Come si controlla se un disco rigido è stato crittografato con software o hardware quando si utilizza BitLocker?

25

A causa delle recenti scoperte sulla sicurezza in quanto probabilmente la maggior parte degli SSD implementano la crittografia in modo completamente ingenuo e rotto, voglio verificare quali delle mie macchine BitLocker utilizzano la crittografia hardware e quali utilizzano il software.

Ho trovato un modo per disabilitare l'uso della crittografia hardware, ma non riesco a capire come controllare se sto usando la crittografia hardware (nel qual caso, dovrò crittografare nuovamente l'unità). Come posso fare?

Sono consapevole di ciò manage-bde.exe -statusche mi dà un output come:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

ma non so se le informazioni che voglio siano in questa schermata.

windows  security  bitlocker 
pupeno
fonte
Hai un riferimento per l'affermazione relativa ai punti deboli nelle implementazioni di crittografia hardware? Sembra una buona lettura.
Nat
3
@Nat: vedere questo advisory per i dettagli. Per inciso, risolve anche il problema di OP.
Kevin,
3
@Nat: credo che questa sia la fonte delle informazioni: ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/…
pupeno

Risposte:

26

Esiste un articolo abbastanza nuovo su MSRC, che spiega in parte il problema e come risolverlo. Grazie @Kevin

Microsoft è a conoscenza di segnalazioni di vulnerabilità nella crittografia hardware di alcune unità con crittografia automatica (SED). I clienti preoccupati per questo problema dovrebbero considerare l'utilizzo del software solo con la crittografia fornita da BitLocker Drive Encryption ™. Sui computer Windows con unità con crittografia automatica, BitLocker Drive Encryption ™ gestisce la crittografia e utilizzerà la crittografia hardware per impostazione predefinita. Gli amministratori che desiderano forzare la crittografia del software su computer con unità con crittografia automatica possono ottenere ciò distribuendo un criterio di gruppo per ignorare il comportamento predefinito. Windows consulterà i Criteri di gruppo per imporre la crittografia del software solo al momento dell'abilitazione di BitLocker.

Per verificare il tipo di crittografia dell'unità utilizzata (hardware o software):

  1. Esegui manage-bde.exe -statusdal prompt dei comandi con privilegi elevati.

  2. Se nessuna delle unità elencate riporta "Crittografia hardware" per il campo Metodo di crittografia, questo dispositivo utilizza la crittografia del software e non è interessato dalle vulnerabilità associate alla crittografia delle unità con crittografia automatica.

manage-bde.exe -status dovrebbe mostrarti se viene utilizzata la crittografia hardware.

Non ho un bancomat con unità crittografata HW, quindi ecco un link di riferimento e l'immagine che contiene:

L'interfaccia utente di BitLocker nel Pannello di controllo non indica se viene utilizzata la crittografia hardware, ma lo strumento da riga di comando manage-bde.exe fa quando viene richiamato con lo stato del parametro. Puoi vedere che la crittografia hardware è abilitata per D: (Samsung SSD 850 Pro) ma non per C: (Samsung SSD 840 Pro senza supporto per la crittografia hardware):

Bitlocker-Stato

Lenniey
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.