Szyfrowanie totalne

Windows Vista ma wiele nowych funkcji podnoszących poziom bezpieczeństwa. Jedną z nich jest BitLocker, mechanizm umożliwiający szyfrowanie całych partycji systemowych. Przedstawiamy właściwości tego rozwiązania, wyjaśniamy, jak z niego korzystać, oraz omawiamy wady i zalety.


Windows Vista ma wiele nowych funkcji podnoszących poziom bezpieczeństwa. Jedną z nich jest BitLocker, mechanizm umożliwiający szyfrowanie całych partycji systemowych. Przedstawiamy właściwości tego rozwiązania, wyjaśniamy, jak z niego korzystać, oraz omawiamy wady i zalety.

Szyfrowanie totalne

BitLocker sprawdza, czy konfiguracja komputera spełnia wymagania. Jeśli wykryje niezgodności, wyświetli komunikat. W tym wypadku włączenie szyfrowania jest niemożliwe.

Szyfrowanie dysków funkcją BitLocker, bo tak brzmi pełna nazwa mechanizmu, to wbudowany w Vistę moduł do szyfrowania całej zawartości partycji systemowej - nie tylko dokumentów, ale także plików systemu operacyjnego. Zadaniem tego rozwiązania jest ochrona w sytuacjach, gdy włamywacz ma fizyczny dostęp do komputera i może zainstalować w nim inny system operacyjny czy wykraść dysk. BitLocker chroni także pliki systemu operacyjnego przed atakami typu "offline", czyli przeprowadzanymi w trakcie, gdy komputer jest wyłączony. Mogą polegać np. na takiej modyfikacji systemu operacyjnego, która umożliwi włamanie się do komputera.

Jednocześnie BitLocker nie służy do szyfrowania pojedynczych dysków, nie uchroni też danych przed atakiem wirusa, jeśli znajdzie się on w uruchomionym systemie.

Sprzętowa ochrona

BitLocker jest rozwiązaniem sprzętowo-programowym. Wykorzystuje do uwierzytelniania klucze przechowywane w instalowanych na płytach głównych modułach TPM (Trusted Platform Module), chroniąc zaszyfrowane dane na wczesnym etapie uruchamiania systemu operacyjnego. Jeśli podczas startu Windows okaże się, że na płycie głównej brakuje odpowiedniego układu, BitLocker wstrzyma uruchamianie Visty i przejdzie w tryb odzyskiwania. Wtedy dostęp do danych będzie możliwy dopiero po podaniu hasła odzyskiwania.

Alternatywą dla TPM jest użycie pamięci USB (pendrive'a), w której zostaje zapisany specjalny klucz dający dostęp do danych. Jeśli go zabraknie, BitLocker przejdzie w tryb odzyskiwania. W dalszej części artykułu wyjaśniamy, jak używać jednego i drugiego wariantu szyfrowania dysków.

Jeśli BitLocker wykryje właściwy moduł TPM lub klucz zapisany w pamięci USB, użytkownik nie zauważy żadnej różnicy w trakcie uruchamiania Visty.

Trusted Platform Module

Nazwa oznacza jednocześnie specyfikację oraz specjalne moduły zgodne z tą specyfikacją. Moduł TPM to układ instalowany przez producenta na płycie głównej. Jest unikatowy dla każdego egzemplarza płyty. Zadaniem TPM jest autoryzacja urządzeń (w odróżnieniu od powszechnie znanej autoryzacji użytkowników, np. podczas logowania do Windows). W wypadku szyfrowania dysków BitLocker umożliwia sprawdzenie, czy dysk jest podłączony cały czas do tego samego komputera.

TPM spełnia kilka zadań. Może służyć do ochrony kluczy szyfrujących: generuje je, udostępnia i przechowuje. Klucze są dobrze chronione i w wypadku fizycznej próby modyfikacji zawartości modułu TPM, następuje nieodwracalne zniszczenie przechowywanych w nim danych. Kolejne zastosowania TPM to zdalne uwierzytelnianie i bezpieczne generowanie liczb losowych. To ostatnie rozwiązuje ogólny problem, związany z generowaniem liczb losowych przez oprogramowanie.

Algorytm

Standardowo BitLocker wykorzystuje algorytm szyfrujący AES z kluczem o długości 128 bitów, ale dopuszcza nawet 512-bitowy. Microsoft przekonuje, że atak siłowy na tak zaszyfrowane dane jest z punktu widzenia obliczeniowego nierealny. Innym problemem jest wydajność, bo dostęp do zaszyfrowanych danych na dysku obciąża dodatkowo procesor, ale - zdaniem Microsoftu - tylko w niewielkim stopniu. Na razie brak miarodajnych informacji na ten temat, wiadomo jednak, że korzystanie z dysków zaszyfrowanych BitLockerem będzie wygodniejsze, jeśli w komputerze znajdzie się procesor co najmniej dwurdzeniowy.

Szyfrowanie totalne

Moduł TPM firmy Atmel zamontowany w notebooku marki IBM.

Wymagania

Z BitLockera mogą korzystać użytkownicy Windows Visty w wersjach Ultimate i Enterprise. Płyta główna musi być wyposażona w moduł TPM w wersji 1.2, a BIOS - zgodny ze specyfikacją TCG (Trusted Computing Group). Jeśli zdecydujesz się używać klucza przechowywanego w pamięci USB, BIOS musi odczytać zapisane w niej dane w momencie włączenia komputera.

Ponadto na twardym dysku muszą być dwie partycje NTFS - BitLockera i systemowa (szyfrowana partycja z systemem operacyjnym i danymi). Partycja BitLockera wymaga co najmniej 1,5 GB i trzeba ją ustawić jako aktywną. Musisz jeszcze pamiętać, żeby w BIOS-ie ustawić twardy dysk jako pierwsze urządzenie bootujące.

Na razie nie udało nam się uruchomić pary BitLocker + TPM na żadnym notebooku, choć nie od dziś wiadomo, że układy TPM są montowane w komputerach przenośnych od kilku lat.

BitLocker w akcji

W kolejnych akapitach wyjaśniamy, jak przygotować dysk do włączenia szyfrowania. Następnie opisujemy dwa warianty włączenia BitLocker - w komputerze z modułem TPM i bez modułu TPM. Następnie wyjaśnimy, jak odzyskać dane oraz jak wyłączyć szyfrowanie. Zwróć uwagę, że BitLocker umożliwia zaszyfrowanie partycji systemowej. W wypadku pozostałych partycji Microsoft sugeruje raczej używanie EFS (Encrypting File System).