BitLocker - BitLocker
 | |
 Windows To Go oluşturma sırasında BitLocker seçeneği
| |
| Diğer isimler | Cihaz Şifrelemesi |
|---|---|
| Geliştirici(ler) | Microsoft |
| İlk sürüm | 30 Ocak 2007 |
| İşletim sistemi | Microsoft Windows |
| Tip | Disk şifreleme yazılımı |
| İnternet sitesi |
docs 
|
BitLocker , Windows Vista ile başlayan Microsoft Windows sürümlerinde bulunan tam birim şifreleme özelliğidir . Tüm birimler için şifreleme sağlayarak verileri korumak üzere tasarlanmıştır . Varsayılan olarak, şifreleme bloğu zincirleme (CBC) veya XTS modunda 128 bit veya 256 bit anahtarla AES şifreleme algoritmasını kullanır . CBC tüm disk üzerinde kullanılmaz; her bir sektöre uygulanır .
Tarih
BitLocker , 2004'te Microsoft'un Yeni Nesil Güvenli Bilgi İşlem Tabanı mimarisinin bir parçası olarak, geçici olarak "Köşe Taşı" kod adlı bir özellik olarak ortaya çıktı ve özellikle bir cihazın kaybolması veya çalınması durumunda cihazlar hakkındaki bilgileri korumak için tasarlandı; "Kod Bütünlüğü Köklendirme" başlıklı başka bir özellik, Microsoft Windows önyükleme ve sistem dosyalarının bütünlüğünü doğrulamak için tasarlanmıştır. Uyumlu bir Güvenilir Platform Modülü (TPM) ile birlikte kullanıldığında BitLocker, korumalı bir birimin şifresini çözmeden önce önyükleme ve sistem dosyalarının bütünlüğünü doğrulayabilir; başarısız bir doğrulama, korumalı bir sisteme erişimi engelleyecektir. BitLocker, Windows Vista'nın üretime geçmesinden önce kısaca Güvenli Başlangıç olarak adlandırıldı .
BitLocker şurada mevcuttur:
- Windows Vista ve Windows 7'nin Ultimate ve Enterprise sürümleri
- Windows 8 ve 8.1'in Pro ve Enterprise sürümleri
- Windows 10'un Pro, Enterprise ve Education sürümleri
- Windows Server 2008 ve sonrası
Özellikleri
| Geliştirici(ler) | Microsoft |
|---|---|
| İlk sürüm | 30 Ocak 2007 |
| İşletim sistemi | Microsoft Windows |
| Tip | Emretmek |
| Lisans | Tescilli ticari yazılım |
| İnternet sitesi | yönetmek-bde |
Başlangıçta, Windows Vista'daki grafik BitLocker arabirimi yalnızca işletim sistemi birimini şifreleyebilirdi . Windows Vista Service Pack 1 ve Windows Server 2008'den başlayarak, işletim sistemi birimi dışındaki birimler grafiksel araç kullanılarak şifrelenebilir. Yine de, BitLocker'ın bazı yönlerinin (otomatik kilitlemeyi açma veya kapatma gibi) adı verilen bir komut satırı aracıyla yönetilmesi gerekiyordu manage-bde.wsf.
Windows 7 ve Windows Server 2008 R2'de bulunan BitLocker sürümü, çıkarılabilir sürücüleri şifreleme yeteneği ekler. On Windows XP veya Windows Vista, eğer bu sürücülere erişimi, BitLocker To Go Okuyucu adlı bir program aracılığıyla elde edilebilir salt okunur FAT16 , FAT32 veya exFAT dosya sistemlerini kullanılır. Ayrıca manage-bde, eski manage-bde.wsf.
Windows Server 2012 ve Windows 8'den başlayarak Microsoft, BitLocker'ı, BitLocker şifrelemesinin şifreleme işlemlerinin depolama aygıtının donanımına yüklenmesine olanak tanıyan Microsoft Şifreli Sabit Sürücü belirtimi ile tamamlamıştır. Ek olarak, BitLocker artık Windows PowerShell aracılığıyla yönetilebilir . Son olarak, Windows 8 , BitLocker'ın koruyabileceği Enterprise sürümünde Windows To Go'yu tanıttı .
Cihaz şifreleme
Windows Mobile 6.5 , Windows RT ve Windows 8.1'in çekirdek sürümleri , tüm sistemi şifreleyen BitLocker'ın sınırlı özellikli bir sürümü olan cihaz şifrelemesini içerir . Yönetici ayrıcalıklarına sahip bir Microsoft hesabıyla oturum açmak , şifreleme işlemini otomatik olarak başlatır. Kurtarma anahtarı, herhangi bir bilgisayardan alınmasına izin vererek Microsoft hesabında veya Active Directory'de depolanır . Cihaz şifreleme 8.1 sürümü üzerine açılması sırasında BitLocker aksine, cihaz şifreleme cihazı buluştuğu gerektirir InstantGo (eski Bekleme Bağlı gerektirir) özellikler, katı hal sürücüler , çıkarılabilir olmayan RAM (karşı korumak için soğuk önyükleme saldırıları ) ve bir TPM 2.0 çipi.
Windows 10 1703'ten itibaren, cihaz şifreleme gereksinimleri değişti, PCR 7 desteğine sahip bir TPM 1.2 veya 2.0 modülü, UEFI Güvenli Önyükleme ve cihazın Modern Bekleme gereksinimlerini veya HSTI doğrulamasını karşılaması gerekiyordu.
Eylül 2019'da, kendi kendini şifreleyen bir sabit sürücüyü şifrelerken BitLocker'ın varsayılan ayarını değiştiren yeni bir güncelleme yayınlandı (KB4516071). Şimdi, varsayılan, yeni şifrelenmiş sürücüler için yazılım şifrelemesi kullanmaktır. Bunun nedeni, donanım şifreleme kusurları ve bu sorunlarla ilgili güvenlik endişeleridir.
Şifreleme modları
BitLocker şifrelemesini uygulamak için yapı taşları olarak üç kimlik doğrulama mekanizması kullanılabilir:
- Şeffaf çalışma modu : Bu mod, şeffaf kullanıcı deneyimi sağlamak için TPM 1.2 donanımının özelliklerini kullanır; kullanıcı her zamanki gibi açılır ve Windows'ta oturum açar. Disk şifreleme için kullanılan anahtar , TPM yongası tarafından mühürlenir (şifrelenir) ve yalnızca erken önyükleme dosyaları değiştirilmemiş görünüyorsa OS yükleyici koduna bırakılır. BitLocker'ın işletim sistemi öncesi bileşenleri bunu, Güvenilir Bilgi İşlem Grubu (TCG) tarafından belirlenen bir metodoloji olan Statik Güven Kökü Ölçümü uygulayarak gerçekleştirir . Bu mod, kapalı bir makinenin bir saldırgan tarafından başlatılmasına izin verdiği için soğuk başlatma saldırısına karşı savunmasızdır . Ayrıca, başarılı bir önyükleme sırasında birim şifreleme anahtarı TPM'den CPU'ya düz metin olarak aktarıldığından, koklama saldırısına karşı savunmasızdır.
- Kullanıcı doğrulama modu : Bu mod, kullanıcının önyükleme öncesi ortama bir önyükleme öncesi PIN veya parola biçiminde bir miktar kimlik doğrulaması sağlamasını gerektirir .
- USB Anahtar Modu : Kullanıcı, korumalı işletim sistemini önyükleyebilmek için bilgisayara başlangıç anahtarı içeren bir USB aygıtı takmalıdır. Bu modun, korunan makinedeki BIOS'un işletim sistemi öncesi ortamda USB aygıtlarının okunmasını desteklemesini gerektirdiğini unutmayın. Anahtar, bir kriptografik akıllı kartın okunması için bir CCID tarafından da sağlanabilir . CCID'yi kullanmak, anahtar dosyasını harici bir USB flash sürücüde depolamanın ötesinde ek faydalar sağlar çünkü CCID protokolü, akıllı karta gömülü bir şifreleme işlemcisi kullanarak özel anahtarı gizler; bu, anahtarın saklandığı ortamdan basitçe okunarak çalınmasını önler.
Yukarıdaki kimlik doğrulama mekanizmalarının aşağıdaki kombinasyonları, tümü isteğe bağlı bir emanet kurtarma anahtarıyla desteklenir:
- Yalnızca TPM
- TPM + PIN
- TPM + PIN + USB Anahtarı
- TPM + USB Anahtarı
- USB anahtarı
- Yalnızca parola
Operasyon
BitLocker, mantıksal bir birim şifreleme sistemidir. (Birim, sabit disk sürücüsünün bir bölümünü , tüm sürücüyü veya birden fazla sürücüyü kapsar.) Etkinleştirildiğinde, TPM ve BitLocker, çoğu çevrimdışı durumu önlemek için güvenilir önyükleme yolunun (örneğin BIOS ve önyükleme sektörü) bütünlüğünü sağlayabilir. fiziksel saldırılar ve önyükleme sektörü kötü amaçlı yazılımları.
BitLocker işletim sistemi tutma hacmini şifrelemek için, en az iki NTFS hacimler gerekli olduğunda -dosyaları biçimlendirilmiş: en az şifrelenmemiş kalır 100 MB büyüklüğünde ve işletim sistemi (genellikle C için bir :) ve başka bir bot işletim sistem. (Ancak, Windows Vista ve Windows Server 2008 durumunda , birimin minimum boyutu 1,5 GB'dir ve bir sürücü harfine sahip olmalıdır .) Windows'un önceki sürümlerinden farklı olarak, Vista'nın "diskpart" komut satırı aracı, boyutu küçültme özelliğine sahiptir. Bir NTFS birimi, bu birimin önceden ayrılmış alandan oluşturulabilmesi için. Microsoft'tan BitLocker Sürücü Hazırlama Aracı adlı bir araç da mevcuttur; bu, Windows Vista'daki mevcut bir birimin, yeni bir önyükleme birimine yer açmak ve gerekli önyükleme dosyalarının ona aktarılması için küçültülmesine olanak tanır .
Alternatif bir önyükleme bölümü oluşturulduktan sonra, TPM modülünün başlatılması gerekir (bu özelliğin kullanıldığı varsayılarak), ardından TPM, PIN veya USB anahtarı gibi gerekli disk şifreleme anahtarı koruma mekanizmaları yapılandırılır. Birim daha sonra bir arka plan görevi olarak şifrelenir; bu, her mantıksal sektör okunduğu, şifrelendiği ve diske yeniden yazıldığı için büyük bir diskle önemli miktarda zaman alabilen bir şeydir. Anahtarlar, yalnızca birim güvenli kabul edildiğinde tüm birim şifrelendikten sonra korunur. BitLocker, tüm dosya işlemlerini şifrelemek ve şifresini çözmek için düşük seviyeli bir aygıt sürücüsü kullanır ve şifrelenmiş birim ile etkileşimi platformda çalışan uygulamalar için şeffaf hale getirir.
Şifreleme Dosya Sistemi (EFS), işletim sistemi çalışırken koruma sağlamak için BitLocker ile birlikte kullanılabilir. Dosyaların işletim sistemi içindeki işlemlerden ve kullanıcılardan korunması, yalnızca Windows içinde çalışan EFS gibi şifreleme yazılımları kullanılarak gerçekleştirilebilir. Bu nedenle BitLocker ve EFS, farklı saldırı sınıflarına karşı koruma sağlar.
Active Directory ortamlarında BitLocker, Active Directory'ye isteğe bağlı anahtar emanetini destekler, ancak bunun çalışması için bir şema güncellemesi gerekebilir (örneğin, Active Directory Hizmetleri Windows Server 2008'den önceki bir Windows sürümünde barındırılıyorsa).
BitLocker ve diğer tam disk şifreleme sistemleri, sahte bir önyükleme yöneticisi tarafından saldırıya uğrayabilir . Kötü niyetli önyükleyici sırrı ele geçirdiğinde, Birim Ana Anahtarının (VMK) şifresini çözebilir, bu da daha sonra şifreli bir sabit diskteki herhangi bir bilginin şifresini çözmek veya değiştirmek için erişime izin verir. BitLocker , BIOS ve önyükleme sektörü de dahil olmak üzere güvenilir önyükleme yolunu korumak için bir TPM yapılandırarak bu tehdidi azaltabilir. (Önyükleme yolundaki bazı kötü niyetli olmayan değişikliklerin Platform Yapılandırma Kaydı denetiminin başarısız olmasına ve dolayısıyla yanlış bir uyarı oluşturmasına neden olabileceğini unutmayın .)
Güvenlik endişeleri
Microsoft kaynaklarına göre, BitLocker kasıtlı olarak yerleşik bir arka kapı içermiyor ; bu olmadan, kolluk kuvvetlerinin Microsoft tarafından sağlanan kullanıcının sürücülerindeki verilere garantili bir geçişe sahip olmasının hiçbir yolu yoktur . 2006'da Birleşik Krallık İçişleri Bakanlığı bir arka kapı olmamasından duyduğu endişeyi dile getirdi ve Microsoft geliştiricisi Niels Ferguson ve diğer Microsoft sözcüleri bir arka kapı eklenmesini kabul etmeyeceklerini belirtseler de , bir arka kapının tanıtılması için Microsoft ile görüşmelere girmeye çalıştı . Microsoft mühendisleri, resmi, yazılı bir talepte bulunulmamasına rağmen , FBI ajanlarının da bir arka kapı eklemek için sayısız toplantıda kendilerine baskı yaptığını söylediler ; Microsoft mühendisleri sonunda FBI'a, aracıların BitLocker programının kullanıcılarına yapmasını önerdiği anahtarın basılı kopyasını aramasını önerdi. BitLocker'da kullanılan AES şifreleme algoritması kamuya açık olmasına rağmen, BitLocker'daki uygulaması ve yazılımın diğer bileşenleri özeldir ; ancak kod, bir ifşa etmeme sözleşmesine tabi olarak Microsoft iş ortakları ve kuruluşları tarafından incelenebilir .
BitLocker'ın "Şeffaf çalışma modu" ve "Kullanıcı kimlik doğrulama modu", BIOS ve MBR dahil olmak üzere önyükleme öncesi ortamda yetkisiz değişiklikler olup olmadığını algılamak için TPM donanımını kullanır . Herhangi bir yetkisiz değişiklik algılanırsa, BitLocker bir USB aygıtında bir kurtarma anahtarı ister. Bu kriptografik gizli Hacmi Ana Anahtar (VMK) şifresini çözmek ve sağlamak için kullanılır açılış sürecinin devam etmek.
Bununla birlikte, Şubat 2008'de, bir grup güvenlik araştırmacısı , makineyi USB sürücü gibi çıkarılabilir bir ortamdan bilgisayara başlatarak BitLocker gibi tam disk şifreleme sistemlerinin güvenliğinin ihlal edilmesine izin veren " soğuk önyükleme saldırısının " ayrıntılarını yayınladı . başka bir işletim sistemi, ardından önyükleme öncesi belleğin içeriğini boşaltma . Saldırı, güç kesildikten sonra DRAM'in bilgileri birkaç dakikaya kadar (veya soğutulursa daha uzun süre) saklamasına dayanır . Orada Bress / Menz cihazı , bu tür saldırıları gerçekleştirmek için, ABD Patenti 9.514.789 tarif edilmiştir. Anahtarlar Windows çalışırken bellekte tutulduğundan, tek başına bir TPM kullanımı herhangi bir koruma sağlamaz. Linux ve Mac OS X dahil olmak üzere diğer satıcıların ve diğer işletim sistemlerinin benzer tam disk şifreleme mekanizmaları aynı saldırıya karşı savunmasızdır. Yazarlar, bilgisayar sahibinin fiziksel kontrolünde olmadığında ( uyku modunda bırakmak yerine) bilgisayarların kapatılmasını ve şifreleme yazılımının makineyi başlatmak için bir parola gerektirecek şekilde yapılandırılmasını önermektedir.
BitLocker korumalı bir makine çalıştığında, anahtarları, örneğin bir 1394 veya Thunderbolt DMA kanalı aracılığıyla fiziksel belleğe erişebilen bir işlem tarafından saldırıya açık olabilecekleri bellekte depolanır . Windows 10 sürüm 1803'ten itibaren Microsoft, Thunderbolt 3 bağlantı noktaları aracılığıyla DMA saldırılarına karşı BitLocker'a "Kernel DMA Protection" adlı yeni bir özellik ekledi .
Windows 8 ve Windows Server 2012'den başlayarak Microsoft, Elephant Difüzör'ü herhangi bir neden belirtmeksizin BitLocker şemasından kaldırdı. Dan Rosendorf'un araştırması, Elephant Diffuser'ın kaldırılmasının, hedefli bir saldırıya karşı BitLocker şifrelemesinin güvenliği üzerinde "inkar edilemez derecede olumsuz bir etkisi" olduğunu gösteriyor. Microsoft daha sonra , difüzörün kaldırılmasını haklı çıkarmak için performans endişelerini ve Federal Bilgi İşleme Standartlarına (FIPS) uymadığını belirtti . Ancak Windows 10 sürüm 1511'den itibaren Microsoft , BitLocker'a FIPS uyumlu yeni bir XTS-AES şifreleme algoritması ekledi .
10 Kasım 2015'te Microsoft, BitLocker'da , saldırganın makineye fiziksel erişimi varsa, makine bir etki alanının parçasıysa ve kötü amaçlı bir Kerberos anahtar dağıtım merkezi kullanarak kimlik doğrulamanın atlanmasına izin veren bir güvenlik açığını azaltmak için bir güvenlik güncelleştirmesi yayınladı. PIN veya USB koruması yoktu.
Ekim 2017'de, akıllı kartlar ve TPM'ler gibi güvenlik ürünlerinde yaygın olarak kullanılan Infineon tarafından geliştirilen bir kod kitaplığındaki bir açığın ( ROCA güvenlik açığı ) , özel anahtarların açık anahtarlardan çıkarılmasını sağladığı bildirildi . Bu, etkilenen bir TPM yongası kullanıldığında bir saldırganın BitLocker şifrelemesini atlamasına izin verebilir. Microsoft, Windows Update aracılığıyla kusuru gideren Infineon TPM yongaları için bellenimin güncellenmiş bir sürümünü yayınladı.
Ayrıca bakınız
- Windows Vista'daki yeni özellikler
- Microsoft Windows bileşenlerinin listesi
- Vista IO teknolojileri
- Yeni Nesil Güvenli Bilgi İşlem Tabanı
- Dosya kasası