BitLocker non ripone più fiducia sugli SSD con supporto crittografico

Con un aggiornamento per i sistemi Windows 10 che Microsoft ha iniziato a distribuire lo scorso 24 settembre (KB4516071), il sistema operativo non darà più per scontata la sicurezza degli algoritmi crittografici usati dai moderni e più costosi SSD.
La decisione è arrivata a circa un anno dalla scoperta di un problema insito nelle unità a stato solido di diversi produttori: Crittografia SSD: quella hardware talvolta fa acqua e BitLocker può risultare inefficace.

Con un attacco non proprio alla portata di tutti che ovviamente necessita della disponibilità fisica dell’unità SSD altrui, un aggressore poteva decodificare il contenuto del supporto di memorizzazione e leggere dati personali e informazioni sensibili.

Come spiegato in questa pagina di supporto, d’ora in avanti il sistema Microsoft che permette anche di crittografare il contenuto di intere unità, comprese quelle di sistema (BitLocker), non riporrà più alcuna fiducia nei meccanismi dei produttori terzi implementati a livello hardware.

Per impostazione predefinita, Windows 10 e BitLocker proporranno sempre di abilitare la crittografia via software, anche nei casi in cui l’unità SSD supportasse l’attivazione della crittografia in modo autonomo. Per le configurazioni già in uso non cambierà nulla e continuerà ad essere utilizzata la crittografia lato hardware in tutte le situazioni in cui l’utente abbia scelto di adoperarla.
Le moderne CPU sono infatti in grado di gestire senza problemi la crittografia dei dati, comprese le operazioni di lettura e scrittura sulle partizioni di sistema, senza alcun evidente calo di performance.

Nell’articolo BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all’avvio abbiamo visto non soltanto come attivare la cifratura dei dati con BitLocker ma anche come fare in modo che venga richiesto l’inserimento di una password ad ogni avvio o riavvio della macchina.

Se si volesse continuare a usare la crittografia hardware è comunque possibile farlo: basta aprire l’Editor criteri di gruppo locali (premere Windows+R quindi digitare gpedit.msc) e selezionare Configurazione computer, Modelli amministrativi, Componenti di Windows, Crittografia unità BitLocker, Unità dati fisse.
Cliccando due volte su Configura utilizzo della crittografia hardware per unità dati fisse quindi selezionando Attivata si potrà abilitare la cifratura dei dati in hardware.