Veracrypt, doch botste daarbij op het gegeven dat deze software (nog) niet in staat is om systeemencryptie te doen indien de systeempartitie geformatteerd is met GPT (tegenover MBR). Bovendien zou ik de UEFI moeten vervangen door legacy in de BIOS. Finaal is er naar 't schijnt veel gedoe met de extra partities die Windows aanmaakt tijdens de install van Windows; heb al via diskpart tijdens het installatieproces geprobeerd om de generatie van deze partities tegen te gaan, to no avail.
Dus tot nader order is Veracrypt geen optie, wat ik uiteraard bijzonder spijtig vind; niet alleen owv. het gegeven dat het om FOSS gaat, maar ook omdat ik MS met zijn Bitlocker optie niet helemaal vertrouw in het bijhouden van mijn rescue key.
Enfin, voorlopig zal het dus toch wel Bitlocker worden, tenminste tot Veracrypt bovenstaande probleempjes heeft opgelost.
Maar hierbij heb ik een aantal gerichte vragen:
- ik ben van plan om deze TPM te kopen; ik vermoed dat deze - gegeven bovenstaande hardware - wel compatibel zal zijn?
- ik ben een beetje in de war als ik de documentatie over Bitlocker lees; er wordt gesuggereerd om een USB en wachtwoord te gebruiken indien er geen TPM aanwezig zou zijn, een PINcode indien de TPM aanwezig is; dit laatste lijkt me bijzonder onveilig wegens de eenvoud (enkel cijfers) (snel te hacken via brute force software attack)
- belangrijker: hoe veilig is Bitlocker als de TPM gewoon in de pc ingeplugd zit? Ik bedoel, ze moeten maar een brute force attack doen als je een PINcode hebt gebruikt; zie ook puntje 2. Ik bedoel maar: er wordt gesuggereerd dat een TPM veiliger is dan een USB die je telkens moet inpluggen alvorens op te starten (zo je geen TPM hebt op je pc), maar dit is momenteel in strijd met mijn gezond verstand: de USB bewaar je ergens anders, de TPM zit altijd in de pc (bv ook als ik niet thuis ben voor 't werk); al vermoed ik dat ik degene ben die fout zit
- nog belangrijker: staat alles meteen open, of moet ik na 't inloggen mijn andere schijven ook unlocken met een wachtwoord?
Graag jullie input, thx!
Mortov Molotov