Jak sprawić, by funkcja BitLocker korzystała z 256-bitowego szyfrowania AES Zamiast 128-bitowego AES
Szyfrowanie BitLocker w systemie Windows domyślnie obsługuje 128-bitowe szyfrowanie AES, ale można zamiast tego używać 256-bitowego szyfrowania AES. Używanie 256-bitowego klucza AES może potencjalnie zapewnić większe zabezpieczenie przed przyszłymi próbami uzyskania dostępu do plików.
Czy to naprawdę jest bardziej bezpieczne? Cóż, to kwestia debaty. Możesz naiwnie zakładać, że 256-bitowe szyfrowanie zapewnia większe bezpieczeństwo, ale nie jest to takie jasne.
Czy 256-bitowe szyfrowanie AES jest bardziej bezpieczne?
Oto skomplikowany temat. Powszechnie wiadomo, że AES 128 i AES 256 oferują w rzeczywistości ten sam poziom bezpieczeństwa. Tak długo trwało 128-bitowe szyfrowanie AES, a 256-bitowe szyfrowanie AES nie zapewnia znacznej ilości dodatkowych zabezpieczeń. Na przykład, jeśli wykonanie 128-bitowej AES trwało czterysta lat, czy naprawdę ma znaczenie, że może to zająć nawet więcej 256-bitowej AES? Dla wszystkich realistycznych celów są one równie bezpieczne.
Ale to nie jest takie proste. NSA wymaga kluczy 128-bitowych dla danych oznaczonych jako SECRET, natomiast wymaga 256-bitowych kluczy dla danych oznaczonych jako TOP SECRET. NSA wyraźnie uważa, że 256-bitowe szyfrowanie AES jest bezpieczniejsze. Czy tajna agencja rządowa, której zadaniem jest łamanie szyfrów, wie o czymś, o czym nie wiemy, czy jest to tylko przypadek głupiej biurokracji rządowej?
Nie mamy kwalifikacji, by wypowiedzieć ostatnie słowo na ten temat. Agile Bits ma świetne dogłębne spojrzenie na temat w swoim blogu o tym, dlaczego przenieśli menedżera haseł 1Password z 128-bitowej AES do 256-bitowej AES. NSA najwyraźniej rozważa 256-bitową ochronę szyfrowania AES przed przyszłymi komputerowymi technologiami kwantowymi, które mogłyby znacznie szybciej złamać szyfrowanie.
Wybierz 256-bitowe szyfrowanie AES dla funkcji BitLocker
Załóżmy, że zdecydowałeś się użyć 256-bitowej AES, a może jesteś pracownikiem NSA z dokumentami oznaczonymi jako TOP SECRET i musisz to zrobić. Należy pamiętać, że 256-bitowa AES będzie wolniejsza niż 128-bitowa AES, chociaż ta różnica wydajności staje się mniej zauważalna przy szybszym sprzęcie komputerowym.
To ustawienie jest ukryte w zasadach grupowych, które możesz dostosować na swoim komputerze, jeśli Twój komputer nie jest częścią domeny. Naciśnij Klawisz Windows + R, aby otworzyć okno dialogowe Uruchom, wpisz gpedit.msc w nim i naciśnij Enter, aby otworzyć Edytor lokalnych zasad grupy.
Przejdź do Konfiguracja komputera \ Szablony administracyjne \ Składniki systemu Windows \ Szyfrowanie dysków funkcją BitLocker. Dwukrotnie kliknij ustawienie "Wybierz metodę szyfrowania dysku i siłę szyfrowania".
Wybierz opcję Włączone, kliknij pole rozwijane i wybierz AES 256-bitowy. Kliknij OK, aby zapisać zmianę.
Funkcja BitLocker będzie teraz używać 256-bitowego szyfrowania AES podczas tworzenia nowych woluminów. To ustawienie dotyczy tylko nowych woluminów włączonych funkcją BitLocker. Wszystkie istniejące woluminy funkcji BitLocker będą nadal używać 128-bitowej AES.
Konwersja 128-bitowych woluminów AES do 256-bitowego szyfrowania AES
Funkcja BitLocker nie zapewnia sposobu konwertowania istniejących woluminów funkcji BitLocker na inną metodę szyfrowania. Możesz to zrobić samodzielnie, odszyfrując dysk, a następnie ponownie zaszyfrowując go za pomocą funkcji BitLocker. Funkcja BitLocker podczas szyfrowania będzie używała 256-bitowego szyfrowania AES.
Aby to zrobić, kliknij prawym przyciskiem myszy zaszyfrowany dysk i wybierz opcję Zarządzaj funkcją BitLocker lub przejdź do panelu BitLocker w Panelu sterowania. Kliknij łącze Wyłącz BitLocker pod zaszyfrowanym woluminem.
Zezwalaj Windowsowi na odszyfrowanie dysku. Po zakończeniu ponownie włącz funkcję BitLocker dla woluminu, klikając ją prawym przyciskiem myszy i wybierając opcję Włącz funkcję BitLocker lub klikając polecenie Włącz funkcję BitLocker w oknie Panelu sterowania. Przejdź przez normalny proces instalacji BitLocker.
Sprawdź metodę szyfrowania woluminu BitLocker
Będziesz potrzebował specjalnego polecenia, aby sprawdzić, czy dysk używa 128-bitowego AES lub 256-bitowego szyfrowania AES.
Najpierw otwórz okno wiersza polecenia jako Administrator. W Windows 8.1 lub 8 kliknij prawym przyciskiem myszy w lewym dolnym rogu ekranu lub naciśnij Windows Key + X i wybierz Command Prompt (Admin). W systemie Windows 7 otwórz menu Start, wyszukaj wiersz polecenia, kliknij prawym przyciskiem myszy skrót wiersza polecenia i wybierz opcję Uruchom jako administrator..
Wpisz następujące polecenie w oknie wiersza polecenia i naciśnij Enter:
manage-bde -status
Zobaczysz informacje o każdym zaszyfrowanym napędzie BitLocker na komputerze, w tym o jego metodzie szyfrowania. Poszukaj "AES 128" lub "AES 256" po prawej stronie "Metody szyfrowania" pod napę dem.
Konfigurowane dyski będą nadal używać szyfrowania AES 128 lub AES 256, bez względu na ustawienie zasad grupy. Ustawienie ma wpływ tylko na metodę szyfrowania używaną przez system Windows podczas konfigurowania nowych woluminów funkcji BitLocker.
Image Credit: Michelangelo Carrieri na Flickr