Muchos SSD de consumo afirman admitir el cifrado y BitLocker los creía. Pero, como aprendimos el año pasado, esas unidades a menudo no encriptaban archivos de manera segura. Microsoft acaba de cambiar Windows 10 para dejar de confiar en esos SSD incompletos y por defecto en el cifrado de software.
En resumen, las unidades de estado sólido y otros discos duros pueden presumir de «autocifrado». Si lo hacen, BitLocker no realizaría ningún cifrado, incluso si habilitó BitLocker manualmente. En teoría, eso era bueno: la unidad podría realizar el cifrado por sí misma a nivel de firmware, acelerando el proceso, reduciendo el uso de la CPU y tal vez ahorrando algo de energía. En realidad, era malo: muchas unidades tenían contraseñas maestras vacías y otros horrendos fallos de seguridad. Aprendimos que no se puede confiar en los SSD de consumo para implementar el cifrado.
Ahora, Microsoft ha cambiado las cosas. De forma predeterminada, BitLocker ignorará las unidades que afirman ser autocifrado y hará el trabajo de cifrado en el software. Incluso si tiene una unidad que dice ser compatible con el cifrado, BitLocker no lo creerá.
Este cambio llegó a Windows 10 KB4516071 actualización, publicada el 24 de septiembre de 2019. SwiftOnSecurity lo detectó en Twitter:
Microsoft renuncia a los fabricantes de SSD: Windows ya no confiará en las unidades que dicen que pueden encriptarse a sí mismas, BitLocker utilizará de forma predeterminada el cifrado AES acelerado por CPU. Esto es después de una exposición sobre problemas generales con el cifrado basado en firmware.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
– SwiftOnSecurity (@SwiftOnSecurity) 27 de septiembre de 2019
Los sistemas existentes con BitLocker no se migrarán automáticamente y seguirán usando el cifrado de hardware si se configuraron originalmente de esa manera. Si ya tiene habilitado el cifrado de BitLocker en su sistema, debe descifrar la unidad y luego cifrarla una vez más para asegurarse de que BitLocker esté utilizando cifrado de software en lugar de cifrado de hardware. Este boletín de seguridad de Microsoft incluye un comando que puede usar para verificar si su sistema está utilizando cifrado basado en hardware o software.
Como señala SwiftOnSecurity, las CPU modernas pueden realizar estas acciones en el software y no debería ver una desaceleración notable cuando BitLocker cambia al cifrado basado en software.
BitLocker aún puede confiar en el cifrado de hardware, si lo desea. Esa opción está deshabilitada de forma predeterminada. Para las empresas que tienen unidades con firmware de confianza, la opción «Configurar el uso de cifrado basado en hardware para unidades de datos fijas» en Configuración del equipo Plantillas administrativas Componentes de Windows Cifrado de unidad BitLocker Las unidades de datos fijas en la Política de grupo les permitirá reactivar el uso de cifrado basado en hardware. Todos los demás deberían dejarlo en paz.
Es una pena que Microsoft y el resto de nosotros no podamos confiar en los fabricantes de discos. Pero tiene sentido: claro, su computadora portátil puede ser fabricada por Dell, HP o incluso la propia Microsoft. Pero, ¿sabe qué unidad tiene esa computadora portátil y quién la fabricó? ¿Confía en que el fabricante de esa unidad maneje el cifrado de forma segura y emita actualizaciones si hay algún problema? Como hemos aprendido, probablemente no debería hacerlo. Ahora, Windows tampoco lo hará.