По умолчанию для шифрования BitLocker в Windows используется 128-битное шифрование AES, но вы можете вместо этого использовать 256-битное шифрование AES. Использование 256-битного ключа AES потенциально может обеспечить большую безопасность от будущих попыток доступа к вашим файлам.
Это действительно более безопасно? Ну, это вопрос некоторых дискуссий. Вы можете наивно полагать, что 256-битное шифрование обеспечивает большую безопасность, но это не так ясно.
Является ли 256-битное шифрование AES более безопасным?
Теперь вот сложная тема. Общепринятым является то, что AES 128 и AES 256 фактически обеспечивают примерно одинаковую безопасность. 128-битное шифрование AES может занять так много времени, что 256-битное шифрование AES на самом деле не обеспечивает значительного уровня дополнительной безопасности. Например, если на грубое 128-битное AES потребуется квадриллион лет, действительно ли имеет значение, что на грубое 256-битное AES может потребоваться еще больше времени? Для всех реалистичных целей они одинаково безопасны.
Но не все так просто. NSA требует 128-битные ключи для данных, помеченных как SECRET, а также 256-битные ключи для данных, помеченных как TOP SECRET. АНБ явно считает 256-битное шифрование AES более безопасным. Знает ли секретное правительственное агентство, которому поручено взломать шифрование, что-то, чего мы не знаем, или это просто случай глупой правительственной бюрократии?
Мы не имеем права дать последнее слово по этому вопросу. Agile Bits подробно рассмотрели в своем блоге тему о том, почему они перевели менеджер паролей 1Password с 128-битного AES на 256-битный AES. АНБ, по-видимому, рассматривает 256-битную защиту AES-шифрования от будущих технологий квантовых вычислений, которые могут нарушить шифрование гораздо быстрее.
Выберите 256-битное шифрование AES для BitLocker
Предположим, вы решили, что предпочитаете использовать 256-битный AES, или, может быть, вы являетесь сотрудником АНБ с документами, помеченными как TOP SECRET, и вам нужно это сделать. Имейте в виду, что 256-битный AES будет медленнее, чем 128-битный AES, хотя эта разница в производительности становится менее заметной с более быстрым компьютерным оборудованием.
Этот параметр скрыт в групповой политике, которую вы можете настроить на своем компьютере, если ваш компьютер не является частью домена. Нажмите Windows Key + R, чтобы открыть диалоговое окно «Выполнить», введите в него gpedit.msc и нажмите Enter, чтобы открыть редактор локальной групповой политики.
Перейдите к Конфигурации компьютера \ Административные шаблоны \ Компоненты Windows \ Шифрование диска BitLocker. Дважды щелкните параметр «Выберите способ шифрования диска и надежность шифра».
Выберите Enabled, щелкните раскрывающийся список и выберите 256-битный AES. Нажмите кнопку ОК, чтобы сохранить изменения.
BitLocker теперь будет использовать 256-битное шифрование AES при создании новых томов. Этот параметр применяется только к новым томам, для которых включен BitLocker. Любые существующие тома BitLocker будут продолжать использовать 128-битный AES.
Конвертировать 128-битные тома AES в 256-битное шифрование AES
BitLocker не предоставляет способ преобразования существующих томов BitLocker в другой метод шифрования. Вы можете сделать это самостоятельно, расшифровав диск, а затем повторно зашифровав его с помощью BitLocker. BitLocker будет использовать 256-битное шифрование AES при настройке.
Для этого щелкните правой кнопкой мыши зашифрованный диск и выберите «Управление BitLocker» или перейдите на панель «BitLocker» на панели управления. Нажмите на ссылку «Отключить BitLocker» под зашифрованным томом.
Разрешить Windows для расшифровки диска. Когда это будет сделано, снова включите BitLocker для тома, щелкнув его правой кнопкой мыши и выбрав «Включить BitLocker» или нажав «Включить BitLocker» в окне панели управления. Пройдите обычный процесс установки BitLocker.
Проверьте метод шифрования тома BitLocker
Вам понадобится специальная команда, чтобы узнать, использует ли диск 128-битное шифрование AES или 256-битное шифрование AES.
Сначала откройте окно командной строки от имени администратора. В Windows 8.1 или 8 щелкните правой кнопкой мыши в нижнем левом углу экрана или нажмите клавишу Windows + X и выберите «Командная строка» («Администратор»). В Windows 7 откройте меню «Пуск», найдите командную строку, щелкните правой кнопкой мыши ярлык командной строки и выберите «Запуск от имени администратора».
Введите следующую команду в окне командной строки и нажмите Enter:
manage-bde -status
Вы увидите информацию о каждом зашифрованном диске BitLocker на вашем компьютере, включая его метод шифрования. Найдите «AES 128» или «AES 256» справа от «Способ шифрования» под дисководом.
После этого настроенные вами диски будут продолжать использовать шифрование AES 128 или AES 256, независимо от настроек групповой политики. Этот параметр влияет только на метод шифрования, используемый Windows при настройке новых томов BitLocker.
Кредит Фотографии: Микеланджело Карриери на Flickr
