Comment vérifiez-vous si un disque dur a été chiffré avec des logiciels ou du matériel lors de l'utilisation de BitLocker?

25

En raison des récentes découvertes en matière de sécurité selon lesquelles la plupart des SSD implémentent probablement le cryptage de manière complètement naïve et cassée, je veux vérifier quelles machines BitLocker utilisent le cryptage matériel et lesquelles utilisent un logiciel.

J'ai trouvé un moyen de désactiver l'utilisation du chiffrement matériel, mais je ne peux pas comprendre comment vérifier si j'utilise le chiffrement matériel (dans ce cas, je devrai rechiffrer le disque). Comment dois-je faire le ti?

Je suis conscient de manage-bde.exe -statusce qui me donne une sortie telle que:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

mais je ne sais pas si les informations que je veux se trouvent dans cet écran.

pupeno
la source
Avez-vous une référence pour l'affirmation concernant les faiblesses des implémentations de chiffrement matériel? Cela ressemble à une bonne lecture.
Nat
3
@Nat: Consultez cet avis pour plus de détails. Soit dit en passant, cela résout également le problème d'OP.
Kevin
3
@Nat: Je crois que c'est la source de l'information: ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/…
pupeno

Réponses:

26

Il existe un article assez récent sur MSRC, expliquant partiellement le problème et comment le résoudre. Merci @Kevin

Microsoft a connaissance de rapports de vulnérabilités dans le chiffrement matériel de certains lecteurs à chiffrement automatique (SED). Les clients préoccupés par ce problème doivent envisager d'utiliser uniquement le chiffrement logiciel fourni par BitLocker Drive Encryption ™. Sur les ordinateurs Windows dotés de lecteurs à chiffrement automatique, BitLocker Drive Encryption ™ gère le chiffrement et utilisera le chiffrement matériel par défaut. Les administrateurs qui souhaitent forcer le chiffrement logiciel sur les ordinateurs dotés de lecteurs à chiffrement automatique peuvent y parvenir en déployant une stratégie de groupe pour remplacer le comportement par défaut. Windows consultera la stratégie de groupe pour appliquer le chiffrement logiciel uniquement au moment d'activer BitLocker.

Pour vérifier le type de chiffrement de lecteur utilisé (matériel ou logiciel):

  1. Exécutez à manage-bde.exe -statuspartir de l'invite de commandes élevée.

  2. Si aucun des lecteurs répertoriés ne signale le «chiffrement matériel» pour le champ Méthode de chiffrement, alors cet appareil utilise le chiffrement logiciel et n'est pas affecté par les vulnérabilités associées au chiffrement du lecteur à chiffrement automatique.


manage-bde.exe -status devrait vous montrer si le chiffrement matériel est utilisé.

Je n'ai pas de GAB de lecteur chiffré HW, voici donc un lien de référence et l'image qu'il contient:

L'interface utilisateur BitLocker dans le Panneau de configuration ne vous indique pas si le chiffrement matériel est utilisé, mais l'outil de ligne de commande manage-bde.exe le fait lorsqu'il est appelé avec l'état du paramètre. Vous pouvez voir que le cryptage matériel est activé pour D: (Samsung SSD 850 Pro) mais pas pour C: (Samsung SSD 840 Pro sans prise en charge du cryptage matériel):

Bitlocker-Status

Lenniey
la source