Šifrování disku, BitLocker, TPM a Microsoft
Šifrování disků je jeden ze základních stavebních kamenů pro bezpečné PC. Nedávno jsem narazil na článek Optimizing Client Security by Using Windows Vista (to samé platí dnes i pro Win 7), kde Microsoft popisuje zabezpečení svých klientských stanic - klíčovou součástí je právě BitLocker, chráněný režim IE, UAC, phishing filtr v IE, Defender a Windows 7 firewall. Obecně, sám Microsoft používá na maximum nových technologií ve Windows 7 (a i proto bych mohutně doporučil upgrade z Windows XP, Windows 7 je jednoznačně současný nejbezpečnější OS).
BitLocker je řešení, které je úžasně rychlé, bezpečné (používá se AES-256 s difusorem) a dokonale integrované v jádru operačního systému. Zásadní nevýhoda je v tom, že BitLocker bohužel není obsažen v Home Premium a Professional edicích Windows 7, jen v nejvyšších Ultimate a Enterprise.
Pro vlastní uložení klíčů máte několik možností. Na business noteboocích a lepších desktopových základních deskách máte k dispozici TPM chipset ve verzi 1.2, většinou od Infineonu či od Sinosunu.
TPM se používá pro dvě základní činnosti - uložení privátních šifrovacích klíčů a pro kontrolu, že systém jako celek nebyl změněn. TPM se při startu podívá na konfiguraci počítače (sleduje cca 20 ukazatelů, můžete je nastavit v gpedit.msc
- Šablony pro správu) a pokud je hardware odlišný, TPM chipset klíč odmítne vydat.
Pokud se v hardware nic nezměnilo, systém pokračuje v bootování (pokud není v BIOSu autentizace či "lock" disku), a bezpečnost a přístup k šifrovaným datům s klíčem v TPM tak záleží na síle vašeho hesla do Windows.
Microsoft si samořejmě uvědomuje, že jednoúrovňová ochrana není vždy dostatečná, a proto je možné TPM autentizaci doplnit o PIN kód (heslo až o délce 20 číslic), popřípadě o druhý klíč uložený na USB flashdisku.
Osobně preferuji dvourovňové zabezpečení v kombinaci TPM + PIN, tuto používá nakonec i Microsoft pro veškeré své stanice. USB klíč je spíše nouzové řešení pokud nemáte na desce TPM, nicméně v praxi je stejně většinu času zastrčený v PC, na klíčence, či někde poblíž notebooku.
Oproti tomu PIN je další kód, který si musíte pamatovat, bezpečnost se zvyšuje. Nabourat se do PC, kde jsou disky šifrované pomocí kombinace TPM + PIN je de-facto nemožné (pokud zrovna nepracujete jako elitní tajný agent pro CIA a nedisponujete největší výpočetní silou na této planetě).
Každopádně pokud šifrujete, nespoléhal bych se jenom na TPM + heslo do Windows, kombinace TPM + PIN (zadává se ještě před startem Windows, při bootování počítače) + heslo do Windows je bezpečnější.
Pre paranoikov návod pre kombináciu TPM + USB key + pin (odskúšané):
cmd (nutné spustiť pravým tlačidlom - spustiť ako správce)
cscript manage-bde.wsf -on c: -rp -rk d: -tpsk -tp 1234567 -tsk e: stlačte enter
C: - označuje disk, ktorý sa má zašifrovať
D: - označuje disk, kam bude uložený záchranný 64 znakový kľúč
E: - USB kľúč na ktorý bude uložený spúšťací kľúč
Z vyššie napísaného teda vyplýva, že D: a E: môžu byť kľudne rovnaké. Ak to tak ale bude, odporúčam, tam ten obnovovací záchranný kľúč uložil v zašifrovanej podobe napríklad v Truecrypt kontajneri alebo Keepass databáze.
1234567 - je vaše tajné heslo, môže mať najviac 20 znakov. Potom ešte pozor pri samotnom zadávaní hesla do už zašifrovaného disku - Bitlocker sa spúšťa ešte pred Windowsom, preto neberie ohľad na to akú máte nastavenú klávesnicu vo Windowse - heslo zadávate na anglickej klávesnici - čiže ak používate slovenskú/českú, nepoužívajte shift.
Bitlocker je silné riešenie v prípade že počítač je vybavený TPM, bohužiaľ slabým ak TPM čip nemá. Snažil som sa tento príkaz rôzne obmieňať na počítači bez TPM ale možnosť PIN plus USB key môžete použiť iba v prípade že máte aj TPM, ak tento čip nemáte, tak stále platí, že iba usb kľúč. Toto som zo strany Microsoftu moc nepochopil ale asi naozaj nechcú mať problém s Európskou úniou a prípadnou žalobou od PGP či iného výrobcu šifrovania. Riešením by ešte napríklad mohlo byť, keby bol rovno zašifrovaný aj USB kľúč bitlockerom a heslo do neho by sa dalo zadať rovno pri spustení počítača a potom by sa až vydal spúšťací kľúč k zašifrovanému systému.
[1] jo, to je fakt, kombinace USB + PIN stále nejde. V zásadě je TMP nutnost :(
[2] To som sa zas snažil kúpiť TPM modul k doske Asus P5Q-E. Všade na weboch je udávaný ako kompatibilný typ jeden konkrétny ktorý som aj objednal - bohužiaľ konektory na module aj na doske boli samec. Tak som napísal na technickú podporu Asusu, kde ma zamestnanec presviedčal že ten modul kompatibilný je, nemalo to cenu s ním, tak som to vrátil a nechal tak...
[3] z toho důvodu mám P5Q Premium, která se už s TMP dodává ve standardu. Ta deska je opravdu úžasná, třeba 12 USB portů a 4 LAN porty se jen tak nevidí.