Jak na šifrování dat a ochranu systému - 18. díl

30. 7. 2013

Sdílet

 Autor: © Nikolai Sorokin - Fotolia.com
Část seriálu věnovanou systému BitLocker zakončíme vysvětlením některých technických detailů implementace služby BitLocker.

„Chraňte svá digitální data“, ozývá se ze všech stran. Přesto varování nevnímáme a často zanedbáváme. Omílané téma má své opodstatnění, toho ale doznáme, když už je příliš pozdě. Podívejte se, jak svůj digitální život včas chránit.

 

<< předchozí díl | následující díl >>

 

Jak BitLocker funguje?

Systém BitLocker poskytuje bezpečnost uživatelským datům ve formě šifrování celých diskových oddílů včetně systémového oddílu. Staví na synchronní kryptografii, tedy pro šifrování i dešifrování je využit ten stejný klíč, tzv. FVEK (Full Volume Encrtypion Key). FVEK je však sám uložen na oddíle, který šifruje, tím pádem je nutné jej dále zabezpečit.

K tomu slouží další klíč, tzv. VMK (Volume Master Key), který opět za pomocí symetrické kryptografie FVEK šifruje. Tím však problém nekončí, neboť je nutné nějak zabezpečit VMK, což představuje poslední, tu nejsvrchnější vrstvu zabezpečení systémem BitLocker. V případě systému EFS uživatel obdržel dvojici veřejný a privátní klíč, jež mu byla vygenerována ve formě certifikátu. V případě BitLockeru je však VMK uložen buď na hardwarovém modulu TPM, případně na klíči pro start (USB flash disk) nebo uživatel zadává alfanumerické heslo. Proces dešifrování diskového oddílu je graficky znázorněn na schématu níže.

BitLocker_schema_desifrovani

Co se týká samotného šifrování, BitLocker staví na algoritmu AES-CBS, který je v oblasti kryptografie považován za průmyslový standard. Před šifrováním pomoc AES jsou data zpracována dvěma diffusery, speciálními algoritmy poskytujícími dodatečné ochranné vlastnosti, které samotný AES nenabízí.

bitcoin_skoleni

 

V dalším díle si vysvětlíme, jak pracuje modul TPM a jak jeho činnost souvisí se startem počítače.