仮想マシンのBitLockerはまだFIPS 140-2に準拠していますか?
BitLocker は暗号モジュールとして使用できますを満たすためにFIPS 140-2セキュリティレベル1コンプライアンス。
一般的な設定では、 SBサムドライブ を使用して、起動時にBitLockerによって暗号化されたドライブのロックを解除できます。
暗号化されたドライブが仮想マシン上にある場合、それはまだ FIPS 140-2 準拠ですか?
仮想マシンのセットアップでは、 BitLockerはUSBドライブなしで使用できます 仮想マシンのホスト上のドライブの1つが仮想USBサムドライブ(またはパーティション)として機能できるためです。
唯一の問題は、このすべてが本当に怪しげに聞こえるということです。この種のBitLockerの実装は、ほとんどの場合、BitLockerが提供する保護をそもそも覆します。
それで、仮想サムドライブを備えた仮想マシンのBitLockerはFIPS 140-2に準拠していますか?
検証済みモジュールリスト には、該当する セキュリティポリシー へのリンクがあります。セキュリティポリシーでは、§2.3が認定が適用されるプラットフォームについて説明しています。特定のハードウェアへの参照なしで、Windowsのいくつかのバージョンがリストされています。次に、§6では、証明書を適用するために満たす必要がある使用要件について説明します。 §5.2に記載されているFIPS準拠の起動メカニズムの1つが使用中である必要があるため、マシンにはPINパッド、USB接続またはTPMが必要です。ポリシーには接続が明示的に記述されていませんしたがって、Windowsを実行しているマシンとこれらの周辺機器との間で、仮想マシンを使用できます。
仮想サムドライブは別の問題になります。実際のUSBは関係していないので、このケースをカバーするように言語を解釈できるとは思いません。
では、Bitlockerはどのくらい意味があるのでしょうか。それはまだ有用であると私は主張します。 Bitlocker(セキュリティ要件を満たしている場合)は、仮想マシンに閉じ込められている攻撃者からシークレットを保護します。
しかし、BitlockerがFIPS 140-2Level 1に準拠しているという事実自体は、Bitlockerが特に安全であることを意味しません) 。セキュリティポリシーを読むとわかるように、Bitlockerが暗号化アルゴリズムを正しく実装し、キーマテリアルを漏らさないように若干の注意を払い、漠然としたまともな高レベルアーキテクチャを備えているという表面的な評価があります。それだけです。いくつかのセキュリティ保証を取得するには、認証階層の上位(FIPS 140-2レベル2、または適切なEALのCommom Criteria)に進む必要があります。それでも、得られるのはそれだけです。完全な保証ではありませんセキュリティ。
もっと重要なことはそれが準拠していることだと思います-問題はそれでいいですか? VMをコピーすると、ハードドライブがbitlockerに文句を言うでしょうか?Bitlockerは、保存されているデータが保護されるように設計されています。実行中のマシンにアクセスできるユーザーを停止することはありません。 EFSはより良いソリューションです。