Mnoho spotřebitelských SSD tvrdí, že podporují šifrování a BitLocker jim věřil. Jak jsme se ale loni dozvěděli, tyto disky často bezpečně nešifrovaly soubory. Microsoft právě změnil Windows 10, aby přestal důvěřovat těmto útržkovitým SSD a ve výchozím nastavení použil softwarové šifrování.
Stručně řečeno, disky SSD a další pevné disky mohou tvrdit, že jsou „samošifrovací“. Pokud ano, BitLocker by neprovedl žádné šifrování, i když byste BitLocker povolili ručně. Teoreticky to bylo dobré: Disk mohl provést šifrování sám na úrovni firmwaru, urychlit proces, snížit využití procesoru a možná ušetřit trochu energie. Ve skutečnosti to bylo špatné: Mnoho disků mělo prázdná hlavní hesla a další hrozná selhání zabezpečení. Zjistili jsme, že SSD pro spotřebitele nelze důvěřovat implementaci šifrování.
Nyní Microsoft věci změnil. Ve výchozím nastavení bude BitLocker ignorovat disky, které tvrdí, že jsou samošifrovací, a šifrování provádí v softwaru. I když máte disk, který tvrdí, že podporuje šifrování, BitLocker tomu nebude věřit.
Tato změna dorazila ve Windows 10 KB4516071 aktualizace, vydaná 24. září 2019. Byla spatřena SwiftOnSecurity na Twitteru:
Microsoft se vzdává výrobcům SSD: Windows už nebudou důvěřovat jednotkám, které tvrdí, že se dokážou šifrovat samy, BitLocker místo toho ve výchozím nastavení použije šifrování AES akcelerované CPU. Toto je po výkladu o širokých problémech s šifrováním napájeným firmwarem.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) 27. září 2019
Stávající systémy s BitLockerem nebudou automaticky migrovány a budou nadále používat hardwarové šifrování, pokud byly takto původně nastaveny. Pokud již máte ve svém systému povoleno šifrování BitLocker, musíte disk dešifrovat a poté znovu zašifrovat, abyste zajistili, že nástroj BitLocker používá spíše softwarové než hardwarové šifrování. Tento bulletin zabezpečení společnosti Microsoft obsahuje příkaz, který můžete použít ke kontrole, zda váš systém používá hardwarové nebo softwarové šifrování.
Jak poznamenává SwiftOnSecurity, moderní CPU zvládnou provádění těchto akcí v softwaru a neměli byste zaznamenat znatelné zpomalení, když BitLocker přepne na softwarové šifrování.
BitLocker může stále důvěřovat hardwarovému šifrování, chcete-li. Tato možnost je ve výchozím nastavení zakázána. Podnikům, které mají disky s firmwarem, kterému důvěřují, možnost „Konfigurovat použití hardwarového šifrování pro pevné datové jednotky“ v části Konfigurace počítače Šablony pro správu Komponenty systému Windows Šifrování jednotek BitLocker Pevné datové jednotky v zásadách skupiny jim umožní znovu aktivovat používání hardwarového šifrování. Všichni ostatní by to měli nechat být.
Je škoda, že Microsoft a my ostatní nemůžeme výrobcům disků věřit. Ale dává to smysl: Jistě, váš notebook může být vyroben společností Dell, HP nebo dokonce samotným Microsoftem. Ale víte, jaký disk je v tom notebooku a kdo ho vyrobil? Věříte výrobci tohoto disku, že zpracuje šifrování bezpečně a v případě problému vydá aktualizace? Jak jsme se dozvěděli, pravděpodobně byste neměli. Nyní nebude ani Windows.