私は長年主に Ubuntu を使用してきましたが、現在は Windows 11 Pro を使用する必要があります。
私は TPM 2.0 を搭載したマシンを持っているので、Microsoft の Web サイト/Windows 11 では、デバイス (ディスクだと思いますが) が暗号化されたことが示されています。
しかし、SSD 全体が暗号化されている場合 (少なくとも私が実現したいのは)、Windows ログイン画面にどうやってアクセスできるのかわかりません。ディスク上の内容を復号化するためのキーなしで OS を読み取ることができるのでしょうか。
それとも、単に「デバイス暗号化」が実際に何をするのかを誤解しているだけでしょうか?
答え1
しかし、SSD 全体が暗号化されている場合 (少なくとも私が実現したいのは)、Windows ログイン画面にどうやってアクセスできるのかわかりません。ディスク上の内容を復号化するためのキーなしで OS を読み取ることができるのでしょうか。
それするキーを持っています。BitLocker 暗号化キーはログイン パスワードに基づくものではなく、Ubuntu の LUKS パスフレーズと非常によく似ており、完全に独立しています。
本質的には、WindowsのBitLockerはUbuntuのLUKSとほぼ同じように機能します。パーティションごとに機能するため(ディスク全体ではなく)、OSパーティション全体が暗号化されますが、OSの一部は暗号化されません。ない1で暗号化され、別のパーティションに保存されるため、「ディスク」パスフレーズの入力が求められます。または、TPM を使用してパスフレーズを自動的に取得します。
「デバイス暗号化」が有効な場合、ディスク パスフレーズは TPM を使用して暗号化 (「封印」) され、ディスクの BitLocker メタデータ内に保存されます。システムが起動すると、Windows ブートローダーがパスフレーズを封印解除 (つまり、TPM に復号化を要求) し、暗号化された C:\ ボリュームのロックを解除できます。前にOS をロードしています。
OS ログインプロンプトが表示されるまでには、すべてがすでにロック解除されています。
(Linux でも を使用すると同じことを実現できますsystemd-cryptenroll。 は、TPM を使用して LUKS キーを封印し、それを LUKS2 ヘッダー内に「トークン」として保存します。 この場合、暗号化されていない Linux カーネル + initrd がパスフレーズを要求したり、TPM と通信したりします。)
BitLocker のフル バージョン (Windows の「Pro」以上のエディション) では、TPM なしで通常のパスフレーズを使用することもサポートされています。(これは具体的には「デバイスの暗号化」とは見なされませんが、内部的には同じ BitLocker です。) TPM なしでそのように BitLocker を設定すると、Ubuntu の場合と同じように、OS の起動を開始する前に、Windows ブートローダーからパスフレーズ プロンプトが表示されます。
1「フルディスク暗号化」は実際にはほとんどの場合パーティションごとに行われ、実際にはディスク全体ではありません。通常、メインの C:\ または Linux の「/」パーティションは暗号化されますが、「EFI システム パーティション」は暗号化されません。
Windows ブートローダー (BitLocker を処理) と Linux カーネル + initrd (LUKS を処理) の両方を、暗号化されていない EFI システム パーティションに保存する必要があります。(同様に、BIOS システムでは、暗号化されていない /boot、または /boot の Windows 版である「Microsoft システム パーティション」が存在します。)
このセットアップ全体の重要な部分の一つは、「TPMで密封された」キーが復号化の条件ブートローダーは暗号化されていないにもかかわらず、TPM によって開封が拒否されるため、TPM に添付されているブートローダーは改ざんから保護されます。パスワードベースの暗号化では、通常、このような保護はありません。
Windows ディスクには通常、読み取り専用のミニ OS を含む「Rescue」パーティションがあります。これも暗号化されていません (ただし、セキュア ブートによって保護されています)。同じディスクにカスタム データ パーティションがある場合、それらは暗号化されている場合とされていない場合があります。暗号化されている場合、パスフレーズは C: 内のどこかに保存されます。
答え2
デバイスの暗号化はデータの保護に役立ち、幅広い Windows デバイスで利用できます。
通常、データにアクセスするときは Windows 経由で、Windows へのサインインに関連する通常の保護が適用されます。ただし、誰かがこれらの Windows 保護を回避したい場合、コンピューターのケースを開けて物理的なハード ドライブを取り外すことができます。その後、制御するマシンにハード ドライブを 2 番目のドライブとして追加することで、資格情報を必要とせずにデータにアクセスできる可能性があります。
ただし、ドライブが暗号化されている場合、その方法を使用してドライブにアクセスしようとすると、ドライブ上のデータにアクセスするために復号化キー (本来は提供すべきではない) を提供する必要があります。復号化キーがなければ、ドライブ上のデータは意味不明なものにしか見えません。
デバイスの暗号化は、コンピュータではなくディスクの盗難を防ぎます。
コンピューターを保護するには、コンピューターが Bitlocker の使用資格を満たしている場合、コンピューターのロックを解除するためのキーを必要とする Bitlocker を有効にする必要があります。Bitlocker キーと回復キーは適切に管理してください。そうしないと、データが失われるリスクがあります。
詳細については、 BitLocker の概要。