Zakažte hardwarové šifrování BitLocker na zranitelných SSD

Včera byla objevena zranitelnost v hardwarovém šifrování implementovaném některými SSD. Bohužel, BitLocker ve Windows 10 (a možná také Windows 8.1) deleguje povinnost bezpečného šifrování a ochrany dat uživatele na disk výrobce. Když je k dispozici hardwarové šifrování, neověřuje, zda je šifrování spolehlivé, a vypne své vlastní softwarové šifrování, takže vaše data jsou zranitelná. Zde je řešení, které můžete použít.

I když v systému povolíte šifrování BitLocker, Windows 10 nemusí ve skutečnosti šifrovat vaše data se svým softwarovým šifrováním, pokud jednotka sděluje operačnímu systému, že používá hardware šifrování. I když váš disk podporuje šifrování, může být snadno rozbit kvůli použití prázdné přístupové fráze.

Nedávný studie ukazuje, že produkty Crucial a Samsung mají spoustu problémů se svými SSD. Například některé modely Crucial mají prázdné hlavní heslo, které umožňuje přístup k šifrovacím klíčům. Je docela možné, že podobný problém může mít i firmware používaný v jiném hardwaru od různých výrobců.

Jako řešení nabízí Microsoft navrhuje deaktivaci hardwarového šifrování a přepnutí na softwarové šifrování BitLockeru, pokud máte opravdu citlivá a důležitá data.

Nejprve musíte zkontrolovat, jaký typ šifrování váš systém aktuálně používá.

Zkontrolujte stav šifrování jednotky BitLocker pro jednotku v systému Windows 10

1. Otevřete an zvýšený příkazový řádek.
2. Zadejte nebo zkopírujte a vložte následující příkaz:

   Správa-bde.exe - stav

3. Viz řádek 'Metoda šifrování'. Pokud obsahuje „Hardwarové šifrování“, pak BitLocker spoléhá na hardwarové šifrování. Jinak používá softwarové šifrování.

Zde je návod, jak přejít z hardwarového šifrování na softwarové šifrování pomocí nástroje BitLocker.

Zakázat hardwarové šifrování BitLocker

1. Chcete-li disk dešifrovat, úplně vypněte nástroj BitLocker.
2. Otevřeno PowerShell jako správce.
3. Vydejte příkaz: Enable-BitLocker -HardwareEncryption:$False
4. Znovu povolte nástroj BitLocker.

Pokud jste správce systému, povolte a nasaďte zásadu „Konfigurovat použití hardwarového šifrování pro disky operačního systému“.

Zakažte hardwarové šifrování BitLocker pomocí zásad skupiny

Pokud používáte Windows 10 Pro, Enterprise nebo Education edice, můžete použít aplikaci Local Group Policy Editor ke konfiguraci výše uvedených možností pomocí GUI.

1. lis Vyhrát + R klávesy na klávesnici a zadejte:

   gpedit.msc

   Stiskněte Enter.

2. Otevře se Editor zásad skupiny. Jít do Konfigurace počítače\Šablony pro správu\Součásti systému Windows\BitLocker Drive Encryption\Operating System Drives. Nastavte možnost zásadNakonfigurujte použití hardwarového šifrování pro jednotky operačního systému na Zakázáno.

Případně můžete použít vylepšení registru.

Zakažte hardwarové šifrování BitLocker pomocí funkce Registry Tweak

1. Otevřeno Editor registru.
2. Přejděte na následující klíč registru:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

   Tip: Viz jak přejít na požadovaný klíč registru jedním kliknutím.

   Pokud takový klíč nemáte, tak si ho prostě vytvořte.

3. Zde vytvořte novou 32bitovou hodnotu DWORD OSAllowedHardwareEncryptionAlgorithms. Poznámka: I když jste běžící na 64bitovém systému Windows, stále musíte jako typ hodnoty použít 32bitové DWORD.
   Ponechte jeho hodnotu na 0.
4. Aby se změny provedené úpravou registru projevily, restartujte Windows 10.

A je to.