Jak sprawdzić, czy dysk twardy został zaszyfrowany za pomocą oprogramowania lub sprzętu podczas korzystania z funkcji BitLocker?

25

Ze względu na ostatnie ustalenia bezpieczeństwa, że ​​prawdopodobnie większość dysków SSD implementuje szyfrowanie w całkowicie naiwny i zepsuty sposób, chcę sprawdzić, które z moich maszyn BitLocker używają szyfrowania sprzętowego, a które używają oprogramowania.

Znalazłem sposób na wyłączenie korzystania z szyfrowania sprzętowego, ale nie mogę wymyślić, jak sprawdzić, czy korzystam z szyfrowania sprzętowego (w takim przypadku będę musiał ponownie zaszyfrować dysk). Jak mam to zrobić?

Wiem, manage-bde.exe -statusco daje mi takie dane wyjściowe, jak:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

ale nie wiem, czy potrzebne informacje znajdują się na tym ekranie.

windows security bitlocker pupeno
źródło
Czy masz odniesienie do twierdzenia o słabościach sprzętowych implementacji kryptograficznych? Brzmi jak dobra lektura.
Nat
3
@Nat: Szczegółowe informacje można znaleźć w tym poradniku . Nawiasem mówiąc, rozwiązuje również problem OP.
Kevin,
3
@Nat: Wierzę, że to jest źródło informacji: ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/…
pupeno

Odpowiedzi:

26

Istnieje całkiem nowy artykuł na temat MSRC, częściowo wyjaśniający problem i sposób jego rozwiązania. Dzięki @Kevin

Microsoft zdaje sobie sprawę z doniesień o lukach w szyfrowaniu sprzętowym niektórych dysków samoszyfrujących (SED). Klienci zaniepokojeni tym problemem powinni rozważyć użycie tylko szyfrowania programowego zapewnianego przez BitLocker Drive Encryption ™. Na komputerach z systemem Windows z samoszyfrującymi dyskami funkcja BitLocker Drive Encryption ™ zarządza szyfrowaniem i domyślnie używa szyfrowania sprzętowego. Administratorzy, którzy chcą wymusić szyfrowanie oprogramowania na komputerach z napędami samoszyfrującymi, mogą to zrobić, wdrażając zasady grupy w celu zastąpienia domyślnego zachowania. System Windows skonsultuje się z zasadami grupy, aby wymusić szyfrowanie oprogramowania tylko w momencie włączenia funkcji BitLocker.

Aby sprawdzić rodzaj używanego szyfrowania dysku (sprzęt lub oprogramowanie):

  1. Uruchom manage-bde.exe -statusz wiersza polecenia z podwyższonym poziomem uprawnień.

  2. Jeśli żaden z wymienionych napędów nie zgłasza „Szyfrowanie sprzętowe” w polu Metoda szyfrowania, oznacza to, że urządzenie korzysta z szyfrowania programowego i nie ma na nie podatności związanej z samoszyfrującym szyfrowaniem dysku.

manage-bde.exe -status powinien pokazać, jeśli używane jest szyfrowanie sprzętowe.

Nie mam bankomatu z zaszyfrowanym dyskiem HW, więc tutaj jest link referencyjny i obraz, który zawiera:

Interfejs użytkownika funkcji BitLocker w Panelu sterowania nie informuje, czy używane jest szyfrowanie sprzętowe, ale narzędzie wiersza polecenia manage-bde.exe robi to po wywołaniu ze statusem parametru. Możesz zobaczyć, że szyfrowanie sprzętowe jest włączone dla D: (Samsung SSD 850 Pro), ale nie dla C: (Samsung SSD 840 Pro bez obsługi szyfrowania sprzętowego):

Status Bitlockera

Lenniey
źródło