Szyfrujemy dane – BitLocker

W dobie coraz większego nacisku na mobilność  komputerów oraz masowej wymiany informacji nie trudno wystawić się na kradzież czy to sprzętu czy to znajdujących się na nim danych.  I choć producenci prześcigają się w metodach ochrony naszej własności przed wpadnięciem w niepowołane ręce to jednak nadal jedynym skutecznym środkiem zabezpieczającym cenne dla nas informacje jest ich zaszyfrowanie. Do niedawna proces ten był kłopotliwy i wymagał przebrnięcia przez niejednokrotnie skomplikowane procedury. Dlatego właśnie stworzono  BitLockera – proste i bardzo potężne narzędzie systemowe pozwalające w szybko i w miarę bezstresowo zaszyfrować całe partycje dysków twardych oraz przenośne pamięci USB.

Na wstępie klika słów wyjaśnienia odnośnie technologii wykorzystanej w BitLocker Drive Encryption. Rozwiązanie to opiera się na algorytmie AES (Advanced Encryption Standard) ze 128-bitowym kluczem przy jednoczesnym wykorzystaniu specjalnego dyfuzora (Elephant Diffuser) autorstwa Microsoftu, który pozwala na znacznie lepsze „rozmycie” szyfrowanych danych. Ten sposób zabezpieczenia dysku pozwala na szyfrowanie i odszyfrowywanie danych „w locie”, bez odczuwalnych dla uprawnionego użytkownika skutków działania tej funkcjonalności w systemie. Pamiętać jednak należy, że BitLocker dostępny jest jedynie w systemach Windows Vista  i Windows 7, w wersjach Enterprise i Ultimate.

Najwyższy czas przejść do właściwego wykorzystania dostępnych opcji tego narzędzia. Oto szybki poradnik szyfrowania danych przy pomocy BitLockera w systemie Windows 7.

Krok pierwszy – przygotowanie

BitLocker pozwala szyfrować zarówno partycje systemową jak i każdą inną partycje, za wyjątkiem rozruchowej, która winna pozostać niezaszyfrowana. Bez tego niemożliwe stanie się uruchomienie komputera. Niestety, przy standardowej instalacji systemu na czystym dysku twardym wszystkie pliki zwyczajowo instalowane są na tej samej partycji. W takim wypadku niezbędne stanie się utworzenie oddzielnej partycji rozruchowej. Aby tego dokonać należy skorzystać z opcji Zarządzania dyskami, którą znajdziemy na ekranie Szyfrowania danych funkcją BitLocker.


Koniecznie będzie zmniejszenie partycji systemowej i utworzenie nowej o wielkości przynajmniej 2GB. Następnie konieczne będzie sformatowanie jej w systemie NTFS oraz uruchomienie komputera z płyty instalacyjnej Windows 7. Wybór opcji Napraw komputer pozwoli automatycznie załadować pliki rozruchowe na nowoutworzona partycje. Pierwsza przeszkoda do zaszyfrowania dysku systemowego pokonana. Czas na drugą.


BitLocker wykorzystuje specjalny moduł TPM ( Trusted Platform Module) w wersji 1.2 wspierający szyfrowanie. Problem w tym, że nie wszystkie płyty główne są w niego wyposażone.
Posiadanie układu TMP (włączonego w BIOSie) pozwala na uruchomienie BitLockera w specjalnym trybie, bez dodatkowych kluczy i haseł. Wystarczy wygenerowanie hasła właściciela dla wspomnianego wyżej modułu. Oczywiście nic nie stoi na przeszkodzie aby dysponując modułem TPM skorzystać z dwóch pozostałych trybów działania BitLockera  opierających na kluczu USB oraz na karcie typu Smart Card z numerem PIN.

W przypadku, gdy nasz komputer nie dysponuje wbudowanym modułem TMP (co zdarza się niezwykle często) niezbędna jest rekonfiguracja Zasad grupy. W tym celu w oknie szybkiego uruchamiania w menu Start wpisujemy „gpedit.msc” uzyskując w ten sposób dostęp do zaawansowanych opcji ustawień komputera. Klikamy na „Konfiguracje komputera” i przechodzimy głębiej do „Szyfrowania dysków funkcją BitLocker” (Szablony administacyjne>> Składniki systemu Windows>> Szyfrowanie dysków funkcją BitLocker). Z listy wybieramy folder „Dyski z systemem operacyjnym”, a w nim pierwszą możliwą opcje – „Wymagaj dodatkowego uwierzytelniania przy uruchamianiu”.

Teraz wystarczy włączyć tę opcje i zezwolić na używanie BitLockera bez zgodnego modułu TPM. Po  ponownym otwarciu okna wyboru dysku do szyfrowania  szyfrowanie dysku systemowego powinno być już dostępne.


Nim jednak przejdziemy jednak do procesu szyfrowania warto wiedzieć, że do uruchomienia BitLockera wystarczy po kliknięciu prawym przyciskiem myszy na dowolnej partycji w oknie eksploratora Windows wybrać opcje ” Włącz funkcje BitLocker”.

#break#
Krok drugi – szyfrowanie

Proces uruchomienia szyfrowania dysku otwiera okno wyboru metody jego odblokowywania. Do naszej dyspozycji , w przypadku braku modułu TPM, pozostają trzy opcje: hasło, karta inteligentna z numerem PIN oraz automatyczne odblokowywanie dysku na tym komputerze. Co istotne, w przypadku ostatniej metody do automatycznego odblokowywania dysków stałych konieczne jest również zaszyfrowanie dysku systemowego naszego komputera.

Wybieramy opcje zabezpieczenia hasłem i wpisujemy je w żądane pola. Kolejną czynnością jest określenie sposobu przechowywania klucza odzyskiwania, dzięki któremu będziemy mogli uzyskać dostęp do zaszyfrowanego dysku nawet gdy zapomnimy hasła. Możemy więc zapisać go na dysku USB, zapisać go w pliku bądź wydrukować.

Wszystko dopięte na ostatni guzik, a więc możemy rozpocząć szyfrowanie.

Proces szyfrowania nawet niezbyt pojemnego dysku potrafi trwać kilkadziesiąt minut. Konieczna jest cierpliwość, bo pliki chronione są dopiero po zakończeniu szyfrowania.

Po zakończeniu procesu szyfrowania dysk jest już zabezpieczony BitLockerem. W eksploratorze Windows będzie on widoczny jako dysk z kłódką.

Dostęp do tego dysku zaraz po ukończeniu szyfrowania nie zostaje ograniczony. Blokuje go dopiero ponowny rozruch komputera. W tym momencie próba poznania zawartości dysku kończy się wyświetleniem komunikatu o zabezpieczeniu go funkcją BitLocker i konieczności podania hasła.

Po odblokowaniu dysku mamy do niego pełen dostęp. Oznacza to nie tylko możliwość przeglądania plików, ale takie zapisywania nań nowych informacji. Wszystkie one są automatycznie szyfrowane. Oczywiście, w każdej chwili możemy zmienić hasło dostępowe lub nawet wyłączyć ochronę takiego dysku. W tym przypadku dysku systemowego wyłączenie funkcji BitLocker może być czasowe (z zachowaniem zaszyfrowanych danych i pełnym dostępem do plików) jak i całkowite, polegające na odszyfrowaniu całej zawartości dysku i wygaśnięciu utworzonych kluczy. Czasowe wyłączenie BitLockera pozwala między innymi na dokonywanie zmian w systemie.

Warto wiedzieć, że Windows 7 wprowadził dodatkową funkcjonalność BitLockera umożliwiającą ochronę dysków wymiennych. Nosi ona nazwę BitLocker To Go. Różni się ona od podstawowej funkcji programu tym, że obsługuje dyski wymienne korzystające nie tylko z systemu plików NTFS, ale również exFAT, FAT16 i FAT32. Jedynym ograniczeniem jest tu pojemność takiego dysku, która musi być większa niż 64MB.

Kolejne etapy szyfrowania dysku przenośnego przebiegają niemal identycznie do wcześniej opisanych. Jedynym wyjątkiem jest sposób przechowywania klucza, który tym razem możemy albo zapisać w pliku albo wydrukować.



W razie potrzeby szyfrowanie dysku wymiennego możemy czasowo wstrzymać i odłączyć dysk bez utraty danych. Uwaga! Wyciągnięcie klucza bez zawieszenia procesu może doprowadzić do uszkodzenia znajdujących się na nim plików.

 
Warto wiedzieć, że z zaszyfrowanego przy pomocy funkcji BitLocker To Go dysku przenośnego lub klucza USB można korzystać na innych komputerach wyposażonych w systemy operacyjne Windows XP (SP3), Vista czy Windows 7.  Potrzebny jest jedynie klucz lub Smart Card z PINem. Co ciekawe uzyskanie dostępu do takiego dysku w przypadku Windowsa XP lub Visty nie jest automatyczne. Do przeglądania tak zaszyfrowanych treści niezbędne jest uruchomienia specjalnej aplikacji. Jest nią czytnik funkcji BitLocker To Go (BitLocker To Go Reader). Pozwala on na przeglądanie zawartości szyfrowanych dysków w trybie tylko do odczytu. Czytnik ten wrzucany jest automatycznie na dysk w procesie jego szyfrowania. W razie czego jednak można go również pobrać ze stron internetowych Microsoftu.

Na koniec ważna uwaga – szyfrowanie danych nawet tak zaawansowanym programem jak BitLocker nie jest w pełni bezpieczne. I nie chodzi tu tylko o ewentualność zagubienia klucza deszyfrującego i problemów z odzyskaniem danych, ale przede wszystkim o możliwość dotarcia do chronionych informacji przez osoby nieuprawnione. Już w zeszłym roku pojawiły się programy umożliwiające przełamanie zabezpieczeń BitLockera. Na szczęście nie są one jeszcze ani powszechnie dostępne ani  nie dają 100% pewności odczytania danych chronionych szyfrowaniem.