BitLocker - Wikiwand

BitLocker je nástroj pro šifrování disků a diskových svazků, vyvíjený společností Microsoft. Je integrován ve vybraných verzích operačního systému Windows a jeho účelem je ochrana dat uložených na discích před neoprávněným přístupem.^[1] Je primárně navržen pro použití na zařízeních vybavených čipem Trusted Platform Module (TPM)^[2], kde kromě šifrování diskových oddílů umožňuje i kontrolu integrity celého systému.

Stručná fakta Vývojář, První vydání ...

BitLocker
Vývojář	Microsoft
První vydání	30. ledna 2007
Operační systém	Microsoft Windows
Typ softwaru	Šifrování
Web	https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview
Některá data mohou pocházet z datové položky.

Zavřít

Dějiny

BitLocker vznikl jako součást architektury Microsoft Next-Generation Secure Computing Base v roce 2004 jako funkce s předběžným kódovým označením „Cornerstone“^[3]^[4] a byl navržen k ochraně informací na zařízeních, zejména pokud bylo zařízení ztraceno nebo odcizeno; další funkce, nazvaná "Code Integrity Rooting", byla navržena pro ověření integrity spouštěcích a systémových souborů Microsoft Windows.^[3] Při použití ve spojení s kompatibilním modulem Trusted Platform Module (TPM) může BitLocker ověřit integritu spouštěcích a systémových souborů před dešifrováním chráněného svazku; neúspěšné ověření zakáže přístup do chráněného systému.^[5]^[6] BitLocker byl krátce nazýván Secure Startup před vydáním Windows Vista do výroby.^[5]

BitLocker je k dispozici na:

Edice Ultimate a Enterprise Windows Vista a Windows 7
Verze Pro a Enterprise Windows 8 a 8.1^[7]^[8]
Verze Pro, Enterprise a Education systému Windows 10^[9]

Verze Pro, Enterprise a Education systému Windows 11^[10]
Windows Server 2008^[10] a novější^[11]

Dostupnost

BitLocker pro šifrování disků byl poprvé představen s operačním systémem Windows Vista jako nástroj k ochraně dat na počítačích, které byly odcizeny, ztraceny, nebo nekorektně vyřazeny. Od verze Windows 7 je k dispozici také funkce šifrování výměnných médií nazvaná BitLocker To Go.^[12]

Nástroj BitLocker je dostupný v těchto verzích operačního systému Windows:

Windows Server 2008 a všechny následující serverové verze^[13]
Windows Vista (edice Enterprise a Ultimate)^[13]
Windows 7 (edice Enterprise a Ultimate)^[13]
Windows 8 a 8.1 (edice Enterprise a Ultimate)^[13]
Windows 10 (edice Pro, Enterprise a Education)^[14]

BitLocker Drive Encryption

BitLocker Drive Encryption šifruje celé diskové oddíly. Pro jeho použití musí být disk rozdělen minimálně na dva oddíly. První oddíl obsahuje operační systém a další podpůrné soubory. Tento oddíl musí být naformátován na souborový systém NTFS a může být zašifrován. Druhý oddíl je systémový a obsahuje soubory potřebné pro zavedení operačního systému. Souborový systém tohoto oddílu musí být FAT32 (pro počítače používající UEFI) nebo NTFS (pro počítače používající BIOS). Systémový oddíl se nešifruje.^[1]
Šifrovat lze dvěma způsoby – buď je zašifrován rovnou celý diskový oddíl, nebo jen jeho používaná část. V případě šifrování celého oddílu se šifrují i části disku, které zatím neobsahují žádná data. Tato varianta se považuje za nejbezpečnější, zvláště v případě, že disk dříve obsahoval citlivá data, protože části těchto dat mohou i po vymazání nebo přesunutí zůstat na disku v prostoru označeném jako nepoužívaný.

Šifrování pouze využitého místa je vhodné především na nových discích, které doposud žádná data neobsahovaly. Výhodou tohoto režimu šifrování v porovnání s šifrováním celého oddílu je velké zrychlení procesu šifrování. Nová data jsou poté šifrována v okamžiku jejich zápisu na disk.^[15]

Použití s čipem TPM

Pokud se v počítači nachází funkční čip TPM, je šifrovací klíč používaný BitLockerem uložen právě v něm. Při startu počítače se zapnutým BitLockerem a aktivním čipem TPM je nejprve ověřována integrita celého systému. V TPM čipu je uchováván otisk systému, který je při startu porovnán s aktuálním stavem – pokud by některá část systému byla změněna, otisk nebude souhlasit a zavedení operačního systému nebude BitLockerem povoleno. Pokud systém ověřením integrity projde úspěšně, z čipu TPM jsou načteny šifrovací klíče, je zaveden operační systém a data na disku jsou zpřístupněna. Tento proces probíhá automaticky při každém startu počítače a není při něm vyžadována žádná interakce ze strany uživatele.^[16]

BitLocker podporuje čipy TPM verze 1.2 a vyšší, s TPM 2.0 navíc vyžaduje zařízení podporující UEFI.^[17]

Použití bez čipu TPM

BitLocker lze používat i na počítačích, které čipem TPM nedisponují. Šifrovací klíč BitLockeru lze v takovém případě uložit na USB flash disk a při startu systému tento disk připojit k počítači. Další možností je nastavení hesla, které uživatel zadává po zapnutí počítače.^[13] Počítače bez TPM čipu nemohou využívat funkci ověření integrity.^[17]

Vícefaktorová autentizace

Pro zvýšení bezpečnosti je možné zároveň s čipem TPM použít i doplňující metody autentizace. Dostupné možnosti jsou:

PIN – při startu počítače je nutné zadat identifikační kód. Po opakovaném zadání chybného PINu dojde k uzamčení počítače.
Startup Key – při startu je vyžadováno vložení USB flash disku s uloženým klíčem.
Network Key – odemčení probíhá pomocí klíče načteném ze serveru ve firemní síti.

První dvě metody lze navíc ještě zkombinovat, tedy vynutit vložení USB flash disku a zároveň zadání PINu.^[13]

BitLocker To Go

Komponenta BitLocker To Go umožňuje šifrovat výměnná média, jako USB flash disky, SD karty nebo externí harddisky. Podporované systémy souborů pro použití s BitLocker Go jsou NTFS, FAT16, FAT32 a exFAT. Data na zašifrovaných médiích lze následně zpřístupnit zadáním hesla, použitím čipové karty k jejich odemčení, nebo je odemknout na jiném počítači podporujícím BitLocker Drive Encryption.^[18]

Obnova systému

V případě nestandardní události dojde k uzamčení počítače chráněného BitLockerem. Může se jednat například o:

Přesunutí zašifrovaného disku do jiného počítače
Výměna základní desky
Deaktivace nebo vymazání čipu TPM
Aktualizace BIOSu
Zapomenutí PINu nebo ztráta USB flash disku se startup key

Pro tyto případy generuje BitLocker při své inicializaci obnovovací klíč. Jedná se o 48místné náhodně generované číslo, které má uživatel možnost si uložit nebo vytisknout. Po selhání standardní autentizace je možné tento klíč zadat a zajistit tak odemknutí systému. Další možností je vytvoření obnovovacího USB flash disku a uzamčený systém zpřístupnit jeho vložením.^[19]

Šifrovací algoritmy

Původně BitLocker používal k šifrování algoritmus AES-CBC s velikostí klíče 128 nebo 256 bitů. Od verze 1511 operačního systému Windows 10 přešel BitLocker na šifrování pomocí bezpečnějšího algoritmu XTS-AES s velikostí klíče 128 nebo 256 bitů. Z důvodu kompatibility je stále možné použít i původní šifrovací algoritmus, například pro šifrování vyměnitelných médií, která jsou střídavě připojována k počítačům se starým i novým způsobem šifrování.^[20]

Reference

Loading content...

Externí odkazy

Loading content...

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.