Hlavní stránka Hardware Disky /CD /DVD /BR Šifrování disku pomocí BitLockeru s čipem TPM
Šifrování disku pomocí BitLockeru s čipem TPM
autor: Petr Šaroun , publikováno 2.5.2019
Šifrování disku pomocí BitLockeru s čipem TPM

Dnes se podrobněji podíváme na šifrování systémového disku (disku s Windows) pomocí BitLocker a na řešení obvyklých problémů. Budeme si povídat o využití čipu TPM (Trusted Platform Module) a vysvětlíme si, jak nám poslouží pro uložení klíče k disku pro BitLocker a jak ho koupíme nebo nastavíme.


Další tipy

  • Obnovovací klíče je možné ukládat do Active Directory automaticky (nastavením doménové politiky).
  • BitLocker je možné odemknout po síti.
  • Pokud disk podporuje HW šifrování, BitLocker se ho „pokusí“ použít.

Pojďme si víc říct o posledním bodu. Některé disky interně podporují šifrování disků.
BitLocker: Disku, ty umíš šifrovat?
Disk: Jasně.
BitLocker: Tak šifruj jo?
Disk: Můžu, ale řekni mi jak?
BitLocker: Ok, vyřízeno, šifrování dělá disk!
Disk: Co to meleš? Neřekl jsi mi jak!
BitLocker: Vážený uživateli, disk je zašifrovaný, žij dlouho a blaze.
Disk: Tebe programoval mamlas co?
BitLocker: Možná jo, ale s uživatelem mluvím jen já! ChááChááá.

Jinými slovy, část lidí si POUZE myslí, že má disk zašifrovaný BitLockerem.

Řešení? Zakázat politiku „Konfigurovat použití hardwarového šifrování pro jednotky operačního systému“.

Šifrování disku pomocí BitLockeru s čipem TPM

Hardwarové šifrování

Další možností je otevřít Regedit, část HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE a vložit OSAllowedHardwareEncryptionAlgorithms:32-bit DWORD s hodnotou 0. (Tuto část registru jsme už řešili.)

Hardwarové šifrování nemusí být nutně špatné, nejspíš bude výrazně rychlejší a méně náročné na CPU, ale šifruje váš disk? Dělá to skutečně? BitLockeru bohužel nelze úplně věřit.

Pokud BitLocker disk skutečně zašifruje, přístup k Vaším datům budete mít vy, teoreticky firma Microsoft (obnovovací klíče se mohou ukládat na Váš účet Microsoft), asi i tříhvězdičkové agentury... a pár dalších.

Šifrování disku pomocí BitLockeru s čipem TPM

Uložení obnovovacích klíčů

Šifrovat pomocí BitLockeru? Pokud šifrování funguje, k vaším datům se běžný loupežník nedostane.



Tagy: Šifrování disku pomocí BitLockeru pro splnění GDPR  rozšířené možnosti a ladění.  


 
Komentáře k článku
RSS
Pouze registrovaní uživatelé mohou přidat komentář!
2.5.2019 11:20:12   217.112.164.xxx 541
Po dlouhé době článek jako za dob starého, dobrého, aktivního PCTuningu.
+++++++++++++
2.5.2019 13:43:54   91.139.122.xxx 90
Děkuji, pochvala moc potěší.
2.5.2019 11:50:09   193.84.252.xxx 18
Já bych jen dodal, že všechny AMD Ryzen procesory mají v sobě PSP a podporují tak fTPM, v BIOSU tedy stačí zapnout fTPM a máte funkční TPM v CPU a není třeba kupovat nějaký externí modul a doufat, že bude fungovat.

Dokonce jde přepínat na některých deskách mezi TPM 1.2 a TPM 2.0, přičemž dvojka vyžaduje UEFI + Secure Boot.

Takže pokud máte Ryzen, máte TPM built-in, což je super pro levné počítače nebo levné notebooky, jen je pak třeba upgradovat wokna na Pro verzi, v Home to nefunguje.
2.5.2019 12:25:15   37.221.252.xxx 110
Noo, diť to tam píše.
2.5.2019 13:58:22   104.244.73.xxx 03
Nerozumím tomu, proč by mělo být opruz vkládání +12ti místného hesla při startu - to ta wokna tolik padají, nebo?
2.5.2019 14:08:21   91.139.122.xxx 30
To podle toho, jestli se notebook vypíná nebo uspává. A stolní počítač řada lidí zapne po příchodu z práce, pak ho vypne, když jdou do krámu, zase ho zapnou, jdou se dívat na televizi a opět ho vypínají. Ale máte pravdu, dá se změnit styl práce.
2.5.2019 15:23:05   195.113.180.xxx 30
Je to hodně o využívání PC/ntb a taky o lenivosti lidstva. Proč si pamatovat 15timístné heslo, když stačí 6timístný PIN.
Takže máme heslo pojištěné jiným heslem a navrch by dal ještě jedno heslo...ať je větší srandy, když něco klekne
2.5.2019 21:48:01   85.163.24.xxx 10
Tak vetsina lidi na tom dela natolik nezajimavy cinnosti ze to sifrovat vazne nemusi :-D A jinak nez datlovat heslo me prijde zajimavejsi pouzit key file z flesky napriklad.
2.5.2019 21:51:34   85.163.24.xxx 30
dalsi vec je proc to vlastne delat, pokud hackuju pentagon tak me stejne nejakej bitlocker nepomuze protoze to urco ma nejak backdoor, pripadne maji prostredky zlomit to hrubou silou. Takze pro 99% obyvatelstva to je zbytecnost a ten zbytek se stejne neciti uplne v bezpeci protoze tusi ze to neni neproniknutelna ochrana. Snad pro Frantu aby se jeho houmvideo neobjevilo na freevideu :-D
3.5.2019 08:25:25   195.113.47.xxx 20
Problém je i to, že i když se to nezdá, operace jako zálohování a tím spíše šifrování musí nastavovat a jistým způsobem spravovat osoba, co o tom něco ví. Jako ano, program se tváří, že ho zvládnout obsloužit i blbečci, ale opak je pravdou. Aby vše fungovalo, jak má, musí se poměrně striktně dodržet jak bezpečnostní politika, tak u záloh i nějaké plánování a opatření proti chybám apod. Lehké to opravdu není, aby to fungovalo a ještě k tomu to bylo jištěné. Pakliže vše dodržím, šifrovat se nebojím a říkám to i svým "klientům", protože v tu chvíli to dobře 99% běžných lidí, kteří danou flasku najdou apod. neotevřou, nedostanou se vůbec k žádným datům. A i u toho zbylého 1% je to značnou otázkou, protože to už by po vás musel někdo cíleně jít. Pak je na místě otázka, proč. Prostě šifrování je použitelné, za dodržení jistých pravidel vždy, a vždy je šance, že šifrování splní svůj cíl, téměř 100%.

Pro ty, kteří tvrdí opak, nechť se mi napíšou, jak se s nimi spojit. Rád jim poskytnu nějaké zašifrované soubory, ať si počtou :-)
2.5.2019 14:20:49   195.113.47.xxx 41
Můžu se jen optat proč je dobré (se vyplatí) šifrovat systémový disk? Po mém brainstormingu, jsem na moc situací nenarazil. Myslím to vážně a tak prosím o normální reakce, ne reakce typu blbec, apod... ty si napište na papír :-) Já to číst nechci.
2.5.2019 15:19:29   195.113.180.xxx 60
Viděl bych to tak, že v případě kdy na systémovém disku jsou nainstalovány aplikace, jejich nastavení a cache (což má asi 99,99% uživatelů), tak je tam asi i bambilión osobních informací. Např. kolik uživatelů má uložená hesla např. ve FF a ne v nějakém sw trezoru? Pak stačí pár kliků a zloděj či hacker má vše k dispozici.
2.5.2019 16:44:01   91.139.122.xxx 10
Přesně jak říkáte. U notebooku to myslím smysl má, ale u stolního počítače doma, to je otázka, kterou si musí vyřešit každý sám. Vadilo by mi, kdyby si můj počítač někdo úplně cizí odnesl, hrabal se v něm a zase ho přinesl? Pokud to člověku vadí, BitLocker smysl má. Pokud ne, je to zbytečnost a komplikace.
3.5.2019 08:06:06   195.113.47.xxx 40
Já mám na mysli také právě především notebook. Ale když jsem někomu data zálohoval apod. tak mu téměř všechny profily prohlížečů, účetních programů atp. přesměrovávám na druhý oddíl disku, kde jsou data. Osobně jsem svého času dost cestoval a notebook jsem právě měl také zašifrovaný, ale vždy jen to nutné. Přijde mi totiž "hloupé" když se chci připojit příkladně ve vlaku na WiFi, abych musel odemykat vše, co na notebooku je. Prostě jsem pustil notebook, připojil jsem se k síti a přesto jsem měl vše zašifrované. Tudíž se mi nikdo k datům nemohl dostat. U FF jsem samozřejmě, vybral jiný profil. To jde lehce nastavit, stačí nechat FF spouštět s parametrem -p, tuším. Je to jeden z důvodů, kdy je, dle mého názoru, použito nesprávných bezpečnostních metod. Notebook je sice zašifrovaný, ale jakmile ho pustím, musím vše odemknout > připojím se na veřejnou WiFi apod. > ke všemu je přístup. Já to měl právě jinak. Mohl jsem si dokonce odskočit na WC a když by mi náhodou někdo notebook vzal, no bóóže, k datům se nedostane, ty jsou pro mě cennější, než notebook samotný.
2.5.2019 16:01:44   92.62.224.xxx 73
Skvělý článek ! Prvně bych rád sklidil poklonu. Více takových to článků.

Vykouším na svém PC doma. Jen tak z hecu


Koho opravdu zajímá bezpečnost, trocha konspirace co jsem nasbíral může si přečíst mou slohovku.

Když americká vláda zakazala vývojáři dál vyvýjet Truecrypt pod pohružkou obvinění z napomáhání terorizmu pod "Patriot act", protože tam autor odmítl dát zadní dvířka. Truecrypt skončil s vývojem. Jak nepřibyla nativní podpora novější sytémů nez Windows 7, nezbylo nic jiného než používat šifrované kontejnery. Stránky Truecryptu jsou teď návod jak přejít na BitLocker. To už je dostatečné varování proč jej nepoužívat.

Při této šílenosti na zprovoznění je třeba mít na paměti, že vládní organizace včetně pár specialistů PČR, kteří si nakoupili hračky od Izraelců stejně tak etalovaní Hackeři projdou přes Bitlocker jako horký nůž máslem TPM neTPM. Nemluvě o dodnes nevyřešeném bugu, kdy je možné vyčíst heslo z RAM z běžícího počítače nebo i cca 10 - 20 minut vypnutého počítače... OMG prostě. A kamže nám to u intelu i AMD vede Meltdow a Spectre ?

Tohle je neskutečná výhoda APPLE počítačů. Šifrovaný proprietární HFS+ a nově APFS partišny jsou šifrované jedním kliknutím APFS s minimálním dopadem na výkon. Pokud máte stihoman, můžete si ještě udělat dodatečně zabezpečené nebo skryté složky. Jednou smazaný soubor je navždy pryč. Apple zatím odolává pokusům na instalaci zadních dvířek, je sice vinen za na starších MacBoocích bylo možné vyčíst heslo ze SMC v textové podobě ale to už dnes neplatí Apple to vyřešil tak, že se nyní SMC čip při pokusu o čtení firmware fyzicky zničí. Navíc vzhledem k počtu Applů s tím nidko netuší je jich málo a nikomu se to nevyplatí hackovat.


Pokud Vás zajímá zabezpečení u Windows. A určitě by mělo! Jak vysvětlují výborné články p. Rybky, které patří k beletrii na PCT.

Doporučji Stařičký Truecrypt 7.1a. Udělat si kontejner a ten připojovat jako virtuální jednotku. Tahle funkce funguje i na Win10 s podporou automatického startu a vyžádání hesla.

Výhody:
- Neprolomitelné, totálně! Dokonce tak, že je Truecrypt v USA nelegální k šíření. Go Demokracie GO, nebojte EU na to přijde taky.
- Dvě hesla pro různé přístupy. Ano jeden kontejner může mít stínové heslo, které otevře jen Vámi připravenný dummy kontejner. Ještě jsem to nepotřeboval a člověk nikdy neví jaký zákony si vymyslí.
- Nastavitelné šifrování, co si kliknete to máte když někoho bude bavit bruteforcovat kontejner 175 000 let při použítí celého datacentra, tak už si ta data vážně zaslouží.
- Jednoduché na nastavení!

Nevýhody
- Není dobré zapomenout heslo.

Je to reakce nechce se mi dohledávat zdroje, kde jsem různé věci četl. Ale když je napíšete anglicky do Bing nebo Yahooo všechno je za pár minut dohledatelné. U truecryptu je pár článků i na BBC jak tam policajti brečí, že je do toho pachatel nepustil Byl to hnus, dětská pornografie ale jednou je to jeho počítač tak je to prostě svatý a osobně jsem tomu story o dětské pornorgrafii moc neveřil, bylo to něco znásilnění kterého se měl dopustit Julian Assange, když si to holka vzpoměla po letech, že jí asi při dobrovolném styku prdla šprcka a tom ho Švédkou osdoudilo, tak paráda. Dají si dohledat i kopie uniklých výhružných dopisů z FBI když v rámci Patriot Akt likvidovali v USA všechny nezávislé poskytovatelé emailů, kteří odmítly dát zadní vrátka a pod výhružkou šílených trestů zakazovli i se o tom zmiňovat. Na google většinu tohodle už nenajdete.... Nebo ano ale někde na stránce začínajicí "googol".

- omluva za přehlepy a chyby. Nechce se mi to teď procházet.
2.5.2019 16:44:21   221.126.249.xxx 61
Apple je na tom stejně špatně jako všechen ostatní hardware a software z USA, zadní vrátka tam musejí existovat ze zákona.
2.5.2019 22:09:24   185.220.102.xxx 01
Iluze o tom, že nemají zadní vrátka bych si nedělal stejně, jako že korporát cíleně nepřekročí zákon.
3.5.2019 08:14:54   195.113.47.xxx 40
To mě také fascinuje. U TC údajně zadní vrátka nejsou, protože to chtěli zakázat a řekli to i samotní vývojáři > považujeme za platné slovo vývojáře.
U BL je to taktéž údajné, opět člověk. A světe div se, u Apple je to stejné. Absolutně miluji tyhle nesmysly. Jestli to BD má nebo ne, ví jen samotní vývojáři. Nikdo jiný a je to vždy jen spekulace.

A pak platí. Máš-li své soubory zašifrované, zálohované a vše správně, bez chyb, které povedou k lehkému prolomení. Prostě pokud dotyčná osoba dodržuje bezpečnostní politiku a i přesto se o ní začne někdo zajímat tím, že se bude pokoušet získat přístupy a to nejen virtuálně, ale i jinými postupy crackingu, tak bych se osobně, být oním člověk, zamysle, proč po mě takto někdo jde, spíše než řešil, že má něco BD.

O to větší ironie je to, že přesně takovýto lidé, co jsou paranoičtí, až to bolí, jsou na různých sociálních sítích, kde mají o sobě napsané vše od velikosti bot až po to, kdy odjíždějí na dovolenou a dům bude prázdný a že klíče má babička schované pod růžovou rohožkou. Používají Windows 10, který ví o nich i to kolikrát si ho na hajzlíku oklepou. Možná by stálo se nad tímto přístupem trochu zamyslet.
3.5.2019 09:12:31   78.102.88.xxx 12
Všechny produkty z USA, vyrobené/vydané za posledních cca 10 let, mají zadní vrátka povinně a ze zákona, netřeba nad tím více filozofovat

Nebezpečí TrueCrypt bylo v tom, že zadní vrátka tam nebyla a byly k tomu zdrojáky, kde by šly zadní vrátka snadno odhalit a pokročilý uživatel by si mohl zdrojáky bez zadních vrátek zkompilovat a tudíž mít produkt bez zadních vrátek. To je ten pravý důvod, proč byl TrueCrypt zastaven.
3.5.2019 09:39:06   195.113.47.xxx 10
Ano, o tom jsem také slyšel. Osobně však programátor nejsem a tak toto neposoudím. A doposud mi to zatím žádný "kolega", kamarád programátor přímo nepotvrdil. Ovšem děkuji za "další potvrzení".
3.5.2019 10:50:26   185.220.102.xxx 00
Že má v rukou mé soukromí tajná služba, bych nevyjímal vedle možnosti, že zadní vrátka využívají sami výrobci (v hlavním proudu ovládání hlasem).
3.5.2019 08:04:19   37.188.148.xxx 00
Vem si ciste teoreticky, ze by nejaka NSA nebo podbne mohla vyuzit vykonu BTC site k lamani SHA256 hesla z odposlechnuteho hadshake VPN, pripadne pokud by to slo vyuzit na bruteforce aes256 coz je by dost mozna slo protoze se tam pouziva hashovaci algo sha256 velmi casto. Tak si spocitej kdyz budes mit 50 EH/s za jak dlouho ti to heslo zlomej ;) Je to samozrejme spekulace ale jsou pouzity stejne hasovaci algoritmy a vykonen je obrovskej ;)
3.5.2019 06:24:09   88.212.29.xxx 20
nejake porovnanie rychlosti a pristupu na disk a vytazenia CPU pre porovnanie pri zasifrovanom a nezasifrovanom nebude?
Rozdiel pri SSD a pri klasickom.
3.5.2019 07:17:11   91.139.122.xxx 20
Dobrý den, to jsem tam chtěl dát, ale už se nevešlo. Původně bylo v plánu přidat ještě testy rychlosti SED/BitLocker/VeraCrypt/TrueCrypt a postup obnovy poškozeného disku, ale už takhle to bylo hodně dlouhé.
3.5.2019 08:18:26   195.113.47.xxx 10
Já si myslím, že testy by sice byly o.k., ale není to, dle mého názoru, nutné. Kdo šifrovat potřebuje, šifruje a zbytek je na druhém místě. Už jsem viděl šifrování i na opravdu kuriózních strojích, ale dotyčná osoba vždy řekla "musím, tak musím, vybírat si nemohu a jiný stroj na práci nemám, tak co".
3.5.2019 20:07:52   95.82.135.xxx 30
Snad by se testy rychlosti daly hodit do separátního článku + doplnit návodem, jak zprovoznit nativní šifrování SSD, což pokud funguje, je OS agnostické a bez dopadu na výkon (teď pomíjím nedávné zprávy o chybách v tomto šifrování). Bohužel ne všechny základní desky toto v základu podporují.
3.5.2019 06:44:34   193.85.25.xxx 40
Přečetl jsem to jedním dechem. Moc pěkné, čtivé i pro laiky. Prosím více článků od tohoto autora. Děkuji.
3.5.2019 07:17:44   91.139.122.xxx 10
Díky :-)
3.5.2019 09:41:53   195.113.47.xxx 10
Jinak i já se přidám k pochvale. Už jsem zkoušel mnohé experimentování se zamykáním, šifrováním bez a s TPM, některé věci fungují dodnes a je to, při správném nastavení, dost "síla". Článek pěkný.
10.5.2019 09:59:21   80.188.227.xxx 00
Super článek. V tomhle jsem se dozvěděl víc o TPM a rozhodl to taky za ty tři kila zkusit.

Za článek s testem vlivu na výkon také hlasuji. Nějaké informace o šifrování přímo přes disku/jak to funguje a jak to rozjet a nastavit bych také uvítal.

/spíš ať se dozvím něco nového asi bych to neriskl/

Díky a jen tak dál.

Redakce si vyhrazuje právo odstranit neslušné a nevhodné příspěvky. Případné vyhrady na diskuze(zavináč)pctuning.cz

73 čtenářů navrhlo autorovi prémii: 34.9Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.