BitLocker Drive Encryption — проприетарная технология, являющаяся частью операционных систем Microsoft Windows Vista Ultimate/Enterprise, Windows 7Ultimate/Enterprise и Windows Server 2008 R2. BitLocker позволяет защищать данные путём полного шифрования диска(ов) (логических, с Windows 7 - и карт SD и USB-флешек) (в терминологии Microsoft — тома(ов)). Поддерживаются следующие алгоритмы шифрования:

• AES 128
• AES 128 c Elephant diffuser (используется по умолчанию)
• AES 256
• AES 256 c Elephant diffuser

Сам ключ может храниться в TPM или в USB-устройстве. Либо же в компьютере. В случае с TPM при загрузке компьютера ключ может быть получен из него сразу, либо только после аутентификации с помощью USB-ключа или ввода PIN-кода пользователем. Таким образом, возможны следующие комбинации для доступа:

• TPM
• TPM + PIN
• TPM + PIN + USB-ключ
• TPM + USB-ключ
• USB-ключ (данный режим требует активации через групповые политики)

Принципы работы

BitLocker шифрует том, а не физический диск. Том может занимать часть диска, а может включать в себя массив из нескольких дисков. Для работы BitLocker’у в случае шифрования системного диска потребуется два NTFS-тома, один для ОС и один для загрузочной части. Последний должен быть не менее 1.5 Гб, и не будет зашифрован. Начиная с Windows Vista SP1 появилась возможность шифровать несистемные тома. После создания разделов необходимо инициализировать TPM-модуль в ПК, где он есть, и активировать BitLocker. В Windows 7 появился BitLocker To Go, позволяющий шифровать сменные носители, а также снижены требования для загрузочной части, для неё достаточно 100 Мб. При установке Windows 7 на пустой диск, загрузочный раздел создаётся автоматически.

Механизмы расшифровки и их уязвимости

Существует три механизма проверки подлинности, которые можно использовать для реализации Bitlocker шифрования:

• Прозрачный режим работы: Этот режим использует возможности аппаратного обеспечения Trusted Platform Module (TPM) для предоставления прозрачной работы пользователей. Пользователи включают и входят на компьютер с операционной системой Windows, как обычно. Ключ, используемый для шифрования диска закодирован в чип TPM и он может быть выдан только в коде загрузчика ОС (если загрузочные файлы, показываются как не измененные). Этот режим уязвим для нападения при холодной загрузке, так как позволяет выключить компьютер и загрузиться злоумышленнику.
• Режим проверки подлинности пользователя: Этот режим предполагает, что пользователь прошёл некоторую аутентификацию в пред-загрузочной среде в виде предварительного ввода PIN-кода. Этот режим уязвим при использовании буткит-атак.
• Режим USB-ключа : Пользователь должен вставить устройство USB в компьютер, которое содержит ключ запуска, чтобы иметь возможность загрузки в защищенную операционную систему. Обратите внимание, что для этого режима необходимо, чтобы BIOS на компьютере поддерживал чтение устройств USB в загрузочной среде. Этот режим также уязвим к буткит-нападениям.

См. также

• Шифрование
• Список ПО для шифрования

Ссылки

• Администрирование Windows: Внутреннее устройство ядра Windows Vista: часть 3
• Windows BitLocker Drive Encryption Frequently Asked Questions
• BitLocker Drive Encryption Technical Overview
• Загрузка Bitlocker Drive Preparation Tool
• Доклад о Bitlocker
• Обзор возможностей BitlockerToGo и других технологиях обеспечения безопасности в Windows 7.