Як перевірити, чи жорсткий диск був зашифрований програмним чи апаратним забезпеченням під час використання BitLocker?

25

У зв'язку з останніми висновками безпеки щодо того, що, ймовірно, більшість SSD-дисків реалізують шифрування повністю наївним і зламаним способом, я хочу перевірити, які з моїх машин BitLocker використовують апаратне шифрування, а в яких - програмне забезпечення.

Я знайшов спосіб відключити використання апаратного шифрування, але не можу зрозуміти, як перевірити, чи використовую апаратне шифрування (у такому випадку мені доведеться повторно зашифрувати накопичувач). Як я можу зробити ти?

Мені відомо, manage-bde.exe -statusщо дає мені такий результат, як:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

але я не знаю, чи потрібна інформація знаходиться на цьому екрані.

windows  security  bitlocker 
пупено
джерело
Чи є у вас посилання на твердження про недоліки в апаратних криптовалютах? Звучить, як добре читати.
Нат
3
@Nat: Див цього консультативний для деталей. Між іншим, це також вирішує проблему ОП.
Кевін
3
@Nat: Я вважаю, що це джерело інформації: ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/…
pupeno

Відповіді:

26

Існує досить нова стаття про MSRC, яка частково пояснює проблему та шляхи її вирішення. Дякую @Kevin

Microsoft знає про повідомлення про вразливості в апаратному шифруванні деяких самокодируючих дисків (SED). Клієнти, занепокоєні цим питанням, повинні розглянути можливість використання лише програмного шифрування, передбаченого BitLocker Drive Encryption ™. На комп'ютерах Windows з накопичувачами, що самокодують, BitLocker Drive Encryption ™ керує шифруванням та використовує апаратне шифрування за замовчуванням. Адміністратори, які хочуть примусити шифрування програмного забезпечення на комп'ютерах із самокодируючими накопичувачами, можуть досягти цього, розгорнувши групову політику, щоб змінити поведінку за замовчуванням. Windows консультується з груповою політикою щодо забезпечення шифрування програмного забезпечення лише під час включення BitLocker.

Щоб перевірити тип шифрування накопичувача, який використовується (апаратне чи програмне забезпечення):

  1. Запустити manage-bde.exe -statusз підвищеного командного рядка.

  2. Якщо жоден із перелічених накопичувачів не повідомляє про "Апаратне шифрування" для поля Метод шифрування, то цей пристрій використовує програмне шифрування і на нього не впливають вразливості, пов'язані із самозашифрувальним шифруванням накопичувача.

manage-bde.exe -status повинен показати вам, чи використовується апаратне шифрування.

У мене немає банкоматів із зашифрованим HW-накопичувачем, тому ось посилання та посилання на нього:

Користувацький інтерфейс BitLocker на панелі керування не повідомляє вам, чи використовується апаратне шифрування, але інструмент командного рядка management-bde.exe робить при виклику зі статусом параметра. Ви можете бачити, що апаратне шифрування увімкнено для D: (Samsung SSD 850 Pro), але не для C: (Samsung SSD 840 Pro без підтримки апаратного шифрування):

Bitlocker-Status

Ленні
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.