„Chraňte svá digitální data“, ozývá se ze všech stran. Přesto varování nevnímáme a často zanedbáváme. Omílané téma má své opodstatnění, toho ale doznáme, když už je příliš pozdě. Podívejte se, jak svůj digitální život včas chránit.
Šifrování ve Windows pomocí nástroje BitLocker
Dalším proprietárním bezpečnostním systémem vyhrazeným pro OS Windows je služba BitLocker. Podobně jako v případě EFS se jedná o ochranu dat formou šifrování a služba je dostupná pouze v OS Windows Vista a 7 Utlimate a Enterprise a Windows 8 Pro a Enterprise. Hlavním úkolem BitLockeru je zamezit útočníkům přístup k datům formou tzv. offline útoku. O principu offline útoku jsme si řekli již v částí věnované systému EFS, jedná se o případ, kdy útočník na inkriminovaném PC nabootuje do jiného operačního systému (nejčastěji do některé linuxové live distribuce), nebo se zmocní harddisku a přistoupí k němu na jiném PC s instalací OS Windows, pod kterým útočník vlastní administrátorský účet.
Jaké jsou tedy hlavní vlastnosti systému BitLocker? BitLocker provádí šifrování pouze celých diskových oddílů a to včetně oddílu s instalací Windows. Šifruje se synchronní kryptografií, přičemž významným bezpečnostním prvkem je vhodně uschovat onen šifrovací klíč. Toho lze dosáhnout několika způsoby, které si blíže popíšeme později. Co víc, BitLocker je schopný provést kontrolu integrity bootovacího prostředí, kódu, který běží ještě před zavedením operačního systému, a dále tak zvyšuje bezpečnost systému proti útokům založeným například na změně kódu zavaděče OS.
Vzhledem k faktu, že po přečtení předchozích dílů již znáte princip systému EFS, se nabízí otázka, jaký je mezi oběma službami rozdíl a kterou z nich na svém zařízení nasadit. V tuto chvíli již můžeme předeslat odpověď, že nejvhodnější je kombinace obou nástrojů, podívejme se však nejprve na zásadní rozdíly EFS a BitLockeru.
BitLocker vs. EFS
- BitLocker šifruje pouze celé diskové oddíly, EFS umí šifrovat i samostatné soubory a data.
- BitLocker umí zašifrovat oddíl s instalací OS Windows a chránit tak systémové soubory včetně souboru hiberfil.sys nesoucího obsah RAM při hibernaci a souboru používaného pro odkládání paměti při stránkování, to EFS neumožňuje.
- BitLocker šifruje na úrovni počítače, nikoliv na úrovni uživatele. Jakmile se tedy při startu systému zašifrovaný disk zpřístupní, BitLocker již dále nekontroluje, který uživatel k datům přistupuje. To je nutné dále ošetřit nástroji souborového systému NTFS (uživatelská práva), případně systémem EFS.
- BitLocker umí kontrolovat integritu bootovacího prostředí a chrání počítač ještě před zavedením operačního systému. Zamezuje tak útočníkům v externí modifikaci systémových souborů.
- Pro zvýšení bezpečnosti BitLocker ukládá klíč na hardwarovém modulu TPM, který je součástí základních desek některých počítačů. Může fungovat i bez TPM, ale bezpečnost je pak nižší.
- EFS podporuje pouze souborový systém NTFS, BitLocker umí pracovat také s FAT16, FAT32 a exFAT.
V dalších dílech si vysvětlíme, jak BitLocker ukládá šifrovací klíč a jaké jsou rozdíly mezi jednotlivými režimy. Připravíme počítač pro zprovoznění služby a pustíme se do praktické ukázky.