21. Принципы работы системы Bitlocker. Bitlocker to go

Система bitlocker появилась с висты. Она в дополнение к шифрованию файлов позволяет шифровать и весь логический диск. Шифруется:

Все файлы ОС и приложений.

Реестр.

Файл подкачки.

Свободные сектора на диске.

Не шифруется:

Загрузочный сектор.

Поврежденные сектора.

Метаданные тома которые состоят из трех избыточных копий данных, используемых bitlocker, включающих статистическую инфу о томе и защищенных копиях некоторых ключей расшифровки.

Шифрование тома обеспечивает защиту от оффлайн-атак - обход ОС (кража компьютера, винта). Bitlocker использует новый американский стандарт с длинной ключа 128 бит. При помощи групповых политик длину ключа можно увеличить до 256 бит. Каждый сектор с томом шифруется отдельно, с учетом номера сектора. Сектора с одинаковыми шифрованными данными в шифрованном виде выглядят по разному. При шифровании дополнительно используется алгоритм -diffuser, в результате применения которого даже мельчайшие изменения исходного текста приводят к абсолютным изменениям всего сектора шифрованных данных. Сами сектора шифруются 256 битным ключом шифрования всего тома (полный ключ шифрования тома - full volume encryption key). Юзер с этим ключом непосредственно не работает и не имеет доступа. Ключ шифруется другим ключом, основным ключом (Volume master key - VMK) на 128битном варианте алгоритма AES. Он хранится в среде метаданных, так же шифруется на одном или нескольких ключах.

При запуске, система ищет подходящий ключ, опрашивая модуль TPM, проверяя юсб-порты или запрашивая у пользователя пин. Bitlocker можно отключить. В этом случае ключ VMK защищается дополнительно ключом, который не шифрован, что позволет системе получать прозрачный доступ к винчестеру, будто он не зашифрован. VMK может быть зашифрован на данном ключе, который хранится на TPM, с помощью RSA. Ключ VMK может шифроваться с участием пин-кода. 160 бит под 256 хешем от пин-кода могут смешиваться с ключом SRK и с помощью RSA шифровать ключ VMK.

Кроме шифрования всего диска, при наличии модуля TPM bitlocker имеет функцию контроля целостности загрузочных компонентов до запуска ОС. Компоненты, участвующие в начальной загрузке должны оставаться незашифрованы и ЗЛО может попытаться изменить их код с целью получения доступа к компьютеру. При наличии TPM, при каждом его запуске происходит вычисление хэша каждого из компонентов ранней загрузки - bios, mbr, bootrec и кода диспетчера загрузки. Они сохраняются в регистре конфигурации платформы(platform configuration register - PCR). Bitlocker использует значения, сохраняющиеся в этих регистрах в качестве ключа шифрования VMK и для расшифровки требуется, чтобы текущие значения этих регистров совпадали со значением на момент создания ключа. Это и есть запечатанный (sealed) ключ. При наличии изменений, ключ не разблокируется и расшифровка диска невозможна. Доступ к битлокеру можно получить с помощью ключа восстановления, на которых так же шифруется с помощью AES том. Bitlocker требует чтобы активный раздел не был зашифрован, это необходимо для считывания загрузочного сектора, диспетчера загрузки и загрузки винды. В висте размер активного раздела был в районе полутора гигабайт, причем необходимо было подготовить этот доп. раздел с помощью сложной процедуры, что очень ограничивало возможности использования Bitlocker. Начиная с семерке, размер диска уменьшихся (200), он создается автоматически. При создании диска bitlocker, указывается способ его запуска - без доп. параметров, с запросом пин-кода, ключ на флешке. Так же запрашивается пароль восстановления, на основе которого создается 48разрядный ключ восстановления. После этого начинается шифрование диска со скоростью 1гб/мин. Bitlocker защитит компьютер даже если у ЗЛА имеет физический доступ к нему. В домене ключами bitlocker можно управлять централизованно с помощью службы каталогов active directory. В случае использования рабочих групп, централизованное управление невозможно. При активизировании bitlocker сложнее производить ремонт компьютера.

Начиная с семерки появилось новое в bitlocker to go. Позволяет реализовать зашифрованную флешку. Достоинства данной функции по сравнению с другими программами в том, что это интегрировано в ОС (128 бит AES). Флешку можно прочитать лишь при вводе правильного пароля. И только на компьютерах с windows 7 +. На висте ее тоже можно прочитать, в случае наличия спец. приложения bitlocker to go reader, которое можно записать на флешку в семерке. Bitlocker to go имеет централизованное управление и может управляться с помощью групповых политик. Можно запретить работу с нешифрованными флешками. По сравнению с вистой резко увеличилось настроек параметров и настроек групповых политик. Причем отдельно можно настроить параметры Bitlocker для логических дисков с винчестером и отдельно для сменных носителей.