Microsoft verandert veiligheidsinstellingen SSD om je gegevens te versleutelen

Afgelopen juni ontdekten veiligheidsonderzoekers dat het vrij eenvoudig was om SSD-hardware encryptie te omzeilen. Daarvoor was hooguit honderd euro aan tools nodig om de firmware van de SSD-drive opnieuw in te stellen. Dat probleem lijkt Microsoft nu opgelost te hebben.

Het probleem dat aangetroffen werd, had enkel invloed op de hardwarematige encryptie van data. Software-encryptie werd dus niet getroffen door het probleem. Toen het probleem aangetroffen werd, raadde Microsoft gebruikers dan ook aan om over te schakelen op software-encryptie om hun gegevens beter te beschermen. Het lijkt erop dat Microsoft vanaf Windows 10 19H1 het heft in eigen hand neemt en standaard overgaat op softwarematige encryptie.

Standaard veranderd

Dat meldt Tero Alhonen op Twitter. Alhonen bekeek Bitlocker, dat volgens de onderzoekers in juni “exceptioneel kwetsbaar” werd bevonden door de encryptiemethode. Volgens Alhonen staan de standaardinstellingen straks anders.

Windows 10 build 18317 BitLocker GPO opts out hardware-based encryption.

"If you do not configure this policy setting, BitLocker will use software-based encryption"

Used to be

"If you do not configure this policy setting, BitLocker will use hardware-based encryption" pic.twitter.com/5oMybPHP3U

— Tero Alhonen💙💛 (@teroalhonen) January 16, 2019

De kwetsbaarheid werd ontdekt door twee Nederlandse onderzoekers; Carlo Meijer en Bernard van Gastel van de Radboud Universiteit. Zij schreven een paper (hier de PDF) over de zwakheden in versleuteling van SSD’s. Door de kwetsbaarheid konden hackers volgens hen vrij eenvoudig toegang krijgen tot de drive en data overzetten, zonder dat er wachtwoorden voor nodig waren.

Het is voor admins vrij eenvoudig om te achterhalen welke versleutelmethode een SSD op dit moment gebruikt.

1. Open het startmenu van Windows 10, en zoek naar cmd.exe. Klik op het zoekresultaat en selecteer de mogelijkheid om het programma als admin te draaien.
2. Bevestig dat vervolgens in de melding die verschijnt.
3. Voer vervolgens het volgende in: manage-bde.exe -status.
4. Controleer daar onder de noemer ‘Encryption Method’ wat er staat.

Als er daar geen verwijzing staat naar hardware encryption, is er niets aan de hand en maakt de drive standaard gebruik van softwareversleuteling. Mocht dat toch het geval zijn en je wil je systeem beter beveiligen, zal je de drive opnieuw moeten versleutelen. Microsoft schrijft in zijn Advisory hoe dat moet.