bitlocker-palautusavaimen tunnus. Ota Bitlocker käyttöön tai poista se käytöstä Windowsissa. BitLocker: poistaminen käytöstä. Ensimmäinen taso

Kukaan ei ole yllättynyt siitä, että puhtaasti henkilökohtaisia tai arvokkaita yritystietoja voidaan tallentaa henkilökohtaiseen tietokoneeseen. Ei ole toivottavaa, että tällaiset tiedot joutuvat kolmansien osapuolten käsiin, jotka voivat käyttää niitä, mikä aiheuttaa vakavia ongelmia tietokoneen entiselle omistajalle.

Olosuhteista riippuen Bitlocker voidaan aktivoida tai deaktivoida.

Tästä syystä monet käyttäjät ilmaisevat halunsa ryhtyä toimiin, joilla pyritään rajoittamaan pääsyä kaikkiin tietokoneelle tallennettuihin tiedostoihin. Tällainen menettely on todella olemassa. Tiettyjen manipulaatioiden jälkeen kukaan ulkopuolinen ei pääse käsiksi asiakirjoihin ilman salasanaa tai sen palautusavainta.

Voit suojata tärkeitä tietoja kolmansien osapuolten pääsyltä salaamalla asemasi Bitlockerilla. Tällaiset toimet auttavat varmistamaan asiakirjojen täydellisen luottamuksellisuuden, ei vain tietyssä tietokoneessa, vaan myös silloin, kun joku poistaa kiintolevyn ja asettaa sen toiseen tietokoneeseen.

Algoritmi toiminnon käyttöön ottamiseksi ja poistamiseksi käytöstä

Bitlocker-levyn salaus toimii Windows 7-, 8- ja 10-käyttöjärjestelmissä, mutta ei kaikissa versioissa. Oletuksena on, että emolevyllä, joka on varustettu tietyllä tietokoneella, jolla käyttäjä haluaa suorittaa salauksen, on oltava TPM-moduuli.

NEUVOT. Älä ole järkyttynyt, jos tiedät varmasti, ettei emolevylläsi ole tällaista erityistä moduulia. On joitain temppuja, joiden avulla voit "ohittaa" tällaisen vaatimuksen ja asentaa vastaavasti ilman tällaista moduulia.

Ennen kuin aloitat kaikkien tiedostojen salausprosessin, on tärkeää huomata, että tämä menettely on melko pitkä. Tarkkaa aikaa on vaikea antaa etukäteen. Kaikki riippuu siitä, kuinka paljon tietoa kiintolevyllä on. Salausprosessin aikana Windows 10 jatkaa toimintaansa, mutta se ei todennäköisesti voi miellyttää sinua suorituskyvyllään, koska suorituskykyindikaattori laskee merkittävästi.

Ominaisuuden käyttöönotto

Jos tietokoneellesi on asennettu Windows 10 ja sinulla on aktiivinen halu ottaa käyttöön tietojen salaus, käytä vinkkejämme, jotta et vain onnistu, mutta myös tapa toteuttaa tämä toive ei ole vaikea. Aluksi etsi "Win"-näppäin näppäimistöltäsi, joskus siihen liittyy Windows-kuvake, pidä sitä alhaalla ja pidä samanaikaisesti "R"-näppäintä painettuna. Näiden kahden näppäimen painaminen samanaikaisesti avaa Suorita-ikkunan.

Avautuvassa ikkunassa on tyhjä rivi, johon sinun on kirjoitettava "gpedit.msc". Kun olet napsauttanut "Ok" -painiketta, uusi "Paikallinen ryhmäkäytäntöeditori" -ikkuna avautuu. Tässä ikkunassa meillä on lyhyt matka.

Etsi ikkunan vasemmasta reunasta rivi "Tietokoneen asetukset" ja napsauta sitä välittömästi, etsi avautuvasta alivalikosta "Administrative Templates" ja siirry sitten seuraavasta avautuvasta alivalikosta luettelon ensimmäisenä olevaan vaihtoehtoon. ja nimeltään "Windowsin komponentit".

Siirrä nyt katseesi ikkunan oikealle puolelle, etsi siitä "Bitlocker Disk Encryption" ja aktivoi se kaksoisnapsauttamalla sitä. Nyt avautuu uusi luettelo, jossa seuraavan tavoitteesi pitäisi olla rivi "Käyttöjärjestelmälevyt". Napsauta myös tätä riviä, sinun on vain tehtävä vielä yksi siirtymä päästäksesi lähemmäksi ikkunaa, jossa Bitlocker määritetään suoraan, jolloin voit ottaa sen käyttöön, mikä on juuri sitä, mitä haluat.

Etsi rivi "Tämän käytäntöasetuksen avulla voit määrittää lisätodennusvaatimuksen käynnistyksen yhteydessä", kaksoisnapsauta laajentaaksesi tätä asetusta. Avoimesta ikkunasta löydät haluamasi sanan "Ota käyttöön", jonka vieressä on valintaruutu, johon sinun on laitettava tietty merkki suostumuksesi rastin muodossa.

Tämän ikkunan alapuolella on alaosio "Alustat", jossa sinun on valittava valintaruutu tarjouksen vieressä käyttää BitLockeria ilman erityistä moduulia. Tämä on erittäin tärkeää, varsinkin jos Windows 10:ssäsi ei ole TPM:ää.

Halutun toiminnon konfigurointi on valmis tässä ikkunassa, joten voit sulkea sen. Siirrä nyt hiiren osoitin "Windows" -kuvakkeen päälle, napsauta sitä hiiren kakkospainikkeella, jolloin ylimääräinen alivalikko tulee näkyviin. Sieltä löydät rivin "Ohjauspaneeli", siirry siihen ja sitten seuraavaan riviin "Bitlocker-levyn salaus".

Muista ilmoittaa, missä haluat salauksen tapahtuvan. Tämä voidaan tehdä sekä kiintolevyille että irrotettaville asemille. Kun olet valinnut halutun kohteen, napsauta "Ota Bitlocker käyttöön" -painiketta.

Nyt Windows 10 käynnistää automaattisen prosessin, joka herättää ajoittain huomiosi ja kehottaa sinua määrittelemään toiveesi. Tietysti on parasta tehdä varmuuskopio ennen tällaisen prosessin suorittamista. Muuten, jos salasana ja sen avain katoavat, edes tietokoneen omistaja ei pysty palauttamaan tietoja.

Seuraavaksi levyn valmistelu myöhempää salausta varten alkaa. Kun tämä prosessi on käynnissä, et saa sammuttaa tietokonetta, koska tämä toimenpide voi aiheuttaa vakavia vaurioita käyttöjärjestelmälle. Tällaisen epäonnistumisen jälkeen et yksinkertaisesti voi käynnistää Windows 10 -käyttöjärjestelmääsi, joten salauksen sijaan sinun on asennettava uusi käyttöjärjestelmä, mikä tuhlaa ylimääräistä aikaa.

Heti kun levyn valmistelu on suoritettu onnistuneesti, levyn varsinainen salausasetus alkaa. Sinua pyydetään antamaan salasana, joka mahdollistaa myöhemmin pääsyn salattuihin tiedostoihin. Sinua pyydetään myös luomaan ja antamaan palautusavain. Molemmat tärkeät osat on parasta säilyttää turvallisessa paikassa, mieluiten painettuina. On erittäin typerää tallentaa salasana ja palautusavain itse tietokoneeseen.

Salausprosessin aikana järjestelmä saattaa kysyä, minkä osan haluat salata. On parasta kohdistaa koko levytila tälle toimenpiteelle, vaikka vain varattu tila on mahdollista salata.

Jäljelle jää vain valita toimintovaihtoehto, kuten "Uusi salaustila", ja suorittaa sitten BitLocker-käyttöjärjestelmän automaattinen tarkistus. Seuraavaksi järjestelmä jatkaa turvallisesti prosessia, minkä jälkeen sinua kehotetaan käynnistämään tietokone uudelleen. Tietenkin täytä tämä vaatimus ja käynnistä uudelleen.

Windows 10:n seuraavan julkaisun jälkeen olet vakuuttunut siitä, että asiakirjoihin pääsy ilman salasanaa on mahdotonta. Salausprosessi jatkuu, voit hallita sitä napsauttamalla ilmoituspaneelissa olevaa BitLocker-kuvaketta.

Ominaisuuden poistaminen käytöstä

Jos jostain syystä tietokoneesi tiedostot eivät ole enää tärkeitä, etkä todellakaan pidä salasanan syöttämisestä joka kerta päästäksesi niihin, suosittelemme, että poistat salaustoiminnon käytöstä.

Jos haluat suorittaa tällaisia toimintoja, siirry ilmoituspaneeliin, etsi sieltä BitLocker-kuvake ja napsauta sitä. Avoimen ikkunan alareunasta löydät rivin "Hallinnoi BitLockeria", napsauta sitä.

Nyt järjestelmä kehottaa sinua valitsemaan sinulle sopivan toiminnon:

arkistoi palautusavain;
vaihda salasana salattujen tiedostojen käyttöä varten;
poista aiemmin asetettu salasana;
poista BitLocker käytöstä.

Tietenkin, jos päätät poistaa BitLockerin käytöstä, sinun tulee valita viimeinen tarjottu vaihtoehto. Näytölle tulee välittömästi uusi ikkuna, jossa järjestelmä haluaa varmistaa, että haluat todella poistaa salaustoiminnon käytöstä.

HUOMIO. Heti kun napsautat "Poista BitLocker käytöstä" -painiketta, salauksen purkuprosessi alkaa välittömästi. Valitettavasti tälle prosessille ei ole ominaista suuri nopeus, joten sinun on ehdottomasti valmistauduttava jonkin aikaa, jonka aikana sinun on yksinkertaisesti odotettava.

Tietenkin, jos sinun on käytettävä tietokonetta tällä hetkellä, sinulla on siihen varaa, tähän ei ole kategorista kieltoa. Sinun tulee kuitenkin varautua siihen, että tietokoneen suorituskyky voi tällä hetkellä olla erittäin alhainen. Tämän hitauden syytä ei ole vaikea ymmärtää, koska käyttöjärjestelmän on avattava valtava määrä tietoa.

Joten jos haluat salata tai purkaa tietokoneellasi olevia tiedostoja, sinun on vain luettava suosituksemme, suorita sitten ilman kiirettä ilmoitetun algoritmin jokainen vaihe ja valmistumisen jälkeen iloitse saavutetusta tuloksesta.

BitLocker-salaustekniikka ilmestyi ensimmäisen kerran kymmenen vuotta sitten, ja se on muuttunut jokaisen Windows-version myötä. Kaikkia sen muutoksia ei kuitenkaan suunniteltu lisäämään kryptografista vahvuutta. Tässä artikkelissa tarkastellaan tarkemmin BitLockerin eri versioita (mukaan lukien Windows 10:n uusimpiin koontiversioihin esiasennettuja versioita) ja näytämme, kuinka tämä sisäänrakennettu suojausmekanismi voidaan ohittaa.

Offline-hyökkäykset

BitLocker-teknologia oli Microsoftin vastaus lisääntyviin offline-hyökkäuksiin, jotka olivat erityisen helppoja suorittaa Windows-tietokoneita vastaan. Kuka tahansa voi tuntea olevansa hakkeri. Se yksinkertaisesti sammuttaa lähimmän tietokoneen ja käynnistää sen sitten uudelleen - käyttöjärjestelmällään ja kannettavalla apuohjelmalla salasanojen, luottamuksellisten tietojen etsimiseen ja järjestelmän erittelyyn.

Työpäivän päätteeksi voit jopa järjestää pienen ristiretken Phillips-ruuvimeisselillä - avaa lähteneiden työntekijöiden tietokoneet ja vedä niistä asemat. Samana iltana, hiljaisessa kotiympäristössä, purettujen levyjen sisältöä voidaan analysoida (ja jopa muokata) tuhannella ja yhdellä tavalla. Seuraavana päivänä tule vain aikaisin ja palauta kaikki paikoilleen.

Toisten tietokoneita ei kuitenkaan tarvitse avata suoraan työpaikalla. Paljon luottamuksellisia tietoja vuotaa vanhojen tietokoneiden kierrätyksen ja asemien vaihdon jälkeen. Käytännössä käytöstä poistettujen levyjen suojatun tyhjennyksen ja matalan tason formatoinnin tekevät vain harvat ihmiset. Mikä voi pysäyttää nuoret hakkerit ja digitaalisten ratojen kerääjät?

Kuten Bulat Okudzhava lauloi: "Koko maailma on tehty rajoituksista, jotta ei tulisi onnesta hulluksi." Windowsin tärkeimmät rajoitukset on asetettu NTFS-objektien käyttöoikeuksien tasolle, jotka eivät suojaa offline-hyökkäyksiltä. Windows yksinkertaisesti tarkistaa luku- ja kirjoitusoikeudet ennen kuin käsittelee tiedostoja tai hakemistoja käyttäviä komentoja. Tämä menetelmä on varsin tehokas niin kauan kuin kaikki käyttäjät työskentelevät järjestelmässä, jonka järjestelmänvalvoja on määrittänyt rajoitetuilla tileillä. Kuitenkin heti, kun käynnistät toisen käyttöjärjestelmän, tällaisesta suojauksesta ei jää jälkeäkään. Käyttäjä määrittää käyttöoikeudet uudelleen tai jättää ne huomiotta asentamalla toisen tiedostojärjestelmäohjaimen.

Offline-hyökkäysten torjumiseen on monia toisiaan täydentäviä menetelmiä, mukaan lukien fyysinen turvallisuus ja videovalvonta, mutta tehokkaimmat niistä edellyttävät vahvan salauksen käyttöä. Bootloaderin digitaaliset allekirjoitukset estävät vieraan koodin suorittamisen, ja ainoa tapa todella suojata kiintolevylläsi olevat tiedot on salata ne. Miksi täydellinen levyn salaus on puuttunut Windowsista niin pitkään?

Vistasta Windows 10:een

Microsoftilla työskentelee paljon erilaisia ihmisiä, eivätkä kaikki koodaa vasemmalla takajaloillaan. Valitettavasti ohjelmistoyrityksissä lopullisia päätöksiä eivät ole pitkään tehneet ohjelmoijat, vaan markkinoijat ja johtajat. Ainoa asia, jota he todella huomioivat uutta tuotetta kehitettäessä, on myyntimäärä. Mitä helpompi kotiäidin on ymmärtää ohjelmistoa, sitä enemmän kopioita hän pystyy myymään.

”Ajatelkaapa, puoli prosenttia asiakkaista on huolissaan turvallisuudestaan! Käyttöjärjestelmä on jo monimutkainen tuote, ja tässä pelottelet kohdeyleisöä salauksella. Pärjäämme ilman häntä! Onnistuimme ennen!” - Microsoftin ylin johto olisi voinut päätellä suunnilleen näin siihen hetkeen asti, kun XP:stä tuli suosittu yrityssegmentissä. Järjestelmänvalvojien joukossa liian monet asiantuntijat ovat jo miettineet turvallisuutta voidakseen vähätellä mielipiteensä. Siksi kauan odotettu volyymin salaus ilmestyi seuraavassa Windows-versiossa, mutta vain Enterprise- ja Ultimate-versioissa, jotka on suunnattu yritysmarkkinoille.

Uuden teknologian nimi on BitLocker. Tämä oli luultavasti ainoa hyvä asia Vistassa. BitLocker salasi koko taltion, mikä teki käyttäjä- ja järjestelmätiedostoista lukukelvottomia ja ohitti asennetun käyttöjärjestelmän. Tärkeät asiakirjat, kissakuvat, rekisteri, SAM ja TURVALLISUUS - kaikki osoittautui lukukelvottomaksi suoritettaessa minkäänlaista offline-hyökkäystä. Microsoftin terminologiassa "taltio" ei välttämättä ole levy fyysisenä laitteena. Taltio voi olla virtuaalinen levy, looginen osio tai päinvastoin - useiden levyjen yhdistelmä (jaettu tai raidallinen taltio). Yksinkertaistakin flash-asemaa voidaan pitää yhdistettävänä taltiona, jonka päästä päähän -salaukseen on Windows 7:stä alkaen olemassa erillinen toteutus - BitLocker To Go (katso lisätietoja artikkelin lopussa olevasta sivupalkista ).

BitLockerin myötä kolmannen osapuolen käyttöjärjestelmän käynnistäminen muuttui vaikeammaksi, koska kaikki käynnistyslataajat saivat digitaaliset allekirjoitukset. Kiertotapa on kuitenkin edelleen mahdollinen yhteensopivuustilan ansiosta. BIOSissa kannattaa vaihtaa käynnistystila UEFI:stä Legacyyn ja poistaa Secure Boot -toiminto käytöstä, niin vanha kunnon käynnistettävä flash-asema tulee taas käyttöön.

Kuinka käyttää BitLockeria

Katsotaanpa käytännön osaa käyttämällä esimerkkinä Windows 10:tä. Rakenneversiossa 1607 BitLocker voidaan ottaa käyttöön ohjauspaneelin kautta (osio "Järjestelmä ja suojaus", alaosio "BitLocker-aseman salaus").

Jos emolevyssä ei kuitenkaan ole TPM-salausprosessorin versiota 1.2 tai uudempaa, BitLockeria ei yksinkertaisesti voi käyttää. Aktivoidaksesi sen, sinun on siirryttävä paikalliseen ryhmäkäytäntöeditoriin (gpedit.msc) ja laajennettava haara "Tietokoneen kokoonpano -> Hallintamallit -> Windows-komponentit -> BitLocker-aseman salaus -> Käyttöjärjestelmän asemat" asetukseksi " Tämän käytäntöasetuksen avulla voit määrittää lisätodennusvaatimuksen käynnistyksen yhteydessä." Siinä sinun on löydettävä asetus "Salli BitLocker ilman yhteensopivaa TPM:ää..." ja otettava se käyttöön.

Paikallisten käytäntöjen viereisissä osioissa voit määrittää BitLockerin lisäasetuksia, mukaan lukien avaimen pituuden ja AES-salaustilan.

Kun olet ottanut käyttöön uudet käytännöt, palaa ohjauspaneeliin ja seuraa ohjatun salauksen asennustoiminnon ohjeita. Lisäsuojaa varten voit syöttää salasanan tai liittää tietyn USB-muistitikun.

Vaikka BitLockeria pidetään koko levyn salausteknologiana, se sallii vain varattujen sektoreiden osittaisen salauksen. Tämä on nopeampaa kuin kaiken salaaminen, mutta tätä menetelmää pidetään vähemmän luotettavana. Jos vain siksi, että tässä tapauksessa poistetut mutta vielä korvaamattomat tiedostot ovat jonkin aikaa luettavissa suoraan.

Täysi ja osittainen salaus

Kun kaikki parametrit on asetettu, jäljellä on vain käynnistäminen uudelleen. Windows vaatii sinua syöttämään salasanan (tai asettamaan USB-muistitikun), ja käynnistyy sitten normaalisti ja aloittaa taltion salausprosessin taustalla.

Valituista asetuksista, levyn koosta, prosessorin taajuudesta ja sen yksittäisten AES-komentojen tuesta riippuen salaus voi kestää muutamasta minuutista useisiin tunteihin.

Kun tämä prosessi on valmis, Explorer-kontekstivalikkoon ilmestyy uusia kohteita: salasanan vaihtaminen ja nopea siirtyminen BitLocker-asetuksiin.

Huomaa, että kaikki toimet paitsi salasanan vaihtaminen edellyttävät järjestelmänvalvojan oikeuksia. Logiikka tässä on yksinkertainen: koska olet onnistuneesti kirjautunut järjestelmään, se tarkoittaa, että tiedät salasanan ja sinulla on oikeus vaihtaa se. Kuinka järkevää tämä on? Selvitämme pian!

Kuinka BitLocker toimii

BitLockerin luotettavuutta ei pidä arvioida AES:n maineen perusteella. Suositulla salausstandardilla ei ehkä ole ilmeisiä heikkouksia, mutta sen toteutukset tietyissä salaustuotteissa ovat usein täynnä niitä. Microsoft ei paljasta BitLocker-tekniikan koko koodia. Tiedetään vain, että Windowsin eri versioissa se perustui eri skeemoihin, eikä muutoksia kommentoitu millään tavalla. Lisäksi Windows 10:n koontiversiossa 10586 se yksinkertaisesti katosi, ja kaksi versiota myöhemmin se ilmestyi uudelleen. Ensimmäiset asiat kuitenkin ensin.

BitLockerin ensimmäinen versio käytti salakirjoituslohkoketjutustilaa (CBC). Jo silloin sen puutteet olivat ilmeisiä: tunnettuun tekstiin hyökkäämisen helppous, heikko vastustuskyky hyökkäyksiä, kuten korvaamista vastaan, ja niin edelleen. Siksi Microsoft päätti välittömästi vahvistaa suojaa. Jo Vistassa Elephant Diffuser -algoritmi lisättiin AES-CBC-malliin, mikä vaikeutti salatekstilohkojen suoraa vertailua. Sen avulla kahden sektorin samat sisällöt antoivat täysin erilaiset tulokset yhdellä avaimella salauksen jälkeen, mikä vaikeutti kokonaiskuvion laskemista. Itse avain oli kuitenkin oletuksena lyhyt - 128 bittiä. Hallintopolitiikan avulla se voidaan laajentaa 256-bittiseksi, mutta kannattaako se tehdä?

Käyttäjille avaimen vaihtamisen jälkeen mikään ei muutu ulkoisesti - ei syötettyjen salasanojen pituus eikä toimintojen subjektiivinen nopeus. Kuten useimmat täyden levyn salausjärjestelmät, BitLocker käyttää useita avaimia... eikä mikään niistä ole käyttäjille näkyvissä. Tässä on kaavio BitLockerista.

Kun BitLocker on aktivoitu, pääbittisekvenssi luodaanla. Tämä on volyymin salausavain - FVEK (täyden volyymin salausavain). Tämän avulla kunkin sektorin sisältö on nyt salattu.
FVEK puolestaan salataan toisella avaimella - VMK:lla (volume master key) - ja tallennetaan salatussa muodossa taltion metatietojen joukkoon.
Myös itse VMK on salattu, mutta eri tavoilla käyttäjän harkinnan mukaan.
Uusilla emolevyillä VMK-avain salataan oletusarvoisesti SRK-avaimella (tallennusjuuriavaimella), joka on tallennettu erilliseen kryptoprosessoriin - Truted Platform Module (TPM). Käyttäjällä ei ole pääsyä TPM-sisältöön, ja se on yksilöllinen jokaiselle tietokoneelle.
Jos levyllä ei ole erillistä TPM-sirua, VMK-avaimen salaamiseen käytetään SRK:n sijaan käyttäjän syöttämää PIN-koodia tai on-demand USB-muistitikkua, johon on valmiiksi tallennettu avaintiedot.
TPM:n tai flash-aseman lisäksi voit suojata VMK-avaimen salasanalla.

Tämä yleinen BitLocker-toiminnan malli on jatkunut myöhemmissä Windows-julkaisuissa aina tähän päivään asti. BitLockerin avainten luontimenetelmät ja salaustilat ovat kuitenkin muuttuneet. Joten lokakuussa 2014 Microsoft poisti hiljaa Elephant Diffuser -lisäalgoritmin jättäen vain AES-CBC-järjestelmän tunnetuineen puutteineen. Aluksi asiasta ei annettu virallisia lausuntoja. Ihmisille yksinkertaisesti annettiin heikennetty salaustekniikka samalla nimellä päivityksen varjolla. Epämääräiset selitykset tälle vaiheelle seurasivat sen jälkeen, kun riippumattomat tutkijat huomasivat yksinkertaistuksia BitLockerissa.

Muodollisesti Elephant Diffuserista luopuminen vaadittiin, jotta Windows olisi Yhdysvaltojen liittovaltion tietojenkäsittelystandardien (FIPS) vaatimusten mukainen, mutta yksi argumentti kumoaa tämän version: Vista ja Windows 7, joissa käytettiin Elephant Diffuseria, myytiin ilman ongelmia Amerikassa. .

Toinen kuvitteellinen syy lisäalgoritmista luopumiseen on Elephant Diffuserin laitteistokiihdytyksen puute ja nopeuden menetys sitä käytettäessä. Kuitenkin aikaisempina vuosina, kun prosessorit olivat hitaampia, salausnopeus oli jotenkin tyydyttävä. Ja samaa AES:tä käytettiin laajalti jo ennen kuin erilliset ohjesarjat ja erikoissirut ilmestyivät nopeuttamaan sitä. Ajan myötä Elephant Diffuserille oli mahdollista tehdä laitteistokiihdytystä tai ainakin antaa asiakkaille mahdollisuus valita nopeuden ja turvallisuuden välillä.

Toinen, epävirallinen versio näyttää realistisemmalta. "Elefantti" häiritsi NSA:n työntekijöitä, jotka halusivat käyttää vähemmän vaivaa seuraavan levyn salauksen purkamiseen, ja Microsoft tekee mielellään yhteistyötä viranomaisten kanssa myös tapauksissa, joissa heidän pyyntönsä eivät ole täysin laillisia. Salaliittoteorian vahvistaa epäsuorasti se, että ennen Windows 8:aa salausavaimia luotaessa BitLockerissa käytettiin Windowsiin sisäänrakennettua näennäissatunnaislukugeneraattoria. Monissa (ellei kaikissa) Windowsin julkaisuissa tämä oli Dual_EC_DRBG – "salakirjoituksella vahva PRNG", jonka on kehittänyt Yhdysvaltain kansallinen turvallisuusvirasto ja joka sisältää useita luontaisia haavoittuvuuksia.

Tietysti sisäänrakennetun salauksen salainen heikentäminen aiheutti voimakkaan kritiikkiaallon. Hänen painostuksensa alla Microsoft kirjoitti BitLockerin uudelleen ja korvasi PRNG:n CTR_DRBG:llä uusissa Windows-versioissa. Lisäksi Windows 10:ssä (alkaen versiosta 1511) oletussalausmalli on AES-XTS, joka on immuuni salatekstilohkojen käsittelylle. Uusimmissa "kymmenien" koontiversioissa korjattiin myös muita tunnettuja BitLockerin puutteita, mutta pääongelma jäi silti. Se on niin absurdia, että se tekee muista innovaatioista merkityksettömiä. Puhumme avainhallinnan periaatteista.

Los Alamos -periaate

BitLocker-asemien salauksen purkamista yksinkertaistaa myös se, että Microsoft edistää aktiivisesti vaihtoehtoista tapaa palauttaa pääsy tietoihin Data Recovery Agentin kautta. "Agentin" tarkoitus on, että se salaa kaikkien yritysverkon asemien salausavaimet yhdellä pääsyavaimella. Kun sinulla on se, voit purkaa minkä tahansa avaimen ja siten minkä tahansa saman yrityksen käyttämän levyn salauksen. Mukava? Kyllä, varsinkin hakkerointiin.

Ajatus yhden avaimen käyttämisestä kaikkiin lukoihin on jo monesti vaarantunut, mutta sitä palautetaan edelleen tavalla tai toisella mukavuuden vuoksi. Näin Ralph Leighton nauhoitti Richard Feynmanin muistot yhdestä ominaisesta jaksosta hänen työstään Manhattan-projektissa Los Alamosin laboratoriossa: ”...Avasin kolme kassakaappia – ja kaikki kolme samalla yhdistelmällä.<…>Käsittelin ne kaikki: avasin kassakaapit, joissa oli kaikki atomipommin salaisuudet - plutoniumin valmistustekniikka, kuvaus puhdistusprosessista, tiedot siitä, kuinka paljon materiaalia tarvitaan, miten pommi toimii, miten neutroneja syntyy, miten pommi toimii, mitkä ovat sen mitat – sanalla sanoen kaikkea, mistä he tiesivät Los Alamosissa, koko keittiön!”.

BitLocker muistuttaa jossain määrin turvallista rakennetta, joka on kuvattu kirjan You're surely Joking toisessa osassa, herra Feynman! Huippusalaisen laboratorion vaikuttavimmassa kassakaapissa oli sama haavoittuvuus kuin yksinkertaisessa arkistokaapissa. "...Tämä oli eversti, ja hänellä oli paljon hienostuneempi, kaksiovinen tallelokero, jossa oli suuret kahvat, jotka vetivät neljä kolme neljäsosa tuumaa paksua terästankoa ulos rungosta.<…>Tutkin yhden vaikuttavan pronssisen oven takaosaa ja huomasin, että kellotaulu oli kytketty pieneen lukkoon, joka näytti täsmälleen samalta kuin Los Alamos -kaapissani oleva lukko.<…>Oli ilmeistä, että vipujärjestelmä riippui samasta pienestä tangosta, joka lukitsi arkistokaapit.<…>. Teeskennellen jonkinlaista toimintaa, aloin kääntää valitsinta satunnaisesti.<…>Kaksi minuuttia myöhemmin - napsauta! - kassakaappi avautui.<…>Kun arkistokaapin kassakaappi tai ylälaatikko on auki, on yhdistelmän löytäminen erittäin helppoa. Juuri tämän tein, kun luit raporttini, vain osoittaakseni sinulle vaaran.".

BitLocker-salaussäiliöt itsessään ovat melko turvallisia. Jos he tuovat sinulle flash-aseman, joka tuli tyhjästä ja on salattu BitLocker To Golla, et todennäköisesti pura sen salausta hyväksyttävässä ajassa. Kuitenkin tosielämän skenaario, jossa käytetään salattuja asemia ja irrotettavaa tietovälinettä, on täynnä haavoittuvuuksia, joita voidaan helposti hyödyntää BitLockerin ohittamiseen.

Mahdolliset haavoittuvuudet

Olet luultavasti huomannut, että joudut odottamaan pitkään, kun aktivoit BitLockerin ensimmäisen kerran. Tämä ei ole yllättävää - sektorikohtainen salausprosessi voi kestää useita tunteja, koska edes teratavun kiintolevyn kaikkien lohkojen lukeminen ei ole mahdollista nopeammin. BitLockerin poistaminen käytöstä tapahtuu kuitenkin lähes välittömästi – miten se voi olla?

Tosiasia on, että kun se on poistettu käytöstä, BitLocker ei pura tietojen salausta. Kaikki sektorit pysyvät salattuina FVEK-avaimella. Tämän avaimen käyttöä ei yksinkertaisesti enää rajoiteta millään tavalla. Kaikki tarkistukset poistetaan käytöstä, ja VMK säilyy metatietojen seassa selkeänä tekstinä. Joka kerta kun käynnistät tietokoneen, käyttöjärjestelmän käynnistyslatain lukee VMK:n (tarkistamatta TPM:ää, kysymättä avainta flash-asemalla tai salasanaa), purkaa automaattisesti FVEK:n salauksen sen avulla ja sitten kaikki tiedostot, kun niitä käytetään. Käyttäjälle kaikki näyttää täydelliseltä salauksen puutteelta, mutta tarkkaavaisin voi huomata levyalijärjestelmän suorituskyvyn lievän heikkenemisen. Tarkemmin sanottuna nopeus ei kasva salauksen poistamisen jälkeen.

Tässä kaavassa on muutakin mielenkiintoista. Nimestä (täyden levyn salaustekniikka) huolimatta osa tiedoista jää silti salaamattomiksi käytettäessä BitLockeria. MBR ja BS pysyvät auki (ellei levyä ole alustettu GPT:ssä), sektorit ja metatiedot ovat vahingoittuneet. Avoin käynnistyslatain antaa tilaa mielikuvitukselle. Näennäishuonot sektorit sopivat kätevästi rootkit-ohjelmien ja muiden haittaohjelmien piilottamiseen, ja metatiedot sisältävät paljon mielenkiintoista, kuten avainten kopioita. Jos BitLocker on aktiivinen, ne salataan (mutta heikommin kuin FVEK salaa sektorien sisällön), ja jos ne poistetaan käytöstä, ne ovat yksinkertaisesti tyhjillään. Nämä ovat kaikki mahdollisia hyökkäysvektoreita. Ne ovat potentiaalisia, koska niiden lisäksi on paljon yksinkertaisempia ja yleismaailmallisempia.

Palautusavain

FVEK:n, VMK:n ja SRK:n lisäksi BitLocker käyttää toisen tyyppistä avainta, joka luodaan "varmuuden vuoksi". Nämä ovat palautusavaimia, jotka ovat toinen suosittu hyökkäysvektori. Käyttäjät pelkäävät unohtavansa salasanansa ja menettävän pääsyn järjestelmään, ja Windows itse suosittelee, että he tekevät hätäkirjautumisen. Tätä varten ohjattu BitLocker-salaustoiminto kehottaa sinua luomaan palautusavaimen viimeisessä vaiheessa. Sen luomisesta ei ole mahdollista kieltäytyä. Voit valita vain yhden tärkeimmistä vientivaihtoehdoista, joista jokainen on erittäin haavoittuvainen.

Oletusasetuksissa avain viedään yksinkertaisena tekstitiedostona, jolla on tunnistettavissa oleva nimi: "BitLocker Recovery Key #", jossa tietokoneen tunnus kirjoitetaan # sijaan (kyllä, aivan tiedoston nimessä!). Itse avain näyttää tältä.

Jos unohdit (tai et koskaan tiennyt) BitLockerissa asettamasi salasanan, etsi tiedosto palautusavaimella. Varmasti se tallennetaan nykyisen käyttäjän asiakirjojen joukkoon tai hänen flash-asemaansa. Ehkä se on jopa painettu paperille, kuten Microsoft suosittelee. Odota vain, kunnes kollegasi jää tauolle (unohtaen lukita tietokoneensa, kuten aina) ja aloita haku.

Kirjaudu palautusavaimella

Palautusavaimen löytämiseksi nopeasti on kätevää rajoittaa hakua tunnisteella (txt), luontipäivämäärällä (jos voit kuvitella, milloin BitLocker olisi voinut olla päällä) ja tiedostokoon (1388 tavua, jos tiedostoa ei muokattu). Kun löydät palautusavaimen, kopioi se. Sen avulla voit ohittaa vakiovaltuutuksen BitLockerissa milloin tahansa. Voit tehdä tämän painamalla Esc ja antamalla palautusavain. Kirjaudut sisään ilman ongelmia ja voit jopa vaihtaa BitLocker-salasanasi mukautetun salasanan määrittämättä vanhaa! Tämä muistuttaa jo temppuja "Länsirakennus" -osiosta.

BitLockerin avaaminen

Todellinen salausjärjestelmä on kompromissi mukavuuden, nopeuden ja luotettavuuden välillä. Sen pitäisi tarjota menettelyt läpinäkyvään salaukseen ja nopeaan salauksen purkamiseen, menetelmiä unohtuneiden salasanojen palauttamiseksi ja kätevää avainten käyttöä. Kaikki tämä heikentää kaikkia järjestelmiä riippumatta siitä, mihin vahvoihin algoritmeihin se perustuu. Siksi haavoittuvuuksia ei tarvitse etsiä suoraan Rijndael-algoritmista tai AES-standardin erilaisista järjestelmistä. On paljon helpompi havaita ne tietyn toteutuksen erityispiirteissä.

Microsoftin tapauksessa tällaiset "spesifikat" riittävät. Esimerkiksi BitLocker-avaimien kopiot lähetetään SkyDriveen ja tallennetaan oletusarvoisesti Active Directoryyn. Minkä vuoksi? Entä jos menetät ne... tai agentti Smith kysyy. On hankalaa pitää asiakasta odottamassa, saati agenttia.

Tästä syystä AES-XTS:n ja AES-CBC:n kryptografisen vahvuuden vertailu Elephant Diffuserin kanssa häipyy taustalle, samoin kuin suositukset avaimen pituuden lisäämiseksi. Riippumatta siitä, kuinka pitkä se on, hyökkääjä voi helposti saada sen salaamattomassa muodossa.

Suljettujen avainten hankkiminen Microsoft- tai AD-tililtä on tärkein tapa murtaa BitLocker. Jos käyttäjä ei ole rekisteröinyt tiliä Microsoft-pilveen ja hänen tietokoneensa ei ole toimialueella, salausavaimet voidaan silti purkaa. Normaalin toiminnan aikana niiden avoimet kopiot tallennetaan aina RAM-muistiin (muuten "läpinäkyvää salausta" ei olisi). Tämä tarkoittaa, että ne ovat saatavilla sen vedos- ja lepotilatiedostossa.

Miksi niitä ylipäätään pidetään siellä? Ei ole väliä kuinka hauskalta se näyttää - mukavuuden vuoksi. BitLocker on suunniteltu suojaamaan vain offline-hyökkäyksiltä. Niihin liittyy aina uudelleenkäynnistys ja levyn yhdistäminen toiseen käyttöjärjestelmään, mikä johtaa RAM-muistin tyhjentämiseen. Oletusasetuksissa käyttöjärjestelmä kuitenkin tyhjentää RAM-muistin kaatumisen sattuessa (joka voidaan aiheuttaa) ja kirjoittaa sen koko sisällön horrostiedostoon aina, kun tietokone menee syvään uneen. Siksi, jos kirjauduit äskettäin Windowsiin BitLockerin ollessa käytössä, on hyvä mahdollisuus, että saat VMK-avaimen salauksen puretun kopion ja käytät sitä FVEK:n ja sitten itse tietojen salauksen purkamiseen ketjussa. Tarkastetaanko?

Kaikki yllä kuvatut BitLocker-hakkerointimenetelmät on koottu yhteen ohjelmaan - Forensic Disk Decryptor, jonka on kehittänyt kotimainen yritys Elcomsoft. Se voi automaattisesti noutaa salausavaimet ja liittää salattuja taltioita virtuaalilevyiksi ja purkaa niiden salauksen lennossa.

Lisäksi EFDD toteuttaa toisen ei-triviaalin avainten hankkimismenetelmän - hyökkäyksen FireWire-portin kautta, jota on suositeltavaa käyttää tapauksissa, joissa ohjelmistoasi ei ole mahdollista ajaa hyökkäyksen kohteena olevassa tietokoneessa. Asennamme aina itse EFDD-ohjelman tietokoneellemme ja hakkeroitavalla tietokoneella yritämme tehdä mahdollisimman vähän tarvittavia vaiheita.

Esimerkiksi, käynnistetään vain testijärjestelmä BitLockerin ollessa aktiivinen ja otetaan "hiljaisesti" muistivedos. Joten simuloimme tilannetta, jossa kollega meni lounaalle eikä lukinnut tietokonettaan. Käynnistämme RAM Capturen, ja alle minuutissa saamme täydellisen vedostiedoston tiedostossa, jonka laajennus on .mem ja jonka koko vastaa uhrin tietokoneeseen asennetun RAM-muistin määrää.

Muistivedosten tekeminen

Yleisesti ottaen sillä ei ole väliä, mitä teet kaatopaikalle. Latenteesta riippumatta tämä johtaa binääritiedostoon, jonka EFDD analysoi automaattisesti avaimia etsiessään.

Kirjoitamme dumpin muistitikulle tai siirrämme sen verkon kautta, minkä jälkeen istumme tietokoneellemme ja käynnistämme EFDD:n.

Valitse "Extract keys" -vaihtoehto ja anna polku muistivedostiedostoon avainlähteeksi.

Avainlähteen määrittäminen

BitLocker on tyypillinen salaussäilö, kuten PGP Disk tai TrueCrypt. Nämä kontit osoittautuivat sinänsä varsin luotettaviksi, mutta niiden kanssa työskentelemiseen Windowsissa toimivat asiakassovellukset roskaavat RAM-muistin salausavaimia. Siksi EFDD toteuttaa yleismaailmallisen hyökkäysskenaarion. Ohjelma löytää välittömästi salausavaimet kaikista kolmesta suositusta salaussäiliötyypistä. Siksi voit jättää kaikki ruudut rastiiksi, jos uhri käyttää salaa TrueCryptiä tai PGP:tä!

Muutaman sekunnin kuluttua Elcomsoft Forensic Disk Decryptor näyttää kaikki löydetyt avaimet ikkunassaan. Mukavuuden vuoksi voit tallentaa ne tiedostoon - tästä on hyötyä tulevaisuudessa.

Nyt BitLocker ei ole enää ongelma! Voit suorittaa klassisen offline-hyökkäyksen - esimerkiksi ottaa työtoverin kiintolevyn ja kopioida sen sisällön. Voit tehdä tämän kytkemällä sen tietokoneeseesi ja suorittamalla EFDD:n "purkaa tai liitä levy" -tilassa.

Kun olet määrittänyt polun tiedostoihin tallennetuilla avaimilla, EFDD suorittaa valinnan mukaan taltion täydellisen salauksen purkamisen tai avaa sen välittömästi virtuaalilevynä. Jälkimmäisessä tapauksessa tiedostojen salaus puretaan, kun niitä käytetään. Joka tapauksessa alkuperäiseen volyymiin ei tehdä muutoksia, joten seuraavana päivänä voit palauttaa sen ikään kuin mitään ei olisi tapahtunut. Työskentely EFDD:n kanssa tapahtuu ilman jälkiä ja vain kopioiden avulla, joten se pysyy näkymättömänä.

BitLocker To Go

Windows 7:stä alkaen tuli mahdolliseksi salata flash-asemat, USB-kiintolevyt ja muut ulkoiset tietovälineet. BitLocker To Go -niminen tekniikka salaa irrotettavat asemat samalla tavalla kuin paikalliset asemat. Salaus otetaan käyttöön käyttämällä Explorer-kontekstivalikon asianmukaista kohtaa.

Uusissa asemissa voit käyttää vain varatun alueen salausta - joka tapauksessa osion vapaa tila on täynnä nollia, eikä siellä ole mitään salattavaa. Jos asemaa on jo käytetty, on suositeltavaa ottaa siinä käyttöön täysi salaus. Muussa tapauksessa vapaaksi merkitty sijainti pysyy salaamattomana. Se voi sisältää äskettäin poistettuja tiedostoja, joita ei ole vielä kirjoitettu päälle.

Jopa vain varatun alueen nopea salaus kestää useista minuuteista useisiin tunteihin. Tämä aika riippuu datan määrästä, rajapinnan kaistanleveydestä, aseman ominaisuuksista ja prosessorin salauslaskennan nopeudesta. Koska salaukseen liittyy pakkaaminen, salatun levyn vapaa tila yleensä kasvaa hieman.

Kun seuraavan kerran liität salatun flash-aseman mihin tahansa tietokoneeseen, jossa on Windows 7 tai uudempi, ohjattu BitLocker-toiminto kutsutaan automaattisesti avaamaan aseman lukitus. Explorerissa se näkyy lukittuna levynä ennen lukituksen avaamista.

Täällä voit käyttää sekä jo käsiteltyjä vaihtoehtoja BitLockerin ohittamiseksi (esimerkiksi VMK-avaimen etsiminen muistivedos- tai lepotilatiedostosta) että uusia palautusavaimiin liittyviä vaihtoehtoja.

Jos et tiedä salasanaa, mutta onnistuit löytämään yhden avaimista (manuaalisesti tai käyttämällä EFDD:tä), salatun flash-aseman käyttämiseen on kaksi päävaihtoehtoa:

käytä sisäänrakennettua ohjattua BitLocker-toimintoa työskennelläksesi suoraan flash-aseman kanssa;
käytä EFDD:tä flash-aseman salauksen täydelliseen purkamiseen ja sen sektorikohtaisen kuvan luomiseen.

Ensimmäisen vaihtoehdon avulla voit käyttää välittömästi flash-asemaan tallennettuja tiedostoja, kopioida tai muuttaa niitä ja myös kirjoittaa omia. Toinen vaihtoehto kestää paljon kauemmin (puolesta tunnista), mutta sillä on etunsa. Purettu sektorikohtainen kuva mahdollistaa tiedostojärjestelmän tarkemman analyysin suorittamisen oikeuslääketieteellisen laboratorion tasolla. Tässä tapauksessa itse flash-asemaa ei enää tarvita, ja se voidaan palauttaa muuttumattomana.

Tuloksena oleva kuva voidaan avata välittömästi missä tahansa IMA-muotoa tukevassa ohjelmassa tai muuntaa ensin toiseen muotoon (esimerkiksi UltraISO:lla).

BitLocker2Gon palautusavaimen havaitsemisen lisäksi EFDD tukee tietysti myös kaikkia muita BitLockerin ohitusmenetelmiä. Käy vain läpi kaikki käytettävissä olevat vaihtoehdot peräkkäin, kunnes löydät minkä tahansa tyyppisen avaimen. Loput (FVEK:iin asti) puretaan ketjua pitkin, ja saat täyden pääsyn levyyn.

johtopäätöksiä

BitLocker-täyden levyn salaustekniikka vaihtelee Windows-versioiden välillä. Riittävän konfiguroinnin jälkeen sen avulla voit luoda kryptosäilöjä, jotka ovat teoriassa vahvuudeltaan verrattavissa TrueCryptiin tai PGP:hen. Windowsiin sisäänrakennettu mekanismi avainten kanssa työskentelyä varten kumoaa kuitenkin kaikki algoritmiset temput. Erityisesti VMK-avain, jota käytetään pääavaimen salauksen purkamiseen BitLockerissa, palautetaan EFDD:n avulla muutamassa sekunnissa suljetusta kaksoiskappaleesta, muistivedosta, horrostiedostosta tai FireWire-porttihyökkäyksestä.

Kun sinulla on avain, voit suorittaa klassisen offline-hyökkäyksen, kopioida hiljaa ja purkaa automaattisesti kaikki tiedot "suojatulla" levyllä. Siksi BitLockeria tulisi käyttää vain yhdessä muiden suojaustoimenpiteiden kanssa: Encrypting File System (EFS), Rights Management Service (RMS), Ohjelman käynnistyksen valvonta, Laitteen asennus ja Liitteiden valvonta sekä tiukemmat paikalliset käytännöt ja yleiset turvatoimenpiteet.

Monet ihmiset käyttävät Windowsin salausominaisuutta, mutta kaikki eivät ajattele tämän tietosuojamenetelmän turvallisuutta. Tänään puhumme Bitlocker-salauksesta ja yritämme selvittää, kuinka hyvin Windowsin levysuojaus on toteutettu.

Muuten, voit lukea Bitlockerin määrittämisestä artikkelista "".

Esipuhe
Kuinka Bitlocker toimii?

Haavoittuvuudet
Palautusavaimet
BitLockerin avaaminen
BitLocker To Go

Johtopäätös

Artikkeli on kirjoitettu tutkimustarkoituksiin. Kaikki siinä olevat tiedot ovat vain tiedoksi. Se on osoitettu turvallisuusasiantuntijoille ja niille, jotka haluavat tulla sellaisiksi.

Kuinka Bitlocker toimii?

Mikä on Bitlocker?

BitLocker on natiivi levyn salausominaisuus käyttöjärjestelmissä Windows 7, 8, 8.1, 10. Tämän toiminnon avulla voit turvallisesti salata luottamuksellisia tietoja tietokoneellasi, sekä kiintolevyllä että SSD:llä ja irrotettavalla tietovälineellä.

Kuinka BitLocker toimii?

Kun BitLocker on aktivoitu, pääbittisekvenssi luodaanla. Tämä on volyymin salausavain - FVEK (täyden volyymin salausavain). Tämän avulla kunkin sektorin sisältö on nyt salattu.
FVEK puolestaan salataan toisella avaimella - VMK:lla (volume master key) - ja tallennetaan salatussa muodossa taltion metatietojen joukkoon.
Myös itse VMK on salattu, mutta eri tavoilla käyttäjän harkinnan mukaan.
Uusilla emolevyillä VMK-avain salataan oletusarvoisesti SRK-avaimella (tallennusjuuriavaimella), joka on tallennettu erilliseen kryptoprosessoriin - Truted Platform Module (TPM). Käyttäjällä ei ole pääsyä TPM-sisältöön, ja se on yksilöllinen jokaiselle tietokoneelle.
Jos levyllä ei ole erillistä TPM-sirua, VMK-avaimen salaamiseen käytetään SRK:n sijaan käyttäjän syöttämää PIN-koodia tai on-demand USB-muistitikkua, johon on valmiiksi tallennettu avaintiedot.
TPM:n tai flash-aseman lisäksi voit suojata VMK-avaimen salasanalla.

Tämä yleinen BitLocker-toiminnan malli jatkui myöhemmissä Windowsin julkaisuissa tähän päivään asti. BitLockerin avainten luontimenetelmät ja salaustilat ovat kuitenkin muuttuneet. Joten lokakuussa 2014 Microsoft poisti hiljaa Elephant Diffuser -lisäalgoritmin jättäen vain AES-CBC-järjestelmän tunnetuineen puutteineen. Aluksi asiasta ei annettu virallisia lausuntoja. Ihmisille yksinkertaisesti annettiin heikennetty salaustekniikka samalla nimellä päivityksen varjolla. Epämääräiset selitykset tälle vaiheelle seurasivat sen jälkeen, kun riippumattomat tutkijat huomasivat yksinkertaistuksia BitLockerissa.

Toinen, epävirallinen versio näyttää realistisemmalta. "Elefantti" häiritsi työntekijöitä, jotka halusivat käyttää vähemmän vaivaa seuraavan levyn salauksen purkamiseen, ja Microsoft on mielellään vuorovaikutuksessa viranomaisten kanssa myös tapauksissa, joissa heidän pyyntönsä eivät ole täysin laillisia. Salaliittoteorian vahvistaa epäsuorasti se, että ennen Windows 8:aa salausavaimia luotaessa BitLockerissa käytettiin Windowsiin sisäänrakennettua näennäissatunnaislukugeneraattoria. Monissa (ellei kaikissa) Windowsin julkaisuissa tämä oli Dual_EC_DRBG – Yhdysvaltain kansallisen turvallisuusviraston kehittämä ”salauksen vahva PRNG”, joka sisältää useita luontaisia haavoittuvuuksia.

Ajatus yhden avaimen käyttämisestä kaikkiin lukoihin on jo monesti vaarantunut, mutta sitä palautetaan edelleen tavalla tai toisella mukavuuden vuoksi. Näin Ralph Leighton kirjoitti muistiin Richard Feynmanin muistot yhdestä ominaisesta jaksosta hänen työssään Manhattan-projektissa Los Alamosin laboratoriossa: "... Avasin kolme kassakaappia - ja kaikki kolme samalla yhdistelmällä. Käsittelin ne kaikki: avasin kassakaapit, joissa oli kaikki atomipommin salaisuudet - plutoniumin valmistustekniikka, kuvaus puhdistusprosessista, tiedot siitä, kuinka paljon materiaalia tarvitaan, miten pommi toimii, miten neutroneja syntyy, miten pommi toimii, mitkä ovat sen mitat - sanalla sanoen kaikki, mistä he tiesivät Los Alamosissa, koko keittiö!

BitLocker muistuttaa jossain määrin turvallista rakennetta, joka on kuvattu kirjan You're surely Joking toisessa osassa, herra Feynman! Huippusalaisen laboratorion vaikuttavimmassa kassakaapissa oli sama haavoittuvuus kuin yksinkertaisessa arkistokaapissa. ”...Hän oli eversti, ja hänellä oli paljon hienostuneempi, kaksiovinen tallelokero, jossa oli suuret kahvat, jotka vetivät neljä kolme neljäsosa tuumaa paksua terästankoa ulos rungosta. Tutkin yhden vaikuttavan pronssisen oven takaosaa ja huomasin, että digitaalinen kellotaulu oli kytketty pieneen lukkoon, joka näytti täsmälleen samalta kuin Los Alamos -kaapini lukko. Oli ilmeistä, että vipujärjestelmä riippui samasta pienestä tangosta, joka lukitsi arkistokaapit... Aloin kääntää valitsinta satunnaisesti teeskennellen tekeväni jotain. Kaksi minuuttia myöhemmin - napsauta! - kassakaappi avautui. Kun arkistokaapin kassakaappi tai ylälaatikko on auki, on yhdistelmän löytäminen erittäin helppoa. Juuri tämän tein, kun luit raporttini, vain osoittaakseni sinulle vaaran."

BitLockerin haavoittuvuudet

Olet luultavasti huomannut, että kun aktivoit Bitlockerin ensimmäistä kertaa, joudut odottamaan pitkään. Tämä ei ole yllättävää - sektorikohtainen salausprosessi voi kestää useita tunteja, koska edes teratavun kiintolevyn kaikkien lohkojen lukeminen ei ole mahdollista nopeammin. BitLockerin poistaminen käytöstä tapahtuu kuitenkin lähes välittömästi – miten se voi olla?

Tosiasia on, että kun se on poistettu käytöstä, Bitlocker ei pura tietojen salausta. Kaikki sektorit pysyvät salattuina FVEK-avaimella. Tämän avaimen käyttöä ei yksinkertaisesti enää rajoiteta millään tavalla. Kaikki tarkistukset poistetaan käytöstä, ja VMK säilyy metatietojen seassa selkeänä tekstinä. Joka kerta kun käynnistät tietokoneen, käyttöjärjestelmän käynnistyslatain lukee VMK:n (tarkistamatta TPM:ää, kysymättä avainta flash-asemalla tai salasanaa), purkaa automaattisesti FVEK:n salauksen sen avulla ja sitten kaikki tiedostot, kun niitä käytetään. Käyttäjälle kaikki näyttää täydelliseltä salauksen puutteelta, mutta tarkkaavaisin voi huomata levyalijärjestelmän suorituskyvyn lievän heikkenemisen. Tarkemmin sanottuna nopeus ei kasva salauksen poistamisen jälkeen.

Tässä kaavassa on muutakin mielenkiintoista. Nimestä (täyden levyn salaustekniikka) huolimatta osa tiedoista jää silti salaamattomiksi käytettäessä BitLockeria. MBR ja BS pysyvät auki (ellei levyä ole alustettu GPT:ssä), sektorit ja metatiedot ovat vahingoittuneet. Avoin käynnistyslatain antaa tilaa mielikuvitukselle. Näennäishuonot sektorit sopivat muiden haittaohjelmien piilottamiseen, ja metatiedot sisältävät paljon mielenkiintoista, kuten avainten kopioita. Jos Bitlocker on aktiivinen, ne salataan (mutta heikommin kuin FVEK salaa sektorien sisällön), ja jos se poistetaan käytöstä, ne ovat yksinkertaisesti tyhjissä. Nämä ovat kaikki mahdollisia hyökkäysvektoreita. Ne ovat potentiaalisia, koska niiden lisäksi on paljon yksinkertaisempia ja yleismaailmallisempia.

Bitlocker-palautusavain

Jos unohdit (tai et tiennyt) BitLocker-salasanasi, etsi palautusavaintiedosto. Varmasti se tallennetaan nykyisen käyttäjän asiakirjojen joukkoon tai hänen flash-asemaansa. Ehkä se on jopa painettu paperille, kuten Microsoft suosittelee.

Palautusavaimen löytämiseksi nopeasti on kätevää rajoittaa hakua tunnisteella (txt), luontipäivämäärällä (jos tiedät suunnilleen milloin BitLocker olisi voitu ottaa käyttöön) ja tiedostokoon (1388 tavua, jos tiedostoa ei muokattu). Kun löydät palautusavaimen, kopioi se. Sen avulla voit ohittaa tavallisen BitLocker-valtuutuksen milloin tahansa. Voit tehdä tämän painamalla Esc ja antamalla palautusavain. Kirjaudut sisään ilman ongelmia ja voit jopa vaihtaa BitLocker-salasanasi mukautetun salasanan määrittämättä vanhaa!

BitLockerin avaaminen

Todellinen kryptografinen järjestelmä on kompromissi mukavuuden, nopeuden ja luotettavuuden välillä. Sen pitäisi tarjota menettelyt läpinäkyvään salaukseen ja nopeaan salauksen purkamiseen, menetelmiä unohtuneiden salasanojen palauttamiseksi ja kätevää avainten käyttöä. Kaikki tämä heikentää kaikkia järjestelmiä riippumatta siitä, mihin vahvoihin algoritmeihin se perustuu. Siksi haavoittuvuuksia ei tarvitse etsiä suoraan Rijndael-algoritmissa tai erilaisissa AES-standardin malleissa. On paljon helpompi havaita ne tietyn toteutuksen erityispiirteissä.

Microsoftin tapauksessa tällaiset "spesifikat" riittävät. Esimerkiksi BitLocker-avaimien kopiot lähetetään SkyDriveen ja tallennetaan oletusarvoisesti Active Directoryyn.

Entä jos menetät ne... tai agentti Smith kysyy. On hankalaa saada asiakas odottamaan, ja vielä enemmän agentti. Tästä syystä vertailu kryptografinen vahvuus AES-XTS ja AES-CBC Elephant Diffuser -hajottimella hämärtyvät, samoin kuin suositukset avaimen pituuden lisäämiseksi. Riippumatta siitä, kuinka pitkä se on, hyökkääjä saa sen helposti sisään salaamaton muotoa.

Sulattujen avainten hankkiminen Microsoft- tai AD-tililtä on ensisijainen tapa murtaa BitLocker. Jos käyttäjä ei ole rekisteröinyt tiliä Microsoft-pilveen ja hänen tietokoneensa ei ole toimialueella, salausavaimet voidaan silti purkaa. Normaalin toiminnan aikana niiden avoimet kopiot tallennetaan aina RAM-muistiin (muuten "läpinäkyvää salausta" ei olisi). Tämä tarkoittaa, että ne ovat saatavilla sen vedos- ja lepotilatiedostossa.

Miksi niitä edes säilytetään siellä?

Ei ole väliä kuinka hauskalta se näyttää - mukavuuden vuoksi. BitLocker on suunniteltu suojaamaan vain offline-hyökkäyksiltä. Niihin liittyy aina uudelleenkäynnistys ja levyn yhdistäminen toiseen käyttöjärjestelmään, mikä johtaa RAM-muistin tyhjentämiseen. Oletusasetuksissa käyttöjärjestelmä kuitenkin tyhjentää RAM-muistin vian sattuessa (joka voidaan laukaista) ja kirjoittaa sen koko sisällön horrostiedostoon aina, kun tietokone menee syvään uneen. Siksi, jos olet äskettäin kirjautunut Windowsiin BitLockerin ollessa käytössä, on hyvä mahdollisuus, että saat VMK-avaimen salauksen puretun kopion ja käytät sitä FVEK:n ja sitten itse tietojen salauksen purkamiseen ketjussa.

Tarkastetaanko? Kaikki yllä kuvatut BitLocker-hakkerointimenetelmät on koottu yhteen ohjelmaan - Forensic Disk Decryptor, jonka on kehittänyt kotimainen yritys Elcomsoft. Se voi automaattisesti noutaa salausavaimet ja liittää salattuja taltioita virtuaalilevyiksi ja purkaa niiden salauksen lennossa.

Lisäksi EFDD toteuttaa toisen ei-triviaalin tavan hankkia avaimet - hyökkäyksen FireWire-portin kautta, jota suositellaan käytettäväksi tapauksissa, joissa ohjelmistoasi ei ole mahdollista ajaa hyökkäyksen kohteena olevassa tietokoneessa. Asennamme aina itse EFDD-ohjelman tietokoneellemme ja hakkeroitavassa tietokoneessa yritämme tehdä mahdollisimman vähän tarvittavia vaiheita.

Yleisesti ottaen sillä ei ole väliä, mitä teet kaatopaikalle. Latenteesta riippumatta tämä johtaa binääritiedostoon, jonka EFDD analysoi automaattisesti avaimia etsiessään.

Kirjoitamme dumpin muistitikulle tai siirrämme sen verkon kautta, minkä jälkeen istumme tietokoneellemme ja käynnistämme EFDD:n.

Valitse "Extract keys" -vaihtoehto ja anna polku muistivedostiedostoon avainlähteeksi.

BitLocker on tyypillinen salaussäilö, kuten PGP Disk tai TrueCrypt. Nämä kontit osoittautuivat sinänsä varsin luotettaviksi, mutta niiden kanssa työskentelemiseen Windowsissa toimivat asiakassovellukset roskaavat RAM-muistin salausavaimia. Siksi EFDD toteuttaa yleismaailmallisen hyökkäysskenaarion. Ohjelma löytää välittömästi salausavaimet kaikista kolmesta suositusta salaussäiliötyypistä. Siksi voit jättää kaikki ruudut rastiiksi siltä varalta, että uhri käyttää salaa PGP:tä!

Muutaman sekunnin kuluttua Elcomsoft Forensic Disk Decryptor näyttää kaikki löydetyt avaimet ikkunassaan. Mukavuuden vuoksi voit tallentaa ne tiedostoon - tästä on hyötyä tulevaisuudessa.

Nyt BitLocker ei ole enää ongelma! Voit suorittaa klassisen offline-hyökkäyksen - esimerkiksi poistaa kiintolevyn ja kopioida sen sisällön. Voit tehdä tämän liittämällä sen tietokoneeseesi ja suorittamalla EFDD:n "pura tai liitä levy" -tilassa.

BitLocker To Go

Jos et tiedä salasanaa, mutta onnistuit löytämään yhden avaimista (manuaalisesti tai käyttämällä EFDD:tä), salatun flash-aseman käyttämiseen on kaksi päävaihtoehtoa:

käytä sisäänrakennettua ohjattua BitLocker-toimintoa työskennelläksesi suoraan flash-aseman kanssa;
käytä EFDD:tä flash-aseman salauksen täydelliseen purkamiseen ja sen sektorikohtaisen kuvan luomiseen.

Tuloksena oleva kuva voidaan avata välittömästi missä tahansa IMA-muotoa tukevassa ohjelmassa tai muuntaa ensin toiseen muotoon (esimerkiksi UltraISO:lla).

Johtopäätös

Kun sinulla on avain, voit suorittaa klassisen offline-hyökkäyksen, kopioida hiljaa ja purkaa automaattisesti kaikki tiedot "suojatulla" asemalla. Siksi BitLockeria tulisi käyttää vain yhdessä muiden suojaustoimenpiteiden kanssa: Encrypting File System (EFS), Rights Management Service (RMS), Ohjelman käynnistyksen valvonta, Laitteen asennus ja Liitteiden valvonta sekä tiukemmat paikalliset käytännöt ja yleiset turvatoimenpiteet.

Artikkelissa käytetään materiaalia sivustolta:

Ja suojaa arkaluonteisia tietoja. Asetamme salasanan tavallisella Windows-sovelluksella - BitLocker. Tämä on erittäin vahva salausjärjestelmä, joka auttaa estämään luvattoman pääsyn flash-asemaltasi oleviin tietoihin. Jos haluat laittaa salasanan flash-asemaan, suosittelen tätä menetelmää sinulle.

Mutta monet käyttäjät asettavat salasanan flash-asemaan, joka on ainoa talossa ja jota käytetään yleisten ongelmien ratkaisemiseen. Joku soittaa siitä musiikkia autossa, joku katsoo elokuvia televisiosta tai laittaa sen pelikonsoliin. Siksi kaikki nämä toimet ovat mahdottomia, kun tietosi on salattu BitLockerilla. Tämä tarkoittaa, että sinun on poistettava BitLocker käytöstä ja avattava flash-asemasi lukitus. Mutta kuinka BitLocker poistetaan käytöstä ja voidaanko tämä tehdä sisäänrakennetuilla Windowsin työkaluilla?

Kyllä, voit poistaa tietojen salauksen käytöstä flash-asemassa ja tehdä sen yksinkertaisesti. Ja jos et tiedä miten tämä tehdään, annan sinulle yksinkertaiset ja ymmärrettävät ohjeet. Tietoja ei tarvitse poistaa tai siirtää tietokoneelle ennen salauksen purkamista, ne jäävät kaikki muistitikulle, suojaus yksinkertaisesti poistetaan.

Kuinka poistaa BitLocker käytöstä:

1Aseta flash-asema tietokoneeseen, avaa se ja anna salasana päästäksesi käsiksi sen sisältöön. Nyt sinun on siirryttävä Ohjauspaneeliin. Voit tehdä tämän Käynnistä-painikkeella tai pitämällä win+R-painikkeita painettuna ja kirjoittamalla "control"-komennon näkyviin tulevalle riville.
Ohjauspaneelissa meidän on siirryttävä "Järjestelmä ja suojaus" -valikkoon
Nyt sinun on löydettävä ja valittava "BitLocker Drive Encryption"
Tässä vaiheessa sinun on löydettävä salasanan muodossa flash-asema, johon suojaus on asennettu. Tämän jälkeen näet "Poista BitLocker käytöstä" -vaihtoehdon, joka sinun on valittava.
Odota, kunnes levyn salaus on purettu. Toimenpide voi kestää kauan, kaikki riippuu levyllä olevien tiedostojen määrästä. Kun se on valmis, suojaus poistetaan flash-asemasta ja voit käyttää sitä normaalisti.

Windows 7 -käyttöjärjestelmän julkaisun myötä monet käyttäjät kohtasivat sen tosiasian, että siihen ilmestyi hieman käsittämätön BitLocker-palvelu. Mikä BitLocker on, monet voivat vain arvailla. Yritetään selventää tilannetta konkreettisilla esimerkeillä. Matkan varrella pohdimme kysymyksiä siitä, kuinka tarkoituksenmukaista on aktivoida tämä komponentti tai poistaa se kokonaan käytöstä.

BitLocker: mikä on BitLocker, miksi tätä palvelua tarvitaan

Jos katsot sitä, BitLocker on universaali ja täysin automatisoitu työkalu kiintolevylle tallennettujen tietojen tallentamiseen. Mikä on BitLocker kiintolevyllä? Kyllä, vain palvelu, joka suojaa tiedostoja ja kansioita ilman käyttäjän toimia salaamalla ne ja luomalla erityisen tekstiavaimen, joka tarjoaa pääsyn asiakirjoihin.

Kun käyttäjä työskentelee järjestelmässä omalla tilillään, hän ei välttämättä edes huomaa, että tiedot ovat salattuja, koska tiedot näytetään luettavassa muodossa, eikä pääsyä tiedostoihin ja kansioihin ole estetty. Toisin sanoen tällainen suojaustyökalu on suunniteltu vain niihin tilanteisiin, joissa tietokonepäätteeseen päästään, esimerkiksi yritettäessä häiritä ulkopuolelta (Internet-hyökkäys).

Salasana- ja salausongelmat

Jos kuitenkin puhumme siitä, mikä BitLocker on Windows 7:ssä tai korkeamman tason järjestelmissä, on syytä huomata epämiellyttävä tosiasia, että jos he menettävät kirjautumissalasanansa, monet käyttäjät eivät vain voi kirjautua järjestelmään, vaan myös suorittaa joitain selaustoimintoja. asiakirjat, jotka olivat aiemmin olleet kopioitavissa, siirrettävissä jne.

Mutta siinä ei vielä kaikki. Jos tarkastellaan kysymystä siitä, mikä BitLocker Windows 8 tai 10 on, niin merkittäviä eroja ei ole, paitsi että niissä on edistyneempi salaustekniikka. Ongelma on tässä selvästi erilainen. Tosiasia on, että itse palvelu pystyy toimimaan kahdessa tilassa tallentamalla salauksen purkuavaimet joko kiintolevylle tai irrotettavalle USB-asemalle.

Tämä ehdottaa yksinkertaisinta johtopäätöstä: jos avain on tallennettu kiintolevylle, käyttäjä pääsee käsiksi kaikkiin siihen tallennettuihin tietoihin ilman ongelmia. Mutta kun avain tallennetaan muistitikulle, ongelma on paljon vakavampi. Periaatteessa näet salatun levyn tai osion, mutta et voi lukea tietoja.

Lisäksi, jos puhumme siitä, mikä BitLocker on Windows 10:ssä tai aiemmissa järjestelmissä, emme voi olla huomaamatta sitä tosiasiaa, että palvelu on integroitu minkä tahansa tyyppiseen hiiren kakkospainikkeen kontekstivalikkoon, mikä on yksinkertaisesti ärsyttävää monille käyttäjille. Mutta älkäämme menkö eteenpäin, vaan harkitsemme kaikkia tämän komponentin toimintaan liittyviä tärkeimpiä näkökohtia ja sen käytön tai deaktivoinnin suositeltavuutta.

Levyjen ja siirrettävien tietovälineiden salausmenetelmä

Outointa on, että eri järjestelmissä ja niiden muokkauksissa BitLocker-palvelu voi oletuksena olla sekä aktiivisessa että passiivisessa tilassa. "Seitsemässä" se on oletuksena käytössä kahdeksannessa ja kymmenennessä versiossa, manuaalinen aktivointi vaaditaan joskus.

Mitä tulee salaukseen, tässä ei ole keksitty mitään erityisen uutta. Pääsääntöisesti käytetään samaa julkiseen avaimeen perustuvaa AES-tekniikkaa, jota käytetään useimmiten yritysverkoissa. Siksi, jos tietokoneesi, jossa on sopiva käyttöjärjestelmä, on kytketty paikalliseen verkkoon, voit olla varma, että soveltuva tietoturva- ja tietosuojakäytäntö edellyttää tämän palvelun aktivointia. Ilman järjestelmänvalvojan oikeuksia (vaikka aloittaisit asetusten muuttamisen järjestelmänvalvojana) et voi muuttaa mitään.

Ota BitLocker käyttöön, jos palvelu on poistettu käytöstä

Ennen kuin käsittelet BitLockeriin liittyvää ongelmaa (palvelun poistaminen käytöstä, sen komentojen poistaminen pikavalikosta), tarkastellaan käyttöönottoa ja määrittämistä, varsinkin kun deaktivointivaiheet on suoritettava käänteisessä järjestyksessä.

Salaus otetaan käyttöön yksinkertaisimmalla tavalla "Ohjauspaneelista" valitsemalla osio. Tämä menetelmä on käytettävissä vain, jos avainta ei pitäisi tallentaa siirrettävälle tietovälineelle.

Jos lukittu laite on ei-irrotettava asema, sinun on löydettävä vastaus toiseen BitLocker-palvelua koskevaan kysymykseen: kuinka tämä komponentti poistetaan käytöstä flash-asemassa? Tämä tehdään melko yksinkertaisesti.

Edellyttäen, että avain sijaitsee siirrettävällä tietovälineellä, levyjen ja levyosioiden salauksen purkamiseksi sinun on ensin asetettava se sopivaan porttiin (liittimeen) ja siirryttävä sitten ohjauspaneelin suojausjärjestelmäosioon. Tämän jälkeen löydämme BitLocker-salauskohteen ja tarkastelemme sitten asemia ja tietovälineitä, joihin suojaus on asennettu. Aivan alareunassa näet hyperlinkin salauksen poistamiseksi käytöstä, jota sinun on napsautettava. Jos avain tunnistetaan, salauksen purkuprosessi aktivoituu. Ei jää muuta kuin odottaa sen valmistumista.

Ongelmia ransomware-komponenttien määrittämisessä

Mitä tulee asennukseen, et tule toimeen ilman päänsärkyä. Ensinnäkin järjestelmä tarjoaa vähintään 1,5 Gt:n varaamisen tarpeisiisi. Toiseksi, sinun on säädettävä NTFS-tiedostojärjestelmän käyttöoikeuksia, pienennettävä äänenvoimakkuutta jne. Jotta tällaisia asioita ei tehdä, on parempi poistaa tämä komponentti välittömästi käytöstä, koska useimmat käyttäjät eivät yksinkertaisesti tarvitse sitä. Edes kaikki, joilla tämä palvelu on oletusasetuksissaan käytössä, eivät aina tiedä, mitä sille tehdä tai tarvitaanko sitä ollenkaan. Mutta turhaan. Voit käyttää sitä paikallisen tietokoneesi tietojen suojaamiseen, vaikka sinulla ei olisi virustorjuntaohjelmistoa.

BitLocker: poistaminen käytöstä. Ensimmäinen taso

Käytä jälleen aiemmin määritettyä kohtaa "Ohjauspaneelissa". Järjestelmämuutoksesta riippuen palvelun estokenttien nimet voivat muuttua. Valitussa asemassa voi olla suojauksen keskeytyslinja tai suora osoitus BitLockerin käytöstä poistamiseksi.

Siitä ei ole kysymys. Tässä on syytä kiinnittää huomiota siihen, että sinun on poistettava tietokonejärjestelmän käynnistystiedostot kokonaan käytöstä. Muuten salauksen purkuprosessi voi kestää melko kauan.

Kontekstivalikko

Tämä on vain yksi puoli BitLocker-kolikosta. Mikä BitLocker on, on luultavasti jo selvää. Mutta kääntöpuolena on eristää lisävalikot linkkien läsnäolosta tähän palveluun.

Katsotaanpa tätä varten uudelleen BitLocker. Kuinka poistaa kaikki linkit palveluun? Perus! Kun valitset Resurssienhallinnassa haluamasi tiedoston tai kansion, käytä palveluosiota ja muokkaa vastaavaa kontekstivalikkoa, siirry asetuksiin, käytä sitten komentoasetuksia ja järjestä ne.

Tämän jälkeen syötä rekisterieditorissa HKCR-haara, josta löydämme ROOTDirectoryShell-osion, laajenna se ja poista haluttu elementti painamalla Del-näppäintä tai poista-komentoa hiiren kakkospainikkeen valikosta. Itse asiassa se on viimeinen asia BitLocker-komponentissa. Miten se poistetaan käytöstä, mielestäni on jo selvää. Mutta älä huijaa itseäsi. Kaikesta huolimatta tämä palvelu toimii (varmuuden vuoksi), halusitpa sitä tai et.

Jälkisanan sijaan

On vielä lisättävä, että tämä ei ole kaikki, mitä voidaan sanoa BitLocker-salausjärjestelmän komponentista. Mikä on BitLocker, selvitti kuinka poistaa se käytöstä ja poistaa myös valikkokomennot. Kysymys kuuluu: pitäisikö BitLocker poistaa käytöstä? Tässä voimme antaa vain yhden neuvon: yrityksen paikallisverkossa tätä komponenttia ei saa deaktivoida ollenkaan. Mutta jos se on kotitietokonepääte, miksi ei?