Mange forbruker-SSDer hevder å støtte kryptering, og BitLocker trodde på dem. Men, som vi lærte i fjor, var disse stasjonene ofte ikke sikkert krypterte filer. Microsoft har nettopp endret Windows 10 for å slutte å stole på de skissemessige SSD-ene og standard til programvarekryptering.
Oppsummert kan solid-state-stasjoner og andre harddisker hevde å være «selvkrypterende.» Hvis de gjør det, ville ikke BitLocker utføre noen kryptering, selv om du aktivert BitLocker manuelt. I teorien var det bra: Disken kunne utføre selve krypteringen på fastvarenivå, øke hastigheten på prosessen, redusere CPU-bruken og kanskje spare litt strøm. I virkeligheten var det dårlig: Mange stasjoner hadde tomme hovedpassord og andre grufulle sikkerhetsfeil. Vi lærte at forbruker-SSDer ikke kan stole på å implementere kryptering.
Nå har Microsoft endret ting. Som standard vil BitLocker ignorere stasjoner som hevder å være selvkrypterende og utfører krypteringsarbeidet i programvare. Selv om du har en stasjon som hevder å støtte kryptering, vil ikke BitLocker tro det.
Denne endringen kom i Windows 10-tallet KB4516071 oppdatering, utgitt 24. september 2019. Den ble oppdaget av SwiftOnSecurity på Twitter:
Microsoft gir opp SSD-produsenter: Windows vil ikke lenger stole på stasjoner som sier at de kan kryptere seg selv, BitLocker vil som standard bruke CPU-akselerert AES-kryptering i stedet. Dette er etter en avsløring av brede problemer med firmware-drevet kryptering.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) 27. september 2019
Eksisterende systemer med BitLocker blir ikke automatisk migrert og vil fortsette å bruke maskinvarekryptering hvis de opprinnelig ble satt opp på den måten. Hvis du allerede har BitLocker-kryptering aktivert på systemet ditt, må du dekryptere stasjonen og deretter kryptere den igjen for å sikre at BitLocker bruker programvarekryptering i stedet for maskinvarekryptering. Denne sikkerhetsbulletinen fra Microsoft inkluderer en kommando du kan bruke til å sjekke om systemet ditt bruker maskinvare- eller programvarebasert kryptering.
Som SwiftOnSecurity bemerker, kan moderne CPUer håndtere å utføre disse handlingene i programvare, og du bør ikke se en merkbar nedgang når BitLocker bytter til programvarebasert kryptering.
BitLocker kan fortsatt stole på maskinvarekryptering, hvis du vil. Det alternativet er bare deaktivert som standard. For bedrifter som har stasjoner med fastvare de stoler på, vil alternativet «Konfigurer bruk av maskinvarebasert kryptering for faste datastasjoner» under Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive EncryptionFixed Data Drives in Group Policy la dem reaktivere bruken av maskinvarebasert kryptering. Alle andre bør la det være.
Det er synd at Microsoft og resten av oss ikke kan stole på diskprodusenter. Men det er fornuftig: Jada, den bærbare datamaskinen din kan være laget av Dell, HP eller til og med Microsoft selv. Men vet du hvilken stasjon som er i den bærbare datamaskinen og hvem som produserte den? Stoler du på at stasjonens produsent håndterer kryptering sikkert og utsteder oppdateringer hvis det er et problem? Som vi har lært, bør du sannsynligvis ikke. Nå gjør ikke Windows det heller.