Bagaimana Anda memeriksa apakah hard drive dienkripsi dengan perangkat lunak atau perangkat keras saat menggunakan BitLocker?

25

Karena penemuan keamanan baru-baru ini di mana mungkin sebagian besar SSD menerapkan enkripsi dengan cara yang benar-benar naif dan rusak, saya ingin memeriksa mesin BitLocker mana yang menggunakan enkripsi perangkat keras dan mana yang menggunakan perangkat lunak.

Saya menemukan cara untuk menonaktifkan penggunaan enkripsi perangkat keras, tetapi saya tidak tahu cara memeriksa apakah saya menggunakan enkripsi perangkat keras (dalam hal ini, saya harus mengenkripsi ulang drive). Bagaimana saya melakukannya?

Saya sadar manage-bde.exe -statusyang memberi saya output seperti:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

tetapi saya tidak tahu apakah informasi yang saya inginkan ada di layar ini.

windows security bitlocker pupeno
sumber
Apakah Anda memiliki referensi untuk klaim tentang kelemahan dalam implementasi perangkat keras kripto? Kedengarannya seperti bacaan yang bagus.
Nat
3
@Nat: Lihat penasihat ini untuk detailnya. Kebetulan, itu juga memecahkan masalah OP.
Kevin
3
@Nat: Saya percaya ini adalah sumber informasinya: ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/…
pupeno

Jawaban:

26

Ada artikel yang cukup baru tentang MSRC, sebagian menjelaskan masalah dan bagaimana menyelesaikannya. Terima kasih @Kevin

Microsoft mengetahui laporan kerentanan dalam enkripsi perangkat keras dari drive enkripsi diri (SED) tertentu. Pelanggan yang khawatir tentang masalah ini harus mempertimbangkan untuk menggunakan enkripsi hanya perangkat lunak yang disediakan oleh BitLocker Drive Encryption ™. Pada komputer Windows dengan drive yang dienkripsi sendiri, BitLocker Drive Encryption ™ mengelola enkripsi dan akan menggunakan enkripsi perangkat keras secara default. Administrator yang ingin memaksakan enkripsi perangkat lunak pada komputer dengan drive yang mengenkripsi sendiri dapat melakukannya dengan menggunakan Kebijakan Grup untuk mengganti perilaku default. Windows akan berkonsultasi dengan Kebijakan Grup untuk menegakkan enkripsi perangkat lunak hanya pada saat BitLocker diaktifkan.

Untuk memeriksa jenis enkripsi drive yang digunakan (perangkat keras atau perangkat lunak):

  1. Jalankan manage-bde.exe -statusdari command prompt yang ditinggikan.

  2. Jika tidak ada drive yang melaporkan "Enkripsi Perangkat Keras" untuk bidang Metode Enkripsi, maka perangkat ini menggunakan enkripsi perangkat lunak dan tidak terpengaruh oleh kerentanan yang terkait dengan enkripsi drive enkripsi otomatis.

manage-bde.exe -status akan menunjukkan kepada Anda jika enkripsi-perangkat keras digunakan.

Saya tidak memiliki ATM drive terenkripsi HW, jadi di sini adalah tautan referensi dan gambar di dalamnya:

BitLocker UI di Control Panel tidak memberi tahu Anda apakah enkripsi perangkat keras digunakan, tetapi alat baris perintah kelola-bde.exe tidak ketika dipanggil dengan status parameter. Anda dapat melihat bahwa enkripsi perangkat keras diaktifkan untuk D: (Samsung SSD 850 Pro) tetapi tidak untuk C: (Samsung SSD 840 Pro tanpa dukungan untuk enkripsi perangkat keras):

Status Bitlocker

Lenniey
sumber