タグ: 暗号化

Windows 11 24H2更新注意点

WithHappy

2024年10月1日、Windows 11 24H2の段階的配布が始まりました。Windows 12配布予定が2025年のため、おそらくWin11最後の大型更新バージョンになると思います。

以前、現行Win11 23H2 OSコアNikelが、24H2ではGermaniumへ変わるなどを投稿しました。しかし、24H2更新に際し、もっと重要な注意点がありますので投稿します。

Summary:Win11 24H2更新注意点:「デバイスの暗号化」確認

デバイスの暗号化(HomeとPro)とドライブの暗号化(Pro以上)の設定(設定>プライバシーとセキュリティ>デバイスの暗号化)
デバイスの暗号化(HomeとPro)とドライブの暗号化(Pro以上)の設定(設定>プライバシーとセキュリティ>デバイスの暗号化)

Win11 24H2更新前に、デバイス暗号化とドライブ暗号化の2機能を行うBitLockerを確認し、必要に応じて設定変更。

確認無しでWin11 24H2更新・運用の場合、OSによるデバイスの暗号化自動設定によりユーザ起動不可能となりクリーンインストールの可能性が高まる。BitLocker On時は、回復キーのユーザ保存必須。

お勧めのWin11 24H2セキュリティレベル設定は下記。

デスクトップPC:BitLockerデバイス暗号化、ドライブ暗号化共にOff設定。
ノートPC:モバイル時、BitLocker On設定。暗号化On/Off変更処理に数時間掛かることも考慮。BitLocker回復キーは、別途保存。

BitLockerの2機能

BitLockerは、2つの対象の暗号化を行います。

  1. デバイスの暗号化:システムデバイスの暗号化(Home/Pro共に自動暗号化あり)
  2. ドライブの暗号化:Dドライブなどシステム以外のドライブ暗号化(Pro以上で手動設定のみ)

暗号化済みの場合は、1/2共に鍵などのパスワード、BitLockerなら48桁の数字回復キーを入力しない限り、OS・ユーザ本人でも中身の読出しができません。ハッカー攻撃やPC紛失などへのセキュリティ対策が目的です。

左:デバイス暗号化回復キーと右:ドライブ暗号化回復キー入力例
左:デバイス暗号化回復キーと右:ドライブ暗号化回復キー入力例

Win11 24H2の新機能

Win11 24H2新機能は、Microsoft公式サイトにあります。英文ですので、ブラウザの日本語翻訳を使ってお読みください。中程にある動画字幕も日本語表示で解り易いです。

BitLockerに加え、ファイル単位ロックなどWin23 H2よりもセキュリティレベルが強化されています。また、NPU(Nural Processing Unit)活用のAI Copilot機能、同時翻訳なども紹介されています。

BitLocker概要サイト中頃のデバイスの暗号化「重要」文章を抜粋します。

重要

Windows 11 バージョン 24H2 以降では、DMA と HSTI/モダン スタンバイの前提条件は削除されます。 その結果、自動および手動のデバイス暗号化の対象となるデバイスが増えます。“

つまり、Win11 23H2までのBitLocker条件が緩和され、Win11 24H2以降は、OSが自動でBitLocker暗号化するデバイスが増える訳です。もっと言うと、Win11 Home/ProシステムCドライブは、ユーザが明示的に設定しない限りデフォルトでデバイスの暗号化はOnになります。

AI Copilot Win12の布石:Win11 24H2セキュリティ強化

AI Copilot Win12は、ノートPCをメインターゲットとするAI PC向けOSです。ユーザのすぐ横で1日中エッジAI PCを使っても、バッテリーが持つ低消費電力と、PCの軽さ・薄さがデバイスの特徴です。モバイル性とAI処理の向上が、セースルポイントです。

このWin12は、万一のPC紛失やハッカー攻撃、AI学習情報漏洩に対し、従来比、より強いセキュリティを与えます。

前章のWin11 24H2新機能で、システムデバイスBitLocker条件緩和と自動暗号化拡大などのセキュリティレベル強化は、Win12への布石だと思います。

「デバイスの暗号化」の功罪

ユーザのWindows 11 24H2セキュリティレベル設定必須
ユーザのWindows 11 24H2セキュリティレベル設定必須

デバイスの暗号化をOnにすると、通常のOS処理前でもデータ複合化、処理後にデータ再暗号化保存が必要です。この暗号化オーバーヘッドは、暗号化無しの場合と比べ3~5%、別情報によると45%ものドライブパフォーマンス低下を招きます。

※PCバックアップソフトとの相性は、間違いなく悪いでしょう。

デバイス紛失対策が暗号化でできるのは大切です。しかし、デスクトップPCや家庭内運用のノートPCならば、ユーザの紛失対策は殆ど不要です。

BitLockerに限らずセキュリティ対策は、OSが安全側動作に自動的に設定することがあります。また、その設定タイミングもユーザには分かりません。

セキュリティの功罪とPC安全性を評価し、OS任せでは無くユーザ自らがセキュリティレベルを設定することが、今後のWindows運用に必須です。

Afterword:暗号化と鍵と生体認証

暗号化に鍵は必須です。Windowsは、この鍵をWin11アップグレード要件TPMへ保存します。TPMには、クレジットカード情報なども保存しますので、セキュリティ上、超重要デバイスです。

このTPMアクセスに、指紋などユーザ本人の生体認証が必要です。面倒ですがセキュリティは、複数対策の重ね合わせでセキュリティレベルを上げます。次世代TPMと言われるMicrosoft Pluton Securityプロセッサは、この面倒さ・判り難さを軽減する仕組みであることを期待します。

本稿は、下記資料を参考に作成しました。詳細は、各資料を参照ください。
Win11 24H2新機能:https://pc.watch.impress.co.jp/docs/news/1627854.html
Copilot+ PC AI機能:https://www.itmedia.co.jp/news/articles/2409/28/news081.html
BitLocker:https://www.youtube.com/watch?v=XE4KFfRGtWw


MCUセキュリティ話題

WithHappy

MCU開発中、進捗が詰まることはだれでもあります。そんな時にスタックした気分を変えるMCUセキュリティ関連話題を投稿します。

MCU開発には集中力が必要ですが、その持続は、精々数時間です。人のスタック深さは有限ですので、開発を経過時間で区切るのが1つ、別方法として集中気分を切替て開発詰まりを乗切る時の話題を示します。

気分転換が目的ですので、硬い話ではありません😁。

セキュリティ更新終了

Microsoftが、Office 2010は今年2020年10月13日、Windows 10バージョン1903は2020年12月8日にサポートを終了します。これらソフトウェアご利用中の方は、新ソフトウェアへの入替が必要です。

サポート終了とは、「セキュリティ更新プログラム配布終了」のことです。ソフトウェア自体がPCで使えなくなる訳ではありません。しかし、ハッカーなどによる新たなサイバー攻撃を防ぐ手段が無くなりますので、安全・安心な利用ができなくなります。

ところで、安全・安心の根拠、セキュリティ、セーフティ、セキュア…などの日本語は、あいまいに使われます。しかし、英語の「SecurityとSafetyは別物」です。

オンラインセミナー:STマイクロエレクトロニクスのTrustZone対応マイコンによるIoTセキュリティによると、

  • Security:外部からの危害(攻撃や改竄)から、MCU内部が保護されている状態
  • Safety:MCU誤動作や故障などが原因で、MCU外部へ衝突や爆発などの危害を与えない状態

英語でのSecurityとSafetyの使い分けは、対象がMCU内部ならSecurity、MCU外部ならSafetyと、明確な区別があります。

MCUセキュリティ関連資料を英語で読むときは、対象は単語で解ります。日本語訳資料を読むときは、対象がMCU内部か外部かを区別して理解する必要があります。

IoT機器侵入調査

総務省、IoT機器に侵入を試みる際のIDとパスワードの組み合わせを、従来の100通りから600通りに増やし、侵入できたIoT機器所有ユーザへ対策を呼び掛けた。2020年9月11日、ITmedia。

つまり、ハッカーの代わりに総務省)国立研究開発法人情報通信研究機構(NICT)が、NOTICE:National Operation Towards IoT Clean Environmentに参加しているISP 62社のIPアドレスに対して、疑似攻撃をしかけ、問題があったIPアドレスユーザへ注意を促した、ということです。

過去のサイバー攻撃にあったIDとパスワードにたまたまなっていた場合、たとえ厳重な管理であっても安全でない(!Security)訳です。IoT機器のアクセス方式、「IDとパスワード」には、限界があるかもしれません。

多要素承認

金融庁、銀行・決済各社に本人確認の徹底を要請。2020年9月16日、ITmedia。

ハッカーによるドコモ口座の不正利用が、多要素認証で防げるのかについてのセキュリティ専門家解説は、筆者には正直言って判りません。

多要素認証とは、セキュリティ情報アクセス時、スマホなどの本人しか持たないモバイルデバイスへ送った認証コードなどを使ってログインする仕組みです。「パスワードレスログイン」とも言われます。

海外ドラマでは、スマホの乗っ取りも簡単です。モバイルデバイスの2要素認証コード入力で十分なのでしょうか? スマホを持たない人は、決済サービスを利用できない、またはさらに生体認証が必要なのでしょうか?

この多要素認証をMCUへ実装する場合、どうすれば良いのでしょうか?

暗号化脆弱性

TLS 1.2とそれ以前に脆弱性、2020年9月16日、マイナビニュース。

ブラウザ経由でクレジットカード番号を送る時、通信データを暗号化し盗聴を防ぐしくみが、TLS:Transport Layer Securityです。このTLS 1.2に脆弱性が見つかり、TLS 1.3を使うなどの対策が示されています。

MCUで以前は問題無かった暗号化技術にこのような対策を実施するには、組込み済みソフトウェア、またはハードウェアの一部更新が必要です。

暗号化部品が壊れた、または脆弱性発見時、対象部品のみ交換できるMCU機器があれば良いのですが…。

デジタル後進国

“デジタル後進国”で検索すると、「日本はデジタル、IT後進国」だという記事概要が多く見つかります。

セキュリティ用語の区別もあいまいなままの日本です。先進国開発済みのMCUセキュリティ技術を、理解不足のまま流用しても当面は良いのでしょうが…、セキュリティとあいまい性、本質的に相反する気がします。
ハッカーの攻撃は、あいまい性で生じるMCUセキュリティのすきまを狙うのですから。

MCUセキュリティに関しては、何事にもあいまい性が好まれ日本不得意な「明確さ」、これが必須だと思います。

*  *  *

MCU開発時、スタック気分を変える時に役立つMCUセキュリティ関連話題を5つ投稿しました。

IDとパスワードで保護するMCUセキュリティ
IDとパスワードで保護するMCUセキュリティ

守備範囲が広いSTM32G0

WithHappy

2018年12月のSTM32マイコンマンスリー・アップデートのトップページに、先日投稿した新汎用MCU STM32G0の概要とブロック図が記載されました。また、12月18日のEDN JapanにもIoT機器を小型化効率化する32ビットマイコンとしてSTM32G070(48ピン/ROM128KB)が約69セントと安価であることが紹介されています。

STM32G0シリーズブロック図
STM32G0シリーズブロック図(出典:マンスリー・アップデート2018年12月トップページ)

本稿は、これら新MCU STM32G0記事を整理し、開発ベースとして最適なアクセス・ライン製品STM32G71と評価ボードの入手性、価格について示します。

3製品:バリュー・ライン、アクセス・ライン、アクセス・ライン&エンクリプション

STM32G0の説明がある時、3製品のどれを説明しているかを区別、意識する必要があります。というのは、STM32G0のアプリケーション守備範囲が、とても広いからです。3製品の特長をまとめたのが下表です。

STM32G0の3製品特徴
製品ライン 型番例 特徴
バリュー・ライン STM32G70 コスト最重視のエントリクラス製品
アクセス・ライン STM32G71 ハードウェアセキュリティ搭載の標準製品
アクセス・ライン&エンクリプション STM32G81 アクセス・ラインに暗号化機能搭載製品

EDN Japan記事のSTM32G070(48ピン/ROM128KB)の69¢は、バリュー・ラインのことです。マンスリー・アップデートのブロック図は、3製品機能をAND表示したものです。

3製品差を理解するには、STMサイトのSTM32G0製品シリーズと、オンライントレーニング資料STM32G0 Series Presentation P2が役立ちます。

STM32G0製品シリーズ
STM32G0製品シリーズ(出典:STMサイト)
STM32G0の3製品差
STM32G0の3製品差(出典:STM32G0 Series Presentation P2)

現在供給中の3製品差と、今後のラインナップを整理すると以下になります。

供給中デバイスと開発予定ラインナップ
供給中デバイスと開発予定ラインナップ(出典:STM公式ブログ)

バリュー・ライン(灰色)
アナログフロントエンド向きのアプリケーションに特化した2.5Mspsの高速12ビットADC実装のバリュー・ライン(STM32G070)は、価格最重視のエントリ製品でEDN Japan記事のように1$以下の調達ができます。また、供給中と今後のラインナップの図から、8/20ピンなどの小ピン&小ROM製品が予定されていることも解ります。

アクセス・ライン(水色)
バリュー・ラインと同様小ピン&小ROM製品に加え、100ピン&大ROM製品の予定もあります。アプリケーションに応じてDAC、USB-PO、CAN FDなどの周辺回路が実装可能です。さらに、1.65-3.6Vと他製品より低電圧側への広い動作も特徴です(Presentation P2参照)。

これらの仕様の幅広さから、STM32G0の最も標準的なベースMCUと言えます。アクセス・ラインでプロトタイプ開発しておけば、内蔵周辺回路が同じシリーズのバリュー・ラインやアクセス・ライン&エンクリプションへそのまま応用・適用できるからです。

アクセス・ライン&エンクリプション(紺色)
IoTアプリケーションでは必須になるハードウェア暗号化機能をアクセス・ラインに追加しています。

STM32G0の幅広いMCUコア性能

これも先の投稿で示したSTM32FxとSTM32G0の違い図から、STM32G0はSTM32F0より低い消費電力と、STM32F1並みの高性能をハイブリッドしたMCUであることが解ります。つまり、STM32G0(Cortex-M0+/64MHz)で、F0~F1のMCUコア性能範囲をカバーできるのです。

STM32G0のGは、アプリケーション守備範囲の広さを示すGlobal、またはGeneral(汎用性)を表しているのかもしれません。STM32FxのFは、Flexibilityでしょうか?

STM32G0のサンプルソフトウェア

アクセス・ラインSTM32G071RB(64ピン/ROM128KB)実装の評価ボードNUCLEO-G071RBは、STMの公式サンプルソフトウェア数が159個(AN5110参照)と現在最も多く、STM32G0のアプリケーション開発に適していると思います。

この評価ボードとサンプルソフトを活かして開発したソフトは、バリュー・ラインやアクセス・ライン&エンクリプションへも同じシリーズですので、容易に応用・流用が可能です。

また、暗号化機能搭載のアクセス・ライン&エンクリプションSTM32G081RB搭載の評価ボードSTM32G081B-EVAL board:$382を使えば、暗号化認証手順や鍵管理などのセキュリティ関連が効率的に習得できるハズ(?)です。
※セキュリティ関連は、ホストとスレーブの2役が必要など、筆者自身不明な点も多いため、今後別途調査したいと考えています。

STM32G0の入手性と価格

ネット通販が盛んになったおかげで、近頃は新発売後1ヶ月も経っていない最新デバイスであっても、個人で1個から入手できます。

2018年12月24日現在、Mouser(マウサー日本)のアクセス・ラインSTM32G071RB(64ピン/ROM128KB)と、評価ボードNUCLEO-G071RBの価格表です。もちろん代理店経由なら、この価格よりも安く入手できるでしょう。

STM32G0の価格(2018年12月調査)
Mouser入手の場合 数量 価格(JPY
STM32G071RB 1 398
10 360
100 298
1000 213
NUCLEO-G071RB 1 1,203

STM32G0は、たとえ個人でも、入手性良く低価格で入手できると言えるでしょう。

まとめ

新発売STM32G0は、従来メインストームSTM32F0~STM32F1で開発していた広いアプリケーション範囲をカバーできる汎用MCUです。またIoTエッジMCUに必要になる暗号化機能をハードウェアで実装済みの製品もあります。

3種ある製品のうち、アクセス・ラインのSTM32G071RB(64ピン/ROM128KB)実装の評価ボードNUCLEO-G071RB は、STM公式サンプルソフトウェア数が現時点で最も多く、STM32G0の汎用性、広範囲アプリケーション対応性を活かした開発のベースに最適と評価しました。

これら評価ボードとSTM32G071RBデバイスは、個人でも比較的安価に入手できることも分かりました。