微软不再信任固态硬盘的自加密功能
许多市售的固态硬盘宣称支持硬件加密,而Windows的BitLocker加密功能过去也相信了这些说法。然而,正如我们在去年了解到的那样,这些驱动器通常无法安全地加密文件。现在,微软已经修改了Windows 10,停止信任这些不可靠的固态硬盘,并默认启用软件加密。
简单来说,固态硬盘和其他硬盘可能会声称具有“自加密”功能。如果它们这样声明,即使您手动启用了BitLocker,BitLocker也不会执行任何加密操作。理论上,这应该是一个不错的方案:驱动器可以在固件层级自行进行加密,从而加快处理速度,减少CPU使用率,并可能节省一些电力。然而,现实情况令人担忧:许多驱动器存在主密码为空,以及其他严重的安全漏洞。我们已经认识到,不能信任消费级固态硬盘来执行加密任务。
现在,微软彻底改变了这一局面。默认情况下,BitLocker将忽略那些声称具有自加密功能的驱动器,并改用软件执行加密操作。即使您的驱动器声称支持加密,BitLocker也不会再信任它。
这项更改是在2019年9月24日发布的Windows 10 KB4516071更新中引入的。推特用户SwiftOnSecurity发现了这个变化:
微软放弃了固态硬盘制造商:Windows不再信任声称可以自行加密的驱动器,BitLocker默认使用CPU加速的AES加密。这是在固件驱动的加密问题被广泛曝光之后。https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) 2019年9月27日
对于已启用BitLocker的现有系统,并不会自动迁移。如果它们最初设置为使用硬件加密,则它们将继续使用硬件加密。如果您已经在系统上启用了BitLocker加密,您必须先解密驱动器,然后再次进行加密,以确保BitLocker使用的是软件加密而不是硬件加密。微软的这份安全公告提供了一个命令,您可以使用该命令来检查您的系统正在使用基于硬件的加密还是基于软件的加密。
正如SwiftOnSecurity所指出的,现代CPU完全可以胜任在软件中执行加密任务,而且当BitLocker切换到软件加密时,您应该不会感觉到明显的性能下降。
如果需要,BitLocker仍然可以信任硬件加密。 默认情况下,该选项只是被禁用。 对于那些拥有他们信任的固件的驱动器的企业,在计算机配置管理模板下有一个名为“为固定数据驱动器配置基于硬件的加密的使用”的选项,该选项允许他们重新激活基于硬件的加密。对于其他用户,最好不要去碰这个设置。
很遗憾,微软和我们其他人不能信任硬盘制造商。但这是有道理的:当然,您的笔记本电脑可能是由戴尔、惠普甚至微软自己制造的。但是您是否了解您的笔记本电脑中使用的硬盘是什么品牌以及由谁制造?您是否相信该驱动器的制造商能够安全地处理加密,并在出现问题时及时发布更新?正如我们所知,您可能不应该这样做。现在,Windows也不再信任他们。