Názory k článku Velká změna pro Windows 11 na noteboocích. Hardwarové šifrování SSD ve stylu Applu zlepší výdrž na baterii i výkon

Půjde to nějak vypnout, abychom mohli porovnat, jestli tam skutečně dojde k nějaké změně v chování PC?

Bitlocker standardně vypínám - kdo ho chce, nechť si ho zapne; ale nejprve si pořeší klíče apod., protože jakýkoli reset TPM znamená požadavek na zadání klíče ručně - a to spousta lidí s PINem, kteří už zapomněli heslo k svému MS účtu, nebo mají účet lokální, prostě nedá.

Tohle je nelichotivý stav informatického a bezpečnostního povědomí uživatelů. Chápu, že si asi takto ulehčujete práci nebo Vás k tomu lidé donutili ale v okamžiku, když tohle bude zdrojem incidentu tak na Vás hodí veškerou zodpovědnost.

Každého svého zákazníka znám, tudíž vím, jak ten počítač kdo používá. V drtivé většině to jsou domácí stroje, které nikdy nikam necestují. Zbytek který cestuje, jsou počítače "na internet" a těch pár, které obsahují skutečně důležitá data, řeším ad-hoc s uživatelem, který se sám informovaně rozhodně zda BL zapnout či ne, protože to zase předpokládá další kroky (vytištění klíče, apod.)

No snad se nemýlíte. Osobní zkušenosti s uživateli jsou takové, že se nechtějí naučit pracovat s klíči a proto nakukají člověku cokoliv (s počítačem necestuji). Proto jsme tohle dělali sami a klíče ukládali na IT. Navíc kdyby je vyhmátl auditor zákazníka s nezašifrovaným diskem tak bychom měli problém. Proto ta moje skepse a uvedený postup. NIS2 alias ZOKB mám konečně dal nástroj k prosazování.

Nadělá to asi pěkné problémy při klonování disků, například. A při poruše a následné výměně procesoru přijdeme o kompletní obsah disku. To zase budou radosti.
Aneb, jak praví básník, zálohovat, zálohovat, zálohovat...

BL můžeš pozastavit i disk před klonováním zcela dešifrovat (příkaz manage-bde). Klíče jsou před aktivitami s TPM dostupné - jen je třeba vše pořešit dopředu a nespoléhat na to, že to "nějak půjde."

BL jasně, ale půjde to i tady?

jasně že půjde (ostatně to demonstrovali na manage-bde), bude to na 99% jen modifikace stávající komponenty a stále půjde o mechanismus bitlockeru. Rozdíl bude v tom, že šifrování nebude provádět CPU s pomocí AES-NI instrukcí, ale dedikovaný čip, pravděpodobně integrovaný někde na desce u PCIe linek - tím se stane proces šifrování pro systém transparentní a jediné, co bude třeba dosáhnout, je integrace zapnutí/vypnutí šifrování do vlastního API bitlockeru (takže bude reagovat na povely co jdou ze systémových/do­ménových politik, popř. příkazů admina.

Jestli jsme to správně pochopil tak to také půjde. Z pohledu bezpečnostní architektury jenom přesunuli klíče z TPM do procesoru. Není mi jasné jak tam jsou nebo nejsou ve větším bezpečí. Rozhodně tam v procesoru ve stoprocentním bezpečí nebudou.

Bitlocker už existuje snad od Windows Vista, takže to, že disk může být zašifrovaný, není ve Windows novinka. Mělo by se měnit v podstatě jen to, jak to přesně funguje.

Tak se nám rozjede hacking procesorů.

Googlil som a inštrukcie XTS-AES-256 podporuje AMD od Zen 3. Nechápem preto z akého dôvodu to dostanú iba nové laptopy? Alebo zase iba "ficura" pre podporu predaja?

jde o to, že AMD sice má AES-NI v CPU, ale když ti musí CPU (byť efektivně) šifrovat 6-8 GB/s, tak bude jedno jádro dělat jen to. Když tuhle HW funkci vydělíš z procesoru a budeš data z něj na disk posílat nešifrovaně a pomocí DMA např., může CPU mezitím dělat/počítat úplně jiné věci, respektive nebude ztrácet čas šifrováním dat.
Výsledek pak bude, že CPU bude mít více cyklů k dispozici pro jiné tasky/thready a zároveň se zrychlí vlastní šifrování za pomoci extrémně optimalizovaného (v podstatě na jednu funkci) koprocesoru.

V podstatě je to ekvivalent šifrování enterprise serverových disků (SED), tam takový čip má každý disk, takže (de)šifruje data "na mouše."