Πολλοί καταναλωτικοί SSD ισχυρίζονται ότι υποστηρίζουν κρυπτογράφηση και το BitLocker τα πίστεψε. Όμως, όπως μάθαμε πέρυσι, αυτοί οι δίσκοι συχνά δεν κρυπτογραφούσαν αρχεία με ασφάλεια. Η Microsoft μόλις άλλαξε τα Windows 10 για να σταματήσει να εμπιστεύεται αυτούς τους σχηματικούς SSD και από προεπιλογή την κρυπτογράφηση λογισμικού.
Συνοπτικά, οι μονάδες SSD και άλλοι σκληροί δίσκοι μπορούν να ισχυριστούν ότι είναι «αυτοκρυπτογραφούμενοι». Εάν το κάνουν, το BitLocker δεν θα εκτελούσε καμία κρυπτογράφηση, ακόμα κι αν ενεργοποιούσατε το BitLocker με μη αυτόματο τρόπο. Θεωρητικά, αυτό ήταν καλό: Η μονάδα δίσκου μπορούσε να εκτελέσει την ίδια την κρυπτογράφηση σε επίπεδο υλικολογισμικού, επιταχύνοντας τη διαδικασία, μειώνοντας τη χρήση της CPU και ίσως εξοικονομώντας λίγη ενέργεια. Στην πραγματικότητα, ήταν κακό: πολλές μονάδες είχαν άδειους κύριους κωδικούς πρόσβασης και άλλες φρικτές αστοχίες ασφάλειας. Μάθαμε ότι οι SSD καταναλωτών δεν είναι αξιόπιστοι για την εφαρμογή κρυπτογράφησης.
Τώρα, η Microsoft έχει αλλάξει τα πράγματα. Από προεπιλογή, το BitLocker θα αγνοήσει τις μονάδες δίσκου που ισχυρίζονται ότι είναι αυτοκρυπτογραφούμενες και θα κάνει την εργασία κρυπτογράφησης σε λογισμικό. Ακόμα κι αν έχετε μια μονάδα δίσκου που ισχυρίζεται ότι υποστηρίζει κρυπτογράφηση, το BitLocker δεν θα το πιστέψει.
Αυτή η αλλαγή έφτασε στα Windows 10 KB4516071 ενημέρωση, που κυκλοφόρησε στις 24 Σεπτεμβρίου 2019. Εντοπίστηκε από το SwiftOnSecurity στο Twitter:
Η Microsoft εγκαταλείπει τους κατασκευαστές SSD: Τα Windows δεν θα εμπιστεύονται πλέον τις μονάδες που λένε ότι μπορούν να κρυπτογραφήσουν οι ίδιοι, το BitLocker θα έχει ως προεπιλογή την κρυπτογράφηση AES με επιτάχυνση της CPU. Αυτό γίνεται μετά από μια έκθεση σε γενικά ζητήματα με την κρυπτογράφηση που υποστηρίζεται από υλικολογισμικό.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) 27 Σεπτεμβρίου 2019
Τα υπάρχοντα συστήματα με BitLocker δεν θα μετεγκατασταθούν αυτόματα και θα συνεχίσουν να χρησιμοποιούν κρυπτογράφηση υλικού, εάν είχαν ρυθμιστεί αρχικά με αυτόν τον τρόπο. Εάν έχετε ήδη ενεργοποιημένη την κρυπτογράφηση BitLocker στο σύστημά σας, πρέπει να αποκρυπτογραφήσετε τη μονάδα δίσκου και στη συνέχεια να την κρυπτογραφήσετε ξανά για να βεβαιωθείτε ότι το BitLocker χρησιμοποιεί κρυπτογράφηση λογισμικού αντί κρυπτογράφησης υλικού. Αυτό το ενημερωτικό δελτίο ασφαλείας της Microsoft περιλαμβάνει μια εντολή που μπορείτε να χρησιμοποιήσετε για να ελέγξετε εάν το σύστημά σας χρησιμοποιεί κρυπτογράφηση που βασίζεται σε υλικό ή λογισμικό.
Όπως σημειώνει το SwiftOnSecurity, οι σύγχρονες CPU μπορούν να χειριστούν την εκτέλεση αυτών των ενεργειών σε λογισμικό και δεν θα πρέπει να δείτε αξιοσημείωτη επιβράδυνση όταν το BitLocker μεταβαίνει σε κρυπτογράφηση βάσει λογισμικού.
Το BitLocker μπορεί ακόμα να εμπιστεύεται την κρυπτογράφηση υλικού, αν θέλετε. Αυτή η επιλογή είναι απλώς απενεργοποιημένη από προεπιλογή. Για επιχειρήσεις που διαθέτουν μονάδες δίσκου με υλικολογισμικό που εμπιστεύονται, η επιλογή “Διαμόρφωση χρήσης κρυπτογράφησης βάσει υλικού για σταθερές μονάδες δίσκου δεδομένων” κάτω από το Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive EncryptionFixed Data Drives στην πολιτική ομάδας θα τους επιτρέψει να ενεργοποιήσουν ξανά τη χρήση κρυπτογράφησης βάσει υλικού. Όλοι οι άλλοι πρέπει να το αφήσουν ήσυχο.
Είναι κρίμα που η Microsoft και οι υπόλοιποι από εμάς δεν μπορούμε να εμπιστευτούμε τους κατασκευαστές δίσκων. Αλλά είναι λογικό: Σίγουρα, ο φορητός υπολογιστής σας μπορεί να είναι κατασκευασμένος από την Dell, την HP ή ακόμα και την ίδια τη Microsoft. Αλλά ξέρετε τι μονάδα δίσκου είναι σε αυτό το φορητό υπολογιστή και ποιος τον κατασκεύασε; Εμπιστεύεστε τον κατασκευαστή αυτής της μονάδας να χειρίζεται την κρυπτογράφηση με ασφάλεια και να εκδίδει ενημερώσεις εάν υπάρχει πρόβλημα; Όπως μάθαμε, μάλλον δεν θα έπρεπε. Τώρα, ούτε τα Windows θα το κάνουν.