Microsoft setzt bei self-encrypting drives (SEDs) auf Bitlocker-Verschlüsselung

[English]Microsoft hat einen Paradigmenwechsel bezüglich der Verschlüsselung von self-encrypting Laufwerken (SEDs) eingeleitet. Statt sich auf die Verschlüsselungsfunktionen von SSDs zu verlassen, kommt jetzt bei bestimmten Windows 10-Builds eine AES-Verschlüsselung mit Bitlocker zum Einsatz.

Ursache: SSD-Hersteller patzen bei Verschlüsselung

Manche Laufwerke unterstützen die automatische Verschlüsselung der gespeicherten Inhalte. Diese self-encrypting drives (SEDs) sind eigentlich eine gute Sache, da sich das Betriebssystem nicht um die Verschlüsselung kümmern muss.

Das Problem ist aber, dass diese Laufwerke bezüglich der Verschlüsselung nicht zuverlässig arbeiten. Im November 2018 musste Microsoft den Sicherheitshinweis ADV180028 mit dem Titel Guidance for configuring BitLocker to enforce software encryption veröffentlichen. Hintergrund war, dass bei den self-encrypting drives (SEDs) Schwachstellen bei der Hardwareverschlüsselung gab.

Auf Windows-Computern mit selbstverschlüsselnden Laufwerken war BitLocker Drive Encryption™ so konfiguriert, dass standardmäßig die Hardwareverschlüsselung verwendet wurde. Kunden, die durch die aufgedeckten Schwachstellen beunruhigt waren, denen empfahl Microsoft zu handeln. Administratoren, die die Softwareverschlüsselung auf Computern mit selbstverschlüsselnden Laufwerken erzwingen möchten, können dies durch die Bereitstellung einer Gruppenrichtlinie erreichen. Diese Gruppenrichtlinie überschreibt das Windows-Standardverhalten, sprich: Auf die Hardwareverschlüsselung wird verzichtet und Bitlocker verschlüsselt die Daten softwaremäßig.

Microsoft schwenkt bei Verschlüsselung auf Bitlocker um

Nun beginnt Microsoft damit, die Hardwareverschlüsselung in Windows 10 zu deaktivieren und setzt auf eine Softwareverschlüsselung mittels Bitlocker. Ich wurde durch den nachfolgenden Tweet darauf aufmerksam.

Microsoft gives up on SSD manufacturers: Windows will no longer trust drives that say they can encrypt themselves, BitLocker will default to CPU-accelerated AES encryption instead. This is after an exposé on broad issues with firmware-powered encryption.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD

— SwiftOnSecurity (@SwiftOnSecurity) September 27, 2019

Bei Update KB4516071 für Windows 10 Version 1709 vom 24. September 2019 findet sich der nachfolgende Hinweis:

Changes the default setting for BitLocker when encrypting a self-encrypting hard drive. Now, the default is to use software encryption for newly encrypted drives. For existing drives, the type of encryption will not change.

Beim Verschlüsseln eines 'selbstverschlüsselnden Laufwerks' ändert sich durch das Update die Einstellung. Statt auf die Verschlüsselung durch das Laufwerk zu setzen, übernimmt Windows 10 selbst diese Aufgabe mittels Bitlocker. Der gleiche Text findet sich bei Update KB4516061 für Windows 10 Version 1607 und Windows Server 2016.

Inzwischen berichten Sites wie Tom's Hardware ebenfalls (mit Verweis auf den Tweet und weitere Einlassungen von @SwiftOnSecurity) über diesen Sachverhalt. Bei anderen Windows 10-Builds habe ich bisher noch keinen Hinweis auf diese Änderung gefunden. Ich bin nicht sicher, ob und wann bei anderen Windows 10-Builds diese Einstellungsänderung kommt.

Ähnliche Artikel:
Microsoft Security Advisory Notification ADV180028 zu Bitlocker auf SSDs (6. Nov. 2018)
Windows 10: Bitlocker verschlüsselt automatisch
Windows 10: Wichtiger Secure Boot/Bitlocker Bug-Fix