BitLocker Drive Encryption
Apibrėžimas
BitLocker Drive Encryption tai sistema, skirta kietojo disko šifravimui
Paaiškinimai
BitLocker Drive Encryption tai sistema, skirta kietojo disko šifravimui. Ši programa yra naudojama, Windows Vista ir 7 operacinių sistemų Ultimate ir Enterprise versijose, taip pat Windows Server 2008. Pagal nutylėjimą BitLocker naudoja AES šifravimo algoritmą CBC (angl. Cipher block chaining) režimu su 128 bitų raktu, kombinuojant su Elephant diffuser, papildomai užtikrinančiu specifinį kietojo disko šifravimo saugumą, kurio neužtikrina AES.
Yra trys autentifikacijos mechanizmai, kurie gali būti panaudoti BitLocker šifravimui realizuoti:
- Skaidrus darbo režimas. Šis režimas naudoja aparatines TPM modulio galimybes skaidriam vartotojų darbo režimui užtikrinti – vartotojai kaip įprasta įjungia kompiuterį ir prisijungia prie Windows operacinės sistemos. Raktas, naudojamas disko šifravimui yra saugomas užrakintas (užšifruotas) TPM luste ir gali būti perduotas tik OS krovimosi kodui, jei nustatoma, kad įkrovimo failai yra tikri (nepakeisti).
- Vartotojo autentifikavimo režimas. Naudojant šį režimą vartotojas turi įvesti autentifikavimo informaciją – PIN kodą – prieš pradedant kompiuterio krovimą.
USB rakto režimas. Kad galima būtų užkrauti apsaugotą OS, vartotojas privalo įdėti USB raktą, kuriame yra saugomas OS krovimosi raktas.
Taip pat, gali būti naudojami kombinuoti autentifikacijos būdai:
- TPM+PIN;
- TPM+PIN+USB raktas;
TPM+USB raktas;
BitLocker yra loginių diskų šifravimo sistema. Loginis diskas nebūtinai turi būti visas kietasis diskas. Taip pat loginis diskas gali apimti kelis fizinius diskus. BitLocker veikimui yra reikalingi mažiausiai du NTFS formato loginiai diskai – vienas operacinei sistemai (dažniausiai C:) ir kitas, kurio minimalus dydis yra 100 MB, naudojamas operacinei sistemai paleisti. Be to, yra reikalavimas, kad paleidimo diskas būtų neužšifruotas. Windows 7 paleidimo diską sukuria pagal nutylėjimą, o Vista atveju gali tekti jį susikurti rankiniu būdu.
Kai krovimosi diskas yra sukurtas, turi būti paleistas TPM modulis (jei jis naudojamas), po ko seka šifravimo rakto apsaugos mechanizmų, tokių kaip TPM, PIN ar USB, konfigūravimas. Po to disko šifravimas vyksta kaip foninė užduotis. Šifravimas gali užtrukti labai ilgą laiko tarpą, kai šifruojami dideli diskai, nes kiekvienas loginis sektorius yra nuskaitomas, užšifruojamas ir vėl įrašomas. Diskas laikomas saugiu tik tada, kai visas loginis diskas yra užšifruotas, raktai apsaugoti. BitLocker naudoja žemo lygio tvarkykles šifravimui ir užšifravimui, todėl visi veiksmai su užšifruotu disku yra skaidrūs sistemoje veikiančioms programoms.
Taigi, BitLocker apsauga pradeda veikti įjungiant kompiuterį. Sėkmingai įjungus kompiuterį visi duomenys yra pasiekiami vartotojams – sistema veikia skaidriu režimu. Tam, kad apsaugoti duomenis nuo nepageidaujamų vartotojų ar procesų paleidus operacinę sistemą, reikia naudoti programinę šifravimo įrangą, veikiančia operacinėje sistemoje. Tam gali būti naudojama EFS.
Naudota literatūra