32409

Защита информации в Windows NT/2000/XP/2003/Win7. Объект доступа. EFS, наследование. Bitlocker

Реферат

Информатика, кибернетика и программирование

Bitlocker. Шифрование дисков BitLocker определенно одна из самых обсуждаемых возможностей в Windows Vist. Однако большинство людей еще не имело серьезной возможности опробовать BitLocker и на собственном опыте испытать что и как он делает особенно на компьютере с доверенным платформенным модулем TPM. В этой статье мы рассмотрим основы BitLocker позволяющие оценить его потенциал и включить в программу обновления.

Русский

2013-09-04

33.93 KB

17 чел.

Защита информации в Windows NT/2000/XP/2003/Win7. Объект доступа. EFS, наследование. Bitlocker.

Шифрование дисков BitLocker — определенно одна из самых обсуждаемых возможностей в Windows Vista. Однако, большинство людей еще не имело серьезной возможности опробовать BitLocker и на собственном опыте испытать, что и как он делает — особенно на компьютере с доверенным платформенным модулем (TPM). В этой статье мы рассмотрим основы BitLocker™, позволяющие оценить его потенциал и включить в программу обновления. Начнем с предпосылок и концепций, затем рассмотрим включение BitLocker, восстановление данных, администрирование и то, какова роль BitLocker при утилизации компьютера.

BitLocker выполняет две взаимодополняющие, но различные функции. Во-первых, он обеспечивает шифрование всего тома ОС Windows®. Во-вторых, на компьютерах с совместимым доверенным платформенным модулем он позволяет проверить целостность загрузочных компонентов до запуска Windows Vista™.

Для полного использования возможностей BitLocker компьютер должен быть оснащен совместимыми микрочипом TPM и BIOS. Под совместимыми понимается версия 1.2 TPM и BIOS, поддерживающая TPM и статический корень измерения доверия (Static Root of Trust Measurement), определенный в спецификациях TCG. Однако компьютеры без совместимых TPM и BIOS тоже могут использовать шифрование BitLocker.

Полное шифрование тома

BitLocker шифрует весь том ОС Windows со всеми данными. Это ключевой аспект в защите конфиденциальной информации, содержащейся на компьютерах предприятия, особенно переносных.

Переносные компьютеры крадут и теряют каждый день. Благодаря возросшим возможностям переносных устройств, а также все большей доли мобильности в работе один сотрудник может иметь при себе сотни гигабайт промышленных секретов вашего предприятия, секретных документов или сведений о клиентах частного характера. Краткий обзор сводок новостей покажет, что такие данные теряются слишком часто. (По данным Privacy Rights Clearinghouse, с 2005 года пропало или было разглашено свыше 104 миллионов записей, содержащих частные сведения.)

Большинство организаций уже находятся под действием юридических или корпоративных документов, обязывающих охранять сведения личного характера, и даже если ваше предприятие еще не входит в их число, вы наверняка были бы заинтересованы обеспечить документам сохранность.

Ключи BitLocker

Имея дело с шифрованием, стоит разбираться в ключах, и шифрование BitLocker не исключение. Архитектура его ключей изящна, но весьма непроста.

Сами секторы шифруются ключом шифрования всего тома (full-volume encryption key, FVEK). Пользователи, однако, с этим ключом не работают и доступа к нему не имеют. Сам ключ FVEK шифруется основным ключом тома (volume master key, VMK). Такой уровень абстракции дает уникальные преимущества, но делает весь процесс более трудным для понимания. Ключ FVEK хранится в строжайшей секретности, потому что при его разглашении потребовалось бы перешифровать все секторы. Поскольку перешифрование займет значительное время, стоит не допускать разглашения ключа. Поэтому система работает с ключом VMK.

Ключ FVEK (зашифрованный ключом VMK) хранится на диске среди метаданных тома. При этом он никогда не попадает на диск в расшифрованном виде.

Ключ VMK тоже шифруется, или «охраняется», одним или несколькими предохранителями ключей. Предохранитель по умолчанию — TPM. Его использование описано далее в разделе о проверке целостности. Пароль восстановления тоже создается как предохранитель на случай экстренных ситуаций. Восстановление также описано далее.

Для дополнительной защищенности можно объединить TPM с числовым ПИН-кодом или с частичным ключом, хранимым на USB-накопителе. И то, и другое — образец двухфакторной проверки подлинности. Если у компьютера нет совместимого TPM-чипа и BIOS, BitLocker может сохранить предохранитель ключа целиком на USB-накопителе. Получится ключ запуска.

BitLocker можно отключить, не расшифровывая данные. В этом случае ключ VMK защищается только новым предохранителем ключа, который хранится в незашифрованном виде. Этот ключ позволяет системе получать доступ к диску так, словно он не зашифрован.

При запуске система ищет подходящий предохранитель ключа, опрашивая TPM, проверяя порты USB или, если необходимо, запрашивая пользователя (что называется восстановлением). Обнаружение предохранителя ключа позволяет Windows расшифровать ключ VMK, которым расшифровывается ключ FVEK, которым расшифровываются данные на диске. Весь процесс показан на рис. 1.



Рис. 1 Процесс запуска BitLocker по умолчанию


Проверка целостности

Поскольку компоненты, выполняющие начальную стадию загрузки, должны оставаться незашифрованными (иначе компьютер не сможет запуститься), злоумышленник может изменить их код (создать rootkit) и так получить доступ к компьютеру, даже если данные на диске останутся зашифрованными.

Это открывает доступ к конфиденциальной информации, например ключам BitLocker или паролям пользователей, которые могут быть использованы для обхода других средств защиты.

Предотвращение такого хода событий было одной из исходных целей всей программы и группы разработчиков BitLocker. До некоторой степени, шифрование почти позволяло достичь конечной цели. Полное шифрование тома позволяет BitLocker сберегать целостность системы и не давать Windows запуститься, если компоненты, выполняющие начальную стадию загрузки, были изменены.

Если компьютер снабжен совместимым TPM, при каждом его запуске каждый из компонентов ранней загрузки — BIOS, MBR, загрузочный сектор и код диспетчера загрузки — проверяет запускаемый код, подсчитывает значение хэша и сохраняет его в специальных регистрах TPM, называемых регистрами конфигурации платформы (platform configuration registers, PCR). Значение, сохраненное в PCR, может быть заменено или стерто только при перезапуске системы. BitLocker использует TPM и значения, сохраненные в PCR, для защиты ключа VMK.

TPM может создать ключ, привязанный к конкретным значениям PCR. После создания этот ключ шифруется модулем TPM, и расшифровать его сможет только этот конкретный модуль. Причем для этого потребуется, чтобы текущие значения PCR совпадали со значениями на момент создания ключа. Это называется запечатыванием (sealing) ключа в TPM.

По умолчанию BitLocker запечатывает ключи к измерениям CRTM, BIOS и любым расширениям платформы, необязательному ROM-коду, коду MBR, загрузочному сектору NTFS и диспетчеру загрузки. Если любой из этих элементов неожиданно оказывается измененным, BitLocker блокирует диск и не даст получить к нему доступ или расшифровать.

По умолчанию BitLocker настроен на обнаружение и использование TPM. С помощью настроек групповой или локальной политики можно разрешить работу BitLocker без TPM с хранением ключей на внешнем флэш-накопителе USB, но тогда становится невозможно проверять целостность системы.


 

А также другие работы, которые могут Вас заинтересовать

33000. Философия и ее предмет. Исторические условия возникновения философии 42.2 KB
  Философия - любовь к мудрости (от греч. phileo - люблю и sophia - мудрость) - возникает в VII-VI веках до н.э. в Древней Греции и на Востоке - в Индии и Китае. С тех пор не утихают споры о предмете философских размышлений, назначении философии, ее соотношении с другими формами человеческой духовной деятельности.
33001. ФИЛОСОФИЯ ДРЕВНЕГО ВОСТОКА 35.04 KB
  РВ вобрала в себя миф и ритуал в таком виде она несла зачаток как религиозного так и философского видения мира и человека. Есть там и идея макрокосмической эмбриогонии согласно которой рождение космоса рассматривается по аналогии с зачатием и рождением человека в материнском лоне. Космос порождает человека. В рамках древнеиндийской философии подчёркивается значение духовной стороны человека она приобретает здесь космический смысл.
33002. Милетская школа. Милетская школа философии 26.78 KB
  Обратимся к наиболее известному опровержению возможности движения – знаменитым апориям Зенона которого Аристотель назвал изобретателем диалектики. Но для философа вопрос ставиться не в плоскости эмпирического существования движения а в плане мыслимости его противоречивости и в системе понятия в диалектике его соотношения с пространством и временем. Элиатам не удалось доказать что движения нет. Они своими тонкими рассуждениями показали то что едва ли кто из их современников осмысливал что такое движение Сами они в своих размышлениях...
33003. Платон и Аристотель 17.61 KB
  Философскоэтические взгляды Платона изложены в многочисленных диалогах главное действующее лицо которых как правило его учитель Сократ. В дошедших до нас произведениях нет законченной философской системы поэтому воззрения Платона на те или иные вопросы служили и продолжают служить предметом спора между исследователями. Образы идеи по мнению Платона находятся вне времени и пространства недоступны восприятию но их может созерцать разум который и связывает два мира: потусторонний и реальный. Трудно назвать область знаний которая не...
33004. Философия поздней античности 17.13 KB
  В смысловой мир человека вторгалось чувство безосновности и негарантированности существования. Именно они порабощают человека. Его основатель – Зенон из Китая утверждал что основная цель человека – жить в согласии с природой и это то же самое что жить согласно с добродетелью. Стоический мудрец идеал человека является воплощенным разумом.
33005. Философия средневековья, монотеизм как основа философии средневековья 20.82 KB
  Для философии это был период когда изменились цель и характер философствования. Философы могли свободно создавать свои мировоззренческие концепции как в области онтологии так и в гносеологии этике эстетике социальной философии. А тот факт что тенденция к союзу философии и теологии к их взаимодействию проявилась еще в конце античности...
33006. Эпоха Возрождения, этапы развития 28.3 KB
  Решающую роль при этом играло обращение к философии древних греков и римлян. В философии эпохи Возрождения мы встречаемся с оригинальными модификациями аристотелизма и платонизма стоической и эпикурейской философской мысли. Для гуманистической философии Возрождения характерно рассмотрение человека прежде всего в его земном предназначении. Первый этап развития философии эпохи Возрождения Первый этап развития философии эпохи Возрождения связан с преобладанием интереса мыслителей к проблемам устройства человека в мире который рассматривался как...
33007. Философия нового времени. Эмпиризм 17.81 KB
  Иной подход к сенсуализму продемонстрировал английский епископ Джордж Беркли 1685 1753. Стремясь защитить религию от идей материализма и атеизма Беркли в работе Трактат об основах человеческого познания 1710 использовал для этого принципы сенсуализма и в результате создал концепцию субъективного идеализма. Каждый предмет полагает Беркли можно определить как комплекс ощущений например яблоко – это собранные воедино определенный вкус цвет форма запах и пр. Все что реально существует дано нам в наших ощущениях и восприятиях...
33008. Рационализм нового времени 24.77 KB
  Рационализм можно понять как уверенность в мощи и способности разума особенно разума просвещённого руководимого правильным методом постигнуть тайны природы познать окружающий мир и самого человека с помощью здравого смысла решать практические жизненные задачи и в конечном счёте построить общество на разумных началах. И непременно с помощью разума постигать Бога. Но и Декарт Спиноза Лейбниц которых считают рационалистами также уделяли немалое внимание чувственному опыту к которому однако относились критически воле и “страстям...