Cesko.wiki BitLocker
Author
Albert FloresBitLocker je nástroj pro šifrování disků a diskových svazků, vyvíjený společností Microsoft. Je integrován ve vybraných verzích operačního systému Windows a jeho účelem je ochrana dat uložených na discích před neoprávněným přístupem. Je primárně navržen pro použití na zařízeních vybavených čipem Trusted Platform Module (TPM), kde kromě šifrování diskových oddílů umožňuje i kontrolu integrity celého systému.
Dějiny
BitLocker vznikl jako součást architektury Microsoft Next-Generation Secure Computing Base v roce 2004 jako funkce s předběžným kódovým označením „Cornerstone“ a byl navržen k ochraně informací na zařízeních, zejména pokud bylo zařízení ztraceno nebo odcizeno; další funkce, nazvaná "Code Integrity Rooting", byla navržena pro ověření integrity spouštěcích a systémových souborů Microsoft Windows. Při použití ve spojení s kompatibilním modulem Trusted Platform Module (TPM) může BitLocker ověřit integritu spouštěcích a systémových souborů před dešifrováním chráněného svazku; neúspěšné ověření zakáže přístup do chráněného systému. +more BitLocker byl krátce nazýván Secure Startup před vydáním Windows Vista do výroby.
BitLocker je k dispozici na:
* Edice Ultimate a Enterprise Windows Vista a Windows 7 * Verze Pro a Enterprise Windows 8 a 8.1 * Verze Pro, Enterprise a Education systému Windows 10
* Verze Pro, Enterprise a Education systému Windows 11 * Windows Server 2008 a novější
Dostupnost
BitLocker pro šifrování disků byl poprvé představen s operačním systémem Windows Vista jako nástroj k ochraně dat na počítačích, které byly odcizeny, ztraceny, nebo nekorektně vyřazeny. Od verze Windows 7 je k dispozici také funkce šifrování výměnných médií nazvaná BitLocker To Go.
Nástroj BitLocker je dostupný v těchto verzích operačního systému Windows: * Windows Server 2008 a všechny následující serverové verze * Windows Vista (edice Enterprise a Ultimate) * Windows 7 (edice Enterprise a Ultimate) * Windows 8 a 8.1 (edice Enterprise a Ultimate) * Windows 10 (edice Pro, Enterprise a Education)
BitLocker Drive Encryption
BitLocker Drive Encryption šifruje celé diskové oddíly. Pro jeho použití musí být disk rozdělen minimálně na dva oddíly. +more První oddíl obsahuje operační systém a další podpůrné soubory. Tento oddíl musí být naformátován na souborový systém NTFS a může být zašifrován. Druhý oddíl je systémový a obsahuje soubory potřebné pro zavedení operačního systému. Souborový systém tohoto oddílu musí být FAT32 (pro počítače používající UEFI) nebo NTFS (pro počítače používající BIOS). Systémový oddíl se nešifruje. Šifrovat lze dvěma způsoby - buď je zašifrován rovnou celý diskový oddíl, nebo jen jeho používaná část. V případě šifrování celého oddílu se šifrují i části disku, které zatím neobsahují žádná data. Tato varianta se považuje za nejbezpečnější, zvláště v případě, že disk dříve obsahoval citlivá data, protože části těchto dat mohou i po vymazání nebo přesunutí zůstat na disku v prostoru označeném jako nepoužívaný.
Šifrování pouze využitého místa je vhodné především na nových discích, které doposud žádná data neobsahovaly. Výhodou tohoto režimu šifrování v porovnání s šifrováním celého oddílu je velké zrychlení procesu šifrování. +more Nová data jsou poté šifrována v okamžiku jejich zápisu na disk.
Použití s čipem TPM
Pokud se v počítači nachází funkční čip TPM, je šifrovací klíč používaný BitLockerem uložen právě v něm. Při startu počítače se zapnutým BitLockerem a aktivním čipem TPM je nejprve ověřována integrita celého systému. +more V TPM čipu je uchováván otisk systému, který je při startu porovnán s aktuálním stavem - pokud by některá část systému byla změněna, otisk nebude souhlasit a zavedení operačního systému nebude BitLockerem povoleno. Pokud systém ověřením integrity projde úspěšně, z čipu TPM jsou načteny šifrovací klíče, je zaveden operační systém a data na disku jsou zpřístupněna. Tento proces probíhá automaticky při každém startu počítače a není při něm vyžadována žádná interakce ze strany uživatele.
BitLocker podporuje čipy TPM verze 1.2 a vyšší, s TPM 2.0 navíc vyžaduje zařízení podporující UEFI.
Použití bez čipu TPM
BitLocker lze používat i na počítačích, které čipem TPM nedisponují. Šifrovací klíč BitLockeru lze v takovém případě uložit na USB flash disk a při startu systému tento disk připojit k počítači. +more Další možností je nastavení hesla, které uživatel zadává po zapnutí počítače. Počítače bez TPM čipu nemohou využívat funkci ověření integrity.
Vícefaktorová autentizace
Pro zvýšení bezpečnosti je možné zároveň s čipem TPM použít i doplňující metody autentizace. Dostupné možnosti jsou: * PIN - při startu počítače je nutné zadat identifikační kód. +more Po opakovaném zadání chybného PINu dojde k uzamčení počítače. * Startup Key - při startu je vyžadováno vložení USB flash disku s uloženým klíčem. * Network Key - odemčení probíhá pomocí klíče načteném ze serveru ve firemní síti. První dvě metody lze navíc ještě zkombinovat, tedy vynutit vložení USB flash disku a zároveň zadání PINu.
BitLocker To Go
Komponenta BitLocker To Go umožňuje šifrovat výměnná média, jako USB flash disky, SD karty nebo externí harddisky. Podporované systémy souborů pro použití s BitLocker Go jsou NTFS, FAT16, FAT32 a exFAT. +more Data na zašifrovaných médiích lze následně zpřístupnit zadáním hesla, použitím čipové karty k jejich odemčení, nebo je odemknout na jiném počítači podporujícím BitLocker Drive Encryption.
Obnova systému
V případě nestandardní události dojde k uzamčení počítače chráněného BitLockerem. Může se jednat například o: * Přesunutí zašifrovaného disku do jiného počítače * Výměna základní desky * Deaktivace nebo vymazání čipu TPM * Aktualizace BIOSu * Zapomenutí PINu nebo ztráta USB flash disku se startup key Pro tyto případy generuje BitLocker při své inicializaci obnovovací klíč. +more Jedná se o 48místné náhodně generované číslo, které má uživatel možnost si uložit nebo vytisknout. Po selhání standardní autentizace je možné tento klíč zadat a zajistit tak odemknutí systému. Další možností je vytvoření obnovovacího USB flash disku a uzamčený systém zpřístupnit jeho vložením.
Šifrovací algoritmy
Původně BitLocker používal k šifrování algoritmus AES-CBC s velikostí klíče 128 nebo 256 bitů. Od verze 1511 operačního systému Windows 10 přešel BitLocker na šifrování pomocí bezpečnějšího algoritmu XTS-AES s velikostí klíče 128 nebo 256 bitů. +more Z důvodu kompatibility je stále možné použít i původní šifrovací algoritmus, například pro šifrování vyměnitelných médií, která jsou střídavě připojována k počítačům se starým i novým způsobem šifrování.