TechNet Blog Tip: Názorná ukázka proč není dobré šifrovat BitLocker jenom v režimu "used space only"

Tak zrovna jsem narazil na pěknou ukázečku nebezpečnosti used-space-only. To je možnost, jak nastavit BitLocker. BitLocker může šifrovat buď celý oddíl a tím pádem všechny jeho sektory, i "prázdné". Dokonce ani jinak nelze šifrovat například VHD soubory, a to ani v případě že jsou pevné velikosti (tedy ne dynamicky rostoucí). Navíc je to výzhozí volba.

Podívejte se na obrázek. Je na něm kousíček obsahu VHD souboru, který je zašifrován BitLockerem v režimu used space only. Dal jsem do něho veliký soubor s ASCII znaky od 16 po 255. A ouha. Sice je velká část disku zašifrována a nic vidět není, našel jsem tam ale i nějaké sektory, které obsahují části souboru viditelně nezašifrované.

Proč? No asi se to tam zapsalo dříve, než se šifrovalo a soubor byl průběžně nějak realokován po disku. Nebo kdo ví :-) NSA nikdy nespí :-)

- Ondřej Ševeček, MVP

Comments

• Anonymous
  June 04, 2016
  Microsoft sám uvádí, že volba "used space only" je vhodná pouze pokud se šifruje nová storage. Pokud se šifruje storage na které již nějaká data jsou, je vždy doporučováno provést kompletní zašifrování.