Технологія BitLocker: завдання, особливості, застосування

Термін BitLocker досить часто зустрічаються в Мережі, особливо, після появи операційної системи Windows Vista – першої, в якій використовувалася дана технологія.

Інформація про цей метод може виявитися корисною для всіх, кому важливий захист вмісту дисків комп’ютера.

Однак тим, хто ніколи його не застосовував, слід спочатку дізнатися про деякі особливості шифрування – алгоритмі, ключах, особливості перевірки і відновлення даних.

Мал. 1. Технологія Бітлокер дозволяє захистити не окремі файли, а цілі розділи (томи).

Передумови до появи

Головним завданням технології BitLocker, розробка якої почалася на початку 2000-х років, стала захист даних від офлайнових атак такого типу:

  • завантаження комп’ютера з операційною системи, встановленої на флешці;
  • зняття з ПК накопичувача і його установка на іншому пристрої;
  • відновлення стертих з диска відомостей.

Будь-який з цих варіантів дозволяє скористатися інформацією, навіть якщо спочатку вона була захищена за допомогою паролів і обмежень доступу.

Брандмауери і антивіруси допомагають врятувати конфіденційні відомості тільки, якщо ними намагаються заволодіти віддалено.

Проти фізичних атак (користувача з викруткою або флешкою) практично марна будь-який захист, крім BitLocker.

Мал. 2. Завдання технології – захист даних від прямої (оффлайновой), а не мережевий атаки.

До появи технології основними способами заховати інформацію від сторонніх були установка певних рівнів доступу до файлів і каталогів для кожного користувача.

Однак обійти такий захист було порівняно нескладно навіть без фізичного доступу – досить установки інших драйверів файлової системи або самостійного підвищення прав.

У той час як більш надійного полнодіскового шифрування до появи Windows Vista в серії цих операційних систем не було.

Принцип дії технології

До завдань BitLocker входить шифрування цілого томи в операційній системі і перевірка цілісності завантажувальних компонентів на комп’ютерах з сумісними довіреними платформеними модулями.

Причому, для використання всіх можливостей технології на материнській платі комп’ютера повинен бути встановлений кріптопроцессор TPM і сумісний з ним BIOS.

Однак є можливість застосовувати її і на обчислювальних системах без такого процесора і інтерфейсу.

Шифрування виконується для всього томи, що є ключовим аспектом в захисті цінних відомостей – в першу чергу, для комп’ютерів і ноутбуків великих компаній і підприємств.

Хоча таких технологій існує три:

  • RMS застосовується для обмеження доступу, перш за все, до документів;
  • EFS дозволяє шифрувати і окремі файли, і цілі каталоги;
  • І тільки BitLocker дає можливість шифрування відразу всієї інформації на захищається з її допомогою томі – включаючи реєстр, файли підкачки і операційної системи.

Не підлягають шифрування за допомогою BitLocker тільки метадані томів і два види секторів – завантажувальні і пошкоджені.

В першу чергу, тому що зберігається в них інформація не є унікальною або цінною.

По-друге, бо захисту тих даних, які шифруються, вже досить для захисту «офлайнових атак», мають на увазі обхід стандартних технологій.

застосовуваний алгоритм

Технологія працює на базі алгоритму з 128-бітовим ключем.

При необхідності, довжина збільшується вдвічі – до 256 біт, роблячи ймовірність злому практично «нульовою».

Для збільшення розрядності ключів застосовуються групові політики або постачальник інструментарію управління WMI.

Серед інших особливостей алгоритму варто виділити:

  • всі сектори томи шифруються окремо, а їх номери частково впливають на вигляд ключів;
  • два зашифрованих сектора, що містять ідентичну інформацію, виглядають по-різному;
  • при найменших змінах інформації зашифровані дані змінюються ще сильніше.

Все це повністю виключає можливість підбору будь-якого дешифрувального алгоритму.

Навіть спроби зашифровувати якісь відомості і порівнювати із захищеними даними будуть приречені на невдачу.

Єдиний реально діючий спосіб відновлення даних доступний тільки користувачеві, що має оригінальний ключ.

ключі шифрування

Архітектура ключів досить непроста і не зовсім зрозуміла не стикався з нею раніше користувачам.

Розібратися в їх особливостях можна спробувати, розглянувши окремо кожну щабель захисту:

  • Ключ FVEK застосовується для шифрування цілого томи і розташований серед його метаданих. Це одночасно і підвищує рівень захисту, і збільшує тривалість процесу.
  • Для шифрування FVEK використовується інший ключ, VMK, який, в свою чергу, захищений іншими запобіжниками. За замовчуванням, головним захистом є вбудований модуль TPM. Додатковим запобіжником виступає створюваний при шифруванні пароль.
  • Підвищити рівень захисту можна, користуючись не тільки чіпом TPM, але і об’єднаним з ним числовим PIN-кодом або його записала на флешці частковим ключем. Якщо кріптопроцессор на комп’ютері відсутня, BitLocker повністю зберігає запобіжник на USB-накопичувач.

Технологія залишає можливість відключити шифрування без розшифровки захищеної інформації.

У такій ситуації захист VMK забезпечує тільки новий і незашифрований запобіжник ключа. З його допомогою система отримує доступ до інформації так само, як якщо б вона не піддавалася шифрування.

Запустив система шукає підходящі запобіжники в кріптопроцессоре або на USB-накопичувачах.

Якщо їх там не виявляється, запит ключа відправляється користувачеві.

Після виявлення або введення запобіжника Windows розшифровує спочатку VMK, потім FVEK, і тільки потім розшифровується захищена інформація.

Перевірка цілісності компонентів

Головною небезпекою інших технологій захисту завжди була необхідність залишати незашифрованими компоненти, що виконують початкову стадію завантаження.

Змінюючи їх код (створюючи rootkit), зловмисники здатні отримати доступ до інформації на диску. Причому, інформація може залишатися зашифрованою – але ймовірність її розшифровки, завдяки такому злому, різко зростає.

Запобігти такій ситуації допомагає технологія BitLocker.

Повне шифрування забезпечує цілісність системи і запобігає запуск Windows при виявленні змін відповідають за завантаження компонентів.

Принцип контролю наступний:

  • Наявність кріптопроцессора TPM дозволяє комп’ютеру перевіряти запускається код з підрахунком значень хеша і збереження в спеціальних регістрах PCR.
  • Отримати назад інформацію можна тільки в тому випадку, якщо поточні значення PCR збігаються з тими, які були на момент створення ключів.
  • Виходить, що для розшифровки може використовуватися тільки той конкретний модуль TPM, який застосовували для шифрування. Така технологія називається також «запечатування» ключа і гарантує практично стовідсотковий захист.

слід знати: При відсутності кріптопроцессора допускається виконувати шифрування без збереження ключів в TPM. Однак для цього обов’язково знадобиться зовнішній USB-носій, а перевірка цілісності системи стає неможливою.

процес шифрування

Приступаючи до шифрування, слід знати, що процес досить довгий – час залежить від обсягу інформації, що захищається і потужності апаратної частини комп’ютера.

Втім, турбуватися про втрату інформації і необхідності починати спочатку при випадковому виключенні ПК не варто.

Навіть в цьому випадку шифрування почнеться спочатку при наступному запуску операційної системи.

Крім того, слід враховувати такі особливості процедури:

  • шифрування дозволяє користуватися комп’ютером для вирішення інших завдань – правда, до тих пір, поки воно не завершилося, на ПК навряд чи вийде запустити щось більш серйозне, ніж офісний додаток або браузер;
  • зашифровані диски працюють трохи повільніше – приблизно на 10%;
  • дізнатися про те, що процедуру можна запустити на конкретному ПК, можна у властивостях обраного диска – одним з пунктів меню, що відкривається кліком правої кнопки миші, буде «Включити BitLocker».

Для шифровки найчастіше користуються криптографічними токенами – спеціальними пристроями, яке також називають електронними ключами.

Для прикладу можна взяти модель Рутокен ЕЦП PKI – забезпечує двухфакторную ідентифікацію USB-ключ.

Підготовка до роботи

Перед використанням токен слід підготувати до роботи.

У більшості випадків налаштування пристрою виконується автоматично, при першому ж підключенні до комп’ютера з Windows.

Для моделей типу ЕЦП PKI завантажується спеціальна бібліотека Aktiv Rutoken minidriver.

Мал. 3. Завантаження бібліотек.

Наявність драйверів для електронного ключа можна перевірити, включивши «Диспетчер пристроїв».

Якщо вони не встановилися, в списку обладнання при підключенні токена буде з’являтися невідомий елемент.

Для нормальної роботи пристрою слід завантажити і встановити відповідні драйвера.

Мал. 4. Криптографічний токен в списку підключених пристроїв.

шифрування даних

Перед початком процесу слід переконатися, що на криптографическом токені знаходиться сертифікат і ключі RSA 2048.

Після цього дії займається шифруванням користувача повинні бути такими:

  • Вибрати диск і в його властивостях знайти «Включити BitLocker».

Мал. 5. Початок процесу шифрування – вибір диска і включення технології.

  • Встановити прапорець на потрібному пункті – в даному випадку, на використанні смарт-карти.

Мал. 6. Вибір способу відновлення даних.

  • Вибрати спосіб збереження ключа – наприклад, його друк. Листок з надрукованим кодом для розшифровки рекомендується зберігати в безпечному місці – наприклад, в сейфі.
  • Встановити режим шифрування.
  • Запустити процес, після завершення якого система зазвичай вимагає перезавантаження.

Мал. 7. Хід процесу шифрування.

Іконки зашифрованих дисків змінюються, а при спробі їх відкрити система запитує установку токенов і введення ПІН-кодів.

При відсутності електронного ключа доступ до даних буде закритий.

Відновлення зашифрованої інформації

Використовуючи для захисту інформації шифрування, слід передбачити можливість відновлення даних при відсутності криптографічного ключа.

Тим більше що для дисків і томів, зашифрованих досить давно і не використовуваних на протязі певного часу, ймовірність втрати токена виявляється настільки високою, що технологія дозволяє обійтися звичайним кодом.

Це, в якійсь мірі, знижує захищеність системи, зате знижує ризик втратити доступ до своєї ж інформації.

Якщо USB-ключ є в наявності, зашифровані розділи відкриваються практично автоматично – після введення ПІН-коду.

При відсутності ключа від користувача потрібно ввести вже іншу інформацію.

Якщо при шифруванні вибиралася друк коду на принтері, доступ відкриється тільки після ручного введення 48 символів.

Мал. 8. Листок з надрукованим ключем для відновлення даних.

важливо: Заощадити час на введення коду і уникнути його втрати допоможе зберігання відомостей у файлі – природно, на іншому, незашифрованому диску, на флешці або в мережі. Одним з надійних способів зберегти пароль є служба Active Directory.

Підведення підсумків

Технологія BitLocker є одним з кращих способів захистити конфіденційну інформацію від офлайнових атак, навчитися користуватися яким досить просто.

З іншого боку, у такої системи захисту є і певні недоліки – від необхідності наявності на комп’ютері TPM-модуля і можливості втрати криптографічного ключа до використання додаткових заходів безпеки.

До них відносять ще дві технології, EFS і RMS, які окремо поступаються BitLocker, але разом з нею дозволяють уникнути загрози від всіх інших спроб несанкціонованого доступу.

Ссылка на основную публикацию