Šifrování disků je jeden ze základních stavebních kamenů pro bezpečné PC. Nedávno jsem narazil na článek Optimizing Client Security by Using Windows Vista (to samé platí dnes i pro Win 7), kde Microsoft popisuje zabezpečení svých klientských stanic - klíčovou součástí je právě BitLocker, chráněný režim IE, UAC, phishing filtr v IE, Defender a Windows 7 firewall. Obecně, sám Microsoft používá na maximum nových technologií ve Windows 7 (a i proto bych mohutně doporučil upgrade z Windows XP, Windows 7 je jednoznačně současný nejbezpečnější OS).
BitLocker je řešení, které je úžasně rychlé, bezpečné (používá se AES-256 s difusorem) a dokonale integrované v jádru operačního systému. Zásadní nevýhoda je v tom, že BitLocker bohužel není obsažen v Home Premium a Professional edicích Windows 7, jen v nejvyšších Ultimate a Enterprise.
Pro vlastní uložení klíčů máte několik možností. Na business noteboocích a lepších desktopových základních deskách máte k dispozici TPM chipset ve verzi 1.2, většinou od Infineonu či od Sinosunu.
TPM se používá pro dvě základní činnosti - uložení privátních šifrovacích klíčů a pro kontrolu, že systém jako celek nebyl změněn. TPM se při startu podívá na konfiguraci počítače (sleduje cca 20 ukazatelů, můžete je nastavit v gpedit.msc - Šablony pro správu) a pokud je hardware odlišný, TPM chipset klíč odmítne vydat.
ovládací panel Infineon TPM
Pre paranoikov návod pre kombináciu TPM + USB key + pin (odskúšané):
cmd (nutné spustiť pravým tlačidlom - spustiť ako správce)
cscript manage-bde.wsf -on c: -rp -rk d: -tpsk -tp 1234567 -tsk e: stlačte enter
C: - označuje disk, ktorý sa má zašifrovať
D: - označuje disk, kam bude uložený záchranný 64 znakový kľúč
E: - USB kľúč na ktorý bude uložený spúšťací kľúč
Z vyššie napísaného teda vyplýva, že D: a E: môžu byť kľudne rovnaké. Ak to tak ale bude, odporúčam, tam ten obnovovací záchranný kľúč uložil v zašifrovanej podobe napríklad v Truecrypt kontajneri alebo Keepass databáze.
1234567 - je vaše tajné heslo, môže mať najviac 20 znakov. Potom ešte pozor pri samotnom zadávaní hesla do už zašifrovaného disku - Bitlocker sa spúšťa ešte pred Windowsom, preto neberie ohľad na to akú máte nastavenú klávesnicu vo Windowse - heslo zadávate na anglickej klávesnici - čiže ak používate slovenskú/českú, nepoužívajte shift.
Bitlocker je silné riešenie v prípade že počítač je vybavený TPM, bohužiaľ slabým ak TPM čip nemá. Snažil som sa tento príkaz rôzne obmieňať na počítači bez TPM ale možnosť PIN plus USB key môžete použiť iba v prípade že máte aj TPM, ak tento čip nemáte, tak stále platí, že iba usb kľúč. Toto som zo strany Microsoftu moc nepochopil ale asi naozaj nechcú mať problém s Európskou úniou a prípadnou žalobou od PGP či iného výrobcu šifrovania. Riešením by ešte napríklad mohlo byť, keby bol rovno zašifrovaný aj USB kľúč bitlockerom a heslo do neho by sa dalo zadať rovno pri spustení počítača a potom by sa až vydal spúšťací kľúč k zašifrovanému systému.
[1] jo, to je fakt, kombinace USB + PIN stále nejde. V zásadě je TMP nutnost 🙁
[2] To som sa zas snažil kúpiť TPM modul k doske Asus P5Q-E. Všade na weboch je udávaný ako kompatibilný typ jeden konkrétny ktorý som aj objednal - bohužiaľ konektory na module aj na doske boli samec. Tak som napísal na technickú podporu Asusu, kde ma zamestnanec presviedčal že ten modul kompatibilný je, nemalo to cenu s ním, tak som to vrátil a nechal tak...
[3] z toho důvodu mám P5Q Premium, která se už s TMP dodává ve standardu. Ta deska je opravdu úžasná, třeba 12 USB portů a 4 LAN porty se jen tak nevidí.