\r\n\r\n
多くのコンシューマ向けSSDは暗号化をサポートしていると主張し、BitLockerはそれを信じています。しかし、昨年学んだように、これらのドライブは通常、ファイルを安全に暗号化することはできません。マイクロソフトはウィンドウズ10を修正し、そのような粗悪なSSDを信用せず、代わりにソフトウェア暗号化をデフォルトで使用するようにしたのです。
つまり、ソリッドステートドライブをはじめとするハードディスクは、「自己暗号化」を謳うことができるのです。理論的には、これは良いことです。ドライブはファームウェア・レベルで暗号化を実行することができ、プロセスを高速化し、CPU使用率を減らし、電力を節約することができます。現実には、多くのドライブでマスターパスワードが空になっているなど、ひどいセキュリティ上の失敗があるのです。コンシューマー向けSSDは、暗号化の実装を信頼できないことがわかりました。
今、マイクロソフトはすべてを変えました。デフォルトでは、BitLockerは自己暗号化を主張するドライブを無視し、ソフトウェアで暗号化作業を実行します。暗号化をサポートしていると主張するドライブがあっても、BitLockerはそれを信じません。
この変更は、2019年9月24日にWindows 10向けにリリースされたKB4516071アップデートで登場しました。でのTwitterでSwift Securityが発見したものです。
マイクロソフト、SSDメーカーを見限る。Windows は、自分自身を暗号化できるというドライブを信用しなくなり、BitLocker は代わりに CPU アクセラレーションによる AES 暗号化をデフォルトにします。ファームウェアによる暗号化の広範な問題点を暴露した後の話ですhttps://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
- SwiftOnSecurity (@SwiftOnSecurity) 2019年9月27日
BitLockerを搭載した既存のシステムは自動的に移行されず、元々この方法で設定されている場合は、引き続きハードウェア暗号化を使用します。BitLocker暗号化がシステム上で有効になっている場合、BitLockerがハードウェア暗号化ではなくソフトウェア暗号化を使用していることを確認するために、ドライブの暗号化を解除してから再度暗号化する必要があります。このMicrosoft Security Bulletinには、システムがハードウェアベースの暗号化を使用しているか、ソフトウェアベースの暗号化を使用しているかを確認するために使用できるコマンドが含まれています。
SwiftOnSecurityが指摘するように、最近のCPUはソフトウェアでこれらの処理を行うことができるので、BitLockerがソフトウェアベースの暗号化に切り替わったとしても、顕著な速度低下は見られないはずです。
BitLockerは、あなたが望むなら、まだハードウェア暗号化を信頼することができます。デフォルトでは、このオプションは無効になっています。信頼できるファームウェアドライブがある企業では、グループポリシーの「コンピューターの構成/管理テンプレート/Windowsコンポーネント/BitLockerドライブ暗号化/固定データドライブ」の「固定データドライブにハードウェアベースの暗号化の使用を設定する」オプションにより、ハードウェアベースの暗号化の使用を再び有効にすることができます。「このオプションにより、ハードウェアベースの暗号の使用を再開することができます。他の皆さんは、そっとしておいてください。
悲しいことに、マイクロソフトやその他の人々は、ディスク**ベンダを信用することができません。しかし、それは理にかなっています。確かに、あなたのラップトップはDell、HP、あるいはマイクロソフト自身が所有しているかもしれません。しかし、そのノートパソコンにどんなドライブが入っていて、誰が所有しているか知っていますか?そのドライブの**ベンダ**が暗号化を安全に扱い、問題が発生したときにアップデートを発行してくれることを信頼していますか?私たちは、おそらくそうすべきではないだろうということを学びました。今は、Windowsもそうでしょう。
関連:Windows 10でSSDを暗号化するBitLockerは信頼できません。