BitLocker

BitLocker Drive Encryption este o caracteristică de protecție a datelor încorporată în sistemele de operare Microsoft din Windows Vista și ulterior, care vă permite să criptați întreaga partiție a sistemului de operare. BitLocker este inclus în edițiile Enterprise și Ultimate ale Vista, edițiile Enterprise și Ultimate ale Windows 7 și edițiile Pro și Enterprise ale Windows 8, 8.1 și Windows 10 , împreună cu versiunile corespunzătoare ale Windows Server . În mod implicit, algoritmul de criptare AES este utilizat în modul CBC cu o cheie de 128 biți .

Descriere

BitLocker garantează trei moduri de operare. Primele două moduri necesită un dispozitiv hardware pentru criptare, adică un Trusted Platform Module (versiunea 1.2 sau o versiune ulterioară) și un BIOS compatibil:

Mod de operare transparent: Acest mod valorifică capacitățile hardware-ului TPM 1.2 pentru a asigura o experiență transparentă a utilizatorului; utilizatorul se conectează în mod normal la sistemul de operare. Cheia utilizată pentru a cripta unitatea de disc este stocată (întotdeauna criptată) în cipul TPM și este returnată la sistemul de încărcare a sistemului de operare numai dacă fișierele de pornire apar neatinse. Componentele pre-OS ale BitLocker profită de cheia de aprobare .
Mod de autentificare utilizator: Acest mod necesită ca utilizatorul să introducă o cheie de autentificare în mediul de pre- boot pentru a porni sistemul de operare. Sunt acceptate două modalități diferite de autentificare: un cod PIN introdus de utilizator sau un dispozitiv USB care conține cheia de pornire necesară.

Al treilea mod nu necesită un cip TPM:

Cheie USB: utilizatorul trebuie să introducă un dispozitiv USB care conține cheia de pornire în computer pentru a putea porni sistemul de operare protejat. Rețineți că acest mod necesită ca BIOS-ul de pe mașina protejată să accepte citirea dispozitivelor USB în mediul pre-OS. Pentru ca BitLocker să funcționeze, hard diskul trebuie formatat în cel puțin două volume NTFS : un „volum de sistem” cu o dimensiune minimă de 1,5 GB și un „volum de încărcare” care conține Windows. Avertisment: volumul sistemului în care este instalat BitLocker nu este criptat, deci nu ar trebui utilizat pentru a păstra informații confidențiale.

Bitlocker vă permite să generați o cheie de recuperare numerică (puteți copia fișierul și / sau imprima cheia sau o puteți salva în contul dvs. Microsoft), pentru a nu fi confundat cu parola de acces / PIN-ul utilizatorului, pentru a fi utilizat în caz de blocare opusă siguranța față de instrument. Fără această cheie, o unitate criptată este complet blocată, adică conținutul este ilizibil de către oricine (fiind într-o stare criptată). Spre deosebire de versiunile anterioare de Windows , comanda diskpart prompt vă oferă posibilitatea de a crea și modifica dimensiunea unui volum NTFS, astfel încât să puteți crea un volum de sistem pentru BitLocker.

În versiunile client de Windows, numai volumul sistemului de operare poate fi criptat cu BitLocker. Sistemul de fișiere criptate (EFS) continuă să fie soluția recomandată pentru criptarea datelor în timp real pe partițiile NTFS. EFS este foarte recomandat în sprijinul BitLocker, deoarece cea de-a doua protecție se termină atunci când nucleul sistemului de operare este încărcat (sesiunea utilizatorului a început, chiar și cu blocarea ecranului activată sau conectat de utilizator). Aceste două sisteme pot fi văzute ca sisteme de protecție împotriva diferitelor tipuri de atac. La WinHEC 2006, Microsoft a arătat că versiunea de server „ Longhorn ” (acum Vista) conține suport pentru BitLocker în plus față de protecția volumului sistemului de operare. În mediile de domeniu , BitLocker acceptă încapsularea cheilor în Active Directory , precum și o interfață WMI pentru administrarea BitLocker la distanță.

Un exemplu de utilizare a interfeței WMI este scriptul manage-bde.wsf (instalat de Vista în % Windir% \ System32 ), care poate fi utilizat pentru a configura și gestiona BitLocker din linia de comandă. Potrivit Microsoft, BitLocker nu conține ușile din spate ; nu există nicio modalitate prin care forțele de ordine să ocolească protecția datelor. Aceasta a fost o preocupare majoră în rândul utilizatorilor avansați de când a fost anunțat suportul pentru criptare în Vista. Rețineți că, spre deosebire de denumirea oficială, „BitLocker Drive Encryption” criptează volumul la un nivel logic. Este posibil ca un volum să nu fie o unitate întreagă sau poate consta din mai multe unități. Folosind instrumentele din linia de comandă, BitLocker poate fi utilizat și pentru a cripta și alte volume, nu doar volumul de încărcare; cu toate acestea, aceste volume nu pot fi criptate prin GUI . Când TPM / BitLocker este activat, integritatea procedurilor de pornire este garantată, pentru a preveni orice atac extern.

Critici

Atunci când un volum criptat-BitLocker este susținută în sus , de backup generat nu este criptat; utilitarul de backup Windows informează utilizatorul despre acest lucru înainte de a efectua backupul. Dacă utilizatorul decide să continue, backupul rezultat este necriptat și compromite confidențialitatea datelor utilizatorului. Dacă utilizatorul alege să nu facă backup, o defecțiune hardware a unității criptate ar duce la pierderea permanentă a datelor.

Întrebări despre dacă această tehnologie conține backdoors care ar permite aplicarea legii să acceseze datele au fost respinse de către Microsoft, dar această tehnologie suportă o „cheie de recuperare“ , care ar putea acorda acces fără un control al datelor. Utilizator dacă el cade în mâini greșite ^{[1 ]} .