آیا امکان دور زدن بیت لاکر وجود دارد؟ درایو سیستم خود را با BitLocker رمزگذاری کنید

با انتشار سیستم عامل ویندوز 7، بسیاری از کاربران با این واقعیت مواجه شدند که یک سرویس بیت لاکر تا حدودی نامفهوم در آن ظاهر شد. BitLocker چیست، بسیاری فقط می توانند حدس بزنند. بیایید سعی کنیم با مثال های خاص وضعیت را روشن کنیم. در طول مسیر، ما سؤالاتی در مورد اینکه چقدر مناسب است این مؤلفه فعال یا غیرفعال شود، بررسی خواهیم کرد.

BitLocker: BitLocker چیست، چرا این سرویس مورد نیاز است

اگر به آن نگاه کنید، BitLocker جهانی و کامل است ابزار خودکارروی هارد دیسک ذخیره می شود. BitLocker در هارد دیسک چیست؟ بله، فقط سرویسی است که از فایل ها و پوشه ها بدون دخالت کاربر با رمزگذاری آنها و ایجاد یک کلید متنی ویژه که دسترسی به اسناد را فراهم می کند، محافظت می کند.

هنگامی که کاربر در سیستم تحت حساب شخصی خود کار می کند، ممکن است حتی متوجه رمزگذاری اطلاعات نشود، زیرا اطلاعات به صورت خوانا نمایش داده می شوند و دسترسی به فایل ها و پوشه ها مسدود نمی شود. به عبارت دیگر، چنین ابزار حفاظتی فقط برای موقعیت هایی طراحی شده است که به ترمینال رایانه دسترسی داشته باشید، به عنوان مثال، هنگام تلاش برای تداخل از خارج (حمله اینترنتی).

مسائل رمز عبور و رمزنگاری

با این حال، اگر در مورد بیت‌لاکر در ویندوز 7 یا سیستم‌های با رتبه بالاتر صحبت کنیم، باید به این واقعیت ناخوشایند اشاره کرد که اگر رمز ورود خود را گم کنند، بسیاری از کاربران نه تنها نمی‌توانند وارد سیستم شوند، بلکه برخی از اقدامات مرورگر را نیز انجام می‌دهند. اسنادی که قبلاً برای کپی کردن، جابجایی و غیره موجود بود.

اما این همه ماجرا نیست. اگر به این سوال نگاه کنید که BitLocker ویندوز 8 یا 10 چیست، تفاوت قابل توجهی وجود ندارد، به جز اینکه آنها دارای فناوری رمزنگاری پیشرفته تری هستند. مشکل اینجا به وضوح متفاوت است. واقعیت این است که خود این سرویس می تواند در دو حالت کار کند و کلیدهای رمزگشایی را روی هارد دیسک یا درایو USB قابل جابجایی ذخیره کند.

این ساده ترین نتیجه را نشان می دهد: اگر کلید روی هارد دیسک ذخیره شود، کاربر بدون مشکل به تمام اطلاعات ذخیره شده روی آن دسترسی پیدا می کند. اما وقتی کلید روی فلش مموری ذخیره می شود، مشکل بسیار جدی تر است. در اصل، شما می توانید یک دیسک یا پارتیشن رمزگذاری شده را ببینید، اما نمی توانید اطلاعات را بخوانید.

علاوه بر این، اگر واقعاً در مورد سیستم های BitLocker ویندوز 10 یا بیشتر صحبت کنیم نسخه های قبلی، نمی توان به این واقعیت توجه کرد که این سرویس در هر نوع منوی زمینه با کلیک راست ادغام شده است که برای بسیاری از کاربران به سادگی آزاردهنده است. اما بیایید از خودمان جلوتر نرویم، بلکه تمام جنبه های اصلی مربوط به عملکرد این مؤلفه و توصیه به استفاده یا غیرفعال کردن آن را در نظر بگیریم.

روش رمزگذاری دیسک ها و رسانه های قابل جابجایی

عجیب ترین چیز این است که در سیستم های مختلف و تغییرات آنها، سرویس BitLocker می تواند به طور پیش فرض در حالت فعال و فعال باشد. حالت غیر فعال. در "هفت" به طور پیش فرض فعال است؛ در نسخه های هشتم و دهم، گاهی اوقات فعال سازی دستی لازم است.

در مورد رمزگذاری، هیچ چیز جدید خاصی در اینجا اختراع نشده است. به عنوان یک قاعده، از همان فناوری AES مبتنی بر کلید عمومی استفاده می شود که اغلب در شبکه های شرکتی استفاده می شود. بنابراین، اگر ترمینال کامپیوتر شما با سیستم عامل مربوطه در برد به آن متصل است شبکه محلی، می توانید مطمئن باشید که سیاست امنیتی و حفاظت از داده های قابل اجرا مستلزم فعال سازی این سرویس است. بدون حقوق سرپرست (حتی اگر به عنوان مدیر شروع به تغییر تنظیمات کنید)، نمی توانید چیزی را تغییر دهید.

اگر سرویس غیرفعال است، BitLocker را فعال کنید

قبل از پرداختن به مشکل مربوط به BitLocker (نحوه غیرفعال کردن سرویس، نحوه حذف دستورات آن از منوی زمینه)، اجازه دهید فعال سازی و پیکربندی را بررسی کنیم، به خصوص که مراحل غیرفعال کردن باید به ترتیب معکوس انجام شود.

فعال کردن رمزگذاری به ساده ترین روش از طریق "کنترل پنل" با انتخاب بخش انجام می شود.

اگر دستگاه قفل شده یک درایو غیر قابل جابجایی است، باید پاسخ سوال دیگری در مورد سرویس BitLocker پیدا کنید: چگونه این مؤلفه را در درایو فلش غیرفعال کنیم؟ این کار کاملاً ساده انجام می شود.

به شرط اینکه کلید بر روی رسانه های قابل جابجایی قرار گرفته باشد، برای رمزگشایی دیسک ها و پارتیشن های دیسک، ابتدا باید آن را در پورت (کانکتور) مناسب قرار دهید و سپس به بخش سیستم امنیتی کنترل پنل بروید. پس از آن، آیتم رمزگذاری BitLocker را پیدا می کنیم و سپس به درایوها و رسانه هایی که محافظ روی آنها نصب شده است نگاه می کنیم. در پایین صفحه یک لینک برای غیرفعال کردن رمزگذاری مشاهده خواهید کرد که باید روی آن کلیک کنید. اگر کلید شناسایی شود، فرآیند رمزگشایی فعال می شود. تنها چیزی که باقی می ماند این است که منتظر تکمیل آن باشیم.

مشکل در پیکربندی اجزای باج افزار

در مورد تنظیم، شما نمی توانید بدون سردرد انجام دهید. در مرحله اول، سیستم پیشنهاد می کند حداقل 1.5 گیگابایت برای نیازهای شما رزرو کند. در مرحله دوم، شما باید مجوزهای فایل را پیکربندی کنید سیستم های NTFS، کاهش حجم صدا و غیره برای جلوگیری از انجام چنین کارهایی، بهتر است فوراً این کامپوننت را غیرفعال کنید، زیرا اکثر کاربران به سادگی به آن نیاز ندارند. حتی همه کسانی که این سرویس را در تنظیمات پیش‌فرض خود فعال کرده‌اند نیز همیشه نمی‌دانند با آن چه کار کنند یا اصلاً به آن نیاز دارند یا خیر. اما بیهوده. حتی اگر نرم افزار ضد ویروس ندارید، می توانید از آن برای محافظت از داده های رایانه محلی خود استفاده کنید.

BitLocker: نحوه غیرفعال کردن مرحله اول

مجدداً از مورد مشخص شده قبلی در "کنترل پنل" استفاده کنید. بسته به تغییر سیستم، نام فیلدهای غیرفعال کننده سرویس ممکن است تغییر کند. درایو انتخاب شده ممکن است یک خط برای تعلیق حفاظت یا یک نشانه مستقیم برای غیرفعال کردن BitLocker داشته باشد.

مساله این نیست. در اینجا ارزش توجه به این واقعیت را دارد که باید فایل های بوت سیستم رایانه را به طور کامل غیرفعال کنید. در غیر این صورت، فرآیند رمزگشایی ممکن است زمان زیادی طول بکشد.

منوی زمینه

این فقط یک روی سکه بیت لاکر است. احتمالاً BitLocker چیست؟ ولی سمت معکوسنیز منزوی کردن است منوهای اضافیاز وجود پیوندهایی به این سرویس در آنها.

برای انجام این کار، بیایید دوباره به BitLocker نگاه کنیم. چگونه همه پیوندهای یک سرویس را حذف کنیم؟ ابتدایی! در اکسپلورر وقتی فایل یا پوشه مورد نظر را انتخاب می کنید، از قسمت سرویس استفاده کنید و منوی زمینه مربوطه را ویرایش کنید، به تنظیمات بروید، سپس از تنظیمات فرمان استفاده کنید و آنها را سازماندهی کنید.

پس از این کار در ویرایشگر رجیستری وارد شاخه HKCR شده و در آنجا قسمت ROOTDirectoryShell را پیدا می کنیم، آن را گسترش داده و با فشردن کلید Del یا دستور delete از منوی راست کلیک، عنصر مورد نظر را حذف می کنیم. در واقع، این آخرین چیز در مورد مولفه BitLocker است. من فکر می کنم که چگونه آن را غیرفعال کنیم، قبلاً واضح است. اما خودتان را گول نزنید. با این حال، این سرویس (فقط در مورد) کار خواهد کرد، چه بخواهید یا نه.

به جای حرف آخر

باید اضافه کرد که این تمام چیزی نیست که می توان در مورد آن گفت جزء سیستمرمزگذاری BitLocker BitLocker چیست، متوجه شد که چگونه آن را غیرفعال کند و دستورات منو را نیز حذف کند. سوال این است: آیا باید BitLocker را غیرفعال کنید؟ در اینجا فقط می توانیم یک توصیه داشته باشیم: در یک شبکه محلی شرکتی، به هیچ وجه نباید این مؤلفه را غیرفعال کنید. اما اگر ترمینال کامپیوتر خانگی است، چرا که نه؟

دلایل زیادی برای رمزگذاری درایوهای سیستم وجود دارد. هرکسی خود را دارد و بحث در مورد آنها فایده ای ندارد، بنابراین بیایید به راه اندازی رمزگذاری برویم. دیسک سیستم.
امروزه اکثر درایوهای رایانه های شخصی مدرن دارای جدول پارتیشن دیسک هستند. GPT، بنابراین اکثر سیستم های رمزگذاری قدیمی نمی توانند درایو سیستم را رمزگذاری کنند (به دلیل اینکه بوت لودر ندارند EFI). بنابراین، تنها انتخاب باقی می ماند - BitLocker.
متأسفانه همه نسخه های ویندوز توانایی استفاده از BitLocker را ندارند.
BitLockerو BitLocker To Goفقط در نسخه ها موجود است ویندوز سرور , شرکت، پروژهو حرفه ای. اگر نسخه دیگری دارید، یا باید به این نسخه ها به روز رسانی کنید یا از نصب خودداری کنید BitLocker.

به علاوه برای BitLockerحضور مطلوب است ماژول پلتفرم مورد اعتماد (TPM) ماژول در رایانه شخصی/لپ تاپ/تبلت. TPMاین یک رمزنگاری ویژه است که در آن کلیدهای رمزنگاری برای محافظت از اطلاعات ذخیره می شود.

اگر نه TPMماژول، ابتدا باید قابلیت استفاده را فعال کنید BitLockerبدون TPM، در غیر این صورت پیامی مانند زیر خواهیم دید (در صورت وجود TPM، بلافاصله به نصب رمزگذاری اقدام می کنیم):

اجرای BitLocker بدون TPM

غیبت TPMماژول نیاز به تغییر محلی دارد خط مشی گروه.

سیاست های گروه محلی

خط فرمان را راه اندازی کنید. که در ویندوز 8.1برای انجام این کار، در گوشه سمت چپ پایین صفحه کلیک راست کرده و انتخاب کنید خط فرمان(مدیر).
در پنجره ای که ظاهر می شود، وارد کنید:

gpedit. msc

و فشار دهید وارد.

ویرایشگر خط مشی گروه محلی

در پنجره Local Group Policy Editor (در سمت چپ) به مسیر زیر بروید:
پیکربندی کامپیوتر->قالب اداری->اجزای ویندوز ->این تنظیم خط مشی به شما امکان می دهد رمزگذاری درایو BitLocker را انتخاب کنید->دیسک های سیستم عامل
در سمت راست پارامتر را پیدا می کنیم: این تنظیم خط مشی به شما امکان می دهد الزامات را پیکربندی کنید چک اضافیاحراز هویت در هنگام راه اندازیو 2 بار روی آن کلیک کنید.

تنظیم پارامتر

اکنون باید تغییراتی در این پارامتر ایجاد کنید.
بیایید آن را روشن کنیم.
کادر کنار کتیبه را علامت بزنید: این تنظیم خط مشی به شما اجازه می دهدBitLockerبدون ماژول پلتفرم قابل اعتماد سازگار (یک رمز عبور یا کلید راه‌اندازی در دستگاه فلش مموری USB مورد نیاز است)، و ما همه پارامترهای دیگر را نیز بررسی می‌کنیم. پس از آن، کلیک کنید خوبو ویرایشگر را ببندید. ویرایش خط مشی گروه محلی اکنون کامل شده است. می توانید به نصب ادامه دهید BitLocker.

صفحه کنترل

به کنترل پنل بروید و انتخاب کنید رمزگذاری درایو BitLocker.

رمزگذاری درایو BitLocker

انتخاب کنید BitLocker را فعال کنیدمقابل درایو سیستم

روش باز کردن قفل دیسک

روش باز کردن قفل دیسک را انتخاب کنید. که در در این موردباز کردن قفل از طریق رمز عبور را انتخاب کنید، برای انجام این کار فشار دهید رمز عبور را وارد کنید.

ایجاد رمز عبور

رمز عبور را دو بار (به دنبال توصیه ها) وارد کرده و کلیک کنید به علاوه.

کلید بازیابی

محل ذخیره کلید بازیابی را انتخاب کنید. نمی توان آن را در یک دیسک رمزگذاری شده ذخیره کرد. تا زمانی که کلید ذخیره نشود، نصب نمی تواند ادامه یابد. در مورد ما، ما آن را در یک فایل ( ذخیره در فایل).

ذخیره کردن کلید

مکانی را برای ذخیره کلید بازیابی انتخاب کنید. من آن را در درایو فلش ذخیره کردم.

دیسک چگونه رمزگذاری می شود؟

بسته به نیاز شما، ما نحوه رمزگذاری دیسک را انتخاب می کنیم.
شما می توانید یکی را انتخاب کنید:
فقط رمزگذاری مکان شلوغ(سریعتر اجرا می شود، برای رایانه های شخصی و درایوهای جدید بهینه است)
و
کل دیسک را رمزگذاری کنید (آهسته تر، مناسب برای رایانه های شخصی و دیسک های از قبل استفاده شده)

رمزگذاری این دیسک؟

قبل از شروع رمزگذاری، توصیه می شود اسکن را اجرا کنید سیستم های BitLocker . کامپیوتر راه اندازی مجدد می شود و کلیدی برای رمزگشایی دیسک می خواهد. اگر همه چیز خوب پیش برود، رمزگذاری شروع می شود.

رمزگذاری پس از راه اندازی مجدد رایانه آغاز می شود

روی نماد کلیک کنید Bitlocker'آ.

راه اندازی مجدد

انتخاب کنید اکنون راه اندازی مجدد.

رمز عبور خود را وارد کنید

رمز عبور را برای تایید وارد کنید Bitlocker. در آینده، هر بار که بوت می‌شوید، این صفحه نمایش داده می‌شود.

رمزگذاری در حال انجام است

پس از دانلود، رمزگذاری به طور خودکار آغاز می شود. برای مشاهده درصد باقیمانده بر روی نماد کلیک کنید Bitlocker a در سینی سیستم.

رمزگذاری در حال انجام است...

رمزگذاری دیسک در حال انجام است. سرعت رمزگذاری به عملکرد رایانه شخصی و اندازه دیسک بستگی دارد.

رمزگذاری دیسک کامل شد

دیسک رمزگذاری شده است. داده ها امن است

یک حسابرسی امنیتی یا پنتست زیرساخت IT خود را سفارش دهید اعتماد به زیرساخت های فناوری اطلاعات به معنای اعتماد به آینده است.

بسیاری از افراد از ویژگی رمزگذاری ویندوز استفاده می کنند، اما همه به امنیت این روش حفاظت از داده ها فکر نمی کنند. امروز ما در مورد رمزگذاری Bitlocker صحبت خواهیم کرد و سعی خواهیم کرد بفهمیم که محافظت از دیسک ویندوز تا چه حد به خوبی اجرا شده است.

به هر حال، می توانید در مورد نحوه راه اندازی Bitlocker در مقاله "".

• پیشگفتار
• Bitlocker چگونه کار می کند؟
• آسیب پذیری ها
• کلیدهای بازیابی
• باز کردن BitLocker
• BitLocker To Go
• نتیجه

مقاله برای اهداف پژوهشی نوشته شده است. تمام اطلاعات موجود در آن فقط برای مقاصد اطلاعاتی است. این خطاب به متخصصان امنیتی و کسانی است که می خواهند یکی شوند.

Bitlocker چگونه کار می کند؟

Bitlocker چیست؟

BitLocker یک ویژگی رمزگذاری بومی درایو در سیستم عامل ها است. سیستم های ویندوز 7, 8, 8.1, 10. این تابعبه شما این امکان را می دهد که داده های محرمانه را بر روی رایانه خود، هم بر روی HDD و SSD، و هم در رسانه های قابل جابجایی، به طور ایمن رمزگذاری کنید.

BitLocker چگونه کار می کند؟

قابلیت اطمینان BitLocker نباید با شهرت AES قضاوت شود. یک استاندارد رمزگذاری محبوب ممکن است رک و پوست کنده نباشد نقاط ضعف، اما پیاده سازی آن در محصولات رمزنگاری خاص اغلب مملو از آنها است. کد کاملمایکروسافت فناوری BitLocker را فاش نمی کند. تنها مشخص است که در نسخه های مختلفویندوز آن بر اساس طرح های مختلف بود و تغییرات به هیچ وجه توضیح داده نشد. علاوه بر این، در بیلد 10586 ویندوز 10 به سادگی ناپدید شد و دو بیلد بعد دوباره ظاهر شد. با این حال، اول چیزها.

اولین نسخه BitLocker از حالت زنجیره‌بندی بلوک متن رمزی (CBC) استفاده می‌کرد. حتی در آن زمان، کاستی های آن آشکار بود: سهولت حمله به یک متن شناخته شده، مقاومت ضعیف در برابر حملاتی مانند جایگزینی و غیره. بنابراین، مایکروسافت بلافاصله تصمیم گرفت حفاظت را تقویت کند. قبلاً در ویستا، الگوریتم Elephant Diffuser به طرح AES-CBC اضافه شد که مقایسه مستقیم بلوک‌های متن رمز شده را دشوار می‌کرد. با آن، محتویات یکسان دو بخش پس از رمزگذاری با یک کلید، نتایج کاملاً متفاوتی به دست می‌دهد که محاسبه الگوی کلی را پیچیده می‌کند. با این حال، خود کلید به طور پیش فرض کوتاه بود - 128 بیت. از طریق سیاست های اداری می توان آن را به 256 بیت افزایش داد، اما آیا ارزش انجام آن را دارد؟

برای کاربران، پس از تغییر کلید، هیچ چیز خارجی تغییر نخواهد کرد - نه طول رمزهای وارد شده و نه سرعت ذهنی عملیات. مانند اکثر سیستم های رمزگذاری فول دیسک، BitLocker از کلیدهای متعدد استفاده می کند و هیچ یک از آنها برای کاربران قابل مشاهده نیست. اینجا مدار BitLocker.

• هنگامی که BitLocker فعال می شود، یک دنباله بیت اصلی با استفاده از یک مولد اعداد شبه تصادفی ایجاد می شود. این کلید رمزگذاری صدا است - FVEK (حجم کامل کلید رمزگذاری). با این کار است که محتوای هر بخش اکنون رمزگذاری می شود.
• به نوبه خود، FVEK با استفاده از یک کلید دیگر - VMK (کلید اصلی حجم) - رمزگذاری می شود و به شکل رمزگذاری شده در میان ابرداده های حجم ذخیره می شود.
• خود VMK نیز رمزگذاری شده است، اما در حال حاضر راه های مختلفبه انتخاب کاربر
• در مادربردهای جدید، کلید VMK به طور پیش‌فرض با استفاده از کلید SRK (کلید ریشه ذخیره‌سازی) رمزگذاری می‌شود که در یک پردازنده رمزنگاری جداگانه - یک ماژول پلتفرم قابل اعتماد (TPM) ذخیره می‌شود. کاربر به محتوای TPM دسترسی ندارد و برای هر رایانه منحصر به فرد است.
• اگر تراشه TPM جداگانه ای روی برد وجود نداشته باشد، به جای SRK، از یک کد پین وارد شده توسط کاربر یا یک فلش درایو USB درخواستی با اطلاعات کلیدی از پیش ضبط شده روی آن برای رمزگذاری کلید VMK استفاده می شود.
• علاوه بر TPM یا درایو فلش، می توانید از کلید VMK با رمز عبور محافظت کنید.

چنین طرح کلی BitLocker در مراحل بعدی به کار خود ادامه داد ویندوز منتشر می شودتا زمان حال با این حال، روش های تولید کلید BitLocker و حالت های رمزگذاری تغییر کرده است. بنابراین، در اکتبر 2014، مایکروسافت بی سر و صدا الگوریتم اضافی Elephant Diffuser را حذف کرد و تنها طرح AES-CBC را با کاستی های شناخته شده اش باقی گذاشت. در ابتدا هیچ کاری در این مورد انجام نشد بیانیه های رسمی. به مردم به سادگی یک فناوری رمزگذاری ضعیف با همین نام تحت پوشش به روز رسانی داده شد. توضیحات مبهم برای این مرحله پس از اینکه محققان مستقل متوجه ساده سازی ها در BitLocker شدند دنبال شد.

به طور رسمی، رها کردن Elephant Diffuser برای اطمینان از انطباق الزامی بود الزامات ویندوزاستانداردهای پردازش اطلاعات فدرال ایالات متحده (FIPS)، اما یک استدلال این نسخه را رد می کند: ویستا و ویندوز 7 که از Elephant Diffuser استفاده می کردند، بدون مشکل در آمریکا فروخته شدند.

یکی دیگر از دلایل خیالی کنار گذاشتن الگوریتم اضافی، عدم شتاب سخت افزاری Elephant Diffuser و کاهش سرعت در هنگام استفاده از آن است. با این حال، در سال های گذشته، زمانی که پردازنده ها کندتر بودند، سرعت رمزگذاری به نحوی رضایت بخش بود. و همان AES حتی قبل از اینکه مجموعه‌های دستورالعمل جداگانه و تراشه‌های تخصصی برای تسریع آن ظاهر شوند، به طور گسترده مورد استفاده قرار گرفت. با گذشت زمان، امکان شتاب سخت افزاری برای Elephant Diffuser وجود داشت یا حداقل به مشتریان امکان انتخاب بین سرعت و امنیت را می داد.

نسخه غیر رسمی دیگر واقع بینانه تر به نظر می رسد. «فیل» با کارمندانی که می‌خواستند تلاش کمتری برای رمزگشایی دیسک بعدی صرف کنند، مداخله کرد و مایکروسافت با کمال میل با مقامات تعامل می‌کند حتی در مواردی که درخواست‌های آنها کاملاً قانونی نباشد. تایید غیرمستقیم تئوری توطئه این واقعیت است که قبل از ویندوز 8، هنگام ایجاد کلیدهای رمزگذاری در BitLocker، از مولد اعداد شبه تصادفی ساخته شده در ویندوز استفاده می شد. در بسیاری از (اگر نه همه) نسخه‌های ویندوز، این Dual_EC_DRBG بود - یک «PRNG قوی رمزنگاری» که توسط آژانس امنیت ملی ایالات متحده توسعه یافته و حاوی تعدادی آسیب‌پذیری ذاتی است.

البته تضعیف مخفیانه رمزگذاری داخلی موج قدرتمندی از انتقادات را به همراه داشت. تحت فشار او، مایکروسافت دوباره BitLocker را بازنویسی کرد و PRNG را با CTR_DRBG در نسخه های جدید ویندوز جایگزین کرد. علاوه بر این، در ویندوز 10 (شروع با بیلد 1511)، طرح رمزگذاری پیش‌فرض AES-XTS است که از دستکاری بلوک‌های متن رمزی مصون است. که در آخرین ساخت ها"ده ها" دیگر نقص شناخته شده BitLocker رفع شد، اما مشکل اصلیهنوز باقی مانده است آنقدر پوچ است که دیگر نوآوری ها را بی معنا می کند. این در مورد استدر مورد اصول مدیریت کلیدی

وظیفه رمزگشایی درایوهای BitLocker نیز با این واقعیت ساده شده است که مایکروسافت به طور فعال در حال تبلیغ است. روش جایگزینبازیابی دسترسی به داده ها از طریق Data Recovery Agent. نکته "عامل" این است که کلیدهای رمزگذاری همه درایوهای داخل شبکه سازمانی را رمزگذاری می کند. با یک کلیددسترسی داشته باشید. هنگامی که آن را در اختیار دارید، می توانید هر کلید و در نتیجه هر دیسک مورد استفاده توسط همان شرکت را رمزگشایی کنید. راحت؟ بله مخصوصا برای هک کردن

ایده استفاده از یک کلید برای همه قفل ها قبلاً بارها به خطر افتاده است، اما به خاطر راحتی به یک شکل یا دیگری بازگردانده می شود. اینگونه است که رالف لیتون خاطرات ریچارد فاینمن را از یکی از قسمت های مشخص کار خود در پروژه منهتن ثبت کرد. آزمایشگاه لوس آلاموس: «...سه گاوصندوق باز کردم - و هر سه با همین ترکیب. من با همه آنها برخورد کردم: گاوصندوق ها را با تمام اسرار بمب اتمی باز کردم - فناوری تولید پلوتونیوم، شرحی از فرآیند تصفیه، اطلاعاتی در مورد مقدار مواد مورد نیاز، نحوه عملکرد بمب، نحوه تولید نوترون، بمب چگونه کار می کند، ابعاد آن چقدر است - در یک کلام، همه چیزهایی که در لوس آلاموس، کل آشپزخانه می دانستند!

BitLocker تا حدودی یادآور طراحی ایمن است که در قسمت دیگری از کتاب شما مطمئنا شوخی می کنید، آقای فاینمن! چشمگیرترین گاوصندوق در یک آزمایشگاه فوق محرمانه آسیب پذیری مشابه یک کمد بایگانی ساده داشت. او یک سرهنگ بود و یک گاوصندوق دو در بسیار پیشرفته‌تر با دسته‌های بزرگ داشت که چهار میله فولادی به ضخامت سه چهارم اینچ را از چارچوب بیرون می‌کشید. پشت یکی از درهای برنزی باشکوه را بررسی کردم و متوجه شدم که صفحه دیجیتال به قفل کوچکی متصل است که دقیقاً شبیه قفل کابینت لوس آلاموس من است. واضح بود که سیستم اهرم ها به همان میله کوچکی بستگی دارد که کابینت های بایگانی را قفل می کرد... شروع کردم به چرخاندن صفحه به طور تصادفی و وانمود کردم که دارم کاری انجام می دهم. دو دقیقه بعد - کلیک کنید! - گاوصندوق باز شد هنگامی که درب گاوصندوق یا کشوی بالایی یک کمد بایگانی باز است، پیدا کردن ترکیب بسیار آسان است. این دقیقاً همان کاری است که من وقتی گزارش من را خواندید انجام دادم تا خطر را به شما نشان دهم.»

خود کانتینرهای رمزنگاری BitLocker کاملاً امن هستند. اگر فلش مموری را برای شما بیاورند که با BitLocker To Go رمزگذاری شده است، بعید است در زمان قابل قبولی آن را رمزگشایی کنید. با این حال، در یک سناریوی واقعی استفاده از دیسک های رمزگذاری شده و رسانه قابل جابجاییپر از آسیب پذیری هایی که به راحتی می توان از آنها برای دور زدن BitLocker سوء استفاده کرد.

آسیب پذیری های BitLocker

احتمالاً متوجه شده اید که وقتی برای اولین بار Bitlocker را فعال می کنید، باید مدت زیادی منتظر بمانید. این تعجب آور نیست - فرآیند رمزگذاری بخش به بخش می تواند چندین ساعت طول بکشد، زیرا حتی خواندن تمام بلوک های ترابایت HDD سریعتر استشکست می خورد. با این حال، غیرفعال کردن BitLocker تقریباً آنی است - چگونه ممکن است؟

واقعیت این است که وقتی Bitlocker غیرفعال است، داده ها را رمزگشایی نمی کند. همه بخش ها با کلید FVEK رمزگذاری شده باقی می مانند. به سادگی، دسترسی به این کلید دیگر به هیچ وجه محدود نخواهد بود. همه بررسی‌ها غیرفعال می‌شوند و VMK در میان ابرداده‌ها ثبت می‌شود فرم باز. هر بار که رایانه را روشن می کنید، بوت لودر سیستم عامل VMK را می خواند (بدون بررسی TPM، درخواست کلید روی فلش مموری یا رمز عبور)، به طور خودکار FVEK را با آن رمزگشایی می کند و سپس همه فایل ها را در صورت دسترسی به آنها رمزگشایی می کند. برای کاربر همه چیز مانند خواهد بود غیبت کاملرمزگذاری، اما بیشترین توجه ممکن است کاهش جزئی در عملکرد زیر سیستم دیسک. به طور دقیق تر، پس از غیرفعال کردن رمزگذاری، هیچ افزایش سرعتی وجود ندارد.

چیز جالب دیگری در مورد این طرح وجود دارد. علیرغم نام (فناوری رمزگذاری کامل دیسک)، برخی از داده‌ها هنگام استفاده از BitLocker همچنان رمزگذاری نشده باقی می‌مانند. MBR و BS باز می مانند (مگر اینکه دیسک در GPT مقداردهی اولیه شده باشد)، بخش های بدو ابرداده بوت لودر را باز کنیدفضایی برای تخیل می دهد سکتورهای شبه بد برای مخفی کردن سایر بدافزارها راحت هستند و ابرداده حاوی چیزهای جالب زیادی است، از جمله کپی از کلیدها. اگر Bitlocker فعال باشد، رمزگذاری خواهند شد (اما ضعیف تر از FVEK که محتویات بخش ها را رمزگذاری می کند)، و اگر غیرفعال شود، آنها به سادگی در فضای خالی قرار می گیرند. اینها همه بردارهای حمله بالقوه هستند. آنها بالقوه هستند زیرا علاوه بر آنها، موارد بسیار ساده تر و جهانی تر نیز وجود دارد.

کلید بازیابی Bitlocker

علاوه بر FVEK، VMK و SRK، BitLocker از نوع دیگری از کلید استفاده می‌کند که «فقط در مورد» ایجاد می‌شود. اینها کلیدهای بازیابی هستند که یکی دیگر از بردارهای حمله محبوب هستند. کاربران از فراموشی رمز عبور خود و از دست دادن دسترسی به سیستم می ترسند و خود ویندوز توصیه می کند که ورود اضطراری را انجام دهند. برای انجام این کار، جادوگر رمزگذاری BitLocker روشن است آخرین مرحلهاز شما می خواهد یک کلید بازیابی ایجاد کنید. امتناع از ایجاد آن ممکن نیست. شما فقط می توانید یکی از گزینه های کلیدی صادرات را انتخاب کنید که هر کدام بسیار آسیب پذیر هستند.

در تنظیمات پیش‌فرض، کلید به‌عنوان یک فایل متنی ساده با یک نام قابل تشخیص صادر می‌شود: «BitLocker Recovery Key #»، جایی که شناسه رایانه به جای # نوشته می‌شود (بله، درست در نام فایل!). خود کلید به این شکل است.

اگر رمز عبور BitLocker خود را فراموش کرده اید (یا هرگز نمی دانید)، به سادگی به دنبال فایل کلید بازیابی بگردید. حتما در بین اسناد ذخیره می شود کاربر فعلییا روی فلش مموری اش. شاید همانطور که مایکروسافت توصیه می کند حتی روی یک تکه کاغذ چاپ شده باشد.

برای یافتن سریع کلید بازیابی، محدود کردن جستجو بر اساس پسوند (txt)، تاریخ ایجاد (اگر می‌دانید تقریباً چه زمانی BitLocker می‌توانست فعال شود) و اندازه فایل (1388 بایت در صورت عدم ویرایش فایل) راحت است. هنگامی که کلید بازیابی را پیدا کردید، آن را کپی کنید. با استفاده از آن، می توانید مجوز استاندارد BitLocker را در هر زمان دور بزنید. برای این کار کافیست Esc را فشار داده و کلید بازیابی را وارد کنید. شما بدون هیچ مشکلی وارد سیستم خواهید شد و حتی می توانید رمز عبور BitLocker خود را بدون تعیین رمز قبلی به یک رمز عبور سفارشی تغییر دهید!

باز کردن BitLocker

واقعی رمزنگاریاین سیستم یک سازش بین راحتی، سرعت و قابلیت اطمینان است. باید رویه‌هایی را برای رمزگذاری شفاف با رمزگشایی در حین پرواز، روش‌هایی برای بازیابی رمزهای عبور فراموش شده و کار راحت با کلیدها ارائه کند. همه اینها هر سیستمی را تضعیف می کند، صرف نظر از اینکه بر چه الگوریتم های قوی مبتنی است. بنابراین، نیازی به جستجوی آسیب‌پذیری نیست به طور مستقیمدر الگوریتم Rijndael یا در طرح های مختلف استاندارد AES. تشخیص آنها در ویژگی های یک پیاده سازی خاص بسیار ساده تر است.

در مورد مایکروسافت، چنین "خصوصیات" کافی است. برای مثال، کپی‌هایی از کلیدهای BitLocker به SkyDrive ارسال می‌شوند و به‌طور پیش‌فرض در Active Directory سپرده می‌شوند.

خوب، چه می شود اگر آنها را از دست بدهید... یا مامور اسمیت بپرسد. منتظر نگه داشتن مشتری، و حتی بیشتر از آن برای یک نماینده، ناخوشایند است. به همین دلیل مقایسه قدرت رمزنگاری AES-XTS و AES-CBC با پخش کننده فیل در پس زمینه محو می شوند، همانطور که توصیه هایی برای افزایش طول کلید وجود دارد. مهم نیست چقدر طولانی باشد، مهاجم به راحتی آن را وارد می کند رمزگذاری نشدهفرم .

دریافت کلیدهای امانی از حساب مایکروسافت یا AD روش اصلی شکستن BitLocker است. اگر کاربر حسابی در ابر مایکروسافت ثبت نکرده باشد و رایانه او در دامنه نباشد، همچنان راه هایی برای استخراج کلیدهای رمزگذاری وجود خواهد داشت. در طول عملیات عادی، نسخه های باز آنها همیشه در RAM ذخیره می شود (در غیر این صورت "رمزگذاری شفاف" وجود نخواهد داشت). این بدان معنی است که آنها در فایل dump و hibernation آن موجود هستند.

چرا آنها حتی در آنجا ذخیره می شوند؟

همانطور که ممکن است خنده دار به نظر برسد - برای راحتی. BitLocker فقط برای محافظت در برابر حملات آفلاین طراحی شده است. آنها همیشه با راه اندازی مجدد و اتصال دیسک به سیستم عامل دیگر همراه هستند که منجر به پاکسازی RAM می شود. با این حال، در تنظیمات پیش‌فرض، سیستم‌عامل زمانی که خرابی رخ می‌دهد، RAM را تخلیه می‌کند (که می‌تواند راه‌اندازی شود) و هر بار که رایانه به خواب عمیق می‌رود، کل محتویات آن را در یک فایل Hibernation می‌نویسد. بنابراین، اگر اخیراً با فعال بودن BitLocker وارد ویندوز شده اید، احتمال زیادی وجود دارد که یک کپی رمزگشایی شده از کلید VMK دریافت کنید و از آن برای رمزگشایی FVEK و سپس خود داده ها در طول زنجیره استفاده کنید.

بررسی کنیم؟ تمام روش های هک BitLocker که در بالا توضیح داده شد در یک برنامه جمع آوری شده اند - که توسط شرکت داخلی Elcomsoft توسعه یافته است. این می تواند به طور خودکار کلیدهای رمزگذاری را بازیابی کند و حجم های رمزگذاری شده را به عنوان دیسک های مجازی نصب کند و آنها را در لحظه رمزگشایی کند.

علاوه بر این، EFDD راه غیر ضروری دیگری را برای به دست آوردن کلیدها اجرا می کند - حمله از طریق پورت FireWire، که توصیه می شود در مواردی که امکان اجرای نرم افزار شما بر روی رایانه مورد حمله وجود ندارد، استفاده کنید. ما همیشه خود برنامه EFDD را بر روی رایانه خود نصب می کنیم و در رایانه ای که در حال هک هستیم سعی می کنیم حداقل اقدامات لازم را انجام دهیم.

به عنوان مثال، بیایید به سادگی یک سیستم آزمایشی با BitLocker فعال راه اندازی کنیم و "بی سر و صدا" حافظه را خالی کنیم. بنابراین ما موقعیتی را شبیه سازی می کنیم که در آن یکی از همکاران برای ناهار بیرون رفته و کامپیوتر خود را قفل نکرده است. ما آن را راه‌اندازی می‌کنیم و در کمتر از یک دقیقه یک فایل تخلیه کامل با پسوند .mem و اندازه‌ای متناسب با مقدار RAM نصب شده روی رایانه قربانی دریافت می‌کنیم.

چگونه یک دامپ درست کنیم - توسط روی هم رفتهمهم نیست صرف نظر از تمدید، کار خواهد کرد فایل باینری، که سپس به طور خودکار توسط EFDD در جستجوی کلیدها تجزیه و تحلیل می شود.

ما Dump را روی یک درایو فلش می نویسیم یا آن را از طریق شبکه منتقل می کنیم، پس از آن در رایانه خود می نشینیم و EFDD را راه اندازی می کنیم.

گزینه Extract keys را انتخاب کرده و مسیر فایل dump حافظه را به عنوان منبع کلید وارد کنید.

BitLocker یک کانتینر رمزنگاری معمولی است، مانند PGP Disk یا TrueCrypt. معلوم شد که این ظروف به خودی خود کاملاً قابل اعتماد هستند، اما برنامه های مشتری برای کار با آنها در زیر ویندوز، کلیدهای رمزگذاری را در RAM پر می کنند. بنابراین، EFDD یک سناریوی حمله جهانی را پیاده سازی می کند. این برنامه فورا کلیدهای رمزگذاری را از هر سه نوع کانتینر رمزنگاری محبوب پیدا می کند. بنابراین، در صورتی که قربانی مخفیانه از PGP استفاده کند، می توانید تمام کادرها را علامت گذاری کنید!

پس از چند ثانیه، Elcomsoft Forensic Disk Decryptor تمام کلیدهای یافت شده را در پنجره خود نشان می دهد. برای راحتی، می توانید آنها را در یک فایل ذخیره کنید - این در آینده مفید خواهد بود.

حالا BitLocker دیگر مشکلی ندارد! می توانید یک حمله آفلاین کلاسیک را انجام دهید - به عنوان مثال، هارد دیسک را بردارید و محتویات آن را کپی کنید. برای انجام این کار، کافی است آن را به رایانه خود متصل کنید و EFDD را در حالت "رمزگشایی یا نصب دیسک" اجرا کنید.

پس از مشخص کردن مسیر فایل ها با کلیدهای ذخیره شده، EFDD به انتخاب شما، رمزگشایی کامل صدا را انجام می دهد یا بلافاصله آن را به عنوان باز می کند. دیسک مجازی. که در مورد دومفایل ها با دسترسی به آنها رمزگشایی می شوند. در هر صورت هیچ تغییری در حجم اصلی ایجاد نمی شود، بنابراین روز بعد می توانید آن را طوری برگردانید که انگار هیچ اتفاقی نیفتاده است. کار با EFDD بدون هیچ ردی و فقط با کپی از داده ها اتفاق می افتد و بنابراین نامرئی می ماند.

BitLocker To Go

با شروع ویندوز 7، رمزگذاری درایوهای فلش، USB-HDD و سایر رسانه های خارجی امکان پذیر شد. فناوری به نام BitLocker To Go درایوهای قابل جابجایی را همانند درایوهای محلی رمزگذاری می کند. رمزگذاری با استفاده از آیتم مناسب در منوی زمینه Explorer فعال می شود.

برای درایوهای جدید، می توانید فقط از رمزگذاری منطقه اشغال شده استفاده کنید - به هر حال، فضای آزاد پارتیشن با صفر پر شده است و چیزی برای پنهان کردن وجود ندارد. اگر درایو قبلاً استفاده شده است، توصیه می شود رمزگذاری کامل را روی آن فعال کنید. در غیر این صورت، مکانی که به عنوان رایگان علامت گذاری شده است، رمزگذاری نشده باقی می ماند. ممکن است حاوی فایل‌هایی باشد که اخیراً حذف شده‌اند و هنوز رونویسی نشده‌اند.

حتی رمزگذاری سریع فقط منطقه اشغال شده از چند دقیقه تا چند ساعت طول می کشد. این زمان به مقدار داده بستگی دارد، پهنای باندرابط، مشخصات درایو و سرعت محاسبات رمزنگاری پردازنده. از آنجایی که رمزگذاری با فشرده سازی همراه است، فضای آزاد روی دیسک رمزگذاری شده معمولاً کمی افزایش می یابد.

دفعه بعد که یک درایو فلش رمزگذاری شده را به هر رایانه ای که دارای ویندوز 7 یا بالاتر است متصل می کنید، جادوگر BitLocker به طور خودکار برای باز کردن قفل درایو فراخوانی می شود. در Explorer، قبل از باز کردن قفل، به عنوان یک دیسک قفل شده نمایش داده می شود.

در اینجا می‌توانید از گزینه‌های قبلاً مورد بحث برای دور زدن BitLocker (به عنوان مثال، جستجوی کلید VMK در یک فایل تخلیه حافظه یا hibernation) و همچنین موارد جدید مربوط به کلیدهای بازیابی استفاده کنید.

اگر رمز عبور را نمی دانید، اما توانستید یکی از کلیدها را (به صورت دستی یا با استفاده از EFDD) پیدا کنید، دو گزینه اصلی برای دسترسی به درایو فلش رمزگذاری شده وجود دارد:

• از جادوگر داخلی BitLocker برای کار مستقیم با فلش مموری استفاده کنید.
• برای استفاده از EFDD رونوشت کاملدرایو فلش و ایجاد تصویر بخش به بخش آن.

گزینه اول به شما امکان می دهد بلافاصله به فایل های ضبط شده در فلش درایو دسترسی داشته باشید، آنها را کپی یا تغییر دهید و همچنین فایل های خود را بنویسید. گزینه دوم بسیار بیشتر طول می کشد (از نیم ساعت)، اما مزایای خود را دارد. تصویر رمزگشایی شده بخش به بخش به شما امکان می دهد تجزیه و تحلیل دقیق تری از سیستم فایل را در سطح آزمایشگاه پزشکی قانونی انجام دهید. در این حالت دیگر به خود فلش مموری نیازی نیست و می توان آن را بدون تغییر برگرداند.

تصویر حاصل می تواند بلافاصله در هر برنامه ای که از فرمت IMA پشتیبانی می کند باز شود یا ابتدا به فرمت دیگری تبدیل شود (مثلاً با استفاده از UltraISO).

البته، EFDD علاوه بر شناسایی کلید بازیابی برای BitLocker2Go، از سایر روش های بای پس BitLocker نیز پشتیبانی می کند. فقط تمام گزینه های موجود را پشت سر هم مرور کنید تا زمانی که یک کلید از هر نوع پیدا کنید. بقیه (تا FVEK) در طول زنجیره رمزگشایی می شوند و شما دریافت خواهید کرد دسترسی کاملبه دیسک

نتیجه

فناوری رمزگذاری فول دیسک BitLocker بین نسخه های ویندوز متفاوت است. پس از پیکربندی کافی، به شما امکان می‌دهد کانتینرهای رمزنگاری را ایجاد کنید که از نظر قدرت با TrueCrypt یا PGP قابل مقایسه هستند. با این حال، مکانیسم تعبیه شده در ویندوز برای کار با کلیدها، تمام ترفندهای الگوریتمی را نفی می کند. به طور خاص، کلید VMK که برای رمزگشایی کلید اصلی در BitLocker استفاده می‌شود، با استفاده از EFDD در چند ثانیه از یک نسخه تکراری ذخیره‌شده، یک حافظه خالی، یک فایل خواب زمستانی یا یک حمله پورت FireWire بازیابی می‌شود.

هنگامی که کلید را در اختیار دارید، می توانید یک حمله آفلاین کلاسیک انجام دهید، بی سر و صدا تمام داده های موجود در درایو محافظت شده را کپی کرده و به طور خودکار رمزگشایی کنید. بنابراین، توصیه می‌شود از BitLocker فقط در کنار سایر اقدامات امنیتی استفاده کنید: سیستم فایل رمزگذاری (EFS)، سرویس مدیریت حقوق (RMS)، کنترل راه‌اندازی برنامه، نصب دستگاه و کنترل پیوست، و همچنین سیاست‌های محلی سخت‌گیرانه‌تر و اقدامات کلیامنیت.

در این مقاله از مطالب سایت استفاده شده است: (84ckf1r3)، .

به گفته کارشناسان، سرقت لپ تاپ یکی از مشکلات اصلی در این زمینه است امنیت اطلاعات(IB).

بر خلاف سایر تهدیدات امنیت اطلاعات، ماهیت مشکل "لپ تاپ دزدیده شده" یا "درایو فلش دزدیده شده" کاملا ابتدایی است. و اگر هزینه دستگاه های گم شده به ندرت از چند هزار دلار آمریکا بیشتر شود، ارزش اطلاعات ذخیره شده روی آنها اغلب به میلیون ها سنجیده می شود.

به گفته دل و موسسه پونمون، سالانه 637000 لپ تاپ تنها در فرودگاه های آمریکا ناپدید می شوند. فقط تصور کنید که چند درایو فلش مفقود شده است، زیرا آنها بسیار کوچکتر هستند، و انداختن تصادفی یک فلش مموری به آسانی شلیک گلابی است.

وقتی یک لپ تاپ متعلق به یک مدیر ارشد گم می شود شرکت بزرگ، خسارت ناشی از یک چنین سرقت می تواند به ده ها میلیون دلار برسد.

چگونه از خود و شرکتتان محافظت کنید؟

ما به سری مقالات در مورد ادامه می دهیم امنیت ویندوزدامنه. در اولین مقاله از این مجموعه، در مورد راه اندازی یک ورود به دامنه امن و در مقاله دوم در مورد راه اندازی صحبت کردیم. انتقال ایمنداده ها در سرویس گیرنده ایمیل:

در این مقاله در مورد راه اندازی رمزگذاری اطلاعات ذخیره شده در هارد دیسک صحبت خواهیم کرد. خواهید فهمید که چگونه مطمئن شوید که هیچ کس جز شما نمی تواند اطلاعات ذخیره شده در رایانه شما را بخواند.

تعداد کمی از مردم می دانند که ویندوز دارای ابزارهای داخلی است که به شما کمک می کند اطلاعات را با خیال راحت ذخیره کنید. بیایید یکی از آنها را در نظر بگیریم.

مطمئناً برخی از شما کلمه "BitLocker" را شنیده اید. بیایید بفهمیم که چیست.

BitLocker چیست؟

BitLocker (که دقیقاً BitLocker Drive Encryption نامیده می شود) یک فناوری برای رمزگذاری محتویات درایوهای رایانه است که توسط مایکروسافت توسعه یافته است. اولین بار در ویندوز ویستا ظاهر شد.

با با استفاده از BitLockerجلدها را می توان رمزگذاری کرد دیسکهای سخت، اما بعداً در ویندوز 7 فناوری مشابهی به نام BitLocker To Go ظاهر شد که برای رمزگذاری درایوهای قابل جابجایی و درایوهای فلش طراحی شده است.

BitLocker استاندارد است ویندوز حرفه ایو نسخه های سرور ویندوز، به این معنی که در بیشتر موارد استفاده شرکتی از قبل در دسترس است. در غیر این صورت، باید لایسنس ویندوز خود را به Professional ارتقا دهید.

BitLocker چگونه کار می کند؟

این فناوری مبتنی بر رمزگذاری با حجم کامل است که با استفاده از الگوریتم AES (Advanced Encryption Standard) انجام می شود. کلیدهای رمزگذاری باید به طور ایمن ذخیره شوند و BitLocker مکانیسم های مختلفی برای این کار دارد.

ساده ترین و در عین حال ناامن ترین روش رمز عبور است. کلید هر بار به همین ترتیب از رمز عبور گرفته می شود و بر این اساس اگر شخصی رمز عبور شما را پیدا کند، کلید رمزگذاری مشخص می شود.

برای جلوگیری از ذخیره کلید در متن واضح، می توان آن را در یک TPM (ماژول پلتفرم مورد اعتماد) یا روی یک رمز رمزنگاری یا کارت هوشمند که از الگوریتم RSA 2048 پشتیبانی می کند، رمزگذاری کرد.

TPM یک تراشه است که برای اجرای عملکردهای اساسی مرتبط با امنیت، عمدتاً با استفاده از کلیدهای رمزگذاری طراحی شده است.

ماژول TPM معمولاً روی مادربرد رایانه نصب می شود ، اما خرید رایانه با ماژول TPM داخلی در روسیه بسیار دشوار است ، زیرا واردات دستگاه های بدون اعلان FSB به کشور ما ممنوع است.

استفاده از کارت هوشمند یا توکن برای باز کردن قفل درایو یکی از ایمن‌ترین راه‌ها برای کنترل اینکه چه کسی و چه زمانی این فرآیند را انجام داده است. برای برداشتن قفل در این حالت هم به خود کارت هوشمند و هم به پین ​​کد آن نیاز دارید.

BitLocker چگونه کار می کند:

1. هنگامی که BitLocker فعال می شود، یک دنباله بیت اصلی با استفاده از یک مولد اعداد شبه تصادفی ایجاد می شود. این کلید رمزگذاری صدا - FVEK (کلید رمزگذاری حجم کامل) است. محتویات هر بخش را رمزگذاری می کند. کلید FVEK در شدیدترین حالت محرمانه نگهداری می شود.
2. FVEK با استفاده از VMK (کلید اصلی صدا) رمزگذاری می شود. کلید FVEK (رمزگذاری شده با کلید VMK) روی دیسک در میان ابرداده های حجم ذخیره می شود. با این حال، هرگز نباید به شکل رمزگشایی شده روی دیسک قرار گیرد.
3. خود VMK نیز رمزگذاری شده است. کاربر روش رمزگذاری را انتخاب می کند.
4. کلید VMK به طور پیش فرض با استفاده از کلید SRK (کلید ریشه ذخیره سازی) رمزگذاری می شود که روی یک کارت هوشمند رمزنگاری یا رمز ذخیره می شود. به همان شیوهاین اتفاق با TPM نیز می افتد.
   به هر حال، کلید رمزگذاری درایو سیستم در BitLocker با استفاده از کارت هوشمند یا توکن قابل محافظت نیست. این به این دلیل است که کتابخانه‌های فروشنده برای دسترسی به کارت‌های هوشمند و توکن‌ها استفاده می‌شوند و البته قبل از بارگیری سیستم عامل در دسترس نیستند.
   اگر TPM وجود نداشته باشد، BitLocker ذخیره کلید را پیشنهاد می کند پارتیشن سیستمروی یک درایو فلش USB، که البته بهترین ایده نیست. اگر سیستم شما TPM ندارد، رمزگذاری درایوهای سیستم را توصیه نمی کنیم.
   به طور کلی، رمزگذاری درایو سیستم ایده بدی است. هنگامی که به درستی پیکربندی شود، تمام داده های مهم جدا از داده های سیستم ذخیره می شوند. این حداقل از نظر آنها راحت تر است کپی رزرو کنید. به علاوه، رمزگذاری فایل های سیستم عملکرد سیستم را به طور کلی کاهش می دهد و عملکرد یک دیسک سیستم رمزگذاری نشده با فایل های رمزگذاری شده بدون کاهش سرعت انجام می شود.
5. کلیدهای رمزگذاری برای سایر درایوهای غیر سیستمی و قابل جابجایی را می توان با استفاده از کارت هوشمند یا توکن و همچنین TPM محافظت کرد.
   اگر نه ماژول TPM وجود دارد و نه کارت هوشمند، به جای SRK، از کلیدی که بر اساس رمز عبوری که وارد کرده اید برای رمزگذاری کلید VMK استفاده می شود.

هنگام شروع از یک دیسک راه‌اندازی رمزگذاری‌شده، سیستم از تمام کلیدهای ممکن جستجو می‌کند - وجود TPM را بررسی می‌کند، پورت‌های USB را بررسی می‌کند، یا در صورت لزوم از کاربر درخواست می‌کند (که به آن بازیابی می‌گویند). کشف فروشگاه کلید به ویندوز اجازه می دهد تا کلید VMK را رمزگشایی کند، که کلید FVEK را رمزگشایی می کند، که قبلاً داده های روی دیسک را رمزگشایی می کند.

هر بخش از حجم به طور جداگانه رمزگذاری می شود و بخشی از کلید رمزگذاری با تعداد آن بخش تعیین می شود. در نتیجه، دو بخش حاوی داده‌های رمزگذاری نشده یکسان در هنگام رمزگذاری متفاوت به نظر می‌رسند و تعیین کلیدهای رمزگذاری با نوشتن و رمزگشایی داده‌های شناخته شده قبلی را بسیار دشوار می‌کند.

علاوه بر FVEK، VMK و SRK، BitLocker از نوع دیگری از کلید استفاده می‌کند که «فقط در مورد» ایجاد می‌شود. اینها کلیدهای بازیابی هستند.

برای موارد اضطراری (کاربر یک رمز را گم کرده، کد پین خود را فراموش کرده است، و غیره) BitLocker روشن است آخرین مرحلهاز شما می خواهد یک کلید بازیابی ایجاد کنید. سیستم امتناع از ایجاد آن را فراهم نمی کند.

چگونه رمزگذاری داده ها را روی هارد دیسک فعال کنیم؟

قبل از شروع فرآیند رمزگذاری حجم ها بر روی هارد دیسک خود، مهم است که توجه داشته باشید که این روش مدتی طول می کشد. مدت زمان آن به مقدار اطلاعات موجود در هارد دیسک بستگی دارد.

اگر کامپیوتر در حین رمزگذاری یا رمزگشایی خاموش شود یا به حالت خواب زمستانی برود، دفعه بعد که ویندوز را راه اندازی کردید، این فرآیندها از همان جایی که متوقف شدند از سر گرفته می شوند.

حتی در طول فرآیند رمزگذاری، می توان از سیستم ویندوز استفاده کرد، اما بعید است که با عملکرد آن شما را خوشحال کند. در نتیجه، پس از رمزگذاری، عملکرد دیسک حدود 10٪ کاهش می یابد.

اگر BitLocker در سیستم شما موجود است، پس وقتی کلیک می کنید کلیک راستدر نام دیسکی که باید رمزگذاری شود، مورد در منوی باز شده نمایش داده می شود. BitLocker را روشن کنید.

در نسخه های سرور ویندوز باید یک نقش اضافه کنید رمزگذاری درایو BitLocker.

بیایید راه اندازی رمزگذاری یک حجم غیر سیستمی را شروع کنیم و از کلید رمزگذاری با استفاده از یک نشانه رمزنگاری محافظت کنیم.

ما از یک توکن تولید شده توسط شرکت Aktiv استفاده خواهیم کرد. به طور خاص، PKI توکن EDS Rutoken.

I. اجازه دهید Rutoken EDS PKI را برای کار آماده کنیم.

در اکثر سیستم‌های ویندوز با پیکربندی معمولی، پس از اولین اتصال به Rutoken EDS PKI، یک کتابخانه ویژه برای کار با توکن‌های تولید شده توسط شرکت Aktiv - Aktiv Rutoken minidriver - به طور خودکار دانلود و نصب می‌شود.

مراحل نصب چنین کتابخانه ای به شرح زیر است.

وجود کتابخانه minidriver Aktiv Rutoken را می توان از طریق بررسی کرد مدیریت دستگاه.

اگر دانلود و نصب کتابخانه به دلایلی انجام نشد، باید کیت Rutoken Drivers for Windows را نصب کنید.

II. بیایید داده های روی دیسک را با استفاده از BitLocker رمزگذاری کنیم.

روی نام دیسک کلیک کرده و انتخاب کنید BitLocker را روشن کنید.

همانطور که قبلاً گفتیم، از یک توکن برای محافظت از کلید رمزگذاری دیسک استفاده خواهیم کرد.
درک این نکته مهم است که برای استفاده از رمز یا کارت هوشمند با BitLocker، باید حاوی کلیدهای RSA 2048 و گواهی باشد.

اگر از سرویس Certificate Authority در دامنه ویندوز، سپس الگوی گواهی باید شامل دامنه گواهی "رمزگذاری دیسک" باشد (جزئیات بیشتر در مورد راه اندازی یک مرجع صدور گواهی در سری مقالات ما در مورد امنیت دامنه ویندوز).

اگر دامنه ندارید یا نمی‌توانید خط‌مشی صدور گواهی‌ها را تغییر دهید، می‌توانید از روش بازگشتی با استفاده از گواهی خودامضا استفاده کنید؛ جزئیات نحوه صدور گواهینامه خودامضا برای خودتان شرح داده شده است.
حالا بیایید کادر مربوطه را بررسی کنیم.

در مرحله بعد روشی را برای ذخیره کلید بازیابی انتخاب می کنیم (توصیه می کنیم انتخاب کنید کلید بازیابی را چاپ کنید).

تکه کاغذ با کلید بازیابی چاپ شده باید در مکانی امن و ترجیحا در گاوصندوق نگهداری شود.

در مرحله بعد، فرآیند رمزگذاری دیسک را آغاز خواهیم کرد. پس از اتمام این فرآیند، ممکن است لازم باشد سیستم خود را مجددا راه اندازی کنید.

هنگامی که رمزگذاری فعال است، نماد دیسک رمزگذاری شده تغییر می کند.

و حالا وقتی می‌خواهیم این درایو را باز کنیم، سیستم از شما می‌خواهد یک توکن وارد کرده و کد پین آن را وارد کنید.

استقرار و راه اندازی BitLockerو TPM را می توان با استفاده از ابزار یا اسکریپت های WMI خودکار کرد Windows PowerShell. نحوه اجرای سناریوها به محیط بستگی دارد. دستورات BitLocker در Windows PowerShell در این مقاله توضیح داده شده است.

در صورت گم شدن توکن چگونه می توان اطلاعات رمزگذاری شده BitLocker را بازیابی کرد؟

اگر می خواهید داده های رمزگذاری شده را در ویندوز باز کنید

برای این کار به کلید بازیابی که قبلا چاپ کردیم نیاز دارید. کافیست آن را در قسمت مربوطه وارد کنید تا قسمت رمزگذاری شده باز شود.

اگر می خواهید داده های رمزگذاری شده را در سیستم های گنو/لینوکس و مک او اس ایکس باز کنید

برای انجام این کار، به ابزار DisLocker و یک کلید بازیابی نیاز دارید.

ابزار DisLocker در دو حالت کار می کند:

• FILE - کل پارتیشن رمزگذاری شده توسط BitLocker در یک فایل رمزگشایی می شود.
• FUSE - فقط بلوکی که سیستم به آن دسترسی دارد رمزگشایی می شود.

مثلا از اتاق عمل استفاده خواهیم کرد سیستم لینوکسو حالت سودمند FUSE.

در آخرین نسخه های توزیع های رایج لینوکس، بسته dislocker قبلاً در توزیع گنجانده شده است، به عنوان مثال، در اوبونتو، از نسخه 16.10 شروع می شود.

اگر به دلایلی بسته dislocker در دسترس نیست، باید این ابزار را دانلود کرده و آن را کامپایل کنید:

tar -xvjf dislocker.tar.gz

بیایید فایل INSTALL.TXT را باز کنیم و بررسی کنیم که کدام بسته ها را باید نصب کنیم.

در مورد ما، ما باید بسته libfuse-dev را نصب کنیم:

sudo apt-get نصب libfuse-dev

بیایید شروع به مونتاژ بسته کنیم. بیایید به پوشه src برویم و از دستور make and make install استفاده کنیم:

cd src/ make make install

وقتی همه چیز کامپایل شد (یا بسته را نصب کردید)، بیایید راه اندازی را شروع کنیم.

بیایید به پوشه mnt برویم و دو پوشه در آن ایجاد کنیم:

• پارتیشن رمزگذاری شده - برای یک پارتیشن رمزگذاری شده.
• پارتیشن رمزگشایی - برای یک پارتیشن رمزگشایی شده.

cd /mnt mkdir پارتیشن رمزگذاری شده mkdir پارتیشن رمزگشایی شده

بیایید پارتیشن رمزگذاری شده را پیدا کنیم. بیایید آن را با استفاده از ابزار رمزگشایی کنیم و آن را به پوشه Encrypted-partition منتقل کنیم:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(به جای recovery_key، کلید بازیابی خود را جایگزین کنید)

بیایید لیستی از فایل های موجود در پوشه پارتیشن رمزگذاری شده را نمایش دهیم:

ls Encrypted-partition/

بیایید دستور mount کردن پارتیشن را وارد کنیم:

mount -o loop Driveq/dislocker-file Decrypted-partition/

برای مشاهده پارتیشن رمزگشایی شده، به پوشه Encrypted-partition بروید.

بیایید خلاصه کنیم

فعال کردن رمزگذاری حجم با BitLocker بسیار آسان است. همه این کارها بدون زحمت و رایگان انجام می شود (البته به شرطی که نسخه حرفه ای یا سرور ویندوز داشته باشید).

شما می توانید از یک رمز رمزنگاری یا کارت هوشمند برای محافظت از کلید رمزگذاری که دیسک را رمزگذاری می کند استفاده کنید، که به طور قابل توجهی سطح امنیت را افزایش می دهد.

خواندن، چگونه با رمزگذاری هارد یا درایو اکسترنال خود از دسترسی غیرمجاز محافظت کنید. نحوه تنظیم و استفاده از ویژگی داخلی ویندوز - رمزگذاری BitLocker. این سیستم عامل به شما امکان می دهد درایوهای محلی و دستگاه های قابل جابجایی را با استفاده از باج افزار داخلی BitLocker رمزگذاری کنید. هنگامی که تیم TrueCrypt به طور غیرمنتظره پروژه را تعطیل کرد، آنها توصیه کردند که کاربران خود را به BitLocker تغییر دهند.

محتوا:

نحوه فعال کردن Bitlocker

BitLocker for Drive Encryption و BitLocker To Go نیاز به حرفه ای دارد، نسخه شرکتیویندوز 8، 8.1 یا 10، یا نسخه نهایی ویندوز 7. اما "هسته" سیستم عامل نسخه های ویندوز 8.1 شامل ویژگی "رمزگذاری دستگاه" برای دسترسی به دستگاه های رمزگذاری شده است.

برای BitLocker را فعال کنیدباز کن صفحه کنترلو به System and Security - Drive Encryption with BitLocker بروید. همچنین می توانید باز کنید Windows Explorer، روی درایو راست کلیک کرده و Enable BitLocker را انتخاب کنید. اگر این گزینه در منو نیست، شما یک نسخه پشتیبانی نشده از ویندوز دارید.

روی گزینه Enable BitLocker در درایو سیستم، هر پارتیشن منطقی یا دستگاه قابل جابجایی برای فعال کردن رمزگذاری کلیک کنید. درایوهای پویا را نمی توان با استفاده از BitLocker رمزگذاری کرد.

دو نوع رمزگذاری BitLocker برای فعال کردن وجود دارد:

• برای پارتیشن منطقی. به شما امکان می دهد هر دیسک داخلی را رمزگذاری کنید، چه سیستمی و چه غیر سیستمی. وقتی کامپیوتر را روشن می کنید، بوت لودر ویندوز را از قسمت راه اندازی می کند سیستم رزرو شده استو یک روش باز کردن قفل را پیشنهاد می کند - به عنوان مثال، یک رمز عبور. BitLocker سپس درایو را رمزگشایی می کند و ویندوز را راه اندازی می کند. فرآیند رمزگذاری/رمزگشایی به سرعت اتفاق می‌افتد، و شما سیستم را به همان روشی که قبل از فعال کردن رمزگذاری انجام می‌دهید، کار خواهید کرد. شما همچنین می توانید درایوهای دیگر را روی رایانه خود رمزگذاری کنید، نه فقط درایو سیستم عامل. اولین باری که به چنین دیسکی دسترسی پیدا می کنید، باید یک رمز عبور وارد کنید.
• برای دستگاه های خارجی : دستگاه های ذخیره سازی خارجی مانند درایوهای فلش USB و هارد دیسک های خارجی را می توان با BitLocker To Go رمزگذاری کرد. هنگامی که درایو را به رایانه خود وصل می کنید، از شما خواسته می شود یک رمز عبور قفل را وارد کنید. کاربرانی که رمز عبور ندارند نمی توانند به فایل های روی دیسک دسترسی پیدا کنند.

استفاده از BitLocker بدون TPM

اگر ماژول پلتفرم مورد اعتماد شما (TPM) ندارد، وقتی BitLocker را فعال می کنید، پیامی را مشاهده خواهید کرد:

«این دستگاه نمی‌تواند از ماژول پلتفرم مورد اعتماد (TPM) استفاده کند. سرپرست باید تنظیم "Allow BitLocker بدون TPM سازگار" را در خط مشی تنظیم کند - نیاز به احراز هویت راه اندازی اضافی برای حجم های سیستم عامل.

رمزگذاری درایو با Bitlocker به طور پیش‌فرض به یک TPM روی رایانه برای ایمن کردن درایو سیستم عامل نیاز دارد. این یک ریزتراشه است که در آن تعبیه شده است مادربردکامپیوتر. BitLocker می تواند کلید رمزگذاری شده را در TPM ذخیره کند، زیرا این بسیار امن تر از ذخیره آن در هارد دیسک کامپیوتر است. تراشه TPM تنها پس از بررسی وضعیت رایانه، کلید رمزگذاری را ارائه می دهد. مهاجم نمی تواند به سادگی هارد دیسک رایانه شما را بدزدد یا تصویری از یک درایو رمزگذاری شده ایجاد کند و سپس آن را در رایانه دیگری رمزگشایی کند.

برای فعال کردن رمزگذاری دیسک بدون TPM، باید حقوق سرپرست داشته باشید. باید ویرایشگر را باز کنید گروه محلیسیاست های امنیتی و تغییر تنظیمات مورد نیاز.

کلیک کلید ویندوز+R برای اجرای دستور run، gpedit.msc را تایپ کرده و Enter را فشار دهید. به سیاست بروید "کامپیوتر محلی" – "پیکربندی کامپیوتر" – "قالب اداری" – "کامپوننت های ویندوز" – "رمزگذاری درایو BitLocker"- "دیسک های سیستم عامل." روی "این تنظیم خط مشی به شما اجازه می دهد تا نیاز برای احراز هویت اضافی در هنگام راه اندازی را پیکربندی کنید" دوبار کلیک کنید. مقدار را به enabled تغییر دهید و علامت را در Allow بررسی کنید با استفاده از BitLockerبدون TPM سازگار، سپس برای ذخیره روی OK کلیک کنید.

روش باز کردن قفل را انتخاب کنید

در مرحله بعد، باید نحوه باز شدن قفل دیسک هنگام راه اندازی را مشخص کنید. می توانید مسیرهای مختلفی را برای باز کردن قفل درایو انتخاب کنید. اگر رایانه شما TPM ندارد، می توانید با وارد کردن رمز عبور یا با قرار دادن یک درایو فلش USB ویژه که به عنوان کلید عمل می کند، قفل درایو را باز کنید.

اگر کامپیوتر شما مجهز به TPM باشد، قادر خواهید بود گزینه های اضافی. به عنوان مثال، می توانید قفل خودکار را هنگام بوت تنظیم کنید. کامپیوتر برای رمز عبور با ماژول TPM تماس می گیرد و به طور خودکار دیسک را رمزگشایی می کند. برای افزایش سطح امنیت، می توانید استفاده از یک کد پین را هنگام بارگذاری پیکربندی کنید. کد پین برای رمزگذاری ایمن کلید برای باز کردن دیسک که در TPM ذخیره می شود استفاده می شود.

روش باز کردن قفل دلخواه خود را انتخاب کنید و دستورالعمل ها را برای راه اندازی بیشتر دنبال کنید.

کلید بازیابی را در مکانی امن ذخیره کنید

BitLocker قبل از رمزگذاری درایو، کلید بازیابی را در اختیار شما قرار می دهد. اگر رمز عبور خود را گم کنید، این کلید درایو رمزگذاری شده را باز می کند. به عنوان مثال، رمز عبور یا درایو فلش USB خود را که به عنوان کلید استفاده می شود گم می کنید، یا ماژول TPM از کار می افتد و غیره.

می توانید کلید یک فایل را ذخیره کنید، آن را چاپ کنید و آن را با اسناد مهم ذخیره کنید، آن را در یک درایو فلش USB ذخیره کنید یا آن را به صورت آنلاین آپلود کنید. حساب کاربری مایکروسافت. اگر کلید بازیابی را در حساب مایکروسافت خود ذخیره کنید، می توانید بعداً به آن دسترسی پیدا کنید - https://onedrive.live.com/recoverykey. اطمینان حاصل کنید که این کلید به طور ایمن ذخیره شده است تا اگر شخصی به آن دسترسی پیدا کند، بتواند درایو را رمزگشایی کرده و به فایل های شما دسترسی پیدا کند. نگه داشتن چندین نسخه از این کلید در مکان های مختلف منطقی است، زیرا اگر کلید را نداشته باشید و برای روش اصلی باز کردن قفل شما اتفاقی بیفتد، فایل های رمزگذاری شده شما برای همیشه از بین می روند.

رمزگشایی و باز کردن قفل دیسک

پس از فعال شدن، BitLocker به صورت خودکار فایل‌های جدید را هنگام اضافه یا تغییر رمزگذاری می‌کند، اما شما می‌توانید انتخاب کنید که با فایل‌هایی که از قبل در درایو شما هستند چه کاری انجام دهید. شما می توانید فقط فضای اشغال شده فعلی یا کل دیسک را رمزگذاری کنید. رمزگذاری کل دیسک بیشتر طول می کشد، اما از احتمال بازیابی محتویات محافظت می کند فایل های حذف شده. اگر BitLocker را روی رایانه جدیدی راه‌اندازی می‌کنید، فقط فضای دیسک مورد استفاده را رمزگذاری کنید—سریع‌تر است. اگر BitLocker را روی رایانه‌ای که قبلاً استفاده کرده‌اید راه‌اندازی می‌کنید، باید از رمزگذاری فول درایو استفاده کنید.

از شما خواسته می شود که یک اسکن سیستم BitLocker را اجرا کرده و کامپیوتر خود را مجددا راه اندازی کنید. هنگامی که کامپیوتر خود را برای اولین بار بوت می کنید، دیسک رمزگذاری می شود. نماد BitLocker در سینی سیستم در دسترس خواهد بود؛ برای مشاهده پیشرفت روی آن کلیک کنید. زمانی که دیسک در حال رمزگذاری است، می توانید از رایانه خود استفاده کنید، اما روند کندتر خواهد بود.

پس از راه‌اندازی مجدد رایانه، پیامی برای وارد کردن رمز عبور BitLocker، کد پین یا درخواستی برای وارد کردن کلید USB مشاهده خواهید کرد.

اگر نمی توانید قفل را باز کنید، Escape را فشار دهید. از شما خواسته می شود که کلید بازیابی خود را وارد کنید.

اگر انتخاب کنید که درایو قابل جابجایی خود را با BitLocker To Go رمزگذاری کنید، یک جادوگر مشابه خواهید دید، اما درایو شما بدون نیاز به راه اندازی مجدد سیستم رمزگذاری می شود. قطع نکنید دستگاه قابل جابجاییدر طول فرآیند رمزگذاری

هنگامی که یک درایو فلش رمزگذاری شده یا درایو خارجی را به رایانه خود متصل می کنید، برای باز کردن قفل آن باید رمز عبور وارد کنید. درایوهای محافظت شده توسط BitLocker دارای یک نماد خاص در Windows Explorer هستند.

می توانید درایوهای محافظت شده را در پنجره کنترل پنل BitLocker مدیریت کنید - رمز عبور را تغییر دهید، BitLocker را خاموش کنید، انجام دهید نسخه پشتیبانکلید بازیابی و سایر اقدامات روی درایو رمزگذاری شده کلیک راست کرده و Enable BitLocker را انتخاب کنید تا به Control Panel بروید.