Blog Tomáše Zelenky

tz

Nadšence do informačních a komunikačních technologií

Začínajícího C# programátora

encryption

Šifrování disku bez TPM pomocí BitLocker

27.03.2016 | Kategorie: Bezpečnost

Operační systémy Windows 8, 8.1 a 10 od edice Professional disponují integrovaným nástrojem BitLocker pro šifrování disku nebo přenosných zařízení.

V operačních systémech Windows Vista a Windows 7 je BitLocker dostupný od edice Enterprise a Ultimate.

Ve výchozím stavu BitLocker kontroluje, zda základní deska disponuje čipem TPM (Trusted Platform Module). V případě, že základní deska TPM čip nemá, BitLocker vyžaduje úpravu místních zásad.

TPM čip v sobě udržuje dešifrovací klíč. To nám zaručuje, že disk nebude možné používat v jiném zařízení, jelikož TPM čip je nedílnou součásti základní desky, kterou nelze softwarově ovlivnit.

Náhradu za TPM může tvořit flashdisk, který je nutné vkládat při každém spuštění počítače, což ale není moc praktické. Popřípadě je možné zadávat pouze heslo při spuštění počítače.

V následujících krocích si ukážeme, jak vypnout kontrolu TPM na Windows 10 1511 Professional, změnit sílu šifrování a zobrazit přehled šifrování. Postup pro ostatní edice Windows je téměř stejný.

Vypnutí kontroly TPM

Pokud nevypneme kontrolu TPM dostaneme následující chybovou hlášku:

bitlocker

Otevřeme editor místních zásad: gpedit.msc

gpedit

Přejdeme do Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Šifrování jednotky nástrojem BitLocker > Jednotky operačního systému > Dvojité poklepání na Požadovat při spuštění další ověření:

tpm1

Přepneme na povoleno. Ujistíme se, že je vybraná volba Povolit nástroj BitLocker bez kompatibilního čipu TPM.

tpm2

Nyní můžeme provést šifrování disku pomocí BitLocker bez TPM.

Změna síly šifrování

Ve výchozím nastavení Windows 10 je využíváno nové šifrovací metody XTS-AES, 128 bitů.

Pokud chceme změnit výchozí bitovou délku na silnejší, musíme učinit opět změnou místních zásad.

Změnu je nutné provést před zahájením šifrování.

Šablony pro správu > Součásti systému Windows > Šifrování jednotky nástrojem BitLocker > Jednotky operačního systému > Dvojité poklepání na Zvolit metodu šifrování jednotky a síly šifry (Windows 10 verze 1511 a vyšší)

aes1

Změníme XTS-AES, 128 bitů na XTS-AES, 256 bitů pro jednotky operačního systému a pro pevné datové jednotky.

aes2

Přehled šifrování

Pro výpis přehledu šifrovaní v zařízení existuje velmi šikovný příkaz, který je nutné spustit jako administrátor

manage-bde -status

Úvodní foto CC BY: Yuri Samoilov (Flickr)

Další příspěvky: