BitLockerでドライブ暗号化 1台目
■ このスレッドは過去ログ倉庫に格納されています
Windowsのドライブを暗号化するセキュリティ機能BitLockerについて語りましょう。
・BitLocker に関してよく寄せられる質問 (FAQ)
http://technet.microsoft.com/ja-jp/library/hh831507.aspx
【BitLocker とは何ですか。具体的な作用を教えてください。】
BitLocker は、コンピューターのハード ドライブを暗号化し、データの盗難を防ぐ機能です。
コンピューターやリムーバブル ドライブの紛失、盗難に伴うデータの漏洩を防ぎます。
また、コンピューターを廃棄する際も、BitLocker で保護されていれば
削除されたデータを確実に保護することができます。
削除したデータを暗号化済みのドライブから復元するのは、
ドライブが暗号化されていない場合と比べてはるかに困難です。
・Windows7 BitLocker ドライブ暗号化
http://windows.microsoft.com/ja-jp/windows7/products/features/bitlocker
・Windows8 BitLocker でファイルの保護をサポートする - Microsoft
http://windows.microsoft.com/ja-jp/windows-8/bitlocker-drive-encryption
・Wikipedia BitLocker
http://ja.wikipedia.org/wiki/BitLocker
・Windows 8レボリューション:第16回 データを保護するBitLocker暗号化
http://www.atmarkit.co.jp/ait/articles/1302/28/news114.html
・BitLocker To GoでUSBメモリを暗号化する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1348bitlocker/bitlocker.html
・Windows7 BitLockerでドライブを暗号化する(基本編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100222/344919/
・Windows7 BitLockerでドライブを暗号化する(応用編)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100302/345215/ >>102
>>その点ではUSBメモリにスタートアップキーを保存してマシンに挿しっぱなしにしとくのでも効果はある。
これは気が付かんかったわ
確かに言われてみればその通りでこういう運用法があったんだな
脳みそが足らなかった 駅ロッカー使い方変わってきてる
QR紙、田舎者/年寄りには不親切だわ BitLockerで暗号化しとけばHDD/SSDの故障時に安心して修理(交換)に出せる AES-NIはSandy以降でもほぼi7とi5に限られた機能だから、あまり当たり前扱いは
しない方がいいかもな
KabyLake以降でようやく一般的と言えるレベルになるようだが >>110
Haswellからi3も搭載
Skylakeから全搭載
CoreMは全搭載
AtomはSilvermont(Baytrail)から全搭載 それよりTPMだよ
デスクトップはほぼ全滅でノートもごく一部 >>112
モバイルはHaswellの1チップ版からTPMが内蔵(IntelPTT)されて外付けチップが不要になった
デスクトップはSkylakeから同じく内蔵全搭載されて自作PCでも使えるようになった Core i3 6100のMINISTX機だけどデバイスマネージャにTPMの行はない
Skylakeでも入ってないってことだろ そりゃ低価格機にもれなく入れたら値段の高いPC売れないから当たり前 i7-6700KだけどTPMはマザーにソケットがあるだけで別売だぞ TPMモジュールが日本では手に入れられないのが問題だな
パソコンショップではまず売ってない TPMみたいなクリティカルな部品が別売だったら
信用し難いからパーツショップに置いてあってもどうせ使わないと思う
デスクトップでもノートでも使うのはM/Bに最初から組み込まれてる場合だけ 単純に考えてTPMがマザーボードから取り外せたら、
ストレージを盗むときにTPMを外して持ち去り、マザーボードのフリをする装置にTPMを接続して
鍵を読み出すことは可能に思える。
これを防ぐためにはTPMがマザーボードを認証するとか、
あるいはマザーボードはTPMに商用電源またはリチウム電池から電源を常に供給しといてそれが断たれたらTPMはロックする、
といった仕組みが考えられる。
もっともTPMの電源が切れないようにして取り外すことは決して不可能ではないように思えるし、
マザーボードに、TPMから認証を受けるための鍵を格納しておくための耐タンパー性のあるチップを搭載するくらいだったら、
最初からTPMをマザーボードに組み込めばいいわけで。
しかし、この「TPMが実際に何をしているのか」について記載した文書は乏しく、
意外とTPMは攻撃の余地があるんじゃないかという気がしないでもない。
まだ歴史が浅いから攻撃されたことがないだけではないのだろうか? >>119
USBメモリかよ
だいたいマザボに搭載されてるチップも半田付けされてるだけだから取り外せるし TPMよりUSBメモリにキーを内蔵する運用のほうが確実に見える >>122
自分の不見識でした
勘違いで知ったかして申し訳ありませんでした >>122
全然知らんかった
いい情報をありがとう >>122
deskmini110ユーザーだけど122の言うとおりだった
再起動してUEFIの設定変更したら対応できた Win10が2017年からTPM必須にした背景はこれだったんだな TPMは止めた方がいいと思うけどね
ある日突然PCが起動不能になるしリカバリも手順がややこしい
USBにキーを入れるのが楽で確実 結局マウントしてるときに踏み込まれたら意味ない気がする >>127
TPMが何をしているかがよくわからないので、どういうときに起動不可能になるかがわからないんだな
ちなみにBitLockerはTPMによる暗号化のほかにパスワードでも解除できるように設定することもできる
>>128
Windowsのログインパスワードは十分に長いならば、とっさにWindowsキー+Lでデスクトップをロックすれば大丈夫
この場合最も注意すべきはショルダーハッキングかもしれない
しかし相手にBitLockerを使用しているということがバレている場合は、
マシンを奪い、電源を切断してから速やかに(データが消える前に)メモリモジュールを取り外して別の機器でメモリモジュールを読み込むことで、
メモリに残っているディスクの暗号化鍵を取り出すことは「絶対に不可能とはいえない」らしい。
その点では例えばAppleのMacBook Airのようにメモリが簡単に取り外せないマシンを使うのが安全だという。 windows10proのクライアントHyper-Vに入れたwindows10proでBitlocker使う意味は有りますか?
仮想化上の暗号化OSをスリープした時に実PC側に保存される一時ファイルやスナップショットの中身は暗号化されていない素ですか? >>130
その不安を解消する製品は業務用の有料仮想化ソフトしかない >>130
ホストPC側に保存される一時ファイルやスナップショットは、ゲストPCにとってはメモリの中身にすぎないわけで、暗号化されてないだろう。
仮にBitlockerを使っても、鍵をどうする。
毎回起動時にパスワードを入力するのならいいが、TPMは仮想マシンには当然ないし、
鍵をディスクイメージに格納しておいといても、その場合ホストPCを暗号化してなきゃ意味がない
鍵を実物のUSBメモリに保存して、ゲストPCからディスクとして見えるように設定し、厳重に管理するならアリかもね。
BitLockerの鍵をNTFSのEFSで暗号化するのは?しかしHyper-Vの仮想マシンってSYSTEMユーザーで動くのではなかったっけ?そうするとEFSで暗号化はできないね。 >>130
131は間違ってた
Virtualboxが暗号化サポートしてた
これならBitlocker非対応のHomeでもイメージを暗号化できる それVDIファイルだけって書かれてない?
それにVBOXはVMWAREと比べて体感速度がワンテンポ遅いから
windows7/10等デスクトップOSの利用には向いてないと思う おまいらはそんなに見られたらヤバい物を扱ってるのか? 当たり前だ
おれのDドライブには夢と希望が詰まってる 見られて嫌な人はここでなくオープンソースのTrueCryptとかのがいいんじゃない TrueCryptは開発中止になってて、作者はWindowsならBitlockerを使うように勧めてる
もっとも今のところTrueCryptに大きな不具合はないとされてるけど
ただ、もう使うのは止めた方がいいんでは 監査で欠陥無が証明されてるのにVeraCreyptやBitlockerに移行する理由がない
OSが違うならCryptSetupとか他OSで動作するのに乗り換えしかないけど
WinOSなら今でもTCが鉄板でしょう ここはBitlockerスレだからNSAの陰謀があ!とか言う人はここに居なくていい
機能が制限されてるけど結果として簡単なBitlockerとOSS愛好者は永久にかみ合わない >>129
出かけてる間に家宅捜査入ったらアウトだと思うのね 別にBitLocker使ってるからってファイルコンテナ暗号化ができるそれらのツール使えないということはないからな
もちろん、解除できると豪語する業者もいるから国家権力クラス()に対抗する必要があるレベルの情報にはちと心もとないかなという館は否めないが ネット環境でBitlockertオンにしたらデータベース内で要注意人物フラグが立ってそう >>122
Pro買うわ
たまにこういう情報が書き込まれるから2chを抜けられない >>143
むしろそういう場合にこそ対応できるとされるのがBitLockerだと思うが?
ただ例えば、自宅の金庫にBitLocker回復キーを保管していて、マシンと一緒に金庫を押収されたような場合は、警察は金庫をこじ開けてBitLocker回復キーを使うだろうから確かにダメだ
そうでなければ、TPMを使ったBitLockerは、Windowsログインパスワードが破られなければ、警察によっても突破されない、と考えている。
「出かけてる間」もWindows + Lでロックするのみで、マシンの電源を入れっぱなしにしているのなら確かに、>>129に書いたようなメモリを素早く取り外して読むようなことをされたら突破される。
出かけるならば電源を切るか、休止状態にしとくのがよさそうだ。
>>147
CPUとマザボを取り換える前にパスワードによる暗号化解除を設定、取り換えてから新しいTPMにキーを設定、
設定したパスワードを削除、をやっていけばできそうだけど試したことないので具体的手順は知らん。 マザボ交換するなら保護の中断をクリックしてからシャットダウンして交換して起動するだけ DefenderにしろBitlockerにしろ
昔はブラウザやWMP入れた程度で独占禁止法がどうとか言われたのに
ここ最近は何入れてもOKなんだな
DVD再生が消えたけどアレは需要がないから消えたんだろうし
いつのまにかフリーダムになったんだ 一台のドライブを2つのパーティションにして、D/Eドライブとして暗号化してた。Dドライブを縮小してEドライブとの間に隙間作ったらEドライブ死んだ…。Dは元気なのに…。 Bitlockerでシステムドライブを暗号化しても
LinuxのライブUSBから起動してマウントすれば中身のファイルが見えんだから意味ない >>152
それそれ
やっぱ有料のじゃないとダメだよね 素人対策なんだからwindowsで読めなけりゃ十分だろ 回復キーと回復パスワードの正式な意味はどっちなん?
おまいらが、回復キーと言ってたのは、本当は回復パスワードだったんだぜ
で、回復キーは回復キーで別にあるみたいだし
MSも回復パスワードのことを回復キーと言ってるし
どーなってんの?
https://blogs.technet.microsoft.com/infrajp/2010/11/19/bitlocker/ BitLockerの回復(復号化)キーは3種類ほどあり回復パスワードはその手段の一つ 最近TPMつかうよりもUSBメモリ使った方が安全な気がしてきた
必要な時に差し込むだけだし 回復キーの中に回復キーがあるってことなの
それだと、回復キーがどっちの意味か不明なんだけど
だとしても、回復パスワードを回復キーというのはやっぱおかしいんじゃないの?
区別できてるのに、誤解させるような言い方だし。 >USBメモリー 中 USBメモリーの鍵はAES 128ビットで暗号化
>TPM 低 TPMの鍵はRSA 2048ビットで暗号化
http://ascii.jp/elem/000/000/014/14017/index-2.html
なんで2048bitなのに128bitより強度が低いの? TPMだけだとパソコン押収されたら解読できる
スマートカードやUSBメモリだけだと隠し場所発見されたら解読できる
パスワードだけだと自白させられたら解読される
複数を併用しすべしというのが専門家の見解 押収ってw
バックドアがあるBitlockerはマスターキーを持つ政府は開けられるから
警察や自衛隊と敵対したらWinPCなど丸裸だろ
TPMの有無とかパスワードの桁数なんて関係ないわ Bitlockerが開かないと信じるほうが可笑しいだろ
暗号化されてるから安全なら暴力団とかテロリストが使い放題だわ >>166
生成される乱数があらかじめ指定された範囲内で決まってるって噂のことか UEFI対応Veracryptが出てしまったからもうBitlockerは不要
MacでもLinuxでもマウントできるVCと利便性汎用性が違いすぎる 「こんにちわ」が、中国の漢字も含む1000字くらいの漢字・数字・記号の羅列に変換されるエニグマみたいなソフト(原則インターネットから遮断された環境でのみ動くLinux・BSD専用のソフト)を作るとか >>169
ああいうのが好きそうな陰謀論者から見ればTPM2.0有効は逆に危険なんだろう >>169
隠しOSや隠し領域がああいうアプリのミソ
パスワードを言わないことがいつか法廷侮辱罪等となる時代が来ても
隠しドライブは存在が証明できないから疑わしくても罰せられない
AES以外の暗号も同時に併用できるしBitlockerは仕事以外には使いたくないな LinuxでCryptsetup使ってこんな楽なんだと驚いた
windowsもインストール時で有効化する方式にしてほしいよ 壊れかけのドライブから暗号化されたデータだけ救出できたんだけどこれを復号化できないかな windows10proでやってみたけど500GBのHDD全体で12時間弱かかった
ところで、暗号化終わった後、全体をやったのかファイルがある所だけやったのか
って、どっかでわかるもの? LinuxをUSB起動すればwindowsがぜんぜん暗号化されていないことが分かる >>175
やっと糸口をつかめたthx!
復号化先のドライブがRAW化してしまうのはこっちの問題なのか? >>180
おおっありがとー
今手元は暗号化してないPCで、してないってのが見えた
今度、暗号化してるPCでやってみるわ(^^)/ Bitloker済みのシステムドライブがリカバリー時どうなるのかという多くの人垣にしそうなQandoAが無い リカバリーなどというWindowsの機能は無いんだから当たり前だろ そう
同じバックドアがあるVeracryptやtruecryptは安定はしていても無料だけが利点で面倒だから
TPMだけあればログインパスだけで導入できるBitkickerのほうが絶対に楽
PINやピクチャパスワードを後から追加できるし
外付けHDDやUSBについては間違えてフォーマットしないBitlockerが常に上 自動ロック解除って、電源OFFで、自動ロック解除が無効化されるの?
前日設定したのが、次の日起動したら無効化されてた
これ意味あんの?
なんか最近、Windowsの動作が直感的でないのが多い希ガス メインWin、サブMac使いだが
これMacのFileVaultみたいに気軽に使えるもんなのかな。
内蔵ストレージ暗号化のためにWin10Proにしようか迷ってる。
パフォーマンスの著しい低下とか、厄介なバグや不具合が無ければ導入してみたい。
ファイルのバックアップは普段からやってる(Robocopyによるファイルコピー)。 おまいらは、家宅捜索に入られるようなことやってんのか?
ある意味すごいぞw eSATAでつないだHDDだとBit Locker To GO扱いになるんだけど
結局再起動しないと施錠も取り出しも出来ないんだけど? んなぁこたぁない
eSataもSataも一緒なんですよ
エロい人はわかってないでつよ マザーの設定でホットプラグ有効にするか無効にするかだけだしな
まあHDDの場合は大抵OSがロックしてて取り出せない FNでやばいブツ集めてるからHDD丸ごと暗号化してるが
本当にK札に突破されないか心配 HDDケースに入れた外付けHDDをBitLocker暗号化して
そのあとケース変更しても大丈夫? 復号化してないなら大丈夫
ビットロッカーを突破する程有能なケーサツが心配なら素直にveracryptを使うべき
Microsoft製でオープンソースでないビットロッカーよりは幾分マシでしょ win10proでロックを解除したHDDを開こうとすると、「パラメーターがうんたら」と言って開けない時がある
再起動して同じことをすれば開けるので再現性はない
二台のPCでも同じことが起こる
なんでこうなんの?既出ならごめん >>201
解読法が分かっても、短時間に解けるとは誰も言ってないんだよなあ……。 そもそもXTS-AES使ってるってMSが明言してるが アルゴリズムが分かっても、解読法が分からないのが今の暗号
安心して使おうね 漁師コンピュータ辺りが実用化されれば、今の暗号は役に立たなくなるかもしれない。
実用化できれば、だが。 ■ このスレッドは過去ログ倉庫に格納されています
