Современные
информационные технологии/4. Информационная безопасность
Овчаренко М.А., Горюнов М.С.
Национальный горный университет, Украина
Защита тома диска с использованием
шифрования BitLocker
Windows BitLocker Drive
Encryption –
аппаратная система обеспечения безопасности, позволяющая реализовать шифрование
на уровне томов.
Система
шифрования дисков BitLocker впервые появилась в Windows Vista. Благодаря
BitLocker злоумышленники, использующие другую операционную систему или
запускающие вредоносные программные средства, не должны взломать защиту файлов
и системы Windows или просмотреть в автономном режиме файлы, хранящиеся на
защищенном диске.
В Windows
7 для защиты от постоянной опасности утечки данных, а также для обеспечения
управляемости и обновлений развертывания используется не только шифрование
дисков BitLocker, но и BitLocker То Go.
BitLocker To Go —
это новая функция в Windows 7, позволяющая
ограничить несанкционированное использование переносных устройств хранения,
которые могут легко потеряться, например USB-устройств флэш-памяти и
внешних жестких дисков и позволяющая читать их только авторизованным
пользователям.
Ключи шифрования
BitLocker
зашифровывает содержимое тома, используя ключ шифрования всего тома (FVEK —
Full Volume Encryption Key), назначенного ему во время его первоначальной
настройки для использования компонента BitLocker, с использованием алгоритмов
128- или 256-разрядного ключа AES AES128-CBC и AES256-CBC с расширениями
Microsoft, которые называются диффузорами. Ключ FVEK шифруется с помощью
главного ключа тома (VMK — Volume Master Key) и хранится на томе в области,
специально отведенной для метаданных. Защита главного ключа тома является
косвенным способом защиты данных тома: дополнение главного ключа тома позволяет
системе пересоздать ключ после того как ключи были утеряны или
скомпрометированы.
Шифрование
BitLocker поддерживает пять режимов проверки подлинности в зависимости от
аппаратных возможностей компьютера и требуемого уровня безопасности. Если
аппаратная конфигурация поддерживает технологию доверенного платформенного
модуля (TPM), то можно сохранять VMK как только в TMP, так и в TPM и на
устройстве USB или сохранять ключ VMK в TPM и при загрузке системы вводить PIN.
Помимо этого есть возможность скомбинировать два предыдущих метода. А для
платформ, которые не совместимы с технологией TPM, можно хранить ключ на
внешнем USB устройстве.
Стоит
обратить внимание на то, что при загрузке операционной системы с включенным
шифрованием BitLocker, выполняется последовательность действий, которая зависит
от набора средств защиты тома. Эти действия включают в себя проверку
целостности системы, а также другие шаги по проверке подлинности, которые
должны быть выполнены перед снятием блокировки с защищённого тома.
Способы,
которые можно использовать для шифрования тома:
1
использование
только TPM. Защищает от программных атак, но уязвим к аппаратным атакам.
Никаких дополнительных действий со стороны пользователя не требуется;
2
TPM
+ PIN. Добавляет защиту от аппаратных атак. При этом пользователь должен
вводить PIN-код при каждом запуске ОС;
3
TPM
+ ключ USB. Полная защита от аппаратных атак, но уязвима к потере ключа USB
(пользователь должен использовать ключ USB при каждом запуске ОС);
4
TPM
+ ключ USB + PIN - максимальный уровень защиты (при каждом запуске ОС
пользователь должен вводить PIN-код и использовать ключ USB);
5
только
ключ USB - минимальный уровень защиты для компьютеров, не оснащенных TPM + есть
риск потери ключа (пользователь должен использовать ключ USB при каждом запуске
ОС).
Сегодня
существуют разные методы атак на BitLocker. Среди них упоминается
метод, предполагающий загрузку ПК с USB-носителя, в ходе
которой загрузчик BitLocker заменяется на
подложный, записывающий введенный пользователем пароль в незашифрованном виде.
Исследователи отмечают, что защитить от такой атаки не сможет даже Trusted
Computing Module. После записи пароля
жертвы на жесткий диск оригинальный загрузчик перезаписывается в MBR,
после чего система перезагружается. Все, что нужно нападающему после этого –
еще раз загрузить компьютер с USB-накопителя и получить
доступ к жесткому диску.
BitLocker - это ограниченный продукт в своем эволюционном
развитии. Для некоторых организаций его вполне достаточно. Для организаций,
относящихся к информационной безопасности серьезно, эта технология должна быть
доработана значительно до того, как ее можно будет уверенно использовать.
Литература:
1. Мак-Федрис
П., Microsoft Windows 7. Полное руководство. — Вильямс, — 2010 — 800 стр., с ил.
2. Колисниченко Д.Н., Работа на ноутбуке с
Windows 7. — Вильямс, — 2010 — 528 стр., с ил.
3. http://eprints.zu.edu.ua/305/1/WS2K8_Book.pdf
4. http://www.xakep.ru/post/50379/default.asp