Введення Сьогодні вже складно знайти організацію, яка не замислювалася б про необхідність шифрування жорстких дисків своїх мобільних комп'ютерів. Для цього створено вже досить велика кількість різноманітних програмних засобів. Однак тепер засіб для шифрування буде поставлятися разом з новою операційною системою від фірми Microsoft - Windows Vista. Ця функція, яка увійшла до складу операційної системи не може не викликати велику кількість суперечок.
Разом з мікросхемою TPM (Trusted Platform Module), яка встановлюється на материнській платі, BitLocker шифрує весь жорсткий диск комп'ютера. Причому при цьому використовується класична модель двофакторної аутентифікації (пароль, що зберігається в ТРМ, і PIN-код для доступу до мікросхеми). Така схема досить стійка до злому, хоча, в майбутньому безсумнівно з'являться атаки на Pin-код шляхом простого перебору (метод «грубої сили», brute force).
Принцип дії BitLocker ™ Drive Encryption досить простий. Це програмне забезпечення являє собою механізм шифрування за алгоритмом Advanced Encryption Standard (AES) з 128 або 256-розрядним ключем. Це ПО інтегровано з мікросхемою ТРМ версії 1.2. Разом з тим, ці програми можна використовувати і на комп'ютерах, не оснащених ТРМ, однак для доступу до системи необхідно застосувати USB-пам'ять або пароль відновлення. Але в такому випадку ступінь захищеності залежатиме насамперед від самого користувача. Саме такий варіант використання BitLocker (без ТРМ) ми і розглянемо в даній статті.
Установка BitLocker Для установки BitLocker нам необхідно розмітити жорсткий диск згідно із запропонованими вимогам, а саме:
1. Створити новий Primary розділ довжиною в 1.5 Gb
2. Призначити цей розділ активним
3. Створити інший Primary розділ з залишку місця на жорсткому диску
4. Відформатувати обидва розділу використовуючи NTFS
5. Інсталювати Windows Vista на більший з розділів.
Для цього необхідно:
1. Завантажити комп'ютер, використовуючи інсталяційний DVD Windows Vista
2. На екрані установки вибрати ваш язик інсталяції
3. Далі, вибрати System Recovery Options
4. У вікні System Recovery Options переконатися, що не вибрана операційна система. Для цього вибрати порожню область в списку операційних систем і потім натиснути Next
5. Далі вибрати Command Promt і використовувати утиліту diskpart для створення розділу. Для цього в командному рядку набрати diskpart
6. Вибрати disk 0 (select disk0)
7. Використовувати команду clean для видалення існуючих розділів на диску
8. create partition primary size = 1500. Створити перший розділ на диску і призначити його primary
9. assign letter = D призначити цього розділу букву D
10. active призначити даний розділ активним
11. assign letter = C призначити цього розділу букву C
13. Натиснути Exit для виходу з утиліти diskpart
14. Відформатувати розділ З format c: / y / q / fs: NTFS
15. Відформатувати розділ D format d: / y / q / fs: NTFS
17. У вікні System Recovery Options натиснути Alt + F4 для повернення в головне вікно інсталяції
18. Установити Windows Vista на більший з розділів
Однак якщо ви вважаєте, що на цьому етап підготовки до установки закінчений, то мушу зауважити, що ми тільки підійшли до середини.
Для установки BitLocker на комп'ютер, не обладнаний ТРМ, або обладнаний ТРМ з версією нижче 1.2 вам необхідно ще зробити деякі дії за допомогою групових політик.
1. Необхідно вибрати Start і набрати gpedit.msc в рядку Start Search, а потім натиснути Enter
2. У Group Policy Object Editor виберіть Local Computer Policy-Administrative Templates-Windows Components-BitLocker Drive Encryption (рис.1)
Малюнок 1 Group Policy Editor
3. Двічі клікніть на Control Panel Setup: Enable Advanced Startup Options
4. Виберіть Enabled, позначте Allow BitLocker without a compatible TPM (рис. 2)
Малюнок 2 Control Panel Setup: Enable Advanced Startup Options
5. Закрийте Group Policy Object EditorДля застосування змін групової політики натисніть Start, і введіть gpupdate.exe / force в рядку Start Search. Зачекайте застосування групових політик. (Рис.3)
Малюнок 3 Застосування групових політик
6. Для того щоб відкрити BitLocker Drive Encryption, включите Turn On BitLocker
7. На сторінці Set BitLocker Startup Preferences, виберіть Require Startup USB Key at every startup. Дана опція доступна лише при відсутності ТРМ. USB-ключ повинен бути вставлений кожен раз коли ви завантажуєте комп'ютер. (Рис. 4)
Малюнок 4 Set BitLocker Startup Preferences
8. У діалозі Save your Startup Key вкажіть в якості місця зберігання вашого ключа ваш USB-флеш диск і натисніть Save
9. На сторінці Save the recovery password виконайте наступні дії (рис.5):
a. Save the password on a USB drive Збережіть ваш пароль відновлення в текстовий файл на USB флеш-диск
b. Save the password in a folder Збережіть ваш пароль відновлення в текстовий файл на інший пристрій, мережеве чи ні.
c. Print the password роздрукуйте пароль відновлення
Малюнок 5 Save the recovery password
Пароль відновлення повинен зберігатися в захищеному місці, щоб уникнути його компрометації.
10. На сторінці Encrypt the selected disk volume page, необхідно відзначити вибрати Run BitLocker System Check і потім натиснути Continue. Після цього необхідно перезавантажити комп'ютер, щоб перевірити що ваш комп'ютер сумісний з BitLocker, а потім почати процес шифрування. (Рис.6)
Малюнок 6 Encrypt the selected disk volume page
11. Якщо перевірка пройшла нормально, то ви побачите рядок стану Encryption in Progress. Після закінчення цієї процедури ваш диск буде зашифрований.
Відновлення даних, зашифрованих за допомогою BitLocker
Відновлення даних може знадобитися в наступних ситуаціях:
• Не можу прочитати ТРМ
• Завантажувальна запис модифікована
• ТРМ вимкнений і комп'ютер вимкнений
• Вміст ТРМ стерто і комп'ютер вимкнений
Якщо комп'ютер заблокований, процес відновлення буде дуже простий, тому що операційна система вже запущена. Ви можете відновити пароль або записавши його з іншого носія, на якому ви попередньо його зберегли на USB флеш диск або використовуючи функціональні клавіші F1-F10, де F1-F9 відповідають цифрам 1-9, а F10 - 0.
Процес відновлення включає два етапи:
• Тестування відновлюваних даних;
• Відновлення доступу до даних, зашифрованих за допомогою BitLocker Drive Encryption
Тестування відновлюваних даних
Коли ви перезапускаєте комп'ютер, вам буде потрібно пароль відновлення, тому що конфігурація запуску змінилася, з тих пір як ви зашифрували диск.
1. Натисніть Start - All Programs - Accessories - Run;
2. Для запуску TPM Management Console наберіть tpm.msc у вікні;
3. У рядку Actions виберіть Turn TPM Off;
4. У разі необхідності, введіть PIN-код ТРМ;
5. Закрийте всі вікна;
6. Якщо USB флеш диск, що містить ваш пароль відновлення, підключений до комп'ютера, використовуйте Safely Remove Hardware для безпечного видалення диска з комп'ютера;
7. Потім вимкніть комп'ютер.
Відновлення доступу до даних, зашифрованих за допомогою BitLocker Drive Encryption
1. Увімкніть комп'ютер
2. Якщо комп'ютер заблокований, з'явиться вікно BitLocker Drive Encryption Recovery Console
3. Вам буде запропоновано вставити USB флеш-диск, що містить пароль відновлення:
a. Якщо у вас є USB флеш-диск, що містить пароль відновлення, вставте його і натисніть Esc. Ваш комп'ютер буде автоматично перезавантажений і вам не буде потрібно вводити пароль відновлення вручну;
b. Якщо у вас немає USB флеш-диска, що містить пароль відновлення, натисніть Enter.
c. Вам буде запропоновано ввести пароль відновлення вручну.
d. Якщо ви знаєте пароль відновлення, введіть його вручну і натисніть Enter
e. Якщо ви не знаєте пароля відновлення, натисніть Enter двічі і вимкніть комп'ютер
f. Якщо Ви зберегли ваш пароль відновлення в файлі, який знаходиться в папці, на іншому комп'ютері або на змінному носії, ви зможете використовувати інший комп'ютер для прочитання файлу, що містить пароль. Для того, щоб дізнатися ім'я файлу, що містить пароль, запишіть ідентифікатор Паролю на дисплеї пульта відновлення на блокованому комп'ютері. Файл, що містить ключ відновлення, використовує цей ідентифікатор, як ім'я файлу.
Вимкнення BitLocker Drive Encryption
Дана процедура однакова як для комп'ютерів, обладнаних ТРМ, так і для комп'ютерів без ТРМ.
При виключенні BitLocker, ви можете вибрати або тимчасово відключити BitLocker або розшифрувати весь диск. Відключення BitLocker дозволяє замінити ТРМ або провести оновлення операційної системи. Якщо ж ви вирішите розшифрувати весь диск, то для повторного зашифровування ви повинні будете повторно генерувати нові ключі і повторити процес шифрування знову.
Для виключення BitLocker ви повинні зробити наступні дії:
1. Start - Control Panel - Security - BitLocker Drive Encryption
2. На сторінці BitLocker Drive Encryption, знайдіть те, на якому ви хочете відключити BitLocker Drive Encryption і виберіть Turn Off BitLocker Drive Encryption.
3. У діалоговому вікні What level of decryption do you want виберіть Disable BitLocker Drive Encryption або Decrypt the volume
4. Після закінчення цієї процедури, ви або вимкніть BitLocker Drive Encryption або розшифруєте тому.
Використання BitLocker Як показало невеличке дослідження, процедура використання BitLocker вельми прозора, проте саме використання породжує багато запитань, починаючи від стандартно-поліцейських, типу, а що буде якщо цю процедуру візьмуть на озброєння злочинці, адже тоді поліція не зможе прочитати вміст їх жорстких дисків і закінчуючи більш серйозними, зі зберігання ключів шифрування.
Про це хотілося б поговорити трохи докладніше.
Зберігання ключів з використанням ТРМ Якщо зберігання ключів шифрування використовуючи ТРМ та PIN-код питань не викликає (фактично ми маємо двухфакторную аутентифікацію), то ось в разі використання зберігання ключів в ТРМ без PIТ-коду виникає питання. Ми завантажуємо комп'ютер, який нічого у нас не питає. Тобто в разі потрапляння вашого комп'ютера в руки зловмисника, він зможе скористатися вашим комп'ютером практично так само, як якби він взагалі не був зашифрований. Єдине, від чого в даному випадку зберігання ключів захищає шифрування, так це від несанкціонованого прочитання даних в разі здачі в ремонт жорсткого диска (без самого комп'ютера) і від компрометації інформації в разі крадіжки жорсткого диска (без самого комп'ютера). Зрозуміло, що підвищеною безпекою такий режим назвати досить складно.
Зберігання ключів на USB-диску В даному випадку ми маємо USB-диск, що відчужується від власника, а так як він потрібен лише на момент старту системи, то на користувача накладається ще більше обов'язків по зберіганню самого пристрою.
У разі, якщо користувач в ході діалогу зберіг запропонований пароль на USB-диск, то на диску ми маємо два файли. Один, прихований, з розширенням BEK, а другий - текстовий файл.
Вміст текстового файлу:
The recovery password is used to recover the data on a BitLocker protected drive.
To verify that this is the correct recovery password compare these tags with tags presented on the recovery screen.
На жаль, але більшість користувачів не подумає про те, що даний текстовий файл необхідно просто видалити з USB-диска, попередньо його роздрукувавши.
USB-диск нам потрібен лише на етапі старту системи, отже, можливий сценарій при якому користувач залишає флеш-диск в комп'ютері і йде, припустимо, курити. Що заважає його сусідові взяти цю флешку, переписати необхідні файли (або роздрукувати потім текстовий файл) і скористатися цими знаннями зі злим умислом? Ніхто! Більш того, так як логирование такого процесу не ведеться (адже немає ні імені ні PIN-коду), то довести факт незаконного використання буде досить складно. Мені можуть заперечити, що мати тільки код BitLocker - це ще дуже мало. Згоден. Однак так як його використання вселяє користувачеві почуття удаваної захищеності, то цілком ймовірно, що в такому випадку користувач буде менш суворий до вибору пароля.
Так, ви маєте рацію, це всього лише припущення. Однак ці припущення мають право на життя, отже, їх не можна скидати з рахунку.
Використовувати BitLocker звичайно ж потрібно. Однак, на мій погляд, найбільш прийнятним варіантом його використання є застосування даного ПЗ на комп'ютерах, обладнаних ТРМ версії не нижче 1.2 в поєднанні з PIN-кодом.
Обговорити на форумі (0)