Microsoft heeft lessen geleerd uit de veiligheidslekken die in de firmware van zelf-versleutelende ssd’s zijn gevonden. We laten zien wat dit betekent – en hoe je kunt overschakelen naar de veiligere softwaremodus van Microsoft BitLocker .
Het had zo mooi kunnen zijn: de meeste ssd’s bevatten tegenwoordig controllerchips die voldoende kracht hebben om de inhoud van een schijf te versleutelen. Bij die zogenaamde Self-Encrypting Drives (SED’s) worden alle gegevens altijd automatisch versleuteld bij het schrijven en ontsleuteld bij het lezen. Dat ze standaard meteen kunnen worden gebruikt zonder enige vorm van wachtwoord is te wijten aan het feit dat de schijven in een open, quasi-transparante modus worden geleverd. De industriestandaard daarvoor is OPAL 2.0 van de Trusted Computing Group (TCG).
Om de toegang te beperken en de versleuteling te activeren, is alleen nog een sleutelbeheer nodig. De versleutelingsoplossing Microsoft BitLocker kan die rol op zich nemen en houdt zich daarbij aan de industriestandaard IEEE 1667. Schijven die TCG OPAL 2.0 en IEEE 1667 ondersteunen worden door Microsoft ‘eDrive’ genoemd – een zelfbedachte quasi-standaard die expliciet verwijst naar geschiktheid voor BitLocker. We hebben ruim een jaar geleden in detail beschreven hoe je BitLocker bij dergelijke schijven kunt gebruiken.
Hardwarematige versleuteling ook worden gebruikt met de oudere, minder bekende standaard ATA Security. In dat geval wordt de versleutelde schijf meteen ontgrendeld wanneer de computer wordt ingeschakeld door het vragen naar een wachtwoord door het BIOS.