一些SSD声称支持“硬件加密”。如果您在Windows 上启用BitLocker,Microsoft 会信任您的SSD 并且不会执行任何操作。但研究人员发现,许多SSD 工作效果不佳,这意味着BitLocker 不提供安全加密。
许多SSD 没有正确实现加密
即使您在系统上启用BitLocker 加密,Windows 10 也可能不会真正加密您的数据。相反,Windows 10 可能依赖您的SSD 来执行此操作,并且您的SSD 加密可能很容易遭到破坏。
这是拉邦德大学研究人员发表的一篇新论文的结论。他们对许多SSD的固件进行了逆向工程,发现许多SSD的“硬件加密”存在各种问题。
研究人员测试了Crucial 和Samsung 的硬盘,但如果其他制造商遇到重大问题,我们绝对不会感到惊讶。即使您没有任何这些特定驱动器,您也应该担心。
例如,Crucial MX300 默认情况下包含空白主密码。是的,这是正确的- 它将主密码设置为空,并且该空密码可以访问加密文件的加密密钥。太疯狂了。
BitLocker 信任固态硬盘,但SSD 并没有发挥其作用
这通常并不重要- 毕竟谁在SSD 上使用硬件加密? Windows 用户将改用BitLocker。 BitLocker 在将文件存储到SSD 之前会对文件进行加密,对吗?
错误。如果您的计算机具有可以处理硬件加密的固态驱动器,则BitLocker 根本不会执行任何操作。 BitLocker 仅信任SSD 来加密您的文件,放弃所有责任。而且,研究人员发现,SSD 制造商在正确实施加密方面存在一些严重问题。
即使您选择使用BitLocker 来加密笔记本电脑的硬盘驱动器,您现在也依赖于为您的笔记本电脑制造SSD 的公司。您相信笔记本电脑驱动器的制造商能做得很好吗?您知道您笔记本电脑的内置SSD 是哪家公司生产的吗?您的笔记本电脑制造商在选择硬盘供应商之前是否考虑过这一点?
正如微软的文档所述,Windows 7 上的BitLocker 不支持“将加密卸载到加密硬盘”。也就是说,这是Win10中的新功能,因此Windows 7系统不会出现同样的问题。
如何启用BitLocker 使用软件加密
如果您在SSD 上使用BitLocker 加密,则可以告诉BitLocker 避免基于硬件的加密并使用基于软件的加密。但这需要组策略。组策略仅适用于Windows 10 Professional,但标准版本的BitLocker 也适用。
在单台PC 上,按Windows + R 打开本地组策略编辑器,在“运行”对话框中键入“gpedit.msc”,然后按Enter。
去:
双击右窗格中的为固定数据驱动器配置基于硬件的加密选项。
选择禁用选项并单击确定。
为什么BitLocker 信任SSD?
如果可用,基于硬件的加密可能比基于软件的加密更快。因此,如果SSD 具有可靠的基于硬件的加密功能,则可以提高性能。
不幸的是,似乎许多SSD 制造商都无法正确实施这一点。如果您需要加密,最好使用BitLocker 基于软件的加密,这样您就不必信任SSD 的安全性。
在完美的世界中,硬件加速加密肯定会更好。这就是苹果在新款Mac 中安装T2 安全芯片的原因之一。 T2 芯片使用硬件加速加密引擎来快速加密和解密Mac 内部SSD 上存储的数据。
但您的Windows PC 不使用此类技术- 它配备的SSD 来自制造商,该制造商可能没有花太多时间考虑安全性。不是很好。
