Jak na šifrování dat a ochranu systému - 20. díl

1. 8. 2013

Sdílet

 Autor: © Christian-P. Worring - Fotolia.com
Dnešním dílem seriál o šifrování dat zakončíme. Zaměříme se na proces kontroly integrity bootovacího prostředí a shrneme důležité vlastnosti systému BitLocker.

„Chraňte svá digitální data“, ozývá se ze všech stran. Přesto varování nevnímáme a často zanedbáváme. Omílané téma má své opodstatnění, toho ale doznáme, když už je příliš pozdě. Podívejte se, jak svůj digitální život včas chránit.

 

<< předchozí díl

bitcoin školení listopad 24

 

Kontrola integrity bootovacího prostředí

Součástí čipu TPM je sada registrů (paměťových jednotek). Ty jsou při startu systému vynulovány a postupně se plní daty. Naplňování registrů je zcela závislé na provádění prvotního kódu po spuštění, tedy jedná se o kód BIOSu, obsah MBR (Master Boot Record), kód zavaděče apod. Nakonec se obsah registrů TPM dostane do určitého stavu, který by měl být při každém spuštění počítače stejný (protože se provádí stejná sekvence akcí). Tímto obsahem je šifrován a dešifrován klíč FVEK. Pokud by však útočník změnil jakákoliv data nebo kód, který probíhá po startu, obsah registrů nenabude stejné hodnoty a nerozšifruje se klíč FVEK.

Důležité poznámky o systému BitLocker

  • BitLocker zabraňuje útočníkovi v přístupu k datům v případě krádeže pevného disku nebo celého počítače. Bez patřičné autentifikace se disk neodšifruje.
  • BitLocker rovněž usnadňuje proces likvidace výpočetní techniky. Pokud fyzické ničení disku nepřipadá v úvahu, je nutné data znehodnotit softwarově. Pomocí služby BitLocker tak uživatelé mohou disk pouze zašifrovat a zbavit se šifrovacího klíče.
  • Kontroluje integritu bootovacího prostředí a zabraňuje tak offline modifikaci boot sektoru a systémových dat.
  • Výkon počítače snížen o jednociferný počet procent.
  • BitLocker vyžaduje autentizaci uživatele pouze při startu systému ze stavu hibernace, nikoliv ze stavu spánku.
  • BitLocker To Go je podporován až od verze Windows 7. Na starších systémech je možné zašifrovaná data pouze číst za pomocí program BitLocker To Go Reader.
  • BitLocker využívá symetrickou kryptografii.
  • Podporuje více faktorovu autentifikaci. V případě využití čipu TPM lze nastavit, aby počítač při bootování vyžadoval ještě zadání PINu nebo připojení klíče pro start.