Hemsida » hur » Så här gör du BitLocker Använd 256-bitars AES-kryptering istället för 128-bitars AES

    Så här gör du BitLocker Använd 256-bitars AES-kryptering istället för 128-bitars AES

    Windows BitLocker-kryptering är standard till 128-bitars AES-kryptering, men du kan istället välja att använda 256-bitars AES-kryptering. Att använda en 256-bitars AES-nyckel kan eventuellt erbjuda mer säkerhet mot framtida försök att komma åt dina filer.

    Är detta verkligen säkrare? Tja, det handlar om en debatt. Du kan naivt anta att 256-bitars kryptering ger mer säkerhet, men det är inte så klart.

    Är 256-bitars AES-kryptering mer säker?

    Nu är det här ett komplicerat ämne. Den gemensamma visdomen är att AES 128 och AES 256 faktiskt erbjuder samma säkerhet. Det skulle ta så lång tid att brutna kraft 128-bitars AES-kryptering att 256-bitars AES-kryptering inte verkligen ger en meningsfull mängd ytterligare säkerhet. Om det till exempel skulle ta en fjärdedel år att brutna kraft 128-bitars AES, betyder det verkligen att det kan ta ännu längre tid att brute-force 256-bitars AES? För alla realistiska ändamål är de lika säkra.

    Men det är inte så enkelt. NSA kräver 128-bitars nycklar för data som är märkta SECRET, medan det krävs 256-bitars nycklar för data märkta TOP SECRET. NSA anser klart 256-bitars AES-kryptering säkrare. Känner en hemlig myndighet med uppgift att bryta kryptering veta något vi inte vet, eller är det bara ett fall av dumt regeringsbyråkrati?

    Vi är inte kvalificerade att ge det sista ordet om detta. Agile Bits har en bra fördjupad titt på ämnet i deras blogginlägg om varför de flyttade 1Password lösenordshanteraren från 128-bitars AES till 256-bitars AES. NSA anser uppenbarligen 256-bitars AES-krypteringsskydd mot framtida kvantdatorteknik som kan bryta kryptering mycket snabbare.

    Välj 256-bitars AES-kryptering för BitLocker

    Låt oss anta att du har bestämt att du hellre använder 256-bitars AES, eller kanske du är en NSA-anställd med dokument som är märkt TOP SECRET och du måste göra det här. Tänk på att 256-bitars AES kommer att vara långsammare än 128-bitars AES, även om den här prestandaförskjutningen blir mindre märkbar med snabbare datormaskinvara.

    Den här inställningen är begravd i grupppolicy, som du kan justera på din egen dator om datorn inte ingår i en domän. Tryck på Windows-tangenten + R för att öppna dialogrutan Kör, skriv gpedit.msc i den och tryck på Enter för att öppna lokal grupprincipredigerare.

    Navigera till Datorkonfiguration \ Administrativa mallar \ Windows-komponenter \ BitLocker-enhetskryptering. Dubbelklicka på "Välj enhet för kryptering och krypteringsstyrka".

    Välj Aktiverat, klicka på rullgardinsmenyn och välj AES 256-bit. Klicka på OK för att spara din ändring.

    BitLocker använder nu 256-bitars AES-kryptering när nya volymer skapas. Den här inställningen gäller bara nya volymer som du aktiverar BitLocker på. Alla befintliga BitLocker-volymer fortsätter att använda 128-bitars AES.

    Konvertera 128-bitars AES-volymer till 256-bitars AES-kryptering

    BitLocker ger inte möjlighet att konvertera befintliga BitLocker-volymer till en annan krypteringsmetod. Du kan göra det själv genom att dekryptera enheten och sedan kryptera den igen med BitLocker. BitLocker använder 256-bitars AES-kryptering när den ställs in.

    För att göra detta högerklickar du på en krypterad enhet och väljer Hantera BitLocker eller navigerar till BitLocker-panelen i Kontrollpanelen. Klicka på länken Slå av BitLocker under en krypterad volym.

    Tillåt Windows att dekryptera enheten. När det är klart, aktivera BitLocker för volymen genom att högerklicka på den och välj Slå på BitLocker eller klicka på Slå på BitLocker i kontrollpanelfönstret. Gå igenom den vanliga BitLocker installationsprocessen.

    Kontrollera din krypteringsmetod för BitLocker-volymen

    Du behöver ett speciellt kommando för att se om en enhet använder 128-bitars AES eller 256-bitars AES-kryptering.

    Öppna först ett kommandotolfönster som administratör. På Windows 8.1 eller 8 högerklickar du längst ned till vänster på skärmen eller trycker på Windows-tangenten + X och väljer Kommandotolken (Admin). I Windows 7 öppnar du Start-menyn, söker efter Kommandotolken, högerklickar på genvägskommandot och väljer Kör som administratör.

    Skriv följande kommando i kommandotolken och tryck på Enter:

    manage-bde-status

    Du får se information om varje krypterad BitLocker-enhet på din dator, inklusive dess krypteringsmetod. Leta efter "AES 128" eller "AES 256" till höger om "Krypteringsmetod" under enheten.


    Drivs du konfigurerar fortsätter att använda antingen AES 128 eller AES 256 kryptering efteråt, oavsett grupppolicyinställningen. Inställningen påverkar endast krypteringsmetoden som Windows använder när du installerar nya BitLocker-volymer.

    Bildkredit: Michelangelo Carrieri på Flickr