Šifrování disku pomocí BitLockeru s čipem TPM | Kapitola 15
Seznam kapitol
Dnes se podrobněji podíváme na šifrování systémového disku (disku s Windows) pomocí BitLocker a na řešení obvyklých problémů. Budeme si povídat o využití čipu TPM (Trusted Platform Module) a vysvětlíme si, jak nám poslouží pro uložení klíče k disku pro BitLocker a jak ho koupíme nebo nastavíme.
Další tipy
- Obnovovací klíče je možné ukládat do Active Directory automaticky (nastavením doménové politiky).
- BitLocker je možné odemknout po síti.
- Pokud disk podporuje HW šifrování, BitLocker se ho „pokusí“ použít.
Pojďme si víc říct o posledním bodu. Některé disky interně podporují šifrování disků.
BitLocker: Disku, ty umíš šifrovat?
Disk: Jasně.
BitLocker: Tak šifruj jo?
Disk: Můžu, ale řekni mi jak?
BitLocker: Ok, vyřízeno, šifrování dělá disk!
Disk: Co to meleš? Neřekl jsi mi jak!
BitLocker: Vážený uživateli, disk je zašifrovaný, žij dlouho a blaze.
Disk: Tebe programoval mamlas co?
BitLocker: Možná jo, ale s uživatelem mluvím jen já! ChááChááá.
Jinými slovy, část lidí si POUZE myslí, že má disk zašifrovaný BitLockerem.
Řešení? Zakázat politiku „Konfigurovat použití hardwarového šifrování pro jednotky operačního systému“.
Další možností je otevřít Regedit, část HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE a vložit OSAllowedHardwareEncryptionAlgorithms:32-bit DWORD s hodnotou 0. (Tuto část registru jsme už řešili.)
Hardwarové šifrování nemusí být nutně špatné, nejspíš bude výrazně rychlejší a méně náročné na CPU, ale šifruje váš disk? Dělá to skutečně? BitLockeru bohužel nelze úplně věřit.
Pokud BitLocker disk skutečně zašifruje, přístup k Vaším datům budete mít vy, teoreticky firma Microsoft (obnovovací klíče se mohou ukládat na Váš účet Microsoft), asi i tříhvězdičkové agentury... a pár dalších.
Šifrovat pomocí BitLockeru? Pokud šifrování funguje, k vaším datům se běžný loupežník nedostane.