BitLocker

Z Wikipedie, otevřené encyklopedie
Skočit na navigaci Skočit na vyhledávání
BitLoker
Vývojář Microsoft
První vydání 30. ledna 2007
Operační systém Microsoft Windows
Typ softwaru Šifrování
Web https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview
Některá data mohou pocházet z datové položky.

BitLocker je nástroj pro šifrování diskových svazků vyvíjený společností Microsoft. Je integrován ve vybraných verzích operačního systému Windows a jeho účelem je ochrana dat uložených na discích před neoprávněným přístupem.[1] Je primárně navržen pro použití na zařízeních vybavených čipem Trusted Platform Module (TPM)[2], kde kromě šifrování diskových oddílů umožňuje i kontrolu integrity celého sytému.

Dostupnost[editovat | editovat zdroj]

BitLocker pro šifrování disků byl poprvé představen s operačním systémem Windows Vista jako nástroj k ochraně dat na počítačích, které byly odcizeny, ztraceny nebo nekorektně vyřazeny. Od verze Windows 7 je k dispozici také funkce šifrování výměnných médií nazvaná BitLocker To Go.[3] Nástroj BitLocker je dostupný v těchto verzích operačního systému Windows:

BitLocker Drive Encryption[editovat | editovat zdroj]

BitLocker Drive Encryption šifruje celé diskové oddíly. Pro jeho použití musí být disk rozdělen minimálně na dva oddíly. První oddíl obsahuje operační systém a další podpůrné soubory. Tento oddíl musí být naformátován na souborový systém NTFS a může být zašifrován. Druhý oddíl je systémový a obsahuje soubory potřebné pro zavedení operačního systému. Souborový systém tohoto oddílu musí být FAT32 (pro počítače používající UEFI) nebo NTFS (pro počítače používající BIOS). Systémový oddíl se nešifruje.[1]
Šifrovat lze dvěma způsoby – buď je zašifrován rovnou celý diskový oddíl, nebo jen jeho používaná část. V případě šifrování celého oddílu se šifrují i části disku, které zatím neobsahují žádná data. Tato varianta se považuje za nejbezpečnější, zvláště v případě, že disk dříve obsahoval citlivá data, protože části těchto dat mohou i po vymazání nebo přesunutí zůstat na disku v prostoru označeném jako nepoužívaný.

Šifrování pouze využitého místa je vhodné především na nových discích, které doposud žádná data neobsahovaly. Výhodou tohoto režimu šifrování v porovnání s šifrováním celého oddílu je velké zrychlení procesu šifrování. Nová data jsou poté šifrována v okamžiku jejich zápisu na disk.[6]

Použití s čipem TPM[editovat | editovat zdroj]

Pokud se v počítači nachází funkční čip TPM, je šifrovací klíč používaný BitLockerem uložen právě v něm. Při startu počítače se zapnutým BitLockerem a aktivním čipem TPM je nejprve ověřována integrita celého sytému. V TPM čipu je uchováván otisk systému, který je při startu porovnán s aktuálním stavem – pokud by některá část systému byla změněna, otisk nebude souhlasit a zavedení operačního systému nebude BitLockerem povoleno. Pokud systém ověřením integrity projde úspěšně, z čipu TPM jsou načteny šifrovací klíče, je zaveden operační systém a data na disku jsou zpřístupněna. Tento proces probíhá automaticky při každém startu počítače a není při něm vyžadována žádná interakce ze strany uživatele.[7]

BitLocker podporuje čipy TPM verze 1.2 a vyšší, s TPM 2.0 navíc vyžaduje zařízení podporující UEFI.[8]

Použití bez čipu TPM[editovat | editovat zdroj]

BitLocker lze používat i na počítačích, které čipem TPM nedisponují. Šifrovací klíč BitLockeru lze v takovém případě uložit na USB flash disk a při startu systému tento disk připojit k počítači. Další možností je nastavení hesla, které uživatel zadává po zapnutí počítače.[4] Počítače bez TPM čipu nemohou využívat funkci ověření integrity.[8]

Vícefaktorová autentizace[editovat | editovat zdroj]

Pro zvýšení bezpečnosti je možné zároveň s čipem TPM použít i doplňující metody autentizace. Dostupné možnosti jsou:

  • PIN – při startu počítače je nutné zadat identifikační kód. Po opakovaném zadání chybného PINu dojde k uzamčení počítače.
  • Startup Key – při startu je vyžadováno vložení USB flash disku s uloženým klíčem.
  • Network Key – odemčení probíhá pomocí klíče načteném ze serveru ve firemní síti.

První dvě metody lze navíc ještě zkombinovat, tedy vynutit vložení USB flash disku a zároveň zadání PINu.[4]

BitLocker To Go[editovat | editovat zdroj]

Komponenta BitLocker To Go umožňuje šifrovat výměnná média, jako USB flash disky, SD karty nebo externí harddisky. Podporované systémy souborů pro použití s BitLocker Go jsou NTFS, FAT16, FAT32 a exFAT. Data na zašifrovaných médiích lze následně zpřístupnit zadáním hesla, použitím čipové karty k jejich odemčení, nebo je odemknout na jiném počítači podporujícím BitLocker Drive Encryption.[9]

Obnova systému[editovat | editovat zdroj]

V případě nestandardní události dojde k uzamčení počítače chráněného BitLockerem. Může se jednat například o:

  • Přesunutí zašifrovaného disku do jiného počítače
  • Výměna základní desky
  • Deaktivace nebo vymazání čipu TPM
  • Aktualizace BIOSu
  • Zapomenutí PINu nebo ztráta USB flash disku se startup key

Pro tyto případy generuje BitLocker při své inicializaci obnovovací klíč. Jedná se o 48 místné náhodně generované číslo, které má uživatel možnost si uložit nebo vytisknout. Po selhání standardní autentizace je možné tento klíč zadat a zajistit tak odemknutí systému. Další možností je vytvoření obnovovacího USB flash disku a uzamčený systém zpřístupnit jeho vložením.[10]

Šifrovací algoritmy[editovat | editovat zdroj]

Původně BitLocker používal k šifrování algoritmus AES-CBC s velikostí klíče 128 nebo 256 bitů. Od verze 1511 operačního systému Windows 10 přešel BitLocker na šifrování pomocí bezpečnějšího algoritmu XTS-AES s velikostí klíče 128 nebo 256 bitů. Z důvodu kompatibility je stále možné použít i původní šifrovací algoritmus, například pro šifrování vyměnitelných médií, která jsou střídavě připojována k počítačům se starým i novým způsobem šifrování.[11]

Reference[editovat | editovat zdroj]

  1. a b BitLocker. Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview
  2. NOTT, Tim. Bitlocker Drive Encryption. Personal Computer World [online]. 2008. ISSN 01420232. Dostupné z: https://search-proquest-com.ezproxy.techlib.cz/docview/213496494?pq-origsite=summon
  3. Windows 7 BitLocker Executive Overview. Microsoft Docs[online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd548341(v%3dws.10)
  4. a b c d e f BitLocker - šifrování systémových disků. SAMURAJ-cz.com [online]. Copyright © 2005 [cit. 25.01.2020]. Dostupné z: https://www.samuraj-cz.com/clanek/bitlocker-sifrovani-systemovych-disku/
  5. Windows 10 Editions Compared. AnandTech [online]. Copyright © 2020. All rights reserved. [cit. 25.01.2020]. Dostupné z: https://www.anandtech.com/show/9413/windows-10-editions-compared
  6. BitLocker. Overview of BitLocker Device Encryption in Windows 10 - Microsoft 365 Security Microsoft Docs [online]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10#used-disk-space-only-encryption
  7. HASSEL, Jonathan a CAMPBELL, Tony. Using BitLocker. In: HASSEL, Jonathan a CAMPBELL, Tony. Windows Vista:Beyond the Manual. Apress, 2007, 167-175. ISBN 978-1-4302-0368-1.
  8. a b BitLocker overview and requirements FAQ (Windows 10) - Microsoft 365 Security Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview-and-requirements-faq
  9. BitLocker To Go FAQ (Windows 10) - Microsoft 365 Security Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-to-go-faq
  10. BitLocker Drive Encryption Technical Overview Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732774(v=ws.10)?redirectedfrom=MSDN
  11. What's new in Windows 10, versions 1507 and 1511 (Windows 10). Microsoft Docs [online]. © Microsoft 2020 [cit. 25.01.2020]. Dostupné z: https://docs.microsoft.com/cs-cz/windows/whats-new/whats-new-windows-10-version-1507-and-1511?redirectedfrom=MSDN#bitlocker