Apakah enkripsi perangkat diaktifkan secara default?

IPhone modern, iPad, Mac (seri M dan banyak Intel dengan T2), sebagian besar ponsel Android sejak 2016, ChromeOS, dan Windows 11 Pro: ya. Windows 10/11 Home tidak merata — beberapa perangkat mengaktifkan Enkripsi Perangkat secara otomatis, yang lainnya tidak. Verifikasi di pengaturan; nyalakan jika tidak.

Apakah enkripsi akan memperlambat perangkat saya?

Perangkat keras modern memiliki instruksi AES yang membuat enkripsi pada dasarnya gratis. Perbedaan antara disk terenkripsi dan tidak terenkripsi pada perangkat modern tidak dapat diukur untuk penggunaan normal. Perangkat lama tanpa AES-NI mungkin hanya merasakan dampak kecil.

Apa yang terjadi jika saya lupa kata sandi saya?

Tanpa kunci pemulihan, data tidak dapat dipulihkan — begitulah desainnya. Kunci pemulihan, layanan escrow (iCloud Apple, akun Microsoft, AD perusahaan Anda) ada karena alasan ini. Simpan saat diminta; Anda tidak dapat membuatnya setelah kejadian jika Anda lupa.

Apakah buka kunci biometrik sama amannya dengan kode sandi?

Setara dengan kenyamanan, keamanan serupa untuk sebagian besar model ancaman. Perbedaan spesifik: data biometrik biasanya tidak dilindungi oleh Amandemen Kelima di AS, sedangkan kode sandi sering kali dilindungi. Dalam konteks permusuhan, mulai ulang secara paksa untuk meminta kode sandi (tahan tombol samping + volume).

Apakah cloud memiliki enkripsi yang sama?

Tergantung pada layanannya. iCloud dan sejenisnya menggunakan enkripsi saat transit dan saat disimpan, namun penyedia memegang kunci untuk sebagian besar data — kunci tersebut dapat dipanggil. Perlindungan Data Lanjutan Apple (keikutsertaan) memberi Anda kunci untuk banyak kategori. Layanan cloud terenkripsi ujung ke ujung seperti Proton Drive atau Cryptomator di Dropbox lebih kuat.

Penjelasan Enkripsi Perangkat: Enkripsi Disk Penuh pada Perangkat Keras Modern

Setiap ponsel, laptop, dan Chromebook modern dikirimkan dengan enkripsi disk yang diaktifkan secara default. Data di penyimpanan tidak dapat dibaca tanpa kunci yang tepat — berasal dari kode sandi, PIN, atau faktor yang didukung perangkat keras Anda. Memahami apa yang dilakukan dan tidak dilakukan enkripsi perangkat akan memperjelas mengapa ini merupakan satu-satunya fitur keamanan default yang paling berguna dalam komputasi.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

Enkripsi perangkat (juga disebut enkripsi disk penuh atau FDE) melindungi penyimpanan perangkat dengan mengenkripsi semua data yang tidak digunakan. Tanpa kunci dekripsi — biasanya berasal dari kode sandi pengguna ditambah rahasia perangkat keras — disk tidak akan memiliki teks sandi apa pun. Kehilangan perangkat, menjualnya, mencurinya: data tidak dapat dipulihkan oleh siapa pun yang memilikinya.

Apa yang dilindunginya

LPerangkat yang hilang atau dicuri. Pencuri memiliki perangkat keras namun tidak memiliki kredensial. Pembacaan disk mengembalikan teks sandi.
Serangan boot dingin terhadap perangkat yang dimatikan. Tanpa kunci di memori, data akan disegel.
Pemulihan data forensik setelah penjualan atau pembuangan. Membuang disk atau menjualnya akan aman jika kuncinya adalah dimusnahkan.
Penyitaan lintas batas (sebagian). Bea Cukai dapat meminta perangkat tersebut; tidak dapat membaca isinya tanpa memaksa Anda untuk membukanya.

Apa yang tidak dilindunginya

Apa pun saat perangkat tidak terkunci. Setelah Anda masuk, kuncinya ada di RAM dan data dapat dibaca. Malware yang berjalan pada perangkat yang tidak terkunci memiliki akses penuh.
Pembukaan paksa. Di yurisdiksi tempat pihak berwenang dapat memaksa dekripsi (Inggris, Prancis, India, beberapa konteks AS), enkripsi saja tidak melindungi dari proses hukum.
Data yang disimpan di Cloud. Apa pun yang disinkronkan ke iCloud, Google Drive, dll., memiliki kisah enkripsinya sendiri (atau ketiadaan). Enkripsi perangkat melindungi apa yang ada di perangkat.
Eksfiltrasi jaringan. Malware pada perangkat yang tidak terkunci dapat mengirimkan data sebelum enkripsi penyimpanan apa pun penting.
Status ditangguhkan. Laptop dalam mode tidur dengan kunci di RAM rentan terhadap serangan fisik tertentu (pemulihan boot dingin RAM).

Bagaimana enkripsi perangkat modern diterapkan

iOS / iPadOS. Enkripsi penuh per file yang terikat dengan Secure Enclave. Kunci setiap file berasal dari kunci kelas, UID perangkat, dan kode sandi pengguna. Menonaktifkan kode sandi akan menonaktifkan enkripsi.
macOS (FileVault). AES-XTS yang dipercepat perangkat keras, kunci dilindungi oleh chip T2 atau Secure Enclave seri M. Pemulihan melalui iCloud atau kunci pemulihan lokal.
Windows (BitLocker). Menggunakan kunci tersegel TPM ditambah PIN pra-boot opsional. Standar pada edisi Pro; Edisi rumah memiliki Enkripsi Perangkat (varian yang lebih ringan).
Android. Enkripsi Berbasis File (FBE) pada perangkat modern, dengan keystore yang didukung perangkat keras pada chip dengan TEE.
Linux. LUKS untuk seluruh disk; Enkripsi asli ZFS untuk kumpulan ZFS. Dikonfigurasi pada waktu instalasi pada sebagian besar distribusi.
ChromeOS. Direktori home pengguna dienkripsi dengan eCryptfs (legacy) atau fscrypt; boot terverifikasi dari partisi OS hanya-baca.

Kunci yang didukung perangkat keras

Skema enkripsi perangkat modern tidak hanya menggunakan kata sandi Anda secara langsung. Mereka mencampurnya dengan rahasia khusus perangkat keras yang disimpan di Secure Enclave/TPM/TEE. Hasilnya:

Penyerang yang mengkloning penyimpanan tidak dapat memaksa kata sandi secara offline — mereka tidak memiliki kunci perangkat keras.
Brute-force harus terjadi pada perangkat itu sendiri, yang dapat membatasi upaya dan menghapus setelah terlalu banyak kegagalan.
Bahkan PIN yang lemah (6 digit) menjadi cukup aman terhadap ekstraksi.

Inilah sebabnya pemaksaan PIN iPhone iPhone memerlukan alat khusus (Cellebrite, GrayKey) dan bahkan alat tersebut dibatasi oleh tindakan anti-brute-force Apple.

Peringatan boot dingin

Saat perangkat aktif dan tidak terkunci, kunci enkripsi ada di RAM. RAM menyimpan data selama beberapa detik hingga beberapa menit setelah listrik padam; para peneliti telah mendemonstrasikan kunci pembacaan dari RAM setelah pendinginan cepat dan perputaran daya. Mitigasi:

Lockdown / kunci cepat saat meninggalkan perangkat
Penonaktifan penuh untuk situasi berisiko tinggi (lintas batas, meninggalkan perangkat tanpa pengawasan)Pembersihan RAM tingkat
OS saat pematian (sebagian besar OS modern melakukan ini)
RAM terenkripsi (beberapa platform server; khusus)Kunci pemulihan

BitLocker — perhatikan momen paling ditakuti

BitLocker: sistem meminta kunci pemulihan 48 digit. Hal ini terjadi setelah pembaruan BIOS, perubahan perangkat keras yang memengaruhi TPM, atau gangguan rantai boot yang nyata. Jika Anda tidak menyimpan kunci pemulihan (akun Microsoft, AD, file lokal), data akan hilang secara permanen.

Praktik terbaik: simpan kunci pemulihan di beberapa tempat saat enkripsi pertama kali. Lupa di mana hal ini berada akan merugikan data nyata orang-orang yang sebenarnya.

Enkripsi dan penegakan hukum

Lanskap hukum sangat bervariasi:

US Amandemen Kelima secara tradisional melindungi dari keharusan mengungkapkan kode sandi (testimonial), meskipun pengadilan bervariasi. Biometrik (sidik jari, wajah) semakin diperlakukan sebagai bukan testimonial.
UK RIPA dapat memaksa pengungkapan dengan hukuman pidana jika menolak.
Prancis, India, Australia memiliki undang-undang pengungkapan paksa yang serupa dengan undang-undang pidana penalti.
Banyak negara lain berada di antara keduanya.

Untuk pengguna di yurisdiksi dengan pengungkapan paksa: penutupan penuh sebelum pemberhentian yang diketahui di perbatasan, volume penyangkalan yang masuk akal (volume tersembunyi Veracrypt), dan tidak melintasi perbatasan dengan perangkat sensitif adalah pilihan. Masing-masing memiliki trade-off.

Untuk pengguna di tahun 2026

Resep pragmatis:

Aktifkan enkripsi disk di setiap perangkat. Sebagian besar perangkat modern mengaktifkannya secara default. Verifikasi di pengaturan.
Gunakan kode sandi yang kuat. minimal 6+ digit; 8+ alfanumerik lebih baik. Biometrik untuk kenyamanan ditambah kode sandi untuk boot.
Simpan kunci pemulihan. Banyak tempat, idealnya offline dan fisik.
Matikan perangkat yang tidak akan digunakan. Resistensi cold-boot paling baik saat kunci hilang RAM.
Gabungkan dengan cadangan. Enkripsi melindungi terhadap akses; cadangan melindungi terhadap kehilangan. Mereka saling melengkapi.

Pertanyaan yang sering diajukan

Apakah enkripsi perangkat diaktifkan secara default?: IPhone modern, iPad, Mac (seri M dan banyak Intel dengan T2), sebagian besar ponsel Android sejak 2016, ChromeOS, dan Windows 11 Pro: ya. Windows 10/11 Home tidak merata — beberapa perangkat mengaktifkan Enkripsi Perangkat secara otomatis, yang lainnya tidak. Verifikasi di pengaturan; nyalakan jika tidak.
Apakah enkripsi akan memperlambat perangkat saya?: Perangkat keras modern memiliki instruksi AES yang membuat enkripsi pada dasarnya gratis. Perbedaan antara disk terenkripsi dan tidak terenkripsi pada perangkat modern tidak dapat diukur untuk penggunaan normal. Perangkat lama tanpa AES-NI mungkin hanya merasakan dampak kecil.
Apa yang terjadi jika saya lupa kata sandi saya?: Tanpa kunci pemulihan, data tidak dapat dipulihkan — begitulah desainnya. Kunci pemulihan, layanan escrow (iCloud Apple, akun Microsoft, AD perusahaan Anda) ada karena alasan ini. Simpan saat diminta; Anda tidak dapat membuatnya setelah kejadian jika Anda lupa.
Apakah buka kunci biometrik sama amannya dengan kode sandi?: Setara dengan kenyamanan, keamanan serupa untuk sebagian besar model ancaman. Perbedaan spesifik: data biometrik biasanya tidak dilindungi oleh Amandemen Kelima di AS, sedangkan kode sandi sering kali dilindungi. Dalam konteks permusuhan, mulai ulang secara paksa untuk meminta kode sandi (tahan tombol samping + volume).
Apakah cloud memiliki enkripsi yang sama?: Tergantung pada layanannya. iCloud dan sejenisnya menggunakan enkripsi saat transit dan saat disimpan, namun penyedia memegang kunci untuk sebagian besar data — kunci tersebut dapat dipanggil. Perlindungan Data Lanjutan Apple (keikutsertaan) memberi Anda kunci untuk banyak kategori. Layanan cloud terenkripsi ujung ke ujung seperti Proton Drive atau Cryptomator di Dropbox lebih kuat.