Андроїд. Операційна система. Мультимедіа. Соціальні мережі. Інструменти. Кодеки. Графіка
Ви тут: » »

Що таке ключі відновлення або як відновити доступ до важливих облікових записів. Як відновити файли зашифровані за допомогою BitLocker? Де завантажити ключ відновлення bitlocker

Якщо ви хочете надійно захистити свої облікові записи в онлайн-сервісах, то вам знадобиться додаток для двофакторної авторизації.

Такі програми генерують коди доступу, необхідні для входу в соціальні мережі, оплати покупок в інтернеті тощо.

Також слід записати коди відновлення на звичайному аркуші паперу - він стане в нагоді, якщо телефону немає під рукою. Про те, де знайти ці коди, – нижче.

Як отримати коди відновлення

Microsoft

Зайдіть на сторінку облікового запису Microsoft і відкрийте вкладку Безпека зверху. Можна змінити пароль, додати альтернативні електронні адресита телефонні номери для відновлення облікового запису та переглянути відомості про активність. Нижче ви побачите посилання на додаткові параметри безпеки - перейдіть по ньому, щоб отримати коди.

Тут ви можете налаштувати двокрокову перевірку. Радимо обирати авторизацію через спеціальний додаток, оскільки метод перевірки через SMS-коди не зовсім безпечний. Нижче знайдіть розділ «Код відновлення» і натисніть на відповідну кнопку. З'явиться новий код, який залишиться лише записати.

Apple

На iPhone, iPad або iPod touchНеобхідно виконати ці действия:

  1. Виберіть «Параметри» → [Ваше ім'я] → «Пароль та безпека». Ви можете ввести пароль для ідентифікатора Apple ID.
  2. Натисніть "Ключ відновлення".
  3. Посуньте повзунок, щоб активувати ключ відновлення.
  4. Натисніть «Ключ відновлення» та введіть код пароля пристрою .

На macOS потрібно зробити наступне:

  1. Перейдіть до меню « Системні налаштування» → iCloud → «Обліковий запис». Ви можете ввести пароль для ідентифікатора Apple ID.
  2. Клацніть на піктограму «Безпека».
  3. У розділі «Ключ відновлення» клацніть «Увімкнути».
  4. Виберіть «Використовувати ключ відновлення».
  5. Запишіть ключ відновлення. Зберігайте цю нотатку у надійному місці.
  6. Натисніть кнопку "Продовжити".
  7. Підтвердьте, що ви записали ключ відновлення, вказавши на наступному екрані.

Google

Зайдіть на сторінку облікового запису Google і виберіть розділ «Безпека та вхід». На панелі зліва виберіть пункт «Вхід до обліковий запис Google" та натисніть " Двоетапна автентифікація». Знову виконайте вхід і на наступній сторінці знайдіть « Резервні коди». Натисніть

на кнопку "Створити".

Google пропонує завантажити або роздрукувати 10 кодів. Можна створити нові коди, тим самим зробивши старі неактивними. Кожен ключ одноразовий, тому використані доведеться вручну видаляти або викреслювати зі списку.

Роздрукуйте коди та тримайте їх у безпечному місці

Такі ключі - останній варіант відновлення облікового запису. Якщо їх втратити, то ви, можливо, назавжди залишитеся без свого облікового запису.

Помістіть аркуш паперу із записаними кодами в місце, де його не знайдуть сторонні. Це може бути скринька з важливими документами або хоча б простір під матрацом.

Зберігайте коди та в цифровому вигляді

Слід не лише роздрукувати ключі відновлення на папері, але й зберігати їх на комп'ютері. Скопіюйте коди в текстовий файлта помістіть його на зашифровану флешку. Накопичувач можна зберігати поряд з рештою документів або навіть усередині корпусу стаціонарного ПК.

Додати ключі в менеджер паролів

Ви повинні зробити все для того, щоб ви могли завжди отримати доступ до кодів, навіть коли телефону та роздрукованого списку ключів немає поруч. Якщо ви користуєтесь менеджером паролів, то у вас є все необхідне.

У менеджерів на зразок 1Password і LastPass є веб-інтерфейси, які стануть у нагоді, якщо вам потрібно отримати доступ до особистої інформації з нового комп'ютера або смартфона. Ключі відновлення можна помістити поряд з рештою своїх даних або зберегти в новому документі, який зберігатиметься в сервісі.

Щоб зашифрувати ваші особисті дані, можна використовувати багато методів, а конкретніше, програмне забезпеченнясторонніх компаній. Але для чого, якщо є BitLocker від Microsoft. На жаль, деякі виникають проблеми відновлення файлів після шифрування через BitLocker. При шифруванні BitLocker вам потрібно створити спеціальний ключ відновлення, його потрібно зберегти, причому не важливо де, головне надійно. Ви можете його роздрукувати або зберегти за допомогою облікового запису, але не локальної, а від Microsoft. Якщо диск не розблокується сам, то потрібно використовувати цей ключ, інакше ніяк.

Але ж бувають і випадки, коли ключ загублений. Що тоді робити? Іноді можна забути пароль від входу в систему, що вкрай ускладнює процес розшифровки. Спробуймо всі ці проблеми вивчити і зрозуміти, як вчинити. Ця стаття повинна допомогти вам у вирішенні проблем з BitLocker. .

Небагато статей про шифрування даних:

Що робити з ключем відновлення, як бути, якщо він загублений?

Отже, людський фактор така штука, що, коли справа стосується пам'яті, яка в певний моментдуже необхідна - вона нас підводить. Ось забули ви, куди поділи ключ відновлення, тоді згадайте, яким чином ви його зберігали у BitLocker. Оскільки утиліта пропонує три способи збереження ключа – друк, збереження файлу та збереження в обліковий запис. Ви у будь-якому випадку повинні були вибрати один із цих способів.

Отже, якщо ви зберегли ключ в обліковому записі, то вам потрібно зайти в OneDrive з браузера і увійти в розділ "Ключі відновлення BitLocker". Входимо у систему зі своїми обліковими даними. Ключ буде точно там, за умови, що він був вами туди завантажений. Якщо його немає, може ви зберігали його в іншому обліковому записі?


Буває, користувач створює не один ключ, тоді можна визначити конкретний за допомогою ідентифікатора в утиліті BitLocker і порівняти його з тим, що від ключа якщо збігаються, то це вірний ключ.

Якщо комп'ютер не хоче завантажуватися в систему через BitLocker?

Допустимо, ви шифрували системний дискі відбулася проблема, при якій система не хоче розблокуватися, то, ймовірно, виникла якась неполадка з модулем ТРМ. Він повинен автоматично розблокувати систему. Якщо це дійсно так, то перед вашими очима постане картинка, де сказано: і попросять запровадити ключ відновлення. А якщо його у вас немає, бо втратили, то ввійти в систему навряд чи вдасться. Швидше за все допоможе лише переустановка системи. Поки що я не в курсі, як можна розблокувати BitLocker без ключа, але намагатимуся вивчити це питання.


Як розблокувати зашифровані диски BitLocker у Windows?

За наявності парочки розділів або зовнішніх жорстких дисків, зашифрованих за допомогою BitLocker, але потрібно розблокувати, я спробую допомогти.

Підключіть пристрій до ПК (якщо зовнішній). Запустіть «Панель керування», можна з пошуку, та перейдіть до розділу «Система та безпека». Знайдіть там розділ "Шифрування диска BitLocker". До речі, цю операцію можна провести тільки на версіях PRO, майте це на увазі.

Знайдіть серед списку зашифрований диск, який необхідно розшифрувати. Натисніть поруч опції «Розблокувати диск».


Тепер вводимо дані для розблокування, які потрібні (ПІН-код або пароль). Немає цих даних? Ви не пам'ятаєте їх? Тоді тиснемо "Додаткові параметри"і вибираємо пункт.

Як висновок я хочу сказати одну річ. При втраті пароля або PIN-коду відновити доступ до накопичувача можливо за допомогою ключа відновлення, це 100%. Його ви повинні зберігати у надійному місці та завжди пам'ятати, де він знаходиться. Якщо ви втратили цей ключ, можете попрощатися зі своїми даними. Поки я не знайшов методу, де можна розшифрувати BitLocker без ключа.

Bitlocker - це програма шифрувальник, яка вперше з'явилася в Windows 7. З її допомогою можна шифрувати томи жорстких дисків(навіть системний розділ), USB та MicroSD флешки. Але часто буває, що користувач забуває пароль від доступу до зашифрованих даних Bitlocker. Як розблокувати інформацію на шифрованому носії читайте в рамках цієї статті.

Як увімкнути Bitlocker

Способи розшифрування даних підказує сама програма на етапі створення блокування:

  1. Підготуйте накопичувач, який потрібно зашифрувати. Натисніть на ньому правою кнопкоюмиші та виберіть "Увімкнути Bitlocker".
  2. Виберіть спосіб шифрування.
    Як правило, встановлюється пароль для зняття блокування. Якщо ж у вас є зчитувач USB смарт-карт зі звичайною мікросхемою стандарту ISO 7816, можете використовувати його для розблокування.
    Для шифрування доступні варіанти окремо, так і обидва одночасно.
  3. На наступному етапі майстер шифрування диска пропонує варіанти архівації ключа відновлення. Усього їх три:
  4. Коли вибрано варіант збереження ключа відновлення, виберіть частину накопичувача, яку потрібно розшифрувати.
  5. Перед початком шифрування даних з'явиться вікно з повідомленням про процес. Натисніть "Почати шифрування".
  6. Зачекайте до завершення процедури.
  7. Тепер накопичувач зашифрований і запитуватиме пароль (або смарт-карту) при первинному підключенні.

Важливо! Ви можете вибрати метод шифрування. Bitlocker підтримує 128 та 256 бітне шифрування XTS AES та AES-CBC.

Зміна методу шифрування накопичувача

У редакторі локальної групової політики (не підтримується Windows 10 Home) можна вибрати метод шифрування дисків із даними. За замовчуванням використовується XTS AES 128 біт для не знімних накопичувачів та AES-CBC 128 біт для жорстких дисків і флешок.

Щоб змінити метод шифрування:


Після змін у політиці, Bitlocker зможе запаролити новий носій із вибраними параметрами.

Як вимкнути Bitlocker

Процес блокування надає два способи подальшого отримання доступу до вмісту накопичувача: пароль і прив'язка до смарт-карти. Якщо ви забули пароль або втратили доступ до смарт-картки (а швидше не використовували її зовсім), залишається скористатися ключем відновлення. При запаролювання флешки він створюється обов'язково, тому знайти його можна:

  1. Роздруковані на папері аркуш. Можливо, ви його помістили до важливих документів.
  2. У текстовий документ(або на USB-флешці, якщо шифрували системний розділ). Вставте USB флешкуна комп'ютер і дотримуйтесь інструкцій. Якщо ключ зберігається у текстовому файлі, прочитайте його на незашифрованому пристрої.
  3. Обліковий запис Microsoft. Увійдіть у свій профіль на сайті у розділі «Ключі відновлення Bitlocker».

Після того як ви знайшли ключ відновлення:

  1. Натисніть правою кнопкою миші на заблокованому носії та виберіть «Розблокувати диск».
  2. У верхньому правому куті екрана з'явиться вікно введення пароля Bitlocker. Натисніть «Додаткові параметри».
  3. Виберіть «Введіть ключ відновлення».
  4. Скопіюйте або перепишіть 48-значний ключ та натисніть «Розблокувати».
  5. Після цього дані на носії стануть доступними для зчитування.

Зашифрувати жорсткий диск, допускати до нього лише за паролем чи USB-носії з ключем запуску і блокувати доступ за будь-якої спроби зовнішнього впливу. Усе це , а разі шифруванням зовнішніх носіїв, необхідно звертатися до . Ми з цим розібралися. Але що робити, якщо ви забули пароль? Що робити, якщо Ви втратили USB-носій із ключем запуску? Що робити, якщо потрібно змінити завантажувальне середовище комп'ютера, що унеможливить (з метою безпеки) читання з жорсткого диска? Або якщо узагальнити все це, як відновити BitLocker?

Режим відновлення BitLocker

У випадках, якщо:

  • Змінено завантажувальне середовище, зокрема, змінено один із завантажувальних файлів Windows.
  • Вимкнено або видалено.
  • Здійснено завантаження без надання TPM, PIN-коду або USB-носія з ключем запуску.
  • Том з операційною системою Windows, підключений до іншого комп'ютера.

Це комп'ютер йде в режим відновлення BitLocker. У таких випадках необхідно згадати той момент, коли Ви шифрували жорсткий диск. Під час налаштування шифрування було вікно, що надає можливість зберегти ключ відновлення BitLocker у різний спосіб: у файл, роздрукувати і так далі. Ключ відновлення записаний просто, в.txt файл, звідки Ви з легкістю можете прочитати та ввести цей ключ у вікно відновлення BitLocker. У разі введення правильного ключа відновлення комп'ютер завантажиться в штатному режимі.

Перелічені дії належать до втрати ключа доступу до жорсткому диску. Якщо Вам потрібно змінити завантажувальне середовище, щось змінити в BIOS, Ви можете з вікна Шифрування диска BitLockerу Windows тимчасово вимкнути BitLocker. А після модернізації завантажувального середовища включити його заново. Все досить просто.

У випадку із зашифрованими знімними носіями, Вас попросять ввести ключ відновлення прямо у вікні Провідника, одразу після того, як Ви дасте знати, що забули або втратили ключ доступу. Тому хотілося б сказати: зберігайте ваші ключі відновлення дбайливо!

Утиліта manage-bde.exe

Ми ознайомилися з технологією BitLocker, обговорили її можливості та розглянули спосіб управління ним. Цей спосібДосить простий - це використання інтерфейсу Провідника. Сьогодні в студії інший спосіб управління BitLocker - утиліта manage-bde.exe, на якій ми закінчимо наше знайомство з технологією BitLocker.

Сподіваюся Ви здогадалися, що новий спосібне буде схожим на попередній. І я підказав, що відмінність полягає в інтерфейсі. Так що думаю Ви здогадалися, що manage-bde.exe- Це утиліта командного рядка.

Команди Manage-BDE.exe

За допомогою різних параметрів, які я наведу нижче, можна налаштувати роботу BitLocker так, як захочете. Функціонал даної утиліти ідентичний функціоналу Провідника для роботи з BitLocker`ом. Ознайомимося із ним.

    manage-bde.exe -status

    Відображає стан BitLocker.

    manage-bde.exe -on

    Шифрує том і включає BitLocker.

    manage-bde.exe -off

    Дешифрує том і вимикає BitLocker.

    manage-bde.exe -pause/-resume

    Зупиняє або відновлює шифрування чи дешифрування.

    manage-bde.exe -lock

    Забороняє доступ до даних, зашифрованих за допомогою BitLocker.

    manage-bde.exe -unlock

    Дозволяє доступ до даних, зашифрованих за допомогою BitLocker.

    manage-bde.exe -setidentifier

    Настроювання ідентифікатора тома.

    manage-bde.exe -changepin

    Змінює пін-код.

    manage-bde.exe -changepassword

    Змінює пароль.

    manage-bde.exe -changekey

    Змінює ключ запуску тома.

Усі дані команди мають бути виконані у вікні командного рядка, відкритого з правами адміністратора. Якщо потрібна якась додаткова довідка за якоюсь командою, наберіть цю команду

manage-bde.exe /?

на даний запитВи отримаєте повну довідку по цій команді із заданими параметрами, а також кілька прикладів роботи. На цьому все, використовуйте технологію BitLocker на здоров'я і не забувайте, що можливо доведеться відновлювати BitLocker.

Технологія шифрування BitLocker вперше з'явилася десять років тому і змінювалася з кожною версією Windows. Однак далеко не всі зміни в ній мали підвищити криптостійкість. У цій статті ми докладно розберемо пристрій різних версій BitLocker (включно з встановленими в останніх збірках Windows 10) і покажемо, як обійти цей вбудований механізм захисту.

Офлайнові атаки

Технологія BitLocker стала відповіддю Microsoft на зростаючу кількість офлайнових атак, які щодо комп'ютерів з Windows виконувались особливо просто. Будь-яка людина може відчути себе хакером. Він просто вимкне найближчий комп'ютер, а потім завантажить його знову - вже зі своєю ОС і портативним набором утиліт для пошуку паролів, конфіденційних даних та препарування системи.

Наприкінці робочого дня з хрестовою викруткою взагалі можна влаштувати маленький хрестовий похід - відкрити комп'ютери співробітників, що пішли, і витягнути з них накопичувачі. Того ж вечора у спокійній домашній обстановці вміст витягнутих дисків можна аналізувати (і навіть модифікувати) тисячею та одним способом. Наступного дня достатньо прийти раніше і повернути все на свої місця.

Втім, необов'язково розкривати чужі комп'ютери на робочому місці. Багато конфіденційних даних витікає після утилізації старих комп'ютерів і заміни накопичувачів. На практиці безпечне стирання та низькорівневе форматуваннясписаних дисків роблять одиниці. Що ж може завадити юним хакерам та збирачам цифрової падали?

Як співав Булат Окуджава: «Весь світ влаштований з обмежень, щоб від щастя не збожеволіти». Основні обмеження Windows задаються на рівні прав доступу до об'єктів NTFS, які ніяк не захищають від офлайнових атак. Windows просто звіряє дозволи на читання та запис, перш ніж обробляє будь-які команди, які звертаються до файлів чи каталогів. Цей метод досить ефективний до тих пір, поки всі користувачі працюють у налаштованій адміністраторній системі з обмеженими обліковими записами. Однак варто завантажитися в іншій операційній системі, як від такого захисту не залишиться і сліду. Користувач сам себе і перепризначить права доступу або легко проігнорує їх, поставивши інший драйвер файлової системи.

Є багато взаємодоповнюючих методів протидії офлайновим атакам, включаючи фізичний захист та відеоспостереження, але найефективніші з них вимагають використання стійкої криптографії. Цифрові підписи завантажувачів перешкоджають запуску стороннього коду, А єдиний спосіб по-справжньому захистити дані на жорсткому диску - це шифрувати їх. Чому ж повнодискове шифрування так довго не було у Windows?

Від Vista до Windows 10

У Microsoft працюють різні люди, і далеко не всі з них кодують лівою задньою ногою. На жаль, остаточні рішення в софтверних компаніях давно ухвалюють не програмісти, а маркетологи та менеджери. Єдине, що вони справді враховують при розробці нового продукту – це обсяги продажів. Чим простіше в софті розібратися до домогосподарки, тим більше копій цього софту вдасться продати.

«Подумаєш, піввідсотка клієнтів подбали про свою безпеку! Операційна система і так складний продукт, а ви тут ще шифруванням лякаєте цільову аудиторію. Обійдемося без нього! Адже раніше обходилися!» - Приблизно так міг міркувати топ-менеджмент Microsoft аж до того моменту, коли XP стала популярною в корпоративному сегменті. Серед адмінів про безпеку думали вже надто багато фахівців, щоб скидати їхню думку з рахунків. Тому в наступній версії Windows з'явилося довгоочікуване шифрування тома, але тільки у виданнях Enterprise та Ultimate, які орієнтовані на корпоративний ринок.

Нова технологія отримала назву BitLocker. Мабуть, це був єдиний гарний компонент Vista. BitLocker шифрував тому повністю, роблячи користувацькі і системні файлинедоступними для читання в обхід встановленої ОС. Важливі документи, фотки з котиками, реєстр, SAM і SECURITY - все виявлялося нечитаним під час виконання офлайнової атаки будь-якого роду. У термінології Microsoft "том" (volume) - це не обов'язково диск як фізичний пристрій. Томом може бути віртуальний диск, логічний розділ або навпаки - поєднання кількох дисків (складовий або чергується том). Навіть просту флешку можна вважати томом, що підключається, для наскрізного шифрування якого починаючи з Windows 7 є окрема реалізація - BitLocker To Go (докладніше - у врізанні в кінці статті).

З появою BitLocker складніше почало завантажувати сторонню ОС, оскільки всі завантажувачі отримали цифрові підписи. Однак обхідний маневр, як і раніше, можливий завдяки режиму сумісності. Варто змінити в BIOS режим завантаження з UEFI на Legacy і вимкнути функцію Secure Boot, і стара добра завантажувальна флешка знову стане в нагоді.

Як використовувати BitLocker

Розберемо практичну частину на прикладі Windows 10. У збірці 1607 BitLocker можна увімкнути через панель управління (розділ «Система та безпека», підрозділ «Шифрування диска BitLocker»).


Однак якщо на материнській платі відсутній криптопроцесор TPM версії 1.2 або новіший, то просто так BitLocker використовувати не вдасться. Щоб його активувати, потрібно зайти в редактор локальної групової політики (gpedit.msc) і розкрити гілку «Конфігурація комп'ютера -> Адміністративні шаблони -> Компоненти Windows -> Шифрування диска BitLocker -> Диски операційної системи» до налаштування «Цей параметр політики дозволяє налаштувати вимогу додаткової автентифікації під час запуску». У ньому необхідно знайти налаштування «Дозволити використання BitLocker без сумісного TPM…» та увімкнути його.


У сусідніх секціях локальних політик можна поставити додаткові налаштування BitLocker, включаючи довжину ключа та режим шифрування за стандартом AES.


Після застосування нових політик повертаємося в панель управління і дотримуємося вказівок майстра налаштування шифрування. Як додатковий захист можна вибрати введення пароля або підключення певної флешки USB.



Хоча BitLocker і вважається технологією повнодискового шифрування, вона дозволяє виконувати часткове шифрування лише зайнятих секторів. Це швидше, ніж шифрувати все підряд, але такий спосіб вважається менш надійним. Хоча б тому, що при цьому видалені, але ще не перезаписані файли певний час залишаються доступними для прямого читання.


Повне та часткове шифрування

Після налаштування всіх параметрів залишиться перезавантаження. Windows вимагає ввести пароль (або вставити флешку), а потім запуститься в звичайному режиміі почне фоновий процесшифрування тому.


Залежно від вибраних налаштувань, об'єму диска, частоти процесора та підтримки ним окремих команд AES, шифрування може зайняти від кількох хвилин до кількох годин.


Після завершення цього процесу в контекстному меню "Провідника" з'являться нові пункти: зміна пароля та швидкий перехід до налаштувань BitLocker.


Зверніть увагу, що для всіх дій, крім зміни пароля, потрібні права адміністратора. Логіка тут проста: якщо ти успішно увійшов до системи, то знаєш пароль і маєш право його змінити. Наскільки це розумно? Скоро з'ясуємо!


Як влаштований BitLocker

Про надійність BitLocker не слід судити з репутації AES. Популярний стандарт шифрування може і не мати відверто слабких місць, а його реалізації в конкретних криптографічних продуктах ними часто рясніють. Повний код технології BitLocker компанія Microsoft не розкриває. Відомо лише, що в різних версіях Windows вона базувалася на різних схемах, а зміни не коментувалися. Більше того, у збірці 10586 Windows 10 він просто зник, а через два білди з'явився знову. Проте про все по порядку.

Перша версія BitLocker використала режим зчеплення блоків шифртексту (CBC). Вже тоді були очевидні його недоліки: легкість атаки за відомим текстом, слабка стійкість до атак на кшталт підміни тощо. Тому в Microsoft одразу вирішили посилити захист. Вже у Vista до схеми AES-CBC було додано алгоритм Elephant Diffuser, що утрудняє пряме порівняння блоків шифртексту. З ним однаковий вміст двох секторів давав після шифрування одним ключем зовсім різний результат, що ускладнювало обчислення загального патерну. Однак сам ключ за умовчанням використовувався короткий – 128 біт. Через адміністративні політики його можна подовжити до 256 біт, але чи це варто робити?

Для користувачів після зміни ключа зовні нічого не зміниться - ні довжина паролів, що вводяться, ні суб'єктивна швидкість виконання операцій. Як і більшість систем повнодискового шифрування, BitLocker використовує кілька ключів... і жоден користувач не бачать. Ось принципова схема BitLocker.

  1. При активації BitLocker за допомогою генератора псевдовипадкових чисел створюється основна бітова послідовність. Це ключ шифрування тому - FVEK (full volume encryption key). Саме їм відтепер шифрується вміст кожного сектора.
  2. У свою чергу, FVEK шифрується за допомогою іншого ключа – VMK (volume master key) – і зберігається у зашифрованому вигляді серед метаданих томів.
  3. Сам VMK теж шифрується, але вже різними способами на вибір користувача.
  4. На нових материнських платахключ VMK за умовчанням шифрується за допомогою ключа SRK (storage root key), який зберігається в окремому криптоппроцесорі - довіреному модулі (TPM, trusted platform module). Користувач не має доступу до вмісту TPM і унікальний для кожного комп'ютера.
  5. Якщо окремого чіпа TPM на платі немає, то замість SRK для шифрування ключа VMK використовується введений користувачем пін-код або USB-Flash-накопичувач, що підключається за запитом, з попередньо записаною на ньому ключовою інформацією.
  6. Додатково до TPM або флешки можна захистити VMK ключем паролем.

Така загальна схемаРобота BitLocker зберігалася і в наступних випусках Windows аж до теперішнього часу. Однак способи генерації ключів та режими шифрування в BitLocker змінювалися. Так, у жовтні 2014 року Microsoft по-тихому прибрала додатковий алгоритм Elephant Diffuser, залишивши лише схему AES-CBC із її відомими недоліками. Спочатку про це не було зроблено жодних офіційних заяв. Людям просто видали ослаблену технологію шифрування з колишньою назвою під виглядом оновлення. Туманні пояснення цього кроку були вже після того, як спрощення в BitLocker помітили незалежні дослідники.

Формально відмова від Elephant Diffuser була потрібна для забезпечення відповідності Windows вимогамфедеральних стандартів обробки інформації США (FIPS), однак один аргумент спростовує цю версію: Vista та Windows 7, в яких використовувався Elephant Diffuser, без проблем продавалися в Америці.

Ще одна уявна причина відмови від додаткового алгоритму - це відсутність апаратного прискорення для Elephant Diffuser і втрата швидкості при його використанні. Однак у колишні роки, коли процесори були повільнішими, швидкість шифрування чомусь влаштовувала. Та й той самий AES широко застосовувався ще до того, як з'явилися окремі набори команд та спеціалізовані чіпи для його прискорення. Згодом можна було зробити апаратне прискоренняі для Elephant Diffuser або хоча б надати клієнтам вибір між швидкістю та безпекою.

Реалістичнішою виглядає інша, неофіційна версія. "Слон" заважав співробітникам АНБ, яким хотілося витрачати менше зусиль при розшифровці чергового диска, а Microsoft охоче взаємодіє з органами влади навіть у тих випадках, коли їхні запити не цілком законні. Побічно підтверджує теорію змови і те що, що до Windows 8 під час створення ключів шифрування в BitLocker застосовувався вбудований у Windows генератор псевдовипадкових чисел. У багатьох (якщо не в усіх) випусках Windows це був Dual_EC_DRBG - «криптографічно стійкий ГПСЧ», розроблений Агентством національної безпеки США і містить ряд закладених у нього вразливостей.

Зрозуміло, таємне ослаблення вбудованого шифрування викликало сильну хвилю критики. Під її тиском Microsoft знову переписала BitLocker, замінивши в нових випусках Windows ГПСЧ CTR_DRBG. Додатково у Windows 10 (починаючи зі складання 1511) схемою шифрування за умовчанням стала AES-XTS, імунна до маніпуляцій із блоками шифртексту. В останніх збірках "десятки" були усунені й інші відомі недоліки BitLocker, але головна проблема, як і раніше, залишилася. Вона настільки абсурдна, що робить безглуздими решту нововведень. Йдеться про принципи управління ключами.

Лос-Аламоський принцип

Завдання дешифрування дисків BitLocker полегшує ще й те, що в Microsoft активно просувають альтернативний методвідновлення доступу до даних через Data Recovery Agent. Сенс «Агента» у цьому, що він шифрує ключі шифрування всіх накопичувачів межах мережі підприємства єдиним ключем доступу. Отримавши його, можна розшифрувати будь-який ключ, а значить, і будь-який диск, який використовується в тій же компанії. Зручно? Так, особливо для злому.

Ідея використовувати один ключ для всіх замків вже скомпрометувала себе багаторазово, проте до неї продовжують повертатися в тій чи іншій формі задля зручності. Ось як записав Ральф Лейтон спогади Річарда Фейнмана про один характерний епізод його роботи над проектом «Манхеттен» у Лос-Аламоській лабораторії: «…я відкрив три сейфи – і всі три однією комбінацією.<…>Я приділив усіх їх: відкрив сейфи з усіма секретами атомної бомби - технологією отримання плутонію, описом процесу очищення, відомостями про те, скільки потрібно матеріалу, як працює бомба, як виходять нейтрони, як влаштована бомба, які її розміри, - словом, все, про що знали в Лос-Аламосі, всю кухню!.

BitLocker чимось нагадує пристрій сейфів, описаний в іншому фрагменті книги «Ви, звичайно, жартуєте, містере Фейнман!». Найбільший сейф надсекретної лабораторії мав ту саму вразливість, що й проста шафка для документів. «…Це був полковник, і в нього був набагато хитріший, дводверніший сейф з великими ручками, які витягували з рами чотири сталеві стрижні товщиною три чверті дюйми.<…>Я оглянув задню сторону однієї з значних бронзових дверей і виявив, що цифровий лімб з'єднаний з маленьким замочком, який виглядав так само, як і замок моєї шафи в Лос-Аламосі.<…>Було очевидно, що система важелів залежить від того самого маленького стрижня, який замикав шафи для документів.<…>. Зображуючи якусь діяльність, я почав навмання крутити лімб.<…>Через дві хвилини – клац! – сейф відкрився.<…>Коли дверцята сейфа або верхній ящик шафи для документів відчинені, дуже легко знайти комбінацію. Саме це я зробив, коли Ви читали мій звіт, тільки для того, щоб продемонструвати Вам небезпеку».

Криптоконтейнери BitLocker власними силами досить надійні. Якщо тобі принесуть невідомо звідки флешку, зашифровану BitLocker To Go, то ти навряд чи розшифруєш її за прийнятний час. Однак у реальному сценарії використання зашифрованих дисків та знімних носіївповно вразливостей, які легко використовувати для обходу BitLocker.

Потенційні вразливості

Напевно, ти помітив, що при першій активації BitLocker доводиться довго чекати. Це не дивно - процес посекторного шифрування може зайняти кілька годин, адже навіть прочитати всі терабайтні блоки. HDD швидшене вдається. Однак відключення BitLocker відбувається практично миттєво – як же так?

Справа в тому, що при відключенні BitLocker не розшифровує дані. Всі сектори залишаться зашифрованими ключем FVEK. Просто доступ до цього ключа більше не обмежуватиметься. Усі перевірки відключаться, а VMK залишиться записаним серед метаданих у відкритому вигляді. При кожному включенні комп'ютера завантажувач ОС зчитуватиме VMK (вже без перевірки TPM, запиту ключа на флешці або пароля), автоматично розшифровуватиме ним FVEK, а потім і всі файли в міру звернення до них. Для користувача все буде виглядати як повна відсутність шифрування, але уважні можуть помітити незначне зниження швидкодії дискової підсистеми. Точніше - відсутність збільшення швидкості після відключення шифрування.

Цікаво у цій схемі та інше. Незважаючи на назву (технологія повнодискового шифрування), частина даних при використанні BitLocker все одно залишається незашифрованою. У відкритому вигляді залишаються MBR і BS (якщо диск не був проініціалізований в GPT), пошкоджені сектори і метадані. Відкритий завантажувач дає простір фантазії. У псевдозбійних секторах зручно ховати руткіти та іншу малечу, а метадані містять багато всього цікавого, у тому числі копії ключів. Якщо BitLocker активний, то вони будуть зашифровані (але слабше, ніж FVEK шифрує вміст секторів), а якщо деактивовано, то просто лежатимуть у відкритому вигляді. Це все потенційні вектори атаки. Потенційні вони тому, що, крім них, є набагато простіші й універсальніші.

Ключ відновлення

Крім FVEK, VMK і SRK, у BitLocker використовується ще один тип ключів, створюваний "про всяк випадок". Це ключі відновлення, із якими пов'язаний ще один популярний вектор атаки. Користувачі бояться забути свій пароль і втратити доступ до системи, а Windows сама рекомендує їм зробити аварійний вхід. Для цього майстер шифрування BitLocker на останньому етапі пропонує створити ключ відновлення. Відмову від його створення не передбачено. Можна тільки вибрати один з варіантів експорту ключа, кожен з яких дуже вразливий.

У налаштуваннях за замовчуванням ключ експортується як простий текстовий файл із впізнаваним ім'ям: "Ключ відновлення BitLocker #", де замість # пишеться ідентифікатор комп'ютера (так, прямо в імені файлу!). Сам ключ має такий вигляд.


Якщо ти забув (або ніколи не знав) заданий у BitLocker пароль, просто шукай файл з ключем відновлення. Напевно, він буде збережений серед документів поточного користувача або на його флешці. Можливо, він навіть надрукований на листку, як це рекомендує зробити Microsoft. Просто дочекайся, поки колега піде на перерву (як завжди, забувши заблокувати свій комп) і приступай до пошуків.


Вхід із ключем відновлення

Для швидкого виявлення ключа відновлення зручно обмежити пошук розширення (txt), дату створення (якщо уявляєш, коли приблизно могли включити BitLocker) і розміру файлу (1388 байт, якщо файл не редагували). Знайшовши ключ відновлення, скопіюй його. З ним ти зможеш будь-якої миті обійти стандартну авторизацію в BitLocker. Для цього достатньо натиснути Esc та ввести ключ відновлення. Ти забудеш без проблем і навіть зможеш змінити пароль в BitLocker на довільний, не вказуючи старий! Це вже нагадує витівки з рубрики «Західнобудування».


Розкриваємо BitLocker

Реальна криптографічна система – це компроміс між зручністю, швидкістю та надійністю. У ній треба передбачити процедури прозорого шифрування з дешифруванням на льоту, методи відновлення забутих паролівта зручної роботи з ключами. Все це послаблює будь-яку систему, на яких би стійких алгоритмах вона не базувалася. Тому необов'язково шукати вразливості безпосередньо у алгоритмі Rijndael чи різних схемах стандарту AES. Набагато простіше їх знайти саме у специфіці конкретної реалізації.

У випадку Microsoft такої "специфіки" вистачає. Наприклад, копії ключів BitLocker за замовчуванням надсилаються до SkyDrive і депонуються в Active Directory. Навіщо? Ну, раптом ти їх втратиш... чи агент Сміт спитає. Клієнта незручно змушувати чекати, а вже агента – тим паче.

Тому порівняння криптостійкості AES-XTS і AES-CBC з Elephant Diffuser відходить на другий план, як і рекомендації збільшити довжину ключа. Яким би довгим він не був, атакуючий легко отримає його у незашифрованому вигляді.

Отримання депонованих ключів з облікового запису Microsoft або AD - основний спосіб розкриття BitLocker. Якщо користувач не реєстрував облік у хмарі Microsoft, а його комп'ютер не знаходиться в домені, то все одно знайдуться способи витягти ключі шифрування. Під час звичайної роботи їх відкриті копії завжди зберігаються в оперативної пам'яті(інакше не було б «прозорого шифрування»). Це означає, що вони доступні в її дампі та файлі глибокого сну.

Чому вони там взагалі зберігаються? Хоч як це смішно - для зручності. BitLocker розроблявся для захисту лише від офлайнових атак. Вони завжди супроводжуються перезавантаженням та підключенням диска в іншій ОС, що призводить до очищення оперативної пам'яті. Однак у налаштуваннях за замовчуванням ОС виконує дамп оперативної пам'яті при виникненні збою (який можна спровокувати) і записує весь її вміст у файл глибокого сну при кожному переході комп'ютера в глибокий сон. Тому, якщо у Windows з активованим BitLocker нещодавно виконувався вхід, є добрий шанс отримати копію ключа VMK у розшифрованому вигляді, а за його допомогою розшифрувати FVEK і потім самі дані по ланцюжку. Перевіримо?

Всі описані вище методи злому BitLocker зібрані в одній програмі - Forensic Disk Decryptor, розробленій у вітчизняній компанії "Елкомсофт". Вона вміє автоматично витягувати ключі шифрування та монтувати зашифровані томи як віртуальні диски, виконуючи їхню розшифровку на льоту.

Додатково в EFDD реалізований ще один нетривіальний спосіб отримання ключів - атакою через порт FireWire, яку доцільно використовувати в тому випадку, коли немає можливості запускати свій софт на комп'ютері, що атакується. Саму програму EFDD ми завжди встановлюємо на свій комп'ютер, а на намагаємося обійтися мінімально необхідними діями.

Наприклад просто запустимо тестову систему з активним BitLocker і «непомітно» зробимо дамп пам'яті. Так ми змоделюємо ситуацію, в якій колега вийшов на обід і не заблокував свій комп'ютер. Запускаємо RAM Capture і менше ніж за хвилину отримуємо повний дамп у файлі з розширенням.mem і розміром, що відповідає обсягу оперативної пам'яті, встановленої на комп'ютері жертви.


Робимо дамп пам'яті

Чим робити дамп - за великим рахунком, без різниці. Незалежно від розширення це вийде бінарний файл, який буде автоматично проаналізований EFDD у пошуках ключів.

Записуємо дамп на флешку або передаємо його по мережі, після чого сідаємо за свій комп'ютер та запускаємо EFDD.

Вибираємо опцію «Вилучити ключі» і як джерело ключів вводимо шлях до файлу з дампом пам'яті.

Вказуємо джерело ключів

BitLocker – типовий криптоконтейнер, на зразок PGP Disk або TrueCrypt. Ці контейнери вийшли досить надійними власними силами, але клієнтські програми для роботи з ними під Windows смітять ключами шифрування в оперативній пам'яті. Тому в EFDD реалізовано сценарій універсальної атаки. Програма миттєво шукає ключі шифрування від усіх трьох видів популярних криптоконтейнерів. Тому можна залишити зазначеними всі пункти - раптом жертва потай використовує TrueCrypt або PGP!

За кілька секунд Elcomsoft Forensic Disk Decryptor показує всі знайдені ключі у своєму вікні. Для зручності їх можна зберегти у файл - це знадобиться в подальшому.

Тепер BitLocker більше не завада! Можна провести класичну офлайнову атаку – наприклад, витягнути жорсткий диск колеги та скопіювати його вміст. Для цього просто підключи його до свого комп'ютера та запусти EFDD у режимі "розшифрувати або змонтувати диск".

Після вказівки шляху до файлів із збереженими ключами EFDD на твій вибір виконає повну розшифровку тому або відразу відкриє його як віртуальний диск. У разі файли розшифровуються у міру звернення до них. У будь-якому варіанті жодних змін до оригінального тому не вноситься, так що наступного дня можеш повернути його як ні в чому не бувало. Робота з EFDD відбувається безслідно і тільки з копіями даних, а тому залишається непомітною.

BitLocker To Go

Починаючи з "сімки" у Windows з'явилася можливість шифрувати флешки, USB-HDD та інші зовнішні носії. Технологія під назвою BitLocker To Go шифрує знімні накопичувачі так само, як і локальні диски. Шифрування включається відповідним пунктом у контекстному меню "Провідника".


Для нових накопичувачів можна використовувати шифрування тільки зайнятої області - все одно вільне місце розділу забито нулями і приховувати там нічого. Якщо накопичувач вже використовувався, то рекомендується включити на ньому повне шифрування. Інакше місце, позначене як вільне, залишиться незашифрованим. Воно може містити у відкритому вигляді нещодавно видалені файли, які ще були перезаписані.


Навіть швидке шифрування тільки зайнятої області займає від кількох хвилин до кількох годин. Цей час залежить від обсягу даних, пропускну здатністьінтерфейсу, характеристик накопичувача та швидкості криптографічних обчислень процесора. Оскільки шифрування супроводжується стисненням, вільне місце на зашифрованому диску зазвичай дещо збільшується.

При наступному підключенні зашифрованої флешки до будь-якого комп'ютера з Windows 7 і вище, автоматично викличеться майстер BitLocker для розблокування диска. У «Провіднику» до розблокування вона буде відображатися як диск, закритий на замок.


Тут можна використовувати як вже розглянуті варіанти обходу BitLocker (наприклад, пошук ключа VMK у дампі пам'яті або файлі глибокого сну), так і нові, пов'язані з ключами відновлення.

Якщо ти не знаєш пароль, але тобі вдалося знайти один із ключів (вручну або за допомогою EFDD), то для доступу до зашифрованої флешки є два основні варіанти:

  • використовувати вбудований майстер BitLocker для безпосередньої роботи з флешкою;
  • використовувати EFDD для повної розшифровки флешки та створення її посекторного образу.

Перший варіант дозволяє отримати доступ до записаних на флешці файлів, скопіювати або змінити їх, а також записати свої. Другий варіант виконується набагато довше (від півгодини), проте має свої переваги. Розшифрований посекторний образ дозволяє надалі виконувати більш тонкий аналіз файлової системи лише на рівні криміналістичної лабораторії. При цьому сама флешка вже не потрібна і може бути повернена без змін.


Отриманий образ можна відкрити відразу в будь-якій програмі, що підтримує формат IMA, або спочатку конвертувати в інший формат (наприклад, за допомогою UltraISO).


Зрозуміло, крім виявлення ключа відновлення для BitLocker2Go, в EFDD підтримуються й інші методи обходу BitLocker. Просто перебирай усі доступні варіанти поспіль, доки не знайдеш ключ будь-якого типу. Інші (аж до FVEK) самі будуть розшифровані по ланцюжку, і ти отримаєш повний доступ до диска.

Висновки

Технологія повнодискового шифрування BitLocker відрізняється різними версіями Windows. Після адекватного налаштування вона дозволяє створювати криптоконтейнери, які теоретично можна порівняти за стійкістю з TrueCrypt або PGP. Однак вбудований у Windows механізм роботи з ключами зводить нанівець усі алгоритмічні хитрощі. Зокрема, ключ VMK, який використовується для дешифрування основного ключа BitLocker, відновлюється за допомогою EFDD за кілька секунд з депонованого дубліката, дампа пам'яті, файлу глибокого сну або атакою на порт FireWire.

Отримавши ключ, можна виконати класичну офлайнову атаку, непомітно скопіювати і автоматично розшифрувати всі дані на захищеному диску. Тому BitLocker доцільно використовувати лише разом з іншими засобами захисту: шифрованою файловою системою(EFS), службою управління правами (RMS), контролем запуску програм, контролем установки та підключення пристроїв, а також жорсткішими локальними політикамита загальними заходами безпеки.

Рубрика: СмартТВ
Поділитися