人気ブログランキング | 話題のタグを見る
TPMチップ無でBitLockerで暗号化
最近モバイルPC(Acer Aspire 1410)を入手し、Windows7 UltimateにアップグレードしたのでよーやくBitLockerでドライブを暗号化してみることにしました。


データドライブのBitLocker暗号化
まず、データの保存に使ってるDドライブをBitLockerで暗号化してみることにします。
コントロールパネルの BitLockerドライブ暗号化 から、DドライブのBitLockerを有効にします。

↓するとウィザードが始まるわけですが、どうやらシステムドライブ以外はパスワードによる暗号化となるようですね。
TPMチップ無でBitLockerで暗号化_e0091163_2252887.jpg


↓回復キーの保存を行います。
TPMチップ無でBitLockerで暗号化_e0091163_225519.jpg

回復キーをファイルとして保存するとUTF16のテキストファイルとなります。
大体下記のような内容になります。

BitLocker ドライブ暗号化の回復キー

回復キーは、BitLocker で保護されているドライブのデータの回復に使用します。

これが適切な回復キーであることを確認するには、このキーの ID を、回復の画面に表示される ID と比較してください。

回復キー ID: 9999C807-A1A2-43
完全な回復キー ID: 9999C807-A1A2-431D-B63E-99AF24FEC555

BitLocker 回復キー:
199287-086405-625603-199287-273020-625603-086405-086405

USBメモリに保存すると、拡張子が BEK となるバイナリファイルとして保存されるようです。

回復キーを保存すると暗号化が開始されるわけですが、結構時間かかります。
150GBで1.5時間弱ほどかかりました。
(暗号化処理中にもドライブのアクセスは可能なんですが、下手に思い処理はしない方が賢明です。暗号化対象ドライブに保存した仮想マシンHDDイメージにアクセス中にフリーズしてしまい、Dドライブのデータがパァになりました。しかも、それ以降explorerを立ち上げようとすると、「サーバーの実行に失敗しました」というエラーになります。どうやらユーザプロファイル(特にレジストリ)がおかしくなってしまったらしく、暗号化処理をしてたユーザを削除し、別のユーザを作ることで解決しましたが...)


また、Dドライブにユーザのマイドキュメント等をリダイレクトさせようと考えていたため、OS起動時に自動的にロックを解除させたいと思いました。
で、その設定をしようとしたところ、OSがインストールされているドライブがBitLockerで保護されてないとダメなようです。(下記イメージ)
TPMチップ無でBitLockerで暗号化_e0091163_2261580.jpg



システムドライブのBitLocker暗号化
ということで、システムドライブのBitLocker暗号を試してみます。
システムドライブのBitLockerには基本的には、TPMチップが必要でその中にキー(スタートアップキー)を保存するのですが、Aspire 1410にはBitLockerに必要なTPMチップが搭載されていません。

↓TPMチップがない状態でBitLockerを有効にしようとすると下記のようにエラーとなります。
TPMチップ無でBitLockerで暗号化_e0091163_227323.jpg


しかし、TPMの代わりにUSBメモリ内に鍵を保存することもできるようです。

今回はこの方法をとってみました。
USBメモリ内にキーを保存するにはグループポリシーを変更しないといけません。
今回はドメインに参加してないPCなので、ローカルグループポリシーを変更します。
gpedit.msc より、コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → BitLockerドライブ暗号化 → オペレーティングシステムのドライブ → スタートアップ時に追加の認証を要求する を開き 有効 にして、「互換性のあるTPMが装備されていないBitLockerを許可する」にチェックを入れます。

これで、USBメモリがキー格納先として使えるようになります。


↓ウィザードを再開すると下記のようなメッセージがでます。
MBRやブートローダーを格納するためのパーティションを作るということですね。(さすがにブートパーティションは暗号しちゃうとまずいので。。)
今回はブートパーティションとして300MBくらい確保されました。
TPMチップ無でBitLockerで暗号化_e0091163_2273058.jpg


↓ブートパーティションの確保処理中です。
TPMチップ無でBitLockerで暗号化_e0091163_2274947.jpg



↓ここでUSBメモリを指定するとスタートアップキーを保存できます。
TPMチップ無でBitLockerで暗号化_e0091163_2283398.jpg



↓また、回復キーはデータドライブのときと同じようにファイルに保存できます。
TPMチップ無でBitLockerで暗号化_e0091163_229036.jpg



これでかなりの時間待てば暗号化処理が完了します。
OSのドライブを暗号化したので、OS起動時にDドライブの暗号化を自動的にロックを解除できるようになりました。

さて、USBメモリに保存されたスタートアップキーですが、回復キーをUSBメモリに保存した時と同じようにバイナリファイルとして保存されます。(隠しファイルとなっているので注意が必要です。)
このUSBメモリを起動時に挿しておくと暗号化が解除されます。USBメモリをさしておかないとOSは起動できませんでした。


基本的に普段はキーは挿しっぱなしにしておきたいので、USBメモリを挿入しぱなっしはかさばってしまいます。
ということで、Aspire1410にはSDカードスロットもあるので、SDカードにスタートアップキーのファイルをUSBメモリからコピーしてみました。
それで起動できるかどうか試したところ、OKでした。
SDカードだとかさばらないので助かりますね。



参考:
【連載】すぐわかるWindows7 第13回 BitLocker<1>|アスキー・ドットPC|編集部ブログ
ASCII.jp:Vistaの知られざる機能を探る――“BitLockerドライブ暗号化”とは 実はTPMだけのカギは一番セキュリティが低いようです。TPM+USBメモリの組み合わせが最強みたいですね。また、BitLockerでは鍵が3重になっていることも開設されています。
【最新モバイルPCとWindows 7で実現するビジネスの堅牢性 第7回】 : ビジネス・モバイル - Computerworld.jp:
by jehoshaphat | 2010-10-03 22:10 | 豆知識


<< IE9ベータ版を入れてみた グループポリシーのプロキシの設... >>