Bitlocker, průvodce pro nezasvěcené
- Kategorie: Bezpečnostní
BitLocker, poprvé představený v systému Windows Vista, je technologie šifrování s plnou jednotkou, která pracuje s hardwarem v kompatibilních počítačích označovaných jako modul Trusted Platform Module (čip TPM). Nabízí šifrování dat na podnikové úrovni a vyvolalo určitou kontroverzi, když se poprvé objevilo s některými vládními agenturami, které vyzývají společnost Microsoft, aby jim nechala zadní dveře, což Microsoft rozhodně odmítl.
Pokud máte přenosný počítač s čipem TPM, je šifrování obsahu pevného disku pomocí šifrování BitLocker velmi užitečné, zejména u pracovních počítačů, kde můžete přenášet citlivé osobní údaje o zaměstnancích nebo zákaznících nebo kde jsou vaše data přenášení bude stejně podléhat místním předpisům o ochraně údajů.
Bitlocker se snadno používá, stačí přejít do možnosti BitLocker v Ovládacích panelech Windows, vybrat pevné disky, které chcete zašifrovat, a pokud váš počítač obsahuje čip TPM, zapněte jej. Jaké jsou však problémy a úskalí používání nástroje BitLocker?
Bitlocker bude pracovat velmi efektivně a tiše na pozadí a ani si neuvědomíte, že tam je. To by mohlo způsobit problémy, pokud by se v systému Windows něco pokazilo a je třeba jej ze zálohy obnovit nebo znovu nainstalovat.
Když zašifrujete disk pomocí nástroje BitLocker, systém Windows vás vyzve k uložení kopie šifrovacího klíče na jednotku USB Pen. Existují dobré důvody a je moudré uchovávat kopii šifrovacího klíče na jednotce Pen Drive a samotnou jednotku udržovat někde v bezpečí, ale po ruce. Je zřejmé, že pokud si berete notebook a asi byste neměli mít Pen Drive s sebou po celou dobu, kdy by to mohlo být ukradeno s notebookem, je to téměř stejně špatné, jako kdyby nebylo šifrování vůbec.
Pokud však potřebujete obnovit Windows ze záložního obrazu, před úplným obnovením systému v systému Windows budete požádáni o kopii šifrovacího klíče, než bude moci pracovat s pevnými disky. Naštěstí se podívá na Pen Drives a najde vhodné klíče. Bez těchto klíčů nebude proces obnovy vůbec fungovat, ani žádné možnosti opravy spouštění v systému Windows 7.
Při opětovné instalaci systému Windows budou problémy ještě horší. Než to dokážete, je velmi moudré zcela dešifrovat vaše jednotky chráněné bitLockerem; proces, který je pravděpodobně nejlepší nechat běžet přes noc. Pokud se pokusíte přeinstalovat systém Windows 7 přes oddíl, který je již zašifrovaný, nebo pokud původní disk vymažete a znovu vytvoříte a budete mít druhý oddíl nebo disk pro soubory, můžete si vytvořit všechny typy bezpečnostních problémů.
Šifrovaný disk BitLocker je vázán na zaváděcí zavaděč instalace systému Windows a proto hledá, zda nebyl změněn, než čip TPM uvolní dešifrovací klíč. Bylo by příliš snadné přeinstalovat Windows a poté zjistit, že již nemáte žádný přístup k vašim souborům a datům, protože jsou zašifrovaná a nejsou zálohována v nešifrované podobě někde v bezpečí.
Zálohy jsou nezbytné, když pracujete s jakoukoli formou šifrování souborů nebo disků, dokonce i Windows EFS (Encrypted File System), který osobně nenávidím, protože ze souborů komprimuje užitečná metadata, když je komprimuje z důvodů, které nemají smysl. Vždy byste se měli ujistit, že existuje alespoň jedna plně nešifrovaná záložní kopie vašich souborů uložená na bezpečném místě.
Také bych doporučil uchovávat kopii šifrovacího klíče na bezpečném místě, snad službu SkyDrive společnosti Microsoft. Nezáleží na tom, jestli hackeři získali přístup k vašemu účtu a stáhli si klíče, protože bez fyzického přístupu k počítači, ke kterému se vztahují, jsou klíče pro ně zcela zbytečné.
Takže zatímco BitLocker je fantastický nápad a ten, který používám na svém vlastním notebooku ve spojení se skenerem otisků prstů, musíte být při implementaci velmi opatrní.