アカウント名:
パスワード:
こういうのはbitlockerでシステムドライブを暗号化していれば大丈夫?教えて偉い人
BitlockerはTPMと連携し、システムの構成変更も検知できるなどOS起動前から高いレベルの保護を行えます。Bitlockerを使用しているノートPCにUSBのDVDドライブを接続し、うっかりそのまま再起動したら構成が違う! と怒られたことがあります。BIOSの更新もシステム構成の変更に当たるので、BitLocker を一時的に無効にする必要があります(暗号化の解除ではありません)。
参考https://technet.microsoft.com/ja-jp/library/cc732774.aspx [microsoft.com]http://windows.microsoft.com/ja-JP/windows-vista/Update-the-BIOS-for-B... [microsoft.com]
Bitlockerを調べていたときにHP社の資料を見つけました。HP社は自社製品とBitlockerの比較で、システム変更時に操作が必要なのはBitlockerの欠点であるように書いていますが、システムの構成変更も検知する仕様でメリットなのです。むしろ、HP社の製品はシステム構成を変更する攻撃(OS起動前の処理の乗っ取りなど)に弱いともいえます。http://h50146.www5.hp.com/promotions/ad/pc/DriveEncryption/ [hp.com]
さらには、「BIOSアップデートにはBitLockerを解除する必要あり」とありますが、間違ってますね。必要なのは無効化であって、解除ではありません。無効化ではディスクは暗号化は解除されません。http://windows.microsoft.com/ja-jp/windows-vista/what-is-the-differenc... [microsoft.com]
(おまけ)上記の文章を書きながら、さらにいろいろ調べていたらTPMのロックを解除できるという業者のサイトを見つけました。TPMそのものの解析はできないが、衝突するパスワードは見つけることができる? という主張のようですが、それならそれでシステム全体としてみた場合の穴があるわけで、いまだにそんなものが放置されていることがあるのでしょうかねぇ。なんか怪しい…http://www.ogatama.com/dsp/diary.cgi?date=20100709 [ogatama.com]
サーバー機だとTPMがオプションモジュールになっているケースもしばしばあるけど、TPMモジュールとHDDをセットで別のサーバに移植したら同一構成と認めてもらえるのだろうか?
そういった機種の場合マザーボード-TPMモジュール間にペアリング認証機構が備わっているのでは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
こういうのは (スコア:0)
こういうのはbitlockerでシステムドライブを暗号化していれば大丈夫?
教えて偉い人
Re:こういうのは (スコア:0)
BitlockerはTPMと連携し、システムの構成変更も検知できるなどOS起動前から高いレベルの保護を行えます。
Bitlockerを使用しているノートPCにUSBのDVDドライブを接続し、うっかりそのまま再起動したら構成が違う! と怒られたことがあります。
BIOSの更新もシステム構成の変更に当たるので、BitLocker を一時的に無効にする必要があります(暗号化の解除ではありません)。
参考
https://technet.microsoft.com/ja-jp/library/cc732774.aspx [microsoft.com]
http://windows.microsoft.com/ja-JP/windows-vista/Update-the-BIOS-for-B... [microsoft.com]
Bitlockerを調べていたときにHP社の資料を見つけました。
HP社は自社製品とBitlockerの比較で、システム変更時に操作が必要なのはBitlockerの欠点であるように書いていますが、システムの構成変更も検知する仕様でメリットなのです。
むしろ、HP社の製品はシステム構成を変更する攻撃(OS起動前の処理の乗っ取りなど)に弱いともいえます。
http://h50146.www5.hp.com/promotions/ad/pc/DriveEncryption/ [hp.com]
さらには、「BIOSアップデートにはBitLockerを解除する必要あり」とありますが、間違ってますね。
必要なのは無効化であって、解除ではありません。
無効化ではディスクは暗号化は解除されません。
http://windows.microsoft.com/ja-jp/windows-vista/what-is-the-differenc... [microsoft.com]
(おまけ)
上記の文章を書きながら、さらにいろいろ調べていたらTPMのロックを解除できるという業者のサイトを見つけました。
TPMそのものの解析はできないが、衝突するパスワードは見つけることができる? という主張のようですが、それならそれでシステム全体としてみた場合の穴があるわけで、いまだにそんなものが放置されていることがあるのでしょうかねぇ。
なんか怪しい…
http://www.ogatama.com/dsp/diary.cgi?date=20100709 [ogatama.com]
Re: (スコア:0)
サーバー機だとTPMがオプションモジュールになっているケースもしばしばあるけど、TPMモジュールとHDDをセットで別のサーバに移植したら同一構成と認めてもらえるのだろうか?
Re: (スコア:0)
そういった機種の場合マザーボード-TPMモジュール間にペアリング認証機構が
備わっているのでは?