2019-09-30
【Windows 10 KB4516071 累積更新小細節!!】
將 SSD 默認加密改為 BitLocker 軟件加密
文: Cherry Kwok / 新聞中心
文章索引: IT要聞 Microsoft

不少的消費類 SSD 都具備加密功能,不過在去年有安全研究人員發現只需 100 美元的工具,重新刷新驅動器固件就可以輕鬆繞過 SSD 硬碟的硬體加密。事實證明,Microsoft 相信 SSD 可以自我加密以確保安全,但是其中許多驅動器所用加密系統中的漏洞可被黑客用於輕鬆解密數據,這導致將驅動器的內容暴露給了黑客。近日據外媒報導,Microsoft 在 9 月 24 日發佈的 Windows 10 的 KB4516071 累積更新中已默認切換到軟件加密,即使 SSD 聲稱提供硬件加密也一樣。

去年,Microsoft 發佈了有關 SSD 新漏洞的安全公告,該漏洞會影響 SSD 上基於硬件的加密。該漏洞是由荷蘭拉德堡德大學的荷蘭安全研究人員 Carlo Meijer 和 Bernard von Gastel 首次發現的,他們發表了一篇題為“自我加密欺騙:SSD 中的加密缺陷”的論文,提及到數款市售的 SSD 可能導致任何可存取硬碟的有心人士不用密碼,即可存取其中的資料,而如果使用 Windows BitLocker 的話,將使資料曝險程度升高。

 

BitLocker

 

Microsoft 在 KB4516071 累積更新中提到:“變更 BitLocker 用於加密自我加密硬碟的預設設定。現在,預設為針對新加密的磁碟機使用軟體加密。 對於現有的磁碟機,加密類型不會變更。”

 

更改之後,在默認情況下 BitLocker 將忽略聲稱具備自我加密功能的驅動器,並在軟件中執行加密工作,即使用家使用聲稱支援加密的驅動器,BitLocker 亦不會相信。

 

BitLocker

BitLocker

 

其實,目前不少的 SSD 廠商在宣傳時都會聲稱自家的 SSD 產品支援硬件加密,Microsoft 的 BitLocker 一開始也很信任 SSD 廠商的話,即使用戶在 Windows 中啟用了 BitLocker,它也不會採取任何操作。但後來研究人員發現,許多 SSD 的“硬件加密”都做得很糟糕,存在各種安全問題。所以 Microsoft 現在 Windows 10 更新中改變了原來的策略,現在默認情況下,BitLocker 將忽略那些具有硬件自加密功能的 SSD 驅動器,而是在軟件中執行加密工作,這說明 Microsoft 已經不信任 SSD 廠商號稱的自我加密功能了。

 

不過,基於硬件的加密本身是比基於軟件加密的方法有優勢的,它可以減少 CPU 的使用率,SSD 也能夠提高性能,這就是 Apple 為何會在其新 Mac 電腦中普及 T2 安全晶片的原因之一,T2 晶片使用硬件加速的加密引擎來快速加密和解密 SSD 上儲存的數據,既安全又高效,但可惜的是,在 Windows 平台上,許多 SSD 製造商似乎並不能很好地做好硬件加密,而 Microsoft 也無法很好地進行管理。

 

BitLocker

BitLocker

發表評論