BitLocker - BitLocker
Параметр BitLocker во время Windows To Go творчество | |
Другие имена | Шифрование устройства |
---|---|
Разработчики) | Microsoft |
изначальный выпуск | 30 января 2007 г. |
Операционная система | Майкрософт Виндоус |
Тип | ПО для шифрования дисков |
Интернет сайт | документы |
BitLocker это полное шифрование тома функция, включенная в Майкрософт Виндоус версии, начинающиеся с Виндоус виста. Он предназначен для защиты данных путем предоставления шифрование для всего тома. По умолчанию он использует AES алгоритм шифрования в цепочка блоков шифра (CBC) или XTS Режим[1] со 128-битным или 256-битным ключ.[2][3] CBC не используется для всего диска; применяется к каждому человеку сектор.[3]
История
BitLocker возник как часть Microsoft База безопасных вычислений нового поколения архитектуры в 2004 году как объект с предварительным кодовым названием "Cornerstone"[4][5] и был разработан для защиты информации на устройствах, особенно если устройство было потеряно или украдено; другая функция, названная «Корень целостности кода», была разработана для проверки целостности загрузочных и системных файлов Microsoft Windows.[4] При использовании вместе с совместимым Модуль доверенной платформы (TPM) BitLocker может проверять целостность загрузочных и системных файлов перед расшифровкой защищенного тома; неудачная проверка запретит доступ к защищенной системе.[6][7] BitLocker кратко назывался Secure Startup до появления Windows Vista. выпуск в производство.[6]
BitLocker доступен на:
- Версии Ultimate и Enterprise Виндоус виста и Windows 7
- Pro и Enterprise редакции Windows 8 и 8.1[8][2]
- Версии Pro, Enterprise и Education Windows 10[9]
- Windows Server 2008[10] и позже[11][8]
Функции
Разработчики) | Microsoft |
---|---|
изначальный выпуск | 30 января 2007 г. |
Операционная система | Майкрософт Виндоус |
Тип | Команда |
Лицензия | Проприетарный коммерческое программное обеспечение |
Интернет сайт | manage-bde |
Изначально графический интерфейс BitLocker в Windows Vista мог только шифровать Операционная система объем. Начиная с Windows Vista с пакетом обновления 1 и Windows Server 2008, другие тома, кроме тома операционной системы, можно было зашифровать с помощью графического инструмента. Тем не менее, некоторыми аспектами BitLocker (такими как включение или выключение автоматической блокировки) приходилось управлять с помощью инструмента командной строки под названием manage-bde.wsf
.[12]
Версия BitLocker, включенная в Windows 7 и Windows Server 2008 R2, добавляет возможность шифрования съемных дисков. На Windows XP или Windows Vista, доступ только для чтения к этим дискам можно получить с помощью программы под названием BitLocker To Go Reader, если FAT16, FAT32 или же exFAT файловые системы.[13] Кроме того, появился новый инструмент командной строки под названием manage-bde
заменил старый manage-bde.wsf
.[14]
Начиная с Windows Server 2012 и Windows 8, Microsoft дополнила BitLocker спецификацией Microsoft Encrypted Hard Drive, которая позволяет передавать криптографические операции шифрования BitLocker на оборудование устройства хранения.[15][16] Кроме того, теперь BitLocker можно управлять через Windows PowerShell.[17] Наконец, появилась Windows 8 Windows To Go в редакции Enterprise, которую BitLocker может защитить.[18]
Шифрование устройства
Windows Mobile 6.5, Windows RT и основные выпуски Windows 8.1 включают шифрование устройства, версия BitLocker с ограниченными возможностями, которая шифрует всю систему.[19][20][21] Вход с помощью Учетная запись Microsoft с правами администратора автоматически запускает процесс шифрования. Ключ восстановления хранится либо в учетной записи Microsoft, либо в Active Directory, позволяя получить его с любого компьютера. Хотя шифрование устройства предлагается во всех версиях 8.1, в отличие от BitLocker, шифрование устройства требует, чтобы устройство соответствовало требованиям InstantGo (ранее Подключенный режим ожидания ) технические характеристики,[21] что требует твердотельные накопители, несъемная RAM (для защиты от атаки холодной загрузки ) и микросхему TPM 2.0.[19][22]
Начиная с Windows 10 1703, требования к шифрованию устройства изменились, и теперь требуется модуль TPM 1.2 или 2.0 с поддержкой PCR 7, Безопасная загрузка UEFI, и что устройство соответствует требованиям Modern Standby или проверке HSTI.[23]
В сентябре 2019 года вышло новое обновление (KB4516071[24]) изменение настройки по умолчанию для BitLocker при шифровании жесткого диска с самошифрованием. Теперь по умолчанию для вновь зашифрованных дисков используется программное шифрование. Это связано с недостатками аппаратного шифрования и проблемами безопасности, связанными с этими проблемами.[25]
Режимы шифрования
В качестве строительных блоков для реализации шифрования BitLocker можно использовать три механизма аутентификации:[26]
- Прозрачный режим работы: В этом режиме используются возможности оборудования TPM 1.2 для обеспечения прозрачности взаимодействия с пользователем - пользователь включается и входит в Windows как обычно. Ключ, используемый для шифрование диска запечатан (зашифрован) микросхемой TPM и будет передан в код загрузчика ОС только в том случае, если файлы ранней загрузки не изменились. Компоненты BitLocker до ОС достигают этого за счет реализации статического корня измерения доверия - методологии, указанной в Группа доверенных вычислений (TCG). Этот режим уязвим для холодная атака, так как это позволяет выключенной машине быть загружен злоумышленником. Он также уязвим для атаки сниффинга, поскольку ключ шифрования тома передается в виде обычного текста от TPM к ЦП во время успешной загрузки.
- Режим аутентификации пользователя: Этот режим требует, чтобы пользователь предоставил некоторую аутентификацию для предзагрузочной среды в форме предзагрузочной ШТЫРЬ или пароль.
- Режим USB-ключа: Пользователь должен вставить USB-устройство, содержащее ключ запуска, в компьютер, чтобы иметь возможность загружать защищенную ОС. Обратите внимание, что для этого режима требуется, чтобы BIOS на защищаемой машине поддерживал чтение USB-устройств в среде, предшествующей ОС. Ключ также может быть предоставлен CCID для чтения криптографического интеллектуальная карточка. Использование CCID обеспечивает дополнительные преимущества помимо простого хранения файла ключа на внешнем USB-накопителе, поскольку протокол CCID скрывает закрытый ключ с помощью криптографического процессора, встроенного в смарт-карту; это предотвращает кражу ключа путем простого считывания с носителя, на котором он хранится.
Поддерживаются следующие комбинации вышеуказанных механизмов аутентификации, все с дополнительным условное депонирование ключ восстановления:
Операция
BitLocker - это логический том система шифрования. (Том занимает часть привод жесткого диска, весь диск или более одного диска.) При включении TPM и BitLocker могут гарантировать целостность надежного пути загрузки (например, BIOS и загрузочного сектора), чтобы предотвратить большинство физических атак и вредоносных программ загрузочного сектора.[33]
Чтобы BitLocker мог зашифровать том, содержащий операционную систему, необходимо как минимум два NTFS -форматированные тома: один для операционной системы (обычно C :) и другой с минимальным размером 100 МБ, который остается незашифрованным и сапоги операционная система.[33] (В случае Windows Vista и Windows Server 2008 однако минимальный размер тома составляет 1,5 ГБ, и на нем должна быть буква диска.)[34] В отличие от предыдущих версий Windows, средство командной строки "diskpart" Vista включает возможность уменьшения размера тома NTFS, чтобы этот том можно было создать из уже выделенного пространства. Инструмент под названием BitLocker Drive Preparation Tool также доступен от Microsoft, который позволяет сжать существующий том в Windows Vista, чтобы освободить место для нового загрузочного тома и необходимых самонастройка файлы, которые нужно передать на него.[35]
После создания альтернативного загрузочного раздела модуль TPM необходимо инициализировать (при условии, что эта функция используется), после чего требуемые механизмы защиты ключа шифрования диска, такие как TPM, PIN или Ключ USB настроены.[36] Затем том шифруется в качестве фоновой задачи, что может занять значительное время с большим диском, так как каждый логический сектор читается, шифруется и перезаписывается обратно на диск.[36] Ключи защищены только после того, как весь том будет зашифрован, когда том считается безопасным.[37] BitLocker использует драйвер устройства низкого уровня для шифрования и дешифрования всех файловых операций, делая взаимодействие с зашифрованным томом прозрачным для приложений, работающих на платформе.[36]
Шифрованная файловая система (EFS) может использоваться вместе с BitLocker для обеспечения защиты после запуска операционной системы. Защита файлов от процессов и пользователей в операционной системе может быть выполнена только с помощью программного обеспечения для шифрования, которое работает в Windows, например EFS. Таким образом, BitLocker и EFS предлагают защиту от различных классов атак.[38]
В средах Active Directory BitLocker поддерживает необязательное хранение ключей в Active Directory, хотя для этого может потребоваться обновление схемы (т. Е. Если службы Active Directory размещены в версии Windows, предшествующей Windows Server 2008).
BitLocker и другие системы полного шифрования диска могут быть атакованы мошеннический менеджер загрузки. Как только вредоносный загрузчик захватит секрет, он может расшифровать главный ключ тома (VMK), который затем предоставит доступ для расшифровки или изменения любой информации на зашифрованном жестком диске. Настроив TPM для защиты надежного пути загрузки, включая BIOS и загрузочный сектор, BitLocker может уменьшить эту угрозу. (Обратите внимание, что некоторые не вредоносные изменения в пути загрузки могут вызвать Регистр конфигурации платформы проверить на сбой и тем самым сгенерировать ложное предупреждение.)[33]
Проблемы безопасности
Согласно источникам Microsoft,[39] BitLocker не содержит намеренно встроенных задняя дверь; без которого нет возможности правоохранительные органы чтобы иметь гарантированный переход к данным на дисках пользователя, предоставленным Microsoft. В 2006 г. Министерство внутренних дел Великобритании выразил озабоченность отсутствием бэкдора[40] и попытался вступить в переговоры с Microsoft, чтобы представить его, хотя разработчик Microsoft Нильс Фергюсон и другие представители Microsoft заявляют, что они не согласятся на добавление одного из них.[41] Инженеры Microsoft заявили, что ФБР агенты также оказывали на них давление на многочисленных встречах, чтобы добавить лазейку, хотя официального письменного запроса никогда не поступало; В конце концов инженеры Microsoft предложили ФБР, что агенты должны искать печатная копия ключа, который программа BitLocker предлагает своим пользователям сделать.[42] Хотя алгоритм шифрования AES, используемый в BitLocker, находится в всеобщее достояние, его реализация в BitLocker, как и другие компоненты программного обеспечения, проприетарный; однако код доступен для изучения партнерами и предприятиями Microsoft при условии соглашение о неразглашении.[43][44]
«Прозрачный режим работы» и «Режим проверки подлинности пользователя» BitLocker используют оборудование TPM для обнаружения неавторизованных изменений в среде предварительной загрузки, включая BIOS и MBR. Если обнаруживаются какие-либо несанкционированные изменения, BitLocker запрашивает ключ восстановления на USB-устройстве. Этот криптографический секрет используется для расшифровки главного ключа тома (VMK) и позволяет загрузка процесс, чтобы продолжить.[45]
Тем не менее в феврале 2008 года группа исследователей безопасности опубликовала подробности так называемого "холодная атака ", которая позволяет взломать системы полного шифрования диска, такие как BitLocker, путем загрузки машины со съемного носителя, такого как USB-накопитель, в другую операционную систему, затем сброс содержимое предзагрузочной памяти.[46] Атака основана на том, что DRAM сохраняет информацию в течение нескольких минут (или даже дольше при охлаждении) после отключения питания. Здесь Устройство Бресса / Менца описанный в патенте США 9514789, который может выполнять этот тип атаки.[47] Использование только TPM не обеспечивает никакой защиты, поскольку ключи хранятся в памяти во время работы Windows. Аналогичные механизмы полного шифрования диска других производителей и других операционных систем, включая Linux и Mac OS X, уязвимы для одной и той же атаки. Авторы рекомендуют выключать компьютеры, когда они физически не контролируются владельцем (а не оставлять их в спящий режим ) и чтобы программа шифрования была настроена так, чтобы запрашивать пароль для загрузки машины.[46]
После запуска машины, защищенной BitLocker, ее ключи хранятся в памяти, где они могут быть подвержены атаке со стороны процесса, который может получить доступ к физической памяти, например, через 1394 или же Thunderbolt DMA канал.[48] Начиная с Windows 10 версии 1803, Microsoft добавила в BitLocker новую функцию под названием «Защита ядра DMA» от DMA-атак через Thunderbolt 3 порты.[49]
Начиная с Windows 8 и Windows Server 2012, Microsoft удалила Elephant Diffuser из схемы BitLocker без объявленной причины.[50] Исследование Дэна Розендорфа показывает, что удаление Elephant Diffuser имело «несомненно отрицательное влияние» на безопасность шифрования BitLocker от целевой атаки.[51] Позже Microsoft указала на проблемы с производительностью и несоблюдение требований Федеральные стандарты обработки информации (FIPS), чтобы оправдать снятие диффузора.[52] Однако, начиная с Windows 10 версии 1511, Microsoft добавила новый FIPS-совместимый XTS-AES алгоритм шифрования BitLocker.[1]
10 ноября 2015 года Microsoft выпустила обновление безопасности, чтобы уменьшить уязвимость системы безопасности в BitLocker, которая позволяла обходить аутентификацию с помощью вредоносного ПО. Kerberos центр распространения ключей, если злоумышленник имел физический доступ к машине, машина была частью домена и не имела защиты PIN или USB.[53]
В октябре 2017 года сообщалось, что недоработка (ROCA уязвимость ) в библиотеке кода, разработанной Infineon, которые широко использовались в продуктах безопасности, таких как смарт-карты и TPM, позволяющие выводить закрытые ключи из открытые ключи. Это может позволить злоумышленнику обойти шифрование BitLocker при использовании уязвимого чипа TPM.[54] Microsoft выпустила обновленную версию прошивки для микросхем Infineon TPM, которая исправляет ошибку через Центр обновления Windows.[55]
Смотрите также
- Новые возможности Windows Vista
- Список компонентов Microsoft Windows
- Технологии Vista IO
- База безопасных вычислений нового поколения
- FileVault
Рекомендации
- ^ а б Хакала, Труды (29 января 2020 г.). «Что нового в Windows 10 версий 1507 и 1511». TechNet. Microsoft. Получено 7 марта, 2020.
- ^ а б «Часто задаваемые вопросы о шифровании диска Windows BitLocker». Библиотека TechNet. Microsoft. 22 марта 2012 г.. Получено 7 марта, 2020.
- ^ а б Фергюсон, Нильс (август 2006 г.). «AES-CBC + Elephant Diffuser: алгоритм шифрования диска для Windows Vista» (PDF). Microsoft. Получено 7 марта, 2020. Цитировать журнал требует
| журнал =
(помощь) - ^ а б Биддл, Питер (2004). «База безопасных вычислений нового поколения». Microsoft. Архивировано из оригинал (PPT) 27 августа 2006 г.. Получено 7 марта, 2020.
- ^ Турротт, Пол (9 сентября 2005 г.). «Эксклюзивно до PDC: выпуски продуктов Windows Vista». Суперсайт для Windows. Пентон. Архивировано из оригинал 2 апреля 2015 г.. Получено 7 марта, 2020.
- ^ а б Microsoft (22 апреля 2005 г.). «Безопасный запуск - полное шифрование тома: технический обзор» (DOC). Получено 7 марта, 2020.
- ^ Microsoft (21 апреля 2005 г.). «Безопасный запуск - полное шифрование тома: общий обзор» (DOC). Получено 7 марта, 2020.
- ^ а б «Что нового в BitLocker». Библиотека TechNet. Microsoft. 31 августа 2016 г.. Получено 7 марта, 2020.
- ^ «Сравните выпуски Windows 10». Windows для бизнеса. Microsoft. Получено 7 марта, 2020.
- ^ «Шифрование диска BitLocker в Windows Vista». TechNet. Microsoft. Архивировано из оригинал 17 ноября 2016 г.. Получено 7 марта, 2020.
- ^ «Обзор шифрования диска BitLocker». TechNet. Microsoft. 17 ноября 2009 г.. Получено 7 марта, 2020.
- ^ Хайнс, Байрон (8 сентября 2016 г.). «Достижения в шифровании диска BitLocker». Журнал TechNet. Microsoft. Получено 7 марта, 2020.
- ^ «Описание BitLocker To Go Reader». Microsoft. Архивировано из оригинал 24 сентября 2019 г.. Получено 25 апреля, 2017.
- ^ «Включение BitLocker с помощью командной строки». TechNet. Microsoft. 12 сентября 2012 г.. Получено 7 марта, 2020.
- ^ «Зашифрованный жесткий диск». TechNet. Microsoft. 31 августа 2016 г.. Получено 7 марта, 2020.
- ^ «Руководство по зашифрованному жесткому диску». MSDN. Microsoft. 1 июня 2017 г.. Получено 7 марта, 2020.
- ^ «BitLocker». TechNet. Microsoft. Получено 7 марта, 2020.
- ^ «Windows To Go: часто задаваемые вопросы». TechNet. Microsoft. 23 октября 2013 г.. Получено 7 марта, 2020.
- ^ а б «Шифрование устройства». Шифрование устройства. Microsoft. 18 ноября 2015 г.. Получено 7 марта, 2020.
- ^ Каннингем, Эндрю (17 октября 2013 г.). «Windows 8.1 включает бесшовное автоматическое шифрование диска, если ваш компьютер поддерживает его». Ars Technica. Condé Nast. Получено 7 марта, 2020.
- ^ а б «Помогите защитить свои файлы с помощью шифрования устройства». Справочный портал Windows. Microsoft. Архивировано из оригинал 2 мая 2016 г.. Получено 7 марта, 2020.
- ^ Турротт, Пол (4 июня 2013 г.). «Синим цветом: шифрование устройства». SuperSite Пола Турротта для Windows. Пентон Медиа. Архивировано из оригинал 9 июня 2013 г.. Получено 7 марта, 2020.
- ^ «Шифрование диска BitLocker в Windows 10 для OEM-производителей». docs.microsoft.com. 16 ноября 2018 г.. Получено 7 марта, 2020.
- ^ «24 сентября 2019 г. - KB4516071 (сборка ОС 16299.1420)». support.microsoft.com. Получено 7 марта, 2020.
- ^ Чимпану, Каталин (5 ноября 2018 г.). «Недостатки SSD с самошифрованием позволяют злоумышленникам обойти шифрование диска». www.zdnet.com. Получено 7 марта, 2020.
- ^ «Шифрование диска BitLocker». Набор средств шифрования данных для мобильных ПК: анализ безопасности. Microsoft. 4 апреля 2007 г. Архивировано с оригинал 23 октября 2007 г.. Получено 7 марта, 2020.
- ^ "Метод ProtectKeyWithTPM класса Win32_EncryptableVolume". Библиотека MSDN. Microsoft. 31 марта 2018 г.. Получено 7 марта, 2020.
- ^ "Метод ProtectKeyWithTPMAndPIN класса Win32_EncryptableVolume". Библиотека MSDN. Microsoft. 31 марта 2018 г.. Получено 7 марта, 2020.
- ^ "Метод ProtectKeyWithTPMAndPINAndStartupKey класса Win32_EncryptableVolume". Библиотека MSDN. Microsoft. 31 марта 2018 г.. Получено 7 марта, 2020.
- ^ "Метод ProtectKeyWithTPMAndStartupKey класса Win32_EncryptableVolume". Библиотека MSDN. Microsoft. 31 марта 2018 г.. Получено 7 марта, 2020.
- ^ "Метод ProtectKeyWithExternalKey класса Win32_EncryptableVolume". Библиотека MSDN. Microsoft. 31 марта 2018 г.. Получено 7 марта, 2020.
- ^ "Метод ProtectKeyWithNumericalPassword класса Win32_EncryptableVolume". Библиотека MSDN. Microsoft. 31 марта 2018 г.. Получено 7 марта, 2020.
- ^ а б c «Шифрование диска BitLocker в Windows 7: часто задаваемые вопросы». TechNet. Microsoft. 12 сентября 2012 г.. Получено 7 марта, 2020.
- ^ «Пошаговое руководство по шифрованию диска Windows BitLocker». TechNet. Microsoft. 2 июля 2012 г.. Получено 7 марта, 2020.
- ^ «Описание средства подготовки диска BitLocker». Microsoft. 21 декабря 2011 г.. Получено 7 марта, 2020.
- ^ а б c Эндрю, Беттани; Хэлси, Майк (2013). Экзамен Ref 70-687: Настройка Windows 8 (1-е изд.). Microsoft Press. п. 307. ISBN 978-0-7356-7392-2. OCLC 851209981.
- ^ Джерри, Ханикатт (2012). Представляем Windows 8: обзор для ИТ-специалистов. Microsoft. п. 121. ISBN 978-0-7356-7050-1. OCLC 819519777.
- ^ Оу, Джордж (28 февраля 2007 г.). «Предотвратите кражу данных с помощью зашифрованной файловой системы (EFS) Windows Vista и BitLocker». TechRepublic. CBS Interactive. Получено 7 марта, 2020.
- ^ "Поддельная ерунда". Блог группы по обеспечению целостности системы. Microsoft. 2 марта 2006 г.. Получено 7 марта, 2020.
- ^ Стоун-Ли, Олли (16 февраля 2006 г.). «Великобритания ведет переговоры о безопасности Microsoft». BBC. Получено 7 марта, 2020.
- ^ Эверс, Джорис (6 марта 2006 г.). «Microsoft: в Vista не будет лазейки». CNET. CBS Interactive. Получено 7 марта, 2020.
- ^ Франчески-Биккьерай, Лоренцо (11 сентября 2013 г.). «Опиралось ли ФБР на Microsoft, чтобы получить доступ к своему программному обеспечению для шифрования?». Mashable. Получено 7 марта, 2020.
- ^ Турротт, Пол (10 июня 2015 г.). «Никаких задних дверей: Microsoft открывает исходный код Windows для правительств ЕС». Петри. Получено 7 марта, 2020.
- ^ «Инициатива общего источника». www.microsoft.com. Получено 7 марта, 2020.
- ^ Байрон, Хайнс (7 сентября 2016 г.). «Ключи к защите данных с помощью шифрования диска BitLocker». Журнал TechNet. Microsoft. Получено 7 марта, 2020.
- ^ а б Халдерман, Дж. Алекс; Шен, Сет Д.; Хенингер, Надя; Кларксон, Уильям; Пол, Уильям; Каландрино, Джозеф А .; Фельдман, Ариэль Дж .; Аппельбаум, Иаков; Фелтен, Эдвард В. (21 февраля 2008 г.). Чтобы не забыть: атаки холодного перезапуска на ключи шифрования (PDF) (Тезис). Университет Принстона. Получено 7 марта, 2020.
- ^ «Системы и методы безопасного перемещения устройств краткосрочной памяти с сохранением, защитой и исследованием их цифровых данных». Получено 7 марта, 2020.
- ^ «Блокировка драйвера SBP-2 и контроллеров Thunderbolt для уменьшения угроз 1394 DMA и Thunderbolt DMA для BitLocker». Microsoft. 7 ноября 2018 г.. Получено 7 марта, 2020.
- ^ «Защита ядра DMA для Thunderbolt ™ 3». Microsoft. 26 марта 2019 г.,. Получено 16 марта, 2020.
- ^ «Обзор BitLocker». technet.microsoft.com. 31 августа 2016 г.. Получено 7 марта, 2020.
- ^ Розендорф, Дэн (23 мая 2013 г.). «Bitlocker: немного о внутреннем устройстве и о том, что изменилось в Windows 8» (PDF). Получено 7 марта, 2020.
- ^ Ли, Мика (4 июня 2015 г.). «Microsoft дает подробности о его Спорные Disk Encryption». Перехват. Получено 7 марта, 2020.
- ^ «Бюллетень по безопасности Microsoft MS15-122 - Важно». Техцентр безопасности. Microsoft. 11 октября 2017 г.. Получено 7 марта, 2020.
- ^ Гудин, Дэн (16 октября 2017 г.). «Миллионы криптографических ключей с высокой степенью защиты повреждены недавно обнаруженной уязвимостью». Ars Technica. Condé Nast. Получено 7 марта, 2020.
- ^ Басвайн, Дуглас (16 октября 2017 г.). «Infineon заявляет, что исправила ошибку шифрования, обнаруженную исследователями». Рейтер. Получено 7 марта, 2020.