Windows "BitLocker криптирането по подразбиране е 128-битово AES криптиране, но вместо това можете да изберете да използвате 256-битово AES криптиране. Използването на 256-битов ключ AES може потенциално да осигури повече сигурност срещу бъдещи опити за достъп до файловете ви.
Това наистина ли е по-сигурно? Е, това е въпрос на някакъв дебат. Възможно е наивно да приемете, че 256-битовото криптиране предлага повече сигурност, но това не е толкова ясно.
Сега ето една сложна тема. Общата мъдрост е, че AES 128 и AES 256 всъщност предлагат една и съща сигурност. Щеше да отнеме толкова време, че да се получи 128-битово AES криптиране, което криптиране 256-битово AES наистина не предлага значителна допълнителна сигурност. Например, ако ще отнеме четири милиарда години до грубия 128-битов AES, има ли значение, че може да отнеме още повече време, за да се насити 256-битов AES? За всички реалистични цели те са еднакво сигурни.
Но това не е съвсем просто. NSA изисква 128-битови клавиши за данни, маркирани с "SECRET", докато изисква 256-битови клавиши за данни, маркирани с "TOP SECRET". NSA очевидно счита 256-битовото AES криптиране за по-сигурно. Дали тайландска правителствена агенция, натоварена с разбиването на криптирането, знае нещо, което не знаем, или това е просто случай на глупава държавна бюрокрация?
Ние не сме квалифицирани да дадем последната дума по този въпрос. Agile Bits има много по-задълбочен поглед към темата в блога си по пощата за това, защо премести мениджъра на пароли за 1 парола от 128-битов AES на 256-битов AES. НСС очевидно смята 256-битова AES криптиране за защита срещу бъдещи квантови компютърни технологии, които биха могли да спрат криптирането много по-бързо.
Да приемем, че сте решили, че предпочитате да използвате 256-битов AES или може би сте служител на НСА с документи, маркирани с "TOP SECRET" и трябва да направите това. Имайте предвид, че 256-битовият AES ще бъде по-бавен от 128-битовия AES, въпреки че тази разлика в производителността става все по-забележима с по-бърз компютърен хардуер.
Тази настройка е погребана в груповите правила, които можете да настроите на собствения си компютър, ако компютърът ви не е част от домейн. Натиснете Windows Key + R, за да отворите диалога Run, напишете gpedit.msc в него и натиснете Enter, за да отворите редактора Local Group Policy Editor.
Придвижете се до Компютърна конфигурация \ Административни шаблони \ Компоненти на Windows \ Шифроване на устройства BitLocker. Щракнете двукратно върху настройката "Изберете метод за шифроване на диска и шифриране".
Изберете Активирано, кликнете върху падащото меню и изберете 256-битов AES. Кликнете върху OK, за да запазите промяната.
BitLocker ще използва 256-битово AES криптиране при създаването на нови томове. Тази настройка се отнася само за новите томове, на които сте активирали функцията BitLocker. Всички съществуващи том на BitLocker ще продължат да използват 128-битов AES.
BitLocker не осигурява начин за преобразуване на съществуващи том на BitLocker в друг метод за шифроване. Можете да направите това сами, като дешифрирате устройството и след това го кодирате отново с BitLocker. BitLocker ще използва 256-битово AES шифроване, когато го настройва.
За да направите това, щракнете с десния бутон върху кодирано устройство и изберете Manage BitLocker или отидете в панела BitLocker в контролния панел. Кликнете върху връзката Изключване на BitLocker под шифрован обем.
Разрешаване на Windows да декриптира устройството. Когато това стане, активирайте отново BitLocker за силата на звука, като кликнете с десния бутон върху него и изберете Включване на BitLocker или щракнете върху Включване на BitLocker в прозореца на контролния панел. Преминете през нормалния процес на настройка на BitLocker.
Ще ви е необходима специална команда, за да видите дали устройството използва 128-битово AES или 256-битово AES шифроване.
Първо, отворете прозореца на командния ред като администратор. В Windows 8.1 или 8 щракнете с десния бутон на мишката в долния ляв ъгъл на екрана или натиснете клавиша Windows + X и изберете Command Prompt (Admin). В Windows 7 отворете менюто "Старт", потърсете команден ред, щракнете с десния бутон на мишката върху командния ред на командния ред и изберете Изпълни като администратор.
Въведете следната команда в прозореца на командния ред и натиснете Enter:
управлявате-bde -status
Ще видите информация за всяко криптирано устройство BitLocker на компютъра, включително неговия метод за шифроване. Потърсете "AES 128" или "AES 256" отдясно на "Метод на шифроване" под устройството.
Устройствата, които настройвате, ще продължат да използват или AES 128 или AES 256 криптиране, независимо от настройката за групови правила. Настройката засяга само метода на шифроване, който Windows използва при настройването на нови том на BitLocker.
Image Credit: Микеланджело Кариери на Flickr
