BitLocker

Overview of BitLocker Device Encryption in Windows 10

Windows has a long history of providing at-rest data-protection solutions that guard against nefarious attackers, beginning with the Encrypting File System in the Windows 2000 operating system.

そうか、EFSが導入されたのはWindows 2000からだったか。

More recently, BitLocker has provided encryption for full drives and portable drives.

BitLockerはEFSとはレイヤが違うけど、ポータブルデバイスには使いやすい。

BitLocker encryption keyをどうやって守るか。

Windows 7では復号の際にPINの入力を求められるので、キオスク端末のようなものの再起動でスタックする。

Windows 10ではネットワーク経由でのアンロックができるので、コールドブートの際にも復号できる。

Windows 10では暗号化の開始にあたって実際に使用している部分だけの暗号化で済ませられる。

Windows 10ではドライブ自身にハードウェアとして暗号化の機能があれば暗号化機能をオフロードできる。

BitLocker with self-encrypting drives (SEDs)というらしい

Windows 7

BitLocker could require users to enter a recovery key when system configuration changes occur.

Users need to enter a PIN to start the PC, and then their password to sign in to Windows.

Windows 10

BitLocker requires the user to enter a recovery key only when disk corruption occurs or when he or she loses the PIN or password.

Modern Windows devices are increasingly protected with BitLocker Device Encryption out of the box and support SSO to help protect the BitLocker encryption keys from cold boot attacks.

BitLocker Device Encryption

Windows 8.1以降でModern Standbyをサポートするデバイスで使える

Windows 10ではより広い範囲のデバイスをサポートし、Home Editionでも使える

インストール時にOSドライブと固定ディスクに対してclear keyを使って準備完了となる

これはstandard BitLockerのsuspended stateと同じ

エクスプローラでは黄色い警告アイコンが出る

TPMによる保護が開始され回復キーがバックアップされると警告が消える

ドメインに参加していない場合はそのデバイスで管理者とみなされているマイクロソフトアカウントが必要になる

管理者がマイクロソフトアカウントでログインしている場合はclear keyが削除され回復キーがそのマイクロソフトアカウントにアップロードされTPM protectorが作成される（なんのこと？

回復キーが必要になった場合は他のデバイスを使ってそのマイクロソフトアカウントにログインし、回復キーを取得する。

When a clean installation of Windows10 is completed and the out-of-box experience is finished, the computer is prepared for first use. As part of this preparation, BitLocker Device Encryption is initialized on the operating system drive and fixed data drives on the computer with a clear key (this is the equivalent of standard BitLocker suspended state).

In this state, the drive is shown with a warning icon in Windows Explorer. The yellow warning icon is removed after the TPM protector is created and the recovery key is backed up, as explained in the following bullet points.

BitLocker 2018/01/26

疑問点

暗号鍵は共有鍵を直接手で入力するだけなのか

秘密鍵を含んだ証明書がWindowsの中にあるのか

BitLockerの回復キーとアカウント

個人アカウント(Microsoft)

組織アカウント(Microsoft)