En raison des récentes découvertes en matière de sécurité selon lesquelles la plupart des SSD implémentent probablement le cryptage de manière complètement naïve et cassée, je veux vérifier quelles machines BitLocker utilisent le cryptage matériel et lesquelles utilisent un logiciel.
J'ai trouvé un moyen de désactiver l'utilisation du chiffrement matériel, mais je ne peux pas comprendre comment vérifier si j'utilise le chiffrement matériel (dans ce cas, je devrai rechiffrer le disque). Comment dois-je faire le ti?
Je suis conscient de manage-bde.exe -status
qui me donne une sortie telle que:
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]
Size: 952.62 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
mais je ne sais pas si les informations que je veux se trouvent dans cet écran.
Il existe un article assez récent sur MSRC, expliquant partiellement le problème et comment le résoudre. Merci @Kevin
Microsoft a connaissance de rapports de vulnérabilités dans le chiffrement matériel de certains lecteurs à chiffrement automatique (SED). Les clients préoccupés par ce problème doivent envisager d'utiliser uniquement le chiffrement logiciel fourni par BitLocker Drive Encryption ™. Sur les ordinateurs Windows dotés de lecteurs à chiffrement automatique, BitLocker Drive Encryption ™ gère le chiffrement et utilisera le chiffrement matériel par défaut. Les administrateurs qui souhaitent forcer le chiffrement logiciel sur les ordinateurs dotés de lecteurs à chiffrement automatique peuvent y parvenir en déployant une stratégie de groupe pour remplacer le comportement par défaut. Windows ne consultera la stratégie de groupe pour appliquer le chiffrement logiciel qu'au moment d'activer BitLocker.
Pour vérifier le type de chiffrement de lecteur utilisé (matériel ou logiciel):
Courir
manage-bde.exe -status
à partir de l'invite de commandes élevée.Si aucun des lecteurs répertoriés ne signale le "chiffrement matériel" pour le champ Méthode de chiffrement, cet appareil utilise le chiffrement logiciel et n'est pas affecté par les vulnérabilités associées au chiffrement de lecteur à chiffrement automatique.
manage-bde.exe -status
devrait vous montrer si le chiffrement matériel est utilisé.
Je n'ai pas de GAB de disque chiffré HW, voici donc un lien de référence et l'image qu'il contient:
L'interface utilisateur BitLocker dans le Panneau de configuration ne vous indique pas si le chiffrement matériel est utilisé, mais l'outil de ligne de commande manage-bde.exe le fait lorsqu'il est appelé avec l'état du paramètre. Vous pouvez voir que le cryptage matériel est activé pour D: (Samsung SSD 850 Pro) mais pas pour C: (Samsung SSD 840 Pro sans prise en charge du cryptage matériel):