窓辺の小石 第161回 暗号数字
2024年4月12日(金)15時36分 マイナビニュース
Windowsには、BitLockerと呼ばれるドライブの暗号化機能がある。Homeエディションには、BitLockerがないと説明されているが、Homeエディションでも利用できる「デバイスの暗号化」(Windowsデバイス暗号化とも)は、実はBitLockerの簡易版だ(表01)。
「デバイスの暗号化」は、Windows 11の全てのエディションで利用できるが、モダンスタンバイが必要など、BitLocker自体よりも動作条件が厳しい。しかし、条件を満たしている場合、デバイスの暗号化は自動的に適用される。
これに対して、BitLockerは、Pro/Enterprise/Educationエディションでのみ有効で、メーカー製PCなどの場合、初期状態で有効にされていることがある。
どちらが有効なのかを見分ける方法だが、「設定 ⇒ プライバシーとセキュリティ ⇒ セキュリティ」に「デバイスの暗号化」(写真01)があれば、すでにデバイスの暗号化が有効になっている。また、コントロールパネルに「BitLocker ドライブ暗号化」アイコン(写真02)があるなら、BitLockerが利用できる状態だ。Pro以上のエディションであれば、ユーザーが再インストールしたときの状況で、両方が使える状態かつ、どちらも有効になっていないときがある。
また、暗号化されたドライブの情報などは、PowerShellの「Get-BitLockerVolume」コマンドで得られる。
どちらも起動ドライブ(Cドライブ)を含む、ボリューム単位(ファイルシステム単位)の暗号化を行う。これにより、ドライブが取り外されて他のマシンに装着された場合勝手に中身を見られてしまうことがない。また、ログインせずにWindowsを再インストールするにはBitLockerやデバイス暗号化を解除しない場合にはパーティションを削除して上書きする必要がある。
BitLockerは、どちらかというとモバイルPCを想定した保護技術だ。デスクトップPCに適用することを妨げるものはないが、外に持ち出さないので置き忘れなどの問題はない(盗難される可能性はあるが……)。高速化されているとはいえ、オーバーヘッドはゼロはなく、外に持ち出すことのないデスクトップPCでは、必ずしもBitLockerを有効にする必要はない。そもそもBitLockerの適用がユーザー選択となっているのも、こうした理由があるからだろう。「デバイスの暗号化」は、モバイルPCを想定したモダンスタンバイなどの仕様が要求されるため、条件を満たせば自動で適用される。
BitLockerの暗号化は、起動中のWindowsで動作するアプリケーションからは、透過的であり、暗号化が行われていないのと同じようにアプリケーションはファイルにアクセスできる。ただし、BitLockerでは、アカウントが不正使用され、ログインされてしまえば、ファイル内容を見ることを防ぐことができない。Windows 11では、これをWindows Helloなどで保護する必要がある。
同じマシンを使う他ユーザーにファイルを見せたくない場合には、ファイル暗号化(EFS。Encrypting File System)によりファイルやフォルダ個別に暗号化を行う必要がある。エクスプローラーでファイルやフォルダのプロパティを開き、「全般タグ ⇒ 属性 ⇒ 詳細設定 ⇒ 内容を暗号化してデータをセキュリティで保護する」(写真03)を使う。
Windows 11では、TPM(Trusted Platform Module)が必須となったが、TPMが存在する場合、その機能を使って、起動プロセスを保護することができる。BitLockerでは、TPMにより起動プロセスが正しく行われたと検証されたときにのみ暗号化解読キーを取り出すことができる。
これは、ファームウェアやOSのブードローダーなど、プログラムバイナリやデータなどを複数あるPCR(Platform Configuration Register)に起動ステージ別に書き込んでいく。PCRには、現在の値と書き込み値から計算した値が設定されるため、同じ手順で同じ値を書き込まないと正しい値に設定することができない。
このPCRの値を、後段のプロセスが別途保持していた値と比較することで、前段のプログラムイメージが正しいことを確認できる。もし、前段のプロセスが改変されていたとすると、後段のプログラムが保持していた値とは異なってしまう。TPMとセキュアブート機能を使うことで、起動プロセスが正しいことを確認できる。
また、TPMは、ログイン時に使われるWindows Helloでも利用されている。前述のように、マシンに登録されているユーザーとしてログインされてしまうと、BitLockerの暗号化は、透過的なので、ファイルはすべて見えてしまう。BitLockerで暗号化する場合には、ローカルマシンに登録されている全ユーザーのログインをパスワードではなくWindows Hello経由で行うようにする。必要ないローカルユーザーなどは登録すべきでない。
BitLockerやデバイスの暗号化では、解読キーを失うと再インストールのときなどに手詰まりになることがある。また、メーカーによる修理の際にBitLockerの解除を求められることがある。BitLockerもデバイスの暗号化も「Microsoftアカウント」や、Azure Active Directory(Entra ID)にバックアップできる。メーカー製PCで最初からBitLockerが有効になっているとき、購入後、手動でMicrosoftアカウントなどにバックアップしておくことをお勧めする。バックアップの管理は、PC名で行われる。PC名を変更した、あるいはクリーンインストールした直後などにもバックアップした方がいい。
とはいえ、BitLockerは万全ではない。電源オフのあとしばらくRAMに残っているイメージなどからキーを取り出して解除するなどの方法で「無効化」できるという。簡単にいえば、相手が豊富な資金を持って、すべての手立てが利用できるような場合には、BitLockerでは保護できないということだ。もっとも、一般人は、そこまでやってまで入手しなければならない貴重な情報を持っているわけではないので、安心といえば安心である。パソコンに世界を支配できるような秘密を隠している人は秘密結社からハッキングされないように注意されたい。
今回のタイトルネタは「暗号」関連だが、ポーやドイルなどの大物はすでに使ってしまったので、ここは、日本の作家、海野十三の「暗号数字」を選んだ。今はどうだかしらないが、筆者が小学生の頃、学校の図書館には、海野十三や江戸川乱歩など、戦前から戦後に活躍した作家の本が多数あった。いまでは、青空文庫で読むことができるものの、書籍の表誌や挿絵がないとちょっと寂しい。
「デバイスの暗号化」は、Windows 11の全てのエディションで利用できるが、モダンスタンバイが必要など、BitLocker自体よりも動作条件が厳しい。しかし、条件を満たしている場合、デバイスの暗号化は自動的に適用される。
これに対して、BitLockerは、Pro/Enterprise/Educationエディションでのみ有効で、メーカー製PCなどの場合、初期状態で有効にされていることがある。
どちらが有効なのかを見分ける方法だが、「設定 ⇒ プライバシーとセキュリティ ⇒ セキュリティ」に「デバイスの暗号化」(写真01)があれば、すでにデバイスの暗号化が有効になっている。また、コントロールパネルに「BitLocker ドライブ暗号化」アイコン(写真02)があるなら、BitLockerが利用できる状態だ。Pro以上のエディションであれば、ユーザーが再インストールしたときの状況で、両方が使える状態かつ、どちらも有効になっていないときがある。
また、暗号化されたドライブの情報などは、PowerShellの「Get-BitLockerVolume」コマンドで得られる。
どちらも起動ドライブ(Cドライブ)を含む、ボリューム単位(ファイルシステム単位)の暗号化を行う。これにより、ドライブが取り外されて他のマシンに装着された場合勝手に中身を見られてしまうことがない。また、ログインせずにWindowsを再インストールするにはBitLockerやデバイス暗号化を解除しない場合にはパーティションを削除して上書きする必要がある。
BitLockerは、どちらかというとモバイルPCを想定した保護技術だ。デスクトップPCに適用することを妨げるものはないが、外に持ち出さないので置き忘れなどの問題はない(盗難される可能性はあるが……)。高速化されているとはいえ、オーバーヘッドはゼロはなく、外に持ち出すことのないデスクトップPCでは、必ずしもBitLockerを有効にする必要はない。そもそもBitLockerの適用がユーザー選択となっているのも、こうした理由があるからだろう。「デバイスの暗号化」は、モバイルPCを想定したモダンスタンバイなどの仕様が要求されるため、条件を満たせば自動で適用される。
BitLockerの暗号化は、起動中のWindowsで動作するアプリケーションからは、透過的であり、暗号化が行われていないのと同じようにアプリケーションはファイルにアクセスできる。ただし、BitLockerでは、アカウントが不正使用され、ログインされてしまえば、ファイル内容を見ることを防ぐことができない。Windows 11では、これをWindows Helloなどで保護する必要がある。
同じマシンを使う他ユーザーにファイルを見せたくない場合には、ファイル暗号化(EFS。Encrypting File System)によりファイルやフォルダ個別に暗号化を行う必要がある。エクスプローラーでファイルやフォルダのプロパティを開き、「全般タグ ⇒ 属性 ⇒ 詳細設定 ⇒ 内容を暗号化してデータをセキュリティで保護する」(写真03)を使う。
Windows 11では、TPM(Trusted Platform Module)が必須となったが、TPMが存在する場合、その機能を使って、起動プロセスを保護することができる。BitLockerでは、TPMにより起動プロセスが正しく行われたと検証されたときにのみ暗号化解読キーを取り出すことができる。
これは、ファームウェアやOSのブードローダーなど、プログラムバイナリやデータなどを複数あるPCR(Platform Configuration Register)に起動ステージ別に書き込んでいく。PCRには、現在の値と書き込み値から計算した値が設定されるため、同じ手順で同じ値を書き込まないと正しい値に設定することができない。
このPCRの値を、後段のプロセスが別途保持していた値と比較することで、前段のプログラムイメージが正しいことを確認できる。もし、前段のプロセスが改変されていたとすると、後段のプログラムが保持していた値とは異なってしまう。TPMとセキュアブート機能を使うことで、起動プロセスが正しいことを確認できる。
また、TPMは、ログイン時に使われるWindows Helloでも利用されている。前述のように、マシンに登録されているユーザーとしてログインされてしまうと、BitLockerの暗号化は、透過的なので、ファイルはすべて見えてしまう。BitLockerで暗号化する場合には、ローカルマシンに登録されている全ユーザーのログインをパスワードではなくWindows Hello経由で行うようにする。必要ないローカルユーザーなどは登録すべきでない。
BitLockerやデバイスの暗号化では、解読キーを失うと再インストールのときなどに手詰まりになることがある。また、メーカーによる修理の際にBitLockerの解除を求められることがある。BitLockerもデバイスの暗号化も「Microsoftアカウント」や、Azure Active Directory(Entra ID)にバックアップできる。メーカー製PCで最初からBitLockerが有効になっているとき、購入後、手動でMicrosoftアカウントなどにバックアップしておくことをお勧めする。バックアップの管理は、PC名で行われる。PC名を変更した、あるいはクリーンインストールした直後などにもバックアップした方がいい。
とはいえ、BitLockerは万全ではない。電源オフのあとしばらくRAMに残っているイメージなどからキーを取り出して解除するなどの方法で「無効化」できるという。簡単にいえば、相手が豊富な資金を持って、すべての手立てが利用できるような場合には、BitLockerでは保護できないということだ。もっとも、一般人は、そこまでやってまで入手しなければならない貴重な情報を持っているわけではないので、安心といえば安心である。パソコンに世界を支配できるような秘密を隠している人は秘密結社からハッキングされないように注意されたい。
今回のタイトルネタは「暗号」関連だが、ポーやドイルなどの大物はすでに使ってしまったので、ここは、日本の作家、海野十三の「暗号数字」を選んだ。今はどうだかしらないが、筆者が小学生の頃、学校の図書館には、海野十三や江戸川乱歩など、戦前から戦後に活躍した作家の本が多数あった。いまでは、青空文庫で読むことができるものの、書籍の表誌や挿絵がないとちょっと寂しい。
関連記事(外部サイト)
