Muitos SSDs de consumidor afirmam oferecer suporte à criptografia e o BitLocker acreditou neles. Mas, como aprendemos no ano passado, essas unidades geralmente não criptografavam arquivos com segurança . A Microsoft acabou de mudar o Windows 10 para parar de confiar nesses SSDs incompletos e usar a criptografia de software como padrão.
Em resumo, as unidades de estado sólido e outros discos rígidos podem ser considerados “autocriptografáveis”. Se o fizerem, o BitLocker não executará nenhuma criptografia, mesmo se você habilitar o BitLocker manualmente. Em teoria, isso era bom: a unidade poderia realizar a criptografia por conta própria no nível do firmware, acelerando o processo, reduzindo o uso da CPU e talvez economizando energia. Na verdade, era ruim: muitas unidades tinham senhas mestras vazias e outras falhas de segurança terríveis. Aprendemos que os SSDs do consumidor não são confiáveis para implementar a criptografia.
Agora, a Microsoft mudou as coisas. Por padrão, o BitLocker irá ignorar as unidades que afirmam ser autocriptografadas e fazer o trabalho de criptografia no software. Mesmo que você tenha uma unidade que afirma oferecer suporte à criptografia, o BitLocker não vai acreditar.
Essa mudança chegou na atualização KB4516071 do Windows 10 , lançada em 24 de setembro de 2019. Ela foi identificada por SwiftOnSecurity no Twitter:
Os sistemas existentes com BitLocker não serão migrados automaticamente e continuarão usando criptografia de hardware se tiverem sido configurados originalmente dessa forma. Se você já tiver a criptografia do BitLocker habilitada em seu sistema, deverá descriptografar a unidade e, em seguida, criptografá-la novamente para garantir que o BitLocker esteja usando criptografia de software em vez de criptografia de hardware. Este boletim de segurança da Microsoft inclui um comando que você pode usar para verificar se o sistema está usando criptografia baseada em hardware ou software.
Como observa o SwiftOnSecurity, CPUs modernas podem realizar essas ações no software e você não deve ver uma desaceleração perceptível quando o BitLocker muda para a criptografia baseada em software.
O BitLocker ainda pode confiar na criptografia de hardware, se desejar. Essa opção é apenas desabilitada por padrão. Para empresas que possuem unidades com firmware em que confiam, a opção “Configurar o uso de criptografia baseada em hardware para unidades de dados fixas” em Configuração do Computador \ Modelos Administrativos \ Componentes do Windows \ Criptografia de Unidade BitLocker \ Unidades de Dados Fixas na Política de Grupo permitirá que reativem o uso de criptografia baseada em hardware. Todos os outros deveriam deixar isso em paz.
É uma pena que a Microsoft e o resto de nós não possam confiar nos fabricantes de discos. Mas faz sentido: claro, seu laptop pode ser feito pela Dell, HP ou até mesmo pela própria Microsoft. Mas você sabe qual drive está naquele laptop e quem o fabricou? Você confia no fabricante dessa unidade para lidar com a criptografia com segurança e emitir atualizações se houver um problema? Como aprendemos, você provavelmente não deveria. Agora, o Windows também não.
