Szyfrowanie BitLocker w systemie Windows 10 nie ufa już Twojemu dyskowi SSD

Wiele konsumenckich dysków SSD twierdzi, że obsługuje szyfrowanie, a funkcja BitLocker im uwierzyła. Jednak, jak dowiedzieliśmy się w zeszłym roku, te dyski często nie szyfrowały plików w bezpieczny sposób. Microsoft właśnie zmienił system Windows 10, aby przestał polegać na tych szkicowych dyskach SSD i domyślnie szyfrował oprogramowanie.

Krótko mówiąc, dyski półprzewodnikowe i inne dyski twarde mogą pochwalić się „samoszyfrowaniem”. Jeśli tak, funkcja BitLocker nie wykona żadnego szyfrowania, nawet jeśli funkcja BitLocker została włączona ręcznie. Teoretycznie to była dobra rzecz: dysk mógł sam przeprowadzić szyfrowanie na poziomie oprogramowania układowego, przyspieszając proces, zmniejszając użycie procesora i być może oszczędzając trochę energii. Właściwie było źle: wiele dysków miało puste hasła główne i inne przerażające luki w zabezpieczeniach. Dowiedzieliśmy się, że konsumenckim dyskom SSD nie można ufać w zakresie implementacji szyfrowania.

Szyfrowanie BitLocker w systemie Windows 10 nie ufa już Twojemu dyskowi SSD

Teraz Microsoft zmienił wszystko. Domyślnie funkcja BitLocker ignoruje dyski, które twierdzą, że są samoszyfrujące i wykonuje szyfrowanie w oprogramowaniu. Nawet jeśli masz dysk, który twierdzi, że obsługuje szyfrowanie, funkcja BitLocker w to nie uwierzy.

Ta zmiana trafiła do aktualizacji Windows 10 KB4516071, wydanej 24 września 2019 r. SwiftOnSecurity zauważył ją na Twitterze:

Microsoft rezygnuje z producentów dysków SSD: Windows nie będzie już ufał dyskom, które twierdzą, że mogą się szyfrować, funkcja BitLocker będzie domyślnie używać szyfrowania AES przyspieszanego przez procesor. To jest po poście na temat ogólnych problemów z szyfrowaniem opartym na oprogramowaniu układowym. https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD

— SwiftOnSecurity (@SwiftOnSecurity) 27 września 2019 r

Istniejące systemy z funkcją BitLocker nie będą automatycznie migrowane i będą nadal korzystać z szyfrowania sprzętowego, jeśli zostały pierwotnie skonfigurowane w ten sposób. Jeśli masz już włączone szyfrowanie funkcją BitLocker w systemie, musisz odszyfrować dysk, a następnie zaszyfrować go jeszcze raz, aby upewnić się, że funkcja BitLocker używa szyfrowania programowego zamiast szyfrowania sprzętowego. Ten biuletyn zabezpieczeń firmy Microsoft zawiera polecenie, za pomocą którego można sprawdzić, czy system używa szyfrowania sprzętowego, czy programowego.

Jak wskazuje SwiftOnSecurity, nowoczesne procesory mogą wykonywać te czynności w oprogramowaniu i nie powinno być zauważalnego spowolnienia, gdy funkcja BitLocker przełącza się na szyfrowanie programowe.

W razie potrzeby funkcja BitLocker nadal może polegać na szyfrowaniu sprzętowym. Ta opcja jest domyślnie wyłączona. W przypadku firm, które mają dyski z zaufanym oprogramowaniem układowym, opcja „Konfiguruj do używania szyfrowania sprzętowego dla stałych dysków danych” w szablonach administracyjnych konfiguracji komputera Składniki systemu Windows Szyfrowanie dysków funkcją BitLocker szyfrowanie oparte na Wszyscy inni powinni zostawić go w spokoju.

Szkoda, że ​​Microsoft i reszta z nas nie może ufać producentom dysków. Ale to ma sens: Jasne, twój laptop może być wyprodukowany przez firmę Dell, HP, a nawet sam Microsoft. Ale czy wiesz, jaki dysk ma ten laptop i kto go wyprodukował? Czy ufasz, że producent tego dysku bezpiecznie obsłuży szyfrowanie i wyda aktualizacje, jeśli wystąpią jakiekolwiek problemy? Jak się dowiedzieliśmy, prawdopodobnie nie powinieneś. Teraz Windows też nie.

Szyfrowanie BitLocker w systemie Windows 10 nie ufa już Twojemu dyskowi SSD