BitLocker

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
Windows BitLockerドライブ暗号化
開発元 マイクロソフト
対応OS Windows Vista,
Windows 7,
Windows 8/8.1,
Windows 10,
Windows Server 2008,
Windows Server 2008 R2,
Windows Server 2012/2012 R2
種別 暗号ソフトウェア
ライセンス プロプライエタリ
公式サイト Windows 7 の機能 BitLockerドライブ暗号化
テンプレートを表示

Windows BitLockerドライブ暗号化 (ウィンドウズ ビットロッカードライブあんごうか)は、Microsoft Windowsに搭載されているデータ暗号化機能である。Windows Vistaで初めて搭載された。

概要[編集]

ディスク全体を暗号化することができるセキュリティ機能である。他のPCにディスクを接続されても、中身を読むことはできない。コンピューターにTrusted Platform Module(TPM)が搭載されていれば、それを使用して暗号化を行う。

ディスクはWindows VistaとWindows 7では128ビットまたは256ビットのAES-CBC + Elephant diffuserで暗号化される。Windows 8以降ではAES-CBCのみで暗号化される[1]。Windows 10バージョン1511ではXTS-AESも使用可能になった[2]。暗号化されたディスクは、一般的に3〜5%のパフォーマンス低下が見られる。また、SSDのTrim機能に対応する[3]

機能を使用できるWindowsのバージョン[編集]

BitLockerによるディスクの暗号化機能は、クライアントWindowsではVistaと7のUltimate、Enterpriseエディション、8以降ではPro、Enterpriseエディション、10のEducationエディションで使用可能である。Windows Serverでは、いずれのエディションでも使用可能である。

BitLocker To Go[編集]

Windows 7以降のエディションでは、USBメモリなどのリムーバブル・ディスクの暗号化を行えるBitLocker To Go機能が追加された。

BitLocker To Go リーダー[編集]

BitLocker To Go非対応のWindows XPとWindows Vistaで、暗号化されたディスクからデータを読み取るためのアプリケーション。読み取りのみで書き込みは行えない。また、読み取れるのはFAT16、FAT32、またはexFATのみでNTFSや他のファイルシステムは読み取れない。[4]

Windows 7以降では下位エディションでもBitLockerで暗号化されたドライブの読み書きが可能なため上記の制限はない。[5]

デバイスの暗号化[編集]

Windows RT 8とWindows 8.1(無印)で導入された限定機能。システムドライブの暗号化のみが可能。

  • InstantGo
  • TPM 2.0
  • Microsoftアカウントと紐づけた管理者アカウント

が必須要件。前述のBitLockerが使用可能なエディションではBitLockerから管理できる。

暗号化モード[編集]

BitLocker暗号化実装を構築するものとして次の3つの認証機構が使われている。[6]

  • 透過動作モード - このモードはTPM 1.2ハードウェアの機能を使って透過的ユーザー・エクスペリエンスを提供する。ユーザーは通常通り電源を入れてWindowsにログオンする。ディスク暗号化に使われるキーはTPMチップによって暗号化され、改変されていない最初のブートファイルを読み込むときにOSローダーコードによって解除される。BitLockerのOS起動前コンポーネントは Trusted Computing Group (TCG) によって規定された手法 "Static Root of Trust Measurement" の実装によって成り立っている。このモードはコールドブートアタック[注 1]に対して脆弱であり、攻撃者は電源が切れているマシンをブートさせることが可能である。
  • ユーザー認証モード - このモードではOSのブート前にユーザーがPINやパスワードによる認証を行う必要がある。
  • USBキー モード - ユーザーは保護されたOSから起動するために、起動用のキーを含むUSBデバイスをコンピューターに接続する必要がある。USBキーは暗号化スマートカードを読み込むCCID英語版デバイスで供給される。ただ単に外部USBドライブにキーファイルを格納するよりも、CCIDを使用することが好ましい。CCIDプロトコルは秘密鍵をスマートカードに組み込まれた暗号化プロセッサによって秘匿し、単純にUSBドライブからコピーして盗まれたキーファイルによってシステムが侵害されることを防ぐからである。

上記の認証方法から次の組み合わせがサポートされており、全てはオプションの回復キー(キーエスクロウ)をサポートする。[7]

  • TPMのみ[8]
  • TPM + PIN[9]
  • TPM + PIN + USBキー[10]
  • TPM + USBキー[11]
  • USBキー[12]
  • パスワードのみ

動作[編集]

BitLockerは論理ボリューム暗号化システムである。ボリュームはハードディスクドライブ全体であってもそうでなくても、あるいは複数の物理ドライブでスパン構成されていてもよい。また、有効時にはTPMとBitLockerはオフラインでの物理的攻撃、ブートセクタ感染型マルウェアなどを阻止するために、信頼されたブートパス(BIOSやブートセクタ)の同一性を確保する。

BitLockerが機能するために、少なくとも2つのNTFSフォーマット済みボリュームが必要になる。1つはオペレーティングシステム(通常はCドライブ)で、もう一つはオペレーティングシステムのブート用となる最小100MBのボリュームである[13]。ブートボリュームは暗号化されていない必要がある。Windows Vistaではこのボリュームに必ずドライブ文字が割り当てられるが、Windows 7ではその必要はない。旧バージョンのWindowsと異なり、Windows VistaのDISKPARTコマンドはNTFSボリュームのサイズを縮小する機能があり、BitLockerのためのシステムボリュームは確保済みの空き領域から作成することができる。マイクロソフトよりBitLocker Drive Preparation Toolが提供されており、新しいボリュームのためにWindows Vista上の既存のボリュームを縮小して必要なブートストラップファイルを転送するようになっている[14]。Windows 7ではBitLockerが使われていない場合でも既定でブートボリュームを作成するようになっている。

一度代替ブートパーティションが作成されると、TPM、PINまたはUSBキーなどのディスク暗号化キー保護機構を設定した後にTPMモジュールを初期化する必要がある。それからボリュームはバックグラウンド処理で暗号化される。全ての論理セクタを読み込み、暗号化し、ディスクに再度書き戻すため、サイズの大きいディスクでは時間が掛かる場合がある。全てのボリュームが暗号化されてボリュームが安全であると考えられるとき、キーは保護される。BitLockerは低水準デバイスドライバーを用いて全てのファイルを暗号化・復号化しており、暗号化ボリュームはプラットフォーム上で動作するアプリケーションに対して透過的に作用する。

一度オペレーティングシステムカーネルが起動すると、BitLockerと共に暗号化ファイルシステム (Encrypting File System ; EFS) によって保護が行われる。オペレーティングシステム上のプロセスやユーザーからのファイルの保護はEFSなどのWindows上で実行されるソフトウェアによってのみ暗号化が行われる。従って、BitLockerとEFSはそれぞれ異なる種類の攻撃に対する保護を提供する。[15]

Active Directory環境ではBitLockerはオプションのキーエスクロウをサポートする。(Windows Server 2008以前のWindowsバージョンでActive Directoryサービスが動いている場合、スキームの更新が必要になることがある。)

BitLockerおよび他の完全ディスク暗号化システムは不正なブートマネージャーによる攻撃を受ける可能性がある。一度悪意のあるブートローダーが秘匿情報を手に入れてしまうと、ボリュームマスターキー (Volume Master Key ; VMK) を復号化して暗号化済みハードディスクのどんな情報も復号化または改変するアクセスが可能になる。BIOSやブートセクタを含む信頼されたブートパスを保護するようにTPMを設定することで、BitLockerはこの脅威を低減できる。(ただ、時によってブートパスに対する正しい変更がPCRチェックの失敗と判断され、警告メッセージを表示させることがある。)[16]

第1システムデバイスでBitLockerを使うには、UEFIで互換性サポートモジュール (Compatibility Support Module ; CSM) を無効にする必要がある。

脚注[編集]

注釈

  1. ^ システムの電源切断後もしばらくの間はDRAMのデータが消えずに残留することを利用した攻撃手法。

出典

  1. ^ BitLocker Overview
  2. ^ What's new in BitLocker?” (2015年11月12日). 2015年11月16日閲覧。
  3. ^ ソリッド ステート ドライブ (SSD) に関するサポートと Q&A
  4. ^ Description of BitLocker To Go Reader”. 2015年11月16日閲覧。
  5. ^ BitLocker To Go リーダーとは”. 2014年3月29日閲覧。 “どのエディションの Windows 7 でも暗号化されたドライブを開いて変更することはできます。”
  6. ^ BitLocker Drive Encryption”. Data Encryption Toolkit for Mobile PCs: Security Analysis. Microsoft (2007年4月4日). 2007年9月5日閲覧。
  7. ^ ProtectKeyWithNumericalPassword method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  8. ^ ProtectKeyWithTPM method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  9. ^ ProtectKeyWithTPMAndPIN method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  10. ^ ProtectKeyWithTPMAndPINAndStartupKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  11. ^ ProtectKeyWithTPMAndStartupKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  12. ^ ProtectKeyWithExternalKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  13. ^ BitLocker Drive Encryption in Windows 7: Frequently Asked Questions”. TechNet Library. Microsoft (2012年3月22日). 2012年4月7日閲覧。
  14. ^ Description of the BitLocker Drive Preparation Tool”. Microsoft (2007年9月7日). 2008年2月19日時点のオリジナルよりアーカイブ。2008年2月22日閲覧。
  15. ^ Ou, George (2007年6月8日). “Prevent data theft with Windows Vista's Encrypted File System (EFS) and BitLocker”. TechRepublic. CBS Interactive. 2013年9月7日閲覧。
  16. ^ BitLocker Drive Encryption in Windows 7: Frequently Asked Questions”. TechNet Library. Microsoft (2012年3月22日). 2013年3月16日閲覧。

関連項目[編集]

  • ディスクの暗号化(en)
  • ディスク暗号化ソフトの比較(en)
  • BestCrypt(en)(ディスク暗号化ソフトウェア。Windows、Mac OS X、Linux に対応。)
  • FileVault(Mac OS Xに搭載されているディスク暗号化機能)
  • TrueCrypt(オープンソースのディスク暗号化ソフトウェア。Windows 7/Vista/XP、Mac OS X、Linux に対応。)
  • VeraCrypt(開発が終了したTrueCryptのソースコードを引き継いだオープンソースのディスク暗号化ソフトウェア。Windows、OS X、Linux に対応。)
  • DiskCryptor(en)(Windows用のディスク暗号化ソフトウェア。パーティションにデータがある状態のままでドライブやパーティションを暗号化できる。 ファイルコンテナは作成できない。)
  • FreeOTFE(en)(Windows 2000 から 7 までの全バージョンで動作する。Linux は限定的にサポート)
  • FreeOTFE Explorer(en)(管理者権限がなくとも、暗号ボリュームにアクセスできるGUIシェル)
  • CryptoNAS(en)(Linux ベースの NAS サーバーで、一緒に利用するドライブを暗号化。ネットワーク内のコンピュータ上で Samba(Windows)共有経由でアクセスできる。)
  • LUKS(ディスク暗号化ソリューションの一つ)
  • Pretty Good Privacy, GNU Privacy Guard(公開鍵暗号化方式によるファイル暗号化ソフトウエア)
  • 暗号
  • Advanced Encryption Standard
  • データの完全消去

外部リンク[編集]