Багато споживчих SSD стверджують, що підтримують шифрування, і BitLocker повірив їм. Але, як ми дізналися минулого року, ці диски часто не шифрували файли безпечно. Microsoft щойно змінила Windows 10, щоб перестати довіряти цим схематичним твердотільним накопичувачам і програмному шифрованню за замовчуванням.
Таким чином, твердотільні накопичувачі та інші жорсткі диски можуть претендувати на «самошифрування». Якщо це зробить, BitLocker не виконуватиме жодного шифрування, навіть якщо ви ввімкнули BitLocker вручну. Теоретично це було добре: диск міг виконувати шифрування на рівні мікропрограми, прискорюючи процес, зменшуючи використання ЦП і, можливо, заощаджуючи енергію. Насправді це було погано: багато дисків мали порожні головні паролі та інші жахливі збої безпеки. Ми дізналися, що споживчі SSD не можна довіряти для впровадження шифрування.
Тепер Microsoft змінила речі. За замовчуванням BitLocker ігнорує диски, які стверджують, що самошифруються, і виконує роботу шифрування в програмному забезпеченні. Навіть якщо у вас є диск, який стверджує, що підтримує шифрування, BitLocker не повірить.
Ця зміна прийшла в Windows 10 KB4516071 оновлення, опубліковане 24 вересня 2019 року. Його помітила SwiftOnSecurity у Twitter:
Microsoft відмовляється від виробників SSD: Windows більше не буде довіряти дискам, які стверджують, що вони можуть шифрувати себе, замість цього BitLocker за замовчуванням використовуватиме шифрування AES з прискореним процесором. Це після розкриття загальних проблем із шифруванням на основі мікропрограми.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) 27 вересня 2019 року
Існуючі системи з BitLocker не будуть автоматично перенесені й продовжуватимуть використовувати апаратне шифрування, якщо вони спочатку були налаштовані таким чином. Якщо у вашій системі вже ввімкнено шифрування BitLocker, ви повинні розшифрувати диск, а потім зашифрувати його ще раз, щоб переконатися, що BitLocker використовує програмне шифрування, а не апаратне шифрування. Цей бюлетень з безпеки Microsoft містить команду, за допомогою якої можна перевірити, чи використовує ваша система апаратне чи програмне шифрування.
Як зазначає SwiftOnSecurity, сучасні процесори можуть справлятися з виконанням цих дій у програмному забезпеченні, і ви не побачите помітного сповільнення, коли BitLocker переходить на програмне шифрування.
BitLocker все ще може довіряти апаратному шифруванню, якщо хочете. Ця опція просто вимкнена за замовчуванням. Для підприємств, які мають диски з мікропрограмним забезпеченням, яким вони довіряють, параметр «Налаштувати використання апаратного шифрування для фіксованих накопичувачів даних» у розділі «Конфігурація комп’ютера» Адміністративні шаблони Windows ComponentsBitLocker Drive Encryption Фіксовані диски даних у груповій політиці дозволить їм повторно активувати використання апаратного шифрування. Усі інші повинні залишити це в спокої.
Шкода, що Microsoft та інші з нас не можуть довіряти виробникам дисків. Але це має сенс: звичайно, ваш ноутбук може бути виготовлений Dell, HP або навіть самою Microsoft. Але чи знаєте ви, який диск у цьому ноутбуці і хто його виготовив? Чи вірите ви, що виробник цього диска безпечно обробляє шифрування та видає оновлення, якщо виникне проблема? Як ми дізналися, вам, мабуть, не слід. Тепер Windows також не буде.