Как отключить аппаратное шифрование BitLocker на уязвимых SSD

Аппаратное шифрование, поддерживаемое твердотельными дисками производства компаний Crucial и Samsung, оказалось не столь надежным. На днях специалистами нидерландского университета Редбаунд был обнаружен ряд уязвимостей в прошивке SSD, позволяющим злоумышленникам обходить шифрование и получать доступ к данным пользователя без пароля. При включении на таком диске BitLocker последний передает свои полномочия функции аппаратного шифрования, не проверяя его надежность и отключая при этом собственное программное шифрование.


Зашифровав уязвимый диск BitLocker в Windows 10 или 8.1, вы будете считать, что данные защищены, хотя на самом деле они останутся практически открытыми. Проблема будет оставаться актуальной до тех пор, пока Crucial и Samsung не закроют дыры в прошивках своих SSD, в качестве же временного решения пользователям можно предложить принудительно отключить аппаратное шифрование и заменить его программным BitLocker. Но сначала нужно проверить, какой тип шифрования используется в системе.

Для этого в запущенной от имени администратора командной строке выполняем команду manage-bde.exe -status.

CMD

Если напротив пункта «Метод шифрования» будет указано «Аппаратное шифрование», значит данные на диске уязвимы.

С помощью BitLocker полностью расшифруйте диск, откройте от имени администратора консоль PowerShell и выполните команду отключения аппаратного шифрования Enable-BitLocker -HardwareEncryption:$False.

PowerShell

Повторно зашифруйте диск BitLocker и проверьте командой manage-bde.exe -status какой метод защиты теперь используется. Тип шифрования должен быть другой, например, XTS-AES 128.

Отключить аппаратное шифрование можно также путем применения твика реестра.

Откройте штатный редактор Regedit, перейдите в нём к ключу:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

И создайте в последнем подразделе (если его нет, создайте вручную) 32-битный DWORD-параметр с именем OSAllowedHardwareEncryptionAlgorithms.

Regedit

Значение параметра оставляем по умолчанию, то есть 0.

Regedit

Новые настройки вступят в силу после перезагрузки компьютера.

Новые настройки

Отключение аппаратного шифрования возможно и без предварительной расшифровки BitLocker, однако в таком случае старые файлы по-прежнему останутся зашифрованными на аппаратном уровне.

0

Если Вам нравятся статьи, заметки и другой интересный материал представленный на сайте Белые окошки и у вас есть непреодолимое желание поддержать этот скромный проект тогда выберите один из двух видов стратегии поддержки на специальной странице - Страница с донатом

Поделиться в соц сетях:

Подпишитесь на обновления этого блога по RSS, Email или Twitter!

Рекомендуемые публикации:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
Войти с помощью: 
Генерация пароля