Microsoft non si fida dei produttori di SSD, la cifratura software di BitLocker sale in cattedra
Dall’introduzione del famigerato Windows Vista, i sistemi operativi di Microsoft integrano BitLocker, una funzionalità che consente di crittografare l’intera partizione del sistema operativo al fine di proteggere le informazioni. Il tipo di crittografia usata da Bitlocker – hardware o software – è impostata tramite Criteri di Gruppo. Se disponibile, si usa la cifratura hardware standard.
Molti SSD e hard disk offrono (o dicono di offrire) infatti sistemi di cifratura dei dati, che dovrebbero svolgere in hardware il compito di BitLocker. Di conseguenza BitLocker lasciava campo libero alle tecnologie integrate nei controller, dando credito alle parole dei produttori e sgravando la CPU da un carico importante.
Il problema è che a volte i sistemi di cifratura hardware integrati non fanno ciò per cui sono preposti, e se lo fanno lasciano la porta aperta al furto di dati da parte di malintenzionati come emerso in passato.
La casa di Redmond ha perciò preso posizione e ha “smesso di credere” ai produttori di soluzioni di storage: con l’aggiornamento KB4516071 distribuito il 24 settembre Windows 10 passa alla cifratura software di default, ossia a BitLocker e alla sua crittografia AES con accelerazione da parte della CPU.
Nel bollettino si legge che sono stati fatti “cambiamenti all’impostazione di default per BitLocker quando si codifica un hard disk con cifratura automatica. Ora l’impostazione di default è quella di usare la cifratura software per le unità appena crittografate. Per le unità esistenti, il tipo di crittografia non cambierà”.
La cifratura dei dati via software è generalmente più lenta e impatta sul processore. Gli utenti possono decidere di affidarsi alla cifratura hardware se ritengono affidabile il produttore, ma la mossa di Microsoft va in un’ottica di sicurezza generale, che ha sicuramente la precedenza rispetto all’aggravio prestazionale.
Passare dalla cifratura hardware a quella software non svolge nuovamente la codifica dei dati esistenti: solo un’installazione totalmente nuova, inclusa la riformattazione dell’unità, impone la crittografia software.
