Kus on Windows 7-s salvestatud bitlockeri parool. BitLockeri taastamine. Arvuti ei avane süsteemi käivitamisel

Paljud inimesed kasutavad Windowsi krüpteerimisfunktsiooni, kuid mitte kõik ei mõtle selle andmekaitsemeetodi turvalisusele. Täna räägime Bitlockeri krüptimisest ja proovime välja mõelda, kui hästi on Windowsi kettakaitset rakendatud.

Muide, Bitlockeri seadistamise kohta saate lugeda artiklist "".

Eessõna
Kuidas Bitlocker töötab?

Haavatavused
Taastevõtmed
BitLockeri avamine
BitLocker To Go

Järeldus

Artikkel on kirjutatud uurimise eesmärgil. Kogu selles sisalduv teave on ainult informatiivsel eesmärgil. See on suunatud turvaspetsialistidele ja selleks saada soovijatele.

Kuidas Bitlocker töötab?

Mis on Bitlocker?

BitLocker on ketta krüptimise funktsioon operatsioonisüsteemides Windows 7, 8, 8.1, 10. See funktsioon võimaldab teil turvaliselt krüpteerida konfidentsiaalseid andmeid arvutis nii HDD-l ja SSD-l kui ka irdkandjal.

Kuidas BitLocker töötab?

BitLockeri töökindlust ei tohiks hinnata AES-i maine järgi. Populaarsel krüpteerimisstandardil ei pruugi olla ilmseid nõrkusi, kuid selle rakendused konkreetsetes krüptotoodetes on neid sageli täis. Microsoft ei avalda BitLockeri tehnoloogia täielikku koodi. On vaid teada, et Windowsi erinevates versioonides põhines see erinevatel skeemidel ning muudatusi ei kommenteeritud kuidagi. Veelgi enam, Windows 10 järgus 10586 see lihtsalt kadus ja kaks järge hiljem ilmus see uuesti. Siiski kõigepealt kõigepealt.

BitLockeri esimene versioon kasutas šifreeritud tekstiploki aheldamise (CBC) režiimi. Juba siis olid selle puudused ilmsed: tuntud teksti ründamise lihtsus, nõrk vastupanu rünnakutele nagu asendamine jne. Seetõttu otsustas Microsoft kohe kaitset tugevdada. Juba Vistas lisati AES-CBC skeemile Elephant Diffuser algoritm, mis muutis šifritekstiplokkide otsese võrdlemise keeruliseks. Sellega andis kahe sektori sama sisu pärast ühe võtmega krüptimist täiesti erinevad tulemused, mis raskendas üldise mustri arvutamist. Võti ise oli aga vaikimisi lühike – 128 bitti. Halduspoliitika kaudu saab seda laiendada 256 bitti, kuid kas seda tasub teha?

Kasutajate jaoks ei muutu pärast võtme vahetamist väliselt midagi – ei sisestatud paroolide pikkus ega ka toimingute subjektiivne kiirus. Nagu enamik täisketta krüpteerimissüsteeme, kasutab BitLocker mitut võtit... ja ükski neist pole kasutajatele nähtav. Siin on BitLockeri skemaatiline diagramm.

Kui BitLocker on aktiveeritud, luuakse pseudojuhuslike arvude generaatori abil põhibitijada. See on helitugevuse krüpteerimisvõti - FVEK (täismahu krüpteerimisvõti). Just sellega krüpteeritakse nüüd iga sektori sisu.
FVEK omakorda krüpteeritakse teise võtmega - VMK (volume master key) - ja salvestatakse krüpteeritud kujul köite metaandmete hulka.
VMK ise on samuti krüpteeritud, kuid kasutaja äranägemisel erineval viisil.
Uutel emaplaatidel krüpteeritakse VMK võti vaikimisi SRK-võtmega (salvestusjuure võti), mis on salvestatud eraldi krüptoprotsessorisse - usaldusväärsesse platvormimoodulisse (TPM). Kasutajal pole juurdepääsu TPM-i sisule ja see on iga arvuti jaoks ainulaadne.
Kui tahvlil pole eraldi TPM-kiipi, siis SRK asemel kasutatakse VMK võtme krüpteerimiseks kasutaja sisestatud PIN-koodi või tellitavat USB-mälupulka, millele on eelsalvestatud võtmeinfo.
Lisaks TPM-ile või mälupulgale saate VMK-võtit kaitsta parooliga.

See BitLockeri toimimise üldine muster jätkus järgmistes Windowsi versioonides kuni praeguse ajani. Kuid BitLockeri võtme genereerimise meetodid ja krüpteerimisrežiimid on muutunud. Nii eemaldas Microsoft 2014. aasta oktoobris vaikselt täiendava Elephant Diffuseri algoritmi, jättes alles vaid AES-CBC skeemi selle teadaolevate puudustega. Esialgu selle kohta ametlikke avaldusi ei tehtud. Inimestele anti uuenduse varjus lihtsalt sama nimega nõrgestatud krüpteerimistehnoloogia. Selle sammu ebamäärased selgitused järgnesid pärast seda, kui sõltumatud teadlased märkasid BitLockeri lihtsustusi.

Formaalselt oli Elephant Diffuserist loobumine nõutav Windowsi vastavuse tagamiseks USA föderaalsete teabetöötlusstandardite (FIPS) nõuetele, kuid üks argument lükkab selle versiooni ümber: Vista ja Windows 7, mis kasutasid Elephant Diffuserit, müüdi Ameerikas probleemideta. .

Teine lisaalgoritmist loobumise väljamõeldud põhjus on Elephant Diffuseri riistvaralise kiirenduse puudumine ja kiiruse kadu selle kasutamisel. Kuid varasematel aastatel, kui protsessorid olid aeglasemad, oli krüpteerimiskiirus kuidagi rahuldav. Ja sama AES-i kasutati laialdaselt isegi enne, kui ilmusid selle kiirendamiseks eraldi juhiskomplektid ja spetsiaalsed kiibid. Aja jooksul oli võimalik teha Elephant Diffuseri riistvaralist kiirendust või vähemalt anda klientidele valida kiiruse ja turvalisuse vahel.

Teine, mitteametlik versioon tundub realistlikum. "Elevant" segas töötajaid, kes soovisid järgmise ketta dekrüpteerimiseks vähem vaeva näha, ja Microsoft suhtleb meelsasti ametiasutustega isegi juhtudel, kui nende taotlused pole täiesti seaduslikud. Kaudselt kinnitab vandenõuteooriat asjaolu, et enne Windows 8 kasutati BitLockeris krüpteerimisvõtmete loomisel Windowsi sisseehitatud pseudojuhuslike numbrite generaatorit. Paljudes (kui mitte kõigis) Windowsi versioonides oli selleks Dual_EC_DRBG – "krüptograafiline tugev PRNG", mille töötas välja USA Riiklik Julgeolekuagentuur ja mis sisaldab mitmeid loomupäraseid haavatavusi.

Muidugi tekitas sisseehitatud krüptimise salajane nõrgendamine võimsa kriitikalaine. Tema survel kirjutas Microsoft uuesti BitLockeri ümber, asendades Windowsi uutes versioonides PRNG-ga CTR_DRBG. Lisaks on Windows 10-s (alates järgust 1511) vaikimisi krüpteerimisskeem AES-XTS, mis on immuunne šifritekstiplokkidega manipuleerimisele. “Kümnete” viimastes versioonides parandati ka teisi BitLockeri teadaolevaid puudusi, kuid põhiprobleem jäi siiski alles. See on nii absurdne, et muudab muud uuendused mõttetuks. Räägime võtmehalduse põhimõtetest.

BitLockeri draivide dekrüpteerimise ülesannet lihtsustab ka asjaolu, et Microsoft propageerib aktiivselt alternatiivset meetodit andmetele juurdepääsu taastamiseks Data Recovery Agenti kaudu. Agendi mõte seisneb selles, et see krüpteerib kõigi ettevõtte võrgu draivide krüpteerimisvõtmed ühe juurdepääsuvõtmega. Kui teil on see olemas, saate dekrüpteerida mis tahes võtme ja seega ka kõik sama ettevõtte kasutatavad kettad. Mugav? Jah, eriti häkkimise puhul.

Mõtet kasutada kõikide lukkude jaoks ühte võtit on juba korduvalt ohustatud, kuid mugavuse huvides tagastatakse seda ühel või teisel kujul jätkuvalt. Nii pani Ralph Leighton kirja Richard Feynmani mälestused ühest iseloomulikust episoodist tema tööst Manhattani projektiga Los Alamose laboris: „... avasin kolm seifi – ja kõik kolm sama kombinatsiooniga. Tegelesin nendega kõigiga: avasin seifid kõigi aatomipommi saladustega - plutooniumi tootmise tehnoloogia, puhastusprotsessi kirjeldus, teave selle kohta, kui palju materjali on vaja, kuidas pomm töötab, kuidas neutroneid toodetakse, kuidas pomm töötab, mis on selle mõõtmed – ühesõnaga kõik, millest nad Los Alamoses teadsid, kogu köök!

BitLocker meenutab mõneti turvalise disaini, mida on kirjeldatud raamatu "You're surely Joking" teises fragmendis, Mr. Feynman! Ülisalajase labori kõige muljetavaldavamal seifil oli sama haavatavus kui lihtsal kartoteekapil. “...Ta oli kolonel ja tal oli palju keerukam kaheukseline suurte käepidemetega seif, mis tõmbas raamist välja neli kolmveerandtollist paksust terasvarda. Uurisin ühe imposantse pronksukse tagakülge ja avastasin, et digitaalne sihverplaat oli ühendatud väikese lukuga, mis nägi välja täpselt nagu mu Los Alamose kapi lukk. Oli näha, et hoobade süsteem sõltus sellestsamast väikesest vardast, mis arhiivikappe lukustas... Hakkasin suvaliselt sihverplaati keerama, teeseldes, et teen midagi. Kaks minutit hiljem - klõpsake! - seif avanes. Kui arhiivikapi seifi uks või ülemine sahtel on avatud, on kombinatsiooni väga lihtne leida. Just seda ma tegin, kui te mu raportit lugesite, et näidata teile ohtu.

BitLockeri krüptokonteinerid ise on üsna turvalised. Kui nad toovad teile eikusagilt pärit välkmälupulga, mis on krüptitud BitLocker To Go-ga, siis tõenäoliselt ei suuda te seda vastuvõetava aja jooksul dekrüpteerida. Siiski on krüptitud draivide ja irdkandjate kasutamise tegelik stsenaarium täis turvaauke, mida saab hõlpsasti ära kasutada BitLockerist mööda hiilimiseks.

BitLockeri haavatavused

Tõenäoliselt olete märganud, et Bitlockeri esmakordsel aktiveerimisel peate kaua ootama. See pole üllatav – sektoripõhise krüptimise protsess võib kesta mitu tundi, sest isegi terabaidise HDD kõigi plokkide lugemine pole võimalik kiiremini. Kuid BitLockeri keelamine toimub peaaegu hetkega – kuidas see nii saab?

Fakt on see, et kui see on keelatud, ei dekrüpteeri Bitlocker andmeid. Kõik sektorid jäävad FVEK-võtmega krüpteerituks. Lihtsalt juurdepääs sellele võtmele ei ole enam mingil viisil piiratud. Kõik kontrollid keelatakse ja VMK jääb selgeteksti metaandmete hulka salvestatuks. Iga kord, kui arvuti sisse lülitate, loeb OS-i alglaadur VMK-d (ilma TPM-i kontrollimata, küsib mälupulgal olevat võtit või parooli), dekrüpteerib automaatselt sellega FVEK-i ja seejärel kõik failid, kui neile juurde pääseb. Kasutaja jaoks näeb kõik välja nagu täielik krüptimise puudumine, kuid kõige tähelepanelikumad võivad märgata ketta alamsüsteemi jõudluse mõningast langust. Täpsemalt, pärast krüptimise keelamist kiirus ei suurene.

Selles skeemis on veel midagi huvitavat. Vaatamata nimele (täisketta krüptimise tehnoloogia), jääb osa andmeid BitLockeri kasutamisel siiski krüptimata. MBR ja BS jäävad avatuks (välja arvatud juhul, kui ketas on GPT-s lähtestatud), kahjustatud sektorid ja metaandmed. Avatud alglaadur annab ruumi kujutlusvõimele. Pseudohalvad sektorid on mugavad muu pahavara peitmiseks ja metaandmed sisaldavad palju huvitavat, sealhulgas võtmete koopiaid. Kui Bitlocker on aktiivne, siis need krüpteeritakse (kuid nõrgem kui FVEK krüpteerib sektorite sisu) ja kui see deaktiveeritakse, jäävad need lihtsalt tühjaks. Need kõik on potentsiaalsed rünnakuvektorid. Need on potentsiaalsed, sest lisaks neile on palju lihtsamaid ja universaalsemaid.

Bitlockeri taastevõti

Lisaks FVEK-ile, VMK-le ja SRK-le kasutab BitLocker teist tüüpi võtit, mis luuakse igaks juhuks. Need on taastevõtmed, mis on veel üks populaarne rünnakute vektor. Kasutajad kardavad unustada oma parooli ja kaotada juurdepääsu süsteemile ning Windows ise soovitab neil teha erakorraline sisselogimine. Selleks palub BitLockeri krüpteerimisviisard teil viimases etapis luua taastevõti. Selle loomisest pole võimalik keelduda. Saate valida ainult ühe peamistest ekspordivalikutest, millest igaüks on väga haavatav.

Vaikeseadetes eksporditakse võti lihtsa tekstifailina äratuntava nimega: “BitLockeri taastevõti #”, kus # asemel kirjutatakse arvuti ID (jah, otse failinimesse!). Võti ise näeb välja selline.

Kui unustasite (või ei teadnud kunagi) oma BitLockeri parooli, otsige lihtsalt taastevõtme faili. Kindlasti salvestatakse see praeguse kasutaja dokumentide hulka või tema mälupulgale. Võib-olla on see isegi paberile trükitud, nagu Microsoft soovitab.

Taastevõtme kiireks leidmiseks on mugav piirata otsingut laiendi (txt), loomise kuupäeva (kui teate ligikaudselt, millal BitLocker võis olla lubatud) ja faili suuruse (1388 baiti, kui faili ei redigeeritud) järgi. Kui olete taastevõtme leidnud, kopeerige see. Selle abil saate standardsest BitLockeri autoriseerimisest igal ajal mööda minna. Selleks vajutage lihtsalt Esc ja sisestage taastevõti. Logite sisse ilma probleemideta ja saate isegi muuta oma BitLockeri parooli kohandatud parooliks ilma vana parooli määramata!

BitLockeri avamine

Päris krüptograafiline süsteem on kompromiss mugavuse, kiiruse ja töökindluse vahel. See peaks pakkuma protseduure läbipaistvaks krüptimiseks koos käigupealse dekrüpteerimisega, unustatud paroolide taastamise meetodid ja mugava töö võtmetega. Kõik see nõrgendab iga süsteemi, olenemata sellest, millistel tugevatel algoritmidel see põhineb. Seetõttu ei ole vaja turvaauke otsida otse Rijndaeli algoritmis või AES-standardi erinevates skeemides. Konkreetse teostuse spetsiifikast on neid palju lihtsam tuvastada.

Microsofti puhul piisab sellisest “spetsiifikast”. Näiteks BitLockeri võtmete koopiad saadetakse SkyDrive'i ja hoiustatakse vaikimisi Active Directorysse.

Noh, mis siis, kui te kaotate need... või agent Smith küsib. Ebamugav on hoida klienti ootamas ja veelgi enam agendil. Sel põhjusel võrdlus krüptograafiline tugevus AES-XTS ja AES-CBC koos elevandihajutiga jäävad taustale, nagu ka soovitused võtme pikkuse suurendamiseks. Ükskõik kui pikk see ka poleks, saab ründaja selle kergesti sisse krüpteerimata vorm .

Deponeeritud võtmete hankimine Microsofti või AD kontolt on peamine meetod BitLockeri murdmiseks. Kui kasutaja pole Microsofti pilves kontot registreerinud ja tema arvuti pole domeenis, on krüpteerimisvõtmete väljavõtmiseks siiski võimalusi. Tavalise töö ajal salvestatakse nende avatud koopiad alati RAM-i (muidu poleks "läbipaistvat krüptimist"). See tähendab, et need on saadaval selle dump- ja talveunerežiimi failis.

Miks neid seal üldse hoitakse?

Nii naljakas kui see ka ei tundu – mugavuse huvides. BitLocker on loodud kaitsma ainult võrguühenduseta rünnakute eest. Nendega kaasneb alati taaskäivitamine ja ketta ühendamine teise OS-iga, mis viib RAM-i tühjendamiseni. Kuid vaikeseadetes jätab OS tõrke ilmnemisel RAM-i välja (saab käivitada) ja kirjutab kogu selle sisu talveunefaili iga kord, kui arvuti sügavasse unerežiimi läheb. Seega, kui olete hiljuti Windowsi sisse loginud BitLockeriga, on suur tõenäosus, et saate VMK-võtme dekrüpteeritud koopia ja kasutate seda FVEK-i ja seejärel andmete enda dekrüpteerimiseks.

Kas kontrollime? Kõik ülalkirjeldatud BitLockeri häkkimismeetodid on kogutud ühte programmi - Forensic Disk Decryptor, mille on välja töötanud kodumaine ettevõte Elcomsoft. See suudab automaatselt hankida krüpteerimisvõtmed ja ühendada krüptitud köiteid virtuaalsete ketastena, dekrüpteerides need käigu pealt.

Lisaks rakendab EFDD veel üht mittetriviaalset viisi võtmete hankimiseks – ründe FireWire pordi kaudu, mida on soovitav kasutada juhtudel, kui rünnatavas arvutis pole võimalik oma tarkvara käivitada. Installime oma arvutisse alati EFDD programmi enda ja häkkitavas arvutis püüame teha minimaalselt vajalikke samme.

Näiteks käivitame lihtsalt testimissüsteemi, kus BitLocker on aktiivne, ja teeme vaikselt mälu. Seega simuleerime olukorda, kus kolleeg läks lõunale ega lukustanud oma arvutit. Käivitame RAM Capture'i ja vähem kui minuti pärast saame täieliku tõmmise faili laiendiga .mem ja suurusega, mis vastab ohvri arvutisse installitud RAM-i hulgale.

Üldiselt pole vahet, mida te prügimäega teete. Olenemata laiendist tekib selle tulemuseks binaarfail, mida EFDD seejärel võtmete otsimisel automaatselt analüüsib.

Kirjutame prügimälu mälupulgale või edastame selle võrgu kaudu, pärast mida istume arvuti taha ja käivitame EFDD.

Valige suvand „Võtmete ekstraktimine” ja sisestage võtmeallikana mälutõmmise faili tee.

BitLocker on tüüpiline krüptokonteiner, nagu PGP Disk või TrueCrypt. Need konteinerid osutusid iseenesest üsna töökindlaks, kuid Windowsi all nendega töötamiseks mõeldud klientrakendused risustavad RAM-i krüpteerimisvõtmeid. Seetõttu rakendab EFDD universaalset rünnakustsenaariumi. Programm leiab koheselt kõigi kolme tüüpi populaarsete krüptokonteinerite krüpteerimisvõtmed. Seetõttu võite jätta kõik ruudud märgituks juhuks, kui ohver kasutab salaja PGP-d!

Mõne sekundi pärast näitab Elcomsoft Forensic Disk Decryptor oma aknas kõiki leitud võtmeid. Mugavuse huvides saate need faili salvestada - see on tulevikus kasulik.

Nüüd pole BitLocker enam probleem! Saate läbi viia klassikalise võrguühenduseta rünnaku – näiteks eemaldada kõvaketas ja kopeerida selle sisu. Selleks ühendage see lihtsalt arvutiga ja käivitage EFDD režiimis "decrypt or mount disk".

Pärast salvestatud võtmetega failide tee määramist teostab EFDD teie valikul köite täieliku dekrüpteerimise või avab selle kohe virtuaalse kettana. Viimasel juhul dekrüpteeritakse failid neile juurdepääsu ajal. Igal juhul esialgses mahus muudatusi ei tehta, nii et järgmisel päeval saate selle tagastada, nagu poleks midagi juhtunud. EFDD-ga töötamine toimub jäljetult ja ainult andmete koopiatega ning jääb seetõttu nähtamatuks.

BitLocker To Go

Alates Windows 7-st sai võimalikuks krüptida välkmäluseadmeid, USB-kõvakettaid ja muid väliseid meediume. Tehnoloogia nimega BitLocker To Go krüpteerib irdkettad samamoodi nagu kohalikud kettad. Krüpteerimine on lubatud Exploreri kontekstimenüü vastava üksuse abil.

Uute draivide puhul saab kasutada ainult hõivatud ala krüptimist - niikuinii on partitsiooni vaba ruum nullidega täidetud ja seal pole midagi varjata. Kui draivi on juba kasutatud, on soovitatav lubada sellel täielik krüptimine. Vastasel juhul jääb vabaks märgitud asukoht krüptimata. See võib sisaldada hiljuti kustutatud faile, mida pole veel üle kirjutatud.

Isegi ainult hõivatud ala kiire krüpteerimine võtab aega mõnest minutist mitme tunnini. See aeg sõltub andmemahust, liidese ribalaiusest, draivi omadustest ja protsessori krüptograafiliste arvutuste kiirusest. Kuna krüptimisega kaasneb tihendamine, suureneb krüptitud ketta vaba ruum tavaliselt veidi.

Järgmine kord, kui ühendate krüptitud välkmäluseadme mis tahes arvutiga, milles töötab Windows 7 või uuem, kutsutakse automaatselt välja BitLockeri viisard, et draiv avada. Exploreris kuvatakse see enne avamist lukustatud kettana.

Siin saate kasutada nii juba käsitletud võimalusi BitLockerist mööda hiilimiseks (näiteks VMK-võtme otsimine mälutõmmis- või talveunefailist), kui ka uusi, mis on seotud taastevõtmetega.

Kui te parooli ei tea, kuid teil õnnestus üks võtmetest leida (käsitsi või EFDD abil), on krüptitud välkmäluseadmele juurdepääsuks kaks peamist võimalust:

kasutage välkmäluseadmega otse töötamiseks sisseehitatud BitLockeri viisardit;
kasutage EFDD-d, et mälupulk täielikult dekrüpteerida ja luua selle sektoripõhine pilt.

Esimene võimalus võimaldab teil kohe juurde pääseda mälupulgal salvestatud failidele, neid kopeerida või muuta ning ka ise kirjutada. Teine võimalus võtab palju kauem aega (alates poolest tunnist), kuid sellel on oma eelised. Dekrüpteeritud sektor-sektori pilt võimaldab edaspidi läbi viia failisüsteemi täpsemat analüüsi kohtuekspertiisi labori tasemel. Sel juhul pole mälupulka ennast enam vaja ja selle saab muutmata kujul tagastada.

Saadud pildi saab kohe avada mis tahes IMA-vormingut toetavas programmis või teisendada esmalt teise vormingusse (näiteks UltraISO abil).

Loomulikult toetab EFDD lisaks BitLocker2Go taastevõtme tuvastamisele ka kõiki teisi BitLockeri möödaviigumeetodeid. Lihtsalt läbige kõik saadaolevad valikud järjest, kuni leiate mis tahes tüüpi võtme. Ülejäänud osa (kuni FVEK-ni) dekrüpteeritakse ahelas ja teil on kettale täielik juurdepääs.

Järeldus

BitLockeri täisketta krüptimise tehnoloogia erineb Windowsi versioonide lõikes. Pärast piisavat konfigureerimist võimaldab see luua krüptokonteinereid, mis on teoreetiliselt võrreldavad TrueCrypti või PGP-ga. Kuid Windowsi sisseehitatud mehhanism klahvidega töötamiseks tühistab kõik algoritmilised trikid. Eelkõige taastatakse BitLockeris põhivõtme dekrüpteerimiseks kasutatav VMK-võti EFDD abil mõne sekundi jooksul deponeeritud duplikaadist, mälutõmmisest, talveunefailist või FireWire'i pordirünnakust.

Kui teil on võti, saate sooritada klassikalise võrguühenduseta rünnaku, vaikselt kopeerida ja automaatselt dekrüpteerida kõik "kaitstud" draivil olevad andmed. Seetõttu tuleks BitLockerit kasutada ainult koos muude turvameetmetega: krüpteeriv failisüsteem (EFS), õiguste haldusteenus (RMS), programmi käivitamise juhtimine, seadme installimine ja manuste juhtimine, samuti rangemate kohalike poliitikate ja üldiste turvameetmetega.

Artiklis kasutatakse saidi materjale:

Krüptige kõvaketas, lubage sellele juurdepääs ainult parooliga või käivitusvõtmega USB-draiviga ja blokeerige juurdepääs välise mõjutamise katse korral. Kõik see ja välise andmekandja krüptimise korral peate võtma ühendust. Me lahendasime selle ära. Aga mida teha, kui unustasite parooli? Mida teha, kui olete USB-draivi käivitusvõtmega kaotanud? Mida teha, kui on vaja muuta arvuti alglaadimiskeskkonda, mis muudab (turvakaalutlustel) kõvakettalt lugemise võimatuks? Või kui see kõik kokku keeta, kuidas taastada BitLocker?

BitLockeri taasterežiim

Juhtudel, kui:

Alglaadimiskeskkonda on muudetud, eriti on muudetud ühte Windowsi alglaadimisfailidest.
Keelatud või kustutatud.
Käivitatud ilma TPM-i, PIN-koodi või käivitusvõtit sisaldava USB-võtmeta.
Windowsi operatsioonisüsteemiga köide on ühendatud teise arvutiga.

Seejärel läheb arvuti BitLockeri taasterežiimi. Sellistel juhtudel peate meeles pidama hetke, mil kõvaketta krüpteerisite. Krüptimise seadistamise ajal oli aken, mis andis võimaluse salvestada BitLockeri taastevõti erinevatel viisidel: faili, printida ja nii edasi. Taastevõti kirjutatakse lihtsalt .txt-faili, kust saate selle võtme hõlpsalt lugeda ja BitLockeri taasteaknasse sisestada. Kui sisestate õige taastevõtme, käivitub arvuti tavarežiimis.

Loetletud toimingud kehtivad kõvaketta juurdepääsuvõtme kaotamise korral. Kui teil on vaja alglaadimiskeskkonda muuta, muutke BIOS-is midagi, saate seda teha aknast BitLockeri draivi krüptimine Windowsis keelake BitLocker ajutiselt. Ja pärast alglaadimiskeskkonna uuendamist lubage see uuesti. See on üsna lihtne.

Krüpteeritud irdkandja puhul palutakse teil sisestada taastevõti otse Exploreri aknasse kohe pärast seda, kui olete märkinud, et olete juurdepääsuvõtme unustanud või kaotanud. Seetõttu tahaksin öelda: hoidke oma taastevõtmeid hoolikalt!

manage-bde.exe utiliit

Vaatasime BitLockeri tehnoloogiat, arutasime selle võimalusi ja uurisime, kuidas seda hallata. See meetod on üsna lihtne - Exploreri liidese abil. Täna on stuudios veel üks võimalus BitLockeri haldamiseks - utiliit manage-bde.exe, millega lõpetame tutvumise BitLockeri tehnoloogiaga.

Loodan, et arvasite, et uus meetod ei ole eelmisega sarnane. Ja andsin vihje, et erinevus on liideses. Nii et ma arvan, et arvasite ära manager-bde.exe on käsurea utiliit.

Manage-BDE.exe käsud

Kasutades erinevaid parameetreid, mille ma allpool annan, saate BitLockeri konfigureerida nii, et see töötaks soovitud viisil. Selle utiliidi funktsionaalsus on identne Exploreri funktsioonidega BitLockeriga töötamiseks. Saame temaga tuttavaks.

manager-bde.exe -status

Kuvab BitLockeri oleku.

manager-bde.exe -on

Krüpteerib helitugevuse ja lubab BitLockeri.

manager-bde.exe -off

Dekrüpteerib helitugevuse ja keelab BitLockeri.

manager-bde.exe -pause/-resume

Peatab või jätkab krüptimist või dekrüpteerimist.

manager-bde.exe -lock

Keelab juurdepääsu BitLockeriga krüptitud andmetele.

manager-bde.exe -unlock

Võimaldab juurdepääsu BitLockeriga krüptitud andmetele.

manager-bde.exe -setidentifier

Seadistab helitugevuse ID.

manager-bde.exe -changepin

Muudab PIN-koodi.

manager-bde.exe -muuta parooli

Muudab parooli.

manager-bde.exe -changekey

Muudab helitugevuse käivitusklahvi.

Kõik need käsud tuleb täita administraatori õigustega avatud käsuviiba aknas. Kui vajate mis tahes käsu osas täiendavat abi, tippige see käsk

manage-bde.exe /?

Selle taotluse korral saate selle käsu kohta täielikku abi koos määratud parameetritega, samuti saate mitmeid näiteid tööst. See on kõik, kasutage BitLockeri tehnoloogiat oma tervise heaks ja ärge unustage, et peate võib-olla BitLockeri taastama.

Kui soovite oma kontosid võrguteenustes usaldusväärselt kaitsta, vajate kahefaktorilise autentimise rakendust.

Sellised programmid genereerivad juurdepääsukoode, mis on vajalikud sotsiaalvõrgustikesse sisselogimiseks, Internetis ostude eest tasumiseks ja nii edasi.

Taastekoodid tasuks ka tavalisele paberile kirja panna – see tuleb kasuks, kui telefoni käepärast pole. Uurige allpool, kust neid koode leida.

Kuidas saada taastekoode

Microsoft

Minge oma Microsofti konto lehele ja avage ülaosas vahekaart Turvalisus. Saate muuta oma parooli, lisada konto taastamiseks alternatiivseid e-posti aadresse ja telefoninumbreid ning vaadata tegevuse üksikasju. Allpool näete linki täiendavate turvavalikute juurde – koodide hankimiseks järgige seda.

Siin saate seadistada kaheastmelise kinnitamise. Soovitame valida autoriseerimise spetsiaalse rakenduse kaudu, kuna SMS-koodide kaudu kinnitamise meetod pole täiesti turvaline. Otsige altpoolt üles jaotis "Taastekood" ja klõpsake vastavat nuppu. Ilmub uus kood, mis tuleb lihtsalt üles kirjutada.

Apple

iPhone'is, iPadis või iPod touchis peate tegema järgmised toimingud.

Valige Seaded → [teie nimi] → Parool ja turvalisus. Teilt võidakse nõuda oma Apple ID parooli sisestamist.
Klõpsake "Taastevõti".
Taastevõtme aktiveerimiseks liigutage liugurit.
Klõpsake "Taastevõti" ja sisestage oma seadme pääsukood.

MacOS-is peate tegema järgmist.

Avage Süsteemieelistused → iCloud → Konto. Teilt võidakse nõuda oma Apple ID parooli sisestamist.
Klõpsake ikooni Turvalisus.
Klõpsake jaotises Taastevõti nuppu Luba.
Valige Kasuta taastevõtit.
Kirjutage üles taastevõti. Hoidke seda märkust kindlas kohas.
Klõpsake nuppu Jätka.
Kinnitage, et olete taastevõtme salvestanud, sisestades selle järgmisel ekraanil.

Google

Minge oma Google'i konto lehele ja valige jaotis "Turvalisus ja sisselogimine". Valige vasakpoolsel paneelil "Logi sisse oma Google'i kontole" ja klõpsake "Kaheastmeline kinnitamine". Logige uuesti sisse ja leidke järgmiselt lehelt „Varukoodid”. Klõpsake

nupule "Loo".

Google pakub 10 koodi allalaadimist või printimist. Saate luua uusi koode, muutes vanad passiivseks. Iga klahv on ühekordne, seega tuleb kasutatud võtmed käsitsi kustutada või loendist maha kriipsutada.

Printige koodid välja ja hoidke neid kindlas kohas

Sellised võtmed on konto taastamise viimane võimalus. Kui kaotate need, võite jääda igaveseks oma kontota.

Asetage koodidega paber kohta, kust teised seda ei leia. See võib olla sahtel oluliste dokumentidega või vähemalt ruum madratsi all.

Kaupluskoodid ka digitaalselt

Taastevõtmeid ei tohiks mitte ainult paberile printida, vaid ka arvutisse salvestada. Kopeerige koodid tekstifaili ja asetage see krüptitud mälupulgale. Draivi saab hoida teiste dokumentide kõrval või isegi lauaarvuti korpuses.

Lisage võtmed oma paroolihaldurisse

Peate tegema kõik selleks, et teil oleks alati juurdepääs koodidele, isegi kui teie telefon ja prinditud võtmete loend pole läheduses. Kui kasutate paroolihaldurit, on teil juba kõik vajalik olemas.

Halduritel, nagu 1Password ja LastPass, on veebiliidesed, mis on kasulikud, kui teil on vaja juurdepääsu isiklikule teabele uuest arvutist või nutitelefonist. Taastevõtmed saab paigutada ülejäänud andmete kõrvale või salvestada uude dokumenti, mis salvestatakse teenusesse.

BitLockeri krüpteerimistehnoloogia ilmus esmakordselt kümme aastat tagasi ja seda on muudetud iga Windowsi versiooniga. Kuid mitte kõik selles tehtud muudatused ei olnud mõeldud krüptograafilise tugevuse suurendamiseks. Selles artiklis vaatleme lähemalt BitLockeri erinevaid versioone (sh neid, mis on eelinstallitud Windows 10 uusimatesse versioonidesse) ja näitame, kuidas sellest sisseehitatud kaitsemehhanismist mööda minna.

Võrguühenduseta rünnakud

BitLockeri tehnoloogia oli Microsofti vastus kasvavale arvule võrguühenduseta rünnakutele, mida oli eriti lihtne läbi viia Windowsi arvutite vastu. Igaüks võib tunda end häkkerina. See lihtsalt lülitab lähima arvuti välja ja käivitab selle siis uuesti – koos oma OS-i ja kaasaskantava utiliitide komplektiga paroolide, konfidentsiaalsete andmete leidmiseks ja süsteemi lahkamiseks.

Tööpäeva lõpus saab Phillipsi kruvikeerajaga isegi väikese ristiretke korraldada - avada lahkunud töötajate arvutid ja tõmmata neilt draivid välja. Samal õhtul saab vaikses kodukeskkonnas väljatõmmatud ketaste sisu analüüsida (ja isegi muuta) tuhandel ja ühel viisil. Järgmisel päeval tulge lihtsalt varakult ja tagastage kõik oma kohale.

Samas pole vaja teiste inimeste arvuteid otse töökohal avada. Pärast vanade arvutite taaskasutamist ja draivide väljavahetamist lekib palju konfidentsiaalseid andmeid. Praktikas teevad kasutusest kõrvaldatud ketaste turvalist kustutamist ja madala taseme vormindamist väga vähesed inimesed. Mis võib noori häkkereid ja digitaalse raipe kogujaid peatada?

Nagu laulis Bulat Okudzhava: "Kogu maailm on valmistatud piirangutest, et mitte õnnest hulluks minna." Windowsi peamised piirangud on seatud NTFS-objektide juurdepääsuõiguste tasemele, mis ei kaitse võrguühenduseta rünnakute eest. Windows lihtsalt kontrollib lugemis- ja kirjutamisõigusi enne failidele või kataloogidele juurdepääsu andvate käskude töötlemist. See meetod on üsna tõhus seni, kuni kõik kasutajad töötavad piiratud kontodega administraatori konfigureeritud süsteemis. Kuid niipea, kui käivitate teise operatsioonisüsteemi, ei jää sellisest kaitsest jälgegi. Kasutaja määrab juurdepääsuõigused ümber või lihtsalt ignoreerib neid, installides teise failisüsteemi draiveri.

Võrguühenduseta rünnakute vastu võitlemiseks on palju täiendavaid meetodeid, sealhulgas füüsiline turvalisus ja videovalve, kuid kõige tõhusamad meetodid nõuavad tugeva krüptograafia kasutamist. Bootloaderi digitaalallkirjad takistavad võõrkoodi käivitamist ja ainus viis kõvakettal olevate andmete tõeliseks kaitsmiseks on nende krüpteerimine. Miks on Windowsis nii kaua täielik ketta krüptimine puudunud?

Vistast Windows 10-ni

Microsoftis töötab palju erinevaid inimesi ja mitte kõik ei kodeeri vasaku tagumise jalaga. Paraku pole tarkvarafirmades lõplikke otsuseid teinud juba ammu mitte programmeerijad, vaid turundajad ja juhid. Ainus, mida nad uue toote väljatöötamisel tõsiselt arvestavad, on müügimaht. Mida lihtsam on koduperenaisel tarkvarast aru saada, seda rohkem on tal võimalik selle tarkvara koopiaid müüa.

“Mõelda vaid, pool protsenti klientidest on mures oma turvalisuse pärast! Operatsioonisüsteem on juba keeruline toode ja siin hirmutate sihtrühma krüpteerimisega. Saame ilma temata hakkama! Varem saime hakkama!” - Microsofti tippjuhtkond võis umbes nii arutleda hetkeni, mil XP sai ettevõtete segmendis populaarseks. Administraatorite seas on liiga paljud spetsialistid juba mõelnud turvalisusele, et oma arvamust alahinnata. Seetõttu ilmus kauaoodatud mahu krüptimine Windowsi järgmises versioonis, kuid ainult Enterprise ja Ultimate väljaannetes, mis on suunatud ettevõtete turule.

Uus tehnoloogia kannab nime BitLocker. See oli ilmselt ainus hea asi Vista juures. BitLocker krüpteeris kogu köite, muutes kasutaja- ja süsteemifailid loetamatuks, minnes installitud OS-ist mööda. Olulised dokumendid, kassifotod, register, SAM ja TURVALISUS – kõik osutus mis tahes võrguühenduseta rünnaku sooritamisel loetamatuks. Microsofti terminoloogias ei tähenda "köide" tingimata ketast kui füüsilist seadet. Köide võib olla virtuaalne ketas, loogiline partitsioon või vastupidi – mitme ketta kombinatsioon (laiendatud või triibuline köide). Isegi lihtsat mälupulka võib pidada ühendatavaks kettaks, mille täielikuks krüptimiseks alates Windows 7-st on eraldi teostus - BitLocker To Go (lisateavet leiate artikli lõpus olevalt külgribalt ).

BitLockeri tulekuga muutus kolmanda osapoole OS-i käivitamine keerulisemaks, kuna kõik alglaadurid said digitaalallkirjad. Kuid lahendus on siiski võimalik tänu ühilduvusrežiimile. Tasub muuta BIOS-i alglaadimisrežiim UEFI-lt Legacy-le ja keelata funktsioon Secure Boot ning vana hea buutitav mälupulk tuleb taas kasuks.

Kuidas BitLockerit kasutada

Vaatame praktilist osa, kasutades näitena Windows 10. Ehitis 1607 saab BitLockeri lubada juhtpaneeli kaudu (jaotis "Süsteem ja turvalisus", alajaotis "BitLockeri draivi krüptimine").

Kui aga emaplaadil pole TPM krüptoprotsessori versiooni 1.2 või uuemat, siis BitLockerit lihtsalt kasutada ei saa. Selle aktiveerimiseks peate minema kohaliku rühmapoliitika redaktorisse (gpedit.msc) ja laiendama haru "Arvuti konfiguratsioon -> Haldusmallid -> Windowsi komponendid -> BitLockeri draivi krüptimine -> Operatsioonisüsteemi draivid" seadistusele " See reeglisäte võimaldab teil seadistada käivitamisel täiendava autentimise nõude." Selles peate leidma sätte "Luba BitLocker ilma ühilduva TPM-ita ..." ja lubama selle.

Kohalike poliitikate külgnevates jaotistes saate määrata BitLockeri täiendavad sätted, sealhulgas võtme pikkuse ja AES-i krüpteerimisrežiimi.

Pärast uute poliitikate rakendamist naaske juhtpaneelile ja järgige krüptimise seadistusviisardi juhiseid. Täiendava kaitse tagamiseks võite sisestada parooli või ühendada kindla USB-mälupulga.

Kuigi BitLockerit peetakse täisketta krüpteerimistehnoloogiaks, võimaldab see ainult hõivatud sektorite osalist krüptimist. See on kiirem kui kõige krüptimine, kuid seda meetodit peetakse vähem usaldusväärseks. Kasvõi juba sellepärast, et sel juhul jäävad kustutatud, kuid veel üle kirjutamata failid mõneks ajaks otselugemiseks kättesaadavaks.

Täielik ja osaline krüptimine

Pärast kõigi parameetrite seadistamist jääb üle vaid taaskäivitada. Windows nõuab parooli sisestamist (või USB-mälupulga sisestamist), seejärel käivitub tavapäraselt ja alustab helitugevuse krüptimist taustal.

Olenevalt valitud sätetest, ketta suurusest, protsessori sagedusest ja selle üksikute AES-käskude toest võib krüptimine kesta paarist minutist mitme tunnini.

Pärast selle protsessi lõppu ilmuvad Exploreri kontekstimenüüsse uued üksused: parooli muutmine ja kiire BitLockeri sätete avamine.

Pange tähele, et kõik toimingud peale parooli muutmise nõuavad administraatori õigusi. Loogika on siin lihtne: kuna olete edukalt süsteemi sisse loginud, tähendab see, et teate parooli ja teil on õigus seda muuta. Kui mõistlik see on? Peagi saame teada!

Kuidas BitLocker töötab

Kui BitLocker on aktiveeritud, luuakse pseudojuhuslike arvude generaatori abil põhibitijada. See on helitugevuse krüpteerimisvõti - FVEK (täismahu krüpteerimisvõti). Just sellega krüpteeritakse nüüd iga sektori sisu.
FVEK omakorda krüpteeritakse teise võtmega - VMK (volume master key) - ja salvestatakse krüpteeritud kujul köite metaandmete hulka.
VMK ise on samuti krüpteeritud, kuid kasutaja äranägemisel erineval viisil.
Uutel emaplaatidel krüpteeritakse VMK võti vaikimisi SRK-võtmega (salvestuse juurvõti), mis on salvestatud eraldi krüptoprotsessorisse – usaldusväärse platvormi moodulisse (TPM). Kasutajal pole juurdepääsu TPM-i sisule ja see on iga arvuti jaoks ainulaadne.
Kui tahvlil pole eraldi TPM-kiipi, siis SRK asemel kasutatakse VMK võtme krüpteerimiseks kasutaja sisestatud PIN-koodi või tellitavat USB-mälupulka, millele on eelsalvestatud võtmeinfo.
Lisaks TPM-ile või mälupulgale saate VMK-võtit kaitsta parooliga.

See BitLockeri toimimise üldine muster on jätkunud Windowsi järgmiste versioonide kaudu kuni tänapäevani. Kuid BitLockeri võtme genereerimise meetodid ja krüpteerimisrežiimid on muutunud. Nii eemaldas Microsoft 2014. aasta oktoobris vaikselt täiendava Elephant Diffuseri algoritmi, jättes alles vaid AES-CBC skeemi selle teadaolevate puudustega. Esialgu selle kohta ametlikke avaldusi ei tehtud. Inimestele anti uuenduse varjus lihtsalt sama nimega nõrgestatud krüpteerimistehnoloogia. Selle sammu ebamäärased selgitused järgnesid pärast seda, kui sõltumatud teadlased märkasid BitLockeri lihtsustusi.

Teine, mitteametlik versioon tundub realistlikum. "Elevant" segas NSA töötajaid, kes soovisid järgmise ketta dekrüpteerimiseks vähem vaeva näha ja Microsoft teeb meelsasti koostööd ametiasutustega isegi juhtudel, kui nende taotlused pole täiesti seaduslikud. Kaudselt kinnitab vandenõuteooriat asjaolu, et enne Windows 8 kasutati BitLockeris krüpteerimisvõtmete loomisel Windowsi sisseehitatud pseudojuhuslike numbrite generaatorit. Paljudes (kui mitte kõigis) Windowsi väljaannetes oli selleks Dual_EC_DRBG – "krüptograafiliselt tugev PRNG", mille töötas välja USA riikliku julgeolekuagentuur ja mis sisaldab mitmeid loomupäraseid haavatavusi.

Los Alamose põhimõte

Mõtet kasutada kõikide lukkude jaoks ühte võtit on juba korduvalt ohustatud, kuid mugavuse huvides tagastatakse seda ühel või teisel kujul jätkuvalt. Ralph Leighton salvestas Richard Feynmani mälestused ühest iseloomulikust episoodist tema tööst Manhattani projektiga Los Alamose laboris: “...Avasin kolm seifi – ja kõik kolm sama kombinatsiooniga.<…>Tegelesin nendega kõigiga: avasin seifid kõigi aatomipommi saladustega - plutooniumi tootmise tehnoloogia, puhastusprotsessi kirjeldus, teave selle kohta, kui palju materjali on vaja, kuidas pomm töötab, kuidas neutroneid toodetakse, kuidas pomm töötab, millised on selle mõõtmed – ühesõnaga kõike, millest nad Los Alamoses teadsid, kogu kööki!.

BitLocker meenutab mõneti turvalise disaini, mida on kirjeldatud raamatu "You're surely Joking" teises fragmendis, Mr. Feynman! Ülisalajase labori kõige muljetavaldavamal seifil oli sama haavatavus kui lihtsal kartoteekapil. “...See oli kolonel ja tal oli palju keerukam kaheukseline suurte käepidemetega seif, mis tõmbas raamist välja neli kolmveerandtollist jämedat terasvarda.<…>Uurisin ühe imposantse pronksukse tagakülge ja avastasin, et sihverplaat oli ühendatud väikese lukuga, mis nägi välja täpselt nagu mu Los Alamose kapi lukk.<…>Oli ilmne, et kangisüsteem sõltus samast väikesest vardast, mis lukustas kaustasid.<…>. Mingit tegevust teeseldes hakkasin suvaliselt nuppu keerama.<…>Kaks minutit hiljem - klõpsake! - seif avanes.<…>Kui arhiivikapi seifi uks või ülemine sahtel on avatud, on kombinatsiooni väga lihtne leida. Just seda ma tegin, kui te mu raportit lugesite, et näidata teile ohtu.".

Võimalikud haavatavused

Tõenäoliselt olete märganud, et BitLockeri esmakordsel aktiveerimisel peate kaua ootama. See pole üllatav – sektoripõhise krüptimise protsess võib kesta mitu tundi, sest isegi terabaidise HDD kõigi plokkide lugemine pole võimalik kiiremini. Kuid BitLockeri keelamine toimub peaaegu hetkega – kuidas see nii saab?

Fakt on see, et kui see on keelatud, ei dekrüpteeri BitLocker andmeid. Kõik sektorid jäävad FVEK-võtmega krüpteerituks. Lihtsalt juurdepääs sellele võtmele ei ole enam mingil viisil piiratud. Kõik kontrollid keelatakse ja VMK jääb selgeteksti metaandmete hulka salvestatuks. Iga kord, kui arvuti sisse lülitate, loeb OS-i alglaadur VMK-d (ilma TPM-i kontrollimata, küsib mälupulgal olevat võtit või parooli), dekrüpteerib automaatselt sellega FVEK-i ja seejärel kõik failid, kui neile juurde pääseb. Kasutaja jaoks näeb kõik välja nagu täielik krüptimise puudumine, kuid kõige tähelepanelikumad võivad märgata ketta alamsüsteemi jõudluse mõningast langust. Täpsemalt, pärast krüptimise keelamist kiirus ei suurene.

Selles skeemis on veel midagi huvitavat. Vaatamata nimele (täisketta krüptimise tehnoloogia), jääb osa andmeid BitLockeri kasutamisel siiski krüptimata. MBR ja BS jäävad avatuks (välja arvatud juhul, kui ketas on GPT-s lähtestatud), kahjustatud sektorid ja metaandmed. Avatud alglaadur annab ruumi kujutlusvõimele. Pseudohalvad sektorid on mugavad juurkomplektide ja muu pahavara peitmiseks ning metaandmed sisaldavad palju huvitavat, sealhulgas võtmete koopiaid. Kui BitLocker on aktiivne, krüpteeritakse need (kuid nõrgem kui FVEK krüpteerib sektorite sisu) ja kui BitLocker on desaktiveeritud, jäävad need lihtsalt tühjaks. Need kõik on potentsiaalsed rünnakuvektorid. Need on potentsiaalsed, sest lisaks neile on palju lihtsamaid ja universaalsemaid.

Taastevõti

Kui unustasite (või ei teadnud kunagi) BitLockeris määratud parooli, otsige lihtsalt taastevõtmega fail. Kindlasti salvestatakse see praeguse kasutaja dokumentide hulka või tema mälupulgale. Võib-olla on see isegi paberile trükitud, nagu Microsoft soovitab. Lihtsalt oodake, kuni teie kolleeg läheb pausile (unustades arvuti lukustada, nagu alati) ja alustage otsimist.

Logige sisse taastevõtmega

Taastevõtme kiireks leidmiseks on mugav piirata otsingut laiendi (txt), loomise kuupäeva (kui kujutate ette, millal BitLocker võis sisse lülitada) ja faili suuruse (1388 baiti, kui faili ei redigeeritud) järgi. Kui olete taastevõtme leidnud, kopeerige see. Sellega saate BitLockeris igal ajal standardsest autoriseerimisest mööda minna. Selleks vajutage lihtsalt Esc ja sisestage taastevõti. Logite sisse ilma probleemideta ja saate isegi muuta oma BitLockeri parooli kohandatud parooliks ilma vana parooli määramata! See meenutab juba “Lääne ehituse” rubriigi nippe.

BitLockeri avamine

Tõeline krüptograafiline süsteem on kompromiss mugavuse, kiiruse ja töökindluse vahel. See peaks pakkuma protseduure läbipaistvaks krüptimiseks koos käigupealse dekrüpteerimisega, unustatud paroolide taastamise meetodid ja mugava töö võtmetega. Kõik see nõrgendab iga süsteemi, olenemata sellest, millistel tugevatel algoritmidel see põhineb. Seetõttu pole vaja turvaauke otse Rijndaeli algoritmist või AES-standardi erinevatest skeemidest otsida. Konkreetse teostuse spetsiifikast on neid palju lihtsam tuvastada.

Microsofti puhul piisab sellisest “spetsiifikast”. Näiteks BitLockeri võtmete koopiad saadetakse SkyDrive'i ja hoiustatakse vaikimisi Active Directorysse. Milleks? Noh, mis siis, kui te kaotate need... või agent Smith küsib. Ebamugav on jätta klienti ootama, veel vähem agenti.

Sel põhjusel jääb AES-XTS ja AES-CBC krüptograafilise tugevuse võrdlemine Elephant Diffuseriga tagaplaanile, nagu ka soovitused võtme pikkuse suurendamiseks. Olenemata sellest, kui pikk see on, saab ründaja selle hõlpsasti krüpteerimata kujul hankida.

Miks neid seal üldse hoitakse? Ükskõik kui naljakas see ka ei tunduks – mugavuse huvides. BitLocker on loodud kaitsma ainult võrguühenduseta rünnakute eest. Nendega kaasneb alati taaskäivitamine ja ketta ühendamine teise OS-iga, mis viib RAM-i tühjendamiseni. Vaikeseadetes jätab OS aga RAM-i krahhi korral (mis võib esile kutsuda) ja kirjutab kogu selle sisu talveunefaili alati, kui arvuti läheb sügavasse unerežiimi. Seega, kui olete hiljuti Windowsi sisse loginud BitLockeriga, on suur tõenäosus, et saate VMK-võtme dekrüpteeritud koopia ja kasutate seda FVEK-i ja seejärel andmete enda dekrüpteerimiseks. Kas kontrollime?

Kõik ülalkirjeldatud BitLockeri häkkimismeetodid on kogutud ühte programmi - Forensic Disk Decryptor, mille on välja töötanud kodumaine ettevõte Elcomsoft. See suudab automaatselt hankida krüpteerimisvõtmed ja ühendada krüptitud köiteid virtuaalsete ketastena, dekrüpteerides need käigu pealt.

Lisaks rakendab EFDD veel üht mittetriviaalset võtmete hankimise meetodit – rünnakut FireWire pordi kaudu, mida on soovitav kasutada juhtudel, kui rünnatavas arvutis ei ole võimalik oma tarkvara käivitada. Installime oma arvutisse alati EFDD programmi enda ning häkitavas arvutis püüame teha minimaalselt vajalikke samme.

Mäluväljavõtte tegemine

Üldiselt pole vahet, mida te prügimäega teete. Olenemata laiendist tekib selle tulemuseks binaarfail, mida EFDD seejärel võtmete otsimisel automaatselt analüüsib.

Kirjutame prügimälu mälupulgale või edastame selle võrgu kaudu, pärast mida istume arvuti taha ja käivitame EFDD.

Valige suvand „Võtmete ekstraktimine” ja sisestage võtmeallikana mälutõmmise faili tee.

Määrake võtme allikas

Mõne sekundi pärast näitab Elcomsoft Forensic Disk Decryptor oma aknas kõiki leitud võtmeid. Mugavuse huvides saate need faili salvestada - see on tulevikus kasulik.

Nüüd pole BitLocker enam probleem! Saate läbi viia klassikalise võrguühenduseta rünnaku – näiteks võtta välja kolleegi kõvaketas ja kopeerida selle sisu. Selleks ühendage see lihtsalt arvutiga ja käivitage EFDD režiimis "dekrüpt või ühenda ketas".

BitLocker To Go

Siin saate kasutada nii juba käsitletud võimalusi BitLockerist mööda hiilimiseks (näiteks VMK-võtme otsimine mälutõmmis- või talveunefailist), kui ka uusi, mis on seotud taastevõtmetega.

Kui te parooli ei tea, kuid teil õnnestus üks võtmetest leida (käsitsi või EFDD abil), siis on krüptitud välkmäluseadmele juurdepääsuks kaks peamist võimalust:

kasutage välkmäluseadmega otse töötamiseks sisseehitatud BitLockeri viisardit;
kasutage EFDD-d, et mälupulk täielikult dekrüpteerida ja luua selle sektoripõhine pilt.

Saadud pildi saab kohe avada mis tahes IMA-vormingut toetavas programmis või teisendada esmalt teise vormingusse (näiteks UltraISO abil).

Loomulikult toetab EFDD lisaks BitLocker2Go taastevõtme tuvastamisele ka kõiki teisi BitLockeri möödaviigumeetodeid. Lihtsalt läbige kõik saadaolevad valikud järjest, kuni leiate mis tahes tüüpi võtme. Ülejäänud (kuni FVEK-i) dekrüpteeritakse ahelas ja saate täieliku juurdepääsu kettale.

järeldused

Kui teil on võti, saate sooritada klassikalise võrguühenduseta rünnaku, vaikselt kopeerida ja automaatselt dekrüpteerida kõik "kaitstud" kettal olevad andmed. Seetõttu tuleks BitLockerit kasutada ainult koos muude turvameetmetega: krüpteeriv failisüsteem (EFS), õiguste haldusteenus (RMS), programmi käivitamise juhtimine, seadme installimine ja manuste juhtimine, samuti rangemate kohalike poliitikate ja üldiste turvameetmetega.