Search
Среда 26 июня 2019
  • :
  • :

Как отключить аппаратное шифрование BitLocker на уязвимых SSD

Аппаратное шифрование, поддерживаемое твердотельными дисками производства компаний Crucial и Samsung, оказалось не столь надежным. На днях специалистами нидерландского университета Редбаунд был обнаружен ряд уязвимостей в прошивке SSD, позволяющим злоумышленникам обходить шифрование и получать доступ к данным пользователя без пароля. При включении на таком диске BitLocker последний передает свои полномочия функции аппаратного шифрования, не проверяя его надежность и отключая при этом собственное программное шифрование.


Зашифровав уязвимый диск BitLocker в Windows 10 или 8.1, вы будете считать, что данные защищены, хотя на самом деле они останутся практически открытыми. Проблема будет оставаться актуальной до тех пор, пока Crucial и Samsung не закроют дыры в прошивках своих SSD, в качестве же временного решения пользователям можно предложить принудительно отключить аппаратное шифрование и заменить его программным BitLocker. Но сначала нужно проверить, какой тип шифрования используется в системе.

Для этого в запущенной от имени администратора командной строке выполняем команду manage-bde.exe -status.

CMD

Если напротив пункта «Метод шифрования» будет указано «Аппаратное шифрование», значит данные на диске уязвимы.

С помощью BitLocker полностью расшифруйте диск, откройте от имени администратора консоль PowerShell и выполните команду отключения аппаратного шифрования Enable-BitLocker -HardwareEncryption:$False.

PowerShell

Повторно зашифруйте диск BitLocker и проверьте командой manage-bde.exe -status какой метод защиты теперь используется. Тип шифрования должен быть другой, например, XTS-AES 128.

Отключить аппаратное шифрование можно также путем применения твика реестра.

Откройте штатный редактор Regedit, перейдите в нём к ключу:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftFVE

И создайте в последнем подразделе (если его нет, создайте вручную) 32-битный DWORD-параметр с именем OSAllowedHardwareEncryptionAlgorithms.

Regedit

Значение параметра оставляем по умолчанию, то есть 0.

Regedit

Новые настройки вступят в силу после перезагрузки компьютера.

Новые настройки

Отключение аппаратного шифрования возможно и без предварительной расшифровки BitLocker, однако в таком случае старые файлы по-прежнему останутся зашифрованными на аппаратном уровне.