¿Cómo verifica si un disco duro fue encriptado con software o hardware al usar BitLocker?

25

Debido a los recientes hallazgos de seguridad en que probablemente la mayoría de los SSD implementan el cifrado de una manera completamente ingenua y rota, quiero verificar cuáles de mis máquinas BitLocker están usando cifrado de hardware y cuáles están usando software.

Encontré una forma de deshabilitar el uso del cifrado de hardware, pero no puedo averiguar cómo verificar si estoy usando el cifrado de hardware (en cuyo caso, tendré que volver a cifrar la unidad). ¿Cómo hago ti?

Soy consciente de manage-bde.exe -statusque me da una salida como:

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

pero no sé si la información que quiero está en esta pantalla.

pupeno
fuente
¿Tiene una referencia para el reclamo sobre debilidades en las implementaciones de cifrado de hardware? Suena como una buena lectura.
Nat
3
@Nat: Vea este aviso para más detalles. Por cierto, también resuelve el problema de OP.
Kevin
3
@Nat: Creo que esta es la fuente de la información: ru.nl/english/news-agenda/news/vm/icis/cyber-security/2018/…
pupeno

Respuestas:

26

Existe un artículo bastante nuevo sobre MSRC, que explica parcialmente el problema y cómo resolverlo. Gracias @Kevin

Microsoft conoce los informes de vulnerabilidades en el cifrado de hardware de ciertas unidades de autocifrado (SED). Los clientes preocupados por este problema deberían considerar el uso del software de cifrado proporcionado por BitLocker Drive Encryption ™. En las computadoras con Windows con unidades de autocifrado, BitLocker Drive Encryption ™ administra el cifrado y utilizará el cifrado de hardware de forma predeterminada. Los administradores que desean forzar el cifrado de software en computadoras con unidades de autocifrado pueden lograr esto mediante la implementación de una Política de grupo para anular el comportamiento predeterminado. Windows consultará la Política de grupo para aplicar el cifrado de software solo al momento de habilitar BitLocker.

Para verificar el tipo de cifrado de unidad que se utiliza (hardware o software):

  1. Ejecutar manage-bde.exe -statusdesde el símbolo del sistema elevado.

  2. Si ninguna de las unidades enumeradas informa "Cifrado de hardware" para el campo Método de cifrado, entonces este dispositivo está utilizando el cifrado de software y no se ve afectado por las vulnerabilidades asociadas con el cifrado de unidades de autocifrado.


manage-bde.exe -status debería mostrarle si se usa cifrado de hardware.

No tengo un cajero automático con unidad cifrada HW, así que aquí hay un enlace de referencia y la imagen que contiene:

La interfaz de usuario de BitLocker en el Panel de control no le dice si se utiliza el cifrado de hardware, pero la herramienta de línea de comandos manage-bde.exe sí lo hace cuando se invoca con el estado del parámetro. Puede ver que el cifrado de hardware está habilitado para D: (Samsung SSD 850 Pro) pero no para C: (Samsung SSD 840 Pro sin soporte para cifrado de hardware):

Bitlocker-Status

Lenniey
fuente