Як зробити BitLocker Використання 256-бітного шифрування AES Замість 128-бітової AES
Шифрування BitLocker Windows за замовчуванням - це 128-бітове шифрування AES, але ви можете обрати використання 256-бітного шифрування AES. Використання 256-бітової клавіші AES потенційно може забезпечити більшу безпеку від майбутніх спроб доступу до файлів.
Це дійсно безпечніше? Ну, це питання дебатів. Можна наївно припустити, що 256-бітове шифрування забезпечує більшу безпеку, але це не так ясно.
Є 256-бітне шифрування AES більш безпечно?
Тепер ось складна тема. Спільною мудрістю є те, що AES 128 і AES 256 дійсно пропонують приблизно таку ж безпеку. Для того, щоб шифрування з 128-бітним AES шифруванням, що використовує 256-бітне AES-шифрування, дійсно не дає значного обсягу додаткової безпеки, знадобиться стільки часу. Наприклад, якщо для перебору штрихових зусиль 128-бітної AES знадобиться квадрільйон років, чи дійсно важливо, що для перебору штрихових сил AES? Для всіх реалістичних цілей вони однаково безпечні.
Але це не зовсім так просто. Для даних, позначених SECRET, NSA вимагає 128-бітових ключів, а для даних, позначених TOP SECRET, потрібні 256-бітні ключі. NSA ясно вважає 256-бітне шифрування AES більш безпечним. Чи відомо, що секретне урядове агентство, яке має завдання порушити шифрування, знає щось, чого ми не знаємо, або це лише приклад нерозумної державної бюрократії?
Ми не кваліфіковані, щоб дати останнє слово на це. Agile Bits має великий поглиблений погляд на тему у своєму блозі про те, чому вони перенесли менеджер паролів 1Password з 128-бітової AES до 256-бітової AES. Очевидно, що NSA вважає 256-бітне захищене шифрування AES від майбутніх квантових обчислювальних технологій, які можуть значно розірвати шифрування.
Виберіть 256-бітове шифрування AES для BitLocker
Давайте припустимо, що ви вирішили використовувати 256-бітну AES, або, можливо, ви - співробітник NSA з документами, позначеними TOP SECRET, і ви повинні це зробити. Майте на увазі, що 256-бітне AES буде повільніше, ніж 128-бітне AES, хоча ця різниця в продуктивності стає менш помітною при більш швидкому комп'ютерному обладнанні.
Цей параметр поховано в груповій політиці, яку можна налаштувати на своєму комп'ютері, якщо комп'ютер не входить до домену. Натисніть клавішу Windows + R, щоб відкрити діалогове вікно Виконати, введіть у нього gpedit.msc і натисніть Enter, щоб відкрити редактор локальної групової політики.
Перейдіть до конфігурації комп'ютера Адміністративні шаблони Компоненти Windows Шифрування диска BitLocker. Двічі клацніть параметр "Вибрати метод шифрування диска і міцність шифру".
Виберіть Увімкнено, натисніть розкривний список і виберіть AES 256-біт. Натисніть OK, щоб зберегти зміни.
BitLocker тепер використовує 256-бітове шифрування AES при створенні нових томів. Це налаштування застосовується лише до нових томів, у яких увімкнено функцію BitLocker. Будь-які існуючі томи BitLocker продовжуватимуть використовувати 128-бітові AES.
Перетворення 128-бітових томів AES на 256-бітове шифрування AES
BitLocker не надає способу перетворення існуючих томів BitLocker до іншого методу шифрування. Ви можете зробити це самостійно, розшифрувавши диск, а потім повторно шифруючи його за допомогою BitLocker. BitLocker використовує 256-бітове шифрування AES при його налаштуванні.
Для цього клацніть правою кнопкою миші зашифрований диск і виберіть пункт Керування BitLocker або перейдіть до панелі керування BitLocker на панелі керування. Натисніть посилання Вимкнути BitLocker під шифрованим томом.
Дозволити Windows розшифрувати диск. Після цього знову ввімкніть BitLocker для тому, клацнувши правою кнопкою миші та вибравши пункт Увімкнути BitLocker або клацніть Увімкнути BitLocker у вікні панелі керування. Перейдіть до звичайного процесу налаштування BitLocker.
Перевірте метод шифрування томів BitLocker
Вам знадобиться спеціальна команда, щоб дізнатися, чи використовує диск 128-бітне AES або 256-бітове шифрування AES.
Спочатку відкрийте вікно командного рядка як адміністратор. У Windows 8.1 або 8 клацніть правою кнопкою миші в нижньому лівому куті екрана або натисніть клавішу Windows + X і виберіть командний рядок (Admin). У Windows 7 відкрийте меню "Пуск", знайдіть командний рядок, клацніть правою кнопкою миші ярлик командного рядка та виберіть "Запуск від імені адміністратора".
Введіть у вікно командного рядка таку команду та натисніть Enter:
управління-bde -статус
На вашому комп'ютері відображатиметься інформація про кожен зашифрований диск BitLocker, включаючи метод шифрування. Шукайте “AES 128” або “AES 256” праворуч від “Методу шифрування” під диск.
Налаштовані диски продовжуватимуть використовувати шифрування AES 128 або AES 256, незалежно від налаштувань групової політики. Цей параметр впливає лише на метод шифрування, який використовує Windows під час налаштування нових томів BitLocker.
Зображення: Мікеланджело Кар'єрі на Flickr