Microsoft: nie obawiajcie się o BitLockera

Przedstawiciele Microsoftu skomentowali informacje o tym, iż pewien specjalista ds. bezpieczeństwa zaprezentował metodę obchodzenia zabezpieczeń układów TPM (Trusted Platform Module), wykorzystywanych m.in. w systemie szyfrowania danych BitLocker w Windows. "Zagrożenie dla klientów jest niewielkie, ponieważ do przeprowadzenia skutecznego ataku niezbędny jest fizyczny dostęp do komputera, specjalistyczne wyposażenie oraz rozbudowana wiedza z zakresu informatyki" - oświadczył Paul Cooke z Microsoftu.

We wpisie opublikowanym w Windows Security Blog Cooke napisał m.in.: "Od momentu prezentacji (która odbywał się na konferencji BlackHat) dotyczącej słabości TPM klienci pytają nas: jaki to ma wpływ na Windows? Nasza odpowiedź jest taka: wierzymy, że korzystanie z TPM jest wciąż skuteczną metodą zabezpieczania poufnych danych i dlatego klienci powinni korzystać z dostępnej w Windows 7 funkcji BitLocker Drive Encryption [wykorzystującej TPM - red.]. Przeprowadzenie ataku nie jest proste - niezbędny jest fizyczny dostęp do komputera oraz odpowiednio wykwalifikowany i wyposażony włamywacz. Technika obchodzenia zabezpieczeń zaprezentowana na BlackHat jest oczywiście bardzo interesująca - ale uważamy, że pokazana tam metoda ataku jest trudna do odtworzenia, dlatego tak naprawdę stanowi to niewielkie zagrożenie dla użytkowników. Warto dodać, że można skonfigurować BitLockera tak, by nie był podatny nawet na taki mało prawdopodobny atak".

"Układ TPM 1.2 nie jest tak bezpieczny, jak próbują nam wmówić jego producenci. Jestem w stanie uzyskać wszystkie zabezpieczone nim informacje - np. klucze licencyjne do Xboksa 360 itp. Nie ma tam nic, czego nie mógłbym poznać" - mówi o swoim odkryciu Christopher Tarnovsky, specjalista z firmy Flylogic Engineering, który rozpracował zabezpieczenia TPM zastosowane przez Microsoft w Xboksie 360.

Cooke tłumaczy, że Microsoft od początku miał świadomość pewnych niedoskonałości TPM, dlatego też BitLocker dla Windows 7 został zaprojektowany tak, by owych błędów nie dało się wykorzystać do przechwycenia poufnych informacji. To brzmi dość wiarygodnie - choćby dlatego, że inni specjaliści ds. bezpieczeństwa już co najmniej dwukrotnie znajdowali poważne luki związane z Trusted Platform Module. Jedna z nich miała być omawiana podczas Black Hat w 2007 r., ale w ostatniej chwili prelekcja na ten temat tajemniczo zniknęła z programu imprezy.

"Nasi inżynierowie zmienili nieco w BitLockerze strukturę szyfrowania - wprowadzili dodatkowe zabezpieczenia, które, o ile zostaną poprawnie skonfigurowane, zapewniają praktycznie 100-procentowe bezpieczeństwo" - tłumaczy przedstawiciel koncernu.

Chodzi tu m.in. o możliwość zdefiniowana numeru PIN, którego podanie będzie niezbędne do uzyskania dostępu do danych (PIN może mieć od 4 do 20 znaków). Warto podkreślić, że to zabezpieczenie nie jest domyślnie uaktywnione - użytkownik musi je włączyć sam. Co ważne, podczas tworzenia PIN-u można korzystać ze wszystkich znaków klawiaturowych (a nie tylko cyfr).

Warto przypomnieć, że mechanizm szyfrujący BitLocker po raz pierwszy pojawił się w najbardziej rozbudowanych wersjach Windows Vista. Jest też dostępny w Windows 7 (ale wyłącznie wersjach Ultimate i Enterprise ), a także w Windows Server 2008 oraz Server 2008 R2.