3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援→開発戻り浦島太郎状態の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。

TPMチップ無でBitLockerで暗号化

最近モバイルPC(Acer Aspire 1410)を入手し、Windows7 UltimateにアップグレードしたのでよーやくBitLockerでドライブを暗号化してみることにしました。

データドライブのBitLocker暗号化

まず、データの保存に使ってるDドライブをBitLockerで暗号化してみることにします。

コントロールパネルの BitLockerドライブ暗号化 から、DドライブのBitLockerを有効にします。

↓するとウィザードが始まるわけですが、どうやらシステムドライブ以外はパスワードによる暗号化となるようですね。

↓回復キーの保存を行います。

回復キーをファイルとして保存するとUTF16のテキストファイルとなります。

大体下記のような内容になります。

BitLocker ドライブ暗号化の回復キー

回復キーは、BitLocker で保護されているドライブのデータの回復に使用します。

これが適切な回復キーであることを確認するには、このキーの ID を、回復の画面に表示される ID と比較してください。

回復キー ID: 9999C807-A1A2-43

完全な回復キー ID: 9999C807-A1A2-431D-B63E-99AF24FEC555

BitLocker 回復キー:

199287-086405-625603-199287-273020-625603-086405-086405

USBメモリに保存すると、拡張子が BEK となるバイナリファイルとして保存されるようです。

回復キーを保存すると暗号化が開始されるわけですが、結構時間かかります。

150GBで1.5時間弱ほどかかりました。

(暗号化処理中にもドライブのアクセスは可能なんですが、下手に思い処理はしない方が賢明です。暗号化対象ドライブに保存した仮想マシンHDDイメージにアクセス中にフリーズしてしまい、Dドライブのデータがパァになりました。しかも、それ以降explorerを立ち上げようとすると、「サーバーの実行に失敗しました」というエラーになります。どうやらユーザプロファイル(特にレジストリ)がおかしくなってしまったらしく、暗号化処理をしてたユーザを削除し、別のユーザを作ることで解決しましたが...)

また、Dドライブにユーザのマイドキュメント等をリダイレクトさせようと考えていたため、OS起動時に自動的にロックを解除させたいと思いました。

で、その設定をしようとしたところ、OSがインストールされているドライブがBitLockerで保護されてないとダメなようです。(下記イメージ)

システムドライブのBitLocker暗号化

ということで、システムドライブのBitLocker暗号を試してみます。

システムドライブのBitLockerには基本的には、TPMチップが必要でその中にキー(スタートアップキー)を保存するのですが、Aspire 1410にはBitLockerに必要なTPMチップが搭載されていません。

TPMチップがない状態でBitLockerを有効にしようとすると下記のようにエラーとなります。

しかし、TPMの代わりにUSBメモリ内に鍵を保存することもできるようです。

今回はこの方法をとってみました。

USBメモリ内にキーを保存するにはグループポリシーを変更しないといけません。

今回はドメインに参加してないPCなので、ローカルグループポリシーを変更します。

gpedit.msc より、コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → BitLockerドライブ暗号化 → オペレーティングシステムのドライブ → スタートアップ時に追加の認証を要求する を開き 有効 にして、「互換性のあるTPMが装備されていないBitLockerを許可する」にチェックを入れます。

これで、USBメモリがキー格納先として使えるようになります。

↓ウィザードを再開すると下記のようなメッセージがでます。

MBRブートローダーを格納するためのパーティションを作るということですね。(さすがにブートパーティションは暗号しちゃうとまずいので。。)

今回はブートパーティションとして300MBくらい確保されました。

↓ブートパーティションの確保処理中です。

↓ここでUSBメモリを指定するとスタートアップキーを保存できます。

↓また、回復キーはデータドライブのときと同じようにファイルに保存できます。

これでかなりの時間待てば暗号化処理が完了します。

OSのドライブを暗号化したので、OS起動時にDドライブの暗号化を自動的にロックを解除できるようになりました。

さて、USBメモリに保存されたスタートアップキーですが、回復キーをUSBメモリに保存した時と同じようにバイナリファイルとして保存されます。(隠しファイルとなっているので注意が必要です。)

このUSBメモリを起動時に挿しておくと暗号化が解除されます。USBメモリをさしておかないとOSは起動できませんでした。

基本的に普段はキーは挿しっぱなしにしておきたいので、USBメモリを挿入しぱなっしはかさばってしまいます。

ということで、Aspire1410にはSDカードスロットもあるので、SDカードにスタートアップキーのファイルをUSBメモリからコピーしてみました。

それで起動できるかどうか試したところ、OKでした。

SDカードだとかさばらないので助かりますね。

参考:

【連載】すぐわかるWindows7 第13回 BitLocker<1>|アスキー・ドットPC|編集部ブログ

ASCII.jp:Vistaの知られざる機能を探る――“BitLockerドライブ暗号化”とは 実はTPMだけのカギは一番セキュリティが低いようです。TPM+USBメモリの組み合わせが最強みたいですね。また、BitLockerでは鍵が3重になっていることも開設されています。

【最新モバイルPCとWindows 7で実現するビジネスの堅牢性 第7回】 : ビジネス・モバイル - Computerworld.jp: