2012-12-08

[windows] BitLocker を有効にしてみました

Windows 8 Pro にしたら一緒に付いてきた、保護されないアクセスからデータを守ってくれるらしい BitLocker を有効にしてみました。

保護されないアクセスとは例えば以下のようなアクセス許可が正常に適用されない状況です。
  • LiveCD で起動して USB メモリにデータをコピーして持って帰る
  • HDD を取り外して持ち出し、別の OS からアクセス許可を無視してオフラインアクセスする
  • オフラインで OS にルートキットを秘密裏に書き込んでおきパスワードを盗む

暗号化の処理について、作業を中断することなくバックグラウンドで処理が進行し、暗号化が途中まで完了しているという状態が許容されているようです (暗号化進行中にシャットダウンしても大丈夫)。暗号化も Low-Priority I/O でおしとやかに処理されるのでとても良くできている印象を受けました。

BitLocker による保護とは意図したとおりの OS のみがディスクにアクセスするよう制限することにあるので、TPM 付きのマシンなら同じマシンで起動していることを自動的に確認できるので起動時のパスワード入力は無しにできます (PIN も設定可能)。TPM 無しの場合でも USB メモリもしくはパスワードでも BitLocker を有効にできます (要ポリシー変更)

また起動時に起動用のパスワードを打ち込めば必ずフルアクセス出来るようになるのではなく、正常に保護されない恐れのあるアクセス (正規の Windows 以外からアクセスされる場合) の時は回復キー (数字48桁) を要求されます。この理由はフルコントロール可能な回復キーは管理者が管理し、標準ユーザー権限のユーザーは正規の認証を経ることになっているからだと思います。

この仕組みはデータが複数個に増えるわけではなく、データを暗号化する鍵を別々の方法で暗号化して保管することで実現されています。内部で実際にデータを暗号化しているマスターキーは目に見える形では表示されません。

WinRE を使いたい時も回復キーを要求され少しめんどくさいですが、あらかじめ Windows 内で「保護の中断」を管理者権限で実行しておくと回復キー不要でアクセスできます。BIOS のアップデートも回復キーを要求されるはずなので、行う際は同様に保護の中断を行っておくとスムーズに行えると思います。

「保護の中断」と「BitLocker を無効にする」の違いは、保護の中断の場合はディスクの暗号化はそのままで、鍵が誰でも使用可能な状態で書き込まれるということで、次の Windows 起動時に自動的にパスワード不要の鍵は削除され保護が再開します。BitLocker を無効にするを行った場合は全てのセクタの暗号化が解除され BitLocker を有効にする前の何も保護されていない状態に戻ります。解除には使用中の領域全体への読み取りと書き込みアクセスを伴うので少し時間がかかります。

スリープ状態の場合は BitLocker では保護されませんが休止状態ならば保護されます。スリープ状態のパソコンからメモリダンプを取ることができれば鍵を盗むことができるかもしれません。休止状態の場合は保護されるので、自動的に休止状態に移行するように設定することもより安全性を高めるために役に立つかもしれません。

関連情報
BitLocker ドライブ暗号化でファイルを保護する
BitLocker に関してよく寄せられる質問 (FAQ)