Шифрування windows 10. Увімкнення або вимкнення Bitlocker у Windows. Тут вибираємо знімний носій, який хочемо захистити та натискаємо «Увімкнути BitLocker»

Якщо на комп'ютері інстальовано Windows 10 Pro або Enterprise, то зможете використовувати функцію BitLocker, яка шифрує дані на жорсткому диску. Дізнаємося докладніше, як її налаштувати.

Одною з додаткових функцій, які отримуєте з інсталяцією версії Windows 10 Pro, на відміну від Home, є BitLocker. Вона дозволяє шифрувати дані на жорсткому диску так, щоб ніхто не зміг отримати доступ до них без введення пароля.

Якщо хтось витягне диск з комп'ютера і спробує отримати доступ до нього на іншому, вміст буде нечитаним. Це корисний інструмент, щоб зберегти особисті дані від сторонніх очей, але є недоліки та вимоги, які повинні знати перед активацією функції:

1. BitLocker знижує продуктивність, особливо під час використання програмного шифрування.
2. Якщо ви забудете пароль, то не зможете отримати доступ до своїх файлів.
3. Для кращого захисту використовується ключ запуску TPM.
4. Слід також знати, що є альтернатива BitLocker: SSD з повним шифруванням диска. Вміст автоматично шифрується.

Як правило, шифрування не активовано за замовчуванням, тому може знадобитися завантажити програмне забезпеченнявиробника (наприклад, Samsung Magician). При установці програма може запросити форматування диска, тоді потрібно зберегти інший носій дані, і якщо цей системний розділ З, то й переустановити Windows.

Чи потрібний ключ TPM для BitLocker?

Ключ не обов'язковий, BitLocker використовуватиме програмний метод, який не такий безпечний.

Програмний режим знижує продуктивність читання та запису. При апаратному шифруванні потрібно підключати USB пристрійз ключем і вводити пароль під час кожного завантаження комп'ютера. При використанні ключа потрібно, щоб BIOS підтримував завантаження з пристроїв USB.

Щоб перевірити, чи відповідає ваш комп'ютер вимогам BitLocker у Windows 10 версії 1803 і вище, відкрийте Центр безпеки Windows Defender, виберіть вкладку Безпека пристрою.

Щоб увімкнути захист, відкрийте Панель управління і перейдіть до розділу Шифрування диска BitLocker.

Виберіть диск зі списку, на якому зберігається особиста інформація, та клацніть на посилання «Увімкнути BitLocker».

Ще спосіб увімкнути шифрування – відкрити Провідник, перейти на вкладку «Цей комп'ютер» та клацнути правою кнопкою миші на будь-якому жорсткому диску.

Після цього дотримуйтесь інструкцій на екрані, щоб настроїти дисковий захист.

Якщо диск вже достатньо заповнений, процес займе багато часу

Після активації захисту з'явиться піктограма замка на диску у Провіднику.

Апаратне або програмне шифрування

Функція підтримує обидва методи. Якщо увімкнути апаратне шифрування TPM, можна зашифрувати весь диск.

Коли вирішили зашифрувати том (тобто один або кілька розділів), скористайтесь програмним шифруванням. Можна використовувати програмний метод, якщо комп'ютер не відповідає вимогам BitLocker.

Що робити, якщо мій комп'ютер несумісний із BitLocker

Якщо замість запуску майстра установки на екрані бачите повідомлення, подібне до наведеного нижче, його можна обійти.

Повідомлення не обов'язково означає, що обладнання несумісне. Можливо, не ввімкнені відповідні параметри в BIOS. Відкрийте Bios / UEFI знайдіть параметр TPM і переконайтеся, що увімкнено.

Якщо комп'ютер зібрано на материнській платі AMD, параметр знаходиться в розділі PSP. Це Платформа Безпеки Процесора, інтегрована в процесорний чіп, наприклад, Ryzen, який має модуль безпеки замість TPM.

Зверніть увагу, що в січні 2018 було виявлено, що AMD PSP має пролом в безпеці, тому оновлення мікрокоду (доставляються через оновлення безпеки Windows) відключені. У цьому випадку не зможете використовувати апаратний режим.

При активації програмного режиму, при якому знижується продуктивність читання/запису, скористайтесь редактором локальних групових політик.

Натисніть клавіші Windows+R, введіть gpedit.msc.

У лівій панелі перейдіть по дорозі:

Конфігурація комп'ютера — Адміністративні шаблони — Компоненти Windows — Шифрування диска BitLocker — Диски операційної системи.

У правій частині вікна клацніть двічі на пункті «Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску». У вікні встановіть значення "Увімкнути" і позначте "Дозволити використання BitLocker без сумісного TPM".

За замовчуванням шифрування включено, іноді ні – загалом, все складно. У цій статті ми розповімо, як перевірити, чи шифруються дані на диску, і якщо ні – то як увімкнути шифрування. Зауважимо, що потрібно це не тільки для захисту від стеження з боку світових спецслужб. Шифрування допомагає захистити конфіденційні дані, якщо комп'ютер вкрадеться.

На відміну від інших сучасних операційних систем – Mac OS X, Chrome OS, iOS та Android – як і раніше, немає універсальних інструментів шифрування в Windows 10 для всіх користувачів. Потрібно купувати або використовувати сторонні програми для шифрування.

Шифрування пристрою

На багатьох нових комп'ютерах з Windows 10 за замовчуванням увімкнено «шифрування пристрою». Ця функція з'явилася ще у Windows 8.1 і використовується лише на пристроях із певною апаратною конфігурацією.

Крім того, шифрування працює лише за умови входу до Windows з обліковим записом Microsoft. При цьому ключ для відновлення даних завантажується на сервери Microsoft, що дає шанс відновити доступ до файлів, якщо увійти до системи з якихось причин не виходить. (І мабуть, саме тому ФБР не дуже переживає з приводу такого шифрування. Але у будь-якому випадку, ми тут говоримо про шифрування для захисту на випадок крадіжки ноутбука. Якщо вас хвилює стеження АНБ, краще пошукати надійніші способи захисту.)

Щоб перевірити, чи увімкнено шифрування пристрою, відкрийте інтерфейс «Параметри» (Settings), перейдіть до розділу «Система > Про систему» ​​(System > About) і перегляньте, чи є в самому низу вікна опція «Шифрування пристрою» (Device Encryption). Якщо ні, то ця функція на цьому комп'ютері не підтримується.

BitLocker

Якщо шифрування пристрою не увімкнено або вам потрібне функціональне рішення для шифрування даних, у тому числі на знімних USB-носіях, підійде . Утиліта BitLocker входить до складу Windows вже кілька версій поспіль і має гарну репутацію. Однак вона доступна лише у виданні Windows 10 Professional.

Якщо у вас саме таке видання, пошукайте в меню «Пуск» (Start) ключовому слову«BitLocker» та скористайтеся панеллю керування BitLocker для увімкнення шифрування. Якщо ви безкоштовно оновилися до Windows 10 з Windows 7 Professional або Windows 8.1 Professional, у вас має бути саме видання Windows 10 Professional.

Якщо у вас можна перейти на Windows 10 Professional за $99. Для цього просто відкрийте інтерфейс «Параметри», перейдіть до розділу «Оновлення та безпека > Активація» (Update & security > Activation) та натисніть кнопку «Перейти до Магазину» (Go to Store). Після оновлення до Windows 10 Professional ви отримаєте доступ до BitLocker та інших додаткових функцій.

TrueCrypt та похідні

Заплатити $99 лише за можливість зашифрувати жорсткий диск- Рішення непросте, якщо врахувати, що самі комп'ютери з Windows сьогодні найчастіше коштують всього кілька сотень доларів. Але витрачати гроші зовсім не обов'язково, тому що BitLocker – не єдине рішення. Так, у BitLocker найбільш повна інтеграція та хороша підтримка, але існують інші інструменти шифрування.

- Утиліта для повнодискового шифрування з відкритим кодом - працює в Windows 10 і є цілком життєздатним варіантом. Є й інші утиліти, створені з урахуванням TrueCrypt. Всі вони безкоштовні і всі їх можна встановити у Windows 10 Home та попередніх версіях Windowsдля шифрування жорсткого дискаякщо немає доступу до BitLocker. На жаль, на сучасних комп'ютерахз налаштуванням TrueCrypt доведеться повозитися. А ось якщо систему куплено ще за часів Windows 7 і тепер оновлено для Windows 10, все пройде без проблем.

Так, творці TrueCrypt деякий час тому урочисто припинили розробку, оголосивши своє дітище вразливим та небезпечним, але численні експерти з безпеки досі не зійшлися на думці, чи це так. А головне, дискусія ведеться переважно щодо захисту від АНБ та інших спецслужб. Якщо вас цікавить шифрування для захисту особистих файлів від злодіїв у разі крадіжки ноутбука, такі подробиці не повинні вас цікавити. Для цього шифрування TrueCrypt буде цілком достатньо.

Технологія шифрування BitLocker вперше з'явилася десять років тому і змінювалася з кожною версією Windows. Однак далеко не всі зміни в ній мали підвищити криптостійкість. У цій статті ми докладно розберемо пристрій різних версій BitLocker (включно з встановленими в останніх збірках Windows 10) і покажемо, як обійти цей вбудований механізм захисту.

Офлайнові атаки

Технологія BitLocker стала відповіддю Microsoft на зростаючу кількість офлайнових атак, які щодо комп'ютерів з Windows виконувались особливо просто. Будь-яка людина може відчути себе хакером. Він просто вимкне найближчий комп'ютер, а потім завантажить його знову - вже зі своєю ОС і портативним набором утиліт для пошуку паролів, конфіденційних даних та препарування системи.

Наприкінці робочого дня з хрестовою викруткою взагалі можна влаштувати маленький хрестовий похід- Відкрити комп'ютери співробітників, що пішли, і витягнути з них накопичувачі. Того ж вечора у спокійній домашній обстановці вміст витягнутих дисків можна аналізувати (і навіть модифікувати) тисячею та одним способом. Наступного дня достатньо прийти раніше і повернути все на свої місця.

Втім, необов'язково розкривати чужі комп'ютери на робочому місці. Багато конфіденційних даних витікає після утилізації старих комп'ютерів і заміни накопичувачів. На практиці безпечне стирання та низькорівневе форматування списаних дисків роблять одиниці. Що ж може завадити юним хакерам та збирачам цифрової падали?

Як співав Булат Окуджава: «Весь світ влаштований з обмежень, щоб від щастя не збожеволіти». Основні обмеження Windows задаються на рівні прав доступу до об'єктів NTFS, які ніяк не захищають від офлайнових атак. Windows просто звіряє дозволи на читання та запис, перш ніж обробляє будь-які команди, які звертаються до файлів чи каталогів. Цей метод досить ефективний до тих пір, поки всі користувачі працюють у налаштованій адміністраторній системі з обмеженими обліковими записами. Однак варто завантажитися в іншій операційній системі, як від такого захисту не залишиться і сліду. Користувач сам себе і перепризначить права доступу або легко проігнорує їх, поставивши інший драйвер файлової системи.

Є багато взаємодоповнюючих методів протидії офлайновим атакам, включаючи фізичний захист та відеоспостереження, але найефективніші з них вимагають використання стійкої криптографії. Цифрові підписи завантажувачів перешкоджають запуску стороннього коду, а єдиний спосіб по-справжньому захистити дані на жорсткому диску - це шифрувати їх. Чому ж повнодискове шифрування так довго не було у Windows?

Від Vista до Windows 10

У Microsoft працюють різні людиі далеко не всі з них кодять задньою лівою ногою. На жаль, остаточні рішення в софтверних компаніях давно ухвалюють не програмісти, а маркетологи та менеджери. Єдине, що вони справді враховують при розробці нового продукту – це обсяги продажів. Чим простіше в софті розібратися до домогосподарки, тим більше копій цього софту вдасться продати.

«Подумаєш, піввідсотка клієнтів подбали про свою безпеку! Операційна система і так складний продукт, а ви тут ще шифруванням лякаєте цільову аудиторію. Обійдемося без нього! Адже раніше обходилися!» - Приблизно так міг міркувати топ-менеджмент Microsoft аж до того моменту, коли XP стала популярною в корпоративному сегменті. Серед адмінів про безпеку думали вже надто багато фахівців, щоб скидати їхню думку з рахунків. Тому в наступній версії Windows з'явилося довгоочікуване шифрування тома, але тільки у виданнях Enterprise та Ultimate, які орієнтовані на корпоративний ринок.

Нова технологія отримала назву BitLocker. Мабуть, це був єдиний гарний компонент Vista. BitLocker шифрував том повністю, роблячи користувацькі та системні файли недоступними для читання в обхід встановленої ОС. Важливі документи, фотки з котиками, реєстр, SAM і SECURITY - все виявлялося нечитаним під час виконання офлайнової атаки будь-якого роду. У термінології Microsoft "том" (volume) - це не обов'язково диск як фізичний пристрій. Томом може бути віртуальний диск, логічний розділ або навпаки - об'єднання кількох дисків (складний або том, що чергується). Навіть просту флешку можна вважати томом, що підключається, для наскрізного шифрування якого починаючи з Windows 7 є окрема реалізація - BitLocker To Go (докладніше - у врізанні в кінці статті).

З появою BitLocker складніше почало завантажувати сторонню ОС, оскільки всі завантажувачі отримали цифрові підписи. Однак обхідний маневр, як і раніше, можливий завдяки режиму сумісності. Варто змінити в BIOS режим завантаження з UEFI на Legacy і вимкнути функцію Secure Boot, і стара добра завантажувальна флешка знову стане в нагоді.

Як використовувати BitLocker

Розберемо практичну частину на прикладі Windows 10. У збірці 1607 BitLocker можна увімкнути через панель управління (розділ «Система та безпека», підрозділ «Шифрування диска BitLocker»).

Однак якщо на материнській платі відсутній криптопроцесор TPM версії 1.2 або новіший, то просто так BitLocker використовувати не вдасться. Щоб його активувати, потрібно зайти в редактор локальної групової політики (gpedit.msc) і розкрити гілку «Конфігурація комп'ютера -> Адміністративні шаблони -> Компоненти Windows -> Шифрування диска BitLocker -> Диски операційної системи» до налаштування «Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску». У ньому необхідно знайти налаштування «Дозволити використання BitLocker без сумісного TPM…» та увімкнути його.

У сусідніх секціях локальних політик можна встановити додаткові налаштування BitLocker, у тому числі довжину ключа і режим шифрування за стандартом AES.

Після застосування нових політик повертаємося в панель управління і дотримуємося вказівок майстра налаштування шифрування. Як додатковий захист можна вибрати введення пароля або підключення певної флешки USB.

Хоча BitLocker і вважається технологією повнодискового шифрування, вона дозволяє виконувати часткове шифрування лише зайнятих секторів. Це швидше, ніж шифрувати все підряд, але такий спосіб вважається менш надійним. Хоча б тому, що при цьому видалені, але ще не перезаписані файли певний час залишаються доступними для прямого читання.

Після налаштування всіх параметрів залишиться перезавантаження. Windows вимагає ввести пароль (або вставити флешку), а потім запуститься в звичайному режиміі розпочне фоновий процес шифрування тому.

Залежно від вибраних налаштувань, об'єму диска, частоти процесора та підтримки ним окремих команд AES, шифрування може зайняти від кількох хвилин до кількох годин.

Після завершення цього процесу в контекстному меню "Провідника" з'являться нові пункти: зміна пароля та швидкий перехід до налаштувань BitLocker.

Зверніть увагу, що для всіх дій, крім зміни пароля, потрібні права адміністратора. Логіка тут проста: якщо ти успішно увійшов до системи, то знаєш пароль і маєш право його змінити. Наскільки це розумно? Скоро з'ясуємо!

Як влаштований BitLocker

Про надійність BitLocker не слід судити з репутації AES. Популярний стандарт шифрування може і не мати відверто слабких місць, А ось його реалізації в конкретних криптографічних продуктах ними часто рясніють. Повний код технології BitLocker компанія Microsoft не розкриває. Відомо лише, що у різних версіях Windows вона базувалася на різних схемах, а зміни ніяк не коментувалися. Більше того, у збірці 10586 Windows 10 він просто зник, а через два білди з'явився знову. Проте про все по порядку.

Перша версія BitLocker використала режим зчеплення блоків шифртексту (CBC). Вже тоді були очевидні його недоліки: легкість атаки за відомим текстом, слабка стійкість до атак на кшталт підміни тощо. Тому в Microsoft одразу вирішили посилити захист. Вже у Vista до схеми AES-CBC було додано алгоритм Elephant Diffuser, що утрудняє пряме порівняння блоків шифртексту. З ним однаковий вміст двох секторів давав після шифрування одним ключем зовсім різний результат, що ускладнювало обчислення загального патерну. Однак сам ключ за умовчанням використовувався короткий – 128 біт. Через адміністративні політики його можна подовжити до 256 біт, але чи це варто робити?

Для користувачів після зміни ключа зовні нічого не зміниться - ні довжина паролів, що вводяться, ні суб'єктивна швидкість виконання операцій. Як і більшість систем повнодискового шифрування, BitLocker використовує кілька ключів... і жоден користувач не бачать. Ось принципова схема BitLocker.

1. При активації BitLocker за допомогою генератора псевдовипадкових чисел створюється основна бітова послідовність. Це ключ шифрування тому - FVEK (full volume encryption key). Саме їм відтепер шифрується вміст кожного сектора.
2. У свою чергу, FVEK шифрується за допомогою іншого ключа – VMK (volume master key) – і зберігається у зашифрованому вигляді серед метаданих томів.
3. Сам VMK теж шифрується, але вже різними способамина вибір користувача.
4. На нових материнських платах ключ VMK за умовчанням шифрується за допомогою ключа SRK (storage root key), який зберігається в окремому криптоппроцесорі - довіреному модулі (TPM, trusted platform module). Користувач не має доступу до вмісту TPM і унікальний для кожного комп'ютера.
5. Якщо окремого чіпа TPM на платі немає, то замість SRK для шифрування ключа VMK використовується введений користувачем пін-код або USB-Flash-накопичувач, що підключається за запитом, з попередньо записаною на ньому ключовою інформацією.
6. Додатково до TPM або флешки можна захистити VMK ключем паролем.

Така загальна схема роботи BitLocker зберігалася й у наступних випусках Windows до нашого часу. Однак способи генерації ключів та режими шифрування в BitLocker змінювалися. Так, у жовтні 2014 року Microsoft по-тихому прибрала додатковий алгоритм Elephant Diffuser, залишивши лише схему AES-CBC із її відомими недоліками. Спочатку про це не було зроблено жодних офіційних заяв. Людям просто видали ослаблену технологію шифрування з колишньою назвою під виглядом оновлення. Туманні пояснення цього кроку були вже після того, як спрощення в BitLocker помітили незалежні дослідники.

Формально відмова від Elephant Diffuser була потрібна для забезпечення відповідності Windows вимогам федеральних стандартівобробки інформації США (FIPS), однак один аргумент спростовує цю версію: Vista та Windows 7, у яких використовувався Elephant Diffuser, без проблем продавалися в Америці.

Ще одна уявна причина відмови від додаткового алгоритму - це відсутність апаратного прискорення для Elephant Diffuser і втрата швидкості при його використанні. Однак у колишні роки, коли процесори були повільнішими, швидкість шифрування чомусь влаштовувала. Та й той самий AES широко застосовувався ще до того, як з'явилися окремі набори команд та спеціалізовані чіпи для його прискорення. Згодом можна було зробити апаратне прискорення і для Elephant Diffuser або хоча б надати клієнтам вибір між швидкістю та безпекою.

Реалістичнішою виглядає інша, неофіційна версія. "Слон" заважав співробітникам АНБ, яким хотілося витрачати менше зусиль при розшифровці чергового диска, а Microsoft охоче взаємодіє з органами влади навіть у тих випадках, коли їхні запити не цілком законні. Побічно підтверджує теорію змови і те що, що до Windows 8 під час створення ключів шифрування в BitLocker застосовувався вбудований у Windows генератор псевдовипадкових чисел. У багатьох (якщо не в усіх) випусках Windows це був Dual_EC_DRBG - «криптографічно стійкий ГПСЧ», розроблений Агентством національної безпеки США і містить ряд закладених у нього вразливостей.

Зрозуміло, таємне ослаблення вбудованого шифрування викликало потужну хвилюкритики. Під її тиском Microsoft знову переписала BitLocker, замінивши в нових випусках Windows ГПСЧ CTR_DRBG. Додатково у Windows 10 (починаючи зі складання 1511) схемою шифрування за умовчанням стала AES-XTS, імунна до маніпуляцій із блоками шифртексту. В останніх збірках "десятки" були усунені й інші відомі недоліки BitLocker, але головна проблема, як і раніше, залишилася. Вона настільки абсурдна, що робить безглуздими решту нововведень. Йдеться про принципи управління ключами.

Лос-Аламоський принцип

Завдання дешифрування дисків BitLocker спрощує ще й те, що Microsoft активно просувають альтернативний метод відновлення доступу до даних через Data Recovery Agent. Сенс «Агента» у цьому, що він шифрує ключі шифрування всіх накопичувачів межах мережі підприємства єдиним ключем доступу. Отримавши його, можна розшифрувати будь-який ключ, а значить, і будь-який диск, який використовується в тій же компанії. Зручно? Так, особливо для злому.

Ідея використовувати один ключ для всіх замків вже скомпрометувала себе багаторазово, проте до неї продовжують повертатися в тій чи іншій формі задля зручності. Ось як записав Ральф Лейтон спогади Річарда Фейнмана про один характерний епізод його роботи над проектом «Манхеттен» у Лос-Аламоській лабораторії: «…я відкрив три сейфи – і всі три однією комбінацією.<…>Я приділив усіх їх: відкрив сейфи з усіма секретами атомної бомби - технологією отримання плутонію, описом процесу очищення, відомостями про те, скільки потрібно матеріалу, як працює бомба, як виходять нейтрони, як влаштована бомба, які її розміри, - словом, все, про що знали в Лос-Аламосі, всю кухню!.

BitLocker чимось нагадує пристрій сейфів, описаний в іншому фрагменті книги «Ви, звичайно, жартуєте, містере Фейнман!». Найбільший сейф надсекретної лабораторії мав ту саму вразливість, що й проста шафка для документів. «…Це був полковник, і в нього був набагато хитріший, дводверніший сейф з великими ручками, які витягували з рами чотири сталеві стрижні товщиною три чверті дюйми.<…>Я оглянув задню сторону однієї з значних бронзових дверей і виявив, що цифровий лімб з'єднаний з маленьким замочком, який виглядав так само, як і замок моєї шафи в Лос-Аламосі.<…>Було очевидно, що система важелів залежить від того самого маленького стрижня, який замикав шафи для документів.<…>. Зображуючи якусь діяльність, я почав навмання крутити лімб.<…>Через дві хвилини – клац! – сейф відкрився.<…>Коли дверцята сейфа або верхній ящик шафи для документів відчинені, дуже легко знайти комбінацію. Саме це я зробив, коли Ви читали мій звіт, тільки для того, щоб продемонструвати Вам небезпеку».

Криптоконтейнери BitLocker власними силами досить надійні. Якщо тобі принесуть невідомо звідки флешку, зашифровану BitLocker To Go, то ти навряд чи розшифруєш її за прийнятний час. Однак у реальному сценарії використання зашифрованих дисків та знімних носіїв повно вразливостей, які легко використовуватиме обхід BitLocker.

Потенційні вразливості

Напевно, ти помітив, що при першій активації BitLocker доводиться довго чекати. Це не дивно - процес посекторного шифрування може зайняти кілька годин, адже навіть прочитати всі терабайтні блоки HDD швидше не вдається. Однак відключення BitLocker відбувається практично миттєво – як же так?

Справа в тому, що при відключенні BitLocker не розшифровує дані. Всі сектори залишаться зашифрованими ключем FVEK. Просто доступ до цього ключа більше не обмежуватиметься. Усі перевірки відключаться, а VMK залишиться записаним серед метаданих у відкритому вигляді. При кожному включенні комп'ютера завантажувач ОС зчитуватиме VMK (вже без перевірки TPM, запиту ключа на флешці або пароля), автоматично розшифровуватиме ним FVEK, а потім і всі файли в міру звернення до них. Для користувача все буде виглядати як повна відсутність шифрування, але уважні можуть помітити незначне зниження швидкодії дискової підсистеми. Точніше - відсутність збільшення швидкості після відключення шифрування.

Цікаво у цій схемі та інше. Незважаючи на назву (технологія повнодискового шифрування), частина даних при використанні BitLocker все одно залишається незашифрованою. У відкритому вигляді залишаються MBR і BS (якщо диск не був проініціалізований в GPT), пошкоджені сектори і метадані. Відкритий завантажувач дає простір фантазії. У псевдозбійних секторах зручно ховати руткіти та іншу малечу, а метадані містять багато всього цікавого, у тому числі копії ключів. Якщо BitLocker активний, то вони будуть зашифровані (але слабше, ніж FVEK шифрує вміст секторів), а якщо деактивовано, то просто лежатимуть у відкритому вигляді. Це все потенційні вектори атаки. Потенційні вони тому, що, крім них, є набагато простіші й універсальніші.

Ключ відновлення

Крім FVEK, VMK і SRK, у BitLocker використовується ще один тип ключів, створюваний "про всяк випадок". Це ключі відновлення, із якими пов'язаний ще один популярний вектор атаки. Користувачі бояться забути свій пароль і втратити доступ до системи, а Windows сама рекомендує їм зробити аварійний вхід. Для цього майстер шифрування BitLocker на останньому етапі пропонує створити ключ відновлення. Відмову від його створення не передбачено. Можна тільки вибрати один з варіантів експорту ключа, кожен з яких дуже вразливий.

У налаштуваннях за замовчуванням ключ експортується як простий текстовий файл із впізнаваним ім'ям: "Ключ відновлення BitLocker #", де замість # пишеться ідентифікатор комп'ютера (так, прямо в імені файлу!). Сам ключ має такий вигляд.

Якщо ти забув (або ніколи не знав) заданий у BitLocker пароль, просто шукай файл з ключем відновлення. Напевно, він буде збережений серед документів поточного користувача або на його флешці. Можливо, він навіть надрукований на листку, як це рекомендує зробити Microsoft. Просто дочекайся, поки колега піде на перерву (як завжди, забувши заблокувати свій комп) і приступай до пошуків.

Для швидкого виявлення ключа відновлення зручно обмежити пошук розширення (txt), дату створення (якщо уявляєш, коли приблизно могли включити BitLocker) і розміру файлу (1388 байт, якщо файл не редагували). Знайшовши ключ відновлення, скопіюй його. З ним ти зможеш будь-якої миті обійти стандартну авторизацію в BitLocker. Для цього достатньо натиснути Esc та ввести ключ відновлення. Ти забудеш без проблем і навіть зможеш змінити пароль в BitLocker на довільний, не вказуючи старий! Це вже нагадує витівки з рубрики «Західнобудування».

Розкриваємо BitLocker

Реальна криптографічна система – це компроміс між зручністю, швидкістю та надійністю. У ній треба передбачити процедури прозорого шифрування з дешифруванням на льоту, методи відновлення забутих паролівта зручної роботи з ключами. Все це послаблює будь-яку систему, на яких би стійких алгоритмах вона не базувалася. Тому необов'язково шукати вразливості безпосередньо у алгоритмі Rijndael чи різних схемах стандарту AES. Набагато простіше їх знайти саме у специфіці конкретної реалізації.

У випадку Microsoft такої "специфіки" вистачає. Наприклад, копії ключів BitLocker за замовчуванням надсилаються до SkyDrive та депонуються до Active Directory. Навіщо? Ну, раптом ти їх втратиш... чи агент Сміт спитає. Клієнта незручно змушувати чекати, а вже агента – тим паче.

Тому порівняння криптостійкості AES-XTS і AES-CBC з Elephant Diffuser відходить на другий план, як і рекомендації збільшити довжину ключа. Яким би довгим він не був, атакуючий легко отримає його у незашифрованому вигляді.

Отримання депонованих ключів з облікового запису Microsoft або AD - основний спосіб розкриття BitLocker. Якщо користувач не реєстрував облік у хмарі Microsoft, а його комп'ютер не знаходиться в домені, то все одно знайдуться способи витягти ключі шифрування. В ході звичайної роботиїх відкриті копії завжди зберігаються в оперативної пам'яті(інакше не було б «прозорого шифрування»). Це означає, що вони доступні в її дампі та файлі глибокого сну.

Чому вони там взагалі зберігаються? Хоч як це смішно - для зручності. BitLocker розроблявся для захисту лише від офлайнових атак. Вони завжди супроводжуються перезавантаженням та підключенням диска в іншій ОС, що призводить до очищення оперативної пам'яті. Однак у налаштуваннях за замовчуванням ОС виконує дамп оперативної пам'яті при виникненні збою (який можна спровокувати) і записує весь її вміст у файл глибокого сну при кожному переході комп'ютера в глибокий сон. Тому, якщо у Windows з активованим BitLocker нещодавно виконувався вхід, є добрий шанс отримати копію ключа VMK у розшифрованому вигляді, а за його допомогою розшифрувати FVEK і потім самі дані по ланцюжку. Перевіримо?

Всі описані вище методи злому BitLocker зібрані в одній програмі - Forensic Disk Decryptor, розробленій у вітчизняній компанії "Елкомсофт". Вона вміє автоматично витягувати ключі шифрування та монтувати зашифровані томи як віртуальні диски, виконуючи їхню розшифровку на льоту.

Додатково в EFDD реалізований ще один нетривіальний спосіб отримання ключів - атакою через порт FireWire, яку доцільно використовувати в тому випадку, коли немає можливості запускати свій софт на комп'ютері, що атакується. Саму програму EFDD ми завжди встановлюємо на свій комп'ютер, а на намагаємося обійтися мінімально необхідними діями.

Наприклад просто запустимо тестову систему з активним BitLocker і «непомітно» зробимо дамп пам'яті. Так ми змоделюємо ситуацію, в якій колега вийшов на обід і не заблокував свій комп'ютер. Запускаємо RAM Capture і менше ніж за хвилину отримуємо повний дамп у файлі з розширенням.mem і розміром, що відповідає обсягу оперативної пам'яті, встановленої на комп'ютері жертви.

Чим робити дамп - за великим рахунком, без різниці. Незалежно від розширення це вийде бінарний файл, який буде автоматично проаналізований EFDD у пошуках ключів.

Записуємо дамп на флешку або передаємо його по мережі, після чого сідаємо за свій комп'ютер та запускаємо EFDD.

Вибираємо опцію «Вилучити ключі» і як джерело ключів вводимо шлях до файлу з дампом пам'яті.

BitLocker – типовий криптоконтейнер, на зразок PGP Disk або TrueCrypt. Ці контейнери вийшли досить надійними власними силами, але клієнтські програми для роботи з ними під Windows смітять ключами шифрування в оперативній пам'яті. Тому в EFDD реалізовано сценарій універсальної атаки. Програма миттєво шукає ключі шифрування від усіх трьох видів популярних криптоконтейнерів. Тому можна залишити зазначеними всі пункти - раптом жертва потай використовує TrueCrypt або PGP!

За кілька секунд Elcomsoft Forensic Disk Decryptor показує всі знайдені ключі у своєму вікні. Для зручності їх можна зберегти у файл - це знадобиться в подальшому.

Тепер BitLocker більше не завада! Можна провести класичну офлайнову атаку – наприклад, витягнути жорсткий диск колеги та скопіювати його вміст. Для цього просто підключи його до свого комп'ютера та запусти EFDD у режимі "розшифрувати або змонтувати диск".

Після вказівки шляху до файлів із збереженими ключами EFDD на твій вибір виконає повну розшифровку тому або відразу відкриє його як віртуальний диск. У разі файли розшифровуються у міру звернення до них. У будь-якому варіанті жодних змін до оригінального тому не вноситься, так що наступного дня можеш повернути його як ні в чому не бувало. Робота з EFDD відбувається безслідно і тільки з копіями даних, а тому залишається непомітною.

BitLocker To Go

Починаючи з "сімки" у Windows з'явилася можливість шифрувати флешки, USB-HDD та інші зовнішні носії. Технологія під назвою BitLocker To Go шифрує знімні накопичувачі так само, як і локальні диски. Шифрування включається відповідним пунктом у контекстному меню "Провідника".

Для нових накопичувачів можна використовувати шифрування тільки зайнятої області - все одно вільне місце розділу забито нулями і приховувати там нічого. Якщо накопичувач вже використовувався, то рекомендується включити на ньому повне шифрування. Інакше місце, позначене як вільне, залишиться незашифрованим. Воно може містити у відкритому вигляді недавно видалені файли, які ще не були перезаписані.

Навіть швидке шифрування тільки зайнятої області займає від кількох хвилин до кількох годин. Цей час залежить від обсягу даних, пропускної спроможності інтерфейсу, характеристик накопичувача та швидкості криптографічних обчислень процесора. Оскільки шифрування супроводжується стисненням, вільне місце на зашифрованому диску зазвичай дещо збільшується.

При наступному підключенні зашифрованої флешки до будь-якого комп'ютера з Windows 7 і вище, автоматично викличеться майстер BitLocker для розблокування диска. У «Провіднику» до розблокування вона буде відображатися як диск, закритий на замок.

Тут можна використовувати як вже розглянуті варіанти обходу BitLocker (наприклад, пошук ключа VMK у дампі пам'яті або файлі глибокого сну), так і нові, пов'язані з ключами відновлення.

Якщо ти не знаєш пароль, але тобі вдалося знайти один із ключів (вручну або за допомогою EFDD), то для доступу до зашифрованої флешки є два основні варіанти:

• використовувати вбудований майстер BitLocker для безпосередньої роботи з флешкою;
• використовувати EFDD для повної розшифровкифлешки та створення її посекторного образу.

Перший варіант дозволяє отримати доступ до записаних на флешці файлів, скопіювати або змінити їх, а також записати свої. Другий варіант виконується набагато довше (від півгодини), проте має свої переваги. Розшифрований посекторний образ дозволяє надалі виконувати більш тонкий аналіз файлової системи лише на рівні криміналістичної лабораторії. При цьому сама флешка вже не потрібна і може бути повернена без змін.

Отриманий образ можна відкрити відразу в будь-якій програмі, що підтримує формат IMA, або спочатку конвертувати в інший формат (наприклад, за допомогою UltraISO).

Зрозуміло, крім виявлення ключа відновлення для BitLocker2Go, в EFDD підтримуються й інші методи обходу BitLocker. Просто перебирай усі доступні варіанти поспіль, доки не знайдеш ключ будь-якого типу. Інші (аж до FVEK) самі будуть розшифровані по ланцюжку, і ти отримаєш повний доступ до диска.

Висновки

Технологія повнодискового шифрування BitLocker відрізняється різними версіями Windows. Після адекватного налаштування вона дозволяє створювати криптоконтейнери, які теоретично можна порівняти за стійкістю з TrueCrypt або PGP. Однак вбудований у Windows механізм роботи з ключами зводить нанівець усі алгоритмічні хитрощі. Зокрема, ключ VMK, який використовується для дешифрування основного ключа BitLocker, відновлюється за допомогою EFDD за кілька секунд з депонованого дубліката, дампа пам'яті, файлу глибокого сну або атакою на порт FireWire.

Отримавши ключ, можна виконати класичну офлайнову атаку, непомітно скопіювати і автоматично розшифрувати всі дані на захищеному диску. Тому BitLocker доцільно використовувати лише разом з іншими засобами захисту: шифрованою файловою системою (EFS), службою управління правами (RMS), контролем запуску програм, контролем встановлення та підключення пристроїв, а також жорсткішими локальними політиками та загальними заходами безпеки.

З виходом операційної системи Windows 7 багато користувачів зіткнулися з тим, що в ній з'явилася дещо незрозуміла служба BitLocker. Що таке BitLocker, багатьом залишається лише здогадуватись. Спробуємо прояснити ситуацію на конкретні приклади. Принагідно розглянемо питання щодо того, наскільки доцільним є задіяння цього компонента або його повне відключення.

BitLocker: що таке BitLocker, навіщо потрібна ця служба

Якщо розібратися, BitLocker є універсальним і повністю автоматизованим засобом, що зберігаються на вінчестері. Що таке BitLocker на жорсткому диску? Так просто служба, яка без участі користувача захищає файли та папки шляхом їх шифрування та створення спеціального текстового ключа, що забезпечує доступ до документів.

Коли користувач працює в системі під своїм обліковим записом, він може навіть не здогадуватися про те, що дані зашифровані, адже інформація відображається в читальному вигляді, і доступ до файлів та папок не заблоковано. Іншими словами, такий засіб захисту розрахований тільки на ті ситуації, коли до комп'ютерного терміналу проводиться наприклад, при спробі втручання ззовні (інтернет-атаки).

Питання паролів та криптографії

Тим не менш, якщо говорити про те, що таке BitLocker Windows 7 або систем рангом вище, варто відзначити і той неприємний факт, що при втраті пароля на вхід багато користувачів не те, що не можуть увійти в систему, а й виконати деякі дії з перегляду документів, раніше доступних, з копіювання, переміщення тощо.

Але це ще не все. Якщо розуміти питання, що таке BitLocker Windows 8 або 10, то особливих відмінностей немає, хіба що в них більш вдосконалена технологія криптографії. Тут проблема очевидно в іншому. Справа в тому, що сама служба здатна працювати в двох режимах, зберігаючи ключі дешифрації або на жорсткому диску, або на знімному носії USB.

Звідси напрошується найпростіший висновок: за наявності збереженого ключа на вінчестері користувач отримує доступ до всієї інформації, що зберігається, без проблем. А ось коли ключ зберігається на флешці, проблема куди серйозніша. Зашифрований диск чи розділ побачити, в принципі, можна, але рахувати інформацію - ніяк.

Крім того, якщо вже й говорити про те, що таке BitLocker Windows 10 або систем більш ранніх версій, не можна не відзначити той факт, що служба інтегрується в контекстні меню будь-якого типу, викликані правим кліком, що багатьох користувачів просто дратує. Але не забігатимемо вперед, а розглянемо всі основні аспекти, пов'язані з роботою цього компонента та доцільністю його застосування чи деактивації.

Методика шифрування дисків та знімних носіїв

Найдивніше в тому, що в різних системах та їх модифікаціях служба BitLocker може бути за замовчуванням і в активному, і в пасивному режимі. У «сімці» вона включена за замовчуванням, у восьмій та десятій версіях іноді потрібне ручне включення.

Що стосується шифрування, тут нічого особливо нового не винайдено. Як правило, використовується та сама технологія AES на основі відкритого ключа, що найчастіше застосовується в корпоративних мережах. Тому, якщо ваш комп'ютерний термінал з відповідним операційною системоюна борту підключений до локальної мережі, можете бути впевнені, що застосована політика безпеки та захисту даних передбачає активацію цієї служби. Не маючи права адміна (навіть за умови запуску зміни налаштувань від імені адміністратора), ви нічого не зможете змінити.

Увімкнення BitLocker, якщо служба деактивована

Перш ніж вирішувати питання, пов'язане з BitLocker (як відключити службу, як прибрати її команди з контекстного меню), подивимося на включення та налаштування, тим більше, що кроки по деактивації потрібно буде робити у зворотному порядку.

Увімкнення шифрування найпростішим способом здійснюється з «Панелі управління» шляхом вибору розділу Цей спосіб застосовується тільки в тому випадку, якщо збереження ключа не повинно бути знімним носієм.

У тому випадку, якщо заблокованим є незнімний носій, доведеться знайти відповідь на інше питання про службу BitLocker: як відключити на флешку цей компонент? Робиться це досить просто.

За умови, що ключ знаходиться саме на знімному носії, для розшифровування дисків та дискових розділів спочатку потрібно вставити його у відповідний порт (роз'єм), а потім перейти до розділу системи безпеки панелі керування. Після цього знаходимо пункт шифрування BitLocker, а потім дивимося на диски та носії, на яких встановлений захист. У самому низу буде показано гіперпосилання відключення шифрування, яку і потрібно натиснути. За умови розпізнавання ключа активується дешифрування. Залишається лише дочекатися закінчення його виконання.

Проблеми налаштування компонентів шифрувальника

Щодо налаштування, тут без головного болю не обійтися. По-перше, система пропонує резервувати щонайменше 1,5 Гб під свої потреби. По-друге, потрібно налаштовувати дозволи файлової системи NTFS, зменшувати розмір тома і т.д. Щоб не займатися такими речами, краще відразу відключити цей компонент, адже більшості користувачів просто не потрібний. Навіть усі ті, у кого ця служба задіяна в налаштуваннях за замовчуванням, теж не завжди знають, що з нею робити, чи вона потрібна взагалі. А даремно. Захистити дані на локальному комп'ютері за допомогою її можна навіть за умови відсутності антивірусного ПЗ.

BitLocker: як вимкнути. Початковий етап

Знову ж таки використовуємо раніше вказаний пункт у «Панелі управління». Залежно від модифікації системи назви полів відключення служби можуть змінюватися. На вибраному диску може стояти рядок припинення захисту або пряма вказівка ​​на вимкнення BitLocker.

Суть не в тому. Тут варто звернути увагу і на те, що потрібно повністю відключити завантажувальні файли комп'ютерної системи. В іншому випадку процес дешифрування може зайняти чимало часу.

Контекстне меню

Це лише одна сторона медалі, пов'язана із службою BitLocker. Що таке BitLocker, мабуть, вже зрозуміло. Але зворотний бік полягає ще й у тому, щоб ізолювати додаткові менювід присутності у яких посилань цю службу.

Для цього подивимось ще раз на BitLocker. Як прибрати з усіх посилань на службу? Елементарно! У "Провіднику" при виділенні потрібного файлу або папки використовуємо розділ сервісу та редагування відповідного контекстного меню, переходимо до налаштувань, потім використовуємо налаштування команд та впорядковуємо їх.

Після цього в редакторі реєстру входимо у гілку HKCR, де знаходимо розділ ROOTDirectoryShell, розвертаємо його та видаляємо потрібний елемент натисканням клавіші Del або командою видалення з меню правого кліка. Власне, ось і останнє, що стосується компонента BitLocker. Як відключити його, здається, вже зрозуміло. Але не варто тішитися. Все одно ця служба буде працювати в (так, про всяк випадок), хочете ви цього чи ні.

Замість післямови

Залишається додати, що це далеко не все, що можна сказати про системний компонент шифрування BitLocker. Що таке BitLocker, розібралися, як його відключити та видалити команди меню – теж. Питання в іншому: чи варто вимкнути BitLocker? Тут можна дати тільки одну пораду: у корпоративній локальній мережі деактивувати цей компонент взагалі не варто. Але якщо це домашній комп'ютерний термінал, то чому б і ні?

Bitlocker це програма шифрувальник, яка вперше з'явилася в Windows 7. З її допомогою можна шифрувати томи жорстких дисків (навіть системний розділ), USB і MicroSD флешки. Але часто буває, що користувач забуває пароль від доступу до зашифрованих даних Bitlocker. Як розблокувати інформацію на шифрованому носії читайте у рамках цієї статті.

Як увімкнути Bitlocker

Способи розшифрування даних підказує сама програма на етапі створення блокування:

1. Підготуйте накопичувач, який потрібно зашифрувати. Натисніть правою кнопкою миші по ньому і виберіть «Увімкнути Bitlocker».
2. Виберіть спосіб шифрування.
   Як правило, встановлюється пароль для зняття блокування. Якщо ж у вас є зчитувач USB смарт-карт зі звичайною мікросхемою стандарту ISO 7816, можете використовувати його для розблокування.
   Для шифрування доступні варіанти окремо, так і обидва одночасно.
3. На наступному етапі майстер шифрування диска пропонує варіанти архівації ключа відновлення. Усього їх три:
   
4. Коли вибрано варіант збереження ключа відновлення, виберіть частину накопичувача, яку потрібно розшифрувати.
   
5. Перед початком шифрування даних з'явиться вікно з повідомленням про процес. Натисніть "Почати шифрування".
   
6. Зачекайте до завершення процедури.
7. Тепер накопичувач зашифрований і запитуватиме пароль (або смарт-карту) при первинному підключенні.
   

Важливо! Ви можете вибрати метод шифрування. Bitlocker підтримує 128 та 256 бітне шифрування XTS AES та AES-CBC.

Зміна методу шифрування накопичувача

У редакторі локальної групової політики (не підтримується Windows 10 Home) можна вибрати метод шифрування дисків із даними. За замовчуванням використовується XTS AES 128 біт для не знімних накопичувачів та AES-CBC 128 біт для жорстких дисків і флешок.

Щоб змінити метод шифрування:

Після змін у політиці, Bitlocker зможе запаролити новий носій із вибраними параметрами.

Як вимкнути Bitlocker

Процес блокування надає два способи подальшого отримання доступу до вмісту накопичувача: пароль і прив'язка до смарт-карти. Якщо ви забули пароль або втратили доступ до смарт-картки (а швидше не використовували її зовсім), залишається скористатися ключем відновлення. При запаролювання флешки він створюється обов'язково, тому знайти його можна:

1. Роздруковані на папері аркуш. Можливо, ви його помістили до важливих документів.
2. У текстовому документі (або USB-флешці, якщо шифрували системний розділ). Вставте флешку USB в комп'ютер і дотримуйтесь інструкцій. Якщо ключ зберігається у текстовому файлі, прочитайте його на незашифрованому пристрої.
3. В обліковій записи Microsoft. Увійдіть у свій профіль на сайті у розділі «Ключі відновлення Bitlocker».

Після того як ви знайшли ключ відновлення:

1. Натисніть правою кнопкою миші по заблокованому носію та виберіть «Розблокувати диск».
2. У верхньому правому куті екрана з'явиться вікно введення пароля Bitlocker. Натисніть «Додаткові параметри».
   
3. Виберіть «Введіть ключ відновлення».
4. Скопіюйте або перепишіть 48-значний ключ та натисніть «Розблокувати».
5. Після цього дані на носії стануть доступними для зчитування.