有些固态硬盘声称支持“硬件加密”。如果在Windows上启用了BitLocker,微软会信任你的SSD,什么都不做。但研究人员发现,许多固态硬盘工作不佳。
这意味着BitLocker不提供安全加密。
很多固态硬盘无法正确实现加密。
即使您在系统上启用了BitLocker加密,Win10实际上也可能不会加密您的数据。相反,Win10可能会依赖你的SSD来执行这个操作,你的SSD加密可能很容易被破解。
这是Radbound大学研究人员发表的一篇新论文的结论。他们对许多固态硬盘的固件进行了逆向工程,发现许多固态硬盘中的“硬件加密”存在各种问题。
研究人员已经测试了Crucial和三星的驱动程序,但如果其他制造商遇到重大问题,我们永远不会感到惊讶。即使你没有这些特定的驱动,你也应该担心。
例如,关键的MX300默认包含一个空的主密码。是的,这是正确的——它将主密码设置为空,空密码可以访问加密文件的加密密钥。这太疯狂了。
BitLocker信任SSD,但是SSD没有做好自己的工作。
这通常并不重要——毕竟谁会在SSD上使用硬件加密?Windows用户将切换到BitLocker。BitLocker在将文件存储到SSD之前会对文件进行加密,对吗?
错误。如果您的计算机有一个可以处理硬件加密的固态驱动器,BitLocker就什么也不做。BitLocker只信任SSD加密你的文件,放弃一切责任。正如研究人员发现的那样,
SSD制造商在正确实施加密方面遇到了一些严重的问题。
即使你选择使用BitLocker加密笔记本电脑的硬盘,你现在也依赖于任何一家在笔记本电脑中制造SSD的公司。
你相信笔记本电脑里的驱动厂商做的好吗?你知道你笔记本电脑的内置固态硬盘是哪家公司生产的吗?您的笔记本电脑制造商在选择硬盘供应商之前是否考虑过这一点?
正如微软的文档中所述,Windows 7上的BitLocker不支持“将加密卸载到加密的硬盘”。换句话说,这是Win10中的新功能,所以Windows 7系统不会出现同样的问题。
如何让BitLocker使用软件加密
如果您在SSD上使用BitLocker加密,您可以告诉BitLocker避免使用基于硬件的加密,而使用基于软件的加密。但是这需要组策略。组策略仅适用于Win10 Professional。
但标准版的BitLocker也是如此。
在单台PC上,按Windows R打开本地组策略编辑器,在运行对话框中键入“gpedit.msc ”,然后按Enter。
转到以下位置:
双击右窗格中的“为固定数据驱动器配置基于硬件的加密”选项。
选择禁用选项,然后单击确定。
BitLocker为什么信任固态硬盘?
可用时,基于硬件的加密可能比基于软件的加密更快。 因此,如果SSD具有基于硬件的可靠加密技术,那么依靠该SSD可以提高性能。
不幸的是,似乎许多SSD制造商无法信任正确实施这一点。 如果您需要加密,最好使用BitLocker基于软件的加密,这样您就不必信任SSD的安全性。
在完美的世界中,硬件加速加密肯定更好。 这就是为什么Apple在其新Mac上安装了T2安全芯片的原因之一。 T2芯片使用硬件加速的加密引擎来快速加密和解密存储在Mac内部SSD上的数据。
但是你的Windows PC不使用这样的技术- 它有一个制造商的SSD,可能没有花太多时间考虑安全性。 这不好。
