由于最近的安全发现,大多数 SSD 可能都以完全幼稚和不完善的方式实现加密,我想检查我的哪些 BitLocker 机器正在使用硬件加密,哪些正在使用软件加密。
我找到了一种禁用硬件加密的方法,但我不知道如何检查我是否正在使用硬件加密(在这种情况下,我必须重新加密驱动器)。我该怎么做?
我知道manage-bde.exe -status这会给我如下输出:
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]
Size: 952.62 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
但我不知道我想要的信息是否在这个屏幕上。
答案1
MSRC 上有一篇相当新的文章,部分解释了该问题及其解决方法。谢谢@Kevin
Microsoft 已获悉某些自加密驱动器 (SED) 的硬件加密存在漏洞。担心此问题的客户应考虑使用 BitLocker Drive Encryption™ 提供的纯软件加密。在配备自加密驱动器的 Windows 计算机上,BitLocker Drive Encryption™ 负责管理加密,默认情况下将使用硬件加密。如果管理员希望在配备自加密驱动器的计算机上强制使用软件加密,可以通过部署组策略来覆盖默认行为。Windows 将参考组策略仅在启用 BitLocker 时强制执行软件加密。
要检查正在使用的驱动器加密类型(硬件或软件):
manage-bde.exe -status从提升的命令提示符运行。如果列出的驱动器均未在加密方法字段中报告“硬件加密”,则表示该设备正在使用软件加密,并且不受与自加密驱动器加密相关的漏洞的影响。
manage-bde.exe -status应该向您显示是否使用了硬件加密。
我没有硬件加密驱动器 ATM,这是一个参考链接以及其中包含的图像:
控制面板中的 BitLocker UI 不会告诉您是否使用了硬件加密,但命令行工具 manage-bde.exe 在调用时会使用参数 status 来告诉您是否使用了硬件加密。您可以看到 D:(三星 SSD 850 Pro)启用了硬件加密,但 C:(不支持硬件加密的三星 SSD 840 Pro)未启用硬件加密:
答案2
在您的情况下,Bitlocker 使用软件加密。
看来 Bitlocker 已经默认禁用硬件加密一段时间了,即使驱动器支持硬件加密。这可能主要是因为拉德堡德大学 2018 年发布的一项研究发现了完全绕过某些 SSD 硬件加密的方法。看来 SSD 制造商并不擅长实施适当的安全性。此外,硬件加密基于 AES-CBC,安全性不如 AES-XTS。
可以在组策略中重新启用硬件加密。在本地组策略编辑器中,在计算机配置\管理模板\Windows 组件\BitLocker 驱动器加密中,有几个子树:“固定数据驱动器”、“操作系统驱动器”和“可移动数据驱动器”。每个子树都有一个名为“为 [x] 个驱动器配置基于硬件的加密”的项目。该项目的默认状态为“未配置”,这意味着强制使用软件加密。您可以启用该项目并确定允许哪些类型的硬件加密和/或如果硬件加密不可用,是否可以使用软件加密。