BitLocker w Windows 8 – zmiana algorytmu i autoryzacja hasłem

Jedną z moim zdaniem najciekawszych zmian w Windows 8 względem poprzednika jest udostępnienie funkcji szyfrowania dysków BitLocker większej grupie użytkowników. Wcześniej była ona dostępna tylko w Windows 7 Enterprise i Ultimate, a nawet w wypadku zastosowań biznesowych komputery posiadały w wersji OEM raczej wersję Professional. Teraz nie ma czegoś takiego jak wersja Ultimate, a BitLocker pojawił się w Windows 8 PRO, a właśnie taki znajdziemy w wersji OEM na nowych urządzeniach o nieco wyższej cenie. W tym wpisie chciałbym przybliżyć możliwości jego konfiguracji, ponieważ w wypadku najnowszej wersji okienek oprócz wspomnianej, dokonały się jeszcze przynajmniej dwie inne ciekawe zmiany. Przede wszystkim, czy BitLocker jest potrzebny?

Po co i dlaczego BitLocker?

Moim zdaniem jest to funkcja bardzo ciekawa z tego względu, że przede wszystkim pozwala na ochronę naszych danych np. w wypadku kradzieży urządzenia. Sam używam jedynie laptopa i chociaż zawsze się pilnuję, bo sama strata sprzętu byłaby bolesna, to jeszcze bardziej zależy mi na bezpieczeństwie moich danych. W końcu to komputer osobisty, na którym jestem zalogowany do wielu usług. Nie bez znaczenia jest również fakt, że jest to technologia wbudowana w system. Oczywiście ktoś może powiedzieć, że woli otwarte rozwiązania takie jak TrueCrypt. Ok, niech każdy używa tego, co mu pasuje – ja wolę BitLockera bo jest o wiele szybszy, a poza tym nie wierzę w tylne furtki rzekomo pozostawione przez Microsoft. Gdyby istniały, na pewno przez te kilka lat z tym rozwiązaniem dostępnym na rynku wyszłyby to na światło dzienne, a firma zostałaby po prostu zmieciona z powierzchni Ziemi przez klientów, którzy straciliby do niej zaufanie.

Zmiana algorytmu szyfrowania

Pierwsza zmiana jaką możemy skonfigurować i odczuć nawet bez zmian to zmiana domyślnego algorytmu szyfrowania. W wypadku Windows 7 był to AES-128 z dyfuzorem stworzonym przez Microsoft. Dostępne było również ustawienie bez dyfuzora, a także AES-256 w obu wariantach. W wypadku Windows 8 mamy do dyspozycji tylko czysty AES-128 i AES-256, wersje z dyfuzorem zostały usunięte. Z tego co udało mi się znaleźć, został on usunięty ponieważ nie pozwalał na pełne wykorzystanie akceleracji sprzętowej do szyfrowania dostępnej w nowszych procesorach (m.in. Intel i5/i7 już od pierwszej generacji [nie wszystkie modele]). Domyślnie mamy więc AES-128, jak więc zmienić to na mocniejszą wersję AES-256? Na ekranie start wpisujemy edytuj zasady grupy, przechodzimy do ustawień i wybieramy jedyną dostępną ikonkę. Otworzy się nam edytor lokalnych zasad grupy. W nim przechodzimy do: szablony administracyjne w zakładce konfiguracja komputera, następnie składniki systemu Windows i na koniec szyfrowanie dysków funkcją Bitlocker. Aby zmienić algorytm szyfrowania edytujemy opcję wybierz metodę szyfrowania dysków i siłę szyfrowania. Domyślnie zobaczymy wybraną opcję nie skonfigurowano. Zmieniamy ją na włączone, po czym możemy wybrać algorytm, dla pewności uruchamiamy komputer ponownie. Ważna uwaga: zmianę tę powinniśmy wykonać przed zaszyfrowaniem dysku BitLockerem. Jeżeli zrobimy to później, do zmiany algorytmu będziemy musieli go odszyfrować i zaszyfrować ponownie. Zmiana ustawień nie oznacza bowiem, że w locie system zmieni nam szyfrowanie.

aes1 aes2

Autoryzacja hasłem

BitLocker domyślnie wykorzystuje sprzętowy moduł TPM do przechowywania i zabezpieczania kluczy. W Windows 7 domyślnie był on konieczny do używania szyfrowania, a przecież nie każdy komputer jest w taki moduł wyposażony (większość nie jest). Możliwe jednak było dokonanie zmiany w ustawień, a wtedy do uruchamiania zaszyfrowanego systemu potrzeby był nam klucz startowy umieszczony na pendrive. Opcja dobra, ale mało wygodna bo wymagająca każdorazowego podłączania napędu przy starcie systemu. W wypadku Windows 8 mamy do dyspozycji 4 metody autoryzacji:

  • TPM
  • TPM + dodatkowo kod PIN
  • Klucz startowy USB
  • Hasło

Domyślnie nadal wymagany jest TPM, ale nic nie stoi na przeszkodzie, abyśmy zmienili ustawienia i przed startem systemu po prostu wpisywali hasło chroniące klucze, podobnie jak ma to miejsce w TrueCrypcie. Nic nie stoi również na przeszkodzie, aby wykorzystać to do weryfikacji dwuetapowej gdy posiadamy jakiś token z możliwością wpisania na stałe jakiegoś ciągu – część hasła będziemy pamiętać i wpisywać z klawiatury, a resztę podamy za pomocą tokenu. Jak więc zmienić to ustawienie i odblokować możliwość wyboru autoryzacji poprzez hasło w trakcie konfigurowania szyfrowania? W bardzo prosty sposób. Ponownie przechodzimy do edytora lokalnych zasad grupy. Przechodzimy po raz kolejny do: szablony administracyjne w zakładce konfiguracja komputera, następnie składniki systemu Windows i szyfrowanie dysków funkcją Bitlocker. Na koniec otwieramy dyski z systemem operacyjnym. Z dostępnych opcji klikamy na wymagaj dodatkowego uwierzytelnienia przy uruchamianiu. Domyślnie opcja nie jest skonfigurowana. Wybieramy włączone i upewniamy się, czy poniżej zaznaczona jest opcja na zezwalanie używania funkcji BitLocker bez zgodnego modułu TPM. To już wszystko, po dokonaniu tej zmiany kreator szyfrowania dysku BitLockerem pozwoli nam na używanie hasła, a gdy nie posiadamy TPM nie będzie już nas odrzucał komunikatem o tym fakcie.

 logowanie1 logowanie2 haslo

Podsumowanie

Czy warto? Moim zdaniem to zależy od tego, jak bardzo cenimy swoje dane. Żadne szyfrowanie nie pomoże nam jeżeli nie będziemy myśleć, a większość zagrożeń na jakie możemy trafić znajdziemy w Internecie i szybciej sami świadomie lub nie uruchomimy jakieś szkodliwe oprogramowanie, niż zostanie nam ukradziony sprzęt. Jest to jednak bardzo przydatna opcja dla urządzeń mobilnych, w szczególności gdy naprawdę często się przemieszczamy i mamy obawy o ich bezpieczeństwo. Ktoś zapyta: czy mamy takie ważne dane, aby to szyfrować? Może i nie, ale sam fakt że jestem zalogowany do skrzynki pocztowej w przeglądarce powoduje, że nie chcę nikogo dopuszczać do mojego komputera. Bo to moja, a nie czyjaś korespondencja. Zmiany jakie zaszły w BitLockerze w Windows 8 dały dostęp do prostej w użyciu funkcji szyfrowania znacznie większej ilości osób, w szczególności biorąc pod uwagę promocyjny program aktualizacji starszych okienek po bardzo niskiej cenie. Jeżeli mamy jakieś naprawdę bardzo ważne dane nie możemy zapominać o jeszcze jednym:

security

Źródła:

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.