Çfarë është bitlocker Windows 10. Kriptimi i harduerit ose softuerit

Në Windows 10 dhe më herët Versionet e Windows Kriptimi i skedarit ofrohet duke përdorur teknologjinë BitLocker. Ju duhet ta konfiguroni atë vetëm një herë dhe mund të jeni i sigurt se askush nuk do të ketë akses në skedarët tuaj ose nuk do të jetë në gjendje të ekzekutojë programet tuaja, edhe nëse e bëjnë këtë. akses fizik në diskun e laptopit ose kompjuterit tuaj.

Si mund të aktivizoj enkriptimin e BitLocker? Para së gjithash, duhet të aktivizoni politikat e sigurisë:

1. Shtypni Win+R dhe ekzekutoni komandën gpedit.msc.
2. Shkoni te Modelet Administrative > Komponentët e Windows» Kriptimi i Diskut BitLocker > Disqet e Sistemit Operativ.

3. Klikoni dy herë butonin e majtë të miut në "Ky cilësim i politikës ju lejon të konfiguroni kërkesën kontroll shtesë vërtetimi i fillimit" dhe zgjidhni opsionin "Enabled".

Tani mund të vazhdoni drejtpërdrejt në kriptim:

1. Hapni File Explorer > My Computer dhe zgjidhni diskun që dëshironi të enkriptoni.
2. Klikoni në ikonën e diskut klikoni me të djathtën miun dhe zgjidhni "Aktivizo BitLocker".

3. Do të hapet një kuti dialogu me opsione për të hyrë në të dhënat e koduara. Ndiqni udhëzimet e tij dhe rinisni kompjuterin tuaj. Disku do të jetë i koduar. Procesi i kriptimit mund të jetë i gjatë, kohëzgjatja e tij varet nga vëllimi i të dhënave që kodohen.

Gjatë procesit të konfigurimit të kriptimit, do t'ju duhet të krijoni një çelës ose fjalëkalim për të deshifruar të dhënat. Fjalëkalimi duhet të përdorë shkronja dhe numra të përzier. Kur disku është i instaluar në kompjuterin tuaj, të dhënat enkriptohen dhe deshifrohen automatikisht, por nëse e hiqni diskun e koduar prej tij dhe e lidhni me një pajisje tjetër, do t'ju duhet një çelës për të aksesuar skedarët.

Të dhënat e rikuperimit të çelësit mund të ruhen në një flash drive, në një llogari Microsoft, në një skedar teksti ose në një fletë të printuar letre. Mbani në mend se ky nuk është vetë çelësi, por vetëm informacioni që do t'ju ndihmojë ta rikuperoni atë. Çelësi mund të merret vetëm pasi të keni futur hyrjen dhe fjalëkalimin për llogarinë tuaj Microsoft, gjë që e bën më të vështirë thyerjen e kriptimit.

Nëse e keni të koduar sistemin shtytje logjike, atëherë fjalëkalimi do të duhet të futet gjatë një fillimi të ftohtë të pajisjes ose pasi të rindizet.

Bitlocker është një program enkriptimi që u shfaq për herë të parë në Windows 7. Me ndihmën e tij, mund të kriptoni vëllimet e diskut të ngurtë (madje edhe ndarjen e sistemit), disqet USB dhe MicroSD. Por shpesh ndodh që përdoruesi thjesht harron fjalëkalimin për të hyrë i koduar Të dhënat e Bitlocker. Lexoni se si të zhbllokoni informacionin në media të koduara brenda kornizës së këtij artikulli.

Vetë programi sugjeron mënyra për të deshifruar të dhënat në fazën e krijimit të bllokimit:

1. Përgatitni diskun që dëshironi të enkriptoni. Klikoni me të djathtën mbi të dhe zgjidhni "Aktivizo Bitlocker".
2. Zgjidhni një metodë kriptimi.
   Në mënyrë tipike, një fjalëkalim është vendosur për të zhbllokuar. Nëse keni një lexues të kartave inteligjente USB me një çip të rregullt ISO 7816, mund ta përdorni për ta zhbllokuar.
   Për kriptim, opsionet janë të disponueshme veçmas, ose të dyja njëkohësisht.
3. Në hapin tjetër, magjistari i enkriptimit të diskut ofron opsione për arkivimin e çelësit të rikuperimit. Janë tre në total:
   
4. Kur të keni zgjedhur opsionin për të ruajtur çelësin e rikuperimit, zgjidhni pjesën e diskut që dëshironi të deshifroni.
   
5. Përpara se të fillojë kriptimi i të dhënave, do të shfaqet një dritare që ju njofton për procesin. Klikoni Start Encryption.
   
6. Prisni pak kohë derisa të përfundojë procedura.
7. Disku tani është i koduar dhe do të kërkojë një fjalëkalim (ose kartë inteligjente) pas lidhjes fillestare.
   

E rëndësishme! Ju mund të zgjidhni metodën e kriptimit. Bitlocker mbështet kriptimin 128 dhe 256 bit XTS AES dhe AES-CBC.

Ndryshimi i metodës së enkriptimit të diskut

Në redaktorin lokal politikën e grupit(nuk mbështetet nga Windows 10 Home) mund të zgjidhni metodën e kriptimit për disqet e të dhënave. Parazgjedhja është XTS AES 128 bit për disqet jo të lëvizshme dhe AES-CBC 128 bit për disqet e lëvizshme dhe disqet flash.

Për të ndryshuar metodën e kriptimit:

Pas ndryshimeve në politikë, Bitlocker do të jetë në gjendje të mbrojë me fjalëkalim median e re me parametrat e zgjedhur.

Si të zhbllokoni?

Procesi i kyçjes ofron dy mënyra për të fituar më tej akses në përmbajtjen e diskut: fjalëkalimin dhe lidhjen me një kartë inteligjente. Nëse keni harruar fjalëkalimin ose keni humbur aksesin në kartën tuaj inteligjente (ose më mirë, nuk e keni përdorur fare), gjithçka që duhet të bëni është të përdorni çelësin e rikuperimit. Kur mbroni me fjalëkalim një flash drive, ai duhet të krijohet, në mënyrë që ta gjeni:

1. Shtypur në një fletë letre. Ndoshta e keni vendosur me dokumente të rëndësishme.
2. NË dokument teksti(ose në një USB flash drive nëse ndarja e sistemit ishte e koduar). Ngjit USB flash drive në kompjuterin tuaj dhe ndiqni udhëzimet. Nëse çelësi ruhet në skedar teksti, lexoni atë në një pajisje të pakriptuar.
3. NË llogari Microsoft. Hyni në profilin tuaj në faqen e internetit në seksionin "Çelësat e Rimëkëmbjes së Bitlocker".

Pasi të keni gjetur çelësin e rikuperimit:

1. Klikoni me të djathtën në diskun e kyçur dhe zgjidhni "Zblloko diskun".
2. Një dritare e hyrjes së fjalëkalimit të Bitlocker do të shfaqet në këndin e sipërm të djathtë të ekranit. Klikoni në "Opsionet e avancuara".
   
3. Zgjidhni Enter Recovery Key.
4. Kopjoni ose rishkruani çelësin 48-shifror dhe klikoni "Zblloko".
5. Pas kësaj, të dhënat në media do të bëhen të disponueshme për lexim.

Me lëshimin e sistemit operativ Windows 7, shumë përdorues u përballën me faktin se në të u shfaq një shërbim disi i pakuptueshëm BitLocker. Çfarë është BitLocker, shumë mund vetëm të hamendësojnë. Le të përpiqemi të sqarojmë situatën me shembuj specifik. Gjatë rrugës, ne do të shqyrtojmë pyetjet në lidhje me sa e përshtatshme është aktivizimi i këtij komponenti ose çaktivizimi i tij plotësisht.

BitLocker: çfarë është BitLocker, pse nevojitet ky shërbim

Nëse e shikoni, BitLocker është një mjet universal dhe plotësisht i automatizuar për ruajtjen e të dhënave të ruajtura në një hard disk. Çfarë është BitLocker në një hard disk? Po, vetëm një shërbim që mbron skedarët dhe dosjet pa ndërhyrjen e përdoruesit duke i enkriptuar ato dhe duke krijuar një çelës të veçantë teksti që ofron qasje në dokumente.

Kur një përdorues punon në sistem nën llogarinë e tij, ai mund të mos e kuptojë që të dhënat janë të koduara, sepse informacioni shfaqet në formë të lexueshme dhe qasja në skedarë dhe dosje nuk është e bllokuar. Me fjalë të tjera, një mjet i tillë mbrojtës është krijuar vetëm për ato situata kur aksesohet një terminal kompjuteri, për shembull, kur përpiqeni të ndërhyni nga jashtë (sulmi në internet).

Fjalëkalimet dhe çështjet e kriptografisë

Sidoqoftë, nëse flasim për atë që është BitLocker në Windows 7 ose sisteme të një rangu më të lartë, vlen të përmendet fakti i pakëndshëm që nëse humbasin fjalëkalimin e hyrjes, shumë përdorues jo vetëm që nuk mund të hyjnë në sistem, por edhe kryejnë disa veprime shfletimi dokumente të disponueshme më parë për kopjim, lëvizje, etj.

Por kjo nuk është e gjitha. Nëse e kuptoni pyetjen se çfarë është BitLocker Windows 8 ose 10, atëherë nuk ka dallime të veçanta, përveç se ata kanë teknologji më të avancuar të kriptografisë. Problemi këtu është qartësisht i ndryshëm. Fakti është se vetë shërbimi është i aftë të funksionojë në dy mënyra, duke ruajtur çelësat e deshifrimit ose në një hard disk ose në një disk USB të lëvizshëm.

Kjo sugjeron përfundimin më të thjeshtë: nëse çelësi ruhet në hard disk, përdoruesi ka akses në të gjithë informacionin e ruajtur në të pa probleme. Por kur çelësi ruhet në një flash drive, problemi është shumë më serioz. Në parim, ju mund të shihni një disk ose ndarje të koduar, por nuk mund ta lexoni informacionin.

Për më tepër, nëse me të vërtetë flasim për atë që është BitLocker Windows 10 ose më shumë sisteme versionet e mëparshme, nuk mund të mos vihet re fakti që shërbimi është i integruar në çdo lloj menyje konteksti me klikim të djathtë, gjë që është thjesht e bezdisshme për shumë përdorues. Por le të mos ecim përpara, por të shqyrtojmë të gjitha aspektet kryesore që lidhen me funksionimin e këtij komponenti dhe këshillueshmërinë e përdorimit ose çaktivizimit të tij.

Metoda e kriptimit të disqeve dhe mediave të lëvizshme

Gjëja më e çuditshme është se në sisteme të ndryshme dhe modifikimet e tyre, shërbimi BitLocker mund të jetë si në modalitetin aktiv ashtu edhe në atë aktiv si parazgjedhje. mënyra pasive. Në "shtatë" është aktivizuar si parazgjedhje në versionet e tetë dhe të dhjetë, ndonjëherë kërkohet aktivizimi manual.

Sa i përket kriptimit, këtu nuk është shpikur asgjë veçanërisht e re. Si rregull, përdoret e njëjta teknologji AES e bazuar në çelës publik, e cila përdoret më shpesh në rrjetet e korporatave. Prandaj, nëse terminali i kompjuterit tuaj me sistemin operativ përkatës në bord është i lidhur me rrjet lokal, mund të jeni të sigurt se politika e zbatueshme e sigurisë dhe e mbrojtjes së të dhënave nënkupton aktivizimin e këtij shërbimi. Pa të drejtat e administratorit (edhe nëse filloni të ndryshoni cilësimet si administrator), nuk do të mund të ndryshoni asgjë.

Aktivizo BitLocker nëse shërbimi është i çaktivizuar

Para se të trajtojmë çështjen në lidhje me BitLocker (si të çaktivizoni shërbimin, si të hiqni komandat e tij nga menyja e kontekstit), le të shohim aktivizimin dhe konfigurimin, veçanërisht pasi hapat e çaktivizimit do të duhet të bëhen në rend të kundërt.

Aktivizimi i enkriptimit në mënyrën më të thjeshtë bëhet nga "Paneli i Kontrollit" duke zgjedhur seksionin Kjo metodë është e zbatueshme vetëm nëse çelësi nuk duhet të ruhet në media të lëvizshme.

Nëse pajisja e kyçur është një disk jo i lëvizshëm, do të duhet të gjeni përgjigjen për një pyetje tjetër në lidhje me shërbimin BitLocker: si ta çaktivizoni këtë komponent në një flash drive? Kjo bëhet mjaft thjesht.

Me kusht që çelësi të jetë i vendosur në media të lëvizshme, për të deshifruar disqet dhe ndarjet e diskut, së pari duhet ta futni atë në portën (lidhësin) e duhur dhe më pas të shkoni në seksionin e sistemit të sigurisë të Panelit të Kontrollit. Pas kësaj gjejmë pikën Kriptimi i BitLocker, dhe më pas shikoni disqet dhe mediat në të cilat është instaluar mbrojtja. Në fund do të shihni një lidhje për të çaktivizuar enkriptimin, mbi të cilën duhet të klikoni. Nëse çelësi njihet, procesi i deshifrimit aktivizohet. Ajo që mbetet është të presim përfundimin e saj.

Probleme me konfigurimin e komponentëve të ransomware

Sa i përket konfigurimit, nuk mund të bëni pa dhimbje koke. Së pari, sistemi ofron të rezervoni të paktën 1.5 GB për nevojat tuaja. Së dyti, ju duhet të rregulloni lejet e sistemit të skedarëve NTFS, të zvogëloni madhësinë e volumit, etj. Për të mos bërë gjëra të tilla, është më mirë ta çaktivizoni menjëherë këtë komponent, sepse shumica e përdoruesve thjesht nuk kanë nevojë për të. Edhe të gjithë ata që e kanë të aktivizuar këtë shërbim në cilësimet e tyre të paracaktuara gjithashtu nuk dinë gjithmonë se çfarë të bëjnë me të, ose nëse është i nevojshëm fare. Por më kot. Mund ta përdorni për të mbrojtur të dhënat në kompjuterin tuaj lokal edhe nëse nuk keni softuer antivirus.

BitLocker: si ta çaktivizoni. Faza e parë

Përsëri, përdorni artikullin e specifikuar më parë në "Paneli i Kontrollit". Në varësi të modifikimit të sistemit, emrat e fushave të çaktivizimit të shërbimit mund të ndryshojnë. Disku i zgjedhur mund të ketë një linjë për të pezulluar mbrojtjen ose një tregues të drejtpërdrejtë për të çaktivizuar BitLocker.

Nuk është kjo gjëja. Këtu ia vlen t'i kushtohet vëmendje faktit që do t'ju duhet të çaktivizoni plotësisht dhe skedarët e nisjes sistemi kompjuterik. Përndryshe, procesi i deshifrimit mund të zgjasë mjaft kohë.

Menyja e kontekstit

Kjo është vetëm njëra anë e monedhës BitLocker. Çfarë është BitLocker është ndoshta tashmë e qartë. Por ana tjetër është të izoloni menutë shtesë nga prania e lidhjeve në këtë shërbim në to.

Për ta bërë këtë, le të shohim përsëri BitLocker. Si të hiqni të gjitha lidhjet në një shërbim? Elementare! Në Explorer, kur zgjidhni skedarin e dëshiruar ose dosjet, përdorni seksionin e shërbimit dhe modifikoni menunë përkatëse të kontekstit, shkoni te cilësimet, më pas përdorni cilësimet e komandës dhe organizojini ato.

Pas kësaj, në redaktorin e regjistrit, futni degën HKCR, ku gjejmë seksionin ROOTDirectoryShell, e zgjerojmë dhe e fshijmë. elementi i kërkuar duke shtypur tastin Del ose komandën delete nga menyja e klikuar me të djathtën. Në fakt, kjo është gjëja e fundit në lidhje me komponentin BitLocker. Si ta çaktivizoni, mendoj, tashmë është e qartë. Por mos e mashtroni veten. Gjithsesi, ky shërbim do të funksionojë (për çdo rast), nëse dëshironi apo jo.

Në vend të një pasthënieje

Mbetet të shtojmë se kjo nuk është gjithçka që mund të thuhet komponenti i sistemit Kriptimi i BitLocker. Çfarë është BitLocker, kuptoi se si ta çaktivizoni atë dhe gjithashtu të fshini komandat e menusë. Pyetja është: a duhet të çaktivizoni BitLocker? Këtu mund të japim vetëm një këshillë: në një rrjet lokal të korporatës, nuk duhet ta çaktivizoni fare këtë komponent. Por nëse është një terminal kompjuteri në shtëpi, pse jo?

Teknologjia e enkriptimit BitLocker u shfaq për herë të parë dhjetë vjet më parë dhe ka ndryshuar me çdo version të Windows. Sidoqoftë, jo të gjitha ndryshimet në të ishin krijuar për të rritur fuqinë kriptografike. Në këtë artikull do t'i hedhim një vështrim të detajuar pajisjes së versioneve të ndryshme të BitLocker (përfshirë ato të para-instaluara në versionet më të fundit Windows ndërton 10) dhe tregoni se si të anashkaloni këtë mekanizëm mbrojtës të integruar.

Sulmet jashtë linje

Teknologjia BitLocker ishte përgjigja e Microsoft ndaj numrit në rritje të sulmeve offline që ishin veçanërisht të lehta për t'u kryer kundër kompjuterëve Windows. Çdokush mund të ndihet si një haker. Ai thjesht do të fikë kompjuterin më të afërt dhe më pas do ta nisë përsëri - me sistemin operativ të tij dhe një grup portativ shërbimesh për gjetjen e fjalëkalimeve, të dhënave konfidenciale dhe zbërthimin e sistemit.

Në fund të ditës së punës, madje mund të organizoni një kryqëzatë të vogël me një kaçavidë Phillips - hapni kompjuterët e punonjësve të larguar dhe nxirrni disqet prej tyre. Po atë mbrëmje, në një mjedis të qetë shtëpie, përmbajtja e disqeve të nxjerra mund të analizohet (dhe madje të modifikohet) në një mijë e një mënyra. Të nesërmen, thjesht ejani herët dhe kthejeni gjithçka në vendin e vet.

Sidoqoftë, nuk është e nevojshme të hapni kompjuterët e njerëzve të tjerë pikërisht në vendin e punës. Shumë të dhëna konfidenciale rrjedhin pas riciklimit të kompjuterëve të vjetër dhe zëvendësimit të disqeve. Në praktikë, fshirja e sigurt dhe formatimi i nivelit të ulët të disqeve të çaktivizuar bëhen nga shumë pak njerëz. Çfarë mund të ndalojë hakerat e rinj dhe mbledhësit e kufomave dixhitale?

Siç këndoi Bulat Okudzhava: "E gjithë bota është e përbërë nga kufizime, për të mos u çmendur nga lumturia". Kufizimet kryesore në Windows janë vendosur në nivelin e të drejtave të aksesit në objektet NTFS, të cilat nuk mbrojnë kundër sulmeve offline. Windows thjesht kontrollon lejet e leximit dhe shkrimit përpara se të përpunojë ndonjë komandë që akseson skedarët ose drejtoritë. Kjo metodë është mjaft efektive për sa kohë që të gjithë përdoruesit punojnë në një sistem të konfiguruar nga administratori me llogari të kufizuara. Sidoqoftë, sapo të futeni në një sistem tjetër operativ, nuk do të mbetet asnjë gjurmë e një mbrojtjeje të tillë. Përdoruesi do të ricaktojë të drejtat e aksesit ose thjesht do t'i injorojë ato duke instaluar një drejtues tjetër të sistemit të skedarëve.

Ka shumë metoda plotësuese për të kundërshtuar sulmet offline, duke përfshirë mbrojtje fizike dhe video survejimi, por ato më efektive kërkojnë përdorimin e kriptografisë së fortë. Nënshkrimet dixhitale të ngarkuesit parandalojnë fillimin kod i huaj, A e vetmja mënyrë Mënyra e vetme për të mbrojtur me të vërtetë të dhënat në hard diskun tuaj është ta kodoni atë. Pse i ka munguar Windows-it për kaq shumë kohë kriptimi i plotë i diskut?

Nga Vista në Windows 10

Ka shumë njerëz të ndryshëm që punojnë në Microsoft, dhe jo të gjithë kodojnë me këmbën e majtë të pasme. Mjerisht, vendimet përfundimtare në kompanitë e softuerëve nuk janë marrë prej kohësh nga programuesit, por nga tregtarët dhe menaxherët. E vetmja gjë që ata marrin në konsideratë kur zhvillojnë një produkt të ri është vëllimi i shitjeve. Sa më lehtë të jetë për një amvise të kuptojë softuerin, aq më shumë kopje të këtij softueri do të jetë në gjendje të shesë.

“Vetëm mendoni, gjysma e klientëve janë të shqetësuar për sigurinë e tyre! Sistemi operativ është tashmë një produkt kompleks, dhe këtu po frikësoni audiencën e synuar me kriptim. Ne mund të bëjmë pa të! Ne ia dolëm më parë!” - Menaxhmenti i lartë i Microsoft mund të kishte arsyetuar përafërsisht në këtë mënyrë deri në momentin kur XP u bë i njohur në segmentin e korporatave. Mes administratorëve, shumë specialistë kanë menduar tashmë për sigurinë për të zbritur opinionin e tyre. Prandaj, në versioni tjetër Windows ka prezantuar enkriptimin e shumëpritur të vëllimit, por vetëm në edicionet Enterprise dhe Ultimate, të cilat synojnë tregun e korporatave.

Teknologjia e re quhet BitLocker. Kjo ishte ndoshta e vetmja gjë e mirë për Vista. BitLocker kodoi të gjithë vëllimin, duke bërë me porosi dhe skedarët e sistemit i palexueshëm duke anashkaluar sistemin operativ të instaluar. Dokumentet e rëndësishme, fotot e maceve, regjistri, SAM dhe SECURITY - gjithçka doli të ishte e palexueshme kur kryen një sulm jashtë linje të çdo lloji. Në terminologjinë e Microsoft-it, një "vëllim" nuk është domosdoshmërisht një disk si një pajisje fizike. Tom mund të jetë disk virtual, ndarje logjike ose anasjelltas - kombinimi i disa disqeve (volumi i përbërë ose me shirita). Madje një flash drive i thjeshtë mund të konsiderohet një vëllim i montuar për enkriptimi nga fundi në fund prej të cilave, duke filluar me Windows 7, ekziston një zbatim i veçantë - BitLocker To Go (më shumë detaje në shiritin anësor në fund të artikullit).

Me ardhjen e BitLocker, u bë më e vështirë ngarkimi i një sistemi operativ të palëve të treta, pasi të gjithë ngarkuesit e nisjes morën nënshkrimet dixhitale. Megjithatë, një zgjidhje është ende e mundur falë modalitetit të përputhshmërisë. Vlen të ndryshoni modalitetin e nisjes në BIOS nga UEFI në Legacy dhe ta çaktivizoni Funksioni i sigurtÇizme, dhe e vjetra e mirë flash drive bootable do të vijë përsëri në ndihmë.

Si të përdorni BitLocker

Le të shohim pjesën praktike Shembull i Windows 10. Në ndërtimin 1607, BitLocker mund të aktivizohet përmes panelit të kontrollit (seksioni "Sistemi dhe Siguria", nënseksioni "Kriptimi i Diskut BitLocker").

Sidoqoftë, nëse motherboard nuk ka një kriptoprocesor TPM version 1.2 ose më të ri, atëherë BitLocker thjesht nuk mund të përdoret. Për ta aktivizuar atë, do t'ju duhet të shkoni te redaktori i politikave të grupit lokal (gpedit.msc) dhe të zgjeroni degën "Konfigurimi i kompjuterit -> Modelet administrative -> Komponentët e Windows -> Kriptimi i diskut BitLocker -> Disqet e sistemit operativ" në cilësimin " Ky cilësim i politikës ju lejon të konfiguroni kërkesën për vërtetim shtesë në nisje." Në të duhet të gjeni cilësimin "Lejo BitLocker pa një TPM të pajtueshme..." dhe ta aktivizoni atë.

Në seksionet ngjitur të politikave lokale mund të vendosni shtesë Cilësimet e BitLocker, duke përfshirë gjatësinë e çelësit dhe mënyrën e enkriptimit AES.

Pas aplikimit të politikave të reja, kthehuni në panelin e kontrollit dhe ndiqni udhëzimet e magjistarit të konfigurimit të enkriptimit. Si mbrojtje shtesë mund të zgjidhni të futni një fjalëkalim ose të lidhni një USB flash drive të veçantë.

Edhe pse BitLocker konsiderohet një teknologji e enkriptimit të plotë të diskut, ai lejon enkriptimin e pjesshëm vetëm të sektorëve të okupuar. Kjo është më e shpejtë sesa të kriptoni gjithçka, por kjo metodë konsiderohet më pak e besueshme. Nëse vetëm sepse në këtë rast, skedarët e fshirë, por ende jo të mbishkruar, mbeten të disponueshëm për lexim të drejtpërdrejtë për ca kohë.

Kriptimi i plotë dhe i pjesshëm

Pas vendosjes së të gjithë parametrave, gjithçka që mbetet është të rindizni. Windows do t'ju kërkojë të shkruani fjalëkalimin tuaj (ose të futni një USB flash drive) dhe më pas të filloni mënyrë normale dhe do të fillojë procesi i sfondit enkriptimi i volumit.

Në varësi të cilësimeve të zgjedhura, madhësisë së diskut, frekuencës së procesorit dhe mbështetjes së tij për komandat individuale AES, kriptimi mund të zgjasë nga disa minuta në disa orë.

Pas përfundimit të këtij procesi, artikuj të rinj do të shfaqen në menunë e kontekstit të Explorer: ndryshoni fjalëkalimin dhe Kalim i shpejtë te cilësimet e BitLocker.

Ju lutemi vini re se të gjitha veprimet përveç ndryshimit të fjalëkalimit kërkojnë të drejta administratori. Logjika këtu është e thjeshtë: meqenëse keni hyrë me sukses në sistem, do të thotë se e dini fjalëkalimin dhe keni të drejtë ta ndryshoni atë. Sa e arsyeshme është kjo? Do ta zbulojmë së shpejti!

Si funksionon BitLocker

Besueshmëria e BitLocker nuk duhet të gjykohet nga reputacioni i AES. Një standard i njohur i kriptimit mund të mos ketë sinqerisht pika të dobëta, por implementimet e tij në produkte specifike kriptografike shpesh janë të mbushura me to. Kodi i plotë Teknologjia BitLocker Kompania Microsoft nuk zbulon. Dihet vetëm se në versione të ndryshme Windows në të cilin bazohej skema të ndryshme, dhe ndryshimet nuk u komentuan. Për më tepër, në ndërtimin 10586 të Windows 10 ai thjesht u zhduk dhe dy ndërtime më vonë u rishfaq. Megjithatë, gjërat e para së pari.

Versioni i parë i BitLocker përdori modalitetin e zinxhirit të tekstit të koduar (CBC). Edhe atëherë, mangësitë e tij ishin të dukshme: lehtësia e sulmit ndaj një teksti të njohur, rezistenca e dobët ndaj sulmeve si zëvendësimi, etj. Prandaj, Microsoft menjëherë vendosi të forcojë mbrojtjen. Tashmë në Vista, algoritmi Elephant Diffuser iu shtua skemës AES-CBC, duke e bërë të vështirë krahasimin e drejtpërdrejtë të blloqeve të tekstit të koduar. Me të, të njëjtat përmbajtje të dy sektorëve dhanë rezultate krejtësisht të ndryshme pas kriptimit me një çelës, gjë që e ndërlikoi llogaritjen e modelit të përgjithshëm. Sidoqoftë, vetë çelësi ishte i shkurtër si parazgjedhje - 128 bit. Nëpërmjet politikave administrative mund të zgjerohet në 256 bit, por a ia vlen të bëhet?

Për përdoruesit, pas ndryshimit të çelësit, asgjë nuk do të ndryshojë nga jashtë - as gjatësia e fjalëkalimeve të futura, as shpejtësia subjektive e operacioneve. Ashtu si shumica e sistemeve të enkriptimit të diskut të plotë, BitLocker përdor çelësa të shumtë... dhe asnjëri prej tyre nuk është i dukshëm për përdoruesit. Këtu diagrami i qarkut BitLocker.

1. Kur aktivizoni BitLocker duke përdorur një gjenerator numra pseudorandom krijohet një sekuencë bitash kryesore. Ky është çelësi i enkriptimit të volumit - FVEK (vëllimi i plotë çelësi i enkriptimit). Është me këtë që përmbajtja e secilit sektor tani kodohet.
2. Nga ana tjetër, FVEK është i koduar duke përdorur një çelës tjetër - VMK (çelësi kryesor i vëllimit) - dhe ruhet në formë të koduar midis meta të dhënave të vëllimit.
3. Vetë VMK është gjithashtu e koduar, por tashmë menyra te ndryshme sipas zgjedhjes së përdoruesit.
4. Në të rejat motherboardÇelësi VMK është i koduar si parazgjedhje duke përdorur çelësin SRK (çelësi rrënjësor i ruajtjes), i cili ruhet në një modul të veçantë të platformës së besuar të kriptoprocesorit (TPM). Përdoruesi nuk ka akses në përmbajtjen TPM dhe është unik për çdo kompjuter.
5. Nëse nuk ka çip të veçantë TPM në tabelë, atëherë në vend të SRK, një kod PIN i futur nga përdoruesi ose një USB flash drive sipas kërkesës me informacionin kryesor të regjistruar paraprakisht në të përdoret për të enkriptuar çelësin VMK.
6. Përveç TPM ose flash drive, mund ta mbroni çelësin VMK me një fjalëkalim.

Të tillë skema e përgjithshme BitLocker ka vazhduar të punojë në lëshimet e mëvonshme të Windows deri në ditët e sotme. Megjithatë, metodat e gjenerimit të çelësave të BitLocker dhe mënyrat e kriptimit kanë ndryshuar. Pra, në tetor 2014, Microsoft hoqi në heshtje algoritmin shtesë të Elephant Diffuser, duke lënë vetëm skemën AES-CBC me mangësitë e njohura. Në fillim nuk u bë asgjë për këtë deklaratat zyrtare. Njerëzve thjesht iu dha një teknologji e dobësuar e enkriptimit me të njëjtin emër nën maskën e një përditësimi. Shpjegimet e paqarta për këtë hap pasuan pasi studiues të pavarur vunë re thjeshtime në BitLocker.

Formalisht, braktisja e Elephant Diffuser kërkohej për të siguruar pajtueshmërinë Kërkesat e Windows Standardet Federale të Përpunimit të Informacionit të SHBA-së (FIPS), por një argument e hedh poshtë këtë version: Vista dhe Windows 7, të cilat përdorën Elephant Diffuser, u shitën pa probleme në Amerikë.

Një arsye tjetër imagjinare për braktisjen e algoritmit shtesë është mungesa e përshpejtimit të harduerit për Elephant Diffuser dhe humbja e shpejtësisë gjatë përdorimit të tij. Megjithatë, në vitet e mëparshme, kur procesorët ishin më të ngadaltë, shpejtësia e kriptimit ishte disi e kënaqshme. Dhe i njëjti AES u përdor gjerësisht edhe përpara se të shfaqeshin grupe të veçanta udhëzimi dhe çipa të specializuara për ta përshpejtuar atë. Me kalimin e kohës, ishte e mundur të bëhej përshpejtimi i harduerit për Elephant Diffuser, ose të paktën t'u jepej klientëve një zgjedhje midis shpejtësisë dhe sigurisë.

Një version tjetër jozyrtar duket më realist. "Elefanti" ndërhyri me punonjësit e NSA-së që donin të shpenzonin më pak përpjekje për deshifrimin e diskut të ardhshëm dhe Microsoft bashkëpunon me dëshirë me autoritetet edhe në rastet kur kërkesat e tyre nuk janë plotësisht të ligjshme. Konfirmon në mënyrë indirekte teorinë e konspiracionit është fakti se para Windows 8, kur krijoheshin çelësat e enkriptimit në BitLocker, përdorej gjeneratori i numrave pseudo të rastësishëm i integruar në Windows. Në shumë versione (nëse jo të gjitha) të Windows, ky ishte Dual_EC_DRBG - një "PRNG i fortë kriptografikisht" i zhvilluar nga Agjencia e Sigurisë Kombëtare e SHBA dhe që përmban një numër dobësish të qenësishme.

Sigurisht, dobësimi i fshehtë i kriptimit të integruar shkaktoi një valë të fuqishme kritikash. Nën presionin e saj, Microsoft rishkruajti BitLocker përsëri, duke zëvendësuar PRNG me CTR_DRBG në versionet e reja të Windows. Për më tepër, në Windows 10 (duke filluar me ndërtimin 1511), skema e parazgjedhur e kriptimit është AES-XTS, e cila është imun ndaj manipulimit të blloqeve të tekstit të koduar. NË ndërtimet më të fundit"Dhjetëra" të meta të tjera të njohura të BitLocker u rregulluan, por problemi kryesor mbeti ende. Është aq absurde sa i bën të pakuptimta risitë e tjera. Bëhet fjalë për në lidhje me parimet e menaxhimit kyç.

Parimi i Los Alamos

Detyra e deshifrimit të disqeve BitLocker thjeshtohet gjithashtu nga fakti që Microsoft po promovon në mënyrë aktive metodë alternative rivendosja e aksesit në të dhëna nëpërmjet Rimëkëmbja e të dhënave Agjent. Qëllimi i "Agjentit" është se ai kodon çelësat e enkriptimit të të gjitha disqeve brenda rrjetit të ndërmarrjes me një çelës të vetëm akses. Pasi ta keni, mund të deshifroni çdo çelës, dhe për rrjedhojë çdo disk të përdorur nga e njëjta kompani. Të rehatshme? Po, veçanërisht për hakerim.

Ideja e përdorimit të një çelësi për të gjitha bravat tashmë është komprometuar shumë herë, por ai vazhdon të kthehet në një formë ose në një tjetër për hir të lehtësisë. Kjo është mënyra se si Ralph Leighton regjistroi kujtimet e Richard Feynman për një episod karakteristik të punës së tij në Projektin Manhattan në Laboratori i Los Alamos: “...kam hapur tre kasaforta - dhe të tria me të njëjtin kombinim.<…>Unë u mora me të gjitha: hapa kasafortat me të gjitha sekretet e bombës atomike - teknologjinë për prodhimin e plutoniumit, një përshkrim të procesit të pastrimit, informacione se sa material nevojitet, si funksionon bomba, si prodhohen neutronet, si funksionon bomba, cilat janë dimensionet e saj - me një fjalë, gjithçka që ata dinin në Los Alamos, të gjithë kuzhinën!”.

BitLocker është disi të kujton dizajnin e sigurt të përshkruar në një fragment tjetër të librit Ju me siguri po bëni shaka, zoti Feynman! Kasaforta më mbresëlënëse në një laborator top-sekret kishte të njëjtën dobësi si një kabinet i thjeshtë dosjesh. “...Ky ishte një kolonel, dhe ai kishte një kasafortë shumë më të sofistikuar, me dy dyer, me doreza të mëdha që nxirrnin katër shufra çeliku treçerek inç të trashë nga korniza.<…>Ekzaminova pjesën e pasme të njërës prej dyerve mbresëlënëse prej bronzi dhe zbulova se numri ishte i lidhur me një bravë të vogël që dukej tamam si brava në dollapin tim të Los Alamos.<…>Ishte e qartë se sistemi i levës varej nga e njëjta shufër e vogël që mbyllte kabinetet e dosjeve.<…>. Duke u shtirur një lloj aktiviteti, fillova të rrotulloja numrin në mënyrë të rastësishme.<…>Dy minuta më vonë - klikoni! - kasaforta u hap.<…>Kur dera e kasafortës ose sirtari i sipërm i një kabineti dosjeje është i hapur, është shumë e lehtë të gjesh kombinimin. Kjo është pikërisht ajo që bëra kur ju lexoni raportin tim, vetëm për t'ju treguar rrezikun.".

Vetë kontejnerët e kriptove BitLocker janë mjaft të sigurt. Nëse ju sjellin një flash drive që erdhi nga askund, të koduar me BitLocker To Go, atëherë nuk ka gjasa ta deshifroni atë në një kohë të pranueshme. Sidoqoftë, në një skenar real të përdorimit të disqeve të koduar dhe media e lëvizshme plot dobësi që mund të shfrytëzohen lehtësisht për të anashkaluar BitLocker.

Dobësitë e mundshme

Me siguri e keni vënë re se kur aktivizoni për herë të parë BitLocker, duhet të prisni një kohë të gjatë. Kjo nuk është për t'u habitur - procesi i kriptimit sektor pas sektori mund të zgjasë disa orë, sepse edhe leximi i të gjitha blloqeve të një HDD terabyte nuk është i mundur më shpejt. Sidoqoftë, çaktivizimi i BitLocker është pothuajse i menjëhershëm - si mund të jetë kjo?

Çështja është se kur çaktivizimi i BitLocker nuk deshifron të dhënat. Të gjithë sektorët do të mbeten të koduar me çelësin FVEK. Thjesht, qasja në këtë çelës nuk do të kufizohet më në asnjë mënyrë. Të gjitha kontrollet do të çaktivizohen dhe VMK do të mbetet e regjistruar midis meta të dhënave në tekst të qartë. Sa herë që ndizni kompjuterin, ngarkuesi i sistemit operativ do të lexojë VMK-në (pa kontrolluar TPM, duke kërkuar një çelës në një flash drive ose një fjalëkalim), do të deshifrojë automatikisht FVEK me të dhe më pas të gjithë skedarët pasi të aksesohen. Për përdoruesin do të duket si mungesë e plotë kriptimi, por më të vëmendshmit mund të vërejnë një rënie të lehtë në performancën e nënsistemit të diskut. Më saktësisht, nuk ka rritje të shpejtësisë pas çaktivizimit të kriptimit.

Ka diçka tjetër interesante në këtë skemë. Pavarësisht nga emri (teknologjia e enkriptimit të diskut të plotë), disa nga të dhënat janë duke përdorur BitLocker mbetet ende i pakriptuar. MBR dhe BS mbeten të hapura (përveç nëse disku është inicializuar në GPT), sektorët dhe meta të dhënat e dëmtuara. Një bootloader i hapur i jep hapësirë ​​imagjinatës. Sektorët pseudo të këqij janë të përshtatshëm për të fshehur rootkits dhe malware të tjerë, dhe meta të dhënat përmbajnë shumë gjëra interesante, duke përfshirë kopjet e çelësave. Nëse BitLocker është aktiv, atëherë ato do të jenë të koduara (por më të dobëta se FVEK kodon përmbajtjen e sektorëve), dhe nëse çaktivizohet, ato thjesht do të qëndrojnë në heshtje. Të gjithë këta janë vektorë të mundshëm sulmi. Ato janë potenciale sepse, përveç tyre, ka shumë më të thjeshta dhe më universale.

Çelësi i rikuperimit

Përveç FVEK, VMK dhe SRK, BitLocker përdor një lloj tjetër çelësi që krijohet "për çdo rast". Këta janë çelësat e rikuperimit, të cilët janë një tjetër vektor sulmi popullor. Përdoruesit kanë frikë të harrojnë fjalëkalimin e tyre dhe të humbasin aksesin në sistem, dhe vetë Windows rekomandon që ata të bëjnë një hyrje urgjente. Për ta bërë këtë, magjistari i enkriptimit BitLocker aktivizohet fazën e fundit ju kërkon të krijoni një çelës rikuperimi. Nuk është e mundur të refuzohet krijimi i saj. Mund të zgjidhni vetëm një nga opsionet kryesore të eksportit, secila prej të cilave është shumë e cenueshme.

Në cilësimet e paracaktuara, çelësi eksportohet si një skedar teksti i thjeshtë me një emër të njohur: "BitLocker Recovery Key #", ku ID-ja e kompjuterit është shkruar në vend të # (po, pikërisht në emrin e skedarit!). Vetë çelësi duket kështu.

Nëse keni harruar (ose nuk e keni ditur kurrë) të specifikuar në Fjalëkalimi i BitLocker, pastaj thjesht kërkoni skedarin me çelësin e rikuperimit. Me siguri do të ruhet midis dokumenteve të përdoruesit aktual ose në flash drive-in e tij. Ndoshta është shtypur edhe në një copë letër, siç rekomandon Microsoft. Thjesht prisni derisa kolegu juaj të shkojë në një pushim (duke harruar të kyçë kompjuterin e tij, si gjithmonë) dhe filloni të kërkoni.

Hyni me çelësin e rikuperimit

Për të gjetur shpejt një çelës rikuperimi, është e përshtatshme të kufizoni kërkimin sipas shtrirjes (txt), datës së krijimit (nëse mund të imagjinoni se kur mund të ishte aktivizuar BitLocker) dhe madhësisë së skedarit (1388 byte nëse skedari nuk është redaktuar). Pasi të gjeni çelësin e rikuperimit, kopjoni atë. Me të, ju mund të anashkaloni autorizimin standard në BitLocker në çdo kohë. Për ta bërë këtë, thjesht shtypni Esc dhe futni çelësin e rimëkëmbjes. Do të identifikoheni pa asnjë problem dhe madje mund të ndryshoni fjalëkalimin tuaj BitLocker në një të personalizuar pa specifikuar të vjetrin! Kjo tashmë të kujton truket nga seksioni "Ndërtimi perëndimor".

Hapja e BitLocker

Reale sistemi kriptografikështë një kompromis midis komoditetit, shpejtësisë dhe besueshmërisë. Ai duhet të parashikojë procedura transparente të enkriptimit me deshifrim në fluturim, metoda rikuperimi fjalëkalimet e harruara dhe punë e përshtatshme me çelësa. E gjithë kjo dobëson çdo sistem, pavarësisht se në çfarë algoritmesh të fortë bazohet. Prandaj, nuk është e nevojshme të kërkohen dobësi drejtpërdrejt në algoritmin Rijndael ose në skema të ndryshme të standardit AES. Është shumë më e lehtë t'i zbulosh ato në specifikat e një zbatimi të veçantë.

Në rastin e Microsoft-it, mjaftojnë "specifika" të tilla. Për shembull, kopjet e çelësave BitLocker dërgohen në SkyDrive si parazgjedhje dhe ruhen në Active Directory. Per cfare? Epo, po sikur t'i humbisni... ose të pyet agjenti Smith. Është e papërshtatshme të mbash një klient në pritje, aq më pak një agjent.

Për këtë arsye, krahasimi i fuqisë kriptografike të AES-XTS dhe AES-CBC me Elephant Diffuser zbehet në sfond, si dhe rekomandimet për të rritur gjatësinë e çelësit. Pavarësisht se sa e gjatë është, një sulmues mund ta marrë lehtësisht në formë të pakriptuar.

Marrja e çelësave të ruajtur nga një llogari Microsoft ose AD është metoda kryesore për të thyer BitLocker. Nëse përdoruesi nuk ka regjistruar një llogari në Microsoft cloud, dhe kompjuteri i tij nuk është në domen, atëherë do të ketë ende mënyra për të nxjerrë çelësat e enkriptimit. Gjatë funksionimit normal ata kopje të hapura gjithmonë të ruajtura në kujtesë e gjallë(përndryshe nuk do të kishte "kriptim transparent"). Kjo do të thotë se ato janë të disponueshme në skedarin e tij të hale dhe letargji.

Pse mbahen aty fare? Pavarësisht se sa qesharake mund të duket - për lehtësi. BitLocker është krijuar për të mbrojtur vetëm nga sulmet jashtë linje. Ato shoqërohen gjithmonë nga një rindezje dhe lidhja e diskut me një OS tjetër, gjë që çon në pastrimin e RAM-it. Megjithatë, në cilësimet e paracaktuara, sistemi operativ e shkarkon RAM-in kur ndodh një përplasje (i cili mund të provokohet) dhe shkruan të gjithë përmbajtjen e tij në një skedar hibernimi sa herë që kompjuteri shkon në gjumë të thellë. Prandaj, nëse keni hyrë së fundi në Windows me BitLocker të aktivizuar, ka një shans të mirë që të merrni një kopje të deshifruar të çelësit VMK dhe ta përdorni për të deshifruar FVEK dhe më pas vetë të dhënat përgjatë zinxhirit. Të kontrollojmë?

Të gjitha metodat e hakerimit të BitLocker të përshkruara më sipër janë mbledhur në një program - Forensic Disk Decryptor, i zhvilluar nga kompania vendase Elcomsoft. Ai mund të marrë automatikisht çelësat e enkriptimit dhe të montojë vëllime të enkriptuara si disqe virtuale, duke i deshifruar ato menjëherë.

Për më tepër, EFDD zbaton një metodë tjetër jo të parëndësishme për marrjen e çelësave - një sulm përmes portit FireWire, i cili këshillohet të përdoret në rastet kur nuk është e mundur të ekzekutoni softuerin tuaj në kompjuterin e sulmuar. Ne gjithmonë instalojmë vetë programin EFDD në kompjuterin tonë dhe në kompjuterin që hakerohet përpiqemi të bëjmë hapat minimalë të nevojshëm.

Për shembull, le të vrapojmë sistemi i testimit me BitLocker aktiv dhe “në mënyrë të padukshme” do të bëjmë një hale memorie. Pra, ne do të simulojmë një situatë në të cilën një koleg doli për drekë dhe nuk e mbylli kompjuterin e tij. Ne lëshojmë RAM Capture dhe në më pak se një minutë marrim një grumbullim të plotë në një skedar me një shtrirje .mem dhe një madhësi që korrespondon me sasinë e RAM-it të instaluar në kompjuterin e viktimës.

Bërja e një hale kujtese

Si të bëni një hale - nga në përgjithësi nuk ka rëndësi. Pavarësisht nga zgjatja, do të funksionojë skedar binar, e cila më pas do të analizohet automatikisht nga EFDD në kërkim të çelësave.

Ne e shkruajmë deponinë në një flash drive ose e transferojmë atë përmes rrjetit, pas së cilës ulemi në kompjuterin tonë dhe nisim EFDD.

Zgjidhni opsionin "Nxjerrja e çelësave" dhe futni shtegun për në skedarin e depozitimit të kujtesës si burim kryesor.

Specifikimi i burimit kryesor

BitLocker është një kontejner tipik kripto, si PGP Disk ose TrueCrypt. Këto kontejnerë rezultuan të ishin mjaft të besueshëm më vete, por aplikacionet e klientit Për të punuar me ta nën Windows, ata mbushin çelësat e enkriptimit në RAM. Prandaj, EFDD zbaton një skenar sulmi universal. Programi gjen menjëherë çelësat e enkriptimit nga të tre llojet e kontejnerëve të njohur të kriptove. Prandaj, mund t'i lini të gjitha kutitë të kontrolluara në rast se viktima përdor fshehurazi TrueCrypt ose PGP!

Pas disa sekondash, Elcomsoft Forensic Disk Decryptor tregon të gjithë çelësat e gjetur në dritaren e tij. Për lehtësi, mund t'i ruani ato në një skedar - kjo do të jetë e dobishme në të ardhmen.

Tani BitLocker nuk është më problem! Mund të kryeni një sulm klasik jashtë linje - për shembull, hiqni hard diskun e një kolegu dhe kopjoni përmbajtjen e tij. Për ta bërë këtë, thjesht lidheni atë me kompjuterin tuaj dhe ekzekutoni EFDD në modalitetin "dekriptoni ose montoni diskun".

Pas specifikimit të shtegut të skedarëve me çelësat e ruajtur, EFDD, sipas zgjedhjes suaj, do të kryejë një deshifrim të plotë të volumit ose do ta hapë menjëherë atë si një disk virtual. NË rastin e fundit skedarët deshifrohen ndërsa aksesohen. Në çdo rast, vëllimi origjinal nuk është bërë asnjë ndryshim, kështu që të nesërmen mund ta ktheni atë sikur të mos kishte ndodhur asgjë. Puna me EFDD ndodh pa gjurmë dhe vetëm me kopje të të dhënave, dhe për këtë arsye mbetet e padukshme.

BitLocker To Go

Duke filluar me Windows 7, u bë e mundur të kriptoni disqet flash, USB-HDD dhe media të tjera të jashtme. Një teknologji e quajtur BitLocker To Go kodon disqet e lëvizshme në të njëjtën mënyrë si disqe lokale. Kriptimi aktivizohet duke përdorur artikullin e duhur në menynë e kontekstit të Explorer.

Për disqet e reja, mund të përdorni enkriptimin vetëm të zonës së okupuar - njësoj vend i lirë Seksioni është plot zero dhe nuk ka asgjë për të fshehur atje. Nëse disku është përdorur tashmë, rekomandohet ta aktivizoni enkriptim i plotë. Përndryshe, vendndodhja e shënuar si e lirë do të mbetet e pakriptuar. Mund të përmbajë të hapur së fundmi skedarët e fshirë, të cilat ende nuk janë mbishkruar.

Edhe kriptimi i shpejtë vetëm i zonës së pushtuar zgjat nga disa minuta deri në disa orë. Kjo kohë varet nga vëllimi i të dhënave, gjerësia e brezit ndërfaqja, karakteristikat e diskut dhe shpejtësia e llogaritjes kriptografike të procesorit. Për shkak se kriptimi shoqërohet me kompresim, hapësira e lirë në diskun e koduar zakonisht rritet pak.

Herën tjetër që të lidhni një flash drive të enkriptuar me çdo kompjuter me Windows 7 ose më të lartë, magjistari BitLocker do të thirret automatikisht për të zhbllokuar diskun. Në Explorer, para zhbllokimit, ai do të shfaqet si një disk i kyçur.

Këtu mund të përdorni të dyja opsionet e diskutuara tashmë për anashkalimin e BitLocker (për shembull, kërkimi i çelësit VMK në një skedar memorie ose letargji), si dhe të reja që lidhen me çelësat e rikuperimit.

Nëse nuk e dini fjalëkalimin, por keni arritur të gjeni një nga çelësat (me dorë ose duke përdorur EFDD), atëherë ekzistojnë dy opsione kryesore për të hyrë në flash drive të koduar:

• përdorni magjistarin e integruar të BitLocker për të punuar drejtpërdrejt me një flash drive;
• përdorni EFDD për të deshifruar plotësisht flash drive-in dhe për të krijuar imazhin e tij sektor pas sektori.

Opsioni i parë ju lejon të përdorni menjëherë skedarët e regjistruar në flash drive, t'i kopjoni ose ndryshoni ato, si dhe të shkruani tuajat. Opsioni i dytë zgjat shumë më shumë (nga gjysmë ore), por ka avantazhet e tij. Imazhi i deshifruar sektor pas sektori ju lejon të kryeni më tej një analizë më të rafinuar të sistemit të skedarëve në nivelin e laboratorit mjekoligjor. Në këtë rast, vetë flash drive nuk është më i nevojshëm dhe mund të kthehet i pandryshuar.

Imazhi që rezulton mund të hapet menjëherë në çdo program që mbështet formatin IMA, ose së pari të konvertohet në një format tjetër (për shembull, duke përdorur UltraISO).

Sigurisht, përveç zbulimit të çelësit të rikuperimit për BitLocker2Go, EFDD gjithashtu mbështet të gjitha metodat e tjera të anashkalimit të BitLocker. Thjesht kaloni gjithçka opsionet e disponueshme me radhë derisa të gjeni një çelës të çdo lloji. Pjesa tjetër (deri në FVEK) do të deshifrohet përgjatë zinxhirit dhe ju do të keni akses të plotë në disk.

konkluzionet

Teknologjia e enkriptimit të diskut të plotë BitLocker ndryshon midis versioneve të Windows. Pas konfigurimit adekuat, ju lejon të krijoni kontejnerë kripto që janë teorikisht të krahasueshëm në forcë me TrueCrypt ose PGP. Sidoqoftë, mekanizmi i integruar në Windows për të punuar me çelësa mohon të gjitha truket algoritmike. Në veçanti, çelësi VMK i përdorur për të deshifruar çelësin kryesor në BitLocker rikuperohet duke përdorur EFDD në disa sekonda nga një dublikatë e ruajtjes, një deponim memorie, një skedar hibernimi ose një sulm porti FireWire.

Pasi të keni çelësin, mund të kryeni një sulm klasik offline, të kopjoni në heshtje dhe të deshifroni automatikisht të gjitha të dhënat në diskun "të mbrojtur". Prandaj, këshillohet të përdorni BitLocker vetëm në lidhje me mjete të tjera mbrojtjeje: të koduar sistemi i skedarëve(EFS), Shërbimi i Menaxhimit të të Drejtave (RMS), kontrolli i nisjes së programit, instalimi i pajisjes dhe kontrolli i lidhjes, si dhe politika më të rrepta lokale dhe masa të përgjithshme sigurie.

Përditësuar së fundi më 28 shkurt 2017.

Sistemi operativ Windows nuk mund të garantojë 100% që nëse keni një fjalëkalim, personat e paautorizuar nuk do të kenë akses në laptopin tuaj. Fjalëkalimi i llogarisë mund të zbulohet dhe ndryshohet duke përdorur mjete speciale pa pasur akses në vetë OS. Prandaj, ekziston nevoja për të kriptuar të dhënat në hard disk. Kjo ju lejon të mos shqetësoheni për aksesin e paautorizuar nëse pronari e kyç atë përpara se ta lërë laptopin pa mbikëqyrje.

Ky artikull do të diskutojë një program për enkriptim i vështirë Disku VeraCrypt me sistemin operativ Windows 10 dhe i gjithë hard disku i sistemit me të gjitha ndarjet, duke përfshirë ndarjen e sistemit, do të kodohen. Qëndrimi kategorik ndaj sistemit operativ është për faktin se artikujt "Disku i ngurtë i koduar virtual duke përdorur VeraCrypt" dhe "Enkriptoni një kompjuter duke përdorur TrueCrypt" ishin botuar tashmë më herët, dhe pyetjet në lidhje me kodimin e një hard disk në Windows 10 filluan të lindnin shpesh. mes vizitorëve të faqes.

Instalimi i VeraCrypt

Le të nisim skedari i instalimit. Shfaqet dritarja e parë Marrëveshja e licencës, Shtyp butonin " Unë pranoj kushtet e licencës", që do të thotë marrëveshje me kushtet e saj. Kliko "" Tjetra".

Në dritaren tjetër ju duhet të zgjidhni mënyrën e instalimit - instalim ose shpaketim. Modaliteti i paketimit mund të jetë i dobishëm për të punuar me të koduar virtuale hard disqet. Meqenëse është e nevojshme të kriptoni të gjithë diskun dhe të mos krijoni virtuale e vështirë disqe, duhet të zgjidhni " Instaloni"dhe shtypni butonin" Tjetra".

Tjetra, ju duhet të zgjidhni opsionet e instalimit. Lini opsionet si parazgjedhje, klikoni " Instaloni".

Procesi i instalimit ka filluar, thjesht presim që të shfaqet mesazhi për instalimin e suksesshëm.

Shfaqet një mesazh që tregon se instalimi përfundoi me sukses.

Tani mund të shihni një kërkesë nga zhvilluesit për të dhuruar para. Kliko " Përfundo".

Pasi të klikoni Finish, shfaqet një mesazh që ju kërkon të shikoni materialin e referencës, klikoni " Nr".

Instalimi i programit të enkriptimit të diskut të ngurtë ka përfunduar me sukses.

Vendosja e programit dhe enkriptimi i hard diskut

Hapni shkurtoren nga desktopi " VeraCrypt".

Si parazgjedhje, ndërfaqja është e ndezur gjuhe angleze, por ka një përkthim në Rusisht, ndërfaqja thjesht duhet të kalohet në Rusisht. Shkoni te "tab" Cilësimet", pastaj tregoni" Gjuhe...".

Në dritaren tjetër ju duhet të zgjidhni " ruse"Gjuha dhe shtypni butonin" Ne rregull".

Ndërfaqja menjëherë bëhet në Rusisht. Kjo është e bukur, pasi në TrueCrypt ishte e nevojshme të rindizni programin për të aplikuar gjuhën e ndërfaqes, por në VeraCrypt gjuha ndryshon menjëherë pa rifillim.

Tani le të fillojmë procesin e kriptimit të hard drive-it, duke marrë parasysh faktin që ne po përdorim sistemin operativ Windows 10 Shkoni në skedën " Sistemi"dhe zgjidhni artikullin" Enkriptoni ndarjen/diskun e sistemit".

Tani ju duhet të zgjidhni llojin e kriptimit - të rregullt ose të fshehur. Per perdorim lloj i fshehur ju duhet të keni dy hard disqet, dy ndarje të një disku nuk do të funksionojnë. Zgjidhni llojin normal.

Tjetra, duhet të specifikoni zonën për kriptim. Enkriptimi ndarjen e sistemit rekomanduar nga zhvilluesit, pasi enkriptimi i të gjithë diskut mund të shkaktojë probleme me sektori i çizmeve VeraCrypt për shkak të hapësirës së pamjaftueshme. Vlen të përmendet se nëse keni disa ndarje në një disk dhe zgjidhni " enkriptoni ndarjen e sistemit"Vetëm ndarja në të cilën është instaluar Windows do të jetë e koduar. Në laptopë njerëzit shpesh krijojnë dy ndarje, një për sistemin dhe tjetrën për të dhënat e përdoruesit. Në këtë rast, të dhënat e përdoruesit nuk do të mbrohen, prandaj rekomandohet të zgjidhni " Kriptimi i të gjithë diskut Zgjidhni të gjithë diskun.

Shfaqet një njoftim që rekomandon përdorimin e enkriptimit vetëm për ndarjen e sistemit. Kliko " Nr", pasi i gjithë disku duhet të kodohet.

Tani duhet të specifikoni nëse dëshironi të zbuloni dhe enkriptoni ndarjen e fshehur. Kriptimi i të gjithë diskut është zgjedhur tashmë, kështu që zgjidhni " Nr".

Tjetra ju duhet të tregoni numrin e sistemeve operative të instaluara. Nëse nuk ka zgjedhje të sistemit operativ kur nisni kompjuterin tuaj, atëherë është instaluar vetëm një OS. Ky udhëzim ka për qëllim një laptop me një OS, nëse përdoren shumë OS, atëherë zgjidhni artikullin "" sipas rrezikut dhe rrezikut tuaj. Zgjidhni artikullin "".

Tani zgjedhim algoritmin e kriptimit. Algoritmi i paracaktuar është AES me një gjatësi kyçe prej 256. Zgjedhja optimale. Mund të zgjidhni AES(Twofish(Serpent)), por më pas kriptimi mund të zgjasë më shumë se katër orë. Lëreni si parazgjedhje ose zgjidhni një opsion më të fortë.

nese " AES (Dypeshk (Gjarpër))"Më pas, do të shfaqet një njoftim në lidhje me përdorimin e një kaskade shifrash. Duhet ta lexoni me kujdes dhe mos e humbisni diskun e rikuperimit që do të krijohet më vonë. Kliko "" po".

Më pas, do të shfaqet një njoftim tjetër për përdorimin e një kaskade shifrash. Kliko " Ne rregull".

Tani duhet të specifikoni fjalëkalimin që do të përdoret për të nisur sistemin operativ. Rekomandohet fuqimisht përdorimi i fjalëkalimeve me të paktën 20 karaktere. Nëse një fjalëkalim i tillë nuk është i përshtatshëm, pasi definitivisht nuk do të mund ta mbani mend, atëherë mund të futni një të shkurtër, por të paktën 8 karaktere duke përdorur shenja dhe simbole. Nuk duhet të përmbajë fjalë ose shkurtesa nga mbiemri dhe inicialet. Nëse përdorni një fjalëkalim të shkurtër, do të shfaqet një paralajmërim. Rekomandohet të lini opsione të tjera si parazgjedhje. Mund të kontrolloni kutinë " Përdorni PIM" dhe në dritaren tjetër do t'ju duhet të tregoni përsëritjet e thjeshta, të cilat duhet të mbahen mend, përndryshe nuk do të mund të hyni në sistem. Prandaj, ju rekomandojmë të mos kontrolloni kutinë " Përdorni PIM". Futni fjalëkalimin.

Më pas vjen mbledhja e të dhënave të rastësishme. Thjesht lëvizni miun rreth dritares derisa treguesi të bëhet i gjelbër dhe më pas klikoni " Me tutje".

Çelësat dhe të dhënat e rastësishme janë krijuar me sukses, klikoni " Me tutje".

Tani ju duhet të krijoni një imazh të rikuperimit dhe ta digjni atë në disk. Si parazgjedhje, imazhi krijohet në dokumentet e përdoruesit, por ju mund të ndryshoni vendndodhjen duke klikuar " Rishikimi", gjëja kryesore kur ndryshoni vendndodhjen është të specifikoni një emër me të njëjtën shtrirje" VeraCrypt Rescue Disk.iso". Kliko " Me tutje".

Fusni një disk bosh ose të rishkueshëm (CD ose DVD) dhe digjni imazhin e diskut. Kliko " Shkruani".

Pasi disku të jetë djegur me sukses, shtypni " Mbylle"Mos e hiqni diskun nga disku, pasi do të duhet të kontrollohet më vonë.

Ne kthehemi te dritarja e magjistarit VeraCrypt. Më pas, disku i rikuperimit do të kontrollohet. Kliko " Me tutje".

Dritarja tjetër thotë se skanimi i diskut ishte i suksesshëm. Kliko " Me tutje".

Tani ju duhet të zgjidhni mënyrën e pastrimit. Kjo dritare e përshkruan mirë atë, por duhet theksuar se pastrimi do t'i shtojë më shumë kohë procesit të kriptimit. Nëse në rastin tuaj ekziston rreziku që ata të përpiqen të nxjerrin të dhënat në të ardhmen e afërt, atëherë duhet të zgjidhni një mënyrë pastrimi me një numër kalimesh prej të paktën tre. Zgjidhni mënyrën e pastrimit dhe shtypni " Me tutje".

Tani duhet të kontrolloni nëse gjithçka po funksionon siç duhet. Shtyp butonin " Test".

Tjetra, do të shfaqet një njoftim që thotë se ngarkuesi VeraCrypt nuk është përkthyer në Rusisht, domethënë derisa të ngarkohet Sistemi Operativ, gjithçka do të jetë në anglisht. Kliko " po".

Më pas, magjistari i krijimit të vëllimit do t'ju kërkojë të rinisni kompjuterin tuaj. Kliko " po".

Kur nisni kompjuterin tuaj përpara se të ngarkoni sistemin operativ, do të shfaqet ngarkuesi VeraCrypt. Futni fjalëkalimin e specifikuar më parë, por mos vendosni asgjë në fushën PIM (përveç nëse keni kontrolluar " Përdorni PIM"), thjesht shtypni Enter. Nëse keni kontrolluar " Përdorni PIM", atëherë duhet të futni numrin e përsëritjeve në fushën përkatëse. Më pas do të fillojë procesi i verifikimit të fjalëkalimit, i cili mund të marrë pak kohë, kështu që nuk ka nevojë për panik nëse zgjat nga 2 deri në 5 minuta. Nëse futni një fjalëkalimi i pasaktë ose një PIM i pasaktë (nëse përdoret), do të shkruhet fjalëkalimi i pasaktë.

Nëse kompjuteri juaj nuk fillon, duhet të përdorni një disk rikuperimi. Kur kompjuteri nis me sukses, ne shohim një mesazh për testimin e suksesshëm. Tani gjithçka është gati për kriptim. Kliko " Enkriptimi".

Më pas, do të shfaqet një mesazh me udhëzime për përdorimin e diskut të rikuperimit, të cilin duhet ta printoni. Kliko " Ne rregull".

Fillon procesi i kriptimit. Koha e kriptimit varet nga kompjuteri - sa i fuqishëm është dhe çfarë lloji të medias së ruajtjes përdoret. Në rast se Koha SSD Kriptimi i shifrave të kaskadës pa fshirje mund të zgjasë rreth 80 minuta. Në rastin e hard disqeve konvencionale në kushte të ngjashme, koha e kriptimit mund të jetë rreth katër orë.

Kur kriptimi të përfundojë, do të shfaqet një mesazh që tregon se hard disku është koduar me sukses.

Kriptimi ka përfunduar, klikoni " Gati".

Deshifrimi i diskut

Kjo metodë e deshifrimit është e përshtatshme vetëm nëse procesi i kriptimit është përfunduar pa gabime dhe Sistemi operativ ngarkohet me sukses.
Nisni VeraCrypt, disku i sistemit do të jetë në listë, klikoni me të djathtën mbi të dhe zgjidhni "Dekriptoni përgjithmonë".
Programi do të kërkojë konfirmimin e deshifrimit. Klikoni "Po". Pastaj do të shfaqet një konfirmim tjetër, klikoni "Po".
Fillon procesi i deshifrimit, i cili do të marrë të njëjtën kohë sa mori procesi i deshifrimit minus pastrimi. Pasi të përfundojë, do të shfaqet një njoftim që tregon deshifrimin e suksesshëm dhe do t'ju kërkohet të rinisni kompjuterin tuaj.