BitLocker

Pri svojich prezentáciách často dostávam otázku, čo to vlastne ten BitLocker vo Windows je a ako funguje.

BitLocker šifruje obsah diskových oddielov (partícií), pričom jeho primárnym cieľom je šifrovať obsah tej partície, kde sa nachádza operačný systém. Predstavuje nástroj na ochranu operačného systému v čase, keď je tento operačný systém vypnutý, a teda predstavuje iba "hromadu" súborov na disku. Je tak zaujímavým riešením všade tam, kde existuje reálne riziko, že k danému počítaču môže získať fyzický prístup aj neoprávnená osoba - teda napríklad notebooky alebo servery na pobočkách, kde nie je možné ich fyzicky zabezpečiť vo vyhradenej miestnosti, atď.

Dostupnosť

BitLocker je obsiahnutý LEN v edíciách ENTERPRISE a ULTIMATE klientskeho operačného systému Windows 7. Nachádza sa taktiež na serverovom operačnom systéme Windows Server 2008 R2 (plne grafická, ako aj tzv. "core" verzia inštalácie), tu je však v podobe doplnkového komponentu, ktorý je potrebné najprv nainštalovať pomocou grafického správcu "Server Manager" alebo použitím príkazu:

OCSetup.exe BitLocker

Pozor, je dôležité dodržať veľké a malé písmená!. Inštalácia môže vyžadovať reštart operačného systému.

Prerekvizity

Okrem podporovanej edície / verzie operačného systému je potrebné mať na pevnom disku vytvorené dve partície, resp. mať na pevnom disku dostatok voľného priestoru pre vytvorenie druhej partície.

Keď BIOS skončí POST procesy, zo zoznamu BOOT zariadení načítava informáciu odkiaľ "štartovať" - či z pevného disku alebo z CD a pod. Na tomto zariadení potom musí byť kód, ktorý BIOS dokáže spracovať. Nuž a v prípade, že by mal BIOS príkaz bootovať z pevného disku a ten by bol komplet celý zašifrovaný, nastal by pochopteľne problém.

Operačný systém Microsoft Windows 7 a Microsoft Windows Server 2008 R2 počas inštalácie automaticky vytvoria dve partície - prvá partícia má 100 MB a je označená ako aktívna (v Microsoft terminológii ju voláme SYSTEM partition). Tá druhá partícia potom typicky využíva ostatnú voľnú kapacitu disku a sem sa inštaluje samotný operačný systém (túto partíciu potom voláme BOOT partition).

Systémová partícia (teda tá 100 MB, označená ako aktívna) obsahuje boot sektor a zavádzač OS - v prípade Windows 7 sa nazýva Boot Manager (v prípade Windows XP / 2003 to bol NTLDR). Okrem samotného zavádzača OS tu je aj databáza nainštalovaných OS - v prípade operačného systému Windows 7 je to súbor BCD (Boot Configuration Database); predošlé verzie operačného systému Windows používali súbor BOOT.INI. (Mimochodom, aj preto hovoríme o multi-boot PC, a nie o multi-system PC - pretože boot partícií môže byť viac, kým systémová partícia je zvyčajne len jedna.)

Takže - dve partície. Prvá partícia (SYSTEM) obsahuje zavádzač OS a nie je šifrovaná - aby bolo možné zaviesť operačný systém. Druhá partícia (BOOT) obsahuje zavádzaný operačný systém a táto partícia je šifrovaná pomocou technológie BitLocker.

Dôležitou informáciou zrejme tiež bude, že BitLocker nie je podporovaný na diskoch pripojených pomocou technológie iSCSI alebo Fiber Channel. Taktiež nie sú podporované tzv. "dynamické disky", ba dokonca ani riešenia využívajúce "Native VHD Boot" - teda bootovanie priamo z VHD súborov. BitLocker nepodporuje ani disky v klaster konfigurácii.

Odporúčaným, i keď nie nevyhnutne nutným hardvérovým vybavením je TPM čip v1.2 (http://en.wikipedia.org/wiki/Trusted_Platform_Module). Prináša ďalšiu vrstvu zabezpečenia celého riešenia (napr. kontrola integrity boot a startup súborov, multifaktorová autentizácia). Tento čip musí byť podporovaný BIOSom a pochopiteľne musí byť v BIOSe aktivovaný.

V prípade nasadenia BitLocker šifrovania na dátové partície (teda partície, ktoré neobsahujú operačný systém) stačí, ak daná partícia používa súborový systém NTFS, FAT alebo exFAT a má veľkosť aspoň 64MB.

Šifrovací algoritmus

BitLocker šifruje celú partíciu vrátane voľného miesta ako celok, teda nie po súboroch. Šifrovanie je čisto symetrické, využívajúce AES ako šifrovaciu metódu. Pri šifrovaní je možné určiť silu šifrovacieho algoritmu výberom jednej zo štyroch možností:

• AES 128-bitový kľúč s použitím difuzéra (predvolená hodnota)
• AES 128-bitový kľúč
• AES 256-bitový kľúč s použitím difuzéra
• AES 256-bitový kľúč

Bližšie informácie o difuzéri je možné nájsť v dokumente AES-CBC + Elephant diffuser.

Tento parameter je možné prednastaviť buď pred spustením šifrovania prostredníctvom skupinových politík - Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption, položka "Choose drive encryption method and cipher strength", alebo pri aktivovaní ochrany BitLocker pomocou príkazu:

manage-bde.exe -on DISKnaZAŠIFROVANIE -em aes256_diffuser

Šifrovanie Boot partície

V prípade aktivovania BitLocker ochrany na partícii s operačným systémom je vygenerovaný šifrovací kľúč označovaný ako FVEK (Full Volume Encryption Key). Tento šifrovací kľúč je uložený priamo na disku, kde je zašifrovaný iným kľúčom označovaným ako VMK (Volume Master Key). Vďaka tomu, ak dôjde ku kompromitácii VMK, je vygenerovaný nový kľúč a nie je nevyhnutné šifrovať a dešifrovať celú partíciu ešte raz.

Po zapnutí ochrany BitLocker je potrebné reštartovať počítač. V rámci reštartu sú vykonané testy, či systém plne podporuje zvolenú formu ochrany (napríklad podpora BIOSu pre čítanie USB kľúčov pred zavedením OS). Ak nie je zistený problém, po naštartovaní operačného systému sa spustí proces šifrovania boot partície.

Len člen lokálnej skupiny Administrators môže zapnúť alebo vypnúť ochranu BitLocker na pevnom disku, a len člen lokálnej skupiny môže pozastaviť proces šifrovania - kým však tento proces nie je ukončený, dáta na disku nie sú chránené.

Po zapnutí ochrany sú dáta na pevnom disku neustále zašifrované - operačný systém šifruje a dešifruje sektory na disku "za jazdy" pomocou FVEK prostredníctvom FVE Filter Driver (fvevol.sys). Tento filter sa nachádza pod ovládačom súborového systému, preto sa disk aplikáciám a užívateľom javí celkom transparentne, ako nešifrovaný. Samozrejme, takýto mechanizmus má dopad na celkový výkon počítača, najmä na CPU. Táto dodatočná záťaž spôsobená šifrovaním BitLocker by však podľa spoločnosti Microsoft nemala prekročiť jednociferné číslo - teda nemala by byť vyššia než 9%.

Aby bolo možné naštartovať operačný systém, je potrebné získať FVEK. Aby bolo možné získať FVEK, je potrebné získať VMK. A získanie VMK závisí od použitej metódy ochrany:

• Pomocou výmenného média (Floppy / USB)
• Pomocou TPM čipu

Výmenné médium

V prípade, že dané PC nemá TPM čip, je možné VMK uložiť na výmenné médium (USB, disketová mechanika). Je nevyhnutné, aby bol BIOS schponý dané zariadenie rozpoznať a umožniť k nemu prístup.

Prvým krokom je vypnutie vynucovania TPM čipu - keďže neprítomnosť TPM čipu oslabuje celé riešenie, operačný systém kontroluje jeho prítomnosť a v prípade, že čip nie je nájdený, zobrazí chybové hlásenie. Je možné túto kontrolu vypnúť, napríklad prostredníctvom skupinových politík:

1. Prejdite do vetvy Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Operating System Drives.
   
2. Položku "Require additional authentication at startup" nastavte na hodnotu ENABLED a skontrolujte, či je v rámci tejto politiky zaškrtnutá voľba "Allow BitLocker without a compatible TPM".
   
3. Z príkazového riadku zadajte príkaz gpupdate /force.

Pri spustení ochrany BitLocker pre BOOT partíciu je vytvorený Volume Master Key (označovaný tiež ako Startup Key) a tento je zapísaný na príslušné médium v nešifrovanej podobe, ako binárny súbor s príponou .BEK v koreňovom priečinku príslušného média (s atribútmi Hidden, System a Read-Only). Je preto dôležité, aby bolo dané médium dostupné pri každom štarte / preberaní z hibernácie daného počítača.

Zaujímavou možnosťou je spustenie ochrany BitLocker príkazom manage-bde.exe z príkazového riadku, ktorý pomocou prepínača -ComputerName umožní konfigurovať BitLocker ochranu aj na inom ako lokálnom počítači (použite NetBIOS meno vzdialeného počítača alebo jeho IP adresu).

TPM čip

TPM čip je schopný vykonávať kryptografické operácie. Vďaka tomu si sám generuje a ukladá HASH "stavu" oblastí, ako je napríklad BIOS, MBR, boot sektor či zavádzač Boot Manager. V prípade ich zmeny bez toho, aby bol TPM čip vopred "upovedomený" o chystanej zmene, TPM čip vyhodnotí pre-boot prostredie ako neplatné a neuvoľní VMK.

Okrem tejto dodatočnej ochrany BitLockerom nechránených súborov ponúka TPM čip aj možnosť dodatočnej autentizácie, a to buď pomocou PIN kódu (4 až 20 znakov, pričom BitLocker ukladá SHA-256 hash zvoleného PIN kódu), tzv. Startup kľúča na USB (pozor, toto nie je to isté ako v prípade riešenia bez TPM čipu!) alebo ich spojenia, teda PIN + USB (=dvojfaktorová autentizácia voči TPM čipu - užívateľ musí zadať PIN (niečo, čo viem) a vložiť USB kľúč (niečo, čo fyzicky vlastním), aby TPM čip validoval užívateľa a následne kontroloval integritu pre-boot prostredia.

Clear key

Režim tzv. "čistého kľúča" nastáva vtedy, keď je BitLocker "zakázaný" - Key Protector(s), teda úložisko VMK (napr. TPM čip) je prepnuté do stavu "disabled", resp. "suspended" - neprebieha žiadna autentizácia, neprebieha žiadna kontrola integrity systému. Tento stav je typický pre situácie, keď je potrebné zmeniť niektorú z oblastí chránených TPM čipom, teda napríklad upgrade BIOSu, alebo upgrade operačného systému (Windows Vista na Windows 7).

V tomto prípade je vygenerovaný symetrický šifrovací kľúč CLEAR KEY (AES 128-bit alebo podľa konfigurácie skupinových politík), ktorým je následne zašifrovaný Volume Master Key. CLEAR KEY je však v nezašifrovanej, tzv. "plain-text" podobe uložený na pevnom disku, takže nie je problém dešifrovať VMK. Navyše, VMK je voľne dostupný (bez spomínanej autentizácie, či kontroly integrity príslušných systémových oblastí). Obsah pevného disku však naďalej zostáva zašifrovaný, teda pozastavenie ochrany BitLocker neznamená dešifrovanie obsahu partície.

Po obnovení ochrany BitLocker je CLEAR KEY kľúč odstránený a VMK je opäť zašifrovaný a chránený TPM čipom.

Startup proces počítača spolu s BitLockerom

1. V rámci boot fázy vykonáva boot kód a Boot Manager kontrolu integrity systému (zapisujú hodnoty sledovaných oblastí do PCR oblastí TPM čipu - samozrejme len za podmienky, že TPM čip existuje a je aktivovaný).
   
2. Boot Manager hľadá Volume Master Key nasledovne:
   1. prítomnosť CLEAR KEY.
      
   2. prítomnosť Recovery kľúča alebo Startup kľúča (riešenie bez TPM čipu = VMK na USB alebo diskete).
      
   3. TPM čip
      
   4. ak prvé tri kroky zlyhajú, Boot Manager vstúpi do BitLocker Recovery režimu a požaduje Recovery Password (48-bitové číslo).
      
3. Ak TPM čip vyžaduje autentizáciu užívateľa, Boot Manager zapíše do PCR aj tieto hodnoty (PIN a/alebo Startup kľúč z USB).
   
4. Boot Manager požiada TPM čip o vydanie VMK. Ak hodnoty v PCR súhlasia s tým, čo má uložené TPM čip, VMK je uvoľnený.
   
5. Boot Manager skontroluje OS Loader (winload.exe - zavádzač OS) a BCD. Kontroluje ich pomocou digitálneho podpisu známeho ako MAC (Message authenticity Check), ktorý je vytvorený pomocou VMK.
   
6. Ak je kontrola integrity v poriadku a bol uvoľnený VMK, pomocou ktorého je skontrolovaný MAC zavádzača OS a BCD a ten je tiež v poriadku, je možné dešifrovať FVEK.
   
7. Nastáva korektný proces zavedenia operačného systému Windows.

Je zrejmé, že najsilnejšou formou ochrany je BitLocker v spolupráci s TPM čipom, ktorý vyžaduje PIN + USB autentizáciu užívateľa. Je však nevyhnutné zadávať PIN a mať vložený USB kľúč v počítači pri kačdom jednom štarte, preto pozor na situácie, keď pri PC nikto nie je a PC sa reštartuje (unattended inštalácia OS s automatickým aktivovaním BitLocker ochrany, aplikovanie Windows aktualizácií a následný reštart, reštart z dôvodu inštalácie / konfigurácie zadanej cez MS SCCM, a pod.). To samé platí s ešte väčším dôrazom v prípade Server operačného systému - tu bude zrejme postačovať BitLocker s TPM bez autentizácie, kde TPM čip zabezpečuje kontrolu integrity pre-boot systémových oblastí a tým chráni Volume Master Key.

Recovery Password

V prípade, že VMK nie je možné získať, Boot Manager požiada o vloženie 48-bitového čísla, ktoré je vygenerované pri inicializácii BitLocker ochrany. Toto číslo je možné buď vytlačiť, uložiť na USB disk alebo disketu (tzv. Recovery Key) alebo zapísať do Active Directory ako parameter Computer objektu príslušného počítača. V Recovery móde, teda keď Boor Manager požaduje jeho zadanie, vkladáme ho prostredníctvom klávesov F1 až F10 (F1=1, F2=2, ... , F10=0).

Okrem obnovy dát pomocou Recovery hesla je v operačnom systéme Windows 7 / Windows Server 2008 R2 dostupný aj nástroj pre príkazový riadok Repair-bde.exe, ktorý slúži na obnovú dát z poškodených partícií chránených technológiou BitLocker. Použitie tohto nástroja popisuje napríklad KB článok 928201, alebo stránka Repair-bde.exe Parameter Reference.

Šifrovanie dátovej partície

Pomocou BitLocker šifrovania je možné chrániť nielen boot partíciu (partíciu s OS), ale aj dátové partície. Tu je proces podobný ako v prípade BitLocker To Go.

BitLocker To Go je riešenie pre výmenné médiá (USB kľúče, pamäťové karty a pod.), pričom administrátor môže prostredníctvom skupinových politík zakázať zápis na výmenné médiá, ktoré nie sú chránené šifrovaním BitLocker To Go.

BitLocker To Go sa od BitLocker ochrany pre dátové partície na pevných diskoch líši najmä v tom, že pre aktivovanie BitLocker To Go ochrany výmenných médií užívateľ NEMUSÍ mať práva lokálneho administrátora.

V prípade šifrovania dátovej partície je možné nastaviť heslo alebo dokonca certifikát na Smart karte pre získanie prístupu k obsahu partície. Heslo / certifikát na Smart karte nemusia byť zhodné s heslom / certifikátom pre prístup do Active Directory doménového prostredia. V prípade, že je BitLocker šifrovanie použité pre boot partíciu, je možné pre dátové partície na fixných pevných diskoch nastaviť "automatické odomknutie" - teda uloženie dešifrovacích kľúčov na boot partíciu a ich uplatnenie po naštartovaní OS.

Záver

BitLocker je veľmi silný nástroj na ochranu dát. Pokiaľ ale nie je zvládnutý jeho celý proces, môže dôjsť ku komplikáciám, dokonca až k strate dát. Ako pri každej technológii, i tu sa predpokladá riadne naštudovanie celej problematiky, riadneho testovania vo všetkých scenároch a taktiež riadne ZDOKUMENTOVANIE postupov pre jednotlivé scenáre.

Takže na záver už len pár drobností:

BitLocker nie je podporovaný na dynamických diskoch, dokonca ani na iSCSI alebo VHD (nepodporovaný neznamená nevyhnutne nie funkčný - na prípadné problémy ste ale potom sami).

BitLocker podporuje zmenšovanie alebo zväčšovanie šifrovaných partícií, vrátane boot partície.

Windows Backup vytvára pomocou Volume Shadow Copy služby VHD súbory, ktoré nie sú ale šifrované.

MDOP 2011 R2 (Microsoft Desktop Optimization Pack) prináša Microsoft BitLocker Administration and Monitoring - tieto rozšírenia umožňujú najmä podporu ukladania recovery hesiel počítačov do SQL databázy a podporu jednorazových recovery hesiel, čím posúva celé riešenie o stupienok ďalej.

V prípade záujmu o ďalšie informácie, prídite na školenie  alebo skúste tieto linky:

• BitLocker Drive Encryption in Windows 7: Frequently Asked Questions
• Best Practices for BitLocker in Windows 7

Boris.

P.S. Tento článok sa nachádza aj na mojom blogu.