BitLockerで気になる幾つかの疑問点などについて、Q&A形式でまとめておく。回復キーのバックアップ方法や独自のキーの作り方、互換性などについて取り上げる。
本入門連載では、システム管理者やシステムエンジニアの方々を主な対象として、IT業界でよく使われる技術や概念、サービスなどの解説をコンパクトにまとめておく。
連載の最後として、BitLockerで気になる幾つかの疑問点などについて、Q&A形式でまとめておく。BitLockerに対する一般的な質問については、以下のサイトも参照していただきたい。
回復パスワードを保存したファイルをもう一度作成したり、印刷したりするには、BitLockerのロック解除後、BitLocker管理ツールで[回復キーのバックアップ]を実行する(第1回参照)。すると回復パスワードファイルの保存やMicrosoftアカウントへの保存、印刷などができる。
第1回で述べたように、これらのパスワードはさまざまな方法でBitLockerのデータへのアクセスを許可するためのものである。どれを使っても同じようにデータにアクセスできるようになるため、回復キー情報が漏えいしているなら、第三者によってデータへアクセスされる危険性がある。住宅に例えるなら、ドアをたくさん付けて鍵をどこかに忘れたような状態だ。
だが幸いなことに、どのキー情報を受け付けるかはBitLockerドライブ側で制御できる。まずは「manage-bde -protectors -get」コマンドで(前回参照)、対象ドライブにどれだけのキー(保護機能)があるかを調べる。そして、用途が不明なものがあれば削除しておけばよい。面倒なら、今あるキーは(パスワード以外は)いったん全部削除して、新しく最小限の回復パスワードや外部キーだけ発行し直してもよいだろう。これによって、以前発行されているキーは全て意味を持たなくなる。
BitLockerディスクはロックを解除できない限り、残念ながら、できることはほとんど何もない。せいぜいパスワードを総当たり攻撃で調べるくらいだろう。だが、これでパスワードを見つけるには長い年月がかかるので、現実的には解除不能といえる。
格納データの復元を諦めたなら、新しい空ディスクとして利用すればよい。手順については特に何も気にすることはなく、BitLockerディスクがロック状態でもロック解除状態でもそのままエクスローラで右クリックして、フォーマットメニューを実行すればよい。元がBitLockerディスクであったとしてもそれらの情報は全て破棄され、通常のフォーマット済みの空ディスク(非暗号化ディスク)となる。BitLockerディスクとして使いたければ、あらためてBitLockerディスクに変換する。
回復パスワードを保存する場合、2つの方法がある。例えば5カ所に保存したい場合、1つの回復パスワードから5つのコピーを作って5カ所に保存する方法と、5つの回復パスワードを作って5カ所に異なる回復パスワードを保存する方法だ。
結論からすると、どちらでも安全性に大して違いはなく、同じように危険である。どの回復パスワードでも同じように暗号化を解除できるため、どの回復パスワードがどこから、どのように漏えいしたかは関係ない。一番脆弱(ぜいじゃく)な1カ所から漏れてしまえば暗号化を解除できてしまう。
あえて言うなら、5カ所にも分散して保存するような方針自体が問題だろう。もっと厳選した2〜3カ所にするとか、Active DirectoryドメインやMicrosoftアカウントに回復キーを保存することにして、手元にはせいぜい1つしか(もしくは全く)残さない、といった運用が望まれる。
ところで回復パスワードや回復キー以外にも、パスワードや自動ロック解除機能などでも暗号化を解除できる。なので、パスワードを長くて複雑なものにする、PCに簡単にサインインされないようにする、などの対策も必須である。
回復パスワードは6桁の数字が8組並んだ、全部で48桁の10進数数字だ。が、これは2進数で128bitのデータを表すランダムな数値である。ユーザーが望むなら、以前と同じ数字列をパスワードとしても使用できるし、極端な話、すべてのBitLockerドライブに同じ回復パスワードの数字列を与えることも可能である(数字列は同じでも生成される回復キーIDは異なる)。だがセキュリティ上の安全性を優先するなら、基本的にはシステムが生成するランダムな値をそのまま利用すべきだ。
自分で作成する場合は、まず10進数の0〜65535(16bitの2進数)の数値を1つ生成し、これを11倍して上位に0を付けて6桁にする。これを8回繰り返せば48桁の回復パスワードになる。
ほんの少し遅くなるが、現在の高速なCPUのPCではほぼ影響しないと言える。ベンチマークテストなどを実行すると、確かにいくらかディスクの入出力速度の低下が見受けられる。だが体感上はほぼ影響はない。タスクマネージャーの画面などを見れば分かるように、ほとんどの場合はCPU負荷よりもディスクの速度の方がボトルネックになっており、暗号処理(AESアルゴリズム)に伴う速度低下の影響はほとんどない。
現在使用中のCPUがどの程度のAESの暗号化処理を行えるかは「winsat formal」コマンドの結果である程度分かる。詳細は次の記事参照。
ディスクの速度よりもこのAESの処理速度の方が大幅に速ければ、暗号化による速度低下はないと判断できる。
Windows 10 TH2以降では、BitLockerで新しい暗号化アルゴリズム(XTS-AES)が利用できる。だがこれをWindows 7などでアクセスしようとすると次のような(やや意味不明な)エラーになるので、リムーバブルメディアでは利用は避けるべきである。
manage-bdeコマンドで情報を見ると次のようになっている。何のエラーなのか、少々分かりづらい。
C:\>manage-bde -status i:
BitLocker ドライブ暗号化: 構成ツール Version 6.1.7601
Copyright (C) Microsoft Corporation. All rights reserved.
ボリューム I: [不明なラベル]
[データ ボリューム]
サイズ: 不明 GB
BitLocker のバージョン: Windows 7
変換状態: 不明
暗号化された割合: 不明%
エラー: エラーが発生しました (コード 0x80070057): ……エラーとなって、情報を取得できない
パラメーターが間違っています。
C:\>
ひょっとして次のようなエラーが表示されているのだろうか?
もしこの画面だとすると、これはBitLockerの問題ではない。これは、リモートデスクトップ(RDP)接続しているときにBitLockerの初期化をしようとすると表示されるエラーである。もしRDP経由で接続しているなら、コンソール画面から直接ログオンして作業すると解消できるはずだ。
これはWindows OSの仕様で、リモートデスクトップ接続したコンソールではリムーバブルメディアへのアクセス権がいくらか制限されていることに起因する。どうしてもRDP経由で作業したいなら、次のグループポリシーを変更する。
本連載では、BitLockerの概要を紹介してきた。OSドライブ(C:)や内蔵データディスクを暗号化する方法は少し手間が掛かるし、運用に注意が必要なこともある。だがリムーバブルディスクやUSBメモリを暗号化するのは非常に簡単である。使う場合も最初に1回パスワードを入力するだけでよいので、データを持ち運ぶことがあるなら、(そして対応エディションのOSを使っているなら)是非利用したい。
Copyright© Digital Advantage Corp. All Rights Reserved.