Como você verifica se um disco rígido foi criptografado com software ou hardware ao usar o BitLocker?

25

Devido às recentes descobertas de segurança de que provavelmente a maioria dos SSDs implementa criptografia de maneira completamente ingênua e interrompida, desejo verificar quais máquinas BitLocker estão usando criptografia de hardware e quais estão usando software.

Encontrei uma maneira de desativar o uso da criptografia de hardware, mas não consigo descobrir como verificar se estou usando a criptografia de hardware (nesse caso, precisarei re-criptografar a unidade). Como faço para ti?

Estou ciente de manage-bde.exe -statusque me dá uma saída como:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

mas não sei se as informações que quero estão nesta tela.

pupeno
fonte
Você tem uma referência para a alegação de fraquezas nas implementações de criptografia de hardware? Aparenta ser uma boa leitura.
Nat
3
@ Nat: Consulte este comunicado para obter detalhes. Aliás, ele também resolve o problema do OP.
Kevin
3
@ Nat: Eu acredito que esta é a fonte da informação: ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/…
pupeno

Respostas:

26

Existe um artigo bastante novo sobre o MSRC, explicando parcialmente o problema e como resolvê-lo. Obrigado @Kevin

A Microsoft está ciente dos relatórios de vulnerabilidades na criptografia de hardware de determinadas unidades de auto-criptografia (SEDs). Os clientes preocupados com esse problema devem considerar o uso da criptografia somente de software fornecida pelo BitLocker Drive Encryption ™. Em computadores Windows com unidades de criptografia automática, o BitLocker Drive Encryption ™ gerencia a criptografia e usa a criptografia de hardware por padrão. Os administradores que desejam forçar a criptografia de software em computadores com unidades de criptografia automática podem fazer isso implantando uma Política de Grupo para substituir o comportamento padrão. O Windows consultará a Diretiva de Grupo para aplicar a criptografia de software somente no momento de habilitar o BitLocker.

Para verificar o tipo de criptografia de unidade usada (hardware ou software):

  1. Execute a manage-bde.exe -statuspartir do prompt de comando elevado.

  2. Se nenhuma das unidades listadas relatar "Criptografia de hardware" para o campo Método de criptografia, este dispositivo está usando criptografia de software e não é afetado pelas vulnerabilidades associadas à criptografia de unidade com criptografia automática.


manage-bde.exe -status deve mostrar se a criptografia de hardware é usada.

Não tenho um caixa eletrônico com unidade criptografada HW, então , aqui está um link de referência e a imagem que ele contém:

A interface do usuário do BitLocker no Painel de Controle não informa se a criptografia de hardware é usada, mas a ferramenta de linha de comando manage-bde.exe faz quando invocada com o status do parâmetro. Você pode ver que a criptografia de hardware está ativada para D: (Samsung SSD 850 Pro), mas não para C: (Samsung SSD 840 Pro sem suporte para criptografia de hardware):

Status do Bitlocker

Lenniey
fonte