WindowsのBitLocker暗号化 デフォルトは128ビットAES 暗号化 、ただし、代わりに256ビットのAES暗号化を使用することを選択できます。 256ビットのAESキーを使用すると、将来ファイルにアクセスしようとする試みに対するセキュリティが強化される可能性があります。
これは本当に安全ですか?まあ、それはいくつかの議論の問題です。 256ビット暗号化の方がセキュリティが高いと素朴に思われるかもしれませんが、それほど明確ではありません。
256ビットAES暗号化はより安全ですか?
関連: WindowsでBitLocker暗号化を設定する方法
ここに複雑なトピックがあります。一般的な通念は、AES128とAES256は実際にはほぼ同じセキュリティを提供するというものです。 128ビットのAES暗号化を総当たり攻撃するには非常に時間がかかるため、256ビットのAES暗号化では意味のある量の追加のセキュリティが実際には提供されません。たとえば、128ビットAESをブルートフォースするのに数十億年かかるとしたら、256ビットAESをブルートフォースするのにさらに時間がかかる可能性があることは本当に重要ですか?すべての現実的な目的のために、それらは等しく安全です。
しかし、それはそれほど単純ではありません。 NSAは、SECRETとマークされたデータに128ビットのキーを必要とします 、TOPSECRETとマークされたデータには256ビットのキーが必要です。 NSAは、256ビットのAES暗号化がより安全であると明確に考えています。暗号化を破ることを任務とする秘密の政府機関は、私たちが知らないことを知っていますか、それともこれは愚かな政府官僚の事例にすぎませんか?
これについて最後の言葉を述べる資格はありません。 Agile Bitsは、ブログ投稿でこのテーマを詳細に調べています。 1Passwordパスワードマネージャーを128ビットAESから256ビットAESに移行した理由 。 NSAは、暗号化をはるかに迅速に破る可能性のある将来の量子コンピューティング技術に対する256ビットAES暗号化保護を検討しているようです。
BitLockerに256ビットAES暗号化を選択する
256ビットのAESを使用することを決定したと仮定します。または、トップシークレットとマークされたドキュメントを持つNSAの従業員であり、これを実行する必要がある場合があります。 256ビットAESは128ビットAESよりも低速になることに注意してください。ただし、このパフォーマンスの違いは、高速のコンピューターハードウェアでは目立たなくなります。
この設定はに埋もれています グループポリシー 、コンピュータがドメインの一部でない場合は、自分のコンピュータで調整できます。 Windowsキー+ Rを押して[実行]ダイアログを開き、gpedit.mscと入力し、Enterキーを押してローカルグループポリシーエディターを開きます。
[コンピューターの構成] \ [管理用テンプレート] \ [Windowsコンポーネント] \ [BitLockerドライブの暗号化]に移動します。 「ドライブの暗号化方法と暗号強度の選択」設定をダブルクリックします。
[有効]を選択し、ドロップダウンボックスをクリックして、[AES256ビット]を選択します。 [OK]をクリックして変更を保存します。
BitLockerは、新しいボリュームを作成するときに256ビットのAES暗号化を使用するようになりました。 この設定は、BitLockerを有効にする新しいボリュームにのみ適用されます。 既存のBitLockerボリュームは、引き続き128ビットAESを使用します。
128ビットのAESボリュームを256ビットのAES暗号化に変換する
関連: WindowsでBitLockerを使用して暗号化されたコンテナファイルを作成する方法
BitLockerは、既存のものを変換する方法を提供しません BitLockerボリューム 別の暗号化方法に。ドライブを復号化してからBitLockerで再暗号化することにより、これを自分で行うことができます。 BitLockerは、セットアップ時に256ビットのAES暗号化を使用します。
これを行うには、暗号化されたドライブを右クリックして[BitLockerの管理]を選択するか、コントロールパネルの[BitLocker]ペインに移動します。暗号化されたボリュームの下にある[BitLockerをオフにする]リンクをクリックします。
Windowsがドライブを復号化できるようにします。完了したら、ボリュームを右クリックして[BitLockerをオンにする]を選択するか、コントロールパネルウィンドウで[BitLockerをオンにする]をクリックして、ボリュームのBitLockerを再度有効にします。通常のBitLockerセットアッププロセスを実行します。
BitLockerボリュームの暗号化方法を確認してください
ドライブが128ビットAESまたは256ビットAES暗号化を使用しているかどうかを確認するには、特別なコマンドが必要です。
まず、管理者としてコマンドプロンプトウィンドウを開きます。 Windows 8.1または8では、画面の左下隅を右クリックするか、Windowsキー+ Xを押して、コマンドプロンプト(管理者)を選択します。 Windows 7では、[スタート]メニューを開き、[コマンドプロンプト]を検索し、[コマンドプロンプト]ショートカットを右クリックして、[管理者として実行]を選択します。
[コマンドプロンプト]ウィンドウに次のコマンドを入力して、Enterキーを押します。
manage-bde -status
暗号化方法など、コンピューター上の暗号化された各BitLockerドライブに関する情報が表示されます。ドライブの下の「暗号化方式」の右側にある「AES128」または「AES256」を探します。
セットアップしたドライブは、グループポリシーの設定に関係なく、その後もAES128またはAES256暗号化を使用し続けます。この設定は、Windowsが新しいBitLockerボリュームをセットアップするときに使用する暗号化方法にのみ影響します。
画像クレジット: Flickrのミケランジェロ・カリエリ
