Шифрование диска с помощью BitLocker Drive Encryption без ТРМ

Владимир Безмалый
30.08.2007 | 11:37
Vladimir_Bezmaly@ec.bms-consulting.com
Microsoft MVP in Windows Security
Руководитель программы подготовки администраторов информационной безопасности Академии БМС Консалтинг
http://www.i-tech.org.ua


Введение Сегодня уже сложно найти организацию, которая не задумывалась бы о необходимости шифрования жестких дисков своих мобильных компьютеров. Для этого создано уже довольно большое количество разнообразных программных средств. Однако теперь средство для шифрования будет поставляться вместе с новой операционной системой от фирмы Microsoft - Windows Vista. Данная функция, включенная в состав операционной системы не может не вызывать большое количество споров.

Вместе с микросхемой TPM (Trusted Platform Module), которая устанавливается на материнской плате, BitLocker шифрует весь жесткий диск компьютера. Причем при этом используется классическая модель двухфакторной аутентификации (пароль, хранимый в ТРМ, и PIN-код для доступа к микросхеме). Такая схема достаточно устойчива к взлому, хотя, в будущем несомненно появятся атаки на Pin-код путем простого перебора (метод «грубой силы», brute force).

Принцип действия BitLocker™ Drive Encryption довольно прост. Данное программное обеспечение представляет собой механизм шифрования по алгоритму Advanced Encryption Standard (AES) со 128 или 256-разрядным ключом. Это ПО интегрировано с микросхемой ТРМ версии 1.2. Вместе с тем, данное ПО можно использовать и на компьютерах, не оснащенных ТРМ, однако для доступа к системе необходимо применить USB-память или пароль восстановления. Но в таком случае степень защищенности будет зависеть прежде всего от самого пользователя. Именно такой вариант использования BitLocker(без ТРМ) мы и рассмотрим в данной статье.

Установка BitLocker Для установки BitLocker нам необходимо разметить жесткий диск согласно предложенным требованиям, а именно:

1. Создать новый Primary раздел длиной в 1.5 Gb

2. Назначить этот раздел активным

3. Создать другой Primary раздел из оставшегося места на жестком диске

4. Отформатировать оба раздела используя NTFS

5. Инсталлировать Windows Vista на больший из разделов.

Для этого необходимо:

1. Загрузить компьютер, используя инсталляционный DVD Windows Vista

2. На экране установки выбрать ваш язык инсталляции

3. Далее, выбрать System Recovery Options

4. В окне System Recovery Options убедиться, что не выбрана операционная система. Для этого выбрать пустую область в списке операционных систем и затем нажать Next

5. Далее выбрать Command Promt и использовать утилиту diskpart для создания раздела. Для этого в командной строке набрать diskpart

6. Выбрать disk 0 (select disk0)

7. Использовать команду clean для удаления существующих разделов на диске

8. create partition primary size=1500. Создать первый раздел на диске и назначить его primary

9. assign letter=D назначить данному разделу букву D

10. active назначить данный раздел активным

11. assign letter=C назначить данному разделу букву C

12. list volume просмотреть все разделы на диске.

13. Нажать Exit для выхода из утилиты diskpart

14. Отформатировать раздел С format c: /y /q /fs:NTFS

15. Отформатировать раздел D format d: /y /q /fs:NTFS

16. Exit

17. В окне System Recovery Options нажать Alt+F4 для возврата в главное окно инсталляции

18. Установить Windows Vista на больший из разделов

Однако если вы считаете, что на этом этап подготовки к установке закончен, то должен заметить, что мы только подошли к середине.

Для установки BitLocker на компьютер, не оборудованный ТРМ, или оборудованный ТРМ с версией ниже 1.2 вам необходимо еще совершить некоторые действия с помощью групповых политик.

1. Необходимо выбрать Start и набрать gpedit.msc в строке Start Search, а затем нажать Enter

2. В Group Policy Object Editor выберите Local Computer Policy-Administrative Templates-Windows Components-BitLocker Drive Encryption (рис.1)



Рисунок 1 Group Policy Editor

3. Дважды кликните на Control Panel Setup: Enable Advanced Startup Options

4. Выберите Enabled, затем пометьте Allow BitLocker without a compatible TPM (рис. 2)



Рисунок 2 Control Panel Setup: Enable Advanced Startup Options

5. Закройте Group Policy Object EditorДля применения изменений групповой политики нажмите Start, и введите gpupdate.exe /force в строке Start Search. Подождите применения групповых политик. (рис.3)



Рисунок 3 Применение групповых политик

6. Для того чтобы открыть BitLocker Drive Encryption, включите Turn On BitLocker

7. На странице Set BitLocker Startup Preferences, выберите Require Startup USB Key at every startup. Данная опция доступна лишь при отсутствии ТРМ. USB-ключ должен быть вставлен каждый раз когда вы загружаете компьютер. (рис. 4)



Рисунок 4 Set BitLocker Startup Preferences

8. В диалоге Save your Startup Key укажите в качестве места хранения вашего ключа ваш USB-флеш диск и нажмите Save

9. На странице Save the recovery password выполните следующие действия (рис.5):

a. Save the password on a USB drive Сохраните ваш пароль восстановления в текстовый файл на USB флеш-диск

b. Save the password in a folder Сохраните ваш пароль восстановления в текстовый файл на другое устройство, сетевое или нет.

c. Print the password распечатайте пароль восстановления



Рисунок 5 Save the recovery password

Важно!

Пароль восстановления должен храниться в защищенном месте во избежание его компрометации.

10. На странице Encrypt the selected disk volume page, необходимо отметить выбрать Run BitLocker System Check и затем нажать Continue. После этого необходимо перезагрузить компьютер, чтобы проверить что ваш компьютер совместим с BitLocker, а затем начать процесс шифрования. (рис.6)



Рисунок 6 Encrypt the selected disk volume page

11. Если проверка прошла нормально, то вы увидите строку состояния Encryption in Progress. После окончания этой процедуры ваш диск будет зашифрован.

Восстановление данных, зашифрованных с помощью BitLocker

Восстановление данных может потребоваться в следующих ситуациях:

• Ошибка чтения ТРМ

• Загрузочная запись модифицирована

• ТРМ выключен и компьютер выключен

• Содержимое ТРМ стерто и компьютер выключен

Если компьютер заблокирован, процесс восстановления будет весьма прост, потому что операционная система уже запущена. Вы можете восстановить пароль либо записав его с другого носителя, на котором вы предварительно его сохранили на USB флеш диск или используя функциональные клавиши F1-F10, где F1-F9 соответствуют цифрам 1-9, а F10 – 0.

Процесс восстановления включает два шага:

• Тестирование восстанавливаемых данных;

• Восстановление доступа к данным, зашифрованным с помощью BitLocker Drive Encryption

Тестирование восстанавливаемых данных

Когда вы перезапускаете компьютер, вам потребуется пароль восстановления, потому что конфигурация запуска изменилась, с тех пор как вы зашифровали диск.

1. Нажмите Start - All Programs – Accessories – Run;

2. Для запуска TPM Management Console наберите tpm.msc в открывшемся окне;

3. В строке Actions выберите Turn TPM Off;

4. В случае необходимости, введите PIN-код ТРМ;

5. Закройте все окна;

6. Если USB флеш диск, содержащий ваш пароль восстановления, подключен к компьютеру, используйте Safely Remove Hardware для безопасного удаления диска из компьютера;

7. Затем выключите компьютер.

Восстановление доступа к данным, зашифрованным с помощью BitLocker Drive Encryption

1. Включите компьютер

2. Если компьютер заблокирован, появится окно BitLocker Drive Encryption Recovery Console

3. Вам будет предложено вставить USB флеш-диск, содержащий пароль восстановления:

a. Если у вас есть USB флеш-диск, содержащий пароль восстановления, вставьте его и нажмите Esc. Ваш компьютер будет автоматически перезагружен и вам не потребуется вводить пароль восстановления вручную;

b. Если у вас нет USB флеш-диска, содержащего пароль восстановления, нажмите Enter.

c. Вам будет предложено ввести пароль восстановления вручную.

d. Если вы знаете пароль восстановления, введите его вручную и нажмите Enter

e. Если вы не знаете пароля восстановления, нажмите Enter дважды и выключите компьютер

f. Если Вы сохранили ваш пароль восстановления в файле, который находится в папке, на другом компьютере или на сменном носителе, вы сможете использовать другой компьютер для прочтения файла, содержащего пароль. Для того, чтобы узнать имя файла, содержащего пароль, запишите идентификатор Пароля на дисплее пульта восстановления на блокированном компьютере. Файл, содержащий ключ восстановления, использует этот идентификатор, как имя файла.

Выключение BitLocker Drive Encryption

Данная процедура одинакова как для компьютеров, оборудованных ТРМ, так и для компьютеров без ТРМ.

При выключении BitLocker, вы можете выбрать или временно отключить BitLocker или расшифровать весь диск. Отключение BitLocker позволяет заменить ТРМ или провести обновление операционной системы. Если же вы решите расшифровать весь диск, то для повторного зашифровывания вы должны будете повторно генерировать новые ключи и повторить процесс шифрования снова.

Для выключения BitLocker вы должны произвести следующие действия:

1. Start - Control Panel – Security - BitLocker Drive Encryption

2. На странице BitLocker Drive Encryption, найдите том, на котором вы хотите отключить BitLocker Drive Encryption и выберите Turn Off BitLocker Drive Encryption.

3. В диалоговом окне What level of decryption do you want выберите Disable BitLocker Drive Encryption или Decrypt the volume

4. По окончании этой процедуры, вы или отключите BitLocker Drive Encryption или расшифруете том.



Использование BitLocker Как показало небольшое исследование, процедура использования BitLocker весьма прозрачна, однако само использование порождает много вопросов, начиная от стандартно-полицейских, типа, а что будет если эту процедуру возьмут на вооружение преступники, ведь тогда полиция не сможет прочесть содержимое их жестких дисков и заканчивая более серьезными, по хранению ключей шифрования.

Об этом хотелось бы поговорить чуть подробнее.

Хранение ключей с использованием ТРМ Если хранение ключей шифрования используя ТРМ и PIN-код вопросов не вызывает (фактически мы имеем двухфакторную аутентификацию), то вот в случае использования хранения ключей в ТРМ без PIТ-кода возникает вопрос. Мы загружаем компьютер, который ничего у нас не спрашивает. Т.е. в случае попадания вашего компьютера в руки злоумышленника, он сможет воспользоваться вашим компьютером практически так же, как если бы он вообще не был зашифрован. Единственное, от чего при таком варианте хранения ключей защищает шифрование, так это от несанкционированного прочтения данных в случае сдачи в ремонт жесткого диска (без самого компьютера) и от компрометации информации в случае кражи жесткого диска (без самого компьютера). Понятно, что повышенной безопасностью такой режим назвать достаточно сложно.

Хранение ключей на USB-диске В данном случае мы имеем USB-диск, отчуждаемый от владельца, а так как он нужен лишь на момент старта системы, то на пользователя накладывается еще больше обязанностей по хранению самого устройства.

В случае, если пользователь в ходе диалога сохранил предложенный пароль на USB-диск, то на диске мы имеем два файла. Один, скрытый, с расширением BEK, а второй – текстовый файл.

Содержимое текстового файла:



The recovery password is used to recover the data on a BitLocker protected drive.



Recovery Password:



581174-455686-579447-458491-195756-521345-324918-713900



To verify that this is the correct recovery password compare these tags with tags presented on the recovery screen.

Drive Label: VLAD-PC C: 06.02.2007.

Password ID: {980CBD6B-0A2C-4187-9A1C-BC232450654A}.


Увы, но большинство пользователей не подумает о том, что данный текстовый файл необходимо просто удалить с USB-диска, предварительно его распечатав.

USB-диск нам нужен лишь на этапе старта системы, следовательно, возможен сценарий при котором пользователь оставляет флеш-диск в компьютере и уходит, предположим, курить. Что мешает его соседу взять эту флешку, переписать необходимые файлы (или распечатать потом текстовый файл) и воспользоваться этими знаниями со злым умыслом? Никто! Более того, так как логирование такого процесса не ведется (ведь нет ни имени ни PIN-кода), то доказать факт незаконного использования будет весьма сложно. Мне могут возразить, что иметь только код BitLocker - это еще весьма мало. Согласен. Однако так как его использование внушает пользователю чувство ложной защищенности, то вполне вероятно, что в таком случае пользователь будет менее строг к выбору пароля.

Да, вы правы, это всего лишь допущения. Однако эти допущения имеют право на жизнь, следовательно, их нельзя сбрасывать со счета.

Вывод

Использовать BitLocker конечно же нужно. Однако, на мой взгляд, наиболее приемлемым вариантом его использования является применение данного ПО на компьютерах, оборудованных ТРМ версии не ниже 1.2 в сочетании с PIN-кодом.