Você não pode confiar no BitLocker para criptografar seu SSD no Windows 10

Alguns SSDs anunciam suporte para “criptografia de hardware”. Se você habilitar o BitLocker no Windows, a Microsoft confia no seu SSD e não faz nada. Mas os pesquisadores descobriram que muitos SSDs estão fazendo um trabalho terrível, o que significa que o BitLocker não está fornecendo criptografia segura.

Muitos SSDs não implementam a criptografia corretamente

Mesmo se você habilitar a criptografia BitLocker em um sistema, o Windows 10 pode não estar realmente criptografando seus dados. Em vez disso, o Windows 10 pode confiar em seu SSD para fazer isso, e a criptografia do seu SSD pode ser facilmente quebrada.

Essa é a conclusão de um novo artigo de pesquisadores da Radbound University. Eles fizeram engenharia reversa dos firmwares de muitas unidades de estado sólido e encontraram uma variedade de problemas com a “criptografia de hardware” encontrada em muitos SSDs.

Os pesquisadores testaram discos da Crucial e Samsung, mas definitivamente não surpreenda-se se outros fabricantes tiverem problemas importantes. Mesmo se você não tiver nenhuma dessas unidades específicas, você deve se preocupar.

Por exemplo, o Crucial MX300 inclui uma senha mestra vazia por padrão. Sim, isso mesmo - ele tem uma senha mestra definida como nada e essa senha vazia dá acesso à chave de criptografia que criptografa seus arquivos. Isso é loucura.

O SSD criptografado tem uma senha mestra definida como “”. Mas não se preocupe, clientes, você pode desativá-lo! Tudo vai ficar bem. pic.twitter.com/hSlPCMyHsi

— Matthew Green (@matthew_d_green) 5 de novembro de 2018

O BitLocker confia em SSDs, mas os SSDs não estão realizando seus trabalhos

Isso geralmente não importaria - afinal, quem usa a criptografia de hardware em um SSD? Usuários do Windows usariam o BitLocker. E o BitLocker criptografa os arquivos antes de armazená-los no SSD, certo?

Errado. Se o seu computador tiver uma unidade de estado sólido que diga que pode manipular a criptografia de hardware, o BitLocker não fará nada. O BitLocker apenas confia no SSD para criptografar seus arquivos, abandonando toda a responsabilidade. E, como os pesquisadores descobriram, os fabricantes de SSDs estão tendo sérios problemas para implementar a criptografia corretamente.

Mesmo que você opte por criptografar o disco rígido do seu laptop com o BitLocker, seu computador está confiando a criptografia a qualquer empresa que tenha feito o SSD. Você confia que o fabricante da unidade em seu laptop fez um bom trabalho? Você sabe mesmo o que a empresa fez com o SSD interno do seu laptop? O fabricante do laptop pensou sobre isso antes de selecionar um fornecedor de disco rígido?

O BitLocker no Windows 7 não oferece suporte a "descarregamento de criptografia para discos rígidos criptografados", como diz a documentação da Microsoft. Em outras palavras, esse é um novo recurso do Windows 10, portanto, os sistemas Windows 7 não terão o mesmo problema.

Como fazer com que o BitLocker use criptografia de software

Se você estiver usando a criptografia do BitLocker em um SSD, você pode informar ao BitLocker para evitar o uso de criptografia baseada em hardware e usar a criptografia baseada em software. Mas isso requer Política de Grupo. Esta Política de Grupo só está disponível no Windows 10 Professional - mas a versão padrão do BitLocker também.

Em um PC, abra o Editor de Diretiva de Grupo local pressionando Windows + R, digitando “gpedit.msc” na caixa de diálogo e execute pressionando Enter.

Vá até o seguinte local: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption

Clique duas vezes na opção “Configurar o uso de criptografia baseada em hardware para unidades de dados fixas” no painel à direita.

Selecione a opção “Disabled” e clique em “OK".

Talvez seja necessário suspender a proteção do BitLocker e reativá-la posteriormente. Isso força o Windows a não criptografar e recriptografar novamente a unidade.

Como criptografar seu SSD sem o BitLocker

Em vez de confiar no BitLocker, você também pode usar a ferramenta VeraCrypt de código aberto para criptografar sua unidade de sistema do Windows ou qualquer outra unidade. É baseado no software TrueCrypt, do qual você pode já ter ouvido falar.

Ao contrário do BitLocker, o VeraCrypt também está disponível para usuários do Windows 10 Home e do Windows 7 Home. Você não precisa pagar US $ 100 por criptografia. A VeraCrypt nunca confia em SSDs para fazer a criptografia funcionar - a VeraCrypt sempre lida com a própria criptografia.

Por que o BitLocker confia em SSDs?

Quando disponível, a criptografia baseada em hardware pode ser mais rápida que a criptografia baseada em software. Portanto, se um SSD tivesse uma sólida tecnologia de criptografia baseada em hardware, contar com esse SSD resultaria em melhor desempenho. Infelizmente, parece que muitos fabricantes de SSD não são confiáveis ​​para implementar isso corretamente. Se você precisa de criptografia, é melhor usar a criptografia baseada em software do BitLocker para não precisar confiar na segurança do seu SSD.

Em um mundo perfeito, a criptografia acelerada por hardware é definitivamente melhor. Essa é uma das razões pelas quais a Apple inclui um chip de segurança T2 em seus novos Macs. O chip T2 usa um mecanismo de criptografia acelerado por hardware para criptografar e descriptografar rapidamente os dados armazenados no SSD interno do Mac.

Mas o seu PC com Windows não usa tecnologia como essa - ele tem um SSD de um fabricante que provavelmente não gastou muito tempo pensando em segurança. E isso não é bom.