Veliki broj SSD diskova na tržištu tvrdi da podržava hardversko šifrovanje, i da ih BitLocker pouzdano koristi. Međutim, kako se pokazalo prošle godine, ovi diskovi često ne šifruju vaše podatke na siguran način. Kao odgovor na to, Microsoft je nedavno izmenio Windows 10, tako da više ne veruje ovim sumnjivim SSD-ovima i sada je podrazumevano uključeno softversko šifrovanje.
U suštini, SSD uređaji i slični diskovi često se reklamiraju kao „sam šifrirajući“. Kada je ova funkcija aktivna, BitLocker bi preskočio proces šifrovanja, čak i ako ste ga vi ručno uključili. Teoretski, ovo je imalo prednosti: sam disk je mogao da obavi proces šifrovanja na nivou firmvera, što je trebalo da ubrza proces, smanji opterećenje procesora i potencijalno uštedi energiju. Ipak, u praksi se ispostavilo da mnogi diskovi imaju slabosti kao što su prazne glavne lozinke i druge ozbiljne sigurnosne propuste. Zaključak je bio da se ne može pouzdati u potrošačke SSD-ove kada je reč o šifrovanju.
Microsoft je sada promenio pristup. BitLocker će po novom podrazumevano ignorisati diskove koji tvrde da sami obavljaju šifrovanje i umesto toga će koristiti softversko šifrovanje. Čak i ako imate disk koji navodno podržava šifrovanje, BitLocker više neće imati poverenja u njega.
Ova promena je uvedena kroz Windows 10 ažuriranje KB4516071, objavljeno 24. septembra 2019. SwiftOnSecurity je primetio ovu promenu na Tviteru:
Microsoft je odlučio da ne veruje više proizvođačima SSD-a: Windows više ne koristi diskove koji tvrde da mogu sami da šifriraju. Umesto toga, BitLocker će sada po default-u koristiti AES šifrovanje uz pomoć procesora. Razlog su brojni problemi sa šifrovanjem na nivou firmvera.
https://t.co/6B357jzv46
pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) 27. septembra 2019. godine
Postojeći sistemi koji koriste BitLocker neće automatski preći na novi način šifrovanja. Oni će nastaviti da koriste hardversko šifrovanje ako su tako i prvobitno podešeni. Ako već koristite BitLocker šifrovanje, morate dešifrovati disk i zatim ga ponovo šifrovati kako biste bili sigurni da BitLocker koristi softversko umesto hardverskog šifrovanja. Ovaj Microsoft bezbednosni bilten sadrži komandu koju možete iskoristiti da proverite da li vaš sistem koristi hardversko ili softversko šifrovanje.
Kao što je SwiftOnSecurity naglasio, savremeni procesori su sasvim sposobni da obave ovaj posao u softveru i ne bi trebalo da primetite značajno usporavanje kada BitLocker pređe na softversko šifrovanje.
Ako ipak želite da koristite hardversko šifrovanje, BitLocker ga i dalje podržava, ali je ova opcija sada podrazumevano isključena. Za preduzeća koja imaju diskove sa firmverom u koji veruju, opcija „Konfigurišite korišćenje šifrovanja zasnovanog na hardveru za fiksne disk jedinice podataka“ u okviru Konfiguracija računara/Administrativni predlošci/Windows Komponente/BitLocker Šifrovanje disk jedinice/Fiksni diskovi podataka u okviru grupnih smernica omogućava ponovno aktiviranje hardverskog šifrovanja. Svi ostali bi trebali da ostave ovu opciju isključenom.
Šteta je što Microsoft, kao i mi, ne možemo više da verujemo proizvođačima diskova. Ipak, ovo ima smisla: Vaš laptop možda je proizveo Dell, HP ili čak i sam Microsoft. Ali da li znate koji disk je u tom laptopu i ko ga je proizveo? Da li ste sigurni da će proizvođač tog diska bezbedno upravljati šifrovanjem i izdati ažuriranja kada se otkrije problem? Kao što smo saznali, to nije slučaj. Sada ni Windows više ne veruje tim diskovima.