パスワードを忘れた? アカウント作成
14016692 story
Windows

Microsoft、暗号化機能付きのSSDもBitLockerの対象に 23

ストーリー by hylom
Windowsとハードウェア、どっちを信じるか 部門より

Anonymous Coward曰く、

Windowsには、BitLockerという名称の暗号化ツールが付属している。BitLockerはこれまで、ハードウェアベースの暗号化機能を持つというSSD製品に関しては、信頼して暗号化の対象にはしなかった。しかし、9月24日にリリースされたWindows 10「KB4516071」の更新でこの方針が変更された。すべてのSSDは暗号化していない前提であると仮定、デフォルトでBitLockerの適用対象にするようになった。

これに対し、セキュリティ情報を提供しているSwiftOnSecurityは「MicrosoftはSSDメーカーを信頼しなくなった」と説明、こうした方針変更はSSDの暗号化機能に脆弱性があることが昨年11月に発覚したことが原因としている。この脆弱性では、パスワードや秘密鍵を知らなくても暗号化されたストレージの内容を復号できたという研究が発表されている(TomsHardwareTechRadarSlashdot)。

  • by Anonymous Coward on 2019年10月03日 14時19分 (#3695666)

    少なくともホームフォルダは、デフォルトで暗号化ONにしておいてほしいものだ。
    某所に置き忘れて、数日後に回収するまで(幸い、誰も気づかなかった)、中に埋めてあるパスワードをあちこち変えまくった思い出はもうたくさん。

    ここに返信
    • by Anonymous Coward

      少なくともモバイルPCは、デフォルトで置き忘れしないでほしいものだ。
      暗号化ONにされてて、数日後に完了するまで、暗号化の解除処理し続けた思い出はもうたくさん。

      • by Anonymous Coward

        BIOSパスワード(ただ起動しないだけ)と暗号化(起動するけど読めない)を混同しとらんか

      • by Anonymous Coward

        今日、
        SSD 240GB(使っている領域80GB)のノートパソコンのBitLocker有効をやりまくった
        けど、普通1時間も有れば終わる。ただし(Get-BitLockerVolumeで)99%のまま、
        さらに2時間かかったPCも有れば、数秒で100%になったPCもあった。

        なにが言いたいかというと、なにはとまれSSDは早い!

        • by Anonymous Coward

          空き容量によっても違ってきますね。

    • by Anonymous Coward

      Win 8 以降のメーカー製モバイルPCは概ねデフォルトでデバイス暗号化がONになっていますよ
      富士通Q&A - [Windows 10] デバイスの暗号化をオフ(無効)にする方法を教えてください。 [fmworld.net]

      • by Anonymous Coward

        正確には、出荷時は暗号化されておらず、初回起動時のOSセットアップ時に暗号化されるらしい。
        ただしこの時点では暗号化はONになっているが、保護はされていない状態。
        サインインアカウントをMicrosoftアカウントやActiveDirectoryにすると、回復キーがアカウント内に保存され、BitLockerが有効化される。
        この場合、ユーザーには何も通知が行われないため、暗号化されていても気がついていないユーザーは多い。
        何故このような仕様になっているかというと、Windowsハードウェア互換性プログラムの必須要件になっているため。2018年8月以降必須となった。
        富士通は2017年からこの要件に準拠しているとのこと。

        (何もしていないのに)起動時にBitLocker回復キーを要求され起動できなくなるなどトラブルが発生している。
        また、メーカー修理時にも発生し、OS初期化必須となることがある。

    • by Anonymous Coward

      普通社用PCならそういうソフトがマストで入っているんじゃないかな
      MS純正のソフトに頼らずとも。

      • by Anonymous Coward

        昔は DELLやHPのPC買うかリースすると 3rdパーティの怪しい暗号化ソフトが多かったけど、最近はだいたい BitLockerだよ。
        性能いいし、昔みたいな怪しい暗号化ソフトと違って問題起こしたって話も聞かないしね。

  • より安全になるのは賛成するんだけど
    USBブートタイプのウイルス対策ソフトが使えないのはどうにか改良できるといいなと思います。
    そのうちエクスポートしたキーを読み込む機能が実装されそうな気はしますが。

    ここに返信
    • by Anonymous Coward

      アンチウィルスベンダーにWindows PEベースにしてBitLockerに対応してくれって要望投げてみては。

      • by Anonymous Coward

        USBブートタイプのウイルス対策ソフトが何なのかわからないけど
        Linuxベースなら dislocker でマウントできるけどな。

        今はやってないけど、Win - Linux間で普通に運用できてたよ。

    • by Anonymous Coward

      もしかして: manage-bde.exe

      TPM込みの保護にしていた場合は、TPM不要の外部キーの追加が必要かもです。
      保護力は低下しますが、ストレージが生きてればサルベージはできるようになります。

    • by Anonymous Coward

      USBブートタイプの「ウイルス」を正しく排除できてるじゃん。
      何度でも言うがWindows Defender以外の自称ウイルス対策ソフトはもはや害しかない

      • by Anonymous Coward

        直接お客様に言ってくださいよ。。

  • by Anonymous Coward on 2019年10月03日 17時50分 (#3695795)

    コントローラのSoCにフラッシュ領域が無いはすが無いのに、なんでわざわざフットプリントもでかくてコストもかかるSPI Flashなんかに鍵入れてんだろ。容易に抜き出せてほしい要件でもあったんだろうか。

    ここに返信
    • by Anonymous Coward

      HDDとかだとプラッタやヘッドの個体差に関わる補正値をEEPROM辺りに突っ切んでたと思うけど、
      その延長かね?

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...