TPMチップ無でBitLockerで暗号化 - 3流プログラマのメモ書き

最近モバイルPC(Acer Aspire 1410)を入手し、Windows7 UltimateにアップグレードしたのでよーやくBitLockerでドライブを暗号化してみることにしました。

データドライブのBitLocker暗号化

まず、データの保存に使ってるDドライブをBitLockerで暗号化してみることにします。

コントロールパネルの BitLockerドライブ暗号化から、DドライブのBitLockerを有効にします。

↓するとウィザードが始まるわけですが、どうやらシステムドライブ以外はパスワードによる暗号化となるようですね。

↓回復キーの保存を行います。

回復キーをファイルとして保存するとUTF16のテキストファイルとなります。

大体下記のような内容になります。

BitLocker ドライブ暗号化の回復キー

回復キーは、BitLocker で保護されているドライブのデータの回復に使用します。

これが適切な回復キーであることを確認するには、このキーの ID を、回復の画面に表示される ID と比較してください。

回復キー ID: 9999C807-A1A2-43

完全な回復キー ID: 9999C807-A1A2-431D-B63E-99AF24FEC555

BitLocker 回復キー:

199287-086405-625603-199287-273020-625603-086405-086405

USBメモリに保存すると、拡張子が BEK となるバイナリファイルとして保存されるようです。

回復キーを保存すると暗号化が開始されるわけですが、結構時間かかります。

150GBで1.5時間弱ほどかかりました。

(暗号化処理中にもドライブのアクセスは可能なんですが、下手に思い処理はしない方が賢明です。暗号化対象ドライブに保存した仮想マシンHDDイメージにアクセス中にフリーズしてしまい、Dドライブのデータがパァになりました。しかも、それ以降explorerを立ち上げようとすると、｢サーバーの実行に失敗しました｣というエラーになります。どうやらユーザプロファイル(特にレジストリ)がおかしくなってしまったらしく、暗号化処理をしてたユーザを削除し、別のユーザを作ることで解決しましたが...)

また、Dドライブにユーザのマイドキュメント等をリダイレクトさせようと考えていたため、OS起動時に自動的にロックを解除させたいと思いました。

で、その設定をしようとしたところ、OSがインストールされているドライブがBitLockerで保護されてないとダメなようです。(下記イメージ)

システムドライブのBitLocker暗号化

ということで、システムドライブのBitLocker暗号を試してみます。

システムドライブのBitLockerには基本的には、TPMチップが必要でその中にキー(スタートアップキー)を保存するのですが、Aspire 1410にはBitLockerに必要なTPMチップが搭載されていません。

↓TPMチップがない状態でBitLockerを有効にしようとすると下記のようにエラーとなります。

しかし、TPMの代わりにUSBメモリ内に鍵を保存することもできるようです。

今回はこの方法をとってみました。

USBメモリ内にキーを保存するにはグループポリシーを変更しないといけません。

今回はドメインに参加してないPCなので、ローカルグループポリシーを変更します。

gpedit.msc より、コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → BitLockerドライブ暗号化 → オペレーティングシステムのドライブ → スタートアップ時に追加の認証を要求するを開き有効にして、｢互換性のあるTPMが装備されていないBitLockerを許可する｣にチェックを入れます。

これで、USBメモリがキー格納先として使えるようになります。

↓ウィザードを再開すると下記のようなメッセージがでます。

MBRやブートローダーを格納するためのパーティションを作るということですね。(さすがにブートパーティションは暗号しちゃうとまずいので。。)

今回はブートパーティションとして300MBくらい確保されました。