BitLocker vermijdt ssd-versleuteling

Daniel Dupré
0

Inhoudsopgave

    Inleiding

    Bitlocker eDrive ssd softwarematig hardwarematig encryptie

    Microsoft heeft lessen geleerd uit de veiligheidslekken die in de firmware van zelf-versleutelende ssd’s zijn gevonden. We laten zien wat dit betekent – en hoe je kunt overschakelen naar de veiligere softwaremodus van Microsoft BitLocker .

    Het had zo mooi kunnen zijn: de meeste ssd’s bevatten tegenwoordig controllerchips die voldoende kracht hebben om de inhoud van een schijf te versleutelen. Bij die zogenaamde Self-Encrypting Drives (SED’s) worden alle gegevens altijd automatisch versleuteld bij het schrijven en ontsleuteld bij het lezen. Dat ze standaard meteen kunnen worden gebruikt zonder enige vorm van wachtwoord is te wijten aan het feit dat de schijven in een open, quasi-transparante modus worden geleverd. De industriestandaard daarvoor is OPAL 2.0 van de Trusted Computing Group (TCG).

    Om de toegang te beperken en de versleuteling te activeren, is alleen nog een sleutelbeheer nodig. De versleutelingsoplossing Microsoft BitLocker kan die rol op zich nemen en houdt zich daarbij aan de industriestandaard IEEE 1667. Schijven die TCG OPAL 2.0 en IEEE 1667 ondersteunen worden door Microsoft ‘eDrive’ genoemd – een zelfbedachte quasi-standaard die expliciet verwijst naar geschiktheid voor BitLocker. We hebben ruim een jaar geleden in detail beschreven hoe je BitLocker bij dergelijke schijven kunt gebruiken.

    Hardwarematige versleuteling ook worden gebruikt met de oudere, minder bekende standaard ATA Security. In dat geval wordt de versleutelde schijf meteen ontgrendeld wanneer de computer wordt ingeschakeld door het vragen naar een wachtwoord door het BIOS.

    Niet zo veilig

    Aan het einde van het jaar 2018 vonden beveiligingsonder zoekers lekken in de firmware van sommige SED’s – namelijk bij de Samsung T3, T5, 840 Evo en 850 Evo en Crucials MX100, MX200 en MX300. Een aanvaller zou de schijf in handen moeten krijgen en de firmware op een tijdrovende en kostbare manier moeten manipuleren, maar dan zou hij zonder het wachtwoord toegang tot de inhoud kunnen krijgen. Afhankelijk van het model ging het om versleutelingsmodi met eDrive en/of ATA Security.

    De meeste modellen kregen firmware-patches. De Evo ssd’s van Samsung bleven echter onveilig – de fabrikant vond dat gebruikers maar moesten overstappen op softwarematige versleuteling. De lekken waren daarbij wel alleen met ATA Security modus vastgesteld, en niet met TCG OPAL. Maar tegelijkertijd werd duidelijk dat iedereen die afhankelijk is van hardwareversleuteling de fabrikant moet vertrouwen en in geval van twijfel overgeleverd is aan diens goede wil als er beveiligingslekken ontstaan. Bovendien blijft er onzekerheid bestaan over de vraag of er niet meer modellen zijn die daardoor getroffen worden.

    Verandering in Windows 10

    Al met al krijgen veel gebruikers waarschijnlijk nooit wat mee van beveiligingsproblemen met zelfversleutelende ssd’s of durven ze gewoonweg niet te updaten. Veel van de getroffen Crucial-ssd’s zullen dus waarschijnlijk nog onbeschermd in gebruik zijn. Dat is waarschijnlijk een van de redenen waarom Microsoft de meeste nog steeds ondersteunde Windows 10-versies via de cumulatieve patches van september 2019 zodanig heeft gewijzigd dat BitLocker nieuwe schijven sofwarematig versleutelt. Dat gebeurt dan ook zelfs als er een met eDrive compatibele schijf in het systeem zit en de hardwareversleuteling niet specifiek wordt afgedwongen door het Groepsbeleid.

    Die wijziging is echter niet van toepassing op schijven waarvan Microsoft BitLocker de hardwareversleuteling al ingeschakeld had – het overschakelen op die nieuwe functie vereist wat handmatig werk, waarover zo meer. De wijziging heeft betrekking op Windows 10 versies 1607 tot 1803. Versie 1809 werd in april vorig jaar door Microsoft gewijzigd met patchlevel 17763.404 – zonder verdere documentatie. Vanaf versie 1903 wordt hardwarematige versleuteling zelfs standaard vermeden. Deze wijziging is nog niet toegepast bij Windows 8.1 en Windows 10 versie 1507, de oorspronkelijke versie die Microsoft nog enige tijd van updates zal blijven voorzien in de Enterprise LTSB-editie.

    Voor pc-gebruikers heeft dat verder geen nadelen. Aangezien vrijwel alle processors die vandaag de dag verkocht worden zijn voorzien van een eigen AES-unit voor versleuteling en ontsleutelen, is na het overstappen op softwareversleuteling geen snelheidsverlies te verwachten. Zelfs op cpu’s zonder AES-versnelling is het verlies eerder meetbaar dan merkbaar.

    Bitlocker omschakelen

    Voordat je nu overhaast meteen afscheid gaat nemen van hardwareversleuteling, moet je er rekening mee houden dat een succesvolle aanval geavanceerde kennis vergt en dat deze tot nu toe slechts voor een paar ssd-modellen is gedemonstreerd. Hoewel de getroffen schijven momenteel geen bekende kwetsbaarheden hebben bij het werken met BitLocker (in de veronderstelling dat ze de nieuwste firmware hebben), kunnen er redenen zijn om bij BitLocker over te schakelen op softwareversleuteling. Dat kan zijn om je te beschermen tegen mogelijke soortgelijke kwetsbaarheden, maar ook gewoon omdat je het vertrouwen in de ssd-fabrikant kwijt bent.

    Controleer daarom eerst of de versleuteling überhaupt door de hardware gedaan wordt. Om dat te doen, open je Opdrachtprompt met administratorrechten en voer je het commando manage-bde -status uit. Voor de betreffende partities staat bij Encryption Method dat er hardwareversleuteling wordt toegepast.

    Microsoft BitLocker

    Met Opdrachtprompt kun je achterhalen of BitLocker op een schijf actief is.

    Om dat te veranderen, moet je eerst BitLocker voor de betreffende partities uitschakelen. Om dat te doen, open je de BitLocker-stationsversleuteling, bijvoorbeeld door op de Windows-toets te drukken en ‘bitlocker’ in te typen. Selecteer dan de optie ‘BitLocker uitschakelen’ voor alle betrokken stations. Daarna zal het statuscommando bij ‘BitLocker Version’ de waarde None laten zien.

    Uitschakelen

    Zorg er nu voor dat Windows 10 geen hardwarematige versleuteling gebruikt. Vanaf versie 1607 hoef je alleen nog maar de laatste updates te installeren – als je helemaal safe wilt zijn, open je de Groepsbeleidseditor (Windows-toets, gpedit.msc) en klik je door naar de map ‘Computerconfiguratie / Beheersjablonen / Windows- onderdelen / BitLocker-stationsversleuteling / Systeemstations’. Dubbelklik op de beleidsregel ‘Gebruik van op hardware gebaseerde versleuteling voor stations met besturingssysteem configureren’, zet het op Uitgeschakeld en klik op OK. Herhaal dat indien nodig met de overeenkomende regels in de mappen ‘Harde schijven’ en ‘Verwisselbare schijven’.

    Nu kun je BitLocker zoals gewoonlijk inschakelen en dan zal Windows softwareversleuteling gebruiken. Houd er rekening mee dat de vorige herstelsleutels zullen vervallen. Zorg ervoor dat je een back-up maakt van de nieuwe.

    Je kunt het Groepsbeleid ook gebruiken om juist hardwarematige versleuteling af te dwingen op alle nieuwe schijven in de toekomst. Daarvoor moet je de beleidsregel dan inschakelen. Voor de betreffende Crucial-ssd’s zonder firmware-patch raden we dit echter sterk af – het creëert een potentieel veiligheidsrisico.

    (Dit artikel is eerder verschenen in c’t 9/2020, p.136, met medewerking van Jan Schüßler en Noud van Kruysbergen)

     

    Wil je op de hoogte blijven van het laatste IT-nieuws en de nieuwste online-artikelen? Meld je dan hier aan voor onze nieuwsbrief:

    Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

     

    Meer handige workshops vind je in c’t 12/2024

    Deel dit artikel

    Daniel Dupré
    Daniel DupréDaniel koestert een liefde voor het in elkaar zetten van zinnen en van computers, en heeft in c't een prachtige mogelijkheid gevonden om beide te combineren.

    Lees ook

    Met Raspberry Pi port knocking de computers in je netwerk beveiligen

    Iedereen die een computer of server met het openbare internet verbindt, wordt al snel het doelwit van hackers. Sommige wetenschappers gaan ervan uit d...

    Je Raspberry Pi op afstand bedienen? Zo krijg je het voor elkaar met SSH!

    De Raspberry Pi op afstand bedienen is handig en kan op verschillende manieren. Via SSH is het makkelijkste op te zetten, we laten zien hoe.

    0 Praat mee
    avatar
      Abonneer  
    Laat het mij weten wanneer er