BitLocker

BitLocker
VývojářMicrosoft
První vydání30. ledna 2007
Operační systémMicrosoft Windows
Typ softwaruŠifrování
Webhttps://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview
Některá data mohou pocházet z datové položky.

BitLocker je nástroj pro šifrování disků a diskových svazků, vyvíjený společností Microsoft. Je integrován ve vybraných verzích operačního systému Windows a jeho účelem je ochrana dat uložených na discích před neoprávněným přístupem.[1] Je primárně navržen pro použití na zařízeních vybavených čipem Trusted Platform Module (TPM)[2], kde kromě šifrování diskových oddílů umožňuje i kontrolu integrity celého systému.

Dějiny

BitLocker vznikl jako součást architektury Microsoft Next-Generation Secure Computing Base v roce 2004 jako funkce s předběžným kódovým označením „Cornerstone“[3][4] a byl navržen k ochraně informací na zařízeních, zejména pokud bylo zařízení ztraceno nebo odcizeno; další funkce, nazvaná "Code Integrity Rooting", byla navržena pro ověření integrity spouštěcích a systémových souborů Microsoft Windows.[3] Při použití ve spojení s kompatibilním modulem Trusted Platform Module (TPM) může BitLocker ověřit integritu spouštěcích a systémových souborů před dešifrováním chráněného svazku; neúspěšné ověření zakáže přístup do chráněného systému.[5][6] BitLocker byl krátce nazýván Secure Startup před vydáním Windows Vista do výroby.[5]

BitLocker je k dispozici na:

  • Edice Ultimate a Enterprise Windows Vista a Windows 7
  • Verze Pro a Enterprise Windows 8 a 8.1[7][8]
  • Verze Pro, Enterprise a Education systému Windows 10[9]
  • Verze Pro, Enterprise a Education systému Windows 11[10]
  • Windows Server 2008[10] a novější[11]

Dostupnost

BitLocker pro šifrování disků byl poprvé představen s operačním systémem Windows Vista jako nástroj k ochraně dat na počítačích, které byly odcizeny, ztraceny, nebo nekorektně vyřazeny. Od verze Windows 7 je k dispozici také funkce šifrování výměnných médií nazvaná BitLocker To Go.[12]

Nástroj BitLocker je dostupný v těchto verzích operačního systému Windows:

BitLocker Drive Encryption

BitLocker Drive Encryption šifruje celé diskové oddíly. Pro jeho použití musí být disk rozdělen minimálně na dva oddíly. První oddíl obsahuje operační systém a další podpůrné soubory. Tento oddíl musí být naformátován na souborový systém NTFS a může být zašifrován. Druhý oddíl je systémový a obsahuje soubory potřebné pro zavedení operačního systému. Souborový systém tohoto oddílu musí být FAT32 (pro počítače používající UEFI) nebo NTFS (pro počítače používající BIOS). Systémový oddíl se nešifruje.[1]
Šifrovat lze dvěma způsoby – buď je zašifrován rovnou celý diskový oddíl, nebo jen jeho používaná část. V případě šifrování celého oddílu se šifrují i části disku, které zatím neobsahují žádná data. Tato varianta se považuje za nejbezpečnější, zvláště v případě, že disk dříve obsahoval citlivá data, protože části těchto dat mohou i po vymazání nebo přesunutí zůstat na disku v prostoru označeném jako nepoužívaný.

Šifrování pouze využitého místa je vhodné především na nových discích, které doposud žádná data neobsahovaly. Výhodou tohoto režimu šifrování v porovnání s šifrováním celého oddílu je velké zrychlení procesu šifrování. Nová data jsou poté šifrována v okamžiku jejich zápisu na disk.[15]

Použití s čipem TPM

Pokud se v počítači nachází funkční čip TPM, je šifrovací klíč používaný BitLockerem uložen právě v něm. Při startu počítače se zapnutým BitLockerem a aktivním čipem TPM je nejprve ověřována integrita celého systému. V TPM čipu je uchováván otisk systému, který je při startu porovnán s aktuálním stavem – pokud by některá část systému byla změněna, otisk nebude souhlasit a zavedení operačního systému nebude BitLockerem povoleno. Pokud systém ověřením integrity projde úspěšně, z čipu TPM jsou načteny šifrovací klíče, je zaveden operační systém a data na disku jsou zpřístupněna. Tento proces probíhá automaticky při každém startu počítače a není při něm vyžadována žádná interakce ze strany uživatele.[16]

BitLocker podporuje čipy TPM verze 1.2 a vyšší, s TPM 2.0 navíc vyžaduje zařízení podporující UEFI.[17]

Použití bez čipu TPM

BitLocker lze používat i na počítačích, které čipem TPM nedisponují. Šifrovací klíč BitLockeru lze v takovém případě uložit na USB flash disk a při startu systému tento disk připojit k počítači. Další možností je nastavení hesla, které uživatel zadává po zapnutí počítače.[13] Počítače bez TPM čipu nemohou využívat funkci ověření integrity.[17]

Vícefaktorová autentizace

Pro zvýšení bezpečnosti je možné zároveň s čipem TPM použít i doplňující metody autentizace. Dostupné možnosti jsou:

  • PIN – při startu počítače je nutné zadat identifikační kód. Po opakovaném zadání chybného PINu dojde k uzamčení počítače.
  • Startup Key – při startu je vyžadováno vložení USB flash disku s uloženým klíčem.
  • Network Key – odemčení probíhá pomocí klíče načteném ze serveru ve firemní síti.

První dvě metody lze navíc ještě zkombinovat, tedy vynutit vložení USB flash disku a zároveň zadání PINu.[13]

BitLocker To Go

Komponenta BitLocker To Go umožňuje šifrovat výměnná média, jako USB flash disky, SD karty nebo externí harddisky. Podporované systémy souborů pro použití s BitLocker Go jsou NTFS, FAT16, FAT32 a exFAT. Data na zašifrovaných médiích lze následně zpřístupnit zadáním hesla, použitím čipové karty k jejich odemčení, nebo je odemknout na jiném počítači podporujícím BitLocker Drive Encryption.[18]

Obnova systému

V případě nestandardní události dojde k uzamčení počítače chráněného BitLockerem. Může se jednat například o:

  • Přesunutí zašifrovaného disku do jiného počítače
  • Výměna základní desky
  • Deaktivace nebo vymazání čipu TPM
  • Aktualizace BIOSu
  • Zapomenutí PINu nebo ztráta USB flash disku se startup key

Pro tyto případy generuje BitLocker při své inicializaci obnovovací klíč. Jedná se o 48místné náhodně generované číslo, které má uživatel možnost si uložit nebo vytisknout. Po selhání standardní autentizace je možné tento klíč zadat a zajistit tak odemknutí systému. Další možností je vytvoření obnovovacího USB flash disku a uzamčený systém zpřístupnit jeho vložením.[19]

Šifrovací algoritmy

Původně BitLocker používal k šifrování algoritmus AES-CBC s velikostí klíče 128 nebo 256 bitů. Od verze 1511 operačního systému Windows 10 přešel BitLocker na šifrování pomocí bezpečnějšího algoritmu XTS-AES s velikostí klíče 128 nebo 256 bitů. Z důvodu kompatibility je stále možné použít i původní šifrovací algoritmus, například pro šifrování vyměnitelných médií, která jsou střídavě připojována k počítačům se starým i novým způsobem šifrování.[20]

Reference

  1. a b BitLocker. Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview
  2. NOTT, Tim. Bitlocker Drive Encryption. Personal Computer World [online]. 2008. ISSN 01420232. Dostupné z: https://search-proquest-com.ezproxy.techlib.cz/docview/213496494?pq-origsite=summon
  3. a b Table 1: Next generation sequencing data from cassava samples collected in East Africa and cassava samples retrieved from GenBank.. dx.doi.org [online]. [cit. 2022-04-04]. Dostupné online. 
  4. Auditing Windows VISTA and Windows 7. Hoboken, NJ, USA: John Wiley & Sons, Inc. Dostupné online. S. 355–360. 
  5. a b March/April Issue. CFA Magazine. 2011-03, roč. 22, čís. 2, s. 1–66. Dostupné online [cit. 2022-04-04]. ISSN 1543-1398. DOI 10.2469/cfm.v22.n2.full. 
  6. Osborne, Anthony David, (21 March 1935–28 April 2004), Chief Executive, Government Property Lawyers, 1993–95. [s.l.]: Oxford University Press Dostupné online. 
  7. Microsoft downplays BitLocker claim. Network Security. 2008-03, roč. 2008, čís. 3, s. 2. Dostupné online [cit. 2022-04-04]. ISSN 1353-4858. DOI 10.1016/s1353-4858(08)70024-2. 
  8. Frequently Asked Questions. Hoboken, NJ, USA: John Wiley & Sons, Inc. Dostupné online. S. 15–268. 
  9. Exploring Windows Server 2003. [s.l.]: Apress Dostupné online. ISBN 978-1-59059-465-0. S. 47–86. 
  10. a b Using BitLocker. Berkeley, CA: Apress Dostupné online. ISBN 978-1-59059-771-2. S. 167–175. 
  11. KORNBLUM, Jesse D. Implementing BitLocker Drive Encryption for forensic analysis. Digital Investigation. 2009-03, roč. 5, čís. 3–4, s. 75–84. Dostupné online [cit. 2022-04-04]. ISSN 1742-2876. DOI 10.1016/j.diin.2009.01.001. 
  12. Windows 7 BitLocker Executive Overview. Microsoft Docs[online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd548341(v%3dws.10)
  13. a b c d e f BitLocker - šifrování systémových disků. SAMURAJ-cz.com [online]. Copyright © 2005 [cit. 25.01.2020]. Dostupné z: https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/
  14. Windows 10 Editions Compared. AnandTech [online]. Copyright © 2020. All rights reserved. [cit. 25.01.2020]. Dostupné z: https://www.anandtech.com/show/9413/windows-10-editions-compared
  15. BitLocker. Overview of BitLocker Device Encryption in Windows 10 - Microsoft 365 Security Microsoft Docs [online]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10#used-disk-space-only-encryption
  16. HASSEL, Jonathan a CAMPBELL, Tony. Using BitLocker. In: HASSEL, Jonathan a CAMPBELL, Tony. Windows Vista:Beyond the Manual. Apress, 2007, 167-175. ISBN 978-1-4302-0368-1.
  17. a b BitLocker overview and requirements FAQ (Windows 10) - Microsoft 365 Security Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview-and-requirements-faq
  18. BitLocker To Go FAQ (Windows 10) - Microsoft 365 Security Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-to-go-faq
  19. BitLocker Drive Encryption Technical Overview Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732774(v=ws.10)?redirectedfrom=MSDN
  20. What's new in Windows 10, versions 1507 and 1511 (Windows 10). Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/cs-cz/windows/whats-new/whats-new-windows-10-version-1507-and-1511?redirectedfrom=MSDN#bitlocker