Szyfrowanie BitLocker w systemie Windows domyślnie obsługuje 128-bitowe szyfrowanie AES, ale można zamiast tego użyć 256-bitowego szyfrowania AES. Używanie 256-bitowego klucza AES może potencjalnie zapewnić większe zabezpieczenie przed przyszłymi próbami uzyskania dostępu do plików.
Czy to naprawdę jest bardziej bezpieczne? Cóż, to kwestia debaty. Możesz naiwnie zakładać, że 256-bitowe szyfrowanie zapewnia większe bezpieczeństwo, ale nie jest to takie jasne.
Oto skomplikowany temat. Powszechnie wiadomo, że AES 128 i AES 256 oferują w rzeczywistości ten sam poziom bezpieczeństwa. Tak długo trwało 128-bitowe szyfrowanie AES, a 256-bitowe szyfrowanie AES nie zapewnia znaczącej ilości dodatkowych zabezpieczeń. Na przykład, jeśli wykonanie 128-bitowej AES trwało kwadryliony lat, czy to naprawdę ważne, że może to zająć nawet więcej 256-bitowej AES? Dla wszystkich realistycznych celów są one równie bezpieczne.
Ale to nie jest takie proste. NSA wymaga kluczy 128-bitowych dla danych oznaczonych jako SECRET, natomiast wymaga 256-bitowych kluczy dla danych oznaczonych jako TOP SECRET. NSA wyraźnie uważa szyfrowanie 256-bitowe AES za bezpieczniejsze. Czy tajna agencja rządowa, której zadaniem jest łamanie szyfrów, wie coś, o czym nie wiemy, czy jest to tylko przypadek głupiej biurokracji rządowej?
Nie mamy kwalifikacji, by wypowiedzieć ostatnie słowo w tej sprawie. Agile Bits ma świetne dogłębne spojrzenie na temat w swoim blogu o tym, dlaczego przenieśli menedżera haseł 1Password z 128-bitowej AES do 256-bitowej AES. NSA najwyraźniej uważa 256-bitową ochronę szyfrowania AES przed przyszłymi komputerowymi technologiami kwantowymi, które mogłyby znacznie szybciej złamać szyfrowanie.
Załóżmy, że zdecydowałeś się użyć 256-bitowej AES, a może jesteś pracownikiem NSA z dokumentami oznaczonymi jako TOP SECRET i musisz to zrobić. Należy pamiętać, że 256-bitowa AES będzie wolniejsza niż 128-bitowa AES, chociaż ta różnica wydajności staje się mniej zauważalna przy szybszym sprzęcie komputerowym.
To ustawienie jest ukryte w zasadach grupowych, które możesz dostosować na swoim komputerze, jeśli Twój komputer nie jest częścią domeny. Naciśnij Klawisz Windows + R, aby otworzyć okno dialogowe Uruchom, wpisz gpedit.msc w nim i naciśnij Enter, aby otworzyć Edytor lokalnych zasad grupy.
Przejdź do Konfiguracja komputera \ Szablony administracyjne \ Składniki systemu Windows \ Szyfrowanie dysków funkcją BitLocker. Dwukrotnie kliknij ustawienie "Wybierz metodę szyfrowania dysku i siłę szyfrowania".
Wybierz opcję Włączone, kliknij pole rozwijane i wybierz AES 256-bit. Kliknij OK, aby zapisać zmianę.
Funkcja BitLocker będzie teraz używała 256-bitowego szyfrowania AES podczas tworzenia nowych woluminów. To ustawienie dotyczy tylko nowych woluminów włączonych funkcją BitLocker. Wszystkie istniejące woluminy funkcji BitLocker będą nadal używać 128-bitowej AES.
BitLocker nie zapewnia sposobu konwertowania istniejących woluminów funkcji BitLocker na inną metodę szyfrowania. Możesz to zrobić samodzielnie, odszyfrując dysk, a następnie ponownie go zaszywając funkcją BitLocker. BitLocker użyje 256-bitowego szyfrowania AES podczas konfiguracji.
Aby to zrobić, kliknij prawym przyciskiem myszy zaszyfrowany dysk i wybierz opcję Zarządzaj funkcją BitLocker lub przejdź do panelu BitLocker w Panelu sterowania. Kliknij łącze Wyłącz BitLocker pod zaszyfrowanym woluminem.
Zezwalaj Windowsowi na odszyfrowanie dysku. Po zakończeniu ponownie włącz funkcję BitLocker dla woluminu, klikając ją prawym przyciskiem myszy i wybierając opcję Włącz funkcję BitLocker lub klikając polecenie Włącz funkcję BitLocker w oknie Panelu sterowania. Przejdź przez normalny proces instalacji BitLocker.
Będziesz potrzebował specjalnego polecenia, aby sprawdzić, czy dysk używa 128-bitowego AES lub 256-bitowego szyfrowania AES.
Najpierw otwórz okno wiersza polecenia jako Administrator. W Windows 8.1 lub 8 kliknij prawym przyciskiem myszy w lewym dolnym rogu ekranu lub naciśnij Windows Key + X i wybierz Command Prompt (Admin). W systemie Windows 7 otwórz menu Start, wyszukaj wiersz polecenia, kliknij prawym przyciskiem myszy skrót wiersza polecenia i wybierz opcję Uruchom jako administrator.
Wpisz następujące polecenie w oknie wiersza polecenia i naciśnij Enter:
manage-bde -status
Zobaczysz informacje o każdym zaszyfrowanym napędzie BitLocker na komputerze, w tym o jego metodzie szyfrowania. Poszukaj "AES 128" lub "AES 256" po prawej stronie "Metody szyfrowania" pod napę dem.
Konfigurowane dyski będą nadal używać szyfrowania AES 128 lub AES 256, bez względu na ustawienie zasad grupy. Ustawienie wpływa tylko na metodę szyfrowania używaną przez system Windows podczas konfigurowania nowych woluminów funkcji BitLocker.
Image Credit: Michelangelo Carrieri na Flickr
