BitLocker je nástroj pro šifrování disků a diskových svazků, vyvíjený společností Microsoft. Je integrován ve vybraných verzích operačního systému Windows a jeho účelem je ochrana dat uložených na discích před neoprávněným přístupem.[1] Je primárně navržen pro použití na zařízeních vybavených čipem Trusted Platform Module (TPM)[2], kde kromě šifrování diskových oddílů umožňuje i kontrolu integrity celého systému.
Dějiny
BitLocker vznikl jako součást architektury Microsoft Next-Generation Secure Computing Base v roce 2004 jako funkce s předběžným kódovým označením „Cornerstone“[3][4] a byl navržen k ochraně informací na zařízeních, zejména pokud bylo zařízení ztraceno nebo odcizeno; další funkce, nazvaná "Code Integrity Rooting", byla navržena pro ověření integrity spouštěcích a systémových souborů Microsoft Windows.[3] Při použití ve spojení s kompatibilním modulem Trusted Platform Module (TPM) může BitLocker ověřit integritu spouštěcích a systémových souborů před dešifrováním chráněného svazku; neúspěšné ověření zakáže přístup do chráněného systému.[5][6] BitLocker byl krátce nazýván Secure Startup před vydáním Windows Vista do výroby.[5]
BitLocker je k dispozici na:
- Edice Ultimate a Enterprise Windows Vista a Windows 7
- Verze Pro a Enterprise Windows 8 a 8.1[7][8]
- Verze Pro, Enterprise a Education systému Windows 10[9]
- Verze Pro, Enterprise a Education systému Windows 11[10]
- Windows Server 2008[10] a novější[11]
Dostupnost
BitLocker pro šifrování disků byl poprvé představen s operačním systémem Windows Vista jako nástroj k ochraně dat na počítačích, které byly odcizeny, ztraceny, nebo nekorektně vyřazeny. Od verze Windows 7 je k dispozici také funkce šifrování výměnných médií nazvaná BitLocker To Go.[12]
Nástroj BitLocker je dostupný v těchto verzích operačního systému Windows:
BitLocker Drive Encryption
BitLocker Drive Encryption šifruje celé diskové oddíly. Pro jeho použití musí být disk rozdělen minimálně na dva oddíly. První oddíl obsahuje operační systém a další podpůrné soubory. Tento oddíl musí být naformátován na souborový systém NTFS a může být zašifrován. Druhý oddíl je systémový a obsahuje soubory potřebné pro zavedení operačního systému. Souborový systém tohoto oddílu musí být FAT32 (pro počítače používající UEFI) nebo NTFS (pro počítače používající BIOS). Systémový oddíl se nešifruje.[1]
Šifrovat lze dvěma způsoby – buď je zašifrován rovnou celý diskový oddíl, nebo jen jeho používaná část. V případě šifrování celého oddílu se šifrují i části disku, které zatím neobsahují žádná data. Tato varianta se považuje za nejbezpečnější, zvláště v případě, že disk dříve obsahoval citlivá data, protože části těchto dat mohou i po vymazání nebo přesunutí zůstat na disku v prostoru označeném jako nepoužívaný.
Šifrování pouze využitého místa je vhodné především na nových discích, které doposud žádná data neobsahovaly. Výhodou tohoto režimu šifrování v porovnání s šifrováním celého oddílu je velké zrychlení procesu šifrování. Nová data jsou poté šifrována v okamžiku jejich zápisu na disk.[15]
Použití s čipem TPM
Pokud se v počítači nachází funkční čip TPM, je šifrovací klíč používaný BitLockerem uložen právě v něm. Při startu počítače se zapnutým BitLockerem a aktivním čipem TPM je nejprve ověřována integrita celého systému. V TPM čipu je uchováván otisk systému, který je při startu porovnán s aktuálním stavem – pokud by některá část systému byla změněna, otisk nebude souhlasit a zavedení operačního systému nebude BitLockerem povoleno. Pokud systém ověřením integrity projde úspěšně, z čipu TPM jsou načteny šifrovací klíče, je zaveden operační systém a data na disku jsou zpřístupněna. Tento proces probíhá automaticky při každém startu počítače a není při něm vyžadována žádná interakce ze strany uživatele.[16]
BitLocker podporuje čipy TPM verze 1.2 a vyšší, s TPM 2.0 navíc vyžaduje zařízení podporující UEFI.[17]
Použití bez čipu TPM
BitLocker lze používat i na počítačích, které čipem TPM nedisponují. Šifrovací klíč BitLockeru lze v takovém případě uložit na USB flash disk a při startu systému tento disk připojit k počítači. Další možností je nastavení hesla, které uživatel zadává po zapnutí počítače.[13] Počítače bez TPM čipu nemohou využívat funkci ověření integrity.[17]
Vícefaktorová autentizace
Pro zvýšení bezpečnosti je možné zároveň s čipem TPM použít i doplňující metody autentizace. Dostupné možnosti jsou:
- PIN – při startu počítače je nutné zadat identifikační kód. Po opakovaném zadání chybného PINu dojde k uzamčení počítače.
- Startup Key – při startu je vyžadováno vložení USB flash disku s uloženým klíčem.
- Network Key – odemčení probíhá pomocí klíče načteném ze serveru ve firemní síti.
První dvě metody lze navíc ještě zkombinovat, tedy vynutit vložení USB flash disku a zároveň zadání PINu.[13]
BitLocker To Go
Komponenta BitLocker To Go umožňuje šifrovat výměnná média, jako USB flash disky, SD karty nebo externí harddisky. Podporované systémy souborů pro použití s BitLocker Go jsou NTFS, FAT16, FAT32 a exFAT. Data na zašifrovaných médiích lze následně zpřístupnit zadáním hesla, použitím čipové karty k jejich odemčení, nebo je odemknout na jiném počítači podporujícím BitLocker Drive Encryption.[18]
Obnova systému
V případě nestandardní události dojde k uzamčení počítače chráněného BitLockerem. Může se jednat například o:
- Přesunutí zašifrovaného disku do jiného počítače
- Výměna základní desky
- Deaktivace nebo vymazání čipu TPM
- Aktualizace BIOSu
- Zapomenutí PINu nebo ztráta USB flash disku se startup key
Pro tyto případy generuje BitLocker při své inicializaci obnovovací klíč. Jedná se o 48místné náhodně generované číslo, které má uživatel možnost si uložit nebo vytisknout. Po selhání standardní autentizace je možné tento klíč zadat a zajistit tak odemknutí systému.
Další možností je vytvoření obnovovacího USB flash disku a uzamčený systém zpřístupnit jeho vložením.[19]
Šifrovací algoritmy
Původně BitLocker používal k šifrování algoritmus AES-CBC s velikostí klíče 128 nebo 256 bitů. Od verze 1511 operačního systému Windows 10 přešel BitLocker na šifrování pomocí bezpečnějšího algoritmu XTS-AES s velikostí klíče 128 nebo 256 bitů. Z důvodu kompatibility je stále možné použít i původní šifrovací algoritmus, například pro šifrování vyměnitelných médií, která jsou střídavě připojována k počítačům se starým i novým způsobem šifrování.[20]
Reference
- ↑ a b BitLocker. Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview
- ↑ NOTT, Tim. Bitlocker Drive Encryption. Personal Computer World [online]. 2008. ISSN 01420232. Dostupné z: https://search-proquest-com.ezproxy.techlib.cz/docview/213496494?pq-origsite=summon
- ↑ a b Table 1: Next generation sequencing data from cassava samples collected in East Africa and cassava samples retrieved from GenBank.. dx.doi.org [online]. [cit. 2022-04-04]. Dostupné online.
- ↑ Auditing Windows VISTA and Windows 7. Hoboken, NJ, USA: John Wiley & Sons, Inc. Dostupné online. S. 355–360.
- ↑ a b March/April Issue. CFA Magazine. 2011-03, roč. 22, čís. 2, s. 1–66. Dostupné online [cit. 2022-04-04]. ISSN 1543-1398. DOI 10.2469/cfm.v22.n2.full.
- ↑ Osborne, Anthony David, (21 March 1935–28 April 2004), Chief Executive, Government Property Lawyers, 1993–95. [s.l.]: Oxford University Press Dostupné online.
- ↑ Microsoft downplays BitLocker claim. Network Security. 2008-03, roč. 2008, čís. 3, s. 2. Dostupné online [cit. 2022-04-04]. ISSN 1353-4858. DOI 10.1016/s1353-4858(08)70024-2.
- ↑ Frequently Asked Questions. Hoboken, NJ, USA: John Wiley & Sons, Inc. Dostupné online. S. 15–268.
- ↑ Exploring Windows Server 2003. [s.l.]: Apress Dostupné online. ISBN 978-1-59059-465-0. S. 47–86.
- ↑ a b Using BitLocker. Berkeley, CA: Apress Dostupné online. ISBN 978-1-59059-771-2. S. 167–175.
- ↑ KORNBLUM, Jesse D. Implementing BitLocker Drive Encryption for forensic analysis. Digital Investigation. 2009-03, roč. 5, čís. 3–4, s. 75–84. Dostupné online [cit. 2022-04-04]. ISSN 1742-2876. DOI 10.1016/j.diin.2009.01.001.
- ↑ Windows 7 BitLocker Executive Overview. Microsoft Docs[online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd548341(v%3dws.10)
- ↑ a b c d e f BitLocker - šifrování systémových disků. SAMURAJ-cz.com [online]. Copyright © 2005 [cit. 25.01.2020]. Dostupné z: https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/
- ↑ Windows 10 Editions Compared. AnandTech [online]. Copyright © 2020. All rights reserved. [cit. 25.01.2020]. Dostupné z: https://www.anandtech.com/show/9413/windows-10-editions-compared
- ↑ BitLocker. Overview of BitLocker Device Encryption in Windows 10 - Microsoft 365 Security Microsoft Docs [online]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10#used-disk-space-only-encryption
- ↑ HASSEL, Jonathan a CAMPBELL, Tony. Using BitLocker. In: HASSEL, Jonathan a CAMPBELL, Tony. Windows Vista:Beyond the Manual. Apress, 2007, 167-175. ISBN 978-1-4302-0368-1.
- ↑ a b BitLocker overview and requirements FAQ (Windows 10) - Microsoft 365 Security Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview-and-requirements-faq
- ↑ BitLocker To Go FAQ (Windows 10) - Microsoft 365 Security Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-to-go-faq
- ↑ BitLocker Drive Encryption Technical Overview Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732774(v=ws.10)?redirectedfrom=MSDN
- ↑ What's new in Windows 10, versions 1507 and 1511 (Windows 10). Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/cs-cz/windows/whats-new/whats-new-windows-10-version-1507-and-1511?redirectedfrom=MSDN#bitlocker