Назад | Перейти на главную страницу

Как проверить, был ли жесткий диск зашифрован программным или аппаратным обеспечением при использовании BitLocker?

В связи с недавними открытиями безопасности, которые, вероятно, заключаются в том, что большинство твердотельных накопителей реализуют шифрование совершенно наивным и некорректным способом, я хочу проверить, какие из моих машин BitLocker используют аппаратное шифрование, а какие - программное.

Я нашел способ отключить использование аппаратного шифрования, но не могу понять, как проверить, использую ли я аппаратное шифрование (в этом случае мне придется повторно зашифровать диск). Как мне сделать ти?

Я в курсе manage-bde.exe -status что дает мне такой результат, как:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

но я не знаю, есть ли на этом экране нужная мне информация.

Есть довольно новая статья о MSRC, частично объясняющая проблему и способы ее решения. Спасибо @Kevin

Microsoft известно об отчетах об уязвимостях в аппаратном шифровании некоторых самошифрующихся дисков (SED). Клиенты, обеспокоенные этой проблемой, должны рассмотреть возможность использования только программного шифрования, обеспечиваемого BitLocker Drive Encryption ™. На компьютерах Windows с самошифрующимися дисками BitLocker Drive Encryption ™ управляет шифрованием и по умолчанию использует аппаратное шифрование. Администраторы, которые хотят принудительно использовать шифрование программного обеспечения на компьютерах с дисками с самошифрованием, могут сделать это, развернув групповую политику, чтобы переопределить поведение по умолчанию. Windows будет обращаться к групповой политике для принудительного шифрования программного обеспечения только во время включения BitLocker.

Чтобы проверить тип используемого шифрования диска (аппаратное или программное):

  1. Бегать manage-bde.exe -status из командной строки с повышенными привилегиями.

  2. Если ни один из перечисленных дисков не сообщает «Аппаратное шифрование» в поле «Метод шифрования», значит, это устройство использует программное шифрование и не подвержено уязвимостям, связанным с самошифрующимся шифрованием дисков.

manage-bde.exe -status должен показать вам, используется ли аппаратное шифрование.

У меня нет банкомата с аппаратным шифрованием, так вот ссылка на ссылку и изображение, которое он содержит:

Пользовательский интерфейс BitLocker на панели управления не сообщает о том, используется ли аппаратное шифрование, но средство командной строки manage-bde.exe делает это при вызове с параметром status. Вы можете видеть, что аппаратное шифрование включено для D: (Samsung SSD 850 Pro), но не для C: (Samsung SSD 840 Pro без поддержки аппаратного шифрования):