BitLockerは実際に何を暗号化しますか?


34

現在のバージョンのWindows 10 Proを実行しているビジネスラップトップコンピューターには、完全なディスク暗号化が必要です。コンピューターには、SamsungのNVMe SSDドライブとIntel Core i5-8000 CPUが搭載されています。

今日のいくつかのWeb調査から、現在利用可能なオプションは2つのみです:Microsoft BitLockerとVeraCrypt。私は、オープンソースとクローズドソースの状態、およびそれに伴うセキュリティへの影響を完全に認識しています。

以前に使用したことのないBitLockerに関する情報を読んだ後、Windows 10 BitLockerからは、パフォーマンス上の理由から、ディスクに新しく書き込まれたデータのみが暗号化され、既存のものはすべて暗号化されないという印象を受けます。(その文書には選択肢があると書かれていますが、私は選択肢がありません。アクティベート後に何が欲しいのか尋ねられませんでした。)私は過去にTrueCryptシステム暗号化を使用しました。数時間。BitLockerではこのような動作を観察できません。顕著なバックグラウンドCPUまたはディスクアクティビティはありません。

BitLockerのアクティベーションは本当に簡単です。ボタンをクリックして、復旧キーを安全な場所に保存してください。VeraCryptでの同じプロセスにより、私はアイデアを放棄しました。使い捨てシステムでのテスト目的でも、実際に完全に機能する回復デバイスを作成する必要がありました。

また、VeraCryptには現在、システム暗号化によりNVMe SSDの速度極端に遅くなる設計上の欠陥があることも読んでいます。セットアップが複雑すぎるため、確認できません。少なくともBitLockerをアクティブにした後、ディスクパフォ​​ーマンスに大きな変化は見られません。また、VeraCryptチームには、その「複雑なバグ」を修正するのに十分なリソースがありません。さらに、Windows 10のアップグレードは、VeraCryptが適切な状態では動作しないため、フルディスクの頻繁なディスクの暗号化解除と暗号化が頻繁に必要になります。ここでBitLockerがうまく機能することを願っています。

だから、私はBitLockerを使用することにほぼ落ち着きました。しかし、私はそれが何をするのかを理解する必要があります。残念ながら、オンラインでの情報はほとんどありません。ほとんどは概要を提供するブログ投稿で構成されていますが、簡潔で詳細な情報はありません。だから私はここで尋ねています。

単一ドライブシステムでBitLockerをアクティブにした後、既存のデータはどうなりますか?新しいデータはどうなりますか?「BitLockerを中断する」とはどういう意味ですか?(永久に無効にしてディスク上のすべてのデータを復号化することとは異なります。)暗号化ステータスを確認したり、既存のすべてのデータの暗号化を強制するにはどうすればよいですか?(未使用の領域を意味するものではありません。SSDに必要です。TRIMを参照してください。)BitLockerについて、「サスペンド」と「復号化」以外の詳細なデータとアクションはありますか?

また、おそらく、BitLockerはEFS(暗号化されたファイルシステム)とどのように関係していますか?新しく書き込まれたファイルのみが暗号化されている場合、EFSの効果は非常に似ているようです。しかし、私はEFSの操作方法を知っています。それははるかに理解しやすいものです。

回答:


41

BitLockerをアクティブにすると、すべての既存データを暗号化するバックグラウンドプロセスが開始されます。(それはすべてのパーティションセクタを読み、書き換える必要があるとしてのHDDでは、これは伝統的に長いプロセスである-自己暗号化ディスク上では、インスタントすることができます。)それは唯一新たに書き込まれたデータが暗号化されていると言われたときにそう、それは状態を指し、直ちに BitLockerをアクティブ化した、バックグラウンド暗号化タスクが終了すると真実ではなくなります。このプロセスのステータスは、同じBitLockerコントロールパネルウィンドウで確認でき、必要に応じて一時停止できます。

Microsoftの記事は注意深く読む必要があります。実際には、ディスクの使用済み領域のみの暗号化について説明しています。彼らはこれを、ベースOS以外にまだデータを持っていない(したがって、すべてのデータが「新しく書き込まれる」)新しいシステムに最大の影響を与えると宣伝しています。つまり、Windows 10 アクティベーション後に既存のファイルをすべて暗号化します。まだ何も含まれていないディスクセクターの暗号化に時間を浪費しません。(グループポリシーを使用して、この最適化をオプトアウトできます。)

(この記事は欠点も指摘しています。以前に削除されたファイルを保持していた領域も「未使用」としてスキップされます。したがって、よく使用されるシステムを暗号化する場合BitLockerをアクティブ化する前にすべてSSDを使用します。または、グループポリシーを使用してこの動作を無効にします。)

同じ記事でも、OPAL標準を使用した自己暗号化SSDをサポートする最近のWindowsバージョンについての言及があります。したがって、バックグラウンドI / Oが表示されない理由は、SSDが初日から内部的に暗号化されたためであり、BitLockerはこれを認識し、OSレベルで暗号化作業を複製する代わりにSSDレベルのキー管理のみを引き継いだためです。つまり、SSDは電源投入時にロック解除されなくなりましたが、Windowsがロック解除する必要があります。関係なくOSが暗号化を処理することを望む場合、これはグループポリシーを介して無効にできます。

BitLockerを一時停止すると、「マスター」キーのプレーンテキストコピーがディスクに直接書き込まれます。(通常、このマスターキーは最初にパスワードまたはTPMで暗号化されます。)一時停止中、ディスクは自動的にロック解除できます。明らかに安全ではありませんが、Windows UpdateはアップグレードされたOSに合わせてTPMを再プログラムできます、 例えば。BitLockerを再開すると、このプレーンキーがディスクから消去されます。

BitLockerはEFSとは関係ありません。後者はファイルレベルで機能し、キーをWindowsユーザーアカウントに関連付けます(きめ細かな設定は可能ですが、OS自体のファイルを暗号化することはできません)。BitLockerを使用すると、ほとんどの場合 EFSが冗長になります、一緒に使用することもできます。

(BitLocker EFSの両方には、ADのBitLockerマスターキーをバックアップするか、すべてのファイルにEFS データ回復エージェントを追加するかに関わらず、企業のActive Directory管理者が暗号化データを回復するメカニズムがあります。)


素敵な概要、ありがとう。最後の文について:私は多くのユースケースを見ています-BitLockerは社外の人々に対して私のハードディスクを暗号化しますが、私のITグループはマスターキーを持っているので私の不在ですべてのデータにアクセスできます。EFSは、IT部門やマネージャーにアクセスさたくないドキュメントに適しています。
アガンジュ

6
@Aganju:同じITグループは、おそらく既にEFSデータ回復エージェントを指定するポリシーを展開しています。IT部門にアクセスさせたくないドキュメントがある場合は、会社のデバイスに保存しないでください。
-grawity

2
「Bitlocker(...)は既存のすべてのデータを暗号化します(...)ディスク全体のレベルで動作します」->パーティションについて言及するのを忘れました。2つのパーティションを持つHDDでは、Bitlockerをアクティブにして、そのうちの1つ(OSではなくデータを含む)のみを暗号化しました。LinuxベースのOSで起動する場合、暗号化されていないパーティションのデータのみを読み取ることができます。
CPHPython

@CPHPython:確かに、これはおそらく矛盾するところです-ソフトウェアモードではパーティションのみを暗号化できますが、SSD(OPAL2)モードではその機能が存在するかどうかわかりません。私はそれが全体のドライブをロックだと思うと「PBA」を(これまで私は、OPALを理解するために管理としてのような)の前に、ロックを解除します任意の OSが実行されます。
-grawity
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.