Letní kuchyně 

Bitlocker šifrování disku. Instalace, konfigurace a používání Bitlockeru


Mnoho lidí používá funkci šifrování Windows, ale ne každý myslí na bezpečnost tohoto způsobu ochrany dat. Dnes budeme mluvit o šifrování Bitlocker a pokusíme se zjistit, jak dobře je implementována ochrana disku Windows.

Mimochodem, o tom, jak nastavit Bitlocker, si můžete přečíst v článku „“.

  • Úvodní slovo
  • Jak funguje Bitlocker
    • Zranitelnosti
    • Klíče pro obnovení
    • Spuštění nástroje BitLocker
    • BitLocker To Go
  • Závěr

Tento článek byl napsán pro výzkumné účely. Veškeré informace v něm uvedené mají pouze informativní charakter. Je určena bezpečnostním profesionálům a těm, kteří se jimi chtějí stát.

Jak funguje Bitlocker

Co je Bitlocker?

BitLocker je nativní funkce šifrování disku ve Windows 7, 8, 8.1, 10. Tato funkce umožňuje bezpečně šifrovat citlivá data v počítači, a to jak na HDD a SSD, tak na vyměnitelných médiích.

Jak BitLocker funguje?

Spolehlivost BitLockeru by neměla být posuzována podle pověsti AES. Populární šifrovací standard nemusí mít zjevné slabiny, ale jeho implementace v konkrétních kryptografických produktech jimi často oplývají. Microsoft nezveřejňuje úplný kód technologie BitLocker. Ví se pouze, že v různých verzích Windows vycházel z různých schémat a změny nebyly nijak komentovány. Navíc v sestavení 10586 Windows 10 prostě zmizel a po dvou sestaveních se znovu objevil. Nicméně první věci.

První verze BitLockeru používala režim Ciphertext Block Chaining (CBC). Už tehdy byly jeho nedostatky zřejmé: snadnost útoku pomocí známého textu, špatná odolnost vůči útokům, jako je spoofing a tak dále. Microsoft se proto okamžitě rozhodl ochranu posílit. Již ve Vista byl do schématu AES-CBC přidán algoritmus Elephant Diffuser, což ztěžuje přímé porovnání bloků šifrovaného textu. S ním stejný obsah dvou sektorů dával po zašifrování jedním klíčem zcela odlišné výsledky, což komplikovalo výpočet obecného vzoru. Samotný klíč byl však standardně krátký – 128 bitů. Lze jej prodloužit na 256 bitů pomocí administrativních zásad, ale vyplatí se to dělat?

Pro uživatele se po změně klíče navenek nic nezmění - ani délka zadávaných hesel, ani subjektivní rychlost operací. Jako většina systémů šifrování celého disku používá BitLocker více klíčů... a žádný z nich není pro uživatele viditelný. Zde je schematický diagram nástroje BitLocker.

  • Když je BitLocker aktivován pomocí generátoru pseudonáhodných čísel, vygeneruje se hlavní bitová sekvence. Tento šifrovací klíč svazku je FVEK (šifrovací klíč plného svazku). Právě s nimi je od nynějška obsah každého sektoru šifrován.
  • Na druhé straně je FVEK zašifrován pomocí jiného klíče - VMK (hlavní klíč svazku) - a uložen zašifrován mezi metadata svazku.
  • Samotný VMK je také šifrován, ale různými způsoby podle volby uživatele.
  • Na novějších základních deskách je VMK standardně šifrován pomocí kořenového klíče úložiště (SRK), který je uložen v samostatném kryptoprocesoru – modulu důvěryhodné platformy (TPM). Uživatel nemá přístup k obsahu TPM a je jedinečný pro každý počítač.
  • Pokud na desce není samostatný čip TPM, pak se místo SRK k zašifrování klíče VMK použije PIN kód zadaný uživatelem nebo USB-Flash disk připojený na požádání s přednastavenými informacemi o klíči.
  • Kromě TPM nebo USB flash disku můžete VMK chránit heslem.

Tento obecný vzorec nástroje BitLocker přetrvává v následujících vydáních systému Windows až do současnosti. Generování klíčů BitLocker a režimy šifrování se však změnily. V říjnu 2014 tedy Microsoft v tichosti odstranil další algoritmus Elephant Diffuser a ponechal pouze schéma AES-CBC se známými nedostatky. Zpočátku k tomu nepadla žádná oficiální prohlášení. Lidé prostě dostali pod rouškou aktualizace oslabenou šifrovací technologii se stejným názvem. Vágní vysvětlení tohoto kroku přišla poté, co si nezávislí výzkumníci všimli zjednodušení BitLockeru.

Formálně bylo opuštění Elephant Diffuser vyžadováno, aby byla zajištěna shoda Windows s americkými federálními standardy zpracování informací (FIPS), ale jeden argument tuto verzi vyvrací: Vista a Windows 7, které používaly Elephant Diffuser, se v Americe prodávaly bez problémů.

Dalším zjevným důvodem pro opuštění dodatečného algoritmu je nedostatek hardwarové akcelerace pro Elephant Diffuser a ztráta rychlosti při jeho používání. Nicméně v dřívějších letech, kdy byly procesory pomalejší, byla rychlost šifrování z nějakého důvodu v pořádku. A stejný AES byl široce používán ještě předtím, než existovaly samostatné instrukční sady a specializované čipy k jeho urychlení. Postupem času bylo možné udělat pro Elephant Diffuser hardwarovou akceleraci nebo alespoň dát zákazníkům na výběr mezi rychlostí a bezpečností.

Další, neoficiální verze vypadá realističtěji. "Elephant" překážel zaměstnancům, kteří chtěli vynaložit méně úsilí na dešifrování dalšího disku, a Microsoft ochotně spolupracuje s úřady i v případech, kdy jejich požadavky nejsou zcela legální. Nepřímo potvrzuje konspirační teorii a fakt, že před Windows 8 používal BitLocker pro generování šifrovacích klíčů vestavěný generátor pseudonáhodných čísel ve Windows. V mnoha (pokud ne ve všech) edicích Windows to byl Dual_EC_DRBG, „kryptograficky silný PRNG“ vyvinutý americkou Národní bezpečnostní agenturou a obsahující řadu inherentních zranitelností.

Tajné oslabení vestavěného šifrování samozřejmě vyvolalo silnou vlnu kritiky. Pod jejím tlakem Microsoft znovu přepsal BitLocker a nahradil PRNG v nových verzích Windows CTR_DRBG. Navíc ve Windows 10 (počínaje sestavením 1511) je výchozí schéma šifrování AES-XTS, které je imunní vůči manipulaci s bloky šifrovaného textu. Nejnovější sestavení Top 10 řeší další známé chyby BitLockeru, ale hlavní problém stále zůstává. Je to tak absurdní, že to ostatní inovace ztrácí smysl. Jde o principy správy klíčů.

Úkol dešifrovat BitLocker disky je také zjednodušen tím, že Microsoft aktivně propaguje alternativní způsob obnovení přístupu k datům prostřednictvím Data Recovery Agent. Význam „Agenta“ spočívá v tom, že šifruje šifrovací klíče všech disků v podnikové síti pomocí jediného přístupového klíče. Po jeho získání můžete dešifrovat jakýkoli klíč, a tedy jakýkoli disk používaný stejnou společností. Výhodně? Ano, zejména pro hackování.

Myšlenka použití jednoho klíče pro všechny zámky se již mnohokrát zkompromitovala, ale stále se k němu v té či oné podobě vracejí kvůli pohodlí. Zde je návod, jak Ralph Leighton sepsal paměti Richarda Feynmana o jedné charakteristické epizodě jeho práce na projektu Manhattan v laboratoři Los Alamos: „...Otevřel jsem tři trezory – a všechny tři v jedné kombinaci. Všechny jsem dokončil: otevřel jsem trezory se všemi tajemstvími atomové bomby - technologie získávání plutonia, popis procesu čištění, informace o tom, kolik materiálu je potřeba, jak funguje bomba, jak se získávají neutrony, jak bomba funguje, jaké má rozměry, jedním slovem všechno. co věděli v Los Alamos, celá kuchyně!"

BitLocker je do jisté míry podobný bezpečnému zařízení popsanému v jiném úryvku z knihy "Vy si samozřejmě děláte srandu, pane Feynmane!" Nejpůsobivější trezor v přísně tajné laboratoři měl stejnou zranitelnost jako jednoduchá kartotéka. „… Byl to plukovník a měl mnohem mazanější, dvoudveřový trezor s velkými madly, který vytáhl čtyři tři čtvrtě palce tlusté ocelové tyče z rámu. Prozkoumal jsem zadní stranu jedněch z impozantních bronzových dveří a zjistil jsem, že digitální ciferník byl připojen k malému visacímu zámku, který vypadal přesně jako zámek na mém šatníku v Los Alamos. Bylo zřejmé, že pákový systém závisí na stejné tyčce, která zamykala kartotéky.Při zobrazování nějaké činnosti jsem začal náhodně otáčet číselníkem. O dvě minuty později – klikněte! - trezor se otevřel. Když jsou otevřená dvířka trezoru nebo horní zásuvka kartotéky, je velmi snadné najít kombinaci. To je to, co jsem udělal, když jste četli moji zprávu, jen abych vám ukázal nebezpečí."

Kryptokontejnery BitLocker jsou samy o sobě docela spolehlivé. Pokud vám přinesou flash disk zašifrovaný BitLocker To Go, který přišel odnikud, je nepravděpodobné, že jej dešifrujete v rozumném čase. V reálném scénáři využívajícím šifrované jednotky a vyměnitelná média však existuje mnoho zranitelností, které lze snadno zneužít k obejití nástroje BitLocker.

Chyby zabezpečení nástroje BitLocker

Pravděpodobně jste si všimli, že při první aktivaci Bitlockeru musíte dlouho čekat. To není překvapivé - proces šifrování sektor po sektoru může trvat několik hodin, protože ani všechny bloky terabajtových pevných disků nelze číst rychleji. Vypnutí nástroje BitLocker je však téměř okamžité – jak to?

Faktem je, že když je deaktivován, Bitlocker data nedešifruje. Všechny sektory zůstanou zašifrovány klíčem FVEK. Jen přístup k tomuto klíči již nebude nijak omezen. Všechny kontroly budou deaktivovány a VMK zůstane zaznamenán mezi metadaty v čistém textu. Při každém zapnutí počítače zavaděč OS načte VMK (již bez kontroly TPM, požádá o klíč na USB flash disku nebo heslo), automaticky jím dešifruje FVEK a poté všechny soubory, jak jsou přístupné. Pro uživatele bude vše vypadat jako úplné chybějící šifrování, ale ti nejpozornější si mohou všimnout mírného poklesu výkonu diskového subsystému. Přesněji – žádné zvýšení rychlosti po deaktivaci šifrování.

Zajímavé v tomto schématu a další. Navzdory názvu (technologie úplného šifrování disku) jsou některá data při použití nástroje BitLocker stále nezašifrována. MBR a BS (pokud disk nebyl inicializován v GPT), vadné sektory a metadata zůstávají v pořádku. Otevřený bootloader vám dává hodně představivosti. Další malware je vhodné schovat do pseudošpatných sektorů a metadata obsahují spoustu zajímavých věcí, včetně kopií klíčů. Pokud je Bitlocker aktivní, pak budou zašifrovány (ale slabší než FVEK zašifruje obsah sektorů), a pokud je deaktivován, pak budou jednoduše v čistém textu. To vše jsou potenciální vektory útoku. Jsou potenciální, protože kromě nich existují mnohem jednodušší a univerzálnější.

Klíč pro obnovení bitlockeru

Kromě FVEK, VMK a SRK používá BitLocker další typ klíče, který se generuje „pro každý případ“. Jedná se o obnovovací klíče spojené s dalším oblíbeným vektorem útoku. Uživatelé se bojí zapomenout heslo a ztratit přístup do systému a samotný Windows jim doporučuje nouzové přihlášení. Chcete-li to provést, Průvodce šifrováním BitLocker v poslední fázi navrhuje vytvoření klíče pro obnovení. Není poskytováno žádné odmítnutí jeho vytvoření. Můžete si vybrat pouze jednu z klíčových možností exportu, z nichž každá je velmi zranitelná.

Ve výchozím nastavení je klíč exportován jako jednoduchý textový soubor s rozpoznatelným názvem: „BitLocker recovery key #“, kde je namísto # zapsán identifikátor počítače (ano, přímo v názvu souboru!). Samotný klíč vypadá takto.

Pokud jste zapomněli (nebo jste nikdy nevěděli) své heslo BitLocker, stačí vyhledat soubor klíče pro obnovení. Jistě se uloží mezi dokumenty aktuálního uživatele nebo na jeho USB flash disk. Možná je to dokonce vytištěné na kusu papíru, jak doporučuje Microsoft.

Pro rychlé nalezení obnovovacího klíče je vhodné omezit vyhledávání podle přípony (txt), data vytvoření (pokud víte, kdy jste přibližně mohli zapnout BitLocker) a velikosti souboru (1388 bajtů, pokud soubor nebyl upravován). Jakmile najdete klíč pro obnovení, zkopírujte jej. S ním můžete kdykoli obejít standardní autorizaci v BitLockeru. Chcete-li to provést, stiskněte klávesu Esc a zadejte klíč pro obnovení. Bez problémů se přihlásíte a dokonce si můžete změnit heslo v BitLockeru na libovolné bez udání starého!


Spuštění nástroje BitLocker

Nemovitý kryptografický systém je kompromisem mezi pohodlím, rychlostí a spolehlivostí. Měl by poskytovat postupy pro transparentní šifrování s dešifrováním za chodu, metody pro obnovu zapomenutých hesel a pohodlnou práci s klíči. To vše oslabuje jakýkoli systém, bez ohledu na to, na jak robustních algoritmech je založen. Není tedy nutné hledat zranitelnosti přímo v Rijndaelově algoritmu nebo v různých schématech standardu AES. Je mnohem snazší je najít přesně ve specifikách konkrétní implementace.

V případě Microsoftu takových „specifik“ stačí. Například kopie klíčů BitLocker jsou ve výchozím nastavení odesílány do SkyDrive a ukládány do Active Directory.

No, co když je ztratíte... nebo se ptá agent Smith. Je nepohodlné nechat čekat klienta, natož agenta. Z tohoto důvodu srovnání kryptografická síla AES-XTS a AES-CBC s difuzorem Elephant ustupují do pozadí, stejně jako doporučení pro zvýšení délky klíče. Bez ohledu na to, jak je dlouhý, útočník ho snadno dostane dovnitř nešifrované formulář.

Získání uložených klíčů z účtu Microsoft nebo AD je primárním způsobem útoku na BitLocker. Pokud uživatel nezaregistroval účet v cloudu společnosti Microsoft a jeho počítač není v doméně, stále existují způsoby, jak extrahovat šifrovací klíče. Při běžném provozu jsou jejich otevřené kopie vždy uloženy v paměti RAM (jinak by nedocházelo k „průhlednému šifrování“). To znamená, že jsou dostupné v jeho výpisu a souboru hibernace.

Proč jsou tam vůbec uloženy?

Vtipné, jak se to může zdát - pro pohodlí. BitLocker byl navržen tak, aby chránil pouze před offline útoky. Vždy jsou doprovázeny restartem a připojením disku v jiném OS, což vede k vyčištění RAM. Ve výchozím nastavení však OS provede výpis paměti RAM, když dojde k selhání (které může být vyprovokováno) a zapíše veškerý jeho obsah do souboru hibernace pokaždé, když počítač přejde do hlubokého spánku. Pokud jste se tedy nedávno přihlásili do Windows s aktivovaným BitLockerem, máte velkou šanci získat dešifrovanou kopii VMK a s její pomocí dešifrovat FVEK a následně samotná data v řetězci.

Koukni na to? Všechny výše uvedené metody hackování BitLocker jsou shromážděny v jednom programu - Forensic Disk Decryptor, vyvinutý domácí společností Elcomsoft. Dokáže automaticky extrahovat šifrovací klíče a připojit šifrované svazky jako virtuální disky a dešifrovat je za běhu.

EFDD navíc implementuje další netriviální způsob získávání klíčů – útok přes FireWire port, který je vhodné použít, když není možné spustit váš software na napadeném počítači. Samotný program EFDD si vždy nainstalujeme na svůj počítač a na hacknutém se snažíme vystačit s minimem nutných úkonů.

Jako příklad jednoduše spustíme testovací systém s aktivním BitLockerem a tiše vypíšeme paměť. Budeme tedy simulovat situaci, kdy kolega šel na oběd a nezamkl si počítač. Spustíme RAM Capture a za necelou minutu dostaneme plný výpis v souboru s příponou .mem a velikostí odpovídající velikosti paměti RAM nainstalované v počítači oběti.

Jak udělat skládku - v podstatě na tom nezáleží. Bez ohledu na příponu to bude mít za následek binární soubor, který bude EFDD dále automaticky analyzovat při hledání klíčů.

Zapíšeme výpis na USB flash disk nebo jej přeneseme po síti, poté si sedneme k počítači a spustíme EFDD.

Vyberte možnost "Extrahovat klíče" a jako zdroj klíčů zadejte cestu k souboru s výpisem paměti.

BitLocker je typický kryptografický kontejner jako PGP Disk nebo TrueCrypt. Tyto kontejnery se samy o sobě ukázaly jako docela spolehlivé, ale klientské aplikace pro práci s nimi pod Windows jsou plné šifrovacích klíčů v RAM. Proto EFDD implementuje obecný scénář útoku. Program okamžitě najde šifrovací klíče ze všech tří typů oblíbených krypto-kontejnerů. Proto můžete nechat zaškrtnutá všechna políčka – co když oběť tajně používá nebo PGP!

Po několika sekundách Elcomsoft Forensic Disk Decryptor zobrazí všechny nalezené klíče ve svém okně. Pro pohodlí je lze uložit do souboru - to se v budoucnu bude hodit.

BitLocker již není překážkou! Můžete provést klasický offline útok – například vytáhnout pevný disk a zkopírovat jeho obsah. Chcete-li to provést, jednoduše jej připojte k počítači a spusťte EFDD v režimu „dešifrování nebo připojení disku“.

Po zadání cesty k souborům s uloženými klíči provede EFDD dle vašeho výběru úplné dešifrování svazku nebo jej okamžitě otevře jako virtuální disk. V druhém případě jsou soubory dešifrovány při přístupu. V žádném případě se na původním svazku nedělají žádné změny, takže ho druhý den můžete vrátit, jako by se nic nestalo. Práce s EFDD probíhá beze stopy a pouze s kopiemi dat, a proto zůstává neviditelná.

BitLocker To Go

Počínaje "sedmičkou" ve Windows bylo možné šifrovat flash disky, USB-HDD a další externí média. Technologie nazvaná BitLocker To Go šifruje vyměnitelné jednotky stejně jako místní jednotky. Šifrování je povoleno příslušnou položkou v kontextové nabídce Průzkumníka.

U nových disků můžete použít šifrování pouze obsazené oblasti - stejně je volné místo oddílu vyplněno nulami a není tam co skrývat. Pokud byl disk již používán, doporučuje se na něm povolit plné šifrování. V opačném případě zůstane prostor označený jako volný nezašifrován. Může obsahovat nedávno smazané soubory ve formátu prostého textu, které ještě nebyly přepsány.

I rychlé šifrování pouze rušné oblasti trvá několik minut až několik hodin. Tato doba závisí na množství dat, šířce pásma rozhraní, vlastnostech disku a rychlosti kryptografických výpočtů procesoru. Jelikož je šifrování doprovázeno kompresí, volné místo na šifrovaném disku se obvykle mírně zvětší.

Při příštím připojení šifrované jednotky flash k libovolnému počítači se systémem Windows 7 nebo vyšším se automaticky spustí průvodce nástrojem BitLocker, který jednotku odemkne. V "Průzkumníkovi" se před odemknutím zobrazí jako zamčený disk.

Zde můžete použít jak dříve diskutované možnosti vynechání nástroje BitLocker (například hledání VMK ve výpisu paměti nebo souboru hibernace), tak i nové související s obnovovacími klíči.

Pokud neznáte heslo, ale podařilo se vám najít jeden z klíčů (ručně nebo pomocí EFDD), existují dvě hlavní možnosti přístupu k šifrované jednotce flash:

  • použijte vestavěného průvodce BitLocker pro přímou práci s flash diskem;
  • použijte EFDD k úplnému dešifrování flash disku a vytvoření jeho obrazu sektor po sektoru.

První možnost vám umožňuje okamžitě přistupovat k souborům zaznamenaným na USB flash disku, kopírovat je nebo měnit, stejně jako zapisovat vlastní. Druhá možnost trvá mnohem déle (od půl hodiny), ale má své výhody. Dešifrovaný obraz sektor po sektoru umožňuje sofistikovanější analýzu systému souborů na úrovni forenzní laboratoře. V tomto případě již samotný flash disk není potřeba a lze jej vrátit beze změny.

Výsledný obrázek lze okamžitě otevřít v jakémkoli programu, který podporuje formát IMA, nebo jej nejprve převést do jiného formátu (například pomocí UltraISO).

Kromě vyhledání obnovovacího klíče pro BitLocker2Go jsou samozřejmě v EFDD podporovány všechny ostatní metody obcházení BitLockeru. Jednoduše procházejte všechny dostupné možnosti v řadě, dokud nenajdete klíč jakéhokoli typu. Zbytek (až do FVEK) bude sám dešifrován v řetězci a vy získáte plný přístup k disku.

Závěr

Technologie šifrování celého disku BitLocker se liší podle verze systému Windows. Po adekvátní konfiguraci umožňuje vytvářet šifrované kontejnery, které jsou teoreticky svou silou srovnatelné s TrueCryptem nebo PGP. Vestavěný klíčový mechanismus ve Windows však neguje všechny algoritmické triky. Konkrétně VMK používaný k dešifrování hlavního klíče v BitLockeru je obnoven pomocí EFDD během několika sekund z uschovaného duplikátu, výpisu paměti, souboru hibernace nebo útoku na port FireWire.

Po obdržení klíče můžete provést klasický offline útok, diskrétně zkopírovat a automaticky dešifrovat všechna data na „zabezpečeném“ disku. BitLocker by se proto měl používat pouze ve spojení s dalšími ochranami: Encrypting File System (EFS), Rights Management Service (RMS), řízení spouštění programů, instalace zařízení a kontrola připojení a přísnější místní zásady a obecná bezpečnostní opatření.

V článku jsou použity materiály z webu:

dobrý den přátelé.

Vložili jste heslo na určité informace v počítači a nyní je chcete odstranit? Nevíte, jak to udělat? Tento článek poskytuje jednoduchý návod, jak deaktivovat Bitlocker – samotný program, který chrání vaše data před hackery.

Bitlocker je vestavěný nástroj v systémech Windows navržený tak, aby zajistil bezpečnost důležitých informací před neoprávněným přístupem. Po instalaci vloží vlastník počítače heslo ke všem nebo některým souborům. Aplikace umožňuje uložit si jej na externí médium nebo vytisknout, aby PIN zůstal pouze v paměti, protože jej dokáže napumpovat.

Šifrování informací spočívá v tom, že je program převede do speciálního formátu, který lze přečíst až po zadání hesla.

Pokud se pokusíte otevřít soubor bez něj, uvidíte nesouvisející čísla a písmena.

Zpočátku můžete nástroj nakonfigurovat tak, aby byl zámek odstraněn po vložení USB flash disku s klíčem. Je lepší mít několik médií s heslem.

Důležité! Pokud zapomenete a ztratíte všechny klíče, spolu s nimi ztratíte navždy přístup ke všem datům na disku (nebo na flash disku).

Aplikace nejprve začala fungovat ve vylepšené verzi Windows Vista. Nyní je k dispozici i pro další generace tohoto systému.

Způsoby, jak zakázat Bitlocker

K odblokování nemusíte být hacker nebo IT profesionál. Vše se dělá jednoduše; samozřejmě, pokud si heslo nastavíte sami a nebudete hackovat cizí data. A existuje? Pak se pustíme do analýzy.

Soubory lze odemknout několika způsoby. Nejjednodušší z nich vypadá takto:

  • Klikněte pravým tlačítkem myši na požadovaný disk a v rozevíracím okně klikněte na „Ovládání BitLockeru“;

  • Otevře se nová nabídka, kde byste měli vybrat položku „Vypnout“.

Když přeinstalujete Windows 10 nebo jinou verzi operačního systému, musíte pozastavit šifrování. Chcete-li jej dokončit, postupujte podle následujících pokynů:

  • Otevřete Start - Ovládací panely - Systém a zabezpečení - BitLocker Drive Encryption;
  • Vyberte „Pozastavit ochranu“ nebo „Spravovat BitLocker“ a poté „Zakázat BitLocker“ (ve Win7).
  • Kliknutím na „Ano“ potvrďte, že jej záměrně deaktivujete.

Prostřednictvím stejné nabídky můžete stisknutím odpovídajícího tlačítka zámek zcela vypnout.

Pamatujte, že Windows Vista a další verze systému mohou mít pro výše uvedené části odlišné názvy. Ale v každém případě najdete požadovaná nastavení prostřednictvím ovládacího panelu. Například ve Windows 8 jej můžete otevřít takto:

Abych byl upřímný, nevím, jak deaktivovat tento šifrovač, pokud se heslo ztratí ... Mohu pouze doporučit naformátování zařízení - v důsledku toho bude disk k dispozici pro práci. Ale v této situaci všechna data na něm přirozeně zmizí.

No, to je vše, doufám, že to bylo užitečné.

Brzy na viděnou přátelé!

Když TrueCrypt kontroverzně uzavřel obchod, vyzvali své uživatele, aby přešli z TrueCrypt na BitLocker nebo VeraCrypt. BitLocker existuje ve Windows dostatečně dlouho na to, aby byl vyspělý, a je jedním z těch šifrovacích produktů, které jsou odborníkům na zabezpečení dobře známé. V tomto článku budeme mluvit o tom, jak můžete nakonfigurujte BitLocker na vašem PC.

Poznámka: BitLocker Drive Encryption a BitLocker To Go jsou k dispozici v edicích Professional nebo Enterprise systému Windows 8 nebo 10 a Ultimate Windows 7. Počínaje systémem Windows 8.1 však edice Windows Home a Pro obsahují funkci "Device Encryption" (k dispozici také v systému Windows 10), který funguje podobným způsobem.

Doporučujeme Device Encryption, pokud jej váš počítač podporuje, BitLocker pro uživatele Pro a VeraCrypt pro uživatele s domácími Windows, kde šifrování zařízení nebude fungovat.

Zašifrujte celý disk nebo vytvořte kontejner

Mnoho průvodců mluví o tvoření Kontejner BitLocker který funguje stejně jako šifrovaný kontejner TrueCrypt nebo Veracrypt. To je však trochu špatně, ale můžete dosáhnout podobného efektu. BitLocker funguje tak, že šifruje všechny disky. Může to být váš systémový disk, jiný fyzický disk nebo virtuální pevný disk (VHD), který existuje jako soubor a je připojen ve Windows.

Rozdíl je vesměs sémantický. V jiných šifrovacích produktech obvykle vytvoříte šifrovaný kontejner a poté jej připojíte jako jednotku ve Windows, když jej potřebujete použít. Pomocí nástroje BitLocker vytvoříte virtuální pevný disk a poté jej zašifrujete.

V tomto článku se zaměříme na povolení nástroje BitLocker pro existující fyzický disk.

Jak zašifrovat disk pomocí BitLockeru

Použití nástroje BitLocker pro jednotku, vše, co opravdu musíte udělat, je zapnout, zvolit způsob odemknutí a poté nastavit několik dalších možností.

Než to však prozkoumáme, měli byste vědět, že chcete-li používat úplné šifrování BitLocker systémový disk obvykle vyžaduje počítač s modulem Trusted Platform Module (TPM) na základní desce vašeho počítače. Tento čip generuje a ukládá šifrovací klíče, které používá BitLocker. Pokud váš počítač nemá modul TPM, můžete pomocí zásad skupiny povolit nástroj BitLocker bez modulu TPM. To je o něco méně bezpečné, ale stále bezpečnější než vzdát se šifrování.

Nesystémovou jednotku nebo vyměnitelnou jednotku můžete zašifrovat bez modulu TPM a nepovolte nastavení Zásady skupiny.

V této poznámce byste si také měli uvědomit, že existují dva typy šifrování jednotky BitLocker, které můžete povolit:

  • BitLocker Drive Encryption: někdy označovaný jednoduše jako BitLocker je funkce úplné šifrování který zašifruje celý disk. Když se váš počítač spustí, zavaděč systému Windows se spustí Sekce vyhrazená systémem, pak bootloader požádá o metodu odemknutí - například heslo. Teprve poté BitLocker dešifruje disk a spustí Windows. Vaše soubory se zobrazují jako obvykle v nezašifrovaném systému, ale jsou zašifrovány na disku. Můžete také zašifrovat jiné jednotky než jen systémovou jednotku.
  • BitLocker To Go: Pomocí nástroje BitLocker To Go můžete šifrovat externí disky, jako jsou jednotky USB a externí pevné disky. Při připojení disku k počítači budete vyzváni k použití metody odemknutí – například hesla. Pokud někdo nemá přístup k metodě odemknutí, nebude mít přístup k souborům na disku.

Ve Windows 7-10 se nemusíte obávat složitosti šifrování. Windows zvládá většinu úkolů v zákulisí a rozhraní, které použijete k aktivaci nástroje BitLocker, vypadá povědomě.

Zapněte pro jednotku BitLocker

Nejjednodušší způsob povolit BitLocker pro jednotku- Klepněte pravým tlačítkem myši na jednotku v okně Průzkumník souborů a poté vyberte příkaz „Zapnout BitLocker“. Pokud tuto možnost v kontextové nabídce nevidíte, pravděpodobně nemáte verzi Windows Pro nebo Enterprise a musíte hledat jiné řešení šifrování.

Je to jednoduché. Zobrazí se průvodce nastavením, který vám umožní vybrat několik možností, které jsme rozdělili do následujících částí.

Vyberte způsob odemknutí nástroje BitLocker

První obrazovka, kterou uvidíte v Průvodci šifrováním jednotky BitLocker, vám umožňuje vybrat způsob, jak odemknout váš disk... Existuje několik způsobů, jak disk odemknout.

Pokud zašifrujete systémovou jednotku v počítači, což není TPM, můžete disk odemknout heslem nebo USB klíčem, který funguje jako dongle. Vyberte metodu odemknutí a postupujte podle pokynů pro tuto metodu (zadejte heslo nebo připojte jednotku USB).

Pokud váš počítač Má to TPM, uvidíte další možnosti pro odemknutí diskového systému. Můžete jej například nastavit na automatické odemykání při spuštění (kdy váš počítač získá šifrovací klíče z TPM a automaticky dešifruje disk). můžete také použít PIN místo hesla nebo dokonce biometrických údajů, jako je otisk prstu.

Pokud zašifrujete nesystémový disk nebo vyměnitelný disk, uvidíte pouze dvě možnosti (ať už máte TPM nebo ne). Disk můžete odemknout heslem nebo čipovou kartou (nebo obojím).

Zálohování klíče pro obnovení

BitLocker generuje obnovovací klíč, který můžete použít pro přístup k zašifrovaným souborům, pokud ztratíte svůj hlavní klíč, například když zapomenete heslo nebo pokud je váš počítač TPM poškozen a potřebujete k disku přistupovat z jiného systému.

Klíč si můžete uložit do svého účtu Microsoft, na USB flash disk, do souboru nebo si jej dokonce vytisknout. Tyto možnosti jsou stejné, ať šifrujete systémový nebo nesystémový disk.

Pokud si zálohujete obnovovací klíč do svého účtu Microsoft, můžete k němu později přistupovat na https://onedrive.live.com/recoverykey. Pokud používáte jinou metodu obnovy, nezapomeňte tento klíč uschovat – pokud k němu někdo získá přístup, může dešifrovat váš disk a obejít šifrování.

Pokud chcete, můžete vytvořit všechny typy záloh vašeho klíče pro obnovení. Stačí postupně vybrat každou možnost, kterou chcete použít, a poté postupovat podle pokynů. Po uložení klíčů pro obnovení pokračujte kliknutím na tlačítko Další.

Poznámka... Pokud zašifrujete USB nebo jiný vyměnitelný disk, nebudete moci uložit klíč pro obnovení na USB disk. Můžete použít kteroukoli z dalších tří možností.

BitLocker Drive Encryption and Unlock

BitLocker automaticky zašifruje nové soubory při jejich přidávání, ale musíte si vybrat, co se soubory na disku uděláte. Můžete zašifrovat celý disk, včetně volného místa, nebo jednoduše zašifrovat soubory používané na disku, abyste proces urychlili.

Pokud vytváříte BitLocker na novém PC, zašifrujte pouze použité místo na disku – je to mnohem rychlejší. Pokud instalujete BitLocker do počítače, který už nějakou dobu používáte, musíte zašifrovat celý disk, aby nikdo nemohl obnovit smazané soubory.

Po provedení výběru klikněte na tlačítko Další.

Vyberte režim šifrování BitLocker (pouze Windows 10)

Pokud používáte Windows 10, zobrazí se další obrazovka, která vám umožní vybrat metodu šifrování. Pokud používáte Windows 7 nebo 8, přejděte k dalšímu kroku.

Windows 10 zavádí novou metodu šifrování XTS-AES. Poskytuje vylepšenou integritu a výkon oproti AES používanému ve Windows 7 a 8. Pokud víte, že jednotka, kterou šifrujete, bude použita pouze na počítačích s Windows 10, vyberte možnost Nový režim šifrování. Pokud se domníváte, že v určitém okamžiku budete potřebovat použít disk se starší verzí systému Windows (obzvláště důležité, pokud se jedná o vyměnitelný disk), vyberte možnost Kompatibilní režim.

Ať už zvolíte kteroukoli možnost, po dokončení klikněte na tlačítko Další a na další obrazovce klikněte na Spusťte šifrování.

Dokončení šifrování jednotky BitLocker

Proces šifrování může trvat od několika sekund do několika minut nebo i déle, v závislosti na velikosti disku, množství dat, která šifrujete, a na tom, zda chcete šifrovat volné místo.

Pokud zašifrujete systémový disk, budete vyzváni ke spuštění kontroly systému BitLocker a restartování systému. Klikněte na tlačítko Pokračovat a poté restartujte počítač. Po prvním spuštění počítače systém Windows zašifruje disk.

Pokud zašifrujete nesystémový nebo vyměnitelný disk, systém Windows není nutné restartovat a šifrování se spustí okamžitě.

Bez ohledu na typ jednotky, kterou šifrujete, můžete vidět ikonu BitLocker Drive Encryption na hlavním panelu a sledovat průběh. Při šifrování jednotek můžete počítač nadále používat – poběží však o něco pomaleji, zvláště pokud se jedná o jednotku s operačním systémem.

Odemknutí jednotky BitLocker

Pokud je váš systémový disk zašifrován, jeho odemknutí závisí na zvolené metodě (a na tom, zda má váš počítač TPM). Pokud máte TPM a rozhodnete se disk automaticky odemknout, nic nového si nevšimnete – nabootujete rovnou do Windows jako vždy. Pokud zvolíte jiný způsob odemknutí, systém Windows vás vyzve k odemknutí disku (zadáním hesla, připojením jednotky USB nebo něčím jiným).

Pokud jste ztratili (nebo zapomněli) způsob odemknutí, stiskněte na obrazovce s výzvou Esc zadejte obnovovací klíč.

Pokud jste zašifrovali nesystémový nebo vyměnitelný disk, systém Windows vás vyzve k odemknutí disku při prvním přístupu po spuštění systému Windows (nebo po připojení k počítači, pokud se jedná o vyměnitelný disk). Zadejte své heslo nebo vložte čipovou kartu a abyste ji mohli používat, musí být disk odemčený.

V Průzkumníku souborů jsou šifrované jednotky označeny zlatým visacím zámkem. Tento zámek se změní na šedý, když je disk odemčen.

Zamčený disk můžete spravovat – změnit heslo, deaktivovat nástroj BitLocker, zálohovat klíč pro obnovení a další – z okna Ovládací panely nástroje BitLocker. Chcete-li přejít přímo na tuto stránku, klikněte pravým tlačítkem na libovolnou šifrovanou jednotku a vyberte Spravovat BitLocker.

Dobrý den, přátelé! V tomto článku budeme pokračovat v prozkoumávání systémů zabudovaných do systému Windows navržených tak, aby zlepšily zabezpečení našich dat. Dnes to Systém šifrování disku Bitlocker... Šifrování dat je nezbytné, aby cizí lidé nepoužívali vaše informace. Jak se k nim dostane, je jiná otázka.

Šifrování je proces transformace dat tak, aby k nim měli přístup pouze ti správní lidé. K získání přístupu se obvykle používají klíče nebo hesla.

Šifrování celého disku zabrání přístupu k datům při připojení pevného disku k jinému počítači. V systému útočníka může být nainstalován jiný operační systém, aby se obešla ochrana, ale to nepomůže, pokud používáte BitLocker.

BitLocker byl představen s operačním systémem Windows Vista a byl vylepšen. Bitlocker je k dispozici ve verzích Maximum a Enterprise a také ve verzi Pro. Majitelé ostatních verzí budou muset hledat.

Aniž bychom zacházeli do detailů, vypadá to takto. Systém zašifruje celý disk a dá vám k němu klíče. Pokud systémový disk zašifrujete, bez vašeho klíče se nespustí. To samé jako klíče od bytu. Máš je, spadneš do toho. Ztraceno, musíte použít náhradní (obnovovací kód (vydaný během šifrování)) a změnit zámek (znovu zašifrovat pomocí různých klíčů)

Pro spolehlivou ochranu je žádoucí mít v počítači modul Trusted Platform Module (TPM). Pokud tam je a jeho verze je 1.2 nebo vyšší, bude proces řídit a budete mít silnější metody ochrany. Pokud tam není, bude možné použít pouze klíč na USB disku.

BitLocker funguje následovně. Každý sektor disku je šifrován samostatně pomocí full-volume šifrovacího klíče (FVEK). Je použit algoritmus AES se 128bitovým klíčem a difuzorem. Klíč lze v zásadách zabezpečení skupiny změnit na 256bitový.

Po dokončení šifrování uvidíte následující obrázek

Zavřete okno a zkontrolujte, zda jsou spouštěcí klíč a obnovovací klíč na bezpečných místech.

Šifrování jednotky Flash – BitLocker To Go

Proč pozastavovat šifrování? Aby BitLocker nezamkl váš disk a neuchýlil se k postupu obnovy. Systémové parametry (a obsah spouštěcího oddílu) jsou během šifrování opraveny pro další ochranu. Pokud je změníte, počítač se může zablokovat.

Pokud vyberete Spravovat BitLocker, můžete uložit nebo vytisknout obnovovací klíč a Duplikovat spouštěcí klíč

Pokud se jeden z klíčů (spouštěcí klíč nebo obnovovací klíč) ztratí, můžete je obnovit zde.

Správa šifrování externího úložiště

Pro správu parametrů šifrování flash disku jsou k dispozici následující funkce

Pro odemknutí můžete změnit heslo. Heslo lze smazat pouze v případě, že je k odemknutí zámku použita čipová karta. Můžete si také uložit nebo vytisknout obnovovací klíč a povolit automatické odemykání disku.

Obnovení přístupu k disku

Obnovení přístupu na systémový disk

Pokud je flash disk s klíčem mimo přístupovou zónu, přichází na řadu obnovovací klíč. Když spustíte počítač, uvidíte něco jako následující.

Chcete-li obnovit přístup a spustit systém Windows, stiskněte klávesu Enter

Zobrazí se obrazovka s výzvou k zadání klíče pro obnovení

Zadáním poslední číslice za předpokladu, že je použit správný obnovovací klíč, se automaticky spustí operační systém.

Obnovení přístupu k vyměnitelným jednotkám

Chcete-li obnovit přístup k informacím na USB flash disku nebo stiskněte Zapomněli jste heslo?

Vyberte možnost Zadat klíč pro obnovení

a zadejte tento hrozný 48místný kód. Klepněte na tlačítko Další

Pokud je klíč pro obnovení vhodný, disk se odemkne

Zobrazí se odkaz Spravovat nástroj BitLocker, kde můžete změnit heslo pro odemknutí disku.

Závěr

V tomto článku jsme se dozvěděli, jak můžeme chránit naše informace jejich šifrováním pomocí vestavěného nástroje BitLocker. Je zklamáním, že tato technologie je dostupná pouze ve starších nebo pokročilých verzích Windows. Také se ukázalo, proč tento skrytý a bootovatelný 100 MB oddíl vznikl při nastavování disku pomocí Windows.

Snad použiji šifrování flash disků popř. To je však nepravděpodobné, protože existují dobré náhrady ve formě služeb cloudového úložiště, jako je DropBox a podobně.