Změna v zabezpečení BitLockeru: Microsoft přestává věřit šifrování SSD disků
Mnohé spotřebitelské SSD disky se prezentují s podporou šifrování, a nástroj BitLocker jim doposud důvěřoval. Nicméně, jak se ukázalo, tyto disky často nezajišťovaly spolehlivé šifrování uložených dat. Společnost Microsoft nyní reaguje změnou ve Windows 10, která ruší automatickou důvěru v hardwarové šifrování těchto disků a ve výchozím nastavení přechází na softwarové šifrování.
Zjednodušeně řečeno, SSD a jiné pevné disky se často označují jako „samošifrovací“. Pokud disk takovou funkci prohlašuje, BitLocker nevykonává žádné další šifrování, i když je tato funkce manuálně aktivována. Teoreticky měl tento přístup urychlit šifrování tím, že ho disk prováděl na úrovni firmwaru, čímž se odlehčila zátěž procesoru a potenciálně šetřila energie. V praxi se však ukázalo, že mnoho disků má slabá nebo výchozí hesla a další bezpečnostní nedostatky. Proto již nelze důvěřovat spotřebitelským SSD diskům při implementaci šifrování.
Microsoft proto přistoupil ke změně. Od nynějška bude BitLocker standardně ignorovat disky prohlašující samošifrování a šifrování provede programově. I když váš disk uvádí podporu šifrování, BitLocker mu již nebude bezmezně důvěřovat.
Tato změna byla zavedena s aktualizací KB4516071 pro Windows 10, která byla vydána 24. září 2019. Upozornění na tuto změnu se objevilo i na Twitteru od SwiftOnSecurity:
Microsoft se vzdává výrobcům SSD: Windows už nebudou důvěřovat jednotkám, které tvrdí, že se dokážou šifrovat samy, BitLocker místo toho ve výchozím nastavení použije šifrování AES akcelerované CPU. Toto je po výkladu o širokých problémech s šifrováním napájeným firmwarem.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) 27. září 2019
Stávající systémy s aktivním BitLockerem nebudou touto změnou automaticky ovlivněny a budou nadále používat stávající hardwarové šifrování. Pokud již máte šifrování BitLocker aktivní, je nutné disk dešifrovat a poté znovu zašifrovat, aby se zajistilo, že BitLocker nyní využívá softwarové šifrování. Bezpečnostní bulletin společnosti Microsoft obsahuje příkaz, který lze použít ke kontrole, zda systém používá hardwarové nebo softwarové šifrování.
SwiftOnSecurity uvádí, že moderní procesory jsou schopny provádět šifrování programově, aniž by došlo ke znatelnému zpomalení systému. Přechod na softwarové šifrování by tedy neměl mít negativní dopad na výkon.
BitLocker má stále možnost důvěřovat hardwarovému šifrování, pokud je to žádoucí. Tato možnost je však standardně vypnuta. Pro organizace, které mají disky s důvěryhodným firmwarem, existuje v Zásadách skupiny možnost „Konfigurovat použití hardwarového šifrování pro pevné datové jednotky“, která umožňuje opětovné povolení hardwarového šifrování. Všichni ostatní by měli ponechat výchozí nastavení.
Je smutné, že Microsoft a my všichni musíme ztratit důvěru ve výrobce disků. Nicméně to dává smysl. Váš notebook sice může být vyroben společnostmi jako Dell, HP nebo přímo Microsoft, ale znáte výrobce pevného disku uvnitř? Důvěřujete mu, že bude šifrování provádět bezpečně a že v případě potřeby vydá aktualizace? Jak se ukázalo, neměli byste. A nyní již ani Windows nebudou.