Många SSD-enheter för konsumentbruk marknadsför sig med stöd för kryptering, och BitLocker har tidigare förlitat sig på detta. Men det har visat sig att dessa enheter ofta inte krypterade filer på ett säkert sätt. Därför har Microsoft nu justerat Windows 10 för att sluta förlita sig på dessa tvivelaktiga SSD:er och istället använda mjukvarukryptering som standard.
Tidigare har SSD-enheter och andra lagringsenheter kunnat påstå att de var ”självkrypterande”. Om så var fallet utförde inte BitLocker någon egen kryptering, även om du aktiverade BitLocker manuellt. Tanken var god: enheten skulle hantera krypteringen på firmwarenivå, vilket skulle snabba upp processen, minska processorbelastningen och potentiellt spara ström. Men i praktiken var situationen dålig: Många enheter hade svaga standardlösenord och andra allvarliga säkerhetsbrister. Vi har lärt oss att vi inte kan lita på att konsument-SSD implementerar kryptering på ett tillförlitligt sätt.
Microsoft har nu gjort en förändring. Som standard ignorerar BitLocker enheter som påstår sig vara självkrypterande och utför istället krypteringsarbetet i mjukvara. Även om din enhet påstår sig stödja kryptering kommer BitLocker inte att förlita sig på detta.
Den här förändringen implementerades i Windows 10-uppdateringen KB4516071, som släpptes den 24 september 2019. Detta upptäcktes av SwiftOnSecurity på Twitter:
Microsoft is giving up on SSD manufacturers: Windows will no longer trust devices that say they can encrypt themselves, BitLocker will by default use CPU-accelerated AES encryption instead. This is after an exposé on widespread problems with firmware-driven encryption.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) 27 september 2019
Existerande system med BitLocker kommer inte att migreras automatiskt utan kommer att fortsätta använda hårdvarukryptering om de initialt konfigurerades på det sättet. Om du redan har BitLocker aktiverat på ditt system behöver du dekryptera enheten och sedan kryptera den igen för att säkerställa att BitLocker använder mjukvarukryptering istället för hårdvarukryptering. Denna säkerhetsbulletin från Microsoft innehåller ett kommando du kan använda för att kontrollera om ditt system använder hårdvaru- eller mjukvarubaserad kryptering.
Som SwiftOnSecurity påpekar kan moderna processorer hantera krypteringen i mjukvara, och du bör inte uppleva någon märkbar prestandaförsämring när BitLocker övergår till mjukvarubaserad kryptering.
BitLocker kan fortfarande använda hårdvarukryptering om du vill. Det här alternativet är bara inaktiverat som standard. För företag som har enheter med tillförlitlig firmware finns alternativet ”Konfigurera användning av hårdvarubaserad kryptering för fasta dataenheter” under Datorkonfiguration/Administrativa mallar/Windows-komponenter/BitLocker Drive Encryption/Fasta dataenheter i Gruppolicy. Där kan de återaktivera användningen av hårdvarukryptering. Alla andra bör lämna det som det är.
Det är beklagligt att Microsoft och vi andra inte kan lita på enhetstillverkare. Men det är förståeligt: Visst, din bärbara dator kan vara tillverkad av Dell, HP eller till och med Microsoft själva. Men vet du vilken enhet som finns i den och vem som tillverkade den? Litar du på att enhetstillverkaren hanterar kryptering på ett säkert sätt och skickar ut uppdateringar om det uppstår ett problem? Sannolikt inte, och nu gör inte Windows det heller.