|
使用 BitLocker 驅動器加密以保護數據的密鑰
Byron Hynes
概覽:
Windows BitLocker 驅動器加密毫無疑問是 Windows Vista 中談論最多的功能之一。但是,大多數人尚沒有太多機會來測試 BitLocker,以親身體驗
它的作用和工作原理 — 尤其不在具備受信任的平臺模塊 (TPM) 的計算機上。在本文中,我將向您介紹 BitLocker? 的基礎知識,以便您評估其潛力,并將其納入您的升級規劃。我會從一些背景和概念性信息開始講起,然后介紹啟用 BitLocker、數據恢復、管理,以及 BitLocker 如何在計算機生命末期發揮作用。要更好地理解本文中的術語,請查看側欄“磁盤和卷”。
圍繞磁盤和卷的術語往往會使人混淆。下面是一個簡要術語表,供您參考。
分區:分區是物理硬盤的一部分,它是磁盤上存儲的分區表中定義的邏輯結構。
卷:卷是 Windows 中由一個或多個分區組成的邏輯結構,由稱為“卷管理器”的 Windows 組件所定義。除了卷管理器和啟動組件,其余的操作系統組件和應用程序均使用卷,而非分區。在 Windows 客戶端操作系統環境下,包括 Windows Vista 在內,分區和卷通常具有一對一的關系。而在服務器中,一個卷通常由多個分區組成,比如典型的 RAID 配置。
活動分區:一次只能將一個分區標為活動分區。此分區包括了用于啟動操作系統的引導扇區。活動分區有時稱為系統分區或系統卷,但是,請不要將這些術語和 Windows 操作系統卷混淆。
Windows 操作系統卷:此卷包含 Windows 安裝,其中包括 System 文件夾和 System32 文件夾。Windows Vista 發布之前,用到了(并且仍在經常使用)術語“引導分區”。術語“Windows 操作系統卷”較為清楚,可避免引導分區和系統分區之間不斷的混淆。在過去,培訓師有時會讓學生這樣記憶:“從系統分區啟動,在引導分區上查找系統文件”。
在 Windows Vista 之前,Windows 操作系統卷(也稱為引導分區)和活動分區(也稱為系統分區)是同一回事,因為大多數客戶端計算機上的硬盤都配置為單獨一個大分區。在圖 A 中,您會看到分配給 Windows Vista 的“磁盤管理”控制臺中每個分區或卷的功能。
圖 A 分區功能 (單擊該圖像獲得較大視圖) BitLocker 真正起到了兩個既互補而又截然不同的作用。首先,BitLocker 為 Windows? 操作系統卷提供了整卷加密。其次,在具備兼容的 TPM 的計算機上,BitLocker 提供了在允許 Windows Vista? 啟動之前驗證早期啟動組件完整性的方法。
若要使用 BitLocker 的所有功能,您的計算機必須具備兼容的 TPM 微芯片和 BIOS。兼容要求 1.2 版的 TPM,以及滿足以下條件的 BIOS:支持 TPM 和由可信賴運算組織 (TCG) 定義的 Static Root of Trust Measurement。但是,沒有兼容的 TPM 和 BIOS 的計算機仍可使用 BitLocker 加密。 整卷加密
BitLocker 提供了整卷加密,確保對寫入 Windows 操作系統卷的所有數據都能進行加密。這是保護存儲于組織的計算機(尤其是便攜式計算機或移動計算機)中機密信息的關鍵。
移動計算機丟失或被盜事件每天都會發生。具備了提高的便攜式計算能力和移動性日益增強的工作團隊,一名辦公人員便能攜帶幾百 GB 的組織商業機密、機密文檔或客戶個人身份信息 (PII)。只要隨意進行新聞搜索,便會發現太多數據丟失之類的事件。(隱私權交流中心宣稱,自 2005 年以來,已有超過 1.04 億包含個人信息的記錄發生丟失或泄漏。)
大多數組織已經在按照法律和公司要求保護多類隱私信息,并且,即使法律上并未要求,您很可能也會因為業務利益而必須如此去做。 為什么要加密整個卷?
如果您是位經驗豐富的 Windows 管理員,您可能已經熟悉了基于 Windows 的加密選項,比如加密文件系統 (EFS),或者由權限管理服務 (RMS) 提供的加密和保護。BitLocker 最大的不同之處在于,它在啟用后是自動、透明的,并包括整個卷。
例如,使用 EFS,您必須明確指明要保護哪些文件和文件夾。在 Windows Vista 中,有一些新選項可使 EFS 更加靈活,并使 EFS 和 RMS 能分別處理 BitLocker 無法處理的某些情況。但是,EFS 和 RMS 都需要管理員進行大量配置,并且不是為保護卷上存儲的所有資料而專門設計的。
與之相反,BitLocker 會對寫入 BitLocker 保護卷上的所有資料進行加密,包括操作系統本身、注冊表、休眠文件和分頁文件、應用程序以及應用程序使用的數據。
以下三項不會被加密:引導扇區、標為不可讀的壞扇區和卷元數據。卷元數據由用于管理 BitLocker 的三個冗余副本數據組成,包括關于卷的統計信息,以及一些解密密鑰的受保護副本。這些項不需要加密,因為它們并不是唯一的、有價值的,或者可辨認個人身份。
整卷加密可防止離線攻擊 — 一種通過試圖繞過操作系統而發動的攻擊。例如,常見的離線攻擊是竊取計算機、拆除硬盤并將其安裝為其他計算機(運行 Windows 不同副本或不同操作系統)上的第二個驅動器,從而消除 NTFS 權限和用戶密碼。然而,使用這種攻擊卻無法讀取 BitLocker 保護的卷。 BitLocker 如何加密數據
BitLocker 使用 128 位密鑰的高級加密標準 (AES) 算法。要獲得更好的保護,可使用“組策略”或 BitLocker Windows Management Instrumentation (WMI) 提供程序將密鑰增至 256 位。
卷中的每個扇區都單獨進行加密,加密密鑰的一部分是從扇區編號本身派生而來。這意味著,包含完全相同的未加密數據的兩個扇區也會以不同的加密字節寫入磁盤,這使得通過創建和加密已知部分信息的方法來嘗試發現密鑰的難度大大增加。
使用 AES 加密數據前,BitLocker 還會使用一種稱為“擴散器”的算法。無需深入說明其加密技術,對擴散器的簡單描述就是,它可以確保即使是對明文的細微更改都會導致整個扇區的加密密文發生變化。這也使得攻擊者發現密鑰或數據的難度大大增加。
如果您對 BitLocker 加密算法的詳細信息感興趣,則可以閱讀 Neil Ferguson 的相關文章“AES-CBC + Elephant 擴散器: 用于 Windows Vista 的磁盤加密算法”。 BitLocker 密鑰
無論何時處理加密,您都需要了解密鑰,BitLocker 也不例外。BitLocker 使用明確但有些復雜的密鑰體系結構。
這些扇區本身使用稱為“整卷加密密鑰”(FVEK) 的密鑰加密。然而,FVEK 不會由用戶使用,而且用戶也無法進行訪問。FVEK 又會使用稱為“卷主密鑰”(VMK) 的密鑰加密。此程度的抽象性帶來了獨一無二的好處,但也使得整個過程較難理解。FVEK 作為嚴密保護的秘密來保存,因為一旦泄漏,所有的扇區都需要重新加密。因為這是一個費時的操作,所以應當盡量避免。實際上,系統使用 VMK 代之。
FVEK(使用 VMK 加密)存儲于磁盤本身,作為卷元數據的一部分。雖然 FVEK 在本地存儲,但從不寫入未加密的磁盤。
VMK 也進行加密或“保護”,但使用的是一個或多個可能的密鑰保護程序。默認的密鑰保護程序是 TPM。TPM 的使用會在以下完整性檢查部分進行介紹。此外還會創建恢復密碼作為密鑰保護程序,用于緊急情況。恢復也會在稍后進行介紹。
您可以將 TPM 與數字 PIN 或存儲在 USB 驅動器上的部分密鑰組合使用,從而獲得更高的安全性。上述每種方法都是某種形式的雙因素身份驗證。如果您的計算機沒有兼容的 TPM 芯片和 BIOS,BitLocker 可配置為將密鑰保護程序完全存儲在 USB 驅動器上。這稱為“啟動密鑰”。
BitLocker 無需解密數據便可禁用,在此情況下,VMK 僅由未加密存儲的新密鑰保護程序進行保護。請注意,此透明密鑰允許系統訪問驅動器,好像該驅動器未受保護一樣。
啟動時,系統會通過查詢 TPM,檢查 USB 端口或者在必要情況下提示用戶(稱為恢復),來搜尋適當的密鑰保護程序。查找密鑰保護程序會讓 Windows 解密 VMK,這會解密 FVEK,而這又會解密存儲在磁盤上的數據。圖 1 顯示了這一過程。
圖 1 BitLocker 默認啟動過程 完整性檢查
由于啟動過程最初階段的組件必須是未加密可用的,以便計算機能夠啟動,而攻擊者可能會趁機更改早期啟動組件中的代碼(想一想 rootkit),從而能夠訪問計算機,即使磁盤中的數據已被加密。
通過這種攻擊,入侵者很有可能獲得機密信息的訪問權,比如 BitLocker 密鑰或用戶密碼,并利用該信息避開其他安全保護措施。
防止這種攻擊是該程序和團隊創建 BitLocker 的最初目標之一。在某些方面,加密幾乎是達到目的的一種手段。整卷加密允許 BitLocker 保護系統的完整性,并防止在早期啟動組件被更改的情況下啟動 Windows。
在具備兼容的 TPM 的計算機上,每次計算機啟動時,每個早期啟動組件(比如 BIOS、主引導記錄 (MBR)、引導扇區和啟動管理器代碼)都會檢查要運行的代碼,計算哈希值,并將該值存儲于 TPM 中的特定注冊表,它稱為平臺配置注冊表 (PCR)。一旦將值存儲到 PCR,除非系統重新啟動,否則就不能替換或清除該值。BitLocker 使用 TPM 和存儲在 PCR 中的值來保護 VMK。
TPM 可創建綁定到特定 PCR 值的密鑰。創建這類密鑰時,TPM 會加密該密鑰,且只有特定的 TPM 才能對其解密。可是,除此之外,僅當當前 PCR 值與創建密鑰時指定的值匹配的情況下,TPM 才會解密該密鑰。這稱為將密鑰封裝到 TPM。
默認情況下,BitLocker 將密鑰封裝到 Core Root of Trust Measurement (CRTM)、BIOS 和任意平臺擴展、選項 ROM 代碼、MBR 代碼、NTFS 引導扇區以及啟動管理器的測量結果。如果其中任一項被意外更改,BitLocker 都會鎖定驅動器,以防其被訪問或解密。
默認情況下,BitLocker 配置為查找并使用 TPM。您可以使用“組策略”或本地策略設置,使 BitLocker 在沒有 TPM 的情況下工作,并將密鑰存儲于外部 USB 閃存驅動器,但是沒有 TPM,BitLocker 將無法驗證系統完整性。 第一次啟用 BitLocker
Windows Vista Enterprise 和 Windows Vista Ultimate 中提供了 BitLocker。(BitLocker 還將作為可選組件包含在下一版本的 Windows Server? 中,代號為“Longhorn”。)
以下討論假設您已有具備兼容的 TPM 的計算機可供測試。如果您要在沒有 TPM 的計算機上啟用 BitLocker,請遵循側欄“在沒有 TPM 的情況下使用 BitLocker”中所列的步驟。
啟用 BitLocker 的重要一點是確保正確配置了您的卷。BitLocker 要求活動分區處于未加密狀態,以便能夠讀取引導扇區、啟動管理器和 Windows 加載程序(這些組件由先前所述的系統完整性步驟所保護)。由于其他 Windows 組件可能需要臨時用到活動分區,因此 Microsoft 建議活動分區至少為 1.5GB。配置 NTFS 權限也不失為一個好辦法,這樣用戶便不會意外地將數據寫入該卷。
Windows 本身將被安裝到第二個較大的卷上,該卷可以加密。如果您要將 Windows 安裝在新系統上,則可以按照 Windows BitLocker 驅動器加密逐步指南中的說明,手動配置卷。
您可以使用 BitLocker Drive Preparation Tool 來協助設置系統,以便使用 BitLocker。此工具擺脫了配置驅動器的辛苦工作,并作為 Windows Vista Ultimate Extra 提供,或提供給部署 Windows Vista Enterprise 的客戶。有關 BitLocker Drive Preparation Tool 的詳細說明,請訪問 support.microsoft.com/kb/930063。
BitLocker Drive Preparation Tool 會自動收縮卷(如果您只有一個卷)、創建第二個分區、使其成為活動分區、執行所有必需的配置更改,并將啟動文件移到適當的位置。
配置卷后,啟用 BitLocker 非常簡單。在“控制面板”的“安全”部分,單擊“BitLocker 驅動器加密”圖標。在確認 UAC 同意提示后,將會出現類似于圖 2 的屏幕。
圖 2 啟用 BitLocker (單擊該圖像獲得較大視圖) 后續操作的確切順序會因計算機上的 TPM 芯片狀態而各異。如果 TPM 芯片未初始化,則會運行“TPM 初始化向導”。請按照提示來初始化 TPM,包括重新啟動計算機。
初始化 TPM 后,會顯示“保存恢復密碼”頁面,如圖 3 所示。當發生 TPM 故障或其他問題時,為了能夠恢復數據,您需要一個恢復密碼。此頁面可讓您將恢復密碼保存到 USB 閃存驅動器、本地硬盤或網絡硬盤,或者打印出來妥善保存。您必須至少選擇上述其中一項,并且您可以選擇保存多份恢復密碼。保存恢復密碼后,便會啟用“下一步”按鈕。單擊該按鈕。
圖 3 保存恢復密碼 (單擊該圖像獲得較大視圖) “加密選定的磁盤卷”頁面將會出現,您可以選擇是否要在開始加密之前運行系統檢查。該系統檢查會要求重新啟動計算機,但這是確保您的 TPM、BIOS 及 USB 端口能夠與 BitLocker 一起正常運行的最佳方法。重新啟動后,如果檢測到任何問題,您會看到錯誤消息。否則會顯示“加密進行中”的狀態欄。
就是這樣。加密會在后臺完成,您可以繼續使用計算機。初始加密完成后,會出現消息通知您。您還可通過在屏幕底部工具欄中的“BitLocker 驅動器加密”圖標上拖動光標,從而監視磁盤卷加密的現行完成狀態。有關詳細信息,您可參閱先前提到的“逐步指南”。
一些用戶驚訝地發現,BitLocker 在計算機啟動時不會提示用戶或出現其他任何明顯中斷。這是因為,在默認配置中,BitLocker 在解除對卷的鎖定之前依賴 TPM 來確認系統完整性。這是自動執行的,并且對用戶透明。
您可以將 BitLocker 配置為啟動時需要輸入 PIN 或者有密鑰存儲在 USB 閃存驅動器上。這會加強安全,如果加強安全的重要性超過了輸入 PIN 的不便,則建議采用這種方法。在我看來,安全性始終是應予最優先考慮的事。(換句話說,我的臺式計算機要求 PIN,而我的便攜式計算機要求 USB 密鑰。) BitLocker 恢復
處理加密時,尤其是在企業環境中,要有辦法讓授權用戶即使在無法使用正常訪問方法或沒有密鑰的情況下,都能夠找回他們的數據,這是至關重要的。BitLocker 稱之為“恢復”。
如果早期啟動組件出現了一些意外更改,或者您丟失了 USB 啟動密鑰,或是用戶忘記了自己的 PIN,則 BitLocker 便不能完成正常的啟動過程。BitLocker 會使卷保持鎖定狀態,并且 Windows 也無法啟動。取而代之,啟動管理器中的 BitLocker 代碼會顯示一個文本屏幕。如果恢復密碼(有時稱為恢復密鑰)已保存到 USB 閃存驅動器,則會出現類似于圖 4 的屏幕。
圖 4 查找恢復密鑰 (單擊該圖像獲得較大視圖) 要讓 BitLocker 讀取 USB 閃存驅動器,則必須在啟動時就連接上。如果您有帶恢復密碼的 USB 閃存驅動器,請插上并按 Esc。如果沒有這樣的驅動器,按 Enter 即可看到圖 5 所示的屏幕。如果從未有恢復密碼保存到 USB 驅動器,那么也會顯示此屏幕。
圖 5 輸入 BitLocker 密碼 (單擊該圖像獲得較大視圖) BitLocker 現在將會查找一個 48 位的數字密碼,可解除對驅動器的鎖定。如果您選擇打印恢復密碼,則會在頁面上顯示該數字,如果您已將恢復密碼保存到一個文件夾,則它會存儲在文件中。
企業中管理恢復密碼最簡單的方法就是將它們自動存儲在 Active Directory? 中。若要獲取有關這一過程的具體操作信息,請訪問 go.microsoft.com/fwlink/?LinkId=87067。
在后續文章中,我將詳細描述 BitLocker 的可管理性,但是作為本概述的一部分,您必須了解 BitLocker 附帶了完整的 WMI 提供程序,允許通過任一 WMI 兼容的基于 Web 的企業管理 (WBEM) 系統來管理 BitLocker(和 TPM)。這意味著能使用可訪問 WMI 對象的任意腳本語言,比如 VBScript 或 Windows PowerShell?,來為 BitLocker 編寫腳本。
BitLocker 還附帶了一個名為 manage-bde.wsf 的命令行工具,可使用 WMI 提供程序讓您在本機或遠程計算機上管理 BitLocker。有關詳細信息,請啟動提升的命令提示,并鍵入“manage-bde.wsf /?”。 安全取消配置
需要考慮到這一點,每臺計算機都需要取消配置。企業經常花費大量財力和精力來確保在放棄磁盤驅動器之前能夠完全摧毀其中的資料。大多數過程是刪除磁盤驅動器中的機密數據,這既費時又耗費成本,甚至會對硬件造成永久性損壞。BitLocker 提供了更經濟高效的其他可選方法。
BitLocker 可確保一開始就不會以冒險的方式將機密數據存儲在磁盤上,因而無需擔心事后刪除數據。由于寫入磁盤的數據都是加密的,因此銷毀加密密鑰的所有副本后,這些數據會永久變為完全無法訪問。硬盤本身完全沒有損傷,并且可以重復使用。
您可以在取消卷(受 BitLocker 保護)配置的多種方法中進行選擇。您可以選擇刪除卷元數據中的所有密鑰副本,同時將它們存檔在安全的中心站點。這使系統能夠安全傳輸,或在長期處于無人看管狀態時臨時取消配置。它確保了授權用戶仍然能夠訪問數據,但未授權的用戶(例如設備的新所有者)則不能訪問。
您還可以選擇刪除卷元數據或任意存檔中的所有密鑰副本,比如 Active Directory(通過創建新密鑰而不存儲即可)。由于不再存在任何解密密鑰,因此任何人都無法發現或檢索數據。
上述任一情形中,刪除和破壞卷中包含的密鑰幾乎是瞬間完成,并可由一個管理員在多個系統間執行。這只需要投入極少量的時間和精力,但卻會換來高級別的永久性保護。Windows Vista 中的格式化實用工具已經更新,以便格式化命令能刪除卷元數據并覆蓋這些扇區,從而安全地刪除所有 BitLocker 密鑰。 最后幾點
BitLocker 是旨在防范特定威脅的強大工具,而且表現相當優異。然而,如果認為 BitLocker 能夠防范所有威脅,那就錯了。絕對重要的是,您還需要使用適當的防范及控制措施,如強密碼。
您需要了解,BitLocker 是針對離線攻擊而設計的。這表示,如果正在運行 Windows,則 BitLocker 已解除了對卷的鎖定。換言之,BitLocker 對運行中的系統不提供保護。諸如 EFS 和 RMS 之類的技術通過在操作系統運行時保護信息,為 BitLocker 提供了補充。
有關 BitLocker 的更多信息,請訪問 Microsoft 網站,網址為 technet.microsoft.com/windowsvista/aa905065.aspx。有關 TPM 規范和 TCG 的更多信息,請訪問 TCG 網站的“TPM 規范”部分,網址為 go.microsoft.com/fwlink/?LinkId=72757。
|
|
|
