BitLocker

редактировать
Программа шифрования диска для Microsoft Windows

BitLocker
BitLocker icon.png
параметр BitLocker при создании Windows To Go Параметр BitLocker во время Windows To Go создание
Другие названияDevice Encryption
Разработчик (и) Microsoft
Первоначальный выпуск30 января 2007 г.; 13 лет назад (30.01.2007)
Операционная система Microsoft Windows
Тип Программное обеспечение для шифрования диска
Веб-сайтdocs.microsoft.com / windows / security / information-protection / bitlocker / bitlocker-overview Изменить в Викиданных

BitLocker - это функция полного шифрования, включенная в Версии Microsoft Windows, начиная с Windows Vista. Он разработан для защиты данных путем обеспечения шифрования для всех томов. По умолчанию он использует алгоритм шифрования AES в режиме цепочки блоков шифров (CBC) или XTS с 128-битным или 256-битным ключом .. CBC не используется для всего диска; он применяется к каждому отдельному сектору .

Содержание

  • 1 История
  • 2 Функции
    • 2.1 Шифрование устройства
    • 2.2 Режимы шифрования
  • 3 Операция
  • 4 Проблемы безопасности
  • 5 См. Также
  • 6 Ссылки
  • 7 Внешние ссылки

История

BitLocker возник как часть архитектуры Microsoft Next-Generation Secure Computing Base в 2004 году в качестве предварительной функции. под кодовым названием "Cornerstone" и был разработан для защиты информации на устройствах, особенно если устройство было потеряно или украдено; другая функция, названная «Корень целостности кода», была разработана для проверки целостности загрузочных и системных файлов Microsoft Windows. При использовании вместе с совместимым Trusted Platform Module (TPM) BitLocker может проверять целостность загрузочных и системных файлов перед расшифровкой защищенного тома; неудачная проверка запретит доступ к защищенной системе. BitLocker кратко назывался Secure Startup перед выпуском Windows Vista для производства.

BitLocker доступен в:

Функции

manage-bde
Разработчик (и) Microsoft
Первоначальный выпуск30 января 2007 г.; 13 лет назад (30.01.2007)
Операционная система Microsoft Windows
Тип Команда
Лицензия Собственное коммерческое программное обеспечение
Веб-сайтmanage-bde

Изначально графический интерфейс BitLocker в Windows Vista мог шифровать только том операционной системы. Начиная с Windows Vista с пакетом обновления 1 и Windows Server 2008, другие тома, кроме тома операционной системы, можно было зашифровать с помощью графического инструмента. Тем не менее, некоторыми аспектами BitLocker (такими как включение или выключение автоматической блокировки) нужно было управлять с помощью инструмента командной строки под названием manage-bde.wsf.

Версия BitLocker, включенная в Windows 7 и Windows Server 2008 R2 добавляет возможность шифрования съемных дисков. В Windows XP или Windows Vista доступ только для чтения к этим дискам можно получить с помощью программы под названием BitLocker To Go Reader, если FAT16, FAT32 или используются файловые системы exFAT. Кроме того, новый инструмент командной строки под названием manage-bdeзаменил старый manage-bde.wsf.

Начиная с Windows Server 2012 и Windows 8, Microsoft дополнила BitLocker шифрованием Microsoft Encrypted. Спецификация жесткого диска, которая позволяет передавать криптографические операции шифрования BitLocker на оборудование устройства хранения. Кроме того, теперь BitLocker можно управлять с помощью Windows PowerShell. Наконец, Windows 8 представила Windows To Go в своем выпуске Enterprise, который BitLocker может защитить.

Шифрование устройства

Windows Mobile 6.5, Windows RT и основные выпуски Windows 8.1 включают шифрование устройства, версию BitLocker с ограниченными возможностями, которая шифрует всю систему. При входе в систему с учетной записью Microsoft с правами администратора процесс шифрования автоматически запускается. Ключ восстановления хранится либо в учетной записи Microsoft, либо в Active Directory, что позволяет получить его с любого компьютера. Хотя шифрование устройства предлагается во всех версиях 8.1, в отличие от BitLocker, для шифрования устройства требуется, чтобы устройство соответствовало спецификациям InstantGo (ранее Connected Standby ), что требует твердотельного накопителя. диски, несъемное ОЗУ (для защиты от атак холодной загрузки ) и чип TPM 2.0.

Начиная с Windows 10 1703, требования к шифрованию устройства изменились, требуя модуль TPM 1.2 или 2.0 с поддержкой PCR 7, UEFI Secure Boot и что устройство соответствует требованиям современного режима ожидания или проверке HSTI.

В сентябре 2019 года было выпущено новое обновление (KB4516071), изменяющее настройка по умолчанию для BitLocker при шифровании жесткого диска с самошифрованием. Теперь по умолчанию для вновь зашифрованных дисков используется программное шифрование. Это связано с недостатками аппаратного шифрования и проблемами безопасности, связанными с этими проблемами.

Режимы шифрования

В качестве строительных блоков для реализации шифрования BitLocker можно использовать три механизма аутентификации:

  • Прозрачный режим работы : в этом режиме используются возможности оборудования TPM 1.2 для обеспечения прозрачности взаимодействия с пользователем - пользователь включается и входит в Windows как обычно. Ключ, используемый для шифрования диска, запечатан (зашифрован) микросхемой TPM и будет передан в код загрузчика ОС только в том случае, если файлы ранней загрузки не будут изменены. Компоненты BitLocker до ОС достигают этого за счет реализации статического корня измерения доверия - методологии, указанной Trusted Computing Group (TCG). Этот режим уязвим для атаки с холодной загрузкой, поскольку он позволяет злоумышленнику загрузить выключенную машину. Он также уязвим для сниффинга, поскольку ключ шифрования тома передается в виде обычного текста от TPM к ЦП во время успешной загрузки.
  • Режим аутентификации пользователя : этот режим требует, чтобы пользователь предоставил некоторую аутентификацию для предзагрузочная среда в виде предзагрузочного PIN-кода или пароля.
  • USB Key Mode : пользователь должен вставить USB-устройство, содержащее ключ запуска, в компьютер, чтобы возможность загрузки защищенной ОС. Обратите внимание, что для этого режима требуется, чтобы BIOS на защищаемом компьютере поддерживал чтение USB-устройств в среде, предшествующей ОС. Ключ также может быть предоставлен с помощью CCID для чтения криптографической смарт-карты. Использование CCID обеспечивает дополнительные преимущества помимо простого хранения файла ключа на внешнем USB-накопителе, поскольку протокол CCID скрывает закрытый ключ с помощью криптографического процессора, встроенного в смарт-карту; это предотвращает кражу ключа путем простого считывания с носителя, на котором он хранится.

Поддерживаются следующие комбинации вышеуказанных механизмов аутентификации, все с дополнительным ключом восстановления escrow :

  • Только TPM
  • TPM + PIN
  • TPM + PIN + USB-ключ
  • TPM + USB-ключ
  • USB-ключ
  • Только пароль

Операция

BitLocker - это система шифрования логического тома . (Том занимает часть жесткого диска, весь диск или несколько дисков.) Если этот параметр включен, TPM и BitLocker могут гарантировать целостность надежного загрузочного пути (например, BIOS и загрузочного сектора), для предотвращения большинства физических атак в автономном режиме и вредоносных программ загрузочного сектора.

Чтобы BitLocker мог зашифровать том, содержащий операционную систему, необходимы как минимум два тома в формате NTFS : один для операционная система (обычно C :) и другая с минимальным размером 100 МБ, которая остается незашифрованной и загружает операционную систему. (В случае Windows Vista и Windows Server 2008, однако, минимальный размер тома составляет 1,5 ГБ и должен иметь букву диска.) В отличие от предыдущих версий Windows, инструмент командной строки Vista "diskpart" включает в себя возможность уменьшить размер тома NTFS, чтобы этот том можно было создать из уже выделенного пространства. Инструмент под названием BitLocker Drive Preparation Tool также доступен от Microsoft, который позволяет уменьшить существующий том в Windows Vista, чтобы освободить место для нового загрузочного тома и для передачи необходимых файлов начальной загрузки на него.

После создания альтернативного загрузочного раздела модуль TPM необходимо инициализировать (при условии, что эта функция используется), после чего требуются механизмы защиты ключа шифрования диска, такие как TPM, PIN или USB-ключ настроен. Затем том шифруется в качестве фоновой задачи, что может занять значительное время с большим диском, так как каждый логический сектор читается, шифруется и перезаписывается обратно на диск. Ключи защищены только после того, как весь том будет зашифрован, когда том считается безопасным. BitLocker использует драйвер устройства низкого уровня для шифрования и дешифрования всех файловых операций, делая взаимодействие с зашифрованным томом прозрачным для приложений, работающих на платформе.

Шифрованная файловая система (EFS) может использоваться в сочетании с BitLocker для обеспечить защиту после запуска операционной системы. Защита файлов от процессов и пользователей в операционной системе может быть выполнена только с помощью программного обеспечения для шифрования, которое работает в Windows, например EFS. Таким образом, BitLocker и EFS предлагают защиту от различных классов атак.

В средах Active Directory BitLocker поддерживает необязательное хранение ключей в Active Directory, хотя для этого может потребоваться обновление схемы (т. Е. Если Active Directory Службы каталогов размещены в версии Windows, предшествующей Windows Server 2008).

BitLocker и другие системы полного шифрования диска могут быть атакованы мошенническим менеджером загрузки. Как только вредоносный загрузчик захватит секрет, он может расшифровать главный ключ тома (VMK), который затем предоставит доступ для расшифровки или изменения любой информации на зашифрованном жестком диске. Настроив TPM для защиты надежного пути загрузки, включая BIOS и загрузочный сектор, BitLocker может уменьшить эту угрозу. (Обратите внимание, что некоторые неумышленные изменения в пути загрузки могут привести к сбою проверки реестра конфигурации платформы и тем самым сгенерировать ложное предупреждение.)

Проблемы безопасности

Согласно источникам Microsoft, BitLocker не содержит специально встроенного бэкдора ; без которого для правоохранительных органов не может быть гарантированного доступа к данным на дисках пользователя, предоставленных Microsoft. В 2006 году Министерство внутренних дел Великобритании выразило обеспокоенность отсутствием бэкдора и попыталось вступить в переговоры с Microsoft, чтобы его внедрить, хотя разработчик Microsoft Нильс Фергюсон и другие представители Microsoft заявили, что они не исполнит желание добавить еще одного. Инженеры Microsoft заявили, что агенты ФБР также оказывали на них давление на многочисленных встречах, чтобы добавить лазейку, хотя официального письменного запроса никогда не поступало; В конце концов инженеры Microsoft предложили ФБР, что агенты должны искать бумажную копию ключа, который программа BitLocker предлагает своим пользователям сделать. Хотя алгоритм шифрования AES, используемый в BitLocker, находится в общественном достоянии, его реализация в BitLocker, а также другие компоненты программного обеспечения являются частными ; однако код доступен для изучения партнерами и предприятиями Microsoft при условии соглашения о неразглашении.

«Прозрачный режим работы» и «Режим аутентификации пользователя» BitLocker используют оборудование TPM для обнаружения несанкционированных изменения в предзагрузочной среде, включая BIOS и MBR. Если обнаруживаются какие-либо несанкционированные изменения, BitLocker запрашивает ключ восстановления на USB-устройстве. Этот криптографический секрет используется для дешифрования главного ключа тома (VMK) и позволяет продолжить процесс bootup.

Тем не менее, в феврале 2008 года группа исследователей безопасности опубликовала подробности такого -называемая «атака с холодной загрузкой », которая позволяет скомпрометировать системы полного шифрования диска, такие как BitLocker, путем загрузки машины со съемного носителя, такого как USB-накопитель, в другую операционную систему, а затем сброса содержимое предзагрузочной памяти. Атака основана на том факте, что DRAM сохраняет информацию в течение нескольких минут (или даже дольше в случае охлаждения) после отключения питания. В патенте США 9514789 описано, что может выполнить этот тип атаки. Использование только TPM не обеспечивает никакой защиты, поскольку ключи хранятся в памяти во время работы Windows. Аналогичные механизмы полного шифрования диска других производителей и других операционных систем, включая Linux и Mac OS X, уязвимы для той же атаки. Авторы рекомендуют выключать компьютеры, когда они не находятся под физическим контролем владельца (а не оставлять их в спящем режиме ), и чтобы программное обеспечение шифрования было настроено так, чтобы запрашивать пароль для загрузки машины.

После запуска машины, защищенной BitLocker, ее ключи хранятся в памяти, где они могут быть уязвимы для атаки со стороны процесса, который может получить доступ к физической памяти, например, через 1394 или Канал Thunderbolt DMA. Начиная с Windows 10 версии 1803, Microsoft добавила в BitLocker новую функцию под названием «Защита ядра DMA» от DMA-атак через порты Thunderbolt 3.

Начиная с Windows 8 и Windows Server 2012, Microsoft удалила Elephant Diffuser из схемы BitLocker без каких-либо заявленных причин. Исследование Дэна Розендорфа показывает, что удаление Elephant Diffuser имело «несомненно отрицательное влияние» на безопасность шифрования BitLocker от целевой атаки. Позднее Microsoft сослалась на проблемы с производительностью и несоблюдение Федеральных стандартов обработки информации (FIPS), чтобы оправдать удаление диффузора. Однако, начиная с Windows 10 версии 1511, Microsoft добавила в BitLocker новый алгоритм шифрования XTS-AES, совместимый с FIPS.

10 ноября 2015 года Microsoft выпустила обновление для системы безопасности, чтобы снизить уровень безопасности. уязвимость в BitLocker, которая позволяла обойти аутентификацию с помощью вредоносного центра распространения ключей Kerberos, если злоумышленник имел физический доступ к машине, машина была частью домена и не имела защиты PIN или USB. 40>

В октябре 2017 года сообщалось, что ошибка (ROCA-уязвимость ) в библиотеке кода, разработанной Infineon, которая широко использовалась в продуктах безопасности, таких как смарт-карты и доверенные платформенные модули, позволяющие выводить закрытые ключи из открытых ключей. Это может позволить злоумышленнику обойти шифрование BitLocker при использовании уязвимого чипа TPM. Microsoft выпустила обновленную версию микропрограммного обеспечения для микросхем Infineon TPM, которая устраняет недостаток через Центр обновления Windows.

См. Также

Ссылки

Внешние ссылки

В Викиучебнике есть книга по теме: Руководство по командам Windows
Последняя правка сделана 2021-05-12 08:24:46
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте