windows 10 – BitLockerは実際に何をいつ暗号化するのか?

bitlocker encryption ssd windows-10

Windows 10 Proの最新バージョンを実行しているビジネスラップトップコンピュータのために、完全なディスク暗号化が必要です。コンピュータにはサムスン製のNVMe SSDドライブとインテル Core i5-8000 CPUが搭載されています

今日のいくつかのウェブ調査では、現在のところ2つの選択肢しかありません。Microsoft BitLockerとVeraCryptです。私は、オープンソースとクローズドソースの状態と、それに伴うセキュリティ上の意味合いを十分に認識しています

今まで使ったことのないBitLockerに関する情報をいくつか読んだ後、Windows 10 BitLockerは、ディスク上に新しく書き込まれたデータを暗号化するだけで、パフォーマンス上の理由から、すでに存在するすべてのデータを暗号化するわけではありません(ドキュメントには選択肢があると書かれていますが、私はありません。彼らはそれを有効にした後、私が何をしたいのかを聞いてくれませんでした)。私は過去にTrueCryptシステムの暗号化を使用したことがあり、既存のデータの暗号化は数時間かかる目に見えるタスクであることを知っています。BitLockerではそのような挙動は観察できません。目立ったバックグラウンドのCPUやディスクの活動はありません

BitLockerのアクティベーションは本当に簡単です。ボタンをクリックして、リカバリーキーを安全な場所に保存して、完了です。VeraCryptと同じプロセスを経て、私はそのアイデアを放棄しました。投げっぱなしのシステムでテスト目的でも、実際に完全に動作するリカバリ デバイスを作成する必要がありました

また、VeraCryptには現在、設計上の欠陥があり、システム暗号化で一部のNVMe SSDが極端に遅くなると読んだことがあります。設定が複雑すぎて検証できない。少なくとも BitLocker を有効にした後では、ディスク パフォーマンスに大きな変化は見られません。また、VeraCryptチームには、その「複雑なバグ」を修正するためのリソースが不足しています。さらに、Windows 10 のアップグレードは VeraCrypt をインストールした状態では動作しませんBitLockerがここでうまく機能することを願っています

ということで、BitLockerを使うことにほぼ落ち着きました。しかし、何をするのかを理解する必要があります。残念ながら、オンラインにはほとんど情報がありません。ほとんどが概要を説明するブログ記事で構成されていますが、簡潔で詳細な情報はありません。そこで私はここで質問しています

シングルドライブシステムでBitLockerを有効にした後、既存のデータはどうなりますか?新しいデータはどうなりますか?BitLockerを一時停止する」とはどういう意味ですか? (恒久的に無効化してディスク上のすべてのデータを復号化することとは同じではありません)。暗号化の状態を確認したり、既存のすべてのデータを強制的に暗号化するにはどうすればいいですか?(未使用領域という意味ではありません。私は気にしませんし、SSDには必要です、TRIMを参照してください)。BitLockerについては、「サスペンド」と「デクリプト」以外にもっと詳しいデータやアクションがあるのでしょうか?

あと余談かもしれませんが、BitLockerはEFS(暗号化ファイルシステム)とどう関係しているのでしょうか?新しく書き込まれたファイルだけが暗号化されているのであれば、EFSも似たような効果があるように思います。でも、EFSの操作方法は知っているので、そちらの方がわかりやすいですね

  36  ygoe  2018-09-15


ベストアンサー

BitLockerを有効にすると、既存のすべてのデータを暗号化するバックグラウンドプロセスが開始されます。(HDDでは、すべてのパーティション セクターを読み込んで書き換える必要があるため、従来はこのプロセスに長い時間がかかりましたが、自己暗号化ディスクでは瞬時に完了します)。そのため、新しく書き込まれたデータだけが暗号化されると言われている場合、それはBitLockerの起動直後の状態を指しており、バックグラウンド暗号化タスクが終了した後は、もはや真実ではありません。このプロセスの状態は、同じBitLockerコントロールパネルのウィンドウで確認でき、必要に応じて一時停止することができます

マイクロソフトの記事は注意して読む必要があります:それは実際にディスクの使用されている領域だけを暗号化することについて話しています。彼らは単に、ベースOS以外にデータを持っていない(したがって、すべてのデータは「新しく書き込まれる」)フレッシュなシステムに最も大きな影響を与えると宣伝しているだけです。つまり、Windows 10はアクティベーション後に既存のファイルをすべて暗号化します。(グループ ポリシーでこの最適化をオプトアウトすることができます)

(この記事には欠点も指摘されています。以前に削除されたファイルを保持していた領域も「未使用」としてスキップされます。そのため、よく使用されているシステムを暗号化する場合は、ツールを使用してフリースペースのワイプを行い、SSDを使用している場合は、BitLockerを有効にする前にWindowsにTRIMを実行させてください。または、グループ ポリシーを使用してこの動作を無効にすることもできます)

同じ記事でも、最近のWindowsのバージョンではOPAL規格を使用した自己暗号化SSDをサポートしているという言及があります。つまり、バックグラウンド I/O が表示されないのは、SSD が最初から内部的に暗号化されており、BitLocker がこれを認識し、OS レベルでの暗号化作業を重複して行う代わりに、SSD レベルのキー管理だけを引き継いだからかもしれません。つまり、SSD は電源投入時にロックを解除するのではなく、Windows にロックを解除するように要求しています。これはグループポリシーで無効にすることができますが、OS が暗号化を処理することを希望する場合は、それに関係なく無効にすることができます

BitLocker を一時停止すると、「マスター」キーのプレーンテキストコピーが直接ディスクに書き込まれます。(通常、このマスターキーは最初にパスワードまたはTPMで暗号化されます)。これは明らかに安全ではない状態ですが、Windows UpdateでTPMを再プログラムしてアップグレードされたOSなどと一致させることができます。BitLockerを再開すると、このプレーンキーがディスクから消去されます

BitLockerはEFSとは関係ありません。後者はファイルレベルで動作し、キーをWindowsユーザーアカウントに関連付けます(細かい設定は可能ですが、OS自身のファイルを暗号化することはできません)。BitLockerは主にEFSを冗長にしていますが、これらは一緒に使用することができます

(BitLockerとEFSの両方には、企業のActive Directory管理者が暗号化されたデータを回復するためのメカニズムがあることに注意してください – ADでBitLockerマスターキーをバックアップするか、またはすべてのファイルにEFS データ回復エージェントを追加するかどうかにかかわらず。)

44  user1686  2018-09-15


タイトルとURLをコピーしました