Jak povolit bitlocker, pokud je zakázán. Jak zašifrovat disk nebo flash disk tajnými daty pomocí Bitlockeru

16.02.2022 | Zdraví

Bitlocker Drive Encryption

Bitlocker – BitLocker (celý název BitLockerDrive Encryption) je integrován do operačních systémů Windows Vista Ultimate / Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 a Windows 8.

Pomocí BitLockeru můžete zašifrovat celé paměťové médium (logický disk, SD kartu, USB klíčenku). Současně jsou podporovány šifrovací algoritmy AES 128 a AES 256.

Také by vás mohl zajímat článek „“, ve kterém jsme se snažili zjistit, zda je možné prolomit šifrování disku Windows.

Obnovovací klíč k šifře může být uložen v počítači, na USB zařízení nebo na hardwarovém čipu TPM (Trusted Platform Module). Kopii klíče si také můžete uložit na svůj účet Microsoft (ale proč?).

VYSVĚTLENÍ Klíč můžete uložit do čipu TPM pouze na těch počítačích, kde je čip TPM zabudován na základní desce. Pokud je základní deska počítače vybavena čipem TPM, pak z ní lze klíč načíst buď po autentizaci USB klíčem/smart kartou, nebo po zadání PIN kódu.

V nejjednodušším případě můžete uživatele ověřit běžným heslem. Tato metoda samozřejmě nebude fungovat pro Jamese Bonda, ale pro většinu běžných uživatelů, kteří chtějí skrýt některá svá data před kolegy nebo příbuznými, to bude zcela stačit.

Pomocí nástroje BitLocker můžete zašifrovat jakýkoli svazek, včetně spouštěcího svazku – toho, ze kterého se spouští systém Windows. Poté bude nutné zadat heslo při spouštění (nebo použít jiný způsob ověřování, jako je TPM).

RADA Důrazně vás nedoporučuji šifrovat spouštěcí svazek. Za prvé, výkon je snížen. Stránka technet.microsoft uvádí, že snížení výkonu je obvykle 10 %, ale ve vašem konkrétním případě můžete očekávat větší „zpomalení“ počítače – vše závisí na jeho konfiguraci. A ve skutečnosti ne všechna data musí být šifrována. Proč šifrovat stejné programové soubory? Není na nich nic důvěrného. Za druhé, pokud se něco stane s Windows, obávám se, že vše může skončit špatně – formátování svazku a ztráta dat.

Proto je nejlepší zašifrovat jeden svazek – samostatný logický disk, externí USB disk atd. A na tento zašifrovaný disk pak uložit všechny své tajné soubory. Na šifrovaný disk můžete také nainstalovat programy, které vyžadují ochranu, například stejný 1C Accounting.

Takový disk připojíte pouze v případě potřeby – poklepejte na ikonu disku, zadejte heslo a získejte přístup k datům.

Co lze šifrovat pomocí nástroje BitLocker?

Šifrovat můžete jakýkoli disk kromě síťového a optického. Zde je seznam podporovaných typů připojení jednotek: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

Šifrování svazků připojených přes Bluetooth není podporováno. A přestože paměťová karta mobilního telefonu připojeného k počítači přes Bluetooth vypadá jako samostatný datový nosič, šifrovat ji nelze.

Podporovány jsou systémy souborů NTFS, FAT32, FAT16, ExFAT. Jiné systémy souborů nejsou podporovány, včetně CDFS, NFS, DFS, LFS, softwarových polí RAID (hardwarová pole RAID jsou podporována).

Šifrovat můžete disky SSD: (SSD disky, flash disky, SD karty), pevné disky (včetně těch připojených přes USB). Šifrování jiných typů jednotek není podporováno.

Bitlocker Drive Encryption

Přejděte na plochu, spusťte Průzkumník souborů a klikněte klikněte pravým tlačítkem na disk, který chcete zašifrovat. Dovolte mi připomenout, že to může být logický svazek, SD karta, flash disk, USB disk, SSD disk. V nabídce, která se zobrazí, vyberte možnost Zapnout nástroj BitLocker.

Povolit příkaz šifrování BitLocker

Nejprve se vás zeptá, jak na tom budete ze šifrovaného disku: pomocí hesla nebo čipové karty. Musíte vybrat jednu z možností (nebo obě: pak bude zahrnuto heslo i čipová karta), jinak nebude tlačítko Další aktivní.

Jak odstraníme zámek Bitlocker?

V dalším kroku budete vyzváni k vytvoření záložní kopie klíče
zotavení.

Zálohujte obnovovací klíč

VYSVĚTLENÍ Obnovovací klíč se používá k odemknutí disku v případě, že zapomenete heslo nebo ztratíte čipovou kartu. Nelze se odhlásit z vytváření klíče pro obnovení. A to je správné, protože po návratu z dovolené jsem zapomněl heslo k šifrovanému disku. Stejná situace se může stát i vám. Proto vybíráme jednu z navrhovaných metod pro archivaci obnovovacího klíče.

Uložte klíč do účtu Microsoft. Tuto metodu nedoporučuji: není k dispozici připojení k internetu - nebudete moci získat svůj klíč.
Uložení do souboru je nejlepší způsob. Soubor s obnovovacím klíčem bude zapsán na plochu.

Uložte obnovovací klíč na plochu

Rozumíte, odtud by se měl přenést na spolehlivější místo, například na USB flash disk. Je také žádoucí jej přejmenovat, aby z názvu souboru nebylo hned jasné, že se jedná o úplně stejný klíč. Tento soubor můžete otevřít (později uvidíte, jak bude vypadat) a zkopírovat samotný obnovovací klíč do souboru, abyste jen vy věděli, jaký je řetězec a v jakém souboru se nachází. Původní soubor s obnovovacím klíčem je lepší později smazat. Takže to bude spolehlivější.
Vytisknout si obnovovací klíč je docela divoký nápad, pokud pak tento kus papíru nevložíte do trezoru a nezamknete ho sedmi zámky.

Nyní musíte určit, kterou část disku chcete zašifrovat.

Jaká část disku by měla být šifrována?

Šifrovat můžete pouze obsazené místo, nebo můžete zašifrovat celý disk najednou. Pokud je váš disk téměř prázdný, pak je mnohem rychlejší šifrovat pouze využité místo. Zvažte možnosti:

Na 16GB flash disku ať je jen 10 MB dat. Vyberte první možnost a disk bude okamžitě zašifrován. Nové soubory zapsané na flash disk budou zašifrovány za běhu, tedy automaticky;
druhá možnost je vhodná, pokud je na disku hodně souborů a je téměř úplně plný. U stejného flash disku 16 GB, ale zaplněného až 15 GB, však bude rozdíl v době šifrování podle první nebo druhé možnosti prakticky nerozeznatelný (což je 15 GB, což je 16 - bude šifrováno
téměř ve stejnou dobu).
pokud je však na disku málo dat a zvolíte druhou možnost, bude šifrování trvat ve srovnání s první metodou mučivě dlouho.

Stačí tedy stisknout tlačítko. Spusťte šifrování.

Šifrování disku pomocí Bitlocker

Počkejte, až bude disk zašifrován. Nevypínejte napájení počítače ani jej nerestartujte, dokud není šifrování dokončeno - obdržíte o tom odpovídající zprávu.

Pokud dojde k výpadku napájení, bude šifrování při spuštění systému Windows pokračovat tam, kde skončilo. Tak se píše na webu Microsoftu. Zda to platí pro systémový disk, jsem neověřoval - nechtěl jsem riskovat.

Pokračování článku na další straně. Chcete-li přejít na další stránku, klikněte na tlačítko 2, které se nachází pod tlačítky sociálních sítí.

Mnoho z nich používá funkci šifrování Windows, ale ne každý myslí na bezpečnost této metody ochrany dat. Dnes budeme hovořit o šifrování Bitlocker a pokusíme se zjistit, jak dobře je implementována ochrana disku Windows.

Mimochodem, o tom, jak nastavit Bitlocker, si můžete přečíst v článku "".

Úvodní slovo
Jak Bitlocker funguje?

Zranitelnosti
Klíče pro obnovení
Spuštění nástroje BitLocker
BitLocker To Go

Závěr

Článek je napsán pro výzkumné účely. Všechny informace v něm jsou pouze pro informační účely. Je určena bezpečnostním profesionálům a těm, kteří se jimi chtějí stát.

Jak Bitlocker funguje?

Co je Bitlocker?

BitLocker je nativní funkce šifrování disku v operačních systémech Windows 7, 8, 8.1, 10. Tato funkce umožňuje bezpečně šifrovat důvěrná data v počítači, a to jak na HDD a SSD, tak na vyměnitelných médiích.

Jak je BitLocker nastaven?

Spolehlivost BitLockeru by neměla být posuzována podle pověsti AES. Populární šifrovací standard nemusí mít upřímně slabá místa, ale jeho implementace v konkrétních kryptografických produktech jimi často překypují. Microsoft nezveřejňuje úplný kód pro technologii BitLocker. Ví se pouze, že v různých verzích Windows vycházel z různých schémat a změny nebyly nijak komentovány. Navíc v sestavení 10586 Windows 10 jednoduše zmizel a po dvou sestaveních se znovu objevil. Nicméně první věci.

První verze BitLockeru používala režim ciphertext block chaining (CBC). Již tehdy byly jeho nedostatky zřejmé: snadnost útoku na známý text, špatná odolnost vůči útokům podle typu substituce a tak dále. Microsoft se proto okamžitě rozhodl ochranu posílit. Již ve Vista byl do schématu AES-CBC přidán algoritmus Elephant Diffuser, což ztěžuje přímé porovnání bloků šifrovaného textu. S ním stejný obsah dvou sektorů po zašifrování jedním klíčem dal úplně jiný výsledek, což zkomplikovalo výpočet společného vzoru. Samotný výchozí klíč byl však krátký – 128 bitů. Prostřednictvím administrativních politik jej lze rozšířit na 256 bitů, ale vyplatí se to?

Pro uživatele se po změně klíče navenek nic nezmění – ani délka zadávaných hesel, ani subjektivní rychlost operací. Jako většina systémů šifrování celého disku používá BitLocker více klíčů... a žádný z nich není pro uživatele viditelný. Zde je schematický diagram nástroje BitLocker.

Když je BitLocker aktivován pomocí generátoru pseudonáhodných čísel, vygeneruje se hlavní bitová sekvence. Toto je šifrovací klíč svazku - FVEK (šifrovací klíč plného svazku). Je to on, kdo nyní šifruje obsah každého sektoru.
Na druhé straně je FVEK zašifrován pomocí jiného klíče - VMK (hlavní klíč svazku) - a uložen v zašifrované podobě mezi metadata svazku.
Samotný VMK je také šifrován, ale různými způsoby podle volby uživatele.
Na nových základních deskách je klíč VMK standardně šifrován pomocí klíče SRK (kořenový klíč úložiště), který je uložen v samostatném kryptoprocesoru – modulu důvěryhodné platformy (TPM). Uživatel nemá přístup k obsahu TPM a je jedinečný pro každý počítač.
Pokud na desce není samostatný čip TPM, pak se místo SRK použije k zašifrování klíče VMK uživatelem zadaný PIN kód, nebo se použije na požádání připojený USB flash disk s předem napsanými informacemi o klíči.
Kromě TPM nebo flash disku můžete klíč VMK chránit heslem.

Toto obecné chování nástroje BitLocker pokračovalo v následujících verzích systému Windows až do současnosti. Generování klíčů a režimy šifrování nástroje BitLocker se však změnily. V říjnu 2014 tedy Microsoft v tichosti odstranil další algoritmus Elephant Diffuser a ponechal pouze schéma AES-CBC se známými nedostatky. Zpočátku k tomu nepadla žádná oficiální prohlášení. Lidé prostě dostali pod rouškou aktualizace oslabenou šifrovací technologii se stejným názvem. Vágní vysvětlení tohoto kroku následovalo poté, co si nezávislí výzkumníci všimli zjednodušení v BitLockeru.

Formálně bylo odstranění Elephant Diffuser vyžadováno pro zajištění souladu Windows s americkými federálními standardy zpracování informací (FIPS), ale jeden argument tuto verzi vyvrací: Vista a Windows 7, které používaly Elephant Diffuser, se v Americe prodávaly bez problémů.

Dalším pomyslným důvodem pro odmítnutí dodatečného algoritmu je chybějící hardwarová akcelerace pro Elephant Diffuser a ztráta rychlosti při jeho používání. V minulých letech, kdy byly procesory pomalejší, jim však z nějakého důvodu rychlost šifrování vyhovovala. A stejný AES byl široce používán ještě předtím, než existovaly samostatné instrukční sady a specializované čipy pro jeho akceleraci. Postupem času bylo možné udělat hardwarovou akceleraci i pro Elephant Diffuser nebo alespoň dát zákazníkům na výběr mezi rychlostí a bezpečností.

Realističtěji vypadá jiná, neoficiální verze. „Slon“ se postavil do cesty zaměstnancům, kteří chtěli vynaložit méně úsilí na dešifrování dalšího disku, a Microsoft ochotně spolupracuje s úřady i v případech, kdy jejich požadavky nejsou zcela legální. Nepřímo potvrzuje konspirační teorii a fakt, že před Windows 8 se při vytváření šifrovacích klíčů v BitLockeru používal generátor pseudonáhodných čísel zabudovaný ve Windows. V mnoha (ne-li ve všech) vydáních Windows to byl Dual_EC_DRBG – „silný kryptografický PRNG“ vyvinutý americkou Národní bezpečnostní agenturou a obsahující řadu inherentních zranitelností.

Tajné oslabení vestavěného šifrování samozřejmě vyvolalo silnou vlnu kritiky. Pod jejím tlakem Microsoft znovu přepsal BitLocker a v nových verzích Windows nahradil PRNG CTR_DRBG. Ve Windows 10 (počínaje sestavením 1511) je navíc výchozí schéma šifrování AES-XTS, které je imunní vůči manipulaci s bloky šifrovaného textu. Další známé chyby BitLockeru byly opraveny v nejnovějších sestaveních „desítek“, ale hlavní problém stále zůstalo. Je to tak absurdní, že to ostatní inovace ztrácí smysl. Jde o principy správy klíčů.

Úkol dešifrovat jednotky BitLocker je také usnadněn tím, že Microsoft aktivně propaguje alternativní způsob obnovení přístupu k datům prostřednictvím Data Recovery Agent. Význam „Agenta“ spočívá v tom, že šifruje šifrovací klíče všech disků v rámci podnikové sítě pomocí jediného přístupového klíče. Jakmile jej máte, můžete dešifrovat jakýkoli klíč, a tím i jakýkoli disk používaný stejnou společností. Komfortní? Ano, zejména pro hackování.

Myšlenka použití jednoho klíče pro všechny zámky byla již mnohokrát ohrožena, ale stále se vrací v té či oné podobě kvůli pohodlí. Takto Ralph Leighton zaznamenal paměti Richarda Feynmana o jedné charakteristické epizodě jeho práce na projektu Manhattan v laboratoři v Los Alamos: „...Otevřel jsem tři trezory – a všechny tři s jednou kombinací. Udělal jsem je všechny: Otevřel jsem sejfy se všemi tajemstvími atomové bomby - technologie pro získávání plutonia, popis procesu čištění, informace o tom, kolik materiálu je potřeba, jak funguje bomba, jak se vyrábí neutrony, jak je bomba uspořádána, jaké jsou její rozměry - zkrátka vše, o čem věděli v Los Alamos, celá kuchyně!

BitLocker trochu připomíná bezpečné zařízení popsané v jiném fragmentu knihy „Samozřejmě si děláte legraci, pane Feynmane!“. Nejimpozantnější trezor v přísně tajné laboratoři měl stejnou zranitelnost jako jednoduchá kartotéka. „... Byl to plukovník a měl mnohem složitější, dvoudveřový trezor s velkými madly, které vytahovaly z rámu čtyři ocelové tyče o tloušťce tři čtvrtě palce. Podíval jsem se na zadní stranu jedněch z impozantních bronzových dveří a zjistil jsem, že digitální ciferník je spojen s malým visacím zámkem, který vypadal přesně jako zámek na mé skříni v Los Alamos. Bylo zřejmé, že systém pák závisí na stejné malé tyči, která zamykala kartotéky. O dvě minuty později – klikněte! - Trezor byl otevřen. Když jsou otevřená dvířka trezoru nebo horní zásuvka kartotéky, je velmi snadné najít kombinaci. To jsem udělal, když jsi četl moji zprávu, jen abych ti ukázal nebezpečí."

Kryptokontejnery BitLocker jsou samy o sobě docela bezpečné. Pokud vám někdo přinese flash disk, který pochází odnikud, zašifrovaný pomocí BitLocker To Go, pak je nepravděpodobné, že jej dešifrujete v rozumném čase. Ve skutečném scénáři využívajícím šifrované jednotky a vyměnitelná média však existuje mnoho zranitelností, které lze snadno použít k obejití nástroje BitLocker.

Chyby zabezpečení nástroje BitLocker

Jistě jste si všimli, že při první aktivaci Bitlockeru musíte dlouho čekat. To není překvapivé - proces šifrování sektor po sektoru může trvat několik hodin, protože ani není možné číst všechny bloky terabajtových HDD rychleji. K deaktivaci nástroje BitLocker však dojde téměř okamžitě – jak to?

Faktem je, že když je deaktivován, Bitlocker data nedešifruje. Všechny sektory zůstanou zašifrovány klíčem FVEK. Jednoduše, přístup k tomuto klíči již nebude nijak omezen. Všechny kontroly budou deaktivovány a VMK zůstane zaznamenán mezi metadaty čistého textu. Při každém zapnutí počítače načte zavaděč OS VMK (již bez kontroly TPM, vyžádání klíče na flash disku nebo hesla), automaticky s ním dešifruje FVEK a poté všechny soubory, jak se k nim přistupuje. Pro uživatele bude vše vypadat jako naprosté chybějící šifrování, ale ti nejpozornější si mohou všimnout mírného poklesu výkonu diskového subsystému. Přesněji - nedostatek zvýšení rychlosti po zakázání šifrování.

Na tomto schématu je ještě něco zajímavého. Navzdory názvu (technologie úplného šifrování disku) zůstávají některá data při používání nástroje BitLocker stále nezašifrována. MBR a BS zůstávají v otevřené podobě (pokud disk nebyl inicializován v GPT), chybné sektory a metadata. Otevřený bootloader dává prostor fantazii. V pseudošpatných sektorech je vhodné skrýt další malware a metadata obsahují spoustu zajímavých věcí, včetně kopií klíčů. Pokud je Bitlocker aktivní, pak budou zašifrovány (ale slabší než FVEK zašifruje obsah sektorů) a pokud bude deaktivován, budou prostě ležet v čistotě. To vše jsou potenciální vektory útoku. Jsou potenciální, protože kromě nich existují mnohem jednodušší a univerzálnější.

Klíč pro obnovení bitlockeru

Kromě FVEK, VMK a SRK používá BitLocker další typ klíče, který se generuje „pro jistotu“. Jedná se o obnovovací klíče, se kterými je spojen další oblíbený útočný vektor. Uživatelé se bojí zapomenout heslo a ztratit přístup do systému a samotný Windows jim doporučuje nouzové přihlášení. Chcete-li to provést, Průvodce šifrováním BitLocker vás v posledním kroku vyzve k vytvoření klíče pro obnovení. Odmítnutí jeho vytvoření není poskytováno. Můžete si vybrat pouze jednu z klíčových možností exportu, z nichž každá je velmi zranitelná.

Ve výchozím nastavení je klíč exportován jako jednoduchý textový soubor s rozpoznatelným názvem: „BitLocker recovery key #“, kde je místo # zapsáno ID počítače (ano, přímo v názvu souboru!). Samotný klíč vypadá takto.

Pokud jste zapomněli (nebo jste nikdy nevěděli) heslo nastavené v BitLockeru, pak stačí vyhledat soubor s obnovovacím klíčem. Jistě se uloží mezi dokumenty aktuálního uživatele nebo na jeho flash disk. Možná je to i vytištěné na kusu papíru, jak doporučuje Microsoft.

Pro rychlé nalezení obnovovacího klíče je vhodné omezit vyhledávání podle přípony (txt), data vytvoření (pokud přibližně víte, kdy mohl být BitLocker povolen) a velikosti souboru (1388 bajtů, pokud soubor nebyl upravován). Jakmile najdete klíč pro obnovení, zkopírujte jej. S ním můžete standardní autorizaci v BitLockeru kdykoli obejít. Chcete-li to provést, stiskněte klávesu Esc a zadejte klíč pro obnovení. Bez problémů se přihlásíte a dokonce budete moci změnit heslo v BitLockeru na libovolné, aniž byste uváděli staré!

Spuštění nástroje BitLocker

Nemovitý kryptografických systém je kompromisem mezi pohodlím, rychlostí a spolehlivostí. Měl by obsahovat postupy pro transparentní šifrování s dešifrováním za běhu, metody pro obnovu zapomenutých hesel a pohodlnou práci s klíči. To vše oslabuje jakýkoli systém, bez ohledu na to, na jak silných algoritmech je založen. Není tedy nutné hledat zranitelnosti přímo v Rijndaelově algoritmu nebo v různých schématech standardu AES. Je mnohem snazší je najít ve specifikách konkrétní implementace.

V případě Microsoftu toto „specifikum“ stačí. Například kopie klíčů BitLocker jsou ve výchozím nastavení odesílány do SkyDrive a uloženy do služby Active Directory.

No, co když je ztratíte... nebo se ptá agent Smith. Je nepohodlné nechat klienta čekat, a ještě více agenta. Z tohoto důvodu srovnání kryptografická síla AES-XTS a AES-CBC s difuzorem Elephant ustupují do pozadí, stejně jako doporučení ke zvýšení délky klíče. Bez ohledu na to, jak je dlouhý, útočník ho snadno dostane dovnitř nešifrované formulář .

Získání uložených klíčů z účtu Microsoft nebo AD je hlavním způsobem, jak prolomit BitLocker. Pokud uživatel nezaregistroval účet v cloudu společnosti Microsoft a jeho počítač není v doméně, budou stále existovat způsoby, jak extrahovat šifrovací klíče. Při běžném provozu se vždy ukládají jejich otevřené kopie paměť s náhodným přístupem(jinak by neexistovalo žádné "transparentní šifrování"). To znamená, že jsou k dispozici v jejím výpisu a souboru hibernace.

Proč je tam vůbec drží?

Jak je to směšné - pro pohodlí úsměv. BitLocker byl navržen tak, aby chránil pouze před offline útoky. Vždy jsou doprovázeny restartem a připojením disku k jinému OS, což vede k vymazání RAM. Ve výchozím nastavení však operační systém vypíše RAM, když dojde k selhání (které může být vyprovokováno) a zapíše veškerý jeho obsah do souboru hibernace pokaždé, když počítač přejde do hlubokého spánku. Pokud jste se tedy nedávno přihlásili do Windows s povoleným nástrojem BitLocker, je velká šance, že získáte dešifrovanou kopii VMK a použijete ji k dešifrování FVEK a následně i samotných dat v řetězci.

Pojďme zkontrolovat? Všechny výše popsané metody hackování BitLockeru jsou shromážděny v jednom programu - Forensic Disk Decryptor, vyvinutý domácí společností Elcomsoft. Dokáže automaticky extrahovat šifrovací klíče a připojit zašifrované svazky jako virtuální disky a dešifrovat je za běhu.

EFDD navíc implementuje další netriviální způsob získávání klíčů - útokem přes FireWire port, který je vhodné použít v případě, kdy není možné spustit váš software na napadeném počítači. Samotný program EFDD si vždy nainstalujeme na svůj počítač a na hacknutém se snažíme hospodařit s minimem nutných úkonů.

Například jen spustíme testovací systém s aktivním BitLockerem a „neviditelně“ uděláme výpis paměti. Budeme tedy simulovat situaci, kdy kolega šel na oběd a nezamkl si počítač. Spustíme RAM Capture a za necelou minutu získáme kompletní výpis v souboru s příponou .mem a velikostí odpovídající velikosti paměti RAM nainstalované v počítači oběti.

Než udělat skládku – celkem bez rozdílu. Bez ohledu na příponu se ukáže, že se jedná o binární soubor, který pak bude EFDD automaticky analyzovat při hledání klíčů.

Výpis zapíšeme na USB flash disk nebo jej přeneseme po síti, poté si sedneme k počítači a spustíme EFDD.

Vyberte možnost "Extrahovat klíče" a jako zdroj klíčů zadejte cestu k souboru s výpisem paměti.

BitLocker je typický kryptografický kontejner, jako je PGP Disk nebo TrueCrypt. Tyto kontejnery se samy o sobě ukázaly jako docela spolehlivé, ale klientské aplikace pro práci s nimi pod Windows obsahují šifrovací klíče v RAM. Proto je v EFDD implementován scénář univerzálního útoku. Program okamžitě vyhledává šifrovací klíče ze všech tří typů oblíbených krypto kontejnerů. Proto můžete nechat všechny položky zaškrtnuté – co když oběť tajně používá nebo PGP!

Po několika sekundách Elcomsoft Forensic Disk Decryptor zobrazí všechny nalezené klíče ve svém okně. Pro pohodlí je lze uložit do souboru - to se v budoucnu bude hodit.

BitLocker již není překážkou! Můžete provést klasický offline útok – například vytáhnout HDD a zkopírujte jeho obsah. Chcete-li to provést, jednoduše jej připojte k počítači a spusťte EFDD v režimu „dešifrovat nebo připojit disk“.

Po zadání cesty k souborům s uloženými klíči provede EFDD dle vašeho výběru úplné dešifrování svazku nebo jej okamžitě otevře jako virtuální disk. V druhém případě jsou soubory dešifrovány při přístupu. V každém případě se na původním svazku neprovádějí žádné změny, takže jej můžete druhý den vrátit, jako by se nic nestalo. Práce s EFDD probíhá beze stopy a pouze s kopiemi dat, a proto zůstává neviditelná.

BitLocker To Go

Počínaje "sedmičkou" ve Windows bylo možné šifrovat flash disky, USB-HDD a další externí média. Technologie BitLocker To Go šifruje vyměnitelné jednotky stejným způsobem jako místní jednotky. Šifrování je povoleno příslušnou položkou v kontextové nabídce Průzkumníka.

U nových disků můžete použít šifrování pouze obsazené oblasti - stejně je volné místo oddílu plné nul a není tam co skrývat. Pokud byl disk již používán, doporučuje se na něm povolit plné šifrování. V opačném případě zůstane místo označené jako volné nezašifrováno. Může obsahovat jako prostý text nedávno smazané soubory, které ještě nebyly přepsány.

I rychlé šifrování pouze rušné oblasti trvá několik minut až několik hodin. Tato doba závisí na množství dat, šířce pásma rozhraní, vlastnostech disku a rychlosti kryptografických výpočtů procesoru. Jelikož je šifrování doprovázeno kompresí, volné místo na šifrovaném disku se obvykle mírně zvětší.

Při příštím připojení šifrované jednotky flash k libovolnému počítači se systémem Windows 7 nebo novějším se automaticky spustí průvodce nástrojem BitLocker, který jednotku odemkne. V Průzkumníku se před odemknutím zobrazí jako zamčený disk.

Zde můžete využít jak již diskutované možnosti pro obcházení BitLockeru (například hledání klíče VMK ve výpisu paměti nebo souboru hibernace), tak i nové související s obnovovacími klíči.

Pokud neznáte heslo, ale podařilo se vám najít jeden z klíčů (ručně nebo pomocí EFDD), pak existují dvě hlavní možnosti přístupu k šifrované jednotce flash:

použijte vestavěného průvodce BitLocker pro přímou práci s flash diskem;
použijte EFDD k úplnému dešifrování flash disku a vytvoření jeho obrazu sektor po sektoru.

První možnost umožňuje okamžitě přistupovat k souborům zaznamenaným na flash disku, kopírovat je nebo měnit a také vypalovat své vlastní. Druhá možnost trvá mnohem déle (od půl hodiny), ale má své výhody. Dešifrovaný obraz sektor po sektoru umožňuje dále provádět jemnější analýzu souborového systému na úrovni forenzní laboratoře. V tomto případě již samotný flash disk není potřeba a lze jej vrátit beze změny.

Výsledný obrázek lze okamžitě otevřít v jakémkoli programu, který podporuje formát IMA, nebo jej nejprve převést do jiného formátu (například pomocí UltraISO).

Kromě nalezení klíče pro obnovení pro BitLocker2Go jsou samozřejmě v EFDD podporovány všechny ostatní metody obcházení BitLockeru. Stačí iterovat všechny dostupné možnosti v řadě, dokud nenajdete klíč jakéhokoli typu. Zbytek (až do FVEK) bude dešifrován samy v řetězci a vy získáte plný přístup k disku.

Závěr

Technologie šifrování celého disku BitLocker se mezi verzemi systému Windows liší. Jakmile je správně nakonfigurován, umožňuje vytvářet krypto kontejnery, které jsou teoreticky svou silou srovnatelné s TrueCrypt nebo PGP. Vestavěný mechanismus pro práci s klávesami ve Windows však neguje všechny algoritmické triky. Konkrétně klíč VMK používaný k dešifrování hlavního klíče v BitLockeru je obnoven pomocí EFDD během několika sekund z duplikátu uloženého v úschově, výpisu paměti, souboru hibernace nebo útoku na port FireWire.

Jakmile budete mít klíč, můžete provést klasický offline útok, kdy skrytě zkopírujete a automaticky dešifrujete všechna data na „chráněném“ disku. BitLocker by se proto měl používat pouze ve spojení s dalšími ochranami: Encrypting File System (EFS), Rights Management Service (RMS), Program Startup Control, Device Installation and Connection Control a přísnější místní zásady a obecná bezpečnostní opatření.

V článku byly použity materiály webu:

Ahoj čtenáři firemního blogu ComService (Naberezhnye Chelny). V tomto článku budeme pokračovat ve zkoumání systémů vestavěných do systému Windows navržených tak, aby zvýšily bezpečnost našich dat. Dnes je to systém šifrování disku Bitlocker. Šifrování dat je nezbytné, aby bylo zajištěno, že vaše informace nebudou používány cizími osobami. Jak se tam dostane, je jiná věc.

Šifrování je proces převodu dat tak, že pouze potřebné lidi. K získání přístupu se obvykle používají klíče nebo hesla.

Úplné šifrování disku zabraňuje přístupu k datům při připojení pevného disku k jinému počítači. Systém útočníka může mít nainstalovaný jiný operační systém, aby obešel ochranu, ale to nepomůže, pokud používáte BitLocker.

Technologie BitLocker byla představena s vydáním operačního systému Windows Vista a byla vylepšena v . Bitlocker je k dispozici ve verzích Ultimate, Enterprise a Pro. Majitelé jiných verzí budou muset hledat .

Struktura článku

1. Jak funguje šifrování jednotky BitLocker

Aniž bychom zacházeli do detailů, vypadá to takto. Systém zašifruje celý disk a dá vám k němu klíče. Pokud systémový disk zašifrujete, bez vašeho klíče se nespustí. To samé jako klíče od bytu. Máte je, spadnete do toho. Ztraceno, musíte použít náhradní (obnovovací kód (vydaný během šifrování)) a změnit zámek (provést šifrování znovu s jinými klíči)

Pro spolehlivou ochranu je žádoucí, aby měl počítač modul Trusted Platform Module (TPM). Pokud ano a jeho verze je 1.2 nebo vyšší, bude proces řídit a budete mít silnější metody ochrany. Pokud tam není, pak bude možné použít pouze klíč na USB disku.

BitLocker funguje následovně. Každý sektor disku je šifrován samostatně pomocí klíče (full-volume encryption key, FVEK). Je použit algoritmus AES se 128bitovým klíčem a difuzorem. V zásadách zabezpečení skupiny lze klíč změnit na 256bitový.

Po dokončení šifrování uvidíte následující obrázek

Zavřete okno a zkontrolujte, zda jsou spouštěcí klíč a obnovovací klíč na bezpečných místech.

3. Šifrování jednotky Flash – BitLocker To Go

Proč by mělo být šifrování pozastaveno? Aby BitLocker nezablokoval váš disk a neuchýlil se k postupu obnovy. Systémová nastavení (a obsah spouštěcího oddílu) jsou během šifrování opravena pro větší ochranu. Jejich změna může způsobit zablokování počítače.

Pokud vyberete Spravovat BitLocker, budete moci uložit nebo vytisknout obnovovací klíč a duplikovat spouštěcí klíč

Pokud se jeden z klíčů (spouštěcí klíč nebo obnovovací klíč) ztratí, můžete je obnovit zde.

Správa šifrování pro externí disky

Pro správu nastavení šifrování flash disku jsou k dispozici následující funkce

Heslo pro odemknutí můžete změnit. Heslo můžete odstranit pouze v případě, že je k odemknutí zámku použita čipová karta. Můžete si také uložit nebo vytisknout klíč pro obnovení a automaticky zapnout odemknutí disku.

5. Obnovení přístupu k disku

Obnovení přístupu k systémové jednotce

Pokud je flash disk s klíčem mimo přístupovou zónu, přichází na řadu obnovovací klíč. Když spustíte počítač, uvidíte něco jako následující obrázek

Chcete-li obnovit přístup a spustit systém Windows, stiskněte klávesu Enter

Zobrazí se obrazovka s výzvou k zadání klíče pro obnovení

S poslední zadanou číslicí, pokud je klíč pro obnovení správný, se operační systém automaticky spustí.

Obnovení přístupu k vyměnitelným jednotkám

Chcete-li obnovit přístup k informacím na jednotce flash, nebo klikněte na Zapomněli jste heslo?

Vyberte možnost Zadat klíč pro obnovení

a zadejte tento hrozný 48místný kód. Klepněte na tlačítko Další

Pokud se obnovovací klíč shoduje, disk se odemkne

Zobrazí se odkaz Spravovat nástroj BitLocker, kde můžete změnit heslo pro odemknutí disku.

Závěr

V tomto článku jsme se dozvěděli, jak můžeme chránit naše informace jejich šifrováním pomocí vestavěného nástroje BitLocker. Je frustrující, že tato technologie je dostupná pouze ve starších nebo pokročilých verzích Windows. Také se ukázalo, proč se tento 100 MB skrytý a spouštěcí oddíl vytváří při nastavování disku pomocí nástrojů Windows.

Snad využiji šifrování flash disků popř. To je však nepravděpodobné, protože existují dobré náhrady ve formě služeb cloudového úložiště, jako jsou a podobně.

Děkujeme za sdílení článku na sociálních sítích. Vše nejlepší!

BitLoker je proprietární technologie, která umožňuje chránit informace pomocí komplexního šifrování oddílů. Samotný klíč lze umístit do „TRM“ nebo na USB zařízení.

TPM ( Důvěryhodnýplošinamodul) je šifrovací procesor, který ukládá šifrovací klíče k ochraně dat. Bývalo:

splnit autentizace;
chránit informace z krádeže;
spravovat přístup k síti;
chránit software ze změn;
chránit data z kopírování.

Trusted Platform Module v systému BIOS

Normálně se modul spouští jako součást procesu inicializace modulu a není třeba jej povolovat/deaktivovat. V případě potřeby je však aktivace možná prostřednictvím konzoly pro správu modulu.

Klikněte na tlačítko nabídky "Start" " Běh", napsat tpm.msc.
V části „Akce“ vyberte „ ZapnoutTPM". Podívejte se na průvodce.
Restartujte PC, postupujte podle pokynů systému BIOS zobrazených na monitoru.

Jak povolit "BitLoker" bez "Trusted Platform Module" ve Windows 7, 8, 10

Při spouštění procesu šifrování BitLoker pro systémový oddíl na PC mnoha uživatelů se zobrazí oznámení „Toto zařízení nemůže používat TPM. Správce musí toto nastavení povolit. Povolit aplikaci BitLocker bez kompatibilityTPM". Chcete-li použít šifrování, musíte deaktivovat příslušný modul.

Zakázat používání TPM

Abyste mohli zašifrovat systémový oddíl bez "Trusted Platform Module", musíte změnit nastavení parametrů v editoru GPO (zásady místní skupiny) operačního systému.

Jak zapnout BitLoker

Chcete-li spustit BitLoker, musíte postupovat podle následujícího algoritmu:

Klikněte pravým tlačítkem myši na nabídku Start, klikněte na „ Kontrolní panel».
Klikněte na "".
Lis " Zapnoutbitlocker».
Počkejte na dokončení ověření, klikněte na „ Dále».
Přečtěte si pokyny, klikněte na " Dále».
Spustí se proces přípravy, ve kterém byste neměli vypínat PC. V opačném případě nebudete moci spustit operační systém.
Klikněte na " Dále».
Zadejte heslo, které bude použito k odemknutí disku při spuštění počítače. Klikněte na klíč " Dále».
Vybrat způsob uložení klíč pro obnovu. Tento klíč vám umožní přístup k disku, pokud ztratíte heslo. Klepněte na tlačítko Další.
Vybrat šifrování celého oddílu. Klepněte na tlačítko Další.
Lis " Nový režim šifrování“, klikněte na „Další“.
Zaškrtněte políčko " Spusťte kontrolu systémubitlocker“, klikněte na Pokračovat.
Restartujte počítač.
Při zapínání počítače zadejte heslo zadané během šifrování. Klikněte na tlačítko enter.
Šifrování se spustí okamžitě po spuštění operačního systému. Kliknutím na ikonu „BitLoker“ v oznamovací liště zobrazíte průběh. Mějte na paměti, že proces šifrování může trvat hodně času. Vše závisí na tom, kolik paměti má systémový oddíl. Při provádění postupu bude počítač pracovat méně produktivně, protože procesor je zatížen.

Jak zakázat BitLocker

Šifrovací technologie BitLocker se poprvé objevila před deseti lety a měnila se s každou verzí Windows. Ne všechny změny v něm však byly navrženy tak, aby zvýšily kryptografickou sílu. V tomto článku se blíže podíváme na různé verze BitLockeru (včetně těch, které byly předinstalovány v posledních sestaveních Windows 10) na zařízení a ukážeme si, jak obejít tento vestavěný ochranný mechanismus.

Offline útoky

BitLocker byl odpovědí společnosti Microsoft na rostoucí počet offline útoků, které bylo obzvláště snadné provést na počítačích se systémem Windows. Každý, kdo má, se může cítit jako hacker. Jednoduše vypne nejbližší počítač a poté jej znovu spustí - již s vlastním operačním systémem a přenosnou sadou utilit pro vyhledávání hesel, důvěrných dat a pitvání systému.

Na konci pracovního dne můžete pomocí křížového šroubováku dokonce uspořádat malou křížovou výpravu - otevřete počítače odcházejících zaměstnanců a vytáhněte z nich disky. Ještě tentýž večer v pohodlí domova lze obsah vysunutých disků analyzovat (a dokonce upravit) tisíci a jedním způsobem. Druhý den stačí přijít brzy a vrátit vše na své místo.

Není však nutné otevírat cizí počítače přímo na pracovišti. Po recyklaci starých počítačů a výměně disků uniká mnoho důvěrných dat. V praxi málokdo dělá bezpečné mazání a nízkoúrovňové formátování vyřazených disků. Co může zabránit mladým hackerům a sběratelům digitální mršiny?

Jak zpíval Bulat Okudžava: "Celý svět je složen z omezení, aby se nezbláznil štěstím." Hlavní omezení ve Windows jsou nastavena na úrovni přístupových práv k objektům NTFS, které nijak neochrání před offline útoky. Před zpracováním jakýchkoli příkazů, které přistupují k souborům nebo adresářům, systém Windows jednoduše zkontroluje oprávnění ke čtení a zápisu. Tato metoda je poměrně účinná, pokud všichni uživatelé běží na systému nakonfigurovaném správcem s omezenými účty. Pokud však nabootujete do jiného operačního systému, po takové ochraně nezůstane ani stopa. Uživatel si sám přidělí přístupová práva nebo je jednoduše ignoruje instalací jiného ovladače souborového systému.

Existuje mnoho doplňkových metod pro boj proti offline útokům, včetně fyzické ochrany a video sledování, ale nejúčinnější z nich vyžadují použití silné kryptografie. Digitální podpisy bootloaderů zabraňují spuštění podvodného kódu a jediný způsob, jak skutečně ochránit samotná data na pevném disku, je zašifrovat je. Proč ve Windows tak dlouho chybí Full Disk Encryption?

Od Visty po Windows 10

V Microsoftu pracují různé typy lidí a ne všichni kódují zadní levou nohou. Bohužel, konečná rozhodnutí v softwarových společnostech už dávno nedělají programátoři, ale marketéři a manažeři. Jediné, co při vývoji nového produktu skutečně zohledňují, je objem prodeje. Čím je pro ženy v domácnosti snazší porozumět softwaru, tím více kopií tohoto softwaru lze prodat.

„Pomyslete, půl procenta zákazníků se obává o svou bezpečnost! Operační systém je již komplexní produkt a stále děsíte cílové publikum šifrováním. Obejdeme se bez něj! Vycházeli z toho!" - takto se mohl dohadovat vrcholový management Microsoftu až do okamžiku, kdy se XP stalo populárním v korporátním segmentu. Mezi správci už příliš mnoho specialistů přemýšlelo o zabezpečení, než aby svůj názor slevili. Dlouho očekávané šifrování svazků se proto objevilo v příští verzi Windows, ale pouze v edicích Enterprise a Ultimate, které míří na firemní trh.

Nová technologie se nazývá BitLocker. Možná to byla jediná dobrá součást Visty. BitLocker zašifroval celý svazek, takže uživatelské a systémové soubory byly nečitelné a obešel nainstalovaný operační systém. Důležité dokumenty, obrázky koček, registr, SAM a ZABEZPEČENÍ - vše se ukázalo jako nečitelné při provádění offline útoku jakéhokoli druhu. V terminologii Microsoftu „svazek“ není nutně disk jako fyzické zařízení. Svazek může být virtuální disk, logický oddíl nebo naopak - kombinace několika disků (rozložený nebo prokládaný svazek). I obyčejný flash disk lze považovat za připojený svazek, pro jehož end-to-end šifrování počínaje Windows 7 existuje samostatná implementace – BitLocker To Go (podrobnosti viz postranní panel na konci článku).

S příchodem BitLockeru se stalo obtížnější zavést OS třetí strany, protože všechny bootloadery byly digitálně podepsány. Řešení je však stále možné díky režimu kompatibility. Vyplatí se změnit režim bootování BIOSu z UEFI na Legacy a vypnout funkci Secure Boot a zase se bude hodit stará dobrá bootovací flashka.

Jak používat BitLocker

Pojďme si praktickou část analyzovat na příkladu Windows 10. V sestavení 1607 lze BitLocker povolit prostřednictvím ovládacího panelu (sekce „Systém a zabezpečení“, podsekce „BitLocker Drive Encryption“).

Pokud ale základní deska nemá TPM verze 1.2 nebo novější, tak BitLocker nepůjde jen tak použít. Chcete-li ji aktivovat, budete muset přejít do Editoru místních zásad skupiny (gpedit.msc) a rozbalit větev "Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Šifrování jednotek BitLocker -> Jednotky operačního systému" na nastavení "Toto nastavení zásad umožňuje nakonfigurovat požadavek na další ověřování při spuštění." V něm musíte najít nastavení „Povolit použití BitLockeru bez kompatibilního TPM ...“ a povolit ho.

V sousedních částech místních zásad můžete nastavit další nastavení nástroje BitLocker, včetně délky klíče a režimu šifrování AES.

Po použití nových zásad se vrátíme do ovládacího panelu a budeme postupovat podle pokynů průvodce nastavením šifrování. Jako další ochranu si můžete zvolit zadání hesla nebo připojení konkrétního USB flash disku.

Přestože je BitLocker považován za technologii úplného šifrování disku, umožňuje pouze částečné šifrování vytížených sektorů. Je to rychlejší než šifrování všeho, ale tato metoda je považována za méně bezpečnou. Už jen proto, že v tomto případě smazané, ale ještě nepřepsané soubory, zůstávají nějakou dobu k dispozici pro přímé čtení.

Úplné a částečné šifrování

Po nastavení všech parametrů zbývá restartovat. Systém Windows bude vyžadovat zadání hesla (nebo vložení jednotky USB flash) a poté se spustí v normálním režimu a zahájí proces šifrování svazku na pozadí.

V závislosti na zvoleném nastavení, velikosti disku, frekvenci procesoru a podpoře určitých příkazů AES může šifrování trvat několik minut až několik hodin.

Po dokončení tohoto procesu se v kontextové nabídce Průzkumníka objeví nové položky: změna hesla a rychlý přechod do nastavení nástroje BitLocker.

Upozorňujeme, že všechny akce, kromě změny hesla, vyžadují práva správce. Logika je zde jednoduchá: protože jste se úspěšně přihlásili do systému, znamená to, že znáte heslo a máte právo jej změnit. Jak rozumné je to? To se brzy dozvíme!

Jak funguje BitLocker

První verze BitLockeru používala režim ciphertext block chaining (CBC). Již tehdy byly jeho nedostatky zřejmé: snadnost útoku na známý text, špatná odolnost vůči útokům podle typu substituce a tak dále. Microsoft se proto okamžitě rozhodl ochranu posílit. Již ve Vista byl do schématu AES-CBC přidán algoritmus Elephant Diffuser, což ztěžuje přímé porovnání bloků šifrovaného textu. S ním stejný obsah dvou sektorů dal po zašifrování jedním klíčem úplně jiný výsledek, což zkomplikovalo výpočet společného vzoru. Samotný výchozí klíč byl však krátký – 128 bitů. Prostřednictvím administrativních politik jej lze rozšířit na 256 bitů, ale vyplatí se to?

Když je BitLocker aktivován pomocí generátoru pseudonáhodných čísel, vygeneruje se hlavní bitová sekvence. Toto je šifrovací klíč svazku - FVEK (šifrovací klíč plného svazku). Je to on, kdo nyní šifruje obsah každého sektoru.
Na druhé straně je FVEK zašifrován pomocí jiného klíče - VMK (hlavní klíč svazku) - a uložen v zašifrované podobě mezi metadata svazku.
Samotný VMK je také šifrován, ale různými způsoby podle volby uživatele.
Na nových základních deskách je klíč VMK standardně šifrován pomocí klíče SRK (kořenový klíč úložiště), který je uložen v samostatném kryptoprocesoru – modulu důvěryhodné platformy (TPM). Uživatel nemá přístup k obsahu TPM a je jedinečný pro každý počítač.
Pokud na desce není samostatný čip TPM, pak se místo SRK použije k zašifrování klíče VMK uživatelem zadaný PIN kód, nebo se použije na požádání připojený USB flash disk s předem napsanými informacemi o klíči.
Kromě TPM nebo flash disku můžete klíč VMK chránit heslem.

Tento obecný vzorec fungování nástroje BitLocker pokračoval v následujících verzích systému Windows až do současnosti. Generování klíčů a režimy šifrování nástroje BitLocker se však změnily. V říjnu 2014 tedy Microsoft v tichosti odstranil další algoritmus Elephant Diffuser a ponechal pouze schéma AES-CBC se známými nedostatky. Zpočátku k tomu nepadla žádná oficiální prohlášení. Lidé prostě dostali pod rouškou aktualizace oslabenou šifrovací technologii se stejným názvem. Vágní vysvětlení tohoto kroku následovala poté, co si nezávislí výzkumníci všimli zjednodušení v BitLockeru.

Formálně bylo odstranění Elephant Diffuser požadováno, aby se zajistilo, že Windows budou splňovat požadavky US Federal Information Processing Standards (FIPS), ale jeden argument tuto verzi vyvrací: Vista a Windows 7, které používaly Elephant Diffuser, se v Americe prodávaly bez problémů.

Realističtěji vypadá jiná, neoficiální verze. „Slon“ se postavil do cesty zaměstnancům NSA, kteří chtěli vynaložit méně úsilí na dešifrování dalšího disku, a Microsoft ochotně spolupracuje s úřady i v případech, kdy jejich požadavky nejsou zcela legitimní. Nepřímo potvrzuje konspirační teorii a fakt, že před Windows 8 se při vytváření šifrovacích klíčů v BitLockeru používal generátor pseudonáhodných čísel zabudovaný ve Windows. V mnoha (ne-li ve všech) vydáních Windows to byl Dual_EC_DRBG – „kryptograficky silný PRNG“ vyvinutý americkou Národní bezpečnostní agenturou a obsahující řadu inherentních zranitelností.

Tajné oslabení vestavěného šifrování samozřejmě vyvolalo silnou vlnu kritiky. Pod jejím tlakem Microsoft znovu přepsal BitLocker a v nových verzích Windows nahradil PRNG CTR_DRBG. Ve Windows 10 (počínaje sestavením 1511) je navíc výchozí schéma šifrování AES-XTS, které je imunní vůči manipulaci s bloky šifrovaného textu. V nejnovějších sestaveních „desítek“ byly opraveny další známé nedostatky BitLockeru, ale hlavní problém stále přetrvával. Je to tak absurdní, že to ostatní inovace ztrácí smysl. Jde o principy správy klíčů.

Princip Los Alamos

Myšlenka použití jednoho klíče pro všechny zámky byla již mnohokrát ohrožena, ale stále se vrací v té či oné podobě kvůli pohodlí. Zde je návod, jak Ralph Leighton zaznamenal paměti Richarda Feynmana o jedné charakteristické epizodě jeho práce na projektu Manhattan v laboratoři Los Alamos: „...otevřel jsem tři trezory – a všechny tři s jednou kombinací.<…>Udělal jsem všechny: Otevřel jsem sejfy se všemi tajemstvími atomové bomby - technologie pro získávání plutonia, popis procesu čištění, informace o tom, kolik materiálu je potřeba, jak funguje bomba, jak se vyrábějí neutrony, jak bomba funguje, jaké jsou její rozměry - zkrátka vše, o čem věděli v Los Alamos, celá kuchyně!.

BitLocker trochu připomíná bezpečné zařízení popsané v jiném fragmentu knihy „Samozřejmě si děláte legraci, pane Feynmane!“. Nejimpozantnější trezor v přísně tajné laboratoři měl stejnou zranitelnost jako jednoduchá kartotéka. „... Byl to plukovník a měl mnohem složitější, dvoudveřový trezor s velkými madly, které vytahovaly z rámu čtyři ocelové tyče o tloušťce tři čtvrtě palce.<…>Podíval jsem se na zadní stranu jedněch z impozantních bronzových dveří a zjistil jsem, že digitální ciferník je spojen s malým visacím zámkem, který vypadal přesně jako zámek na mé skříni v Los Alamos.<…>Bylo zřejmé, že pákový systém závisí na stejné malé tyči, která zamykala kartotéky.<…>. Znázornil jsem nějakou aktivitu a začal jsem končetinou náhodně kroutit.<…>O dvě minuty později – klikněte! - Trezor byl otevřen.<…>Když jsou otevřená dvířka trezoru nebo horní zásuvka kartotéky, je velmi snadné najít kombinaci. To jsem udělal, když jsi četl moji zprávu, jen abych ti ukázal nebezpečí.".

Potenciální zranitelnosti

Možná jste si všimli, že při první aktivaci BitLockeru musíte dlouho čekat. To není překvapivé - proces šifrování sektor po sektoru může trvat několik hodin, protože ani není možné číst všechny bloky terabajtových HDD rychleji. K deaktivaci nástroje BitLocker však dojde téměř okamžitě – jak to?

Faktem je, že když je BitLocker deaktivován, nedešifruje data. Všechny sektory zůstanou zašifrovány klíčem FVEK. Jednoduše, přístup k tomuto klíči již nebude nijak omezen. Všechny kontroly budou deaktivovány a VMK zůstane zaznamenán mezi metadaty čistého textu. Při každém zapnutí počítače načte zavaděč OS VMK (již bez kontroly TPM, vyžádání klíče na flash disku nebo hesla), automaticky s ním dešifruje FVEK a poté všechny soubory, jak se k nim přistupuje. Pro uživatele bude vše vypadat jako úplné chybějící šifrování, ale ti nejpozornější si mohou všimnout mírného poklesu výkonu diskového subsystému. Přesněji - nedostatek zvýšení rychlosti po zakázání šifrování.

Na tomto schématu je ještě něco zajímavého. Navzdory názvu (technologie úplného šifrování disku) zůstávají některá data při používání nástroje BitLocker stále nezašifrována. MBR a BS zůstávají v otevřené podobě (pokud disk nebyl inicializován v GPT), chybné sektory a metadata. Otevřený bootloader dává prostor fantazii. Rootkity a další malware je vhodné schovávat do pseudo-špatných sektorů a metadata obsahují spoustu zajímavých věcí, včetně kopií klíčů. Pokud je BitLocker aktivní, pak budou zašifrovány (ale slabší než FVEK zašifruje obsah sektorů), a pokud je vypnutý, budou jednoduše ležet v čistém stavu. To vše jsou potenciální vektory útoku. Jsou potenciální, protože kromě nich existují mnohem jednodušší a univerzálnější.

klíč pro obnovu

Přihlaste se pomocí klíče pro obnovení

Pro rychlé nalezení obnovovacího klíče je vhodné omezit vyhledávání podle přípony (txt), data vytvoření (pokud si umíte představit, kdy přibližně mohl být BitLocker zapnutý) a velikosti souboru (1388 bajtů, pokud soubor nebyl upravován). Jakmile najdete klíč pro obnovení, zkopírujte jej. S ním můžete standardní autorizaci v BitLockeru kdykoli obejít. Chcete-li to provést, stiskněte klávesu Esc a zadejte klíč pro obnovení. Bez problémů se přihlásíte a dokonce budete moci změnit své heslo BitLocker na libovolné, aniž byste museli zadat staré! To už připomíná triky z nadpisu „Západní stavebnictví“.

Spuštění nástroje BitLocker

Skutečný kryptografický systém je kompromisem mezi pohodlím, rychlostí a spolehlivostí. Měl by poskytovat postupy pro transparentní šifrování s průběžným dešifrováním a metodami obnovy zapomenutá hesla a pohodlná práce s klíči. To vše oslabuje jakýkoli systém, bez ohledu na to, na jak silných algoritmech je založen. Není tedy nutné hledat zranitelnosti přímo v Rijndaelově algoritmu nebo v různých schématech standardu AES. Je mnohem snazší je odhalit ve specifikách konkrétní implementace.

V případě Microsoftu toto „specifikum“ stačí. Například kopie klíčů BitLocker jsou ve výchozím nastavení odesílány do SkyDrive a uloženy do služby Active Directory. Proč? No, co když je ztratíte... nebo se ptá agent Smith. Je nepohodlné nechat klienta čekat, a ještě více agenta.

Z tohoto důvodu ustupuje do pozadí porovnávání kryptografické síly AES-XTS a AES-CBC s Elephant Diffuser, stejně jako doporučení pro zvýšení délky klíče. Bez ohledu na to, jak je dlouhý, útočník jej snadno získá v prostém textu.

Příjem uložených klíčů od účet Microsoft nebo AD je hlavní způsob, jak prolomit BitLocker. Pokud uživatel nezaregistroval účet v cloudu společnosti Microsoft a jeho počítač není v doméně, stále existují způsoby, jak extrahovat šifrovací klíče. Při běžném provozu jsou jejich otevřené kopie vždy uloženy v paměti RAM (jinak by nedocházelo k „průhlednému šifrování“). To znamená, že jsou k dispozici v jejím výpisu a souboru hibernace.

Proč je tam vůbec drží? Jak je to směšné - pro pohodlí. BitLocker byl navržen tak, aby chránil pouze před offline útoky. Vždy jsou doprovázeny restartem a připojením disku k jinému OS, což vede k vymazání RAM. Ve výchozím nastavení však operační systém vypíše RAM, když dojde k selhání (které může být vyprovokováno) a zapíše veškerý jeho obsah do souboru hibernace pokaždé, když počítač přejde do hlubokého spánku. Pokud jste se tedy nedávno přihlásili do systému Windows s aktivovaným nástrojem BitLocker, existuje velká šance získat dešifrovanou kopii klíče VMK a použít ji k dešifrování FVEK a poté samotných dat v řetězci. Pojďme zkontrolovat?

Všechny výše popsané metody hackování BitLockeru jsou shromážděny v jednom programu - Forensic Disk Decryptor, vyvinutý domácí společností Elcomsoft. Dokáže automaticky extrahovat šifrovací klíče a připojit zašifrované svazky jako virtuální disky a dešifrovat je za běhu.

EFDD navíc implementuje další netriviální způsob získání klíčů – útok přes FireWire port, který je vhodné použít, když není možné spustit váš software na napadeném počítači. Samotný program EFDD si vždy nainstalujeme na svůj počítač a na hacknutém se snažíme vystačit s minimem nutných úkonů.

Vytvoření výpisu paměti

Než udělat skládku – celkem bez rozdílu. Bez ohledu na příponu se ukáže, že se jedná o binární soubor, který pak bude EFDD automaticky analyzovat při hledání klíčů.

Výpis zapíšeme na USB flash disk nebo jej přeneseme po síti, poté si sedneme k počítači a spustíme EFDD.

Vyberte možnost "Extrahovat klíče" a jako zdroj klíčů zadejte cestu k souboru s výpisem paměti.

Určete zdroj klíčů

Po několika sekundách Elcomsoft Forensic Disk Decryptor zobrazí všechny nalezené klíče ve svém okně. Pro pohodlí je lze uložit do souboru - to se v budoucnu bude hodit.

BitLocker již není překážkou! Můžete provést klasický offline útok – například vytáhnout kolegovi harddisk a zkopírovat jeho obsah. Chcete-li to provést, jednoduše jej připojte k počítači a spusťte EFDD v režimu „dešifrování nebo připojení disku“.

Po zadání cesty k souborům s uloženými klíči EFDD provede úplné dešifrování svazku nebo jej rovnou otevře jako virtuální disk. V druhém případě jsou soubory dešifrovány při přístupu. V každém případě se na původním svazku neprovádějí žádné změny, takže jej můžete druhý den vrátit, jako by se nic nestalo. Práce s EFDD probíhá beze stopy a pouze s kopiemi dat, a proto zůstává neviditelná.

BitLocker To Go

Pokud neznáte heslo, ale podařilo se vám najít jeden z klíčů (ručně nebo pomocí EFDD), pak existují dvě hlavní možnosti přístupu k šifrované jednotce flash:

použijte vestavěného průvodce BitLocker pro přímou práci s flash diskem;
použijte EFDD k úplnému dešifrování flash disku a vytvoření jeho obrazu sektor po sektoru.

První možnost umožňuje okamžitě přistupovat k souborům zaznamenaným na flash disku, kopírovat je nebo měnit a také vypalovat své vlastní. Druhá možnost se provádí mnohem déle (od půl hodiny), ale má své výhody. Dešifrovaný obraz sektor po sektoru umožňuje dále provádět jemnější analýzu souborového systému na úrovni forenzní laboratoře. V tomto případě již samotný flash disk není potřeba a lze jej vrátit beze změny.

Výsledný obrázek lze okamžitě otevřít v jakémkoli programu, který podporuje formát IMA, nebo jej nejprve převést do jiného formátu (například pomocí UltraISO).

závěry

Technologie šifrování celého disku BitLocker se mezi verzemi systému Windows liší. Jakmile je správně nakonfigurován, umožňuje vytvářet krypto kontejnery, které jsou teoreticky svou silou srovnatelné s TrueCrypt nebo PGP. Mechanismus práce s klíči zabudovanými do Windows však neguje všechny algoritmické triky. Konkrétně klíč VMK používaný k dešifrování hlavního klíče v BitLockeru je obnoven EFDD během několika sekund z duplikátu uloženého v úschově, výpisu paměti, souboru hibernace nebo útoku na port FireWire.

Po obdržení klíče můžete provést klasický offline útok, kdy diskrétně zkopírujete a automaticky dešifrujete všechna data na „chráněném“ disku. BitLocker by se proto měl používat pouze ve spojení s dalšími ochranami: Encrypting File System (EFS), Rights Management Service (RMS), Program Startup Control, Device Installation and Connection Control a přísnější místní zásady a obecná bezpečnostní opatření.

Jak povolit bitlocker, pokud je zakázán. Jak zašifrovat disk nebo flash disk tajnými daty pomocí Bitlockeru

Co lze šifrovat pomocí nástroje BitLocker?

Bitlocker Drive Encryption

Jak Bitlocker funguje?

Chyby zabezpečení nástroje BitLocker

Klíč pro obnovení bitlockeru

Spuštění nástroje BitLocker

BitLocker To Go

Závěr

1. Jak funguje šifrování jednotky BitLocker

3. Šifrování jednotky Flash – BitLocker To Go

5. Obnovení přístupu k disku

Závěr

Trusted Platform Module v systému BIOS

Jak povolit "BitLoker" bez "Trusted Platform Module" ve Windows 7, 8, 10

Zakázat používání TPM

Jak zapnout BitLoker

Jak zakázat BitLocker

Offline útoky

Od Visty po Windows 10

Jak používat BitLocker

Jak funguje BitLocker

Princip Los Alamos

Potenciální zranitelnosti

klíč pro obnovu

Spuštění nástroje BitLocker

BitLocker To Go

závěry

Svěží omeleta s mlékem na pánvi Recept na lahodnou omeletu na pánvi krok za krokem

Sterilizace sklenic v plynové troubě Teplota sterilizace sklenic v troubě

Sterilizace sklenic: tradiční metody a pomoc moderních domácích spotřebičů Kolik minut sterilizovat třílitrovou sklenici pro pár

Zázvorová směs s citronem a medem – kouzelné recepty pro naše zdraví!

Kategorie